Hvordan kan norske bedrifter møte kravene i NIS2-direktivet gjennom Zero Trust?
Tilbake til fagblogg
NIS2-direktivet stiller tydeligere krav til hvordan virksomheter styrer risiko, kontrollerer tilgang og håndterer hendelser. Zero Trust kan hjelpe norske bedrifter å møte kravene.
I denne artikkelen ser vi på hva NIS2-direktivet er, hvilke krav som gjelder for norske virksomheter, og hvordan en Zero Trust-tilnærming – bygget på SSE og mikrosegmentering – hjelper bedrifter med å møte dem i praksis.
Hva er NIS2-direktivet?
NIS2-direktivet (Network and Information Security Directive 2) er EUs oppdaterte regelverk for nett- og informasjonssikkerhet. Det erstatter det opprinnelige NIS-direktivet fra 2016, og målet er å heve det generelle sikkerhetsnivået for virksomheter som leverer viktige samfunnsfunksjoner og tjenester i hele EU og EØS.
Hvorfor oppdaterer EU NIS-direktivet? Fordi samfunnet blir stadig mer digitalt, og konsekvensene av alvorlige cyberangrep er større enn før. Slike angrep rammer ikke lenger bare den enkelte virksomhet, men forsyningskjeder, kritisk infrastruktur og innbyggere. NIS2 utvider derfor både hvilke sektorer som omfattes, og hvor strenge kravene er.
I korte trekk stiller direktivet krav på fire områder:
-
Risikostyring – virksomheter må ha et systematisk grep om egen sikkerhetsrisiko.
-
Tekniske og organisatoriske tiltak – konkrete sikkerhetskontroller for å beskytte systemer og data.
-
Hendelseshåndtering og rapportering – evne til å oppdage, håndtere og rapportere alvorlige hendelser innen gitte frister.
-
Ansvar i ledelsen – styret og ledelsen holdes ansvarlig for virksomhetens sikkerhetsarbeid.
NIS2 artikkel 21 stiller blant annet krav til risikohåndtering, tilgangskontroll, sikkerhet i nettverk og informasjonssystemer, hendelseshåndtering og sikkerhet i leverandørkjeder. Flere av disse områdene støttes direkte av prinsippene i Zero Trust.
Et viktig poeng er at NIS2 ikke er alene. For virksomheter i finanssektoren henger direktivet tett sammen med DORA (Digital Operational Resilience Act), som stiller tilsvarende krav. Mange virksomheter må forholde seg til begge regelverkene samtidig, og da lønner det seg å bygge sikkerhet på en måte som møter flere krav på én gang.
Hvilke krav gjelder for NIS2 i Norge?
NIS2 er vedtatt i EU og forventes innlemmet i norsk lov gjennom EØS-avtalen. Norske virksomheter bør allerede nå forberede seg på kravene, ettersom regelverket vil få betydelig betydning for en rekke sektorer.
Direktivet omfatter blant annet virksomheter innen energi, transport, helse, finans, digital infrastruktur, offentlig forvaltning og leverandører av digitale tjenester. Sammenlignet med det opprinnelige NIS-direktivet vil langt flere virksomheter omfattes.
Hvordan vite om NIS2 gjelder for din bedrift? Hovedregelen er at direktivet retter seg mot mellomstore og store virksomheter innenfor de definerte sektorene, samt enkelte aktører som anses som særlig kritiske uavhengig av størrelse.
Selv om virksomheten ikke er direkte omfattet av NIS2, vil mange møte kravene indirekte gjennom kunder og samarbeidspartnere. Virksomheter som omfattes av regelverket vil i økende grad stille krav til sikkerhet, dokumentasjon og risikostyring hos sine leverandører.
Fellesnevneren er at virksomheter må ha kontroll på hvem som har tilgang til hva, kunne begrense skadeomfanget når noe går galt, og dokumentere at sikkerhetskontrollene fungerer. Det er nettopp her en moderne sikkerhetsarkitektur basert på Zero Trust kan bidra.
Hvordan kan norske bedrifter møte kravene i NIS2-direktivet gjennom Zero Trust?
NIS2 beskriver hva som skal oppnås – redusert risiko, bedre kontroll, evne til å begrense hendelser. Zero Trust beskriver hvordan. Både NIS2 og Zero Trust tar utgangspunkt i at trusler kan komme både utenfra og innenfra, og at ingen skal få tilgang automatisk.
Zero Trust er ikke ett produkt man kjøper, men en tilnærming til hvordan virksomheten kontrollerer tilgang, identitet og kommunikasjon mellom systemer. Prinsippet oppsummeres ofte som «never trust, always verify» – ingen brukere eller enheter får automatisk tillit, og tilgang vurderes kontinuerlig basert på identitet, kontekst og minste privilegium.
For å møte NIS2-kravene gjennom Zero Trust, er det viktig å bygge sikkerheten rundt en Zero Trust-arkitektur.
En slik arkitektur svarer direkte på flere av NIS2-kravene: den gir systematisk risikostyring, den reduserer angrepsflaten, og den gjør det enklere å dokumentere tilgang og kontroll. Hos Shift Security bygger vi Zero Trust gjennom to hovedelementer: SSE og mikrosegmentering.
SSE: kontroll på bruker-til-applikasjon
For mange virksomheter ligger den største utfordringen i hvordan brukere får tilgang til applikasjoner. Ansatte jobber distribuert, og stadig flere tjenester ligger i skyen. Secure Service Edge (SSE) gir brukere sikker og direkte tilgang til SaaS-tjenester og private applikasjoner – uansett hvor de befinner seg.
I motsetning til tradisjonell VPN, som gir tilgang til hele nettverket, gir SSE tilgang direkte til den enkelte applikasjonen, basert på identitet, kontekst og policy. Det reduserer overflødige tilganger og begrenser hva en kompromittert bruker faktisk kan nå. SSE samler samtidig flere sikkerhetsfunksjoner i én modell – blant annet sikker web-gateway, kontroll på skytjenester og Zero Trust Network Access (ZTNA).
Sett opp mot NIS2 bidrar SSE særlig til kravene om tilgangsstyring og reduksjon av angrepsflate: sikkerheten følger brukeren, ikke nettverket, og tilgang gis etter prinsippet om minste privilegium.
Mikrosegmentering: kontroll på system-til-system
Zero Trust handler ikke bare om brukere. Like viktig er det å kontrollere hvordan systemer og applikasjoner kommuniserer internt, slik at ikke angrep sprer seg videre i miljøet – såkalt lateral movement. Det er slik et innledende sikkerhetsbrudd kan utvikle seg til et fullskala ransomware-angrep dersom angriperen får bevege seg fritt mellom systemer.
De fleste virksomheter mangler full oversikt over hvilke systemer som kommuniserer med hverandre. Derfor starter mikrosegmentering ofte med synlighet (visibility). Først når trafikkmønstrene er kartlagt, blir det mulig å identifisere unødvendige forbindelser, redusere risiko og etablere presise sikkerhetspolicyer.
Med dette grunnlaget kan unødvendig kommunikasjon fjernes, tilganger begrenses og kritiske systemer isoleres. Resultatet er at et angrep som starter ett sted, ikke automatisk får tilgang til resten av infrastrukturen. Dette omtales gjerne som breach containment – evnen til å begrense konsekvensene av et sikkerhetsbrudd.
For NIS2 er dette spesielt relevant for kravene om å beskytte kritiske systemer, redusere risiko og begrense konsekvensene av hendelser. Mikrosegmentering gjør prinsippet om minste privilegium konkret også internt i miljøet – ikke bare mellom bruker og applikasjon.
De to tilnærmingene løser hver sin del av samme problem: SSE gir kontroll på bruker-til-applikasjon, mens mikrosegmentering gir kontroll på system-til-system. De kan innføres uavhengig av hverandre, men gir størst effekt i kombinasjon – og til sammen dekker de en stor del av de tekniske kravene NIS2 stiller.
Hvordan henger NIS2 og DORA sammen?
Både NIS2 og DORA har som mål å styrke virksomheters motstandsdyktighet mot cybertrusler, men de retter seg mot ulike målgrupper. Mens NIS2 favner en rekke samfunnskritiske sektorer, er DORA spesifikt rettet mot finanssektoren.
Til tross for forskjellene stiller regelverkene mange av de samme kravene innen risikostyring, tilgangskontroll, hendelseshåndtering, testing og dokumentasjon. Derfor vil investeringer i en moderne Zero Trust-arkitektur ofte bidra til å støtte etterlevelse av begge regelverkene samtidig.
For finansvirksomheter som omfattes av DORA, kan tiltak som SSE, Zero Trust Network Access (ZTNA) og mikrosegmentering være viktige byggesteiner for å redusere risiko og styrke operasjonell robusthet.
Bruk NIS2 som en anledning til å modernisere sikkerheten
NIS2 kan oppleves som nok et regelverk å forholde seg til. Men kravene peker mot tiltak de fleste virksomheter uansett bør gjennomføre for å håndtere moderne trusler.
Ved å bygge sikkerheten rundt Zero Trust-prinsipper, med SSE og mikrosegmentering som sentrale komponenter, kan virksomheter adressere en betydelig del av de tekniske sikkerhetskravene i NIS2. Samtidig reduseres risikoen for datainnbrudd, lateral spredning og uautorisert tilgang.
Zero Trust alene gjør ikke virksomheten NIS2-kompatibel, men gir et solid fundament for å møte flere av de sentrale kravene i direktivet.
Er dere usikre på hvordan NIS2 påvirker virksomheten deres, eller hvilke tekniske tiltak som bør prioriteres først? Shift Security hjelper virksomheter med å kartlegge risiko, etablere Zero Trust-prinsipper og bygge en sikkerhetsarkitektur som støtter kravene i NIS2.
Tilbake til fagblogg