Er din virksomhet klar for NIS-direktivet?

Norge får sin første lov om digital sikkerhet, etter regjeringen har lagt frem et forslag basert på NIS-direktivet. Loven skal bidra til å styrke den digitale sikkerheten i virksomheter med stor betydning for samfunnet, og stiller krav til risikostyring, rapportering, sikkerhet i utviklingsprosesser, kryptering og hendelseshåndtering. Virksomhetene som blir omfattet må kunne dokumentere at de har grunnleggende sikkerhetstiltak på plass.

Les regjeringens pressemelding her.

NIS-direktivet, eller NIS1 (Network and Information Security), ble innført i EU allerede i 2016. I januar 2023 vedtok EU NIS2-direktivet, som bygger videre på det eksisterende direktivet, med strengere krav til Cyber Security-regulering. Per nå vil Norge ta utgangspunkt i NIS1.

Halvparten av norske virksomheter har opplevd dataangrep, og på verdensbasis øker Ransomware-hendelser, med konsekvenser for blant annet OT-infrastruktur. Likevel har Norge frem til nå manglet en minimumsstandard for oppfølging av IT-sikkerhet. 

Med den nye loven vil virksomheter få mer ansvar for å beskytte seg mot cyberkriminalitet, og blir forpliktet til å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser. Videre varsling gjøres til f.eks. samme sektor, sikkerhetsmyndigheter og evt. andre land. Målet er at virksomheter skal bli bedre rustet til å stå imot angrep mot digitale systemer de er avhengige av. Regjeringen mener at denne loven vil bli et viktig bidrag for å redusere digitale sårbarheter, både for hver enkelt virksomhet, og i samfunnet.

Regelverket skal være tilpasningsdyktig og fleksibelt, slik at det kan tas hensyn til ulike behov i ulike sektorer. Loven vil bli utviklet over tid for å sikre gjennomføring av nasjonale råd og anbefalinger.

octoplant er en modulbasert programvareplattform, som kombinerer backup og versjonskontroll av automasjonssoftware og OT-utstyr med cyber security. Programvaren gir deg alt du trenger for å oppfylle de kommende kravene til Cyber Security, inkludert NIS1 og NIS2. Du ser alle modulene her:

Nedenfor kan du lese mer om hvordan de ulike funksjonene kan hjelpe deg med å møte kravene i NIS-direktivet. For mer generell informasjon om octoplant, se produktsiden vår her.

octoplant’s Threat Protection modul er et effektivt verktøy for å utarbeide risikoanalyse for virksomhetens OT-miljø. Med modulen får du et verktøy for å identifisere sårbarheter i produksjonsmiljøet, samt en risk-score over sårbarheter. Dette gir oversikt over alle potensielle sårbarheter, med mulighet til å prioritere hvilke som er kritiske og ikke-kritiske. 

Threat Protection-modulen kommer også med funksjoner for å sammenligne virksomhetens produksjonskomponenter opp mot CVE, CERT og CISA-databaser, som gjør det mulig å være i forkant av nye trusler som oppstår. Automatisk backup og sammenligning av komponenter sikrer at uautoriserte endringer fanges opp, og at ny backup er tilgjengelig hvis noe skulle skje. På denne måten beskytter octoplant OT-miljøet både ved å forebygge, oppdage, og gjøre tiltak ved hendelser. 

Versjonskontroll og automatisk backup hjelper deg med å gjenopprette driften, da du alltid har en nylig, tidligere versjon klar til bruk. 

octoplant er et Change Management-verktøy, som sikrer nødvendig dokumentasjon ved utvikling og vedlikehold av ditt OT-miljø, uavhengig av om du har eksterne leverandører. Sårbarhetsrapporter gjør at du enkelt kan administrere og publisere informasjon om sårbarheter. 

Med octoplant sikres all nødvendig dokumentasjon, slik at det alltid er mulig å gå tilbake i prosedyren for å se hvor det går galt. Du har kontroll over: Hvem, hva, hvor, når og hvorfor. Hvis endringer gjøres utenfor systemet vil disse bli fanget opp av automatisk backup og sammenligning. Retningslinjer og prosedyrer kan enkelt introduseres for å administrere og vurdere virksomhetens Cyber Security-risiko.

I octoplant kan du bestemme brukeradministrasjon helt ned til hver enkelt komponent. Det betyr at ansatte, eksterne konsulenter eller andre brukere av systemet kun har tilgang til komponentene eller filene som er relevante for dem. Brukeradministrasjon sørger også for at ikke alle kan ta data ut av, eller sette inn i systemet. 

Med leverandørutsjekk sjekkes filer/data ut av systemet, og sikrer at endringshistorikk og dokumentasjon respekteres, selv om det gjøres av en ekstern person. Dette gjør det mulig å jobbe sikkert og effektivt med enheter som kan ha betydning for videre produksjon, og øker sikkerheten i virksomhetens forsyningskjede.