Gildissvið NIS2

Upplýsinga- og netöryggi er nú þegar hornsteinn í rekstri fyrirtækja og innviða í nútímasamfélagi. Til þess að mæta sífellt auknum áskorunum á sviði netöryggis, hefur Evrópusambandið (ESB) uppfært NIS1 (Network and Information security directive 1) með innleiðingu nýrrar tilskipunar sem ber heitið NIS2 (Network and Information security directive 2). Með tilkomu NIS2 eru þeir rekstraraðilar sem flokkast undir nauðsynlega og mikilvæga starfsemi, skyldugir til þess að fylgja samræmdum net- og upplýsingaöryggiskröfum og að tryggja að tilteknir birgjar og þjónustuaðilar þeirra innleiði einnig viðeigandi öryggisráðstafanir. NIS2 tekur gildi innan aðildarríkja ESB þann 18. október næstkomandi og mun NIS1 um leið falla niður.


Nú þegar hefur verið hafist handa að undirbúa innleiðingu NIS2 í íslenska löggjöf en á þessu stigi málsins er óljóst hvort og þá hvaða breytingar geta orðið á efni NIS2 þegar tilskipunin verður innleidd í íslenska löggjöf. Þessi umfjöllun tekur því einungis mið af NIS2 eins og tilskipunin kemur frá ESB.


Gildissvið NIS2

Hér fyrir neðan eru fimm spurningar sem geta liðsinnt rekstraraðilum við að svara því hvort að starfsemi eða þjónustuþættir þeirra falli undir gildissvið NIS2.

Spurning 1: Er starfsemin innan aðildarríkis ESB eða veitir fyrirtækið þjónustu þar?

NIS2 tekur bæði til opinberra aðila og rekstraraðila í einkageiranum. Þá nær gildissviðið bæði til rekstraraðila sem eru með starfsemi innan aðildarríkis sem og þeirra rekstraraðila sem eru einungis þjónustuveitendur innan aðildarríkis meðan starfsemin fer fram utan aðildarríkjanna. Hafa ber í huga að ef rekstraraðilar hérlendis eru annað hvort með starfsemi eða veita þjónustu í einhverju af aðildarríkjunum, þarf að skoða sérstaklega hvort og hvenær kröfur NIS2 taka til þeirra þátta í rekstrinum.

  • Ef spurningu 1 er svarað játandi, skal fara yfir á spurningu 2.
  • Ef spurningu 1 er svaraði neitandi, fellur starfsemin utan gildissviðs NIS2.

Spurning 2: Fellur starfsemin undir NIS2 viðauka I eða II?

Þegar kemur að gildissviði NIS2 þá hefur tilskipunin flokkað rekstraraðila tiltekinna innviða í tvo flokka; nauðsynleg þjónusta (sjá Viðauka I) og mikilvæg þjónusta (sjá Viðauka II). NIS2 leggur mismunandi kröfur á rekstraraðila eftir því hvort þeir eru skilgreindir sem nauðsynlegir eða mikilvægir. Hér fyrir neðan má sjá helstu flokka í hvorum viðauka fyrir sig.

  • Ef spurningu 2 er svarað játandi, skal fara yfir á spurningu 3.
  • Ef spurningu 2 er svaraði neitandi, fellur starfsemin utan gildissviðs NIS2.

Spurning 3: Flokkast starfsemin undir bankastarfsemi eða innviði fjármálamarkaða?

Ef starfsemi rekstraraðila flokkast undir bankastarfsemi eða innviði fjármálamarkaða undir NIS2, þá tekur gildissvið DORA reglugerðarinnar (e. Digital Operational Resilience Act) til slíkrar starfsemi, að því marki sem að gildissvið NIS2 og DORA er það sama. Hafa ber í huga að rekstraraðilar sem flokkast undir bankastarfsemi eða innviði fjármálamarkaða þurfa samt sem áður að innleiða þá þætti NIS2 sem DORA tekur ekki til. DORA reglugerðin tekur gildi í aðildarríkjum ESB 17. janúar næstkomandi og 1. Júlí 2025 hérlendis. 

  • Ef spurningu 3 er svarað játandi, þá á gildissvið DORA við um starfsemina. Gildissvið DORA reglugerðarinnar trompar gildissvið NIS2.
  • Ef spurningu 3 er svarað neitandi, þá skal fara yfir á spurningu 4.

Spurning 4: Er fyrirtækið meðalstórt eða stórt í skilningi Evrópuréttar?

Samkvæmt skilningi Evrópuréttar eru fyrirtæki með undir 50 starfsmenn og ársveltu undir 10 milljónum evra skilgreind sem lítil fyrirtæki. Meðalstór fyrirtæki eru með yfir 50 starfsmenn eða ársveltu yfir 10 milljónir evra og stór fyrirtæki eru með yfir 250 starfsmenn eða ársveltu yfir 50 milljónir evra.

  • Ef spurningu 4 er svarað játandi, fellur starfsemin undir gildissvið NIS2.
  • Ef spurningu 4 er svaraði neitandi,  þá skal fara yfir á spurningu 5.

Spurning 5: Fellur starfsemin undir NIS2 óháð stærð/veltu?

Samkvæmt NIS2 er gerð undantekning á stærðarmörkum þeirra rekstraraðila sem eru einu þjónustuveitendur innan aðildarríkis eða landsvæðis, teljast nauðsynlegir á landsvísu eða eru mikilvægur hlekkur í starfsemi annarra rekstraraðila sem teljast nauðsynlegir. Undantekningin á einnig við þegar að rof á þjónustu rekstraraðila gæti haft í för með sér umtalsverð áhrif á almannaöryggi, almannavernd eða heilsu almennings eða gæti ýtt undir umtalsverða kerfislæga áhættu. Þá nær undantekningin einnig til opinberra aðila sem og einstaka undirflokka stafrænna grunnvirkja. 

  • Ef spurningu 5 er svarað játandi, fellur starfsemin innan gildissviðs NIS2.
  • Ef spurningu 5 er svarað neitandi, fellur starfsemin utan gildissviðs NIS2.

Syndis hvetur öll þau fyrirtæki og stofnanir sem munu mögulega falla undir gildissviðið að máta sig við spurningalistann hér að ofan og meta stöðuna í kjölfarið. Sérfræðingar Syndis geta aðstoðað fyrirtæki og opinbera aðila ef einhverjar spurningar vakna í tengslum við gildissvið NIS2, við gloppugreiningar og innleiðingar þeirra öryggiskrafna sem NIS2 hefur í för með sér.