Upplýsinga- og netöryggi er nú þegar hornsteinn í rekstri fyrirtækja og innviða í nútímasamfélagi. Til þess að mæta sífellt auknum áskorunum á sviði netöryggis, hefur Evrópusambandið (ESB) uppfært NIS1 (Network and Information security directive 1) með innleiðingu nýrrar tilskipunar sem ber heitið NIS2 (Network and Information security directive 2). Með tilkomu NIS2 eru þeir rekstraraðilar sem flokkast undir nauðsynlega og mikilvæga starfsemi, skyldugir til þess að fylgja samræmdum net- og upplýsingaöryggiskröfum og að tryggja að tilteknir birgjar og þjónustuaðilar þeirra innleiði einnig viðeigandi öryggisráðstafanir. NIS2 tekur gildi innan aðildarríkja ESB þann 18. október næstkomandi og mun NIS1 um leið falla niður.
Nú þegar hefur verið hafist handa að undirbúa innleiðingu NIS2 í íslenska löggjöf en á þessu stigi málsins er óljóst hvort og þá hvaða breytingar geta orðið á efni NIS2 þegar tilskipunin verður innleidd í íslenska löggjöf. Þessi umfjöllun tekur því einungis mið af NIS2 eins og tilskipunin kemur frá ESB.
Hér fyrir neðan eru fimm spurningar sem geta liðsinnt rekstraraðilum við að svara því hvort að starfsemi eða þjónustuþættir þeirra falli undir gildissvið NIS2.
NIS2 tekur bæði til opinberra aðila og rekstraraðila í einkageiranum. Þá nær gildissviðið bæði til rekstraraðila sem eru með starfsemi innan aðildarríkis sem og þeirra rekstraraðila sem eru einungis þjónustuveitendur innan aðildarríkis meðan starfsemin fer fram utan aðildarríkjanna. Hafa ber í huga að ef rekstraraðilar hérlendis eru annað hvort með starfsemi eða veita þjónustu í einhverju af aðildarríkjunum, þarf að skoða sérstaklega hvort og hvenær kröfur NIS2 taka til þeirra þátta í rekstrinum.
Þegar kemur að gildissviði NIS2 þá hefur tilskipunin flokkað rekstraraðila tiltekinna innviða í tvo flokka; nauðsynleg þjónusta (sjá Viðauka I) og mikilvæg þjónusta (sjá Viðauka II). NIS2 leggur mismunandi kröfur á rekstraraðila eftir því hvort þeir eru skilgreindir sem nauðsynlegir eða mikilvægir. Hér fyrir neðan má sjá helstu flokka í hvorum viðauka fyrir sig.
Ef starfsemi rekstraraðila flokkast undir bankastarfsemi eða innviði fjármálamarkaða undir NIS2, þá tekur gildissvið DORA reglugerðarinnar (e. Digital Operational Resilience Act) til slíkrar starfsemi, að því marki sem að gildissvið NIS2 og DORA er það sama. Hafa ber í huga að rekstraraðilar sem flokkast undir bankastarfsemi eða innviði fjármálamarkaða þurfa samt sem áður að innleiða þá þætti NIS2 sem DORA tekur ekki til. DORA reglugerðin tekur gildi í aðildarríkjum ESB 17. janúar næstkomandi og 1. Júlí 2025 hérlendis.
Samkvæmt skilningi Evrópuréttar eru fyrirtæki með undir 50 starfsmenn og ársveltu undir 10 milljónum evra skilgreind sem lítil fyrirtæki. Meðalstór fyrirtæki eru með yfir 50 starfsmenn eða ársveltu yfir 10 milljónir evra og stór fyrirtæki eru með yfir 250 starfsmenn eða ársveltu yfir 50 milljónir evra.
Samkvæmt NIS2 er gerð undantekning á stærðarmörkum þeirra rekstraraðila sem eru einu þjónustuveitendur innan aðildarríkis eða landsvæðis, teljast nauðsynlegir á landsvísu eða eru mikilvægur hlekkur í starfsemi annarra rekstraraðila sem teljast nauðsynlegir. Undantekningin á einnig við þegar að rof á þjónustu rekstraraðila gæti haft í för með sér umtalsverð áhrif á almannaöryggi, almannavernd eða heilsu almennings eða gæti ýtt undir umtalsverða kerfislæga áhættu. Þá nær undantekningin einnig til opinberra aðila sem og einstaka undirflokka stafrænna grunnvirkja.
Syndis hvetur öll þau fyrirtæki og stofnanir sem munu mögulega falla undir gildissviðið að máta sig við spurningalistann hér að ofan og meta stöðuna í kjölfarið. Sérfræðingar Syndis geta aðstoðað fyrirtæki og opinbera aðila ef einhverjar spurningar vakna í tengslum við gildissvið NIS2, við gloppugreiningar og innleiðingar þeirra öryggiskrafna sem NIS2 hefur í för með sér.