Sigurður JónssonÍsland er eina EES-landið sem hefur enn ekki birt drög að löggjöf sem innleiðir NIS2-tilskipun Evrópusambandsins, og nýjustu tímalínur benda til þess að lögin taki ekki gildi á Íslandi fyrr en sumarið 2027, samkvæmt greiningu ECSO (European Cyber Security Organisation) frá mars 2026. Þetta þýðir að íslensk fyrirtæki eru að fá aukinn frest — en einnig að tíminn er nú réttur til að undirbúa sig, áður en sektir upp á allt að 10 milljónir evra taka gildi.
NIS2 (Network and Information Security Directive 2) er uppfærð útgáfa af upprunalegri NIS-tilskipun ESB og markar stærsta þróun í netöryggislöggjöf Evrópu undanfarinna ára. Á meðan flestar ESB-þjóðir áttu að innleiða hana í október 2024 — og margir nýttu sér framlengda þátttöku — er Ísland á eftir ferðinni sem EES-aðili. En sektarheimildir og kröfur munu á endanum gilda.
Hvað er NIS2 og hverja nær það til?
NIS2 tekur til fyrirtækja og stofnana sem starfa á gagnvirkum sviðum: orku, samgöngum, heilbrigðisþjónustu, banka- og fjármálakerfi, stafrænum innviðum, netveitum og fleiru. Í seinni útgáfunni hefur gildissviðið víkkað verulega — nú nær það til meðalstórra og stórra fyrirtækja (50+ starfsmenn eða 10 milljón evra í ársveltu) á þessum sviðum, en ekki einungis kjarnavirkar innviðum eins og í upprunalegu NIS-útgáfunni.
Eins og ECSO bendir á er ætlunin með NIS2 að brúa bil milli þeirra sem hafa þegar tekið netöryggi alvarlega og þeirra sem hafa látið það sitja. Þar af leiðandi munu tekjuháar stofnanir sem verða fyrir gagnabrotum hljóta harðari viðurlög en áður.
Á Íslandi hefur ríkið lagt til að breyta Netöryggilögunum (78/2019) í stað þess að búa til algjörlega nýja löggjöf. Þetta þýðir að fyrirtæki sem þegar uppfylla Grunnkröfur um netöryggi eru betur sett en þau sem eru að byrja frá grunni.
Hvaða sektir eru í húfi?
Viðurlög NIS2 eru í tvennum flokkum:
- Nauðsynlegar einingar (essential entities): sektir allt að 10 milljónum evra eða 2% af heildarveltu, hvort heldur sem er hærra
- Mikilvægar einingar (important entities): sektir allt að 7 milljónum evra eða 1,4% af heildarveltu
Auk þess geta eftirlit- og lagalegir aðilar:
- Lagt á daglegar sektir allt að 10 milljónum króna
- Birt nafn fyrirtækis opinberlega sem uppfyllir ekki kröfurnar
- Bannað stjórnendum að gegna stöðum sínum
Þetta eru veruleg viðurlög — jafngildi þeirra sem við þekkjum í persónuverndarlögunum (GDPR) — og þau gela vel á meðalstór fyrirtæki á Íslandi.
Hvað þurfa fyrirtæki að gera?
IT-sérfræðingar sem þekkja NIS2 draga upp fimm lykilskrefa undirbúning:
1. Kortleggðu gagnabrot og áhættur. Fyrirtæki verður að geta greint á innan við 24 klst. hvort gagnabrot hafi átt sér stað og tilkynna það til eftirlitsaðila. Þetta krefst þess að til séu skráðar ferlar og tæknilegar lausnir sem rekja atvik í rauntíma.
2. Innleiddu tæknilegar öryggisráðstafanir. NIS2 krefst meðal annars: dulkóðunar á gögnum í flutningi og geymslu, tveggja þátta auðkenningar (MFA) á öllum innskráningum, og reglubundinna öryggisprófa (penetration testing).
3. Þjálfaðu starfsfólk. Fiskingárásir (phishing) eru enn algengasta vektor netárása á Íslandi. Stofnun sem þjálfar starfsmenn reglulega í þessum árásum dregur verulega úr líkum á velgengni þeirra. NIS2 krefst skjalfestrar öryggismenntunarstefnu.
4. Búðu til viðbragðsáætlun. Ef gagnabrot á sér stað þarftu að vera fær um að bregðast við skipulega: hverjir eru láðir, hvað var farið, hvernig er samskipt við viðskiptavini og yfirvöld? Slíkur viðbragðsáætlun (incident response plan) er ekki valkvæður hluti — hann er skilyrði.
5. Skoðaðu birgðakeðjuna. NIS2 nær einnig til þriðja aðila sem bjóða upp á hugbúnað og þjónustu til þér. Ef verktaki þinn uppfyllir ekki öryggiskröfur getur það sett þig í hættu — og í lög.
Hvers vegna þú ættu að byrja núna
Þótt Ísland sé enn að innleiða tilskipunina er ástæðan til að byrja strax nokkurri:
Í fyrsta lagi keyra margar íslenskar stofnanir með erlendum viðskiptavinum eða samstarfsaðilum í ESB — og þessir aðilar geta krafist NIS2-samræmis nú þegar sem hluta af samningskröfum.
Í öðru lagi sýna rannsóknir að NIS2-innleiðing tekur að meðaltali 12–18 mánuði í meðalstórum fyrirtækjum. Ef Ísland innleiðir lögin sumarið 2027, þá er tíminn farin að vera knappur.
Í þriðja lagi getur netárásin sjálf komið á undan lögunum. Samkvæmt Tölvusnáðaráðuneyti Íslands (CERT-IS) var fjöldi tilkynntra netárása á Íslandi 2024 sá hæsti sem mælst hefur, með hlutfallslegar hækkun á lausnarhugbúnaðarárásum (ransomware) á fyrirtæki.
Sérfræðiráðgjöf er lykilinn
IT-sérfræðingar og netöryggisráðgjafar geta hjálpað þér að gera bilmatsskoðun (gap analysis) — þ.e. greina hvað er þegar til staðar og hvað vantar til að uppfylla NIS2. Þetta er oft fyrsta skrefið sem stofnanir taka, áður en þær beittu fjármunum í tækni eða þjálfun.
Á Expert Zoom geturðu tengst íslenskum IT-sérfræðingum sem hafa þekkingu á netöryggisramma eins og NIS2, ISO 27001 og CIS Controls — og geta aðstoðað þig við að meta stöðu fyrirtækisins þíns og gert handanáætlun.
Ekki bíða eftir lögunum. Byrjaðu matið núna.
Athugasemd: Þessi grein er til fræðslu. Hún kemur ekki í stað lögfræðilegrar eða tæknilegrar ráðgjafar. Hafðu samband við löggiltann sérfræðing fyrir nákvæma mat á stöðu fyrirtækis þíns.
