IT-sikkerhet og beredskap

Cyberangrep, datainnbrudd og leverandørsvikt er ikke lenger bare IT-avdelingens problem. NIS2-direktivet gjør cybersikkerhet til et styreansvar. GDPR krever varsling av Datatilsynet innen 72 timer ved brudd på personopplysningssikkerheten. Og konsekvensene av mangelfull beredskap strekker seg fra milliongebyrer til tap av kundetillit og forretningsevne.

Nordia bistår virksomheter med den juridiske siden av IT-sikkerhet: vurdering av regelverksforpliktelser, utarbeidelse av beredskapsplaner, gjennomgang av leverandøravtaler med sikkerhetskrav, varsling til tilsynsmyndigheter og håndtering av hendelser i sanntid. Vi kjenner regelverket og vet hva tilsynsmyndighetene forventer — og vi vet at det som teller mest er forberedelse.

Våre tjenester innen IT-sikkerhet og beredskap

NIS2-direktivet

NIS2 (EU 2022/2555) utvider kretsen av virksomheter som er underlagt cybersikkerhetskrav betydelig. Direktivet stiller krav til risikostyring, hendelsesrapportering, forsyningskjedesikkerhet og styreansvar. Norsk gjennomføring pågår. Vi bistår med å vurdere om din virksomhet er omfattet, hva kravene innebærer, og hvordan dere kan dokumentere etterlevelse.

→ Gå til egen side for: NIS2-direktivet

DORA — Digital Operational Resilience Act

DORA gjelder for banker, forsikringsforetak, fondsforvaltere, betalingsforetak og en rekke andre finansaktører. Kravene dekker IKT-risikostyring, hendelsesrapportering, testing av motstandsdyktighet og styring av tredjeparts IKT-leverandører. Vi bistår finanssektoren med implementering og avtalegjennomgang.

→ Gå til egen side for: DORA for finanssektoren

Avvikshåndtering og varsling ved personvernbrudd

Ved brudd på personopplysningssikkerheten har virksomheten 72 timer på seg til å varsle Datatilsynet. Det er kort tid — og feil i de første timene kan gi varige konsekvenser. Vi bistår med akutt rådgivning under hendelser, utarbeidelse av varsel til Datatilsynet og berørte, og oppfølging i etterkant.

→ Gå til egen side for: Avvikshåndtering og varsling

Beredskapsplanlegging

De virksomhetene som håndterer cyberhendelser best, er de som har forberedt seg. Vi bistår med å utarbeide juridiske beredskapsprosedyrer som del av virksomhetens samlede beredskapsplan — slik at beslutninger om varsling, bevissikring, kommunikasjon og leverandørhåndtering kan tas raskt og riktig.

Leverandørkrav og sikkerhet i kontrakter

NIS2 og DORA stiller begge krav til sikkerhet i leverandørkjeden. Det betyr at avtaler med IT-leverandører, skytjenester og driftsleverandører må inneholde tilstrekkelige sikkerhetskrav, revisjonsrettigheter og hendelsesprosedyrer. Vi gjennomgår og forhandler sikkerhetskravene i teknologikontrakter.