Umfangsmiklar breytingar verða gerðar á net- og upplýsingaöryggislöggjöf Evrópusambandsins á næstu misserum með innleiðingu DORA-reglugerðarinnar, sem snýr að rekstraröryggi fjármálafyrirtækja, með tilliti til net- og upplýsingaöryggis, og NIS2-tilskipunarinnar, sem snýr að öryggi net- og upplýsingakerfa rekstraraðila mikilvægra innviða.

Bæði DORA og NIS2 hafa það að markmiði að koma í veg fyrir og lágmarka afleiðingar af atvikum sem tengjast net- og upplýsingaöryggi. Fyrirtæki og stjórnendur þurfa að grípa til ýmissa ráðstafana samkvæmt regluverkinu, bæði tæknilegra og skipulagslegra, og er eftirlit aukið til muna.

Áslaug Björgvinsdóttir lögmaður og meðeigandi LOGOS, segir mörg þau fyrirtæki sem falla undir DORA ágætlega í stakk búin til að uppfylla skyldurnar sem boðaðar eru með reglugerðinni. Hvað NIS2 varðar þá muni hins vegar mörg fyrirtæki og stofnanir koma til með að falla undir regluverkið sem hafa ekki áður þurft að uppfylla sambærilegar skyldur. Má þar til að mynda nefna stjórnvöld, fjarskiptafyrirtæki og framleiðendur og dreifingaraðilar matvæla.

„Við erum að tala um hundruð fyrirtækja og stofnana sem þurfa núna að uppfæra sitt verklag og fylgja regluverki sem þau hafa ekki þurft að spá í áður,“ segir Áslaug.

Á meðal þeirra skyldna sem NIS2 og DORA leggja á fyrirtæki og stofnanir eru skyldur er lúta að því að tryggja öryggi í birgjakeðju sinni. Af þeim sökum er því ljóst að fjölmargir aðilar til viðbótar verða fyrir óbeinum áhrifum af þessum gerðum. Þó að nokkuð langt sé í innleiðingu NIS2 hér á landi kemur tilskipunin til framkvæmda strax á morgun innan ESB og íslenskir birgjar og þjónustuveitendur sem þjónusta erlend fyrirtæki gætu því fundið strax fyrir áhrifum.

„Þannig gætu íslensk fyrirtæki, sem þjónusta mikilvæga innviði eða fjármálafyrirtæki innan Evrópusambandsins, átt von á að fá beiðni um að aðilar taki upp þjónustusamninga sína. Það eru ákveðnar skyldur sem fyrirtæki er falla undir regluverkið verða að endurspegla á sína birgja og þjónustuveitendur í þjónustusamningum,“ segir Áslaug en listinn af ákvæðum í slíkum samningum er langur.

Nánar er fjallað um málið í Viðskiptablaðinu. Áskrifendur geta lesið fréttina í heild hér.