NIS-1 og NIS-2

Það sem í daglegu tali er kallað NIS1 reglugerðin er Reglugerð um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu (866/2020), sem er sett með vísan í lög 78/2019 um öryggi net- og upplýsingakerfa mikilvægra innviða. Lögin og reglugerðin eiga uppruna sinn í sambærilegri tilskipun frá Evrópusambandinu (NIS Directive 2016/1148).​

Í janúar 2023 var samþykkt uppfærsla á NIS Directive sem kallast NIS2 2022/2555 og fengu aðildarríki 22 mánuði til að innleiða löggjöfina í sína löggjöf. Breytingarnar sem munu koma í NIS-2 snúa töluvert að fjölgun þeirra flokka / atvinnugreina sem falla undir löggjöfina, en einnig verða ákveðnar viðbótarkröfur settar á og er mögulegt að við innleiðingu NIS2 laga á Íslandi komi fram breytingar eða viðbótarkröfur miðað við NIS-1 löggjöfina.​

Þegar kemur að skipulagi upplýsingaöryggis þá hefur ISO 27001 staðallinn verið hafður til hliðsjónar við gerð reglugerðarinnar og það má segja að aðilar sem vinna eftir ISO 27001 uppfylli nánast sjálfkrafa flestar kröfurnar. Það er vissulega hægt að uppfylla NIS án ISO 27001 vottunar en þá þarf að gæta að því að vissar ráðstafanir verða að vera til staðar.​

NIS er ætlað að ná til þeirra sem flokkast sem mikilvægir innviðir eða veita það sem skilgreint er sem nauðsynlega þjónustu. Eftirfarandi tafla sýnir hverjir falla undir gildissvið NIS1 og gefur vísbendingu um hvaða starfssemi eða fyrirtæki munu heyra undir NIS2 löggjöfina og er birt með fyrirvara um mögulegar breytingar fyrir gildistöku.