Laster…
Tillegg på alle nivåer
NIS2 er EUs reviderte direktiv for digital sikkerhet (direktiv (EU) 2022/2555). Direktivet er ennå ikke norsk lov, og arbeidet med å innføre det pågår. Forløperen NIS1 ble derimot norsk rett da digitalsikkerhetsloven trådte i kraft 1. oktober 2025. For små norske bedrifter treffer NIS2 oftest indirekte, via leverandørkjeden.
Hvem trenger det
NIS2 er deres sak når dere leverer noe vesentlig til en kunde som selv er omfattet. Da forplanter kundens sikkerhetskrav seg nedover leverandørkjeden, uavhengig av om dere selv er direkte omfattet. Pakken passer derfor for tre grupper:
Norske bedrifter i sektorer der de nye kravene til digital sikkerhet ventes å treffe (energi, transport, finans, helse, vann, digital infrastruktur og flere).
Leverandører og underleverandører hvis kunder skjerper sikkerhetskravene i leverandørkjeden.
Styrer som vil ha et dokumentert, forsvarlig bilde av cyberrisiko og hvordan den styres.
Bakgrunn
NIS2 er EUs reviderte direktiv for digital sikkerhet, formelt direktiv (EU) 2022/2555, vedtatt 14. desember 2022. Det er en videreutvikling og utvidelse av det første NIS-direktivet (NIS1) og stiller krav til risikostyring, hendelsesrapportering og sikkerhet i leverandørkjeden. NIS2 dekker 18 definerte samfunnsviktige sektorer, fordelt på direktivets vedlegg I og II.
I Norge er NIS2 foreløpig ikke innført. Det som gjelder i dag, er digitalsikkerhetsloven, som gjennomfører forløperen NIS1. NIS2 og det tilhørende CER-direktivet er ennå ikke tatt inn i EØS-avtalen, og arbeidet med å innføre dem i norsk rett pågår. Kildene å følge er nsm.no (Nasjonal sikkerhetsmyndighet er nasjonalt kontaktpunkt, nasjonalt hendelseshåndteringsmiljø (CSIRT) og veiledningsmyndighet for digital sikkerhet) og selve EU-direktivet (NIS2).
Hvor ting står
NIS2 er ennå ikke satt i kraft i Norge per juni 2026. Det som allerede gjelder, er digitalsikkerhetsloven og digitalsikkerhetsforskriften, som trådte i kraft 1. oktober 2025 og gjennomfører NIS1-direktivet i norsk rett. NIS2 og CER-direktivet er ikke tatt inn i EØS-avtalen ennå; arbeidet pågår, og en norsk ikrafttredelsesdato er ikke endelig fastsatt. For oppdatert status på tidspunkt, se regjeringen.no.
Til sammenligning hadde EUs egne medlemsstater frist til 17. oktober 2024 for å gjennomføre NIS2 i nasjonal rett. Norge gjennomfører via EØS på et senere tidspunkt. Vi følger utviklingen tett og sier fra i god tid hva det betyr for dere, slik at dere kan bygge opp gradvis i stedet for å havne i et kappløp.
| Tema | Gjelder i Norge nå | NIS2 (under arbeid) |
|---|---|---|
| Regelverk | Digitalsikkerhetsloven + -forskriften | Direktiv (EU) 2022/2555 + CER |
| Bygger på | NIS1-direktivet ((EU) 2016/1148) | NIS2 (revisjon og utvidelse av NIS1) |
| Status | I kraft fra 1. oktober 2025 | Ikke i EØS ennå; arbeidet pågår |
| Tilsyn og roller | NSM som kontaktpunkt og CSIRT; tilsyn delt mellom Nkom og sektormyndigheter | Norsk modell fastsettes ved gjennomføring |
| Sektorer | Samfunnsviktige + digitale tjenester | 18 sektorer (vedlegg I og II) |
Den norske tilsynsmodellen og det eksakte EØS-/ikrafttredelsestidspunktet fastsettes når NIS2 gjennomføres i norsk rett; begge er fortsatt åpne. Vi oppdaterer denne siden etter hvert som bildet blir klarere.
Omfang i Norge
NIS2 berører mest direkte større virksomheter i de 18 samfunnsviktige sektorene i direktivets vedlegg I og II. Mindre bedrifter trekkes oftest inn indirekte, gjennom leverandørkjeden til en omfattet kunde. For oppdatert offisiell veiledning, se nsm.no for norsk veiledning, eller selve EU-direktivet (NIS2).
Energi, transport, finans, helse, vann og digital infrastruktur er gjerne mest utsatt. Større bedrifter her er de som mest sannsynlig berøres direkte.
Fra logistikk og produksjon til digitale tjenesteleverandører, vil trolig også omfattes etter hvert som kravene tar form.
Mindre bedrifter trekkes oftest inn indirekte. Leverer dere noe vesentlig til en større kunde, blir deres sikkerhetskrav deres sak også. Dokumentasjon og kontroller følger kjeden.
Kommuner, offentlige etater og deres IT- og sikkerhetsleverandører holdes i økende grad til høyere sikkerhetskrav i anskaffelser allerede i dag.
NIS2 deler omfattede virksomheter i to kategorier: «vesentlige» virksomheter (essential entities) og «viktige» virksomheter (important entities). Hvilken kategori en virksomhet havner i, bestemmes av en kombinasjon av sektor (vedlegg I eller II) og størrelse. Som hovedregel regnes store virksomheter i vedlegg I-sektorene som vesentlige, mens mellomstore virksomheter i vedlegg I og virksomheter i vedlegg II regnes som viktige. Skillet avgjør både hvor strengt tilsynet er og hvor store sanksjonene kan bli: vesentlige virksomheter er underlagt strengere, mer aktivt tilsyn enn viktige virksomheter.
For små bedrifter
De fleste små norske bedrifter blir trolig ikke berørt direkte av NIS2. Grunnen er størrelsesterskelen: NIS2 omfatter som hovedregel virksomheter som er minst mellomstore. Terskelen for å falle utenfor «liten bedrift» går ved minst 50 ansatte, eller en årlig omsetning eller balanse over 10 millioner euro, etter EUs definisjon i kommisjonsrekommandasjon 2003/361/EF. Bedrifter under denne terskelen faller som hovedregel utenfor det direkte virkeområdet. Den endelige terskelen i den kommende norske NIS2-forskriften fastsettes ved gjennomføring.
Der NIS2 likevel treffer små bedrifter, er indirekte: som leverandør til en større kunde som er omfattet, og som må vurdere og dokumentere leverandørkjeden sin. Allerede i dag ber større kunder leverandørene sine om å vise at sikkerheten er i orden, og det kravet strammes bare til.
For små bedrifter betyr det i praksis spørreskjemaer, dokumentasjonskrav og kontroller som lander i innboksen, ofte med korte frister. Å håndtere det én gang er overkommelig. Å håndtere det på tvers av flere kunder, holdt oppdatert over tid, er der en digital driftsavdeling gjør jobben.
En digital driftsavdeling kan bære dette løpende: holde policyene oppdaterte, de tekniske kontrollene på plass, og dokumentasjonen klar til å sende den dagen en kunde spør. Arbeidet stopper ikke ved gap-revisjonen; det blir en del av løpende IT-drift og overvåking av bedriften.
De praktiske grunntiltakene bak kravene er de samme uansett frist: se cybersikkerhet for små bedrifter.
| Direkte omfattet | Indirekte via leverandørkjeden | |
|---|---|---|
| Hvem | Mellomstore/store virksomheter i de 18 sektorene | Mindre leverandører til en omfattet kunde |
| Størrelse | Minst 50 ansatte, eller omsetning eller balanse over 10 mill. euro | Under terskelen, men leverer noe vesentlig |
| Hva utløses | Lovpålagte krav, tilsyn, rapportering | Kundens krav: spørreskjema, dokumentasjon, kontroller |
| Sanksjoner | Overtredelsesgebyr + ledelsesansvar | Kan miste kontrakter ved manglende dokumentasjon |
Kravene
NIS2 (artikkel 21) krever konkrete risikostyringstiltak som omfattede virksomheter må ha på plass. Det er ikke et abstrakt papirkrav, men en liste over tiltak som skal kunne dokumenteres. De samme tiltakene er god praksis uansett om dere er direkte omfattet eller blir spurt av en kunde.
Risikoanalyse og sikkerhetspolicyer for informasjonssystemene.
Hendelseshåndtering med rutiner for å oppdage, varsle og rette opp.
Sikkerhetskopiering, kriseberedskap og kontinuitet etter en hendelse.
Sikkerhet i leverandørkjeden, inkludert krav til underleverandører.
Tilgangskontroll og bruk av flerfaktorautentisering.
Patche-rutiner, logg-oppbevaring og tilgangsgjennomgang for å holde systemene oppdatert.
NIS2 (artikkel 23) krever også hendelsesrapportering i flere trinn: tidlig varsel innen 24 timer, fullt hendelsesvarsel innen 72 timer, og en sluttrapport innen én måned etter hendelsesvarselet.
Ansvar
NIS2 innfører personlig ledelsesansvar og betydelige bøter. Det er en av de største forskjellene fra NIS1. Etter artikkel 20 skal ledelsesorganet i vesentlige og viktige virksomheter godkjenne risikostyringstiltakene, føre tilsyn med at de gjennomføres, og kan holdes ansvarlig for brudd. Ansvaret kan ikke delegeres bort.
På sanksjonssiden åpner NIS2 (artikkel 34) for administrative overtredelsesgebyrer på inntil 10 millioner euro eller 2 % av samlet global årsomsetning for vesentlige virksomheter, og inntil 7 millioner euro eller 1,4 % for viktige virksomheter. Det høyeste beløpet gjelder. For vesentlige virksomheter kan myndighetene også midlertidig nedlegge forbud mot at en person utøver lederfunksjoner. De endelige norske sanksjonsbestemmelsene fastsettes når NIS2 gjennomføres i norsk rett.
Forskjellen
NIS2 er en utvidelse av NIS1, ikke et helt nytt regime. Der NIS1 (gjennomført i Norge som digitalsikkerhetsloven fra 1. oktober 2025) dekket et smalere sett virksomheter, utvider NIS2 virkeområdet til 18 sektorer, innfører skillet mellom vesentlige og viktige virksomheter, og legger til personlig ledelsesansvar og strengere sanksjoner.
| NIS1 (digitalsikkerhetsloven, gjelder nå) | NIS2 (under arbeid) | |
|---|---|---|
| Omfang | Tilbydere av samfunnsviktige + digitale tjenester | 18 sektorer, vedlegg I og II |
| Kategorier | Ikke vesentlig/viktig-skille | Vesentlige og viktige virksomheter |
| Ledelsesansvar | Begrenset | Personlig ansvar for ledelsen (art. 20) |
| Sanksjoner | Lavere | Inntil 10 mill. euro / 2 % omsetning (art. 34) |
| Rapportering | Etter forskrift | 24t / 72t / 1 måned (art. 23) |
EUs medlemsstater måtte etter artikkel 3 nr. 3 opprette en liste over vesentlige og viktige virksomheter innen 17. april 2025. Norge får tilsvarende plikter når NIS2 innføres via EØS.
Slik det går
Den raskeste veien til å være forberedt er å ha dokumentasjonen klar før kunden spør. Da svarer dere på spørreskjemaer på timer, ikke uker, og taper ikke kontrakter på manglende papirer. Vi gjør dere klare i fire faser, og holder det levende etterpå.
Fase 1
Vi kartlegger bedriften mot anerkjente sikkerhetskontroller og forteller, i forståelig språk, hvor dere står og hva som mangler.
Fase 2
Skriftlige policyer, hendelseshåndtering, leverandørkontroll og risikoregister, tilpasset bedriften og signert av ledelsen.
Fase 3
Patche-rutiner, multifaktor, backup-verifisering, logg-oppbevaring og tilgangsgjennomgang, satt opp med verktøyene dere allerede har.
Fase 4
Månedlig oppfølging, hendelsesøvelse én gang i året, statusrapport til ledelsen. God digital sikkerhet er en løpende jobb, ikke en engangsleveranse.
Samarbeid
Vi leverer NIS2 sammen med Nordic Defence AS, en norsk cybersikkerhetspartner. De håndterer den tunge tekniske vurderingen og hendelsesrespons; vi drifter dokumentasjonen, opplæringen og månedlig kadens innenfor Unilab-abonnementet. Det gir dere fagtyngde på sikkerhet kombinert med en fast, forutsigbar driftsrytme.
Spørsmål
NIS2 gjelder direkte for mellomstore og større virksomheter i 18 samfunnsviktige sektorer (minst 50 ansatte, eller omsetning eller balanse over 10 mill. euro). Små bedrifter under terskelen er som hovedregel ikke direkte omfattet, men trekkes ofte inn indirekte hvis de leverer noe vesentlig til en omfattet kunde. Vi hjelper dere å lese situasjonen i klart språk, helt uforpliktende.
NIS2 er ikke satt i kraft i Norge ennå. Digitalsikkerhetsloven (som gjennomfører forløperen NIS1) gjelder fra 1. oktober 2025. NIS2 og CER-direktivet er ikke tatt inn i EØS-avtalen ennå, og arbeidet med norsk gjennomføring pågår. Vi følger utviklingen og sier fra i god tid hva det betyr for dere.
I praksis betyr det å ha den digitale sikkerheten i orden og kunne dokumentere den: risikooversikt, tilgangskontroll, backup, hendelseshåndtering og ryddige leverandørrutiner. Dette er god praksis uansett frister, og det er nettopp det vi setter opp og drifter for dere.
Nei. Kunder spør etter dokumentert sikkerhet allerede i dag, og grunnarbeidet er det samme uansett hvordan den endelige ordlyden blir. Å starte nå gir en rolig, gradvis oppbygging i stedet for et kappløp senere. Vi bærer arbeidet løpende, så dere holder dere forberedt.
Retningen er tydelig selv om datoene flytter seg: kravene til digital sikkerhet skjerpes. Vi følger med på utviklingen så dere slipper, og sier fra i god tid hva det betyr for bedriften deres.
Andre tillegg
Tillegg legger seg oppå et hvilket som helst nivå. De fleste starter med ett og legger til flere etter hvert som bedriften trenger det.
Klar?
Vi gir dere en gratis NIS2-vurdering: 20 minutter, klart språk, dere vet nøyaktig hvor dere står.