NIS2

Hva er NIS2? En komplett guide for norske virksomheter

Lær alt om NIS2-direktivet og digitalsikkerhetsloven, hvilke organisasjoner som omfattes, vanlige fallgruver, og hvordan du forbereder deg.

K
Kim Borg
5 min lesing
  1. 18
    sektorer omfattes av NIS2, opp fra 7 i det opprinnelige NIS-direktivet
    EU-kommisjonen
  2. 24
    timer er tidsrammen for innledende hendelsesrapportering
    NIS2-direktivet Artikkel 23
  3. 10
    millioner euro eller 2% av global omsetning i maksimale bøter
    NIS2-direktivet Artikkel 34
Business leader and security advisor discussing NIS2 implementation

Hva er NIS2-direktivet?

NIS2 (Network and Information Security Directive 2) er EUs oppdaterte rammeverk for cybersikkerhet som erstatter det opprinnelige NIS-direktivet fra 2016. I Norge implementeres direktivet gjennom digitalsikkerhetsloven som trådte i kraft 17. oktober 2024.

Hensikten er å skape et høyere og mer enhetlig nivå av cybersikkerhet i hele EU — ikke gjennom å skape byråkrati, men ved å styrke organisasjoners faktiske motstandskraft mot cybertrusler.

Viktig å forstå: NIS2 handler ikke bare om compliance. Det er en mulighet til å styrke din organisasjons sikkerhet og troverdighet, både internt og eksternt. Organisasjoner som ser det som en kulturendring heller enn et engangsprosjekt vil lykkes best.

Omfattes din organisasjon?

Størrelseskrav

Generelt omfattes organisasjoner som oppfyller minst ett av følgende kriterier:

  • Minst 50 ansatte
  • Minst 50 millioner kroner i årlig omsetning

Sektorer med høy kritikalitet (vesentlige entiteter)

Disse omfattes av de strengeste kravene og hårdeste sanksjonene:

  • Energi — strøm, olje, gass, fjernvarme, hydrogen
  • Transport — luftfart, jernbane, vegtransport, sjøfart
  • Bankvirksomhet og finansmarkedsinfrastruktur
  • Helse- og omsorgstjenester — sykehus, laboratorier, legemidler
  • Drikkevann og avløpsvann
  • Digital infrastruktur — DNS, datasentre, skytjenester
  • IKT-tjenestehåndtering (B2B managed services)
  • Offentlig forvaltning på sentralt nivå
  • Rom — markbasert infrastruktur

Andre kritiske sektorer (viktige entiteter)

  • Post- og budtjenester
  • Avfallshåndtering
  • Kjemikalier
  • Matproduksjon og distribusjon
  • Produksjon (medisinsk utstyr, elektronikk, kjøretøy)
  • Digitale leverandører (markedsplasser, søkemotorer)

OBS: Visse kritiske tjenester — som DNS-leverandører, kvalifiserte tillitsskapende tjenester og TLD-registre — omfattes uavhengig av størrelse. Underleverandører kan også påvirkes indirekte gjennom kundekrav.

Usikker på om dere omfattes? Bruk vårt NIS2-klassifiseringsverktøy for å raskt få svar basert på deres virksomhet og størrelse.

Vanlige fallgruver å unngå

Mange organisasjoner gjør de samme feilene når de nærmer seg NIS2. Her er de vanligste fallgruvene:

Silobasert arbeid

Sikkerhet behandles som en ren IT-sak i stedet for en organisasjonsovergripende prioritet. NIS2 krever at hele virksomheten involveres.

Manglende ledelsesengasjement

Uten aktivt støtte fra styre og ledelse mangler mandat og ressurser. NIS2 stiller eksplisitte krav til ledelsens ansvar.

Ressursmangel og underprioritering

Sikkerhet ses som støttefunksjon i stedet for kjernevirksomhet. Det fører til utilstrekkelige investeringer og halvhjertede innsatser.

Personavhengighet

Alt for stort avhengighet av enkeltstående nøkkelpersoner skaper sårbarhet. Kunnskap og prosesser må dokumenteres og spres.

Grunnproblemet: Sikkerhet blir et engangsprosjekt i stedet for en langsiktig kultur- og organisasjonsendring.

Kom i gang — steg for steg

Å forberede seg på NIS2 behøver ikke være overveldende. Her er en pragmatisk femstegsmodell:

  1. GAP-analyse Kartlegg nåsituasjonen mot NIS2-kravene. Identifiser hull innen teknologi, prosesser, dokumentasjon og ansvarsfordeling. Dette gir et tydelig bilde av hva som må gjøres.
  2. Kunnskapsbygging Utdann ledelse, styre og nøkkelfunksjoner om direktivets krav og konsekvenser. Uten forståelse på riktig nivå blir det vanskelig å få mandat og ressurser.
  3. Strategisk planlegging Lag en strukturert årsplan med dokumentert oppfølging. Del opp arbeidet i håndterbare deler med tydelige milepæler og ansvarlige.
  4. Tverrfaglig arbeid Involve hele organisasjonen — IT, juridisk, HR, virksomhet. Utpek en ansvarlig men unngå å sentralisere alt hos en person eller avdeling.
  5. Risikobasert prioritering Begynn med de høyeste risikoene. Implementer løpende forbedringer basert på regelmessige risikovurderinger. Perfekt er fienden til godt nok.

“Reisen er målet” — Det viktigste er å begynne der du er og ta små skritt i riktig retning. NIS2-compliance er ikke et sluttmål men en kontinuerlig forbedringsproess.

Hendelsesrapportering — de nye tidskravene

NIS2 innfører betydelig strengere tidsfrister for rapportering av betydelige sikkerhetshendelser:

TidsfristRapportInnhold
24 timerTidlig varslingInnledende notifikasjon om at hendelse har inntruffet, foreløpig vurdering av grenseoverskridende effekter
72 timerHendelsesmeldingOppdatering med vurdering av alvorlighetsgrad, påvirkning og eventuelle kompromissindikatorer
1 månedSluttrapportFullstendig analyse med rotårsak, iverksatte tiltak og lærdommer

En hendelse regnes som “betydelig” hvis den har forårsaket eller kan forårsake alvorlige driftsforstyrrelser, økonomisk tap, eller påvirket andre gjennom materiell eller immateriell skade.

Sanksjoner og konsekvenser

NIS2 introduserer betydelig strengere sanksjoner:

Vesentlige entiteter: Opp til €10 millioner eller 2% av global årlig omsetning

Viktige entiteter: Opp til €7 millioner eller 1,4% av global årlig omsetning

Avhengig av hvilket beløp som er høyest

Utover bøter kan tilsynsmyndighetene:

  • Kreve offentliggjøring av overtredelser
  • Utgi offentlige uttalelser som identifiserer ansvarlige
  • I alvorlige tilfeller, utgi midlertidige forbud mot lederroller

Ønsker du å fordype deg? Les mer om NIS2-direktivets struktur og krav på vår ramverkside.

Slik kan Securapilot hjelpe

Securapilot tilbyr en komplett plattform for NIS2-compliance som gjør reisen håndterbar:

  • Automatisert GAP-analyse — kartlegg nåsituasjonen mot NIS2-kravene
  • Risikohåndteringsmodul — ISO 27005-basert risikovurdering
  • Hendelseshåndtering — automatisk rapportgenerering innen tidskravene
  • Leverandørhåndtering — sikkerhet i hele leverandørkjeden
  • Ledelsesdashboard — oversikt for styre og ledelse

Book en demo for å se hvordan vi kan hjelpe din organisasjon på reisen mot NIS2-compliance.

Ofte stilte spørsmål

Når trer NIS2 i kraft i Norge?

NIS2 implementeres i Norge gjennom digitalsikkerhetsloven som trådte i kraft 17. oktober 2024. Organisasjoner som omfattes bør allerede ha påbegynt sitt etterlevelsesarbeid.

Hvilke virksomheter omfattes av NIS2?

Generelt omfattes organisasjoner med minst 50 ansatte eller 50 millioner kroner i omsetning innen de 18 definerte sektorene. Visse kritiske tjenester omfattes uavhengig av størrelse. Også underleverandører kan påvirkes indirekte gjennom kundekrav.

Hva skjer hvis man ikke følger NIS2?

Vesentlige entiteter risikerer bøter opp til 10 millioner euro eller 2% av global årlig omsetning. Viktige entiteter risikerer opp til 7 millioner euro eller 1,4%. Ledelsen kan også holdes personlig ansvarlig.

Hvor lang tid tar det å bli NIS2-compliant?

Det varierer avhengig av nåværende modenhetsnivå, men regn med 6-18 måneder for en fullstendig implementering. Viktigst er å begynne der du er og ta små skritt i riktig retning — reisen er målet.

Påvirkes vi som underleverandør?

Ja, indirekte. NIS2 stiller krav til sikkerhet i leverandørkjeden, noe som innebærer at organisasjoner som omfattes vil stille sikkerhetskrav til sine leverandører. Selv om du ikke direkte omfattes kan du måtte oppfylle krav for å beholde kunder.

#NIS2#cybersikkerhet#compliance#EU-direktiv#informasjonssikkerhet#digitalsikkerhetsloven

Flere artikler

Vi bruker anonym statistikk uten informasjonskapsler for å forbedre nettstedet. Les mer