Hva er NIS2?

NIS2 stiller strengere krav til sikkerhetstesting, risikohåndtering, hendelseshåndtering, leverandørkontroll og rapportering – og får et langt større nedslagsfelt enn det opprinnelige direktivet. 

Når NIS1 blir NIS2 

Digitaliseringen har skapt flere angrepsflater og et mer komplekst trusselbilde. Derfor innfører NIS2 en ny kategorisering av virksomheter – delt inn i vesentlige og viktige enheter. 

Hva med Norge som er medlem i EØS?

I Norge har Justis- og beredskapsdepartementet vurdert NIS2 som EØS-relevant, men direktivet er ennå ikke innlemmet i norsk lovgivning. 
Norge har imidlertid vedtatt en ny digitalsikkerhetslov som trådte i kraft 1. oktober 2025. Denne viderefører i hovedsak dagens NIS1-regelverk, men vil senere måtte oppdateres for å fullt ut gjennomføre NIS2-direktivet. 

Formålet med digitalsikkerhetsloven er å styrke beskyttelsen av virksomheters nettverks- og informasjonssystemer, slik at man bedre kan forebygge, oppdage og håndtere hendelser som kan true leveransen av samfunnsviktige eller digitale tjenester. 

Det betyr at NIS2 foreløpig ikke er gjeldende norsk lov, men forarbeidene er i gang. Norske virksomheter bør likevel starte forberedelsene nå – spesielt de som leverer tjenester til EU-land eller virksomheter som allerede er underlagt NIS2, siden kundekrav og leverandørforpliktelser vil skjerpes. 

Hvilke krav innebærer NIS2?

NIS2 krever aktiv risikohåndtering, beredskap og kontinuerlig forbedring av virksomheters cybersikkerhet. Følgende områder står sentralt: 

• Risikokartlegging: Identifiser trusler og sårbarheter, og vurder hvilke tiltak som må iverksettes. Kartlegg IT-miljøet, systemene og leverandørkjeden.
• Hendelseshåndtering: Etabler rutiner for håndtering, gjenoppretting og rapportering av hendelser. Sørg for opplæring i hele organisasjonen. 
  Sikkerhetstiltak: Implementer tekniske og organisatoriske tiltak for å beskytte nettverk, data og informasjonssystemer. 
• Rapportering: Alvorlige sikkerhetshendelser skal rapporteres til nasjonal cybersikkerhetsmyndighet innen fastsatte tidsfrister. 
  Leverandørsikkerhet: Sørg for at kravene videreføres til hele leverandørkjeden. 
• Samarbeid: NIS2 styrker samarbeidet mellom nasjonale myndigheter, sektorer og virksomheter for å dele informasjon om trusler og sårbarheter. 

Oppsummert stiller NIS2 strengere krav til risikohåndtering, dokumentasjon, samarbeid og rapportering, samt strengere sanksjoner ved manglende etterlevelse. 

Oppsummert stiller NIS2 strengere krav til risikohåndtering, sikkerhetstesting, samarbeid og rapportering. Direktivet inkluderer minimumskrav til sikkerhetstiltak, utvidede rapporteringsplikter, samt strengere sanksjoner for manglende overholdelse. 

Hva skjer hvis kravene ikke oppfylles? 

I EU kan sanksjoner være opptil 10 millioner euro eller 2 % av virksomhetens totale, globale årsinntekt, avhengig av hva som er høyest. Det forventes at lignende nivåer vil gjelde i Norge når NIS2 blir implementert. 
Manglende rapportering av alvorlige sikkerhetshendelser kan også føre til sanksjoner. Dersom virksomheten omfattes, er det derfor avgjørende å kunne dokumentere at regelverket følges – både internt og i leverandørkjeden. 

Vi kan hjelpe deg

Nordlo hjelper virksomheter med å kartlegge risiko, etablere strukturerte sikkerhetsrutiner og bygge robusthet i henhold til kravene som kommer med NIS2. 

Vi kan bistå med blant annet risikoanalyser, beredskapsplanlegging, implementering av sikkerhetstiltak og opplæring. Vi leverer også logginnsamlingssystemer som gjør at aktivitet blir lagret, slik at man raskere kan finne årsak ved en hendelse. Slike system vil også kunne reduserer tiden det tar å gjenopprette til normalen.

På den måten vil bedriften din være forberedt når lovverket trer i kraft. 

Usikker på hvor du skal begynne? Ta kontakt – vi hjelper deg å sikre virksomheten din for fremtiden.