Da NIS2-direktivet rullet inn fra EU, skjøt det fart i diskusjonene hos norske bedrifter: Hva innebæ - Wyrdex
⚠️ Incident Response Hotline

Need Help Fast?

We offer 24/7 Incident Response Support.

Contact Us

Da NIS2-direktivet rullet inn fra EU, skjøt det fart i diskusjonene hos norske bedrifter: Hva innebæ

by | Nov 8, 2025 | Uncategorized | 0 comments

Da NIS2-direktivet rullet inn fra EU, skjøt det fart i diskusjonene hos norske bedrifter: Hva innebærer dette i praksis, egentlig? Og hvordan ser Nasjonal sikkerhetsmyndighet (NSM) egentlig på de nye spillereglene? Her får du ekspertintervju: Slik tolker NSM kravene i NIS2 – med ferske råd, relevante historier fra hverdagen og direkte kunnskap fra dem som faktisk styrer dette løpet. Er du sjef, ansvarlig for IT-sikkerhet, eller har du fått compliance i fanget, så lover jeg at her finner du perspektiver du ikke har sett før – pluss konkrete steg du faktisk kan bruke.

NIS2 – Hva er det, og hvorfor bryr vi oss?

NIS2-direktivet er på en måte EUs store “opprydning” på cybersikkerhetsfronten. Her gjelder det for både det offentlige og private som har en finger med i samfunnskritiske tjenester. Network and Information Security Directive 2 – ja, det er det NIS2 står for – handler rett og slett om å gjøre hele Europa mindre sårbart for hackere og digitale ulykker.

Helt kort:
NIS2 betyr at virksomheter må skjerpe rutinene rundt risiko, hendelser og dokumentasjon av tiltak. Den treffer alt fra strømleverandører og sykehus til banker, kollektivtransport og tech-folkene som driver digitale tjenester.

Hva er nytt med NIS2, sammenlignet med det gamle regimet (NIS1)?

  • Større nedslagsfelt: Flere bransjer og firmaer blir nå tatt med i fellesskapet.
  • Rett på sak med sanksjoner: Brudd kan svi – bøtene blir større.
  • Ledelsen får ikke lurt seg unna: Nå er det styret og toppledelsen som må stå til ansvar.
  • Mye strengere rapportering: Det skal varsles fortere og mer presist enn før.

Hvorfor er NIS2 plutselig helt avgjørende for norske virksomheter nå – i 2024 og 2025?

“Sikkerhet er ikke lengre bare en IT-greie. NIS2 trekker dette opp på ledernivå, og det preger alt – fra innkjøp til hverdagens rutiner,” slår en NSM-ekspert fast.

Ekspertintervju: Slik tolker NSM de nye NIS2-kravene

Vi fikk anledning til et ekspertintervju: Slik tolker NSM de nye reglene, med en erfaren rådgiver hos NSM (som helst vil være anonym), og her er hva vi lærte.

Hvem havner egentlig under NIS2-paraplyen i Norge?

NSM sier:
“NIS2 favner både store og mellomstore virksomheter – totalt 18 sektorer er listet opp. Alt fra energiselskaper og helsetjenester, til digitale markedsplasser. Som regel går grensa rundt 50 ansatte eller 10 millioner euro i årsomsetning, men det er noen unntak – særlig hvis virksomheten er kritisk for samfunnet.”

Hvilke bransjer bør følge ekstra godt med?

  • Energi og vann
  • Transport, logistikk
  • Helse og legemiddelaktører
  • Bank og finans
  • Offentlige virksomheter og de som holder det digitale hjulene i gang

For eksempel:
Dersom et mellomstort transportselskap driver sentral infrastruktur, må de nå følge de samme kravene som de store kjempene.

Hva krever NIS2 fra toppledelsen og styret nå?

NSM forklarer:
“Ledelsen har plutselig personlig ansvar for at reglene følges. Det holder ikke å dytte alt over på IT. Styret må forstå risiko, løfte frem sikkerhet og følge opp at tiltakene faktisk virker.”

Ledelsen må levere på tre ting:

  1. Forståelse: Styret må skjønne hvilke trusler og behov som gjelder.
  2. Oppfølging: Jevnlig sjekke rapporter og gjennomføre revisjoner.
  3. Beslutninger: De skal godkjenne strategier og beredskapsplaner.

Et lite tips på veien:
Hold egne styreseminarer om cybersikkerhet, helst hvert år. Det gir både kunnskap og viser at man faktisk bryr seg.

Slik kommer du i gang med NIS2 – praktiske steg

Det er lett å bli stressa av alt som må på plass – men her er en trinnvis guide inspirert av ekspertintervju: Slik tolker NSM de nye kravene for norske virksomheter:

1. Få oversikt over situasjonen

  • Hva driver dere som er samfunnskritisk?
  • Hvilke digitale verdier er det dere må beskytte med nebb og klør?
  • Hvor er dere mest sårbare akkurat nå?

2. Gjør en grundig risikovurdering

“Du bygger ikke et solid hus uten grunnmur, og her er risikovurdering selve fundamentet,” sier NSM-eksperten.

Hvordan gjør man dette?

  1. Finn ut hvilke trusler og svakheter som er relevante.
  2. Tenk gjennom hva som skjer hvis ulike ting går galt.
  3. Prioriter tiltakene – det viktigste først.

3. Skaff deg styringssystem for sikkerhet

  • Følg etablerte rammeverk – for eksempel ISO 27001 eller NSMs egne prinsipper.
  • Dokumentér alt dere gjør og følger opp.
  • Sørg for kontinuerlig forbedring, ikke bare en sjekkboks.

4. Bli bedre på hendelseshåndtering og rapportering

  • Lag rutiner som sikrer varsling innen 24 timer etter en hendelse.
  • Trén folkene dine til å oppdage og si fra om avvik.
  • Lag realistiske beredskapsplaner for ulike krisescenarioer.

5. Sikkerhet må opp på ledernivå

  • Sørg for at cybersikkerhet ikke er noe som bare står på agendaen til IT – det skal opp på toppledelsens bord.
  • Ha fast rapportering på sikkerhetshendelser og status.
  • Inkludér sikkerheten i alt fra forretningsstrategi til daglig drift.

De viktigste punktene i NIS2 – Slik ser NSM på kravene

Risiko og håndtering av hendelser

NSM sier:
“Det er ikke nok å finne den enkleste løsningen lenger. Bedriften må vise at den faktisk har vurdert sine egne risikoer, og at tiltakene er tilpasset det trusselbildet vi har akkurat nå.”

Hva slags tiltak ser vi i praksis?

  • Dele opp nettverket for å hindre at angrep sprer seg ukontrollert
  • Gjøre jevnlige tester og sjekke etter svakheter
  • Ha styring på hvem som får tilgang, for eksempel med tofaktorautentisering

Varslingsplikt og tidsfrister

NSM presiserer:
“Bedrifter må melde fra til rette myndighet senest 24 timer etter at de har oppdaget en alvorlig hendelse. Kommer ikke varselet i tide, kan det bli dyrt.”

Hvordan sender man inn rapport riktig?

  1. Forklar kort hva som har skjedd
  2. Si hvilke tiltak dere har satt i gang
  3. Følg opp med en mer detaljert rapport innen 72 timer

Sanksjoner og tilsyn – hva risikerer du om du ikke følger NIS2?

Nå har vi fått strengere kontroller og kraftigere bøter enn tidligere. NSM har fått flere fullmakter – de kan sjekke, pålegge endringer og faktisk straffe hardt.

Typiske sanksjoner

  • Bøter opp mot 10 millioner euro eller 2 % av den samlede omsetningen globalt
  • Krav om umiddelbare forbedringer
  • Risiko for at brudd på regelverket blir gjort offentlig kjent

Slik holder du deg unna problemer

  • Ta vare på dokumentasjon av alt dere gjør og vurderer
  • Ha full oversikt over hvem som har ansvar for hva
  • Oppdater rutiner jevnlig – ikke la noe støve ned

FAQ: Vanlige spørsmål om NIS2 og hvordan NSM tolker reglene

Hvem sitter egentlig med ansvaret for at NIS2 følges?

Styret og daglig leder har det siste ordet, mens IT og sikkerhetsfolkene har ansvar for det daglige.

Gjelder reglene bare for de største aktørene?

Nei, også mellomstore og noen små selskaper – hvis de driver med noe samfunnskritisk – omfattes.

Hva skiller NIS2 fra GDPR?

NIS2 handler om kritiske tjenester og digital infrastruktur. GDPR på sin side tar for seg personvern og hvordan man håndterer folks private data.

Må alle bruke ISO 27001?

Det er ikke et krav, men regnes som lurt. NSM sier ja til både ISO og andre godt kjente rammeverk – eller deres egne anbefalinger.

Hvor dyrt blir det å følge NIS2?

Det spenner veldig – for mange holder det med grunnleggende tiltak og litt opplæring, men er virksomheten stor, må du regne med større investeringer.

NIS2 nå versus det gamle regelverket – en lynrask sammenligning

Område NIS1 NIS2 (2024–2025)
Hvem gjelder det for Færre sektorer Mange flere sektorer
Lederansvar Indirekte Åpent og personlig
Sanksjoner Moderate Strenge, store bøter
Varslingsfrist 72 timer 24 timer (foreløpig)
Myndighetstilsyn Begrenset Mer omfattende
Dokumentasjon Mindre krav Mer grundig

Slik setter du fart på arbeidet med NIS2 – din handlingsplan

  1. Finn ut hvem som har ansvar for hva
  2. Sammenlign dagens praksis med NIS2-kravene
  3. Lag en plan for å lukke hull og svakheter
  4. Informer og skolér de ansatte
  5. Test beredskapsplanene – og gjør det jevnlig

Gode ressurser og steder å lese mer

Hva bør norske virksomheter gjøre nå – veien videre

NIS2 har satt en ny standard for digital sikkerhet her i landet. NSMs budskap er tydelig: Ledelsen må ta eierskap, risikoen skal håndteres, og hendelser må varsles raskt – og riktig. Hvis du vil unngå bøter og styrke bedriftens evne til å stå imot fremtidige trusler, bør du ta tak allerede nå.

“Det aller viktigste vi har tatt med oss fra vårt ekspertintervju: Slik tolker vi NIS2, er at sikkerhet kan ikke være noe man bare huker av – det må inn i kulturen,” oppsummerer NSM-eksperten.

Er du forberedt på de nye kravene?

  • Sjekk dagens rutiner og fordel ansvar på nytt
  • Sørg for at cybersikkerhet diskuteres på alle ledermøter
  • Be om råd fra NSM eller ta kontakt med eksterne eksperter

Ikke vent på første hendelse – styrk den digitale sikkerheten i din virksomhet og begynn arbeidet med NIS2 i dag!

Submit a Comment

Your email address will not be published. Required fields are marked *

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.