⚖️ Tips
Av · · 5 min lesing

NIS2-direktivet i Norge: Rammer det dere? (2025-guide)

NIS2-direktivet trådte i kraft i EU i 2024, og Norge implementerer nå sitt eget lovverk. Omfatter reglene din bedrift? Her er fakta om hvem som må etterleve, hva som kreves, og hvorfor selv bedrifter utenfor scope bør følge med.

Hva er NIS2-direktivet?

NIS2 (Network and Information Security Directive 2) er EUs oppfølger til det opprinnelige NIS-direktivet fra 2016. Der førsteutgaven primært rammet stor infrastruktur (energi, helse, transport), dekker NIS2 også mellomstore virksomheter i langt flere sektorer.

Direktivet stiller krav til:

  • Risikovurdering og sikkerhetstiltak
  • Hendelsesrapportering (innen 24 timer ved alvorlig sikkerhetshendelse)
  • Supply chain-sikkerhet (leverandørstyring)
  • Krisehåndtering og kontinuitetsplaner
  • Opplæring av ansatte

I Norge vil implementeringen trolig skje gjennom endringer i Sikkerhetsloven og etablering av egen NIS2-lov. Datatilsynet og Nasjonal sikkerhetsmyndighet (NSM) vil håndheve reglene, med NorCERT som teknisk responsmiljø.

Hvilke virksomheter omfattes?

NIS2 deler virksomheter i to kategorier: vesentlige (essential) og viktige (important). Kriteriene er:

  • Mer enn 50 ansatte
  • Omsetning over 10 millioner euro (ca. 120 millioner kroner)
  • Virker innen utpekte sektorer

Sektorene inkluderer energi, transport, helse, bank og finans, digital infrastruktur, offentlig forvaltning, avløp, romfart, post, kjemikalier, mat og drikkevann. Den fulle listen er omfattende, og norske myndigheter vil trolig tilpasse den til norske forhold.

Et viktig poeng: selv mindre leverandører til omfattede virksomheter kan bli pålagt lignende krav gjennom kontraktsvilkår. Supply chain-sikkerhet er en kjernedel av NIS2.

Hva kreves konkret?

La oss holde oss til det praktiske. Hvis bedriften din omfattes, forventes blant annet:

1. Risikovurdering
Kartlegg hvilke digitale systemer som er kritiske for drift. Hva skjer hvis e-post faller ut? Hvis kundedatabasen låses av ransomware? NIS2 krever en dokumentert analyse.

2. Sikkerhetstiltak
Basert på risikovurderingen: innfør tekniske og organisatoriske tiltak. Det betyr ikke nødvendigvis dyre enterprise-løsninger, men klar ansvarsfordeling, oppdatert programvare, backup-rutiner, MFA på kritiske tjenester.

3. Hendelsesrapportering
Alvorlige sikkerhetshendelser må meldes til NorCERT innen 24 timer. En foreløpig varsling, med påfølgende detaljer innen 72 timer og full rapport innen én måned. Dette gjelder hendelser som kan påvirke tjenestetilgjengelighet eller data.

4. Leverandørstyring
Hvis dere kjøper IT-tjenester eksternt (skylagring, CRM, support), må dere vurdere deres sikkerhetsnivå. NIS2 gjør dere ansvarlig for risiko i verdikjeden.

5. Opplæring
Ansatte må få grunnleggende cybersikkerhetstrening. Phishing er fortsatt den vanligste inngangsveien til nettverk.

Hva skjer hvis dere ikke etterlever?

EU-landene kan ilegge bøter på opptil 10 millioner euro eller 2 prosent av global omsetning (det høyeste). Norge vil trolig innføre lignende sanksjoner. Men den reelle risikoen er kanskje mer praktisk: tap av kunder, tapt tillit, forsikringskrav som avslås.

Mange bransjer ser allerede at store kunder krever NIS2-lignende dokumentasjon i anbudsprosesser, selv før lovverket er på plass.

Hva hvis dere ikke omfattes?

La oss si bedriften din har 30 ansatte og jobber med noe utenfor de listet sektorene. Trenger dere bry dere?

Kort svar: ja, litt.

NIS2 signaliserer en bransjestandard. Kunder, forsikringsselskaper og investorer vil gradvis forvente at også mindre aktører tar cybersikkerhet seriøst. Å innføre noen av de samme tiltakene frivillig gir konkurransefortrinn.

Tenk på det som ISO-sertifisering var for kvalitetsledelse på 2000-tallet. Først et krav for store, så en forventning for alle.

Ressurser og videre lesning

Norske myndigheter publiserer fortløpende veiledning:

NorCERT har også publisert en hendelsesrapporteringsmal som kan brukes som utgangspunkt, selv før loven trer i kraft.

Konkret første skritt

Du trenger ikke vente på lovtekst for å starte. Gjør dette nå:

Kartlegg digitale avhengigheter. Lag en enkel liste over systemer bedriften ikke kan fungere uten i mer enn 24 timer. E-post, CRM, nettside, backup, skylagring.

Test backupen. Når ble den sist testet? Ligger den fysisk adskilt fra produksjonsmiljø?

Aktiver MFA. Flerfaktorautentisering på e-post og admin-tilganger er lavthengende frukt.

Skann kritiske domener. Bruk verktøy som Sentinel CertScan for å sjekke SSL-status, eller MailScan for å se om e-postadresser har vært involvert i kjente lekkasjer. Det tar fem minutter.

NIS2 handler ikke om perfeksjon. Det handler om å vise at dere tar sikkerhet seriøst, har en plan, og vet hva dere skal gjøre når noe går galt. Det er fornuftig uansett lovkrav.

Relaterte artikler

🔐
Ransomware
Hvis ransomware rammer: Ikke betal, gjør dette i stedet
📱
Tips
Får du SMS-koder du ikke ba om? Slik fungerer SMS-pumping
📧
E-post
MTA-STS, TLS-RPT og BIMI: e-postens neste steg etter SPF/DKIM/DMARC
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn