NIS2 direktiv: Hva det krever og hva dere bør gjøre

Kort sammendrag

Kort oppsummering:

  • NIS2 er et EU‑direktiv for cybersikkerhet som trådte i kraft i april 2025 — og det berører langt flere virksomheter enn forgjengeren.
  • Selv om selskapet deres ikke er direkte omfattet, kan kravene likevel gjelde gjennom leverandørkjeden.
  • Lederansvaret er nå personlig — og alvorlige sikkerhetshendelser må rapporteres til myndighetene innen 24 timer.
  • Å oppfylle NIS2‑kravene krever ikke enorme investeringer — gjort riktig kan det tvert imot bli et konkurransefortrinn.

Har dere sett begrepet NIS2 dukke opp i det siste og lurt på om det gjelder deres organisasjon — eller om det bare er nok et EU‑akronym dere trygt kan overlate til noen andre?

Spoiler: Det er sannsynligvis noe dere bør bry dere om. Den gode nyheten er at det ikke er så komplisert som det høres ut som.

Hva er egentlig NIS2?

NIS2 er EUs cybersikkerhetsdirektiv. Det erstatter forgjengeren, NIS1‑direktivet, og utvider omfanget betydelig. Men hva betyr dette i praksis? Her er en enkel måte å oppsummere det på:

NIS2 er EU‑lovgivning som regulerer informasjonssikkerhet på tvers av organisasjoner. Direktivet skal sikre at virksomheter opptrer ansvarlig når det gjelder cybersikkerhet i bred forstand.  Dette handler ikke bare om behandling av personopplysninger, som er GDPRs domene, men hele spekteret av informasjonssikkerhet.

Tenk på det slik: GDPR er en spesialist som fokuserer på persondata. NIS2 er et bredere rammeverk som dekker hele feltet informasjonssikkerhet — med GDPR som en utfyllende del for sitt spesifikke område.

Hvorfor skaper NIS2 så mye oppmerksomhet akkurat nå?

Én grunn: omfang.

Det opprinnelige NIS1‑direktivet gjaldt først og fremst den mest kritiske samfunnsinfrastrukturen — strømnett, vannforsyning, banker. Med NIS2 har omfanget blitt mangedoblet. Plutselig omfattes organisasjoner innen energi, helse, transport, matproduksjon, ulike industrisektorer, digitale tjenester og offentlig sektor.

Og når disse virksomhetene blir regulert, følger leverandørkjeden etter.

Dette er kanskje den viktigste praktiske konsekvensen av NIS2 for mange selskaper: kravet til leverandørkjeder. Virksomheter som er omfattet må sikre at deres underleverandører også oppfyller grunnleggende krav til cybersikkerhet. Dersom du leverer varer eller tjenester til en organisasjon som omfattes av NIS2, vil kunden kreve et visst nivå av cybersikkerhet — og dokumentasjon på det. Mangler du slik dokumentasjon, vil kontrakter sannsynligvis utebli.

Det betyr at NIS2 rekker langt lenger enn lovteksten umiddelbart tilsier.

Hvem gjelder NIS2 for?

Direktivet dekker primært middels og store organisasjoner i definerte sektorer — altså virksomheter med mer enn 50 ansatte eller over 10 millioner euro i omsetning. Mindre virksomheter kan også omfattes dersom de defineres som kritiske operatører. For nøyaktige definisjoner er Traficoms Cybersikkerhetssenter den offisielle kilden.

Nødvendige enheter :

  • Energi, transport, bank og finansmarkeder
  • Helse, drikkevann og avløp
  • Digital infrastruktur og IKT‑tjenester
  • Offentlig administrasjon, romfart

Viktige enheter :

  • Post- og budtjenester, avfallshåndtering
  • Kjemikalier, matproduksjon
  • Produksjon (elektronikk, maskineri, elektrisk utstyr)
  • Digitale tjenester og forskning

Og som nevnt — leverer dere til noen av disse virksomhetene, kan kravene gjelde dere indirekte.

Hva krever NIS2 i praksis?

Dette er gjerne punktet hvor noen ledere himler med øynene: «Enda et reguleringskaos.» Men det er gode nyheter: Å etterleve NIS2 er faktisk ikke rakettforskning. De fleste kravene kan bygges videre på eksisterende praksis — uten store økonomiske eller tidsmessige investeringer.

Samtidig gir et NIS2‑kompatibelt rammeverk for risiko- og informasjonssikkerhetsstyring reell verdi. I tillegg til å beskytte deres egne data og ansatte, beskytter dere også kundenes informasjon og verdier — og det blir stadig viktigere å kunne dokumentere dette.

I praksis krever direktivet blant annet:

Risiko- og informasjonssikkerhetsstyring. Virksomheten må ha en dokumentert forståelse av risiko og et rammeverk for å håndtere dem.

Lederansvar. Dette er en av de største endringene i NIS2: Toppledergruppen er personlig ansvarlig for etterlevelse — inkludert godkjenning av risikostyring og oppfølging av implementering.

Sikkerhet i leverandørkjeden. Dere har ikke bare ansvar for deres egen sikkerhet, men også for at viktige leverandører holder et tilfredsstillende sikkerhetsnivå.

Beredskap og kontinuitet. Backup, gjenoppretting og krisehåndtering kan ikke lenger være «checklist‑punkter» — de må være utprøvde og innarbeidede rutiner.

Hendelsesrapportering. Alvorlige sikkerhetshendelser skal rapporteres til myndighetene innen 24 timer etter oppdagelse, med en oppfølgingsrapport innen 72 timer og en sluttrapport innen én måned.

Opplæring og kompetanse. Organisasjonen må sikre tilstrekkelig cybersikkerhetskompetanse, spesielt for ledere og styret.

«Vi har god tid» — har dere egentlig det?

Dette er en holdning verdt å utfordre. Hvis dere tenker «vi har fortsatt 16 måneder, ingen hast», kan det bli en kostbar misforståelse.

Loven gjelder allerede. Rapporteringsplikten trådte i kraft i april 2025. Myndighetene banker kanskje ikke på døren i morgen — men cyberangrep venter ikke på invitasjon.

Ved et sikkerhetsbrudd vil tilsynsmyndighetene spørre: Har virksomheten opptrådt ansvarlig?Manglende dokumentasjon, mangel på ledelsesforankring eller kjente sårbarheter som ikke ble adressert, gir et helt annet inntrykk enn en virksomhet med ryddige prosesser og klare tiltak.

Det er som et innbrudd: Det er vanskelig å forklare hvorfor dere ikke fikset ytterdøra — når dere visste at låsen var ødelagt.

 

Hva om NIS2 ikke bare er en byrde, men en mulighet?

Det er verdt å se på dette regelverket ikke bare som et krav til etterlevelse, men som en mulighet til å skille seg ut fra konkurrentene — med tankesettet: «vi gjør dette ikke fordi vi må, men fordi det er riktig.»

Tenk på det. En virksomhet med en tydelig sikkerhetsstruktur, dokumentert risikostyring og evne til å vise at den følger regelverket, står sterkt i:

  • offentlige anbud, der NIS2‑krav i økende grad dukker opp i kontraktsvilkår
  • forhandlinger med større kunder, som gransker leverandørkjeden nøye
  • rekruttering, ettersom cybersikkerhet vokser raskt som kompetanseområde

Å oppfylle lovens minimumskrav er «grunnlinjen» for ansvarlig drift. På toppen av dette kan du bygge lag som beskytter virksomheten, menneskene dine og kundene dine — og formidle dette med trygghet.

 

Hvor bør dere starte?

Hvis NIS2 fortsatt føles uklart, eller du er usikker på om det gjelder deres virksomhet, anbefaler vi tre enkle første steg:

  1. Fastslå omfanget. Er virksomheten direkte regulert? Eller indirekte gjennom kunder og leverandørkjeder? Traficoms Cybersikkerhetssenter er et godt utgangspunkt — og Greenstep kan hjelpe dere raskt videre.
  2. Gjennomfør en modenhets- eller nåsituasjonsanalyse. Hvor står dere i dag? Hva er risikoene? Hvor er hullene? Analysen handler ikke om rapportering, men om å avdekke hva som må gjøres.
  3. Bygg et praktisk rammeverk. Dokumentasjon, risikostyring, rutiner for hendelseshåndtering, kompetanseheving -til sammen etablerer disse et rammeverk som faktisk fungerer i praksis, i stedet for å fremstå som ren dokumentasjon uten reell effekt.

Greensteps CIO‑team hjelper virksomheter med å bli NIS2‑klare på en praktisk, skalerbar og riktig dimensjonert måte. Å komme i gang er enkelt: Book en gratis 30‑minutters sparringsøkt, så går vi gjennom situasjonen deres og gir konkrete anbefalinger for neste steg.

Publisert

Er du usikker på om NIS2 gjelder for din virksomhet?

Book en 30-minutters sparringsøkt med en av våre eksperter for å finne ut av det!

Book et møte med oss!