Fyrvakt

NIS2 Art. 21(2)(a)

Risikoanalyse og informasjonssikkerhetspolicy

Hva krever direktivet?

NIS2 Artikkel 21(2)(a) krever at virksomheten har retningslinjer for risikoanalyse og en overordnet informasjonssikkerhetspolicy. Dette er fundamentet for all sikkerhetsstyring — uten en systematisk tilnærming til risiko bygger virksomheten tiltak i blinde. Policyen skal være godkjent av ledelsen og kommunisert til alle ansatte.

Hva betyr dette i praksis?

  • Ha en dokumentert informasjonssikkerhetspolicy som beskriver virksomhetens prinsipper og mål for sikkerhet.
  • Gjennomfør risikovurderinger regelmessig (minst årlig) og ved vesentlige endringer som nye systemer eller omorganisering.
  • Sørg for at ansvaret for informasjonssikkerhet er tydelig definert — både på ledelsesnivå og operativt.
  • Rapporter risikovurderinger og sikkerhetsstatus til ledelsen jevnlig, slik at beslutninger tas på informert grunnlag.

Spørsmål fra egenvurderingen

Her er noen av spørsmålene Fyrvakt bruker for å vurdere denne kategorien:

1.1 Har virksomheten en dokumentert informasjonssikkerhetspolicy?

En informasjonssikkerhetspolicy er et overordnet dokument som beskriver virksomhetens prinsipper og mål for informasjonssikkerhet. Den behøver ikke være lang, men bør være godkjent av ledelsen og kommunisert til ansatte. Uten dette mangler organisasjonen en felles retning for sikkerhetsarbeidet.

1.2 Gjennomfører dere regelmessige risikovurderinger av IT-systemer og data?

En risikovurdering identifiserer hvilke trusler og sårbarheter som finnes, og vurderer sannsynlighet og konsekvens. "Regelmessig" betyr minst årlig og ved vesentlige endringer (nye systemer, omorganisering, etc.). Mange bruker enkle verktøy som risikomatriser.

1.3 Er det tydelig definert hvem som har ansvar for informasjonssikkerhet i virksomheten?

NIS2 krever at ledelsen tar aktivt ansvar. Det bør være klart hvem som har det daglige ansvaret (f.eks. IT-leder, CISO, eller ekstern rådgiver) og at toppledelsen er involvert i beslutninger. Ansvaret bør være dokumentert, ikke bare "forstått".

1.4 Har dere en oversikt over virksomhetens viktigste informasjonsverdier og systemer?

Du kan ikke beskytte det du ikke vet om. En oversikt over kritiske systemer, databaser, og informasjonstyper (kundeinformasjon, helseopplysninger, driftsdata) er nødvendig for å prioritere sikkerhetstiltak riktig.

Fyrvakt

NIS2 egenvurdering for norske virksomheter

© 2026 Fyrvakt. Alle rettigheter forbeholdt.

Laget i Norge