Fyrvakt

NIS2 Art. 21(2)(e)

Sikkerhet i anskaffelse, utvikling og vedlikehold av IKT

Hva krever direktivet?

NIS2 Artikkel 21(2)(e) krever at sikkerhet ivaretas gjennom hele livssyklusen til IKT-systemer — fra anskaffelse og utvikling til drift og avvikling. Dette inkluderer rutiner for sårbarhetshåndtering og -offentliggjøring. Sikkerhet skal vurderes fra start, ikke legges til etterpå.

Hva betyr dette i praksis?

  • Ha rutiner for å holde programvare og systemer oppdatert, med rask patching av kritiske sårbarheter.
  • Vurder sikkerhet som en del av anskaffelsesprosessen for nye IT-løsninger — bruk en sjekkliste.
  • Følg med på kjente sårbarheter (CVE-er) i systemene dere bruker, og ha en plan for å håndtere dem.
  • Sørg for sikker avvikling av systemer: slett data forsvarlig og fjern tilganger når systemer tas ut av drift.

Spørsmål fra egenvurderingen

Her er noen av spørsmålene Fyrvakt bruker for å vurdere denne kategorien:

5.1 Har dere rutiner for å holde programvare og systemer oppdatert (patching)?

Uoppdatert programvare er en av de vanligste angrepsvektorene. Patching bør skje regelmessig og raskt for kritiske sårbarheter. Automatisert der det er mulig.

5.2 Vurderes sikkerhet som en del av anskaffelsesprosessen for nye IT-løsninger?

Før dere kjøper eller implementerer nye systemer — spør: Hvordan håndterer leverandøren sikkerhet? Er det kryptering? Tilgangskontroll? Logging? Å velge sikre løsninger fra starten er billigere enn å fikse etterpå.

5.3 Hvis dere utvikler egen programvare — følger dere sikker utviklingspraksis?

For virksomheter som utvikler selv: Brukes kodegjennomgang, sikkerhetstesting, eller OWASP-retningslinjer? Mange SMBer bruker standardprodukter, og da er dette mindre relevant — men vurder plugins og tilpasninger.

5.4 Har dere en prosess for å fange opp og håndtere kjente sårbarheter i systemene deres?

Sårbarhetshåndtering betyr at dere aktivt følger med på om systemene deres har kjente svakheter (CVE-er), og har en plan for å fikse dem. Mange leverandører sender varsler — spørsmålet er om noen leser og handler på dem.

Fyrvakt

NIS2 egenvurdering for norske virksomheter

© 2026 Fyrvakt. Alle rettigheter forbeholdt.

Laget i Norge