Fyrvakt

Digitalsikkerhetsloven og NIS2: Hva er forskjellen?

9 min lesetid

Norske virksomheter som prøver å forstå cybersikkerhetsregelverket møter raskt en forvirrende situasjon: Digitalsikkerhetsloven trådte i kraft i oktober 2025, men samtidig snakker alle om NIS2. Er det samme lov? Erstatter den ene den andre? Hva gjelder egentlig nå — og hva kommer?

Forvirringen er forståelig. Denne guiden rydder opp.

Den korte versjonen

Digitalsikkerhetsloven er Norges gjeldende lov om cybersikkerhet for samfunnsviktige virksomheter. Den bygger på det første NIS-direktivet (NIS1) fra EU.

NIS2 er det nye, utvidede EU-direktivet som erstatter NIS1. NIS2 gjelder ennå ikke direkte i Norge, men vil bli gjennomført i norsk rett — enten gjennom en ny lov eller vesentlige endringer i digitalsikkerhetsloven.

Kort sagt: digitalsikkerhetsloven er det som gjelder i dag. NIS2 er det som kommer.

Tidslinje: Hvordan henger det sammen?

2016: EU vedtar det første NIS-direktivet (NIS1) — det første EU-regelverket for cybersikkerhet i samfunnsviktige sektorer.

Desember 2022: EU vedtar NIS2, som erstatter NIS1. Direktivet utvider virkeområdet betydelig, skjerper kravene, og innfører strengere sanksjoner.

Oktober 2024: EU-landene skulle ha gjennomført NIS2 i nasjonal rett innen 17. oktober 2024. Nasjonal implementering varierer fortsatt mellom medlemsstatene.

Oktober 2025: Digitalsikkerhetsloven trer i kraft i Norge. Den gjennomfører NIS1 i norsk rett, sammen med digitalsikkerhetsforskriften. NSM (Nasjonal sikkerhetsmyndighet) har en sentral koordinerende rolle, mens sektormyndigheter fører tilsyn innenfor sine respektive sektorer. Det er verdt å merke seg at forskriften allerede har hentet inn enkelte elementer fra NIS2 — blant annet på varsling, ledelsesforankring og leverandørkrav — så dagens norske regime er ikke et rent NIS1-minimumssystem.

2026 (forventet): Regjeringen forbereder gjennomføring av NIS2 og CER-direktivet (Critical Entities Resilience) i norsk rett. Hvorvidt dette blir en helt ny lov eller vesentlige endringer i eksisterende lovgivning, og når det vedtas, er ikke endelig avklart offentlig.

Et viktig poeng: Norge er altså ett steg bak EU. Mens EU-land allerede forholder seg til NIS2, gjelder fortsatt NIS1-basert lovgivning i Norge. Men veien til NIS2 er kort, og kravene er kjent.

Hva er likt?

Digitalsikkerhetsloven og NIS2 bygger på det samme grunnlaget. De viktigste likhetene:

Risikobasert tilnærming. Begge krever at virksomheter identifiserer risiko i sine nettverks- og informasjonssystemer og iverksetter tiltak basert på den risikoen.

Krav til sikkerhetstiltak. Begge stiller krav til tekniske og organisatoriske sikkerhetstiltak — styringssystem for sikkerhet, risikovurderinger, hendelseshåndtering, og driftskontinuitet.

Hendelsesrapportering. Begge krever at vesentlige sikkerhetshendelser rapporteres til myndighetene.

Tilsyn og sanksjoner. Begge gir myndighetene hjemmel for tilsyn og overtredelsesgebyr.

Tilsynsstruktur. Begge bygger på en modell med sektormyndigheter og NSM i en sentral, koordinerende rolle.

Virksomheter som allerede etterlever digitalsikkerhetsloven har altså et forsprang. Mange av prinsippene og kravene videreføres — de skjerpes og utvides under NIS2.

Hva er forskjellig?

Forskjellene er likevel betydelige. NIS2 er ikke en liten oppdatering — det er en vesentlig utvidelse, selv om norsk rett allerede har tatt inn enkelte NIS2-elementer.

Virkeområde: Langt flere virksomheter

Digitalsikkerhetsloven (NIS1): Gjelder tilbydere av samfunnsviktige tjenester i syv sektorer: energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur — pluss tilbydere av visse digitale tjenester. Det er i stor grad opp til myndighetene å identifisere hvilke virksomheter som omfattes.

NIS2: Utvider til 18 sektorer ved å legge til blant annet offentlig forvaltning, avløpsvann, avfallshåndtering, post- og kurertjenester, matproduksjon, kjemikalieproduksjon, romvirksomhet, forvaltning av IKT-tjenester, og produksjon av kritisk teknologi. NIS2 bruker klarere kriterier for hvem som er omfattet: alle virksomheter av en viss type og størrelse (generelt 50+ ansatte eller €10M+ i omsetning) i de omfattede sektorene.

Hva det betyr: Mange norske virksomheter som i dag ikke er omfattet av digitalsikkerhetsloven, vil bli det under NIS2. Spesielt produksjonsbedrifter, IT-tjenesteleverandører, og virksomheter i avfalls- og matvaresektoren bør forberede seg.

Sikkerhetskrav: Mer detaljert og forpliktende

Digitalsikkerhetsloven (NIS1): Krever at virksomheter treffer «nødvendige tekniske og organisatoriske tiltak» for å håndtere risiko. Loven er relativt overordnet, men digitalsikkerhetsforskriften og NSMs veiledning konkretiserer kravene noe — blant annet med krav til sikkerhetsstyringssystem, hendelseshåndtering, beredskapsplaner, og fysiske tiltak.

NIS2 Artikkel 21: Spesifiserer 10 konkrete kategorier av sikkerhetstiltak som alle omfattede virksomheter minst må implementere. Disse inkluderer krav til risikoanalyse, hendelseshåndtering, driftskontinuitet, forsyningskjedesikkerhet, sårbarhetshåndtering, kryptografi, tilgangskontroll, MFA, og opplæring. Tiltakene skal baseres på en «all-hazards»-tilnærming som også dekker fysiske trusler.

Hva det betyr: Under digitalsikkerhetsloven er det mye opp til virksomheten selv å definere «nødvendige tiltak». Under NIS2 er minimumskravene mer konkrete og etterprøvbare. Det gjør det tydeligere hva som forventes — men også vanskeligere å argumentere for at man har gjort «nok» uten å dekke alle 10 kategoriene.

Ledelsesansvar: Tydeligere og mer personlig

Digitalsikkerhetsloven (NIS1): Digitalsikkerhetsforskriften krever allerede at virksomhetens øverste leder godkjenner styringssystemet for sikkerhet, og at sikkerhet er forankret i ledelsen. Men kravene til ledelsens kompetanse og personlige ansvar er ikke like eksplisitte.

NIS2 Artikkel 20: Går vesentlig lenger: ledelsesorganet (styret/toppledelsen) skal godkjenne risikostyringstiltakene, føre aktivt tilsyn med implementeringen, og selv gjennomføre opplæring i cybersikkerhet. Medlemsstatene skal sikre at ledelsens medlemmer kan holdes personlig ansvarlige etter nasjonal rett for brudd på disse pliktene.

Hva det betyr: Ledelsesforankring er ikke nytt — men obligatorisk opplæring for styret og personlig ansvar ved forsømmelse er det. Styremedlemmer og toppledere må forstå cybersikkerhetsrisiko, ikke bare godkjenne et dokument.

Forsyningskjede: Mer detaljerte og spesifikke krav

Digitalsikkerhetsloven (NIS1): Digitalsikkerhetsforskriften krever allerede at tilbydere påser at leverandører utfører arbeid i tråd med sikkerhetskravene, og at tiltak gjøres gjeldende overfor leverandører gjennom avtale. Men kravene er overordnede.

NIS2 Artikkel 21(2)(d): Er vesentlig mer detaljert og spesifikk: virksomheter skal vurdere og håndtere sikkerhetsrisiko i hele forsyningskjeden, inkludert sikkerhetskrav ved anskaffelse av IKT-tjenester og -produkter, og vurdering av leverandørenes sikkerhetspraksis og produktkvalitet.

Hva det betyr: Virksomheter som er omfattet, må stille sikkerhetskrav til sine leverandører. Dette har en dominoeffekt: selv virksomheter som ikke er direkte omfattet av NIS2 kan møte krav gjennom sine kunder i NIS2-sektorer.

Hendelsesrapportering: Formalisert i direktivet

Digitalsikkerhetsloven (NIS1): Krever varsling av hendelser som «virker betydelig inn på tjenesteleveransen.» Selve loven spesifiserer ikke tidsfrister, men digitalsikkerhetsforskriften fastsetter allerede varsling innen 24 timer, oppdatering innen 72 timer, og sluttrapport innen én måned — altså frister som i praksis speiler NIS2.

NIS2 Artikkel 23: Kodifiserer den trinnvis rapporteringsprosessen direkte i direktivteksten med stramme frister: tidlig varsel innen 24 timer etter at virksomheten blir kjent med en vesentlig hendelse, oppdatert hendelsesmelding med foreløpig vurdering innen 72 timer, og sluttrapport innen én måned etter 72-timersmeldingen.

Hva det betyr: For virksomheter som allerede er omfattet av digitalsikkerhetsloven, er forskjellen i rapporteringsfrister i praksis liten — forskriften har allerede implementert tilsvarende tidslinjer. For virksomheter i nye NIS2-sektorer som ikke tidligere har hatt rapporteringsplikt, er dette derimot en vesentlig ny forpliktelse.

Sanksjoner: Betydelig skjerpet

Digitalsikkerhetsloven (NIS1): Overtredelsesgebyr beregnes som det høyeste av 25 ganger folketrygdens grunnbeløp (~3,25 MNOK) eller 4 % av årlig omsetning — begrenset oppad til 50 millioner kroner.

NIS2: Krever at medlemsstatene innfører bøter med øvre grense på minst €10M eller 2 % av global årsomsetning for vesentlige virksomheter, og minst €7M eller 1,4 % for viktige virksomheter. Det endelige norske bøtenivået under NIS2-gjennomføringen er ennå ikke fastsatt, men det er grunn til å forvente en oppjustering.

Hva det betyr: Kostnadene ved manglende etterlevelse øker. For større virksomheter kan bøtene bli betydelige.

Klassifisering: Tydeligere inndeling

Digitalsikkerhetsloven (NIS1): Skiller mellom «tilbydere av samfunnsviktige tjenester» og «tilbydere av digitale tjenester» — men det er i stor grad opp til myndighetene å identifisere hvem.

NIS2: Innfører to klare kategorier: vesentlige (essential) og viktige (important) virksomheter, basert på kombinasjonen av sektor og størrelse. Vesentlige virksomheter er underlagt proaktivt tilsyn, mens viktige virksomheter kun følges opp reaktivt.

Hva det betyr: Det blir tydeligere hvem som er omfattet og hva som forventes. Mindre rom for tolkning — men også mindre rom for å falle mellom stolene.

Hva betyr dette for norske virksomheter?

Hvis du allerede er omfattet av digitalsikkerhetsloven

Du har et godt utgangspunkt — bedre enn du kanskje tror, siden digitalsikkerhetsforskriften allerede har hentet inn flere NIS2-elementer. Men du bør gjøre en gapanalyse mot NIS2 Artikkel 21 for å identifisere det som er genuint nytt — spesielt de mer detaljerte kravene til forsyningskjedesikkerhet, obligatorisk ledelsestrening, og den utvidede listen av sikkerhetskategorier.

Hvis du er i en av de nye NIS2-sektorene

Forbered deg nå. Sektorer som avfallshåndtering, matproduksjon, post og kurertjenester, IKT-tjenesteforvaltning, og produksjon har ikke tidligere vært regulert under digitalsikkerhetsloven. Overgangen fra «ingen krav» til «NIS2-nivå» er større enn for virksomheter som allerede er regulert.

Hvis du er leverandør til omfattede virksomheter

Selv om du ikke er direkte omfattet, bør du forberede deg på at kunder i NIS2-sektorer vil stille krav. Dokumenter sikkerhetspraksisen din, ha en hendelseshåndteringsplan, og vær forberedt på leverandørvurderinger og sikkerhetskrav i kontrakter.

Hvis du er usikker

Den norske gjennomføringen kan utvide virkeområdet sammenlignet med direktivet — regjeringen har uttalt at dette skal utredes. Det betyr at det kan bli flere virksomheter som omfattes i Norge enn direktivets minimum. Å forberede seg nå er en forsikring uansett utfall.

Ofte stilte spørsmål

Gjelder digitalsikkerhetsloven eller NIS2 for oss nå?

Per i dag gjelder digitalsikkerhetsloven (basert på NIS1). NIS2 er ennå ikke gjennomført i norsk rett. Men kravene i NIS2 er kjent, og virksomheter bør forberede seg på overgangen.

Vil digitalsikkerhetsloven bli opphevet?

Regjeringen forbereder gjennomføring av NIS2 og CER-direktivet i norsk rett, noe som vil innebære vesentlige endringer i eller erstatning av digitalsikkerhetsloven. Tidspunktet er ikke bekreftet, men gjennomføring forventes i løpet av 2026.

Kan vi vente med å forberede oss til den nye loven er vedtatt?

Det er mulig, men ikke anbefalt. NIS2-kravene er kjent og stabile — de 10 sikkerhetskategoriene i Artikkel 21 utgjør minimumsstandarden. Virksomheter som starter nå, unngår tidsklemma når loven trer i kraft, og bygger reell sikkerhet i mellomtiden.

Vi har ISO 27001 — dekker det NIS2?

ISO 27001 gir et solid grunnlag og overlapper med mange NIS2-krav. Men NIS2 har spesifikke krav som går utover standarden, særlig knyttet til hendelsesrapportering med stramme frister, forsyningskjedesikkerhet, og eksplisitt ledelsesansvar. Virksomheter med ISO 27001 har kortere vei til etterlevelse, men bør gjøre en gapanalyse for å identifisere det som mangler.

Hva med DORA?

DORA (Digital Operational Resilience Act) gjelder spesifikt for finanssektoren. NIS2 Artikkel 4 etablerer et lex specialis-prinsipp: der sektorspesifikk lovgivning stiller likeverdige eller strengere krav, går denne foran. DORA fortrenger NIS2 på de områdene der de overlapper — særlig IKT-risikostyring, hendelsesrapportering og resiliensetesting. Men NIS2 kan fortsatt være relevant for aspekter som DORA ikke spesifikt dekker, og i konsernstrukturer der ulike deler av virksomheten faller under ulike regelverk.

Fyrvakt

NIS2 egenvurdering for norske virksomheter

© 2026 Fyrvakt. Alle rettigheter forbeholdt.

Laget i Norge