NIS2 hendelsesrapportering: 24 timer, 72 timer, sluttrapport
Når en alvorlig cyberhendelse rammer virksomheten din, starter klokken. Under NIS2 har du 24 timer på å sende et første varsel til myndighetene — ikke en ferdig utredning, men en rask «håndsopprekking» som viser at du har oppdaget hendelsen og er i gang med å håndtere den. Deretter følger en oppdatering innen 72 timer og en fullstendig rapport innen én måned. Denne trinnvise modellen er i stor grad allerede gjeldende norsk rett gjennom digitalsikkerhetsforskriften, som trådte i kraft 1. oktober 2025 — selv om det er noen forskjeller i detaljer mellom NIS2 og dagens norske regelverk. Virksomheter som ikke har en innøvd varslingsrutine, risikerer å bryte tidsfrister som kan utløse sanksjoner — uavhengig av hvor godt de håndterer selve hendelsen.
Hvilke hendelser skal rapporteres?
Ikke alle sikkerhetshendelser utløser rapporteringsplikt. Artikkel 23 i NIS2 definerer en «vesentlig hendelse» (significant incident) som en hendelse som har forårsaket eller kan forårsake alvorlig driftsforstyrrelse av virksomhetens tjenester eller vesentlig økonomisk tap, eller som har rammet eller kan ramme andre personer ved å forårsake betydelig materiell eller immateriell skade.
I praksis betyr dette hendelser som ransomware-angrep som stanser driften, datainnbrudd som eksponerer personopplysninger, DDoS-angrep som gjør tjenester utilgjengelige over lengre tid, eller kompromittering av leverandørkjeden som påvirker kundene dine.
Et viktig prinsipp: Er du i tvil om hendelsen er alvorlig nok til å rapportere, bør du rapportere. NIS2 Artikkel 23(1) fastslår at det blotte forhold at virksomheten varsler, ikke i seg selv skal føre til økt ansvar. Bestemmelsen gir derimot ikke en generell immunitet for alle forhold som måtte avdekkes gjennom varslingen — den beskytter mot at selve handlingen å varsle brukes mot deg. Myndighetene foretrekker uansett ett varsel for mye fremfor ett for lite.
De fire trinnene i NIS2s rapporteringstidslinje
NIS2 Artikkel 23 stiller krav om en trinnvis rapportering med stigende detaljeringsgrad. Hvert trinn har sitt eget formål.
Trinn 1: Tidlig varsel — innen 24 timer
Det første varselet er ment som en rask melding om at noe har skjedd. Innen 24 timer etter at virksomheten ble klar over hendelsen, skal du sende et tidlig varsel til CSIRT (nasjonalt responsmiljø) eller tilsynsmyndigheten. Varselet skal angi om hendelsen mistenkes å skyldes ulovlige eller ondsinnede handlinger, og om den kan ha grenseoverskridende konsekvenser.
Dette er ikke en teknisk analyse. Det er en situasjonsmelding. Du trenger ikke vite årsaken, omfanget eller rotårsaken — du trenger bare å si «vi har oppdaget noe, og vi jobber med det.» Myndigheten skal etter mottak av varselet gi tilbakemelding innen 24 timer, inkludert eventuell veiledning om håndtering.
Trinn 2: Hendelsesmelding — innen 72 timer
Innen 72 timer etter at hendelsen ble oppdaget, skal du sende en oppdatert hendelsesmelding (incident notification). Denne skal bygge på det første varselet og inneholde en innledende vurdering av hendelsens alvorlighetsgrad og konsekvenser, samt kompromitteringsindikatorer (IoC-er) dersom disse er tilgjengelige.
Her forventes det at du har kommet lengre i analysen: Hvilke systemer er berørt? Hva er omfanget? Hvilke tiltak er iverksatt? Men det er fortsatt en foreløpig vurdering — ikke en endelig konklusjon.
Trinn 3: Mellomrapport — på forespørsel
CSIRT-en eller tilsynsmyndigheten kan når som helst be om en mellomrapport med oppdatert status. Denne plikten er ikke tidsstyrt, men forespørselsdrevet. Myndighetene bruker dette for å følge opp pågående hendelser som utvikler seg over tid.
Trinn 4: Sluttrapport — innen én måned
Etter NIS2 Artikkel 23(4)(d) skal virksomheten sende sluttrapport senest én måned etter at 72-timersmeldingen (trinn 2) ble sendt. Sluttrapporten skal inneholde en detaljert beskrivelse av hendelsen og dens alvorlighetsgrad, en sannsynlig rotårsak, hvilke tiltak som ble iverksatt for å håndtere og begrense hendelsen, og eventuelle grenseoverskridende konsekvenser.
Dersom hendelsen fortsatt pågår når fristen for sluttrapporten inntreffer, skal virksomheten i stedet levere en framdriftsrapport, og deretter en endelig sluttrapport innen én måned etter at hendelsen er ferdig håndtert.
Du skal også varsle kundene dine
Et viktig krav som ofte overses: Artikkel 23 pålegger virksomheter å varsle sine tjenestemottakere dersom de kan bli berørt av en vesentlig cybertrussel. Varselet skal inkludere hvilke tiltak mottakerne selv kan iverksette for å beskytte seg. I noen tilfeller kan myndighetene også kreve at virksomheten offentliggjør informasjon om hendelsen.
For en norsk SMB betyr dette at du bør ha forberedte maler — ikke bare for varsling til NSM, men også for kommunikasjon mot kunder, partnere og eventuelt media.
Hva gjelder i Norge i dag?
Digitalsikkerhetsforskriften, som trådte i kraft 1. oktober 2025, gjennomfører NIS1-direktivet i norsk rett, men har en varslingsstruktur som i stor grad ligner NIS2. Forskriften § 17 fastsetter følgende tidsfrister:
Første varsel skal sendes til tilsynsmyndigheten og NSM som nasjonalt kontaktpunkt senest innen 24 timer etter at virksomheten fikk kjennskap til hendelsen. Informasjonen i varselet skal oppdateres innen 72 timer. For tilbydere av samfunnsviktige tjenester følger det i tillegg en hendelsesrapport innen én måned.
Det er verdt å merke seg to forskjeller mellom dagens norske regelverk og NIS2s Artikkel 23. For det første: I NIS2 løper 1-månedsfristen fra 72-timersmeldingen, mens digitalsikkerhetsforskriften § 17 knytter fristen til det første varselet — noe som i praksis gir litt kortere tid. For det andre: NIS2 har en eksplisitt mekanisme for pågående hendelser der sluttrapporten erstattes av en framdriftsrapport; en tilsvarende bestemmelse finnes ikke uttrykkelig i § 17. I tillegg er 1-måneds hendelsesrapporten i forskriftens ordlyd knyttet til tilbydere av samfunnsviktige tjenester, og gjelder ikke nødvendigvis på samme måte for tilbydere av digitale tjenester.
En annen forskjell: NIS2 Artikkel 23(1) inneholder en uttrykkelig bestemmelse om at selve varslingen ikke skal øke virksomhetens ansvar. En tilsvarende eksplisitt bestemmelse finnes ikke i digitalsikkerhetsloven eller digitalsikkerhetsforskriften. Det betyr ikke at norske myndigheter vil straffe deg for å varsle — men den formelle tryggheten som NIS2 gir, er foreløpig ikke lovfestet i norsk rett.
NSM har publisert et eget varslingsskjema (PDF) som virksomheter skal bruke ved hendelser etter digitalsikkerhetsloven. Skjemaet sendes til beredskap@nsm.no. NSM fungerer som nasjonalt responsmiljø (CSIRT) og nasjonalt kontaktpunkt, og er tilgjengelig døgnkontinuerlig via Nasjonalt cybersikkerhetssenter (NCSC) på telefon 02497.
For sektorer med egne tilsynsmyndigheter — som energi (NVE), finans (Finanstilsynet) og elektronisk kommunikasjon (Nkom) — skal varselet også sendes til relevant sektormyndighet.
Terskelen for varsling er at hendelsen «virker betydelig inn på tjenesteleveransen». NSM har vært tydelige på at det skal være lav terskel for å varsle: Er du i tvil, skal du varsle.
Forbered deg før hendelsen inntreffer
De fleste virksomheter oppdager at de ikke er klare for 24-timersvarsling midt under en pågående hendelse — når stressnivået er høyest og tiden mest knapp. Nøkkelen er å forberede seg på forhånd.
Etabler en beredskapsplan for hendelseshåndtering som er dokumentert, testet og kjent for alle relevante ansatte. Definer på forhånd hvem som har myndighet til å avgjøre om en hendelse er varslingspliktig, hvem som utformer og sender varselet, og hvem som kommuniserer med kunder og eventuelt media. Lag ferdigutfylte maler for 24-timersvarselet, 72-timersoppdateringen og sluttrapporten — basert på NSMs varslingsskjema. Gjennomfør øvelser minst én gang i året der dere simulerer en hendelse og tester hele varslingskjeden fra deteksjon til sluttrapport.
Digitalsikkerhetsforskriften krever allerede at tilbydere av samfunnsviktige tjenester skal ha dokumenterte beredskapsplaner og gjennomføre øvelser. Selv om din virksomhet ikke er omfattet av dagens lov, er dette forventningene som kommer med NIS2.