Fyrvakt

Gjelder NIS2 for oss? Sjekkliste for norske bedrifter

9 min lesetid

NIS2 er EUs nye cybersikkerhetsdirektiv, og det vil snart gjelde i Norge. Men hvem er egentlig omfattet? Mange norske virksomheter er usikre — og det er forståelig. Regelverket er komplekst, kildene spriker, og det finnes ingen enkel «ja/nei»-knapp.

Denne guiden gir deg en praktisk gjennomgang av hvem NIS2 gjelder for, med en konkret sjekkliste du kan bruke for din egen virksomhet.

Viktig forbehold: NIS2-direktivet er ennå ikke formelt innlemmet i EØS-avtalen og gjelder ikke direkte i Norge per i dag. Norge har i dag digitalsikkerhetsloven (basert på det første NIS-direktivet), som trådte i kraft 1. oktober 2025. Norske myndigheter arbeider med å gjennomføre NIS2 i norsk rett, trolig i løpet av 2026, men endelig tidslinje og lovteknisk løsning er ikke bekreftet. Kravene i selve NIS2-direktivet er imidlertid kjent, og det er disse vi gjennomgår her.

Kort om NIS2 og Norge

NIS2 (Network and Information Security Directive 2) er et EU-direktiv som stiller krav til cybersikkerhet for virksomheter i samfunnsviktige sektorer. Direktivet ble vedtatt i EU i desember 2022 og erstatter det opprinnelige NIS-direktivet fra 2016.

Digitalsikkerhetsloven, som gjelder i Norge i dag, bygger på det første NIS-direktivet og dekker sektorer som energi, transport, bank, helse, vannforsyning og digital infrastruktur.

NIS2 utvider dette betydelig. Direktivet dekker flere sektorer, stiller strengere krav, og innfører tydeligere sanksjoner. En stortingsmelding foreslår en ny lov som gjennomfører både NIS2 og CER-direktivet (Critical Entities Resilience), og som på sikt vil erstatte digitalsikkerhetsloven. NSM (Nasjonal sikkerhetsmyndighet) vil ha en sentral rolle i tilsyn.

Selv om den endelige norske loven ikke er vedtatt ennå, er kravene i NIS2 kjent — og mange virksomheter bør forberede seg allerede nå.

To kriterier som avgjør om NIS2 gjelder deg direkte

NIS2 bruker en kombinasjon av to hovedkriterier for å bestemme hvem som er direkte omfattet: sektor og størrelse.

1. Sektor — er du i en omfattet bransje?

NIS2 deler sektorer i to kategorier. Denne inndelingen har direkte betydning for hvilke krav og hvilket tilsyn virksomheten møter.

Sektorer med høy kritikalitet (Annex I):

Energi (elektrisitet, olje, gass, hydrogen, fjernvarme), transport (luft, jernbane, sjø, vei), bank og finansmarkedsinfrastruktur, helse (helsetjenesteytere, EU-referanselaboratorier, visse legemiddelaktører og utvalgte kategorier av medisinsk utstyr), drikkevann, avløpsvann, digital infrastruktur (internettleverandører, skytjenester, datasentre, DNS-tjenester, domeneregistre), forvaltning av IKT-tjenester (managed service providers og managed security service providers, B2B), offentlig forvaltning og romvirksomhet.

Andre kritiske sektorer (Annex II):

Post- og kurertjenester, avfallshåndtering, produksjon og distribusjon av kjemikalier, matproduksjon og -distribusjon, produksjon (medisinsk utstyr, elektronikk, maskiner, motorvogner, transportmidler), digitale tjenester (nettbaserte markedsplasser, søkemotorer, sosiale nettverk) og forskning.

Merk: Dersom det finnes sektorspesifikk EU-lovgivning som stiller likeverdige eller strengere krav enn NIS2, går denne foran. For eksempel vil mange virksomheter i finanssektoren primært forholde seg til DORA-forordningen (Digital Operational Resilience Act).

2. Størrelse — er du stor nok?

NIS2 bygger på EUs definisjon av små og mellomstore bedrifter (SMB-definisjonen i Recommendation 2003/361/EC) for å avgrense hvem som er omfattet. Hovedregelen er at direktivet gjelder mellomstore og store virksomheter i de omfattede sektorene.

I praksis betyr det:

  • Mellomstore virksomheter: 50–249 ansatte, og årlig omsetning mellom €10M og €50M eller balansesum mellom €10M og €43M
  • Store virksomheter: 250+ ansatte, eller årlig omsetning over €50M, eller balansesum over €43M

Virksomheter med under 50 ansatte og under €10M i både omsetning og balansesum faller som hovedregel utenfor NIS2.

SMB-definisjonen tar hensyn til tilknyttede foretak og partnervirksomheter, så virksomheter som er del av et større konsern kan likevel overstige tersklene.

Unntak: Omfattet uavhengig av størrelse. Noen kategorier omfattes uansett størrelse, blant annet tilbydere av offentlige elektroniske kommunikasjonsnett og -tjenester, kvalifiserte tillitstjenester (eIDAS), toppdomeneregistre (TLD) og DNS-tjenesteytere. Medlemsstatene kan også utpeke andre virksomheter som har en nøkkelrolle for samfunnet — for eksempel eneleverandører av en kritisk tjeneste.

Hva bestemmer om du er «vesentlig» eller «viktig»?

Inndelingen i vesentlig (essential) og viktig (important) bestemmes av kombinasjonen av sektor og størrelse — ikke størrelse alene.

  • Vesentlige virksomheter: Store virksomheter (250+ ansatte / over tersklene) i Annex I-sektorer, pluss visse kategorier uavhengig av størrelse (som nevnt over)
  • Viktige virksomheter: Mellomstore virksomheter i Annex I-sektorer (med unntak av visse kategorier som er vesentlige uavhengig av størrelse), og både mellomstore og store virksomheter i Annex II-sektorer

Denne klassifiseringen har praktisk betydning: vesentlige virksomheter er underlagt proaktivt tilsyn fra myndighetene, mens viktige virksomheter kun følges opp reaktivt — altså når det foreligger indikasjoner på manglende etterlevelse.

Indirekte krav: Leverandørkjeden

Selv om din virksomhet ikke er direkte omfattet av NIS2, kan du bli påvirket gjennom leverandørkjeden. Det er viktig å forstå forskjellen mellom å være rettslig omfattet og å møte kommersielle krav.

NIS2 krever at virksomheter som er omfattet, vurderer og håndterer sikkerhetsrisiko hos sine leverandører og underleverandører. I praksis betyr det at NIS2-omfattede kunder kan stille krav til din sikkerhetspraksis gjennom kontrakter, anbud og leverandørvurderinger.

Hvis du leverer IT-tjenester, programvare, hosting, eller andre digitale tjenester til virksomheter i NIS2-sektorer, bør du forberede deg på at kundene vil etterspørre dokumentasjon av sikkerhetstiltak, hendelseshåndteringsrutiner, og kanskje sertifiseringer.

Dette gjør deg ikke juridisk underlagt NIS2, men kommersielt presset til å etterleve lignende krav. For mange norske SMBer er dette den mest relevante effekten av direktivet.

I tillegg hadde EU-landene frist til 17. oktober 2024 for å gjennomføre NIS2, men nasjonal implementering varierer fortsatt mellom medlemsstatene. Norske virksomheter med europeiske kunder kan allerede møte NIS2-baserte krav i sine forretningsforbindelser.

Sjekkliste: Gjelder NIS2 for din virksomhet?

Gå gjennom disse spørsmålene. De to første avgjør om du er direkte omfattet. De øvrige hjelper deg vurdere om du blir påvirket indirekte.

Er du direkte omfattet?

1. Er virksomheten i en av sektorene listet over? Sjekk både Annex I og Annex II. Husk at kategoriene er bredere enn du kanskje tror — «produksjon» dekker for eksempel alt fra elektronikk til maskiner og motorvogner.

2. Er virksomheten mellomstor eller stor? Minst 50 ansatte, eller overstiger de finansielle tersklene i SMB-definisjonen (se størrelsesavsnittet over). Husk at konsern- og partnertilknytning kan påvirke beregningen.

3. Leverer virksomheten tjenester som omfattes uavhengig av størrelse? DNS, TLD-registre, kvalifiserte tillitstjenester, offentlige elektroniske kommunikasjonsnett — disse har ingen nedre størrelsesgrense.

Blir du indirekte påvirket?

4. Leverer virksomheten IT-tjenester, hosting, eller programvare til virksomheter i NIS2-sektorer? Kundene dine kan stille sikkerhetskrav gjennom kontrakter og anbud.

5. Har virksomheten kunder eller samarbeidspartnere i EU? Mange EU-land har allerede gjennomført NIS2 og stiller krav til sine leverandørkjeder.

6. Er virksomheten tilbyder av digitale tjenester (nettbasert markedsplass, søkemotor, skytjeneste)? Sjekk om du faller inn under Annex I (digital infrastruktur) eller Annex II (digitale tjenester) — dette påvirker klassifiseringen.

Hva betyr det i praksis å være omfattet?

Hvis NIS2 gjelder for din virksomhet, innebærer det konkrete forpliktelser.

Sikkerhetstiltak. NIS2 Artikkel 21 definerer 10 kategorier av sikkerhetstiltak som alle omfattede virksomheter må implementere. Disse dekker alt fra risikoanalyse og hendelseshåndtering til forsyningskjedesikkerhet, kryptering og flerfaktor-autentisering.

Hendelsesrapportering med stramme frister. Ved en vesentlig hendelse krever NIS2 en trinnvis rapporteringsprosess: tidlig varsel til myndighetene innen 24 timer etter at virksomheten blir kjent med hendelsen, en oppdatert hendelsesmelding med foreløpig vurdering av alvorlighetsgrad og påvirkning innen 72 timer, og en sluttrapport med rotårsaksanalyse senest én måned etter hendelsesmeldingen. Dersom hendelsen fortsatt pågår på det tidspunktet, sendes en fremdriftsrapport, etterfulgt av sluttrapport innen én måned etter at hendelsen er håndtert.

Ledelsesansvar. NIS2 krever at styret og toppledelsen har kompetanse til å forstå cybersikkerhetsrisiko og aktivt godkjenner sikkerhetstiltak. Direktivet krever at medlemsstatene sikrer at ledelsesorganenes medlemmer kan holdes ansvarlige etter nasjonal rett for brudd på pliktene knyttet til cybersikkerhetsrisikostyring. Hvordan dette slår ut i praksis, avhenger av den norske gjennomføringen.

Sanksjoner. NIS2 krever at medlemsstatene innfører administrative bøter med øvre grense på minst €10M eller 2 % av global årsomsetning for vesentlige virksomheter, og minst €7M eller 1,4 % for viktige virksomheter. I Norge opererer digitalsikkerhetsforskriften (basert på NIS1) allerede med overtredelsesgebyr. Gebyret settes til det høyeste av 25 ganger folketrygdens grunnbeløp (~3,25 MNOK) eller 4 % av årlig omsetning, men kan uansett ikke overstige 50 millioner kroner. Det endelige norske sanksjonsregimet for NIS2 er ennå ikke fastsatt.

Hva bør du gjøre nå?

Uansett om du er sikker på at NIS2 gjelder deg, eller om du er i gråsonen, er det fornuftig å starte forberedelsene nå.

Kartlegg hvor du står. En gapanalyse mot NIS2 Artikkel 21 gir deg oversikt over hva du allerede har på plass og hvor de største manglene er. Du trenger ikke en konsulent til 500 000 kroner for å gjøre dette — en strukturert egenvurdering er en god start.

Involver ledelsen. NIS2 er ikke et IT-prosjekt — det er et ledelses- og styringsansvar. Styret og ledergruppen må forstå hva kravene innebærer og ta eierskap til sikkerhetstiltakene.

Ikke vent på den endelige norske loven. Kravene i NIS2 er kjent. Virksomheter som starter nå, slipper å stresse når loven trer i kraft — og de bygger reell sikkerhet i mellomtiden. Husk også at den norske gjennomføringen kan utvide virkeområdet sammenlignet med direktivet, for eksempel til flere offentlige virksomheter — så det kan være smart å forberede seg selv om du i dag er usikker på om du er omfattet.

Ofte stilte spørsmål

Gjelder NIS2 for virksomheter med under 50 ansatte?

Som hovedregel nei, forutsatt at virksomheten heller ikke overstiger €10M i omsetning eller balansesum. Men det finnes unntak for virksomheter som er eneleverandør av en kritisk tjeneste, eller som leverer visse typer digital infrastruktur (DNS, TLD-registre, tillitstjenester, offentlige kommunikasjonsnett). I tillegg kan kunder i NIS2-sektorer stille krav til deg gjennom leverandørkjeden — men det gjør deg ikke juridisk omfattet av direktivet.

Hva er forskjellen mellom digitalsikkerhetsloven og NIS2?

Digitalsikkerhetsloven (i kraft fra oktober 2025) bygger på det første NIS-direktivet og dekker færre sektorer med mindre detaljerte krav. NIS2 er en betydelig utvidelse med flere sektorer, strengere krav, tydeligere sanksjoner, og eksplisitt ledelsesansvar. En ny norsk lov basert på NIS2 er under utarbeidelse og forventes i løpet av 2026.

Når trer NIS2 i kraft i Norge?

NIS2 er ennå ikke formelt innlemmet i EØS-avtalen. Norske myndigheter arbeider med gjennomføring, og en ny lov som dekker både NIS2 og CER forventes i løpet av 2026, men endelig tidslinje er ikke offentlig bekreftet. Virksomheter bør forberede seg nå, da kravene allerede er kjent.

Kan min virksomhet bli bøtelagt?

Ja, dersom virksomheten er direkte omfattet og ikke etterlever kravene. Det norske sanksjonsregimet under digitalsikkerhetsloven gir allerede hjemmel for overtredelsesgebyr. Det endelige bøtenivået under NIS2-gjennomføringen i Norge er ennå ikke fastsatt, men direktivet setter høye minimumskrav til nasjonale øvre grenser.

Hva om vi allerede har ISO 27001?

ISO 27001 gir et godt grunnlag, da mange kontroller overlapper med NIS2-kravene. Men ISO 27001 alene er ikke tilstrekkelig — NIS2 har spesifikke krav til hendelsesrapportering med stramme frister, leverandørkjedesikkerhet, og ledelsesansvar som går utover standarden. Virksomheter med ISO 27001 vil likevel ha kortere vei til etterlevelse.

Fyrvakt

NIS2 egenvurdering for norske virksomheter

© 2026 Fyrvakt. Alle rettigheter forbeholdt.

Laget i Norge