NIS2 og skytjenester: Krav til skyleverandører uansett størrelse
Country Manager, Sweden
AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia
NIS2 og skytjenester: Krav til skyleverandører uansett størrelse
Skytjenesteleverandører er eksplisitt nevnt i NIS2 som leverandører av digital infrastruktur. Det betyr at skyleverandører er direkte omfattet av direktivet, uavhengig av om de selv opererer i en kritisk sektor. I tillegg vil skyleverandører møte krav gjennom sine kunder som er NIS2-virksomheter.
Ifølge Gartner vil over 85 % av virksomheter i NIS2-sektorer bruke skytjenester som del av sin kritiske infrastruktur innen 2026 (Gartner, 2024). Skysikkerhet er derfor ikke et nisjespørsmål, men en sentral del av NIS2-etterlevelsen for de aller fleste berørte virksomheter.
Nøkkelpunkter
- 85 % av NIS2-virksomheter vil bruke skytjenester i kritisk infrastruktur innen 2026 (Gartner, 2024)
- Skytjenesteleverandører er direkte omfattet av NIS2 under «digital infrastruktur»
- Kunder må stille sikkerhetskrav til skyleverandører gjennom kontrakter
- Delt ansvarsmodell (shared responsibility) krever tydelig ansvarsfordeling
Hvordan omfattes skyleverandører av NIS2?
NIS2 Anneks I lister «leverandører av skytjenester» under sektoren digital infrastruktur. Mellomstore og store skyleverandører (over 50 ansatte eller 10 millioner euro i omsetning) er direkte omfattet. I tillegg gir NIS2 artikkel 21(2)(d) kunder plikt til å vurdere skyleverandørens sikkerhet som del av leverandørkjeden (EU-kommisjonen, 2023).
Skyleverandører som vesentlige/viktige enheter
Store skyleverandører med over 250 ansatte klassifiseres som vesentlige enheter. Mellomstore skyleverandører er viktige enheter. De må oppfylle alle ti minimumskravene i NIS2 artikkel 21: risikostyring, hendelsesrapportering, kontinuitet, leverandørkjede og de øvrige kravene.
Spesialregel for ikke-EU-skyleverandører
Skyleverandører som ikke har hovedsete i EØS men tilbyr tjenester i EØS, skal utpeke en representant i et EØS-land og registrere seg der. For amerikanske hyperscalere (AWS, Azure, GCP) som opererer i Norge betyr dette at de er underlagt NIS2 gjennom sin europeiske tilstedeværelse.
Dobbel eksponering
Skyleverandører er både direkte NIS2-virksomheter og leverandører til NIS2-virksomheter. De møter krav fra begge sider: egne NIS2-forpliktelser og kundenes leverandørkjekrav.
Citatkapsel: Skyleverandører er direkte omfattet av NIS2 under «digital infrastruktur» og møter dobbel eksponering: egne NIS2-forpliktelser og kundenes leverandørkjekrav, ifølge EU-kommisjonens direktivtekst (EU-kommisjonen, 2023).
Hva bør NIS2-virksomheter kreve av sin skyleverandør?
En rapport fra Cloud Security Alliance (CSA) viser at 45 % av virksomheter ikke har gjennomført en sikkerhetsvurdering av sin skyleverandør de siste 12 månedene (CSA, 2024). Under NIS2 er dette ikke akseptabelt.
Delt ansvarsmodell
Skysikkerhet bygger på en delt ansvarsmodell. Skyleverandøren sikrer infrastrukturen, mens kunden sikrer sine data, applikasjoner og tilgangskontroll. NIS2 gjør det nødvendig å ha en klar og dokumentert forståelse av denne fordelingen.
For IaaS (Infrastructure as a Service): Leverandøren sikrer fysisk infrastruktur, nettverk og hypervisor. Kunden sikrer operativsystem, applikasjoner, data og identiteter.
For PaaS (Platform as a Service): Leverandøren tar større ansvar for operativsystem og runtime. Kunden sikrer applikasjoner og data.
For SaaS (Software as a Service): Leverandøren sikrer det meste. Kunden sikrer tilgangskontroll og datahåndtering.
Kontraktskrav
NIS2-virksomheter bør stille følgende krav til skyleverandører: SLA-er for sikkerhet med definerte responstider, hendelsesrapportering fra leverandør til kunde, revisjonsrettigheter eller tredjepartsrevisjonsrapporter (SOC 2), datalokaliseringskrav der relevant, kryptering av data i transit og i ro, og exit-strategi med dataportering.
Trenger dere eksperthjelp med nis2 og skytjenester?
Våre skyarkitekter hjelper dere med nis2 og skytjenester — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.
Hvilke sertifiseringer og rammeverk er relevante?
EU har utviklet en skysikkerhetssertifiseringsordning (EUCS) under Cybersecurity Act. ENISA koordinerer ordningen som forventes å bli gjeldende i sammenheng med NIS2 (ENISA, 2024). For norske virksomheter gir dette en referanseramme for å vurdere skyleverandører.
ISO 27001 og ISO 27017
ISO 27001 er standardsertifiseringen for informasjonssikkerhet. ISO 27017 er utvidelsen for skytjenester. Sammen gir de et godt grunnlag, men dekker ikke alle NIS2-spesifikke krav.
SOC 2
SOC 2-rapporter gir innsyn i skyleverandørens kontroller for sikkerhet, tilgjengelighet, integritet, konfidensialitet og personvern. SOC 2 Type II-rapporter som dekker en periode (typisk 12 måneder) gir mer verdi enn Type I-rapporter.
CSA STAR
Cloud Security Alliance STAR-programmet gir en skyspesifikk sertifisering. Tre nivåer: egenvurdering, tredjepartsrevisjon og kontinuerlig overvåking.
EUCS (EU Cloud Services Certification Scheme)
Den kommende EU-sertifiseringsordningen for skytjenester vil bli den mest relevante for NIS2-konteksten. Ordningen forventes å ha tre nivåer: basic, substantial og high.
[UNIQUE INSIGHT] Ingen enkelt sertifisering dekker alle NIS2-kravene for skytjenester. En virksomhet som stoler blindt på at skyleverandørens ISO 27001-sertifisering er tilstrekkelig, vil ha gap i sin NIS2-etterlevelse. Sertifiseringer er verdifulle som utgangspunkt, men de erstatter ikke en egen vurdering av de spesifikke risikoene i forholdet mellom din virksomhet og din skyleverandør.
Hvordan håndterer du multicloud under NIS2?
Ifølge Flexera bruker 87 % av virksomheter en multicloud-strategi (Flexera, 2024). For NIS2-virksomheter betyr dette at leverandørvurderingen må dekke alle skyleverandører, og at sikkerhetskontrollen må være konsistent på tvers.
Utfordringer med multicloud
Ulik terminologi og kontrollrammeverk mellom leverandørene. Ulike verktøy for overvåking, logging og tilgangskontroll. Ulike hendelsesrapporteringsprosesser. Risiko for konfigurasjonsfeil når team jobber på tvers av plattformer.
Anbefalinger
Etabler et felles sikkerhetsrammeverk som gjelder uavhengig av skyleverandør. Bruk skyuavhengige sikkerhetsverktøy der mulig. Sentraliser logging og overvåking. Dokumenter den delte ansvarsmodellen for hver leverandør separat.
[PERSONAL EXPERIENCE] I vårt arbeid med nordiske virksomheter som bruker multicloud, ser vi at den vanligste feilen er å anta at sikkerhetskonfigurasjon som fungerer i én sky, automatisk gjelder i en annen. Hver skyplattform har sine egne standardinnstillinger, og mange av dem er ikke sikre nok for NIS2-formål rett ut av boksen.
Ofte stilte spørsmål
Gjelder NIS2 for alle skyleverandører uansett størrelse?
Skyleverandører med under 50 ansatte og under 10 millioner euro i omsetning er i utgangspunktet unntatt fra direkte NIS2-forpliktelser. Men de kan likevel møte krav gjennom kontrakter med NIS2-kunder som er pålagt å sikre sin leverandørkjede.
Kan vi bruke en utenlandsk skyleverandør under NIS2?
Ja, men du må sikre at leverandøren oppfyller sikkerhetskravene. For skyleverandører uten EØS-tilstedeværelse kan det være vanskeligere å håndheve kontrakt- og revisjonsrettigheter. Vurder datalokaliseringskrav og juridisk jurisdiksjon.
Hva med serverless og edge computing?
Serverless og edge computing er varianter av skytjenester og omfattes av de samme kravene. Den delte ansvarsmodellen kan være annerledes (leverandøren tar typisk mer ansvar i serverless), men kunden har fortsatt ansvar for konfigurasjon, tilgangskontroll og data.
Må skyleverandøren rapportere hendelser til oss?
Under NIS2 har skyleverandøren plikt til å rapportere til sin tilsynsmyndighet. Rapportering til kunder reguleres gjennom kontrakten. Inkluder tydelige krav om hendelsesrapportering i skykontrakten.
Er Azure, AWS og GCP allerede NIS2-compliant?
De store hyperscalerne arbeider aktivt med NIS2-etterlevelse og har betydelige sikkerhetsressurser. Men NIS2-compliance handler ikke bare om leverandørens tiltak. Den delte ansvarsmodellen betyr at kunden også må gjøre sin del. En feilkonfigurert AWS-konto er ikke AWS sitt ansvar.
Viktige punkter om NIS2 skytjenester Krav til skyleverandører
Skytjenester er en integrert del av NIS2-etterlevelse for de fleste virksomheter. Forstå den delte ansvarsmodellen, still krav i kontrakter, gjennomfør regelmessige vurderinger og bruk relevante sertifiseringer som utgangspunkt. Husk at ingen sertifisering erstatter din egen risikovurdering av forholdet mellom virksomheten og skyleverandøren.
Meta description: 85 % av NIS2-virksomheter bruker skytjenester. Skyleverandører er direkte omfattet. Lær kravene til skyleverandører og skysikkerhet.
Om forfatteren
Country Manager, Sweden at Opsio
AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.