NIS2 for kommuner og offentlig forvaltning i Norge
Country Manager, Sweden
AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia
NIS2 for kommuner og offentlig forvaltning i Norge
Offentlig forvaltning er en helt ny sektor under NIS2. Under NIS1 var offentlige virksomheter i stor grad unntatt. NIS2 endrer dette fundamentalt ved å inkludere statlig forvaltning, og potensielt kommuner, som vesentlige enheter. For Norges 356 kommuner og 11 fylkeskommuner reiser dette spørsmål om omfang, ansvar og ressurser.
Ifølge ENISAs trusselrapport stod offentlig forvaltning for 19 % av alle rapporterte cyberhendelser i Europa i 2024, den nest mest utsatte sektoren etter helse (ENISA, 2025). KS (kommunesektorens organisasjon) har advart om at mange norske kommuner mangler grunnleggende cybersikkerhetskompetanse (KS, 2024).
Nøkkelpunkter
- Offentlig forvaltning utgjorde 19 % av cyberhendelser i Europa i 2024 (ENISA, 2025)
- NIS2 inkluderer statlig forvaltning som vesentlig sektor, med unntak for forsvar, rettsvesen og sentralbanker
- Kommuner kan omfattes dersom de leverer tjenester i NIS2-sektorer som helse, vann eller avløp
- Ressursutfordringer er den største barrieren for kommunal NIS2-etterlevelse
Gjelder NIS2 for norske kommuner?
NIS2-direktivet gir medlemsstatene et visst handlingsrom for å avgjøre om kommuner og regional forvaltning inkluderes. Direktivet krever at sentral statsforvaltning omfattes, men kommunal sektor er opp til nasjonal vurdering. ENISA-statistikk viser at over 40 % av cyberangrep mot offentlig sektor i Europa retter seg mot kommunal sektor (ENISA, 2024).
Statlig forvaltning
Departementene, direktoratene og statlige etater vil sannsynligvis klassifiseres som vesentlige enheter. Unntak gjelder for forsvar, nasjonal sikkerhet, rettsvesen, parlamentet og sentralbanken. For resten av statlig forvaltning er kravene klare.
Kommuner og fylkeskommuner
Den norske digitalsikkerhetsloven avgjør om kommuner direkte omfattes. Det er to mulige utfall. Det ene er at kommuner omfattes direkte som offentlige forvaltningsenheter. Det andre er at kommuner omfattes indirekte gjennom sine tjenesteleveranser i NIS2-sektorer, for eksempel drikkevann, avløp, helse og utdanning.
Uavhengig av den formelle klassifiseringen, leverer kommuner tjenester som er kritiske for samfunnet. Vannforsyning, helsetjenester og skoler er avhengige av digital infrastruktur. Kommuner som ignorerer NIS2-kravene, risikerer å stå dårlig rustet mot reelle trusler.
Kommunale selskaper
Mange kommunale tjenester leveres gjennom kommunale selskaper (IKS, KF, AS). Disse selskapene kan være direkte omfattet av NIS2 dersom de opererer i en NIS2-sektor og oppfyller størrelseskriteriene. Et kommunalt vannverk eller energiselskap er et typisk eksempel.
Citatkapsel: Offentlig forvaltning stod for 19 % av alle rapporterte cyberhendelser i Europa i 2024 ifølge ENISA, og kommunal sektor var mål for over 40 % av angrepene mot offentlig sektor (ENISA, 2024).
Hva er de største utfordringene for kommunesektoren?
En undersøkelse fra KS viser at 62 % av norske kommuner vurderer sin cybersikkerhetskompetanse som utilstrekkelig (KS, 2024). Små kommuner mangler ofte dedikert IT-personell, langt mindre cybersikkerhetsspesialister. Ressursutfordringen er den dominerende barrieren.
Kompetansemangel
De fleste norske kommuner har ikke en dedikert CISO eller sikkerhetsansvarlig. IT-driften er ofte outsourcet til interkommunale IKT-selskaper eller private leverandører. Det skaper avhengigheter i leverandørkjeden og utfordringer med ansvarliggjøring.
Begrenset budsjett
Kommunebudsjettene er under press, og cybersikkerhet konkurrerer med helse, skole og infrastruktur om midlene. NIS2-etterlevelse krever investering i kompetanse, systemer og prosesser som mange kommuner ikke har budsjett for.
Mangfoldige systemer
Norske kommuner bruker et stort antall fagsystemer for alt fra barnevern og sosialtjenester til byggesak og vann. Mange av disse systemene er eldre, dårlig integrert og vanskelig å sikre. Angrepsflaten er stor.
[UNIQUE INSIGHT] Det norske kommunelandskapet med 356 kommuner av svært ulik størrelse skaper en særnorsk utfordring. Oslo har over 100 IT-ansatte, mens mange små kommuner deler én IT-person med nabokommunen. En lik tilnærming til NIS2-krav for alle kommuner vil ikke fungere. Forholdsmessighetsprinsippet i NIS2 gir rom for tilpasning, men veiledning fra myndighetene om hva som forventes av små kommuner, er helt nødvendig.
Trenger dere eksperthjelp med nis2 for kommuner og offentlig forvaltning i norge?
Våre skyarkitekter hjelper dere med nis2 for kommuner og offentlig forvaltning i norge — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.
Hvordan kan kommuner tilnærme seg NIS2?
Riksrevisjonen har påpekt at mange statlige virksomheter har vesentlige mangler i sin informasjonssikkerhet (Riksrevisjonen, 2024). Situasjonen er trolig ikke bedre i kommunal sektor. Men det finnes grep kommuner kan ta allerede nå.
Interkommunalt samarbeid
Kommuner bør samarbeide om cybersikkerhet. Interkommunale IKT-selskaper kan spille en nøkkelrolle ved å tilby felles sikkerhetsløsninger, kompetanse og hendelseshåndtering. Stordriftsfordeler er avgjørende for at små kommuner skal kunne etterleve NIS2-kravene.
NSMs grunnprinsipper som utgangspunkt
NSMs grunnprinsipper for IKT-sikkerhet er et godt utgangspunkt for kommuner som starter sikkerhetsarbeidet. De dekker mange av NIS2-kravene og er tilpasset norske forhold. Start med grunnprinsippene, og gjennomfør deretter en gap-analyse mot NIS2-tilleggskravene.
Prioritering basert på risiko
Ikke alle systemer er like kritiske. Kommuner bør prioritere basert på konsekvens for innbyggerne. Vannforsyning, helsetjenester og nødkommunikasjon bør sikres først. Administrative systemer kan komme i neste runde.
Sikkerhetskrav til leverandører
Mange kommuner er avhengige av eksterne leverandører for IT-drift og fagsystemer. Still sikkerhetskrav i anskaffelser og kontrakter. Bruk Difi/DFØs rammeavtaler der det er mulig, da disse allerede inkluderer sikkerhetskrav.
Hvilken rolle spiller KS og Statsforvalteren?
KS har en viktig rolle i å bistå kommuner med NIS2-forberedelser. KS har allerede publisert veiledere for informasjonssikkerhet i kommunal sektor og jobber med å utvikle ressurser tilpasset NIS2-kravene (KS, 2024).
Statsforvalteren kan potensielt få en rolle i tilsynet med kommunal sektor under digitalsikkerhetsloven. I dag fører Statsforvalteren tilsyn med kommunale tjenester innenfor blant annet helse og beredskap. En utvidelse til cybersikkerhet ville være en naturlig forlengelse.
Difi/Digitaliseringsdirektoratets rolle
Digitaliseringsdirektoratet har ansvar for å fremme god informasjonssikkerhet i offentlig sektor. Direktoratet tilbyr verktøy og veiledere som kommuner kan bruke i NIS2-forberedelsene, inkludert verktøy for risikovurdering og internkontroll.
[PERSONAL EXPERIENCE] I samarbeid med kommunale aktører i Skandinavia ser vi at interkommunalt samarbeid er den mest effektive tilnærmingen. Kommuner som samarbeider om cybersikkerhet gjennom felles IKT-selskaper, oppnår et sikkerhetsnivå som ville vært uoppnåelig for den enkelte kommune alene.
Ofte stilte spørsmål
Gjelder NIS2 for skoler og barnehager?
Skoler og barnehager er ikke direkte nevnt som NIS2-sektorer. Men dersom kommunen som helhet omfattes, kan skolenes IT-systemer falle inn under kommunens samlede NIS2-ansvar. Systemer som håndterer sensitive persondata, bør uansett sikres.
Må alle kommuner registrere seg?
Det avhenger av digitalsikkerhetslovens endelige utforming. Dersom kommuner omfattes direkte, vil registreringsplikt gjelde. Kommunale selskaper som opererer i NIS2-sektorer, kan ha egen registreringsplikt uavhengig av kommunens status.
Hva med samarbeid på tvers av kommuner?
Interkommunale selskaper (IKS) som leverer tjenester i NIS2-sektorer, kan selv være omfattet av NIS2. Samarbeid om cybersikkerhet gjennom slike selskaper kan både oppfylle NIS2-kravene og gi bedre sikkerhet per krone.
Kan kommuner bli bøtelagt under NIS2?
NIS2 åpner for sanksjoner mot offentlige virksomheter, men mange EU-land har valgt å unnta offentlig sektor fra bøter. Norges tilnærming er foreløpig ukjent. Selv uten bøter kan pålegg og offentlig kritikk fra tilsynsmyndigheten ha reelle konsekvenser.
Finnes det økonomisk støtte for kommuners NIS2-arbeid?
Det er foreløpig ikke etablert en egen støtteordning for kommuners NIS2-implementering. KS har tatt til orde for at staten bør bidra med midler, gitt at kravene er pålagt ovenfra. Følg med på budsjettforhandlingene.
Viktige punkter om NIS2 kommuner offentlig forvaltning Norge
Norske kommuner kan ikke ignorere NIS2, uansett om de formelt omfattes direkte eller indirekte. De leverer tjenester som er kritiske for innbyggerne, og trusselbildet er reelt. Den viktigste anbefalingen er å samarbeide. Interkommunalt samarbeid om cybersikkerhet, felles bruk av NSMs grunnprinsipper, og koordinerte anskaffelser gir langt bedre resultater enn at hver kommune jobber alene.
Start med det enkleste: bruk NSMs grunnprinsipper, kartlegg kritiske systemer, og still sikkerhetskrav til leverandører.
Meta description: Offentlig sektor stod for 19 % av cyberhendelser i Europa i 2024. Lær hva NIS2 betyr for norske kommuner, fylker og statlige etater.
Om forfatteren
Country Manager, Sweden at Opsio
AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.