Opsio - Cloud and AI Solutions
5 min read· 1,232 words

Penetrasjonstesting for NIS2-samsvar: En praktisk guide

Publisert: ·Oppdatert: ·Gjennomgått av Opsios ingeniørteam
Johan Carlsson
Johan Carlsson

Country Manager, Sweden

AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia

Mange norske virksomheter har allerede begynt å kartlegge hvilke krav NIS2-direktivet stiller til dem. Det som ofte overrasker er at direktivet ikke bare handler om styringssystemer og policy-dokumenter – det krever også at organisasjoner kan demonstrere teknisk robusthet gjennom aktiv testing. Penetrasjonstesting er et av de mest sentrale verktøyene for å oppfylle dette kravet, og det er langt mer enn en engangsøvelse. Denne artikkelen gir en teknisk og forretningsmessig gjennomgang av hva NIS2 faktisk krever, hvordan penetrasjonstesting passer inn, og hvilke fallgruver du bør unngå.

Hva er NIS2, og hvilke krav stilles til sikkerhetstesting?

NIS2 (Network and Information Security Directive 2) er EUs reviderte direktiv for cybersikkerhet, som erstatter det opprinnelige NIS-direktivet fra 2016. Direktivet utvider omfanget betydelig – det dekker nå over 18 sektorer og gjelder både essensielle og viktige virksomheter. I Norge implementeres direktivet gjennom nasjonal lovgivning, med Nasjonal sikkerhetsmyndighet (NSM) og Datatilsynet som sentrale tilsynsorganer.

Artikkel 21 i NIS2 er særlig relevant for teknisk sikkerhetstesting. Den pålegger virksomheter å iverksette passende og forholdsmessige tekniske tiltak, inkludert:

  • Risikovurderinger og sikkerhetspolicyer for informasjonssystemer
  • Håndtering av sikkerhetshendelser og kontinuitetsplanlegging
  • Sikkerhet i forsyningskjeden og hos tredjepartsleverandører
  • Testing og vurdering av effektiviteten til sikkerhetstiltak
  • Bruk av kryptografi og tilgangskontroll

Kravet om å teste og vurdere effektiviteten av sikkerhetstiltak er det som åpner porten for penetrasjonstesting som et dokumentasjonskrav – ikke bare som god praksis. Virksomheter som ikke kan fremvise resultater fra strukturert sikkerhetstesting, risikerer å ikke bestå tilsyn fra NSM eller relevante sektortilsyn.

Penetrasjonstesting: Metoder og omfang tilpasset NIS2

Penetrasjonstesting er en kontrollert og autorisert simulering av angrep mot en virksomhets systemer, nettverk eller applikasjoner. Formålet er å avdekke sårbarheter før reelle angripere gjør det. For NIS2-samsvar er det viktig å forstå at ikke alle typer penetrasjonstesting er likeverdige – valg av metode og omfang må gjenspeile virksomhetens risikoeksponering.

De vanligste metodene kan deles inn slik:

Metode Beskrivelse NIS2-relevans
Black-box testing Testeren har ingen forhåndskunnskap om systemet – simulerer en ekstern angriper God for å teste eksponert angrepsflate
Grey-box testing Begrenset informasjon gis til testeren – simulerer en innsidetrussel eller kompromittert konto Mest kostnadseffektiv for NIS2-dokumentasjon
White-box testing Full tilgang til kildekode, arkitektur og dokumentasjon Egnet for dyptgående revisjon av kritisk infrastruktur
Red team-øvelser Simulerer avanserte vedvarende trusler (APT) over lengre tid Anbefalt for essensielle virksomheter med høy risikoprofil
Automatisert sårbarhetsskanning Verktøydrevet gjennomgang uten manuell utnyttelse Supplement – ikke tilstrekkelig alene for NIS2

For virksomheter som drifter skyinfrastruktur på AWS, Azure eller Google Cloud, bør penetrasjonstestingen eksplisitt dekke konfigurasjonsfeil i skyplattformen – ikke bare tradisjonell nettverksperimeter. Verktøy som AWS GuardDuty og Microsoft Sentinel kan gi kontinuerlig trusseletterretning, men de erstatter ikke en strukturert penetrasjonstest.

Gratis eksperthjelp

Trenger dere eksperthjelp med penetrasjonstesting for nis2-samsvar: en praktisk guide?

Våre skyarkitekter hjelper dere med penetrasjonstesting for nis2-samsvar: en praktisk guide — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.

Solution ArchitectAI-spesialistSikkerhetsekspertDevOps-ingeniør
50+ sertifiserte ingeniørerAWS Advanced Partner24/7 support
Helt gratis — ingen forpliktelseSvar innen 24t

Skysikkerhet og penetrasjonstesting: Særlige hensyn

En stor andel av norske virksomheter som faller inn under NIS2 drifter hele eller deler av sin infrastruktur i skyen. Dette skaper spesifikke utfordringer for penetrasjonstesting, siden ansvarsdeling mellom skyleverandør og kunde – den såkalte shared responsibility model – definerer klart hva som er testbart og hva som er leverandørens ansvar.

Typiske angrepsvektorer i skyinfrastruktur som bør testes inkluderer:

  • Feilkonfigurerte IAM-roller og overdrevne tilganger (privilege escalation)
  • Offentlig eksponerte S3-bøtter eller tilsvarende objektlagring
  • Usikrede Kubernetes-klynger uten RBAC-policies – særlig relevant for CKA/CKAD-drevne miljøer
  • Manglende nettverkssegmentering mellom workloads i containeriserte miljøer
  • Svakheter i infrastruktur-som-kode, for eksempel Terraform-konfigurasjoner med hardkodede hemmeligheter
  • Sikkerhetskopieringsprosedyrer – for eksempel om Velero-backups er kryptert og tilgangsbeskyttet

Det er også viktig å merke seg at AWS, Microsoft Azure og Google Cloud alle har egne regler for penetrasjonstesting mot deres plattformer. Testing må varsles i henhold til skyleverandørens retningslinjer, og visse typer tester – som DDoS-simulering – krever eksplisitt forhåndsgodkjenning. Manglende varsling kan resultere i suspensjon av kontoer, noe som igjen kan utgjøre en driftshendelse med rapporteringsplikt under NIS2.

Evalueringskriterier: Slik velger du riktig testleverandør

Markedet for penetrasjonstesting er fragmentert, og kvaliteten varierer betydelig. For NIS2-formål er dokumentasjonskvaliteten like viktig som selve testingen – tilsynsmyndigheter som NSM forventer strukturerte rapporter som tydelig kobler funn til risikonivåer og anbefalte tiltak.

Nøkkelkriterier ved valg av leverandør:

  • Sertifiseringer: Se etter OSCP (Offensive Security Certified Professional), CREST-akkreditering eller tilsvarende anerkjente kvalifikasjoner
  • Skyerfaring: Leverandøren bør ha dokumentert erfaring med testing av AWS-, Azure- og GCP-miljøer, ikke bare tradisjonell nettverksinfrastruktur
  • Rapporteringsstandard: Rapporten bør følge anerkjente rammeverk som PTES (Penetration Testing Execution Standard) eller OWASP Testing Guide
  • Remedieringsbistand: En god leverandør stopper ikke ved rapporten – de hjelper til med å lukke sårbarhetene som avdekkes
  • Forståelse av NIS2-kontekst: Testeren bør kunne koble tekniske funn til NIS2 artikkel 21 og relevante sektorkrav
  • Konfidensialitetsavtaler: Tydelige NDA-er og databehandleravtaler (DPA) i tråd med GDPR er obligatorisk

Vanlige fallgruver ved penetrasjonstesting for NIS2

Selv velintensjonerte virksomheter gjør feil som undergraver verdien av penetrasjonstestingen – enten teknisk, juridisk eller som NIS2-dokumentasjon. Her er de mest utbredte problemene:

1. Testing uten tilstrekkelig omfangsdefinisjon. Uten en klar scope of work risikerer man enten at kritiske systemer holdes utenfor, eller at testeren beveger seg inn i systemer som tilhører tredjeparter uten autorisasjon. Begge deler er problematisk – det ene gir falsk trygghet, det andre juridiske komplikasjoner.

2. Engangstest uten oppfølging. NIS2 forventer kontinuerlig forbedring av sikkerhetsnivået. En penetrasjonstest som gjennomføres én gang og legges i skuffen oppfyller ikke kravet om å vurdere effektiviteten av sikkerhetstiltak over tid. Tester bør gjentas regelmessig – typisk årlig for de fleste virksomheter, hyppigere ved vesentlige endringer i infrastrukturen.

3. Å forveksle sårbarhetsskanning med penetrasjonstesting. Automatiserte skanninger med verktøy som Nessus eller OpenVAS er nyttige, men de avdekker kun kjente sårbarheter og tester ikke faktisk utnyttbarhet. NIS2-tilsyn vil sannsynligvis skille mellom de to.

4. Manglende kobling til risikostyring. Funn fra penetrasjonstesting bør integreres i virksomhetens overordnede risikostyringsprosess. Isolerte testrapporter som ikke påvirker risikoregisteret eller handlingsplaner gir begrenset verdi.

5. Å glemme forsyningskjeden. NIS2 artikkel 21 adresserer eksplisitt sikkerhet i forsyningskjeden. Det betyr at penetrasjonstesting også bør vurdere integrasjoner mot tredjepartssystemer og API-er, ikke bare interne systemer.

Opsios tilnærming: Penetrasjonstesting som del av helhetlig NIS2-samsvar

Opsio er et nordisk skyselskap med hovedkontor i Karlstad, Sverige, og et leveransesenter i Bangalore, India. Vi er AWS Advanced Tier Services Partner med AWS Migration Competency, samt partnere med Microsoft og Google Cloud. Med over 3 000 prosjekter siden 2022 og et team på 50+ sertifiserte ingeniører – inkludert CKA- og CKAD-sertifiserte Kubernetes-eksperter – hjelper vi norske og nordiske virksomheter med å bygge sikre, skalerbare skyinfrastrukturer som tåler kravene i NIS2.

Vår tilnærming til NIS2-samsvar er ikke å levere et punktdokument – det er å bygge en infrastruktur og en driftsmodell der sikkerhetstesting er en integrert og kontinuerlig del. Konkret betyr det:

  • Kartlegging av NIS2-omfang og risikoeksponering i din skyinfrastruktur (AWS, Azure eller GCP)
  • Koordinering og gjennomføring av penetrasjonstesting mot skyworkloads, Kubernetes-klynger og eksponerte tjenester
  • Gjennomgang av Terraform-konfigurasjoner og infrastruktur-som-kode for sikkerhetsmessige svakheter
  • Integrasjon av AWS GuardDuty og Microsoft Sentinel for løpende trusseletterretning mellom tester
  • Remedieringsstøtte – vi lukker svakhetene som avdekkes, ikke bare rapporterer dem
  • Dokumentasjon tilpasset kravene fra NSM og norske sektortilsyn
  • 24/7 NOC-overvåkning med 99,9 % oppetids-SLA for kritiske systemer

Det som skiller Opsio fra tradisjonelle sikkerhetsleverandører er kombinasjonen av dyp sky-kompetanse og forståelse for det nordiske regulatoriske landskapet. Vi forstår at NIS2 ikke er et isolert compliance-prosjekt – det er en forlengelse av god driftspraksis. Penetrasjonstesting er ett element i en bredere sikkerhetsarkitektur, og vi sørger for at funn fra testene faktisk fører til forbedringer i infrastrukturen, ikke bare i rapportarkivet.

Virksomheter som ønsker å komme i gang med NIS2-samsvar, eller som allerede er i gang men mangler en strukturert tilnærming til teknisk sikkerhetstesting, er velkomne til å ta kontakt med Opsio for en innledende vurdering.

Relatert lesing

Mer fra vår kunnskapsbase: Zero Trust for Cloud: Praktisk implementeringsveiledning for AWS og Azure

Om forfatteren

Johan Carlsson
Johan Carlsson

Country Manager, Sweden at Opsio

AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia

View all articles →LinkedIn

Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.