Quick Answer
NIS2-direktivet: Komplett guide for norske virksomheter NIS2-direktivet er EUs mest omfattende cybersikkerhetsregelverk og får direkte konsekvenser for norske virksomheter gjennom EØS-avtalen. Direktivet implementeres i norsk rett gjennom Lov om digital sikkerhet og tilhørende forskrifter. Denne guiden gir norske beslutningstakere — CTO-er, IT-direktører og informasjonssikkerhetsansvarlige — en operasjonell gjennomgang av krav, tidsfrister og konkrete steg for etterlevelse. Viktige punkter NIS2-direktivet implementeres i norsk rett gjennom Lov om digital sikkerhet, som utvider virkeområdet betydelig sammenlignet med det opprinnelige NIS-direktivet Virksomheter i 18 definerte sektorer, inkludert både «vesentlige» og «viktige» enheter, kan bli omfattet av regelverket Ledelsen i virksomheter har et personlig ansvar for cybersikkerhet, med krav om opplæring og godkjenning av risikovurderinger Manglende etterlevelse kan medføre overtredelsesgebyr på opptil 10 millioner euro eller 2 % av global omsetning for vesentlige enheter Norske virksomheter bør starte med gap-analyse mot NIS2-kravene allerede nå, selv om endelig norsk forskrift ikke er ferdigstilt Bakgrunn: Fra NIS til NIS2 Det opprinnelige NIS-direktivet fra 2016 var EUs første horisontale cybersikkerhetsregelverk.
Key Topics Covered
Free penetration test
Free cloud & web-app pentest for qualified companies. SOC 2, HIPAA, PCI DSS-aligned report.
ApplyNIS2-direktivet: Komplett guide for norske virksomheter
NIS2-direktivet er EUs mest omfattende cybersikkerhetsregelverk og får direkte konsekvenser for norske virksomheter gjennom EØS-avtalen. Direktivet implementeres i norsk rett gjennom Lov om digital sikkerhet og tilhørende forskrifter. Denne guiden gir norske beslutningstakere — CTO-er, IT-direktører og informasjonssikkerhetsansvarlige — en operasjonell gjennomgang av krav, tidsfrister og konkrete steg for etterlevelse.
Viktige punkter
- NIS2-direktivet implementeres i norsk rett gjennom Lov om digital sikkerhet, som utvider virkeområdet betydelig sammenlignet med det opprinnelige NIS-direktivet
- Virksomheter i 18 definerte sektorer, inkludert både «vesentlige» og «viktige» enheter, kan bli omfattet av regelverket
- Ledelsen i virksomheter har et personlig ansvar for cybersikkerhet, med krav om opplæring og godkjenning av risikovurderinger
- Manglende etterlevelse kan medføre overtredelsesgebyr på opptil 10 millioner euro eller 2 % av global omsetning for vesentlige enheter
- Norske virksomheter bør starte med gap-analyse mot NIS2-kravene allerede nå, selv om endelig norsk forskrift ikke er ferdigstilt
Bakgrunn: Fra NIS til NIS2
Det opprinnelige NIS-direktivet fra 2016 var EUs første horisontale cybersikkerhetsregelverk. Det stilte krav til operatører av samfunnskritiske tjenester og tilbydere av digitale tjenester, men ga medlemsstatene stor frihet i implementeringen. Resultatet ble fragmentert praksis på tvers av Europa, med ulik tolkning av hvem som var omfattet og hvilke krav som gjaldt.
NIS2-direktivet, vedtatt i desember 2022 med ikrafttredelse i EU fra 17. oktober 2024, adresserer disse svakhetene. Direktivteksten (Directive (EU) 2022/2555) innfører en langt mer harmonisert tilnærming med klare sektordefinerte virkeområder, spesifikke minimumskrav til sikkerhetstiltak, og et felles sanksjonssystem.
For Norge er situasjonen spesiell: som EØS-land er vi ikke direkte bundet av EU-direktiver, men NIS2 er EØS-relevant og vil innlemmes i EØS-avtalen. Lov om digital sikkerhet, som ble vedtatt av Stortinget, etablerer det juridiske rammeverket for gjennomføring. NSM (Nasjonal sikkerhetsmyndighet) har en sentral rolle som tilsynsmyndighet og veiledningsinstans.
Trenger dere hjelp med cloud?
Book et gratis 30-minutters møte med en av våre spesialister innen cloud. Vi analyserer behovet ditt og gir konkrete anbefalinger — helt uten forpliktelse.
Hvem omfattes av NIS2 i Norge?
NIS2 innfører et todelt klassifiseringssystem som skiller mellom vesentlige enheter (essential entities) og viktige enheter (important entities). Klassifiseringen avgjør tilsynsmodellen og sanksjonsnivået, men de underliggende sikkerhetskravene er i stor grad like.
Vesentlige sektorer (Annex I)
De vesentlige sektorene representerer kjernen i kritisk infrastruktur:
- Energi: Elektrisitet, fjernvarme, olje, gass, hydrogen
- Transport: Luftfart, jernbane, sjøfart, veitransport
- Bank og finansmarkedsinfrastruktur
- Helse: Sykehus, laboratorier, forskning og utvikling av legemidler, produksjon av medisinsk utstyr
- Drikkevann og avløpsvann
- Digital infrastruktur: IXP-er, DNS-tjenester, TLD-registre, skytjenesteleverandører, datasentre, CDN, tillitsjenester
- IKT-tjenesteleverandører (B2B): Managed service providers og managed security service providers
- Offentlig forvaltning (sentralt nivå)
- Romvirksomhet
Viktige sektorer (Annex II)
- Post- og kurertjenester
- Avfallshåndtering
- Produksjon, tilvirking og distribusjon av kjemikalier
- Matproduksjon og -distribusjon
- Produksjonsindustri (medisinsk utstyr, datamaskiner, elektronikk, maskiner, motorvogner, tilhengere)
- Digitale tilbydere (markedsplasser, søkemotorer, sosiale nettverksplattformer)
- Forskning
Størrelsesterskel
NIS2 bruker EU-definisjonen av mellomstore og store foretak som hovedregel: virksomheter med minst 50 ansatte eller omsetning over 10 millioner euro. Men det finnes viktige unntak — visse typer virksomheter omfattes uavhengig av størrelse, blant annet DNS-tjenester, TLD-registre, tillitsjenester og tilbydere av offentlige elektroniske kommunikasjonsnettverk.
> Operasjonelt perspektiv fra Opsio: Vi ser at mange norske virksomheter undervurderer sin eksponering. Selv om din virksomhet kanskje ikke direkte faller inn under NIS2, kan du bli berørt gjennom forsyningskjedekravene — eksempelvis om du leverer IT-tjenester til en energiaktør. En grundig kartlegging av verdikjeden er derfor et nødvendig første steg.
De ti minimumskravene i NIS2 — Artikkel 21
NIS2-direktivets artikkel 21 spesifiserer ti kategorier av sikkerhetstiltak som alle omfattede virksomheter skal implementere. Disse er ikke valgfrie — de representerer et harmonisert minimumsnivå:
| # | Kravkategori | Hva det innebærer i praksis |
|---|---|---|
| 1 | Risikovurdering og sikkerhetspolicyer | Dokumenterte policyer for informasjonssikkerhet, regelmessige risikovurderinger godkjent av ledelsen |
| 2 | Hendelseshåndtering | Prosedyrer for deteksjon, analyse, innesperring, gjenoppretting og rapportering |
| 3 | Driftskontinuitet og krisehåndtering | BCP/DRP, backup-strategier, testede gjenopprettingsplaner |
| 4 | Forsyningskjedesikkerhet | Krav til leverandører, kontraktuelle sikkerhetskrav, løpende vurdering av tredjepartsrisiko |
| 5 | Sikkerhet ved anskaffelse, utvikling og vedlikehold | Secure-by-design, sårbarhetshåndtering, patch management |
| 6 | Evaluering av sikkerhetstiltakenes effektivitet | Jevnlige tester, revisjoner og penetrasjonstesting |
| 7 | Grunnleggende cyberhygiene og opplæring | Sikkerhetsbevissthet i hele organisasjonen, inkludert ledelsen |
| 8 | Kryptografi og kryptering | Policyer for bruk av kryptering der det er hensiktsmessig |
| 9 | Personellsikkerhet og tilgangskontroll | Identitets- og tilgangsstyring, flerfaktorautentisering |
| 10 | Sikret kommunikasjon | Bruk av godkjente og sikrede kommunikasjonskanaler for nødsituasjoner |
Disse kravene er i stor grad sammenfallende med ISO 27001 og NSMs grunnprinsipper for IKT-sikkerhet, noe som betyr at virksomheter som allerede følger disse rammeverkene har et solid utgangspunkt — men gap-analyse er fortsatt nødvendig.
Hendelsesrapportering: Nye og strammere frister
En av de mest praktisk krevende endringene i NIS2 er det nye rapporteringsregimet. Sammenlignet med det opprinnelige NIS-direktivet, som hadde mer generelle tidsfrister, innfører NIS2 et trinnvis varslingssystem:
| Tidsfrist | Hva som skal rapporteres |
|---|---|
| 24 timer | Tidlig varsling (early warning) til CSIRT/tilsynsmyndighet — er hendelsen antatt å være forårsaket av en ulovlig eller ondsinnet handling? Kan den ha grenseoverskridende virkning? |
| 72 timer | Hendelsesmelding — oppdatert vurdering av hendelsen, alvorlighetsgrad, konsekvenser og kompromitteringsindikatorer |
| 1 måned | Sluttrapport — detaljert beskrivelse av hendelsen, rotårsak, avhjelpende tiltak, grenseoverskridende konsekvenser |
For norske virksomheter betyr dette i praksis at dere trenger en fungerende 24/7-deteksjonskapasitet. En hendelse som skjer fredag kveld gir dere ikke mer tid — 24-timersfristen gjelder fra tidspunktet hendelsen oppdages.
> Opsios erfaring: Gjennom drift av 24/7 SOC/NOC for nordiske kunder ser vi at den største utfordringen ikke er selve rapporteringen, men deteksjonen. Mange virksomheter oppdager hendelser for sent fordi de mangler løpende overvåking utenfor arbeidstid. En SIEM-løsning alene er ikke tilstrekkelig — den krever kvalifiserte analytikere som kan triagere alarmer kontinuerlig.
Ledelsesansvar: NIS2 endrer spillereglene for styret og toppledelsen
NIS2-direktivets artikkel 20 introduserer et eksplisitt og personlig ledelsesansvar som skiller seg markant fra tidligere regelverk. Kravene innebærer at:
Ledelsen skal godkjenne sikkerhetstiltakene. Dette er ikke en oppgave som kan delegeres fullt ut til CISO eller IT-avdelingen. Styret og øverste ledelse må aktivt ta stilling til og formelt godkjenne virksomhetens cybersikkerhetstiltak.
Ledelsen skal gjennomgå opplæring. Direktivet krever at ledere har tilstrekkelig kunnskap til å vurdere cyberrisiko og sikkerhetstiltak. Dette betyr konkret opplæringsprogrammer tilpasset ledernivå.
Personlig ansvar ved manglende etterlevelse. Medlemsstatene kan innføre regler som gjør ledere personlig ansvarlige dersom de ikke overholder pliktene i direktivet. For vesentlige enheter åpner direktivet dessuten for midlertidig suspendering av ledelsesfunksjoner.
For norske virksomheter som er vant til et tydelig skille mellom IT-drift og styrearbeid, representerer dette et paradigmeskifte. Cybersikkerhet er ikke lenger bare et teknisk anliggende — det er et styreansvar på linje med finansiell rapportering.
Sanksjoner og håndhevelse
NIS2 innfører et betydelig skjerpet sanksjonsregime sammenlignet med forgjengeren. Direktivet skiller mellom vesentlige og viktige enheter også på sanksjonsnivå:
| Kategori | Maksimalt overtredelsesgebyr | Tilsynsmodell |
|---|---|---|
| Vesentlige enheter | Opptil 10 millioner euro eller 2 % av total global omsetning (det høyeste beløpet) | Proaktivt tilsyn: revisjoner, inspeksjoner, tilsyn kan skje uten foranledning |
| Viktige enheter | Opptil 7 millioner euro eller 1,4 % av total global omsetning (det høyeste beløpet) | Reaktivt tilsyn: tilsyn gjennomføres ved indikasjoner på manglende etterlevelse |
I tillegg til administrative bøter har tilsynsmyndighetene verktøy som pålegg om utbedring, offentliggjøring av brudd, og for vesentlige enheter den allerede nevnte muligheten for midlertidig suspensjon av ledere.
Det er verdt å merke seg at den endelige utformingen av sanksjonsbestemmelsene i norsk rett avhenger av den norske gjennomføringsloven og tilhørende forskrifter. Men retningen er klar: konsekvensene av manglende cybersikkerhet øker dramatisk.
NIS2 og forholdet til øvrig norsk regulering
Norske virksomheter opererer allerede under et sammensatt regulatorisk landskap for informasjonssikkerhet. NIS2 legger seg oppå og supplerer eksisterende regelverk:
GDPR (personvernforordningen)
GDPR og NIS2 overlapper delvis — begge stiller krav til sikkerhetstiltak og hendelsesrapportering. Men perspektivet er forskjellig: GDPR beskytter personopplysninger, mens NIS2 beskytter nettverks- og informasjonssystemer. En hendelse kan utløse rapporteringsplikt under begge regelverk, med ulike tidsfrister (72 timer til Datatilsynet under GDPR, 24 timer under NIS2).
Sikkerhetsloven
For virksomheter som allerede er underlagt sikkerhetsloven og NSMs tilsyn, vil NIS2 i mange tilfeller stille supplerende krav. Sikkerhetsloven dekker nasjonale sikkerhetsinteresser, mens NIS2 har et bredere virkeområde knyttet til samfunnskritiske tjenester.
NSMs grunnprinsipper for IKT-sikkerhet
NSMs grunnprinsipper er en etablert veiledning som mange norske virksomheter allerede bruker. Disse prinsippene gir et godt utgangspunkt for NIS2-etterlevelse, men dekker ikke alle aspekter — særlig forsyningskjedekrav og de spesifikke rapporteringsfristene krever tilleggstiltak.
ISO 27001
Virksomheter med ISO 27001-sertifisering har et forsprang, men NIS2 stiller krav som går utover standarden på enkelte punkter. Eksempelvis er NIS2s krav til hendelsesrapportering med spesifikke tidsfrister strengere enn hva ISO 27001 krever.
NIS2 i norsk kontekst: Tidslinjen og det politiske bildet
Norges implementering av NIS2 følger en annen tidslinje enn EU-landene. Mens EU-medlemsstatene hadde frist til 17. oktober 2024 for nasjonal gjennomføring, er den norske prosessen avhengig av innlemmelse i EØS-avtalen.
Viktige milepæler:
- Desember 2022: NIS2-direktivet vedtas i EU
- Oktober 2024: Ikrafttredelse i EU; frist for nasjonal gjennomføring i medlemsstatene
- Pågående: EØS-komiteens behandling av innlemmelse i EØS-avtalen
- Pågående: Norsk forskriftsarbeid under Lov om digital sikkerhet
Justis- og beredskapsdepartementet er ansvarlig departement, mens NSM har en sentral rolle som fagmyndighet og tilsynsorgan. DSB (Direktoratet for samfunnssikkerhet og beredskap) har også en rolle knyttet til CER-direktivet (om kritiske enheters motstandsdyktighet), som henger tett sammen med NIS2.
> Vår anbefaling: Ikke vent på den endelige norske forskriften. NIS2-kravene er kjente og detaljerte nok til at norske virksomheter kan starte forberedelsene nå. Virksomheter som venter til alt er formelt på plass, risikerer å komme bakpå — særlig fordi implementering av sikkerhetstiltak, leverandørvurderinger og organisasjonsendringer tar tid.
Praktisk veikart: Slik forbereder din virksomhet seg
Basert på vår erfaring med å bistå nordiske virksomheter med compliance-prosjekter, anbefaler vi følgende fasemodell:
Fase 1: Kartlegging og gap-analyse (0-3 måneder)
1. Avklar om virksomheten er omfattet. Kartlegg sektortilhørighet, størrelse og tjenester dere leverer. Husk å vurdere indirekte eksponering gjennom forsyningskjeden.
2. Gjennomfør gap-analyse. Sammenlign nåværende sikkerhetsnivå mot NIS2 artikkel 21-kravene. Bruk NSMs grunnprinsipper som et referansepunkt.
3. Kartlegg eksisterende sertifiseringer og rammeverk. ISO 27001, SOC 2, og lignende gir et utgangspunkt, men identifiser hullene.
Fase 2: Planlegging og prioritering (3-6 måneder)
4. Utarbeid handlingsplan med prioriterte tiltak. Fokuser på de områdene med størst gap — for mange virksomheter er dette hendelseshåndtering, forsyningskjedesikkerhet og 24/7-overvåking.
5. Forankre ansvaret i ledelsen. Etabler rapporteringslinjer fra CISO/sikkerhetsansvarlig til styret. Planlegg opplæring for ledergruppen.
6. Vurder behovet for ekstern støtte. 24/7 SOC-kapasitet og spesialisert kompetanse innen hendelseshåndtering er ressurskrevende å bygge internt.
Fase 3: Implementering (6-18 måneder)
7. Implementer tekniske sikkerhetstiltak. SIEM, EDR, nettverkssegmentering, kryptering, flerfaktorautentisering, backup og gjenoppretting.
8. Etabler hendelseshåndteringsprosesser. Definer roller, eskaleringsprosedyrer og kommunikasjonsplaner. Test prosessene gjennom tabletop-øvelser.
9. Styrk forsyningskjedesikkerheten. Oppdater leverandøravtaler med sikkerhetskrav, gjennomfør leverandørvurderinger, etabler løpende monitorering.
10. Dokumenter alt. NIS2 forutsetter at tiltak er dokumenterte og etterprøvbare.
Fase 4: Vedlikehold og kontinuerlig forbedring (løpende)
11. Jevnlige revisjoner og testing. Penetrasjonstesting, revisjon av tilgangskontroller, evaluering av sikkerhetstiltakenes effektivitet.
12. Oppdater risikovurderinger. Trusselbildet endrer seg — ENISAs årlige trusselrapporter er en god kilde for å holde risikovurderingene oppdatert.
Forsyningskjedesikkerhet: Den oversette utfordringen
NIS2 artikkel 21(2)(d) stiller krav til forsyningskjedesikkerhet, og dette er etter vår erfaring det området hvor norske virksomheter har størst modenhetsgap. Kravet innebærer at virksomheter skal vurdere og håndtere sikkerhetsrisiko knyttet til forholdet med direkte leverandører og tjenesteleverandører.
I praksis betyr dette:
- Kontraktuelle krav: Sikkerhetskrav skal inn i leverandøravtaler — ikke som generelle formuleringer, men som spesifikke, målbare krav knyttet til tilgangskontroll, hendelsesrapportering, kryptering og sårbarhetsbehandling.
- Leverandørvurderinger: Systematisk vurdering av leverandørers sikkerhetsnivå, enten gjennom spørreskjemaer, sertifiseringskrav (ISO 27001, SOC 2) eller revisjonsrettigheter.
- Løpende monitorering: Det holder ikke å vurdere leverandører ved avtaleinngåelse — risikoene endrer seg over tid.
For virksomheter som bruker skytjenester fra hyperscalere (AWS, Azure, Google Cloud), er den underliggende infrastrukturen typisk godt sikret. Men ansvarsmodellen (shared responsibility model) betyr at konfigurasjons-, tilgangs- og dataansvaret ligger hos kunden. En managed services-leverandør som Opsio kan fungere som et viktig mellomledd her — vi opererer fra eu-north-1 (Stockholm) for norske kunder og sikrer at skyinfrastrukturen er konfigurert i henhold til både NIS2-krav og NSMs anbefalinger.
Sammenligning: NIS vs. NIS2
| Aspekt | NIS (2016) | NIS2 (2022) |
|---|---|---|
| Virkeområde | Begrenset til «operatører av essensielle tjenester» og «digitale tjenesteleverandører» i et fåtall sektorer | 18 sektorer med klare definisjoner; vesentlige og viktige enheter |
| Størrelseskriterium | Utpekt av nasjonale myndigheter | Selvidentifisering basert på definerte kriterier (størrelse og sektor) |
| Sikkerhetskrav | Generelle, stor nasjonal variasjon | Ti spesifikke minimumskrav i artikkel 21 |
| Hendelsesrapportering | Vagt definerte frister | 24 timer (tidlig varsling), 72 timer (hendelsesmelding), 1 måned (sluttrapport) |
| Sanksjoner | Begrenset harmonisering | Opptil 10 M EUR / 2 % omsetning (vesentlige), 7 M EUR / 1,4 % (viktige) |
| Ledelsesansvar | Ikke eksplisitt | Personlig ansvar, obligatorisk opplæring, mulig suspensjon |
| Forsyningskjede | Ikke spesifikt adressert | Eksplisitt krav i artikkel 21(2)(d) |
| Tilsynsmodell | Hovedsakelig reaktivt | Proaktivt for vesentlige; reaktivt for viktige enheter |
Kostnader og investeringsperspektiv
Å implementere NIS2-kravene representerer en reell investering for norske virksomheter. Selv om de konkrete kostnadene varierer betydelig basert på virksomhetens modenhet, størrelse og sektor, er det enkelte kostnadsdrivere som går igjen:
- 24/7 overvåking: En intern SOC med tre-skift-modell krever minimum 8-10 dedikerte sikkerhetsanalytikere. For mange norske virksomheter er outsourcing til en managed SOC-leverandør mer kostnadseffektivt.
- Teknologi: SIEM, EDR/XDR, sårbarhetsscanning, og backup-løsninger. For virksomheter uten eksisterende sikkerhetsteknologistack kan dette være en vesentlig investering.
- Kompetanse: Informasjonssikkerhetskompetanse er et knapphetsmarked i Norden. Rekruttering av CISO, sikkerhetsarkitekter og hendelseshåndterere er tidkrevende og kostbart.
- Revisjon og testing: Årlige penetrasjonstester, interne revisjoner og eventuell ekstern sertifiseringsrevisjon.
- Lederopplæring: Utvikling og gjennomføring av opplæringsprogram for ledelse og styre.
Perspektivet bør imidlertid være at dette er en investering i redusert risiko. ENISAs trusselrapporter dokumenterer konsistent at kostnadene ved en alvorlig cyberhendelse — driftsstans, omdømmeskade, regulatoriske sanksjoner — langt overstiger investeringen i forebygging.
Slik kan Opsio støtte din NIS2-reise
Opsio opererer 24/7 SOC/NOC fra EU (hovedkontor i Karlstad, Sverige) og India (Bangalore), med dyp erfaring fra nordisk regulatorisk kontekst. Vår tilnærming til NIS2-støtte er operasjonell — vi hjelper ikke bare med å forstå kravene, men med å faktisk implementere og drifte sikkerhetstiltakene som kreves.
Konkret kan vi bistå med:
- Gap-analyse og modenhetsvurdering: Kartlegging av nåværende sikkerhetsnivå mot NIS2 artikkel 21-kravene
- Managed SOC/SIEM: 24/7 overvåking, deteksjon og respons — dimensjonert for å møte 24-timers rapporteringsfristen
- Skyinfrastruktur-sikkerhet: Sikker konfigurasjon og drift av AWS, Azure og Google Cloud i henhold til NIS2-krav, med eu-north-1 som primærregion for norske kunder
- Hendelseshåndtering: Etablerte prosedyrer for deteksjon, respons og rapportering som tilfredsstiller NIS2-kravene
- Forsyningskjedestøtte: Vi dokumenterer våre egne sikkerhetstiltak transparent og kan bistå med leverandørvurderinger
Kontakt oss for en NIS2-vurdering
Ofte stilte spørsmål
Hva er NIS2-direktivet?
NIS2-direktivet (Network and Information Security Directive 2) er EUs oppdaterte regelverk for cybersikkerhet, vedtatt i desember 2022 og med ikrafttredelse i EU fra oktober 2024. Det erstatter det opprinnelige NIS-direktivet fra 2016 og utvider virkeområdet til å dekke 18 sektorer, innfører strengere sikkerhetskrav, strammere rapporteringsfrister og et harmonisert sanksjonsregime på tvers av EU/EØS. For Norge implementeres direktivet gjennom Lov om digital sikkerhet.
Hvem omfattes av NIS2?
NIS2 omfatter virksomheter i 18 sektorer, fordelt på «vesentlige» (essential) og «viktige» (important) enheter. Vesentlige sektorer inkluderer energi, transport, helse, drikkevann, digital infrastruktur, IKT-tjenester (B2B), offentlig forvaltning og romvirksomhet. Viktige sektorer inkluderer avfallshåndtering, kjemikalier, matproduksjon, post- og kurertjenester, forskning og produksjonsindustri. Hovedregelen er at mellomstore og store virksomheter (over 50 ansatte eller over 10 millioner euro i omsetning) omfattes, men noen sektorer som DNS-tjenester og TLD-registre rammes uavhengig av størrelse.
Når ble NIS2 vedtatt?
NIS2-direktivet ble vedtatt av EU-parlamentet og Rådet 14. desember 2022 og publisert i EUs Official Journal 27. desember 2022. Medlemsstatene hadde frist til 17. oktober 2024 med å gjennomføre direktivet i nasjonal lovgivning. Norge, som EØS-land, har en egen tidslinje gjennom EØS-komiteens innlemmelsesprosess.
Når trer Lov om digital sikkerhet i kraft med NIS2-krav?
Lov om digital sikkerhet er vedtatt og etablerer rammeverket for implementering av NIS-direktivet og NIS2 i norsk rett. Den fullstendige gjennomføringen av NIS2 avhenger av innlemmelse i EØS-avtalen og påfølgende forskriftsarbeid. Norske virksomheter bør følge oppdateringer fra Justis- og beredskapsdepartementet, NSM og Digitaliseringsdirektoratet for den endelige tidslinjen — men bør starte forberedelsene nå gitt at kravene allerede er kjente.
Hva er forskjellen mellom NIS og NIS2?
NIS2 utvider det opprinnelige NIS-direktivet på alle sentrale punkter: virkeområdet er langt bredere (18 sektorer mot opprinnelig et begrenset antall), sikkerhetskravene er mer konkrete og harmoniserte med ti definerte minimumstiltak i artikkel 21, rapporteringsfristen for hendelser er strammet inn til 24 timer for første varsling (mot vagere frister i NIS), sanksjonene er vesentlig skjerpet (opptil 10 millioner euro eller 2 % av global omsetning), og det innføres et eksplisitt personlig ledelsesansvar som ikke fantes i det opprinnelige direktivet.
Written By
Group COO & CISO at Opsio
Fredrik is the Group Chief Operating Officer and Chief Information Security Officer at Opsio. He focuses on operational excellence, governance, and information security, working closely with delivery and leadership teams to align technology, risk, and business outcomes in complex IT environments. He leads Opsio's security practice including SOC services, penetration testing, and compliance frameworks.
Editorial standards: Denne artikkelen er skrevet av skypraktikere og fagfellevurdert av vårt ingeniørteam. Vi oppdaterer innhold kvartalsvis. Opsio opprettholder redaksjonell uavhengighet.