NIS2, EUs direktivet for cybersikkerhet, innebærer omfattende krav og mulige sanksjoner. Flere virksomheter må allerede nå forberede seg på å gjøre viktige endringer og tilpasninger i sikkerhetsarbeidet. Målet med direktivet er enkelt forklart å sikre et høyt felles nivå for cybersikkerhet i nettverks- og informasjonssystemer i hele EU. Digitalsikkerhetsloven (NIS) tredde i kraft i Norge oktober 2025. NIS2 forventes innlemmet i norsk lov i løpet av 2026, men konkret dato er opp til norske myndigheter.
NIS2 kort forklart
I hovedsak handler NIS2 om å sikre at virksomheter både i offentlig og privat sektor har tilstrekkelig oversikt over sine nettverks- og informasjonssystemer slik at EU som helhet er mindre sårbart for angrep. Både policyer, strategier og planer må være på plass, likeså må disse følges opp i praksis i driften. NIS2 handler altså om helhetlig risiko- og sikkerhetsstyring. I tillegg kommer en rekke tekniske krav og krav til fysisk sikring av nettverk- og informasjonssystemer. Ledelsen og styret får dessuten langt strengere oppfølgings- og revisjonskrav.
Dette berører virksomheter som er av en gitt størrelse eller som er definert ‘essensielle’ eller ‘viktige’ tilbydere av samfunnskritiske tjenester. Virksomhetene står ikke bare ansvarlige for seg selv, men må også sørge for at leverandørkjeder og underleverandører leverer på kravene.
NIS2 peker i tillegg på nødvendigheten av bevisstgjøring og opplæring på tvers av hele virksomheten for å forstå risiko og nødvendigheter av sikkerhetstiltak knyttet til cyberangrep. Det skal ikke kun være personer med sikkerhetsrelatert arbeid som skal ha kunnskap om hvorfor cybersikkerhet er viktig.
Hvorfor skjerpes direktivet?
De siste årene har det geopolitiske bildet ført til store endringer innen cybersikkerhet, hvor det digitale trusselbildet og cyberkriminaliteten har økt markant. Skjerpingen gjennom NIS2 kommer som et ledd i EUs politikk for å sikre seg mot nettverksangrep som kan berøre flere land samtidig. Fordi vi i det digitale domenet er så avhengige av hverandre på tvers av landegrensene, blir vi nemlig ekstra sårbare om noen ikke tar dette på alvor.
Direktivet vil føre til flere krav og strengere sanksjoner, samtidig som flere leverandører og virksomheter blir berørt. På bakgrunn av endringene i trusselbildet er flere virksomheter mottakelige for å skjerpe sin sikkerhet og forberede seg på mulige trusler og sårbarheter.
Flere ser også verdien av å ha god risikostyring og kontroll over egne data og egne verdier, men strever med å gjøre dette på en effektiv måte, og med å forstå hvordan de skal jobbe med verdiene sine, og hva en verdi er, forklarer sikkerhetsrådgiver i Bouvet, Nina Meldahl.
Hun har bakgrunn fra PST og flere sikkerhetsmiljøer og er klar på at direktivet over sikt vill tvinge frem svært relevante endringer.
– Det digitale domenet har ikke fysiske grenser slik som landegrensene, og EU har i flere år brukt NIS-direktivet som en veiledende forskrift for å beskytte verdiene våre i det digitale domenet. NIS2-direktivet er en fremoverlent løsning for å beskytte oss, men den krever store endringer både for medlemslandene og virksomhetene som blir berørt, forklarer Meldahl. Som EØS-land blir Norge også en del av dette felles direktivet når loven trer i kraft hos oss.
Hva blir endringene?
En vesentlig forskjell i det nye direktivet er mulighetene for sanksjoner mot irksomhetene og de ansvarlige. Fravikelse fra krav vil bli straffbart med bot på samme måte som avvik fra GDPR-direktiver nå blir håndtert. NIS2 er også det første regelverket hvor det er beskrevet hvilke direkte konsekvenser en toppleder kan få ved å ikke etterleve det.
Et EU-direktiv fordrer at den aktuelle staten tilpasser og iverksetter egne lover i henhold til direktivet. Regelverk for NIS2 er ikke innført ennå i Norge, og direktivet legger i så måte et press på norske myndigheter. Nina påpeker at fristen kan komme fort for de aktuelle virksomhetene, og at disse gjør lurt i å starte arbeidet med å håndtere dette allerede nå.
– Å igangsette NIS2-forberedelser nå kan gjøre det enklere å sikre både kvalitet og mulighet for etterlevelse. Vi ser ofte at virksomheter vi prater med ikke har full oversikt over hvordan de skal plassere egne verdier og sårbarheter i kontekst av trusselbildet, og da blir det krevende å vurdere relevant risiko. De opplever allerede sikkerhetsarbeid og -styring som krevende, forklarer Nina.
At disse sanksjonene nå innføres understreker på mange måter hvor ødeleggende et angrep i det digitale domenet kan være – spesielt for virksomheter som utfører oppgaver som påvirker store deler av samfunnet.
Nina MeldahlSvært mange berøres – hva må de tenke på?
NIS2 skal etterleves av essensielle og viktige virksomheter. Enhver virksomhet med 10 millioner euro i omsetning eller som har over 50 ansatte defineres som en viktig virksomhet. I tillegg kan virksomheter som ut ifra sin kobling til en samsfunnskritisk sektor bli underlagt direktivet gjennom definisjon som svært viktig virksomhet. Leverandører og underleverandører til virksomhetene som berøres vil også påvirkes av direktivet.
– Vi anbefaler alle kunder å vurdere om de vil bli berørt av NIS2-direktivet og sette seg inn i hvordan de kan sørge for å etterleve kravene. Faktisk etterlevelse handler i stor grad om å evne å oppdage cyberangrep, rapportere disse innen kort tid, ha relevant sikkerhetsstyring samt å kontinuerlig gjøre relevante trussel- og sårbarhetsvurderinger, sier Nina Meldahl avslutningsvis.
Les mer om sikkerhet
Kontakt oss
