En stor regulatorisk endring er på vei til norske bedrifter: NIS2-direktivet, EUs nye rammeverk for cybersikkerhet, som ventes innført i Norge i løpet av 2026.

NIS2 (Network and Information Security Directive 2) erstatter det opprinnelige NIS-direktivet fra 2016, og representerer en dramatisk utvidelse både i omfang og i krav. Hvor det gamle direktivet kun omfattet et fåtall kritiske infrastrukturvirksomheter, vil NIS2 påvirke tusenvis av norske bedrifter – inkludert mange små og mellomstore virksomheter som aldri før har vært underlagt slike cybersikkerhetskrav.

Hva er NIS2-direktivet?

NIS2 er EUs andre direktiv om nettverks- og informasjonssikkerhet. Direktivet ble vedtatt i desember 2022 og trådte i kraft i januar 2023, med frist for EU-landene til å gjennomføre det i nasjonal rett innen 17. oktober 2024. Målet er å styrke cybersikkerheten i kritisk infrastruktur og viktige tjenester på tvers av EU/EØS-området.

Hovedformål med NIS2

  • Harmonisering: Ensartede cybersikkerhetskrav på tvers av EU/EØS
  • Utvidelse: Flere sektorer og flere bedrifter omfattes enn tidligere
  • Strengere krav: Høyere standarder for risikostyring og hendelsesrapportering
  • Leverandørkrav: Organisasjoner må sikre at leverandører oppfyller sikkerhetskrav
  • Ansvar på toppnivå: Styreansvar og personlig ansvar for ledelse
  • Strenge sanksjoner: Betydelige bøter ved manglende etterlevelse

Status i Norge: dette gjelder nå – og dette kommer

Her er det viktig å være presis, for mye av det som skrives om «den norske NIS2-loven» er upresist.

Norge er ikke EU-medlem, men EØS-medlem. NIS2-direktivet må derfor først tas inn i EØS-avtalen før det kan gjennomføres i norsk rett. Per mai 2026 har ikke det skjedd, og det er følgelig heller ikke fastsatt en endelig dato for når NIS2 trer i kraft i Norge.

Det som gjelder i dag, er digitalsikkerhetsloven (lov 2023-12-20-108), som trådte i kraft 1. oktober 2025. Men – og dette er nøkkelpoenget – denne loven gjennomfører det opprinnelige NIS1-direktivet, ikke NIS2. Loven er overordnet og fungerer i praksis som en fullmaktslov, der det konkrete innholdet ligger i forskrift. Dagens forskrift dekker NIS1.

NIS2 ventes innført i Norge i løpet av 2026. Signalene fra myndighetene er at det skjer gjennom en ny lov som også omfatter CER-direktivet (om kritiske enheters motstandsdyktighet), og som vil erstatte dagens digitalsikkerhetslov. Varslede milepæler:

  • Registreringsportal hos NSM: planlagt åpning 1. juli 2026
  • Første tilsyn: fra oktober 2026
  • Antatt omfang: der dagens lov treffer noen hundre virksomheter, ventes den nye å omfatte rundt 5000 virksomheter

Konsekvens: Når noen sier at «Norge har fått NIS2», stemmer det foreløpig ikke. Vi har NIS1 i kraft, og NIS2 på trappene. Men forberedelsene bør starte nå – ikke fordi loven gjelder i dag, men fordi de som venter til registreringsplikten inntreffer, må gjøre den samme jobben under tidspress.

Tidslinje for NIS2-implementering

Desember 2022

NIS2-direktivet vedtatt av EU (trådte i kraft januar 2023)

Oktober 2024

Frist for EU-medlemsland å gjennomføre NIS2 i nasjonal lovgivning (mange land forsinket)

1. oktober 2025

Digitalsikkerhetsloven trer i kraft i Norge – men gjennomfører NIS1, ikke NIS2

2026 (forventet)

Norge gjennomfører NIS2 i en ny lov (sammen med CER-direktivet), som erstatter digitalsikkerhetsloven. Nøyaktig dato avhenger av innlemmelse i EØS-avtalen

1. juli 2026 (planlagt)

NSMs registreringsportal åpner

Oktober 2026 (planlagt)

Første tilsyn starter

Viktig: Selv om implementeringstidspunktet ikke er endelig fastsatt, bør bedrifter ikke vente med forberedelser. Gap-analyse og forbedringer tar tid.

Hvem omfattes av NIS2?

NIS2 utvider betydelig antallet sektorer og virksomheter som må etterleve cybersikkerhetskrav. Direktivet skiller mellom «vesentlige enheter» (essential entities) og «viktige enheter» (important entities), med noe forskjellige kravsnivåer og sanksjoner.

Vesentlige sektorer (Essential)

Energi: Elektrisitet, olje, gass, fjernvarme

Transport: Luft, tog, vei, sjø

Bank og finans: Kredittinstitusjoner, betalingstjenester

Helse: Sykehus, apotek, medisinsk utstyr

Drikkevann: Vannforsyning

Avløpsvann: Avløpshåndtering

Digital infrastruktur: IXP, DNS, TLD-registre, skylagringstjenester

Offentlig forvaltning: Sentrale og regionale myndigheter

Rom (space): Satellittinfrastruktur

Viktige sektorer (Important)

Post og kurier: Posttjenester

Avfallshåndtering: Avfallsbehandling

Kjemikalier: Produksjon og distribusjon

Mat: Matproduksjon og distribusjon

Produksjon: Medisinsk utstyr, kjøretøy, maskiner

Digitale tjenester: Online markedsplasser, søkemotorer, sosiale nettverk

Forskning: Forskningsorganisasjoner

Størrelseskriterier

I tillegg til sektor, gjelder NIS2 primært for:

  • Mellomstore bedrifter: 50–249 ansatte, eller omsetning over €10M
  • Store bedrifter: 250+ ansatte, eller omsetning > €50M og balanse > €43M
  • Kritisk betydning: Mindre virksomheter kan omfattes uavhengig av størrelse hvis de er ekstraordinært viktige for samfunnet
Viktig om det norske omfanget: Sektor- og størrelseslisten over følger EU-direktivet. Det endelige norske virkeområdet – nøyaktig hvilke sektorer, størrelser og terskler som gjelder – fastsettes i den kommende norske loven og tilhørende forskrift, og kan avvike i detalj. Anslaget på rundt 5000 omfattede virksomheter er det som per nå ventes for Norge.

Indirekte påvirkning av SMB

Selv om du ikke er direkte omfattet av NIS2, kan du likevel påvirkes:

  • Leverandørkrav: Større kunder vil kreve at du oppfyller NIS2-lignende sikkerhetsstandarder i leverandørkontrakter
  • Konkurransefortrinn: Bedrifter som kan dokumentere NIS2-kompatibilitet vil ha fordel i anbudskonkurranser
  • Fremtidige utvidelser: Omfanget kan utvides over tid

Dette er en viktig grunn til at også mindre virksomheter bør følge med: kravet treffer deg ofte først via en kunde – og da uten overgangstid. Er du usikker på hvilket sikkerhetsnivå en mindre bedrift faktisk trenger, se ISO 27001 eller en enklere sikkerhetsbaseline.

Usikker på om NIS2 gjelder for dere?

Vi hjelper deg kartlegge om bedriften omfattes, hvilke krav som gjelder, og hva som må gjøres for å oppfylle NIS2.

Hva krever NIS2 av virksomheter?

NIS2 stiller omfattende krav til cybersikkerhet og risikostyring. Her er kjernekravene:

1. Risikostyring og sikkerhetstiltak

Virksomheter må implementere tiltak for å håndtere cybersikkerhetsrisiko, inkludert:

  • Risikovurderinger av informasjonssystemer
  • Hendelseshåndtering (incident response)
  • Business continuity (forretningskontinuitet)
  • Leverandørkjedehåndtering (supply chain security)
  • Sikkerhet i anskaffelse, utvikling og vedlikehold av systemer
  • Tilgangskontroll og autentisering (inkl. MFA)
  • Kryptering hvor relevant
  • Opplæring og bevisstgjøring av ansatte

2. Hendelsesrapportering

Organisasjoner må rapportere betydelige cybersikkerhetshendelser til nasjonale myndigheter:

Rapporteringsfrister

  • Innen 24 timer: Første varsling om hendelsen
  • Innen 72 timer: Hendelsesrapport med vurdering av alvorlighet og påvirkning
  • Innen én måned: Sluttrapport med årsak, tiltak og forebyggende handlinger

Viktig: Dette er kortere frister enn GDPR (som har en 72-timersfrist for melding av personvernbrudd).

3. Ledelsesansvar

NIS2 legger tydelig ansvar på toppledelsen:

  • Styret/ledelsen må godkjenne cybersikkerhetstiltak og overvåke implementering
  • Ledelsen må gjennomføre opplæring i cybersikkerhet
  • Ved alvorlige brudd kan ledelsen holdes personlig ansvarlig

4. Leverandørsikkerhet

Organisasjoner må sikre at leverandører og underleverandører oppfyller tilstrekkelige sikkerhetskrav:

  • Vurdere cybersikkerhetsrisiko hos kritiske leverandører
  • Stille sikkerhetskrav i kontrakter
  • Overvåke leverandørers sikkerhetsnivå løpende

(Dette er direkte relevant for SMB som leverer til NIS2-omfattede organisasjoner – dere vil bli vurdert!)

I praksis innebærer leverandørkjedekravene også ryddige databehandleravtaler – se hva en revisor faktisk sjekker i en databehandleravtale.

5. Dokumentasjon og rapportering til tilsyn

Virksomheter må kunne dokumentere:

  • Hvilke sikkerhetstiltak som er implementert
  • Hvordan risiko er vurdert og håndtert
  • Hendelser og responser
  • Leverandørvurderinger

Tilsynsmyndigheter kan kreve rapporter, gjennomføre inspeksjoner og be om sikkerhetsrevisjoner. I Norge er NSM og DSB foreslått som ansvarlige tilsynsmyndigheter, med sektorvise tilsyn i tillegg – for eksempel NVE for energisektoren og Finanstilsynet for finanssektoren (gjennom DORA).

Sanksjoner ved manglende etterlevelse

NIS2 kommer med betydelige sanksjoner ved brudd på kravene:

Potensielle bøter

  • Vesentlige enheter: Bøter på inntil €10 millioner eller 2 % av global årsomsetning (det høyeste)
  • Viktige enheter: Bøter på inntil €7 millioner eller 1,4 % av global årsomsetning
  • Ledelsesansvar: Midlertidig forbud mot å inneha lederposisjoner

I tillegg: Omdømmeskade, tap av kunder, kontraktsbrudd, og ansvar for skade ved brudd.

Hvordan forberede seg på NIS2?

Selv om den nøyaktige implementeringsdatoen i Norge ikke er fastsatt, bør bedrifter starte forberedelsene nå. Her er en trinnvis tilnærming:

Trinn 1: Avklar om dere er omfattet

  • Sjekk om din sektor og bedriftsstørrelse faller inn under NIS2
  • Vurder indirekte påvirkning (leverandørkrav fra kunder)
  • Konsulter juridisk rådgiver eller compliance-ekspert ved tvil

Trinn 2: Gjennomfør en gap-analyse

  • Sammenlign nåværende sikkerhetstilstand med NIS2-krav
  • Identifiser mangler og sårbarheter
  • Prioriter tiltak basert på risiko og ressurser

Trinn 3: Utvikle en handlingsplan

  • Definer mål, milepæler og tidsfrister
  • Tildel ansvar (hvem gjør hva)
  • Sett av budsjett for teknologi, konsulenter, opplæring

Trinn 4: Implementer sikkerhetstiltak

  • Risikovurderinger og risikostyringsrammeverk
  • Tekniske tiltak (MFA, kryptering, logging, backup)
  • Prosesser for hendelseshåndtering og rapportering
  • Leverandørprogrammer (vurdering, kontrakter, overvåking)
  • Opplæring for ansatte og ledelse

Trinn 5: Dokumenter alt

  • Policyer, prosedyrer og retningslinjer
  • Risikovurderinger og beslutningsgrunnlag
  • Hendelseslogger og responser
  • Leverandørvurderinger og kontrakter

Trinn 6: Test og øv

  • Gjennomfør cybersikkerhetsøvelser og scenariotrening
  • Test hendelsesresponsplaner
  • Simuler rapportering til tilsyn

Trinn 7: Etabler løpende overvåking og forbedring

  • Kvartalsvise eller årlige risikovurderinger
  • Oppdater sikkerhetstiltak etter trusselbildet
  • Gjennomgå og oppdater dokumentasjon

SPADE Consulting – din NIS2-partner

Vi hjelper norske bedrifter med komplett NIS2-forberedelse: gap-analyse, risikostyring, hendelseshåndtering, leverandørprogrammer, policyer, opplæring og sertifiseringsforberedelse (ISO 27001 som fundament for NIS2).

Med ISO 27001 Lead Implementer og ISO 27005 Lead Risk Manager-sertifiseringer, samt erfaring fra kritisk infrastruktur og offentlig sektor, leverer vi seniorkompetanse til konkurransedyktige priser – fra Bodø, uten storbyoverhead.

Konklusjon

NIS2-direktivet representerer en stor regulatorisk endring som vil påvirke tusenvis av norske virksomheter. Men vær presis på hvor vi er: i dag gjelder NIS1 gjennom digitalsikkerhetsloven, mens NIS2 ventes innført i løpet av 2026 gjennom en ny lov. Med strengere krav til risikostyring, hendelsesrapportering, leverandørsikkerhet og ledelsesansvar – og betydelige bøter ved manglende etterlevelse – er NIS2 noe enhver omfattet organisasjon må ta på alvor.

Selv om du ikke er direkte omfattet, kan indirekte effekter – via leverandørkrav fra kunder – gjøre NIS2-kompatibilitet til et konkurransefortrinn.

Den gode nyheten er at god cybersikkerhet ikke bare er compliance – det er sunn fornuft. Mange NIS2-krav (risikovurdering, MFA, backup, hendelseshåndtering) er beste praksis uansett.

Vent ikke til loven trer i kraft. Start gap-analysen nå, og bygg et robust sikkerhetsprogram som både oppfyller kommende NIS2-krav og beskytter bedriften din mot et økende trusselbilde.

Kontakt SPADE Consulting for en NIS2-vurdering og hjelp med forberedelser – vi har kapasitet til å støtte deg gjennom hele prosessen.

Ofte stilte spørsmål

Hva er forskjellen på NIS og NIS2?

NIS2 er en oppdatert og betydelig utvidet versjon av det opprinnelige NIS-direktivet. Hovedforskjeller: NIS2 dekker flere sektorer og størrelser, har strengere krav til risikostyring og rapportering, inkluderer leverandørsikkerhet, legger ansvar på ledelsen, og har høyere bøter for brudd.

Når trer NIS2 i kraft i Norge?

Per mai 2026 er NIS2 ennå ikke gjennomført i norsk rett, og ingen endelig dato er fastsatt – direktivet må først tas inn i EØS-avtalen. Det som gjelder i dag, er digitalsikkerhetsloven (i kraft 1. oktober 2025), som gjennomfører NIS1. NIS2 ventes innført i løpet av 2026 gjennom en ny lov som også omfatter CER-direktivet, og som vil erstatte digitalsikkerhetsloven. NSMs registreringsportal er planlagt åpnet 1. juli 2026, og de første tilsynene ventes fra oktober 2026.

Gjelder NIS2 for små bedrifter?

NIS2 gjelder primært mellomstore (50–249 ansatte) og store bedrifter (250+) i omfattede sektorer. Mindre bedrifter kan omfattes hvis de er kritiske for samfunnet. Men selv om du ikke er direkte omfattet, kan større kunder kreve NIS2-lignende sikkerhet i leverandørkontrakter. Det endelige norske omfanget fastsettes i den kommende loven og forskriften.

Hvilke sektorer omfattes av NIS2?

Vesentlige sektorer: energi, transport, bank/finans, helse, vann, avløp, digital infrastruktur, offentlig forvaltning, rom. Viktige sektorer: post, avfall, kjemikalier, mat, produksjon, digitale tjenester, forskning. Se listen over for detaljer.

Hva skjer hvis vi ikke etterlever NIS2?

Vesentlige enheter kan bøtelegges med inntil €10M eller 2 % av global årsomsetning. Viktige enheter: €7M eller 1,4 %. Ledelsen kan midlertidig forbys fra lederposisjoner. I tillegg kommer omdømmeskade, tap av kunder, kontraktsbrudd og ansvar for skade.

Kan vi bruke ISO 27001 for å oppfylle NIS2?

Ja. ISO 27001 er et utmerket fundament for NIS2-compliance (se hva en ISO 27001-sertifisering koster og innebærer). Mange NIS2-krav (risikostyring, tilgangskontroll, hendelseshåndtering, dokumentasjon) overlapper med ISO 27001. Du må likevel supplere med NIS2-spesifikke elementer som rapportering til tilsyn og leverandørkjedehåndtering.

Hvor lang tid tar det å bli NIS2-kompatibel?

Avhenger av nåværende sikkerhetsnivå og bedriftsstørrelse. For bedrifter uten etablert ISMS (styringssystem for informasjonssikkerhet): 6–18 måneder. For bedrifter med ISO 27001 eller lignende: 3–6 måneder. En gap-analyse gir et konkret tidsestimat. Start tidlig!

Klar til å forberede deg på NIS2?

Kontakt SPADE Consulting for en NIS2 gap-analyse og få en klar handlingsplan før kravene trer i kraft.

Kilder og videre lesning

Book et møte

Sist oppdatert: Mai 2026. Artikkelen gir generell informasjon og er ikke juridisk rådgivning. NIS2 er ennå ikke gjennomført i norsk rett; endelig omfang og krav fastsettes i den kommende loven og forskriften.

Vil du ha hjelp med dette i praksis?

SPADE Consulting hjelper med personvern, informasjonssikkerhet, AI-styring og praktisk etterlevelse uten unødvendig byråkrati.