NIS2 Norge

NIS2 i Norge: hvem det gjelder og hva du må gjøre

Sist oppdatert: juni 2026 · 10 min lesetid

NIS2 er EUs skjerpede direktiv for cybersikkerhet i viktige og samfunnskritiske sektorer. For norske virksomheter er spørsmålet todelt: om dere blir direkte omfattet av kommende norsk gjennomføring, og om dere uansett blir truffet gjennom kunder, kontrakter og leverandørkrav.

Sjekk om NIS2 kan gjelde dere Se artikkel 21-kravene

Status

Hva gjelder i Norge nå?

Forbehold/status: Digitalsikkerhetsloven og forskriften trådte i kraft 1. oktober 2025. Regjeringen beskriver digitalsikkerhetsloven som gjennomføring av det opprinnelige NIS-direktivet, mens NIS2 og CER-direktivet planlegges gjennomført i en ny lov om grunnsikring av kritiske virksomheter. Endelig virkeområde og detaljer må derfor vurderes mot den norske gjennomføringen når den kommer.

Den praktiske konsekvensen er at virksomheter ikke bør markedsføre seg som "NIS2-compliant" uten en konkret vurdering. Samtidig er det fornuftig å forberede seg mot NIS2-nivået allerede nå, særlig hvis virksomheten er i en relevant sektor eller leverer til kunder som vil stille krav videre i leverandørkjeden.

Omfang

Gjelder NIS2 dere?

Direktivet bruker sektor, størrelse og samfunnsbetydning som utgangspunkt. Den raske testen er: leverer dere tjenester i en Annex I- eller Annex II-sektor, og er virksomheten minst mellomstor? Hvis ja, bør dere gjøre en konkret NIS2-vurdering.

Guide

Hvem gjelder NIS2?

Annex I/II, størrelsesterskler, vesentlig/viktig og indirekte leverandørkrav.

 Verktøy

NIS2-selvtest

Rask egenkontroll for sektor og mulig omfang.

 Guide

Leverandørkjeden

Hvorfor også mindre leverandører får NIS2-lignende kundekrav.

Krav

Hva må en omfattet virksomhet faktisk gjøre?

NIS2 artikkel 21 beskriver sikkerhetstiltak som omfatter risikostyring, hendelseshåndtering, kontinuitet, leverandørkontroll, sikker utvikling, måling av tiltak, opplæring, kryptografi, tilgangsstyring og sikker kommunikasjon. Oversatt til praktisk arbeid ligner dette et styringssystem for informasjonssikkerhet.

  1. Gap-analyse: sammenlign dagens praksis med NIS2 artikkel 21 og relevante norske krav.
  2. Risikostyring: etabler en fast prosess for risiko, tiltak, eiere og frister.
  3. Hendelsesrutiner: avklar varsling, eskalering, roller, øvelser og etterarbeid.
  4. Leverandørkontroll: finn kritiske leverandører og sett sikkerhetskrav i avtaler.
  5. Ledelsesforankring: gjør status, risiko og tiltak synlig for ledelse/styre.

NIS2-klyngen

Les videre

Spoke

Gjelder NIS2 din bedrift?

Sektor, størrelse, vesentlig/viktig og indirekte krav.

 Spoke

NIS2-krav artikkel 21

De 10 sikkerhetstiltakene forklart for SMB.

 Spoke

Digitalsikkerhetsloven vs NIS2

Hva gjelder nå, og hva kommer senere?

 Spoke

NIS2 og leverandørkjeden

Kontraktskravene som treffer underleverandører.

 Tjeneste

Compliance og NIS2

Få hjelp med gap-analyse, årshjul og styringssystem.

 Verktøy

Cyber tabletop-generator

Øv hendelseshåndtering, varsling og etterarbeid.

Kilder

Offisielle statuskilder

Vil du vite hvor stort NIS2-gapet er?

SPADE kan gjøre en praktisk gap-analyse mot NIS2, ISO 27001 og dagens sikkerhetspraksis, med prioriterte tiltak.