Presisjon
Den vanlige feilen: "Norge har fått NIS2"
Forbehold/status: NSM skriver at digitalsikkerhetsloven og forskriften trådte i kraft 1. oktober 2025. Regjeringen beskriver samtidig at NIS2-direktivet planlegges gjennomført i norsk rett i en ny lov om grunnsikring av kritiske virksomheter sammen med CER-direktivet. Derfor er det mer presist å si at Norge har dagens digitalsikkerhetsregelverk, og at NIS2-nivået er på vei.
Tidslinje
Fra NIS1 til ny norsk gjennomføring
| Tidspunkt | Hendelse | Praktisk betydning |
|---|---|---|
| 2016 | Opprinnelig NIS-direktiv vedtas i EU. | Grunnlaget for første generasjon cybersikkerhetskrav. |
| 2022 | NIS2 vedtas i EU. | Større virkeområde, tydeligere krav, strengere tilsyn og leverandørfokus. |
| 1. oktober 2025 | Digitalsikkerhetsloven og forskrift trer i kraft i Norge. | Dagens norske rammeverk for særlig viktige virksomheter. |
| Videre lovarbeid | NIS2 og CER planlegges gjennomført i en ny lov. | Virkeområde, detaljer og nasjonale tilpasninger må følges videre. |
Hva nå
Hva bør dere gjøre mens lovarbeidet pågår?
- Ikke overselg status. Si at dere forbereder dere mot NIS2, ikke at dere er NIS2-godkjent.
- Bruk NIS2 som målarkitektur. Artikkel 21 gir et nyttig bilde av forventet sikkerhetsnivå.
- Følg dagens krav. Hvis digitalsikkerhetsloven gjelder dere nå, må den håndteres konkret.
- Dokumenter progresjon. Kunder og ledelse trenger å se at tiltak er prioritert, eid og tidsfestet.
Kilder
Offisielle kilder
Vil du rydde i status før dere svarer kunder?
Vi kan lage en kort statusvurdering: dagens krav, sannsynlig NIS2-eksponering og hva som bør dokumenteres først.