Kan små virksomheter omfattes av NIS2?

Hovedregelen tar utgangspunkt i mellomstore og store virksomheter i relevante sektorer, men enkelte mindre virksomheter kan omfattes hvis de har særlig kritisk betydning. Mange små leverandører påvirkes også kontraktuelt.

Hva er forskjellen på vesentlig og viktig enhet?

Begge får sikkerhets- og rapporteringskrav, men tilsynsregimet og sanksjonsnivåene er strengere for vesentlige enheter.

Gjelder NIS2 din bedrift? Sjekkliste 2026

Status

Først: norsk virkeområde er ikke endelig

Forbehold/status: NIS2-direktivet angir sektor- og størrelseskriterier i EU. Norge planlegger å gjennomføre NIS2 og CER i ny lov. Det endelige norske virkeområdet kan få nasjonale presiseringer, så denne sjekklisten er en kvalifisert førstevurdering, ikke en endelig rettslig konklusjon.

Annex I og II

Sektorer som typisk må vurderes

Annex	Sektorer	Praktisk norsk eksempel
Annex I	Energi, transport, bank, finansmarkedsinfrastruktur, helse, drikkevann, avløpsvann, digital infrastruktur, IKT-tjenesteforvaltning, offentlig forvaltning og romvirksomhet.	Datasenter, MSP/MSSP, skyleverandør, sykehusleverandør, vannverk, energiselskap eller driftspartner for kritisk tjeneste.
Annex II	Post og kurér, avfall, kjemikalier, mat, produksjon av visse varer, digitale tilbydere og forskning.	Matprodusent, forskningsorganisasjon, digital markedsplass, produsent av medisinsk utstyr eller maskiner.

Størrelse

Tersklene: 50/250 ansatte og omsetning/balanse

Hovedregelen i NIS2 knytter omfanget til mellomstore og store virksomheter i relevante sektorer. Den praktiske terskelen starter ofte ved minst 50 ansatte eller økonomiske terskler som tilsvarer mellomstor virksomhet. Store virksomheter er typisk 250 ansatte eller mer, eller høyere omsetning/balanse.

Kategori	Ansatte	Omsetning	Balanse
Mellomstor terskel	50 eller flere	Over ca. EUR 10 mill.	Over ca. EUR 10 mill.
Stor virksomhet	250 eller flere	Over ca. EUR 50 mill.	Over ca. EUR 43 mill.

Små virksomheter kan fortsatt bli relevante hvis tjenesten er særlig kritisk, eller hvis kunden gjør NIS2-krav til kontraktskrav.

Vesentlig vs viktig

Hva betyr "vesentlig" og "viktig" enhet?

NIS2 skiller mellom essential entities og important entities. Begge kategorier får krav til sikkerhetstiltak og hendelsesrapportering. Forskjellen ligger særlig i tilsynsregime, prioritet og sanksjonsnivå. I praksis bør begge grupper bygge samme grunnmur: styring, risiko, hendelser, leverandører, opplæring og dokumentasjon.

Leverandørkjede

Ikke omfattet, men likevel truffet

Dette er den kommersielt viktigste delen for mange SMBer: dere kan være utenfor direkte virkeområde, men likevel måtte dokumentere sikkerhet fordi en kunde er omfattet. Da kommer kravene ofte som sikkerhetsbilag, spørreskjema, revisjonsrett, hendelsesfrister, krav til MFA, logging, beredskap og underleverandørkontroll.

Leverer dere til kritiske kunder?

Les den egne guiden om NIS2 og leverandørkjeden før dere svarer på nye sikkerhetskrav i anbud.

Se leverandørkrav

Finans

DORA kan gå foran for finans

For finanssektoren er DORA et spesialregelverk for digital operasjonell motstandsdyktighet. Der DORA regulerer samme forhold for finansforetak, må virksomheten vurdere DORA som lex specialis. NIS2 er fortsatt relevant for verdikjede og tilgrensende aktører, men finans bør ikke lese NIS2 isolert.

Vil du ha en konkret vurdering?

SPADE kan avklare sektor, størrelse, direkte/indirekte krav og hvilke tiltak som faktisk bør prioriteres.