NIS2 artikkel 21

NIS2-krav: de 10 sikkerhetstiltakene forklart

Sist oppdatert: juni 2026 · 8 min lesetid

Artikkel 21 er kjernen i NIS2 for virksomheter: tekniske, operasjonelle og organisatoriske tiltak for å håndtere cybersikkerhetsrisiko. Oversatt til praktisk arbeid handler dette om styring, risiko, hendelser, kontinuitet, leverandører og dokumentasjon.

Sjekk omfang først

Artikkel 21 a-j

De 10 tiltakene, oversatt til arbeid

Punkt Kravområde Hva en SMB faktisk gjør
a Risikopolicy og informasjonssystemsikkerhet Lag en risikoprosess med eiere, kriterier, tiltak, frister og ledelsesrapportering.
b Hendelseshåndtering Definer varslingsløp, roller, kontaktlister, logg, beslutninger og etterarbeid.
c Kontinuitet og krisehåndtering Lag backup-/restore-test, beredskapsplan, prioriterte tjenester og øvelser.
d Leverandørkjede Klassifiser kritiske leverandører, still sikkerhetskrav og følg opp underleverandører.
e Sikker anskaffelse, utvikling og vedlikehold Bygg sikkerhetskrav inn i innkjøp, endringer, patching, utvikling og akseptansetester.
f Måling av tiltak Test om tiltak virker: sårbarheter, restore, tilgangsreview, øvelser og internrevisjon.
g Cyberhygiene og opplæring Gjennomfør MFA, patching, phishingtrening, rollebasert opplæring og sikkerhetskultur.
h Kryptografi og kryptering Avklar kryptering for data i ro/i transitt, nøkkelhåndtering og unntak.
i HR-sikkerhet, tilgangskontroll og asset management Ha onboarding/offboarding, tilgangsreview, minst privilegium og oversikt over verdier.
j MFA og sikker kommunikasjon Bruk MFA, sikre tale/video/tekst der relevant og etabler rutiner for sikre kommunikasjonskanaler.

ISO 27001-kobling

Hvor ISO 27001 hjelper

ISO 27001 er ikke en automatisk NIS2-billett, men den gir en moden struktur: ledelsesforankring, risikostyring, kontroller, internrevisjon, avvik og kontinuerlig forbedring. Det viktigste er å mappe NIS2-kravene inn i styringssystemet, ikke lage et parallelt NIS2-dokumentsett.

ISMS som ryggmarg

Bruk risikovurdering, Statement of Applicability og behandlingsplan til å styre tiltakene.

27005 for risiko

ISO 27005 gir et språk for risiko som gjør NIS2-tiltak lettere å prioritere.

Kontrollbevis

Dokumenter at tiltak er gjennomført og testet, ikke bare at de er beskrevet.

Prioritering

Hva bør dere gjøre først?

  1. Få oversikt over tjenester og verdier. Hva må fungere, og hvilke systemer støtter det?
  2. Gjør en NIS2 gap-analyse. Ikke start med dokumentmaler før dere vet hvor gapene er.
  3. Rydd i tilgang og MFA. Dette er ofte raskt, målbart og viktig.
  4. Test backup og hendelsesrutiner. Beredskap uten test er en antakelse.
  5. Ta kritiske leverandører. Mange NIS2-avvik sitter i kontrakter og manglende oppfølging.

FAQ

Vanlige spørsmål

Dekker ISO 27001 alle NIS2-krav?

Nei, men det er et godt fundament. Du må fortsatt se på NIS2-rapportering, nasjonal gjennomføring, sektorforventninger og leverandørkjede.

Må vi sertifiseres?

Ikke nødvendigvis. Sertifisering kan hjelpe kommersielt og metodisk, men etterlevelse krever først reelle tiltak, ansvar og dokumentasjon.

Vil du vite hvilke krav som mangler?

En kort gap-analyse mot artikkel 21 gir et prioriteringskart før dere bruker tid på feil tiltak.