NIS / NIS2-ordliste

NIS1 fra 2016 var EUs første felles regelverk for cybersikkerhet. Det stilte krav til tilbydere av samfunnsviktige tjenester (som energi, transport, helse og bank) og til enkelte digitale tjenester.

I Norge er NIS1 gjennomført gjennom digitalsikkerhetsloven, som trådte i kraft 1. oktober 2025. Det er altså denne loven – ikke direktivet direkte – du forholder deg til i norsk rett i dag.

NIS2 fra 2022 erstatter NIS1 i EU og utvider regelverket betydelig: flere sektorer omfattes, kravene til risikostyring og hendelsesrapportering skjerpes, og ledelsen får et tydelig personlig ansvar.

NIS2 er foreløpig ikke norsk lov. Direktivet må først tas inn i EØS-avtalen, og per juni 2026 er det ikke fastsatt en endelig ikrafttredelsesdato i Norge. NSM har varslet en ny lov som vil gjennomføre NIS2 og CER, og som vil erstatte digitalsikkerhetsloven.

Digitalsikkerhetsloven (lov 2023-12-20-108) er det gjeldende norske regelverket for digital sikkerhet i samfunnsviktige og digitale tjenester. De overordnede pliktene står i loven, mens de konkrete kravene er fastsatt i forskrift.

Loven gjennomfører NIS1. Når NIS2 og CER en gang tas inn i EØS-avtalen, er det varslet at digitalsikkerhetsloven vil bli erstattet av en ny lov. Inntil da er det denne loven som gjelder.

CER-direktivet handler om fysisk og organisatorisk robusthet hos kritiske enheter, mens NIS2 dekker den digitale siden. De to henger tett sammen og innføres i EU som en pakke.

I Norge er CER, som NIS2, ikke gjennomført ennå. Den varslede nye loven er ventet å gjennomføre begge direktivene samlet.

Norge er ikke EU-medlem, men EØS-medlem. EU-direktiver blir ikke automatisk norsk rett – de må først tas inn i EØS-avtalen og deretter gjennomføres i nasjonal lovgivning.

For NIS2 og CER er denne innlemmelsen ikke fullført per juni 2026. Det er derfor heller ikke satt en endelig dato for når reglene trer i kraft i Norge. Følg med på NSM og regjeringen for oppdatert status.

Dette er kjernen i NIS1 slik den er gjennomført i Norge. Det gjelder tilbydere i sektorer som energi, transport, helse, vannforsyning, bank og finansiell markedsinfrastruktur, samt digital infrastruktur.

Slike tilbydere må oppfylle sikkerhetskravene i § 7 og varsle hendelser etter § 8. Hvem som regnes som tilbyder fastsettes nærmere i forskrift.

Digitale tjenester er en egen, mer avgrenset kategori under NIS1. Den dekker tre tjenestetyper: nettbaserte markedsplasser, søkemotorer og skytjenester.

Disse tilbyderne har noe lempeligere krav enn samfunnsviktige tjenester, men må fortsatt ivareta sikkerhet (§ 10) og varsle vesentlige hendelser (§ 11). Svært små virksomheter er i utgangspunktet unntatt.

NIS2 deler virksomheter i to: vesentlige og viktige. Vesentlige virksomheter er de mest kritiske (typisk store aktører i sektorer som energi, helse, transport, bank og digital infrastruktur) og underlegges proaktivt tilsyn.

Kategorien finnes ikke i dagens digitalsikkerhetslov – den kommer først når NIS2 gjennomføres i norsk rett.

Viktige virksomheter omfattes av de samme grunnleggende kravene som vesentlige, men tilsynet er reaktivt: myndighetene griper inn først ved mistanke om brudd, ikke løpende.

Mange mellomstore virksomheter i de utvidede NIS2-sektorene vil havne i denne kategorien. Skillet får betydning for tilsynsintensitet og gebyrnivå.

NSM koordinerer arbeidet med digital sikkerhet i Norge, drifter det nasjonale responsmiljøet (NCSC/CSIRT) og bistår sektormyndighetene. NSM har også varslet og forberedt den nye loven som skal gjennomføre NIS2 og CER.

Tilsynet med digitalsikkerhetsloven er fordelt på sektormyndigheter, men NSM har en samordnende og rådgivende rolle på tvers.

Tilsynet i Norge er sektorbasert: den myndigheten som ellers regulerer en sektor, fører som regel også tilsyn med digital sikkerhet der. Tilsynet kan gi pålegg og ilegge administrative reaksjoner.

Under NIS2 skjerpes tilsynet, med tydeligere skille mellom proaktivt tilsyn (vesentlige) og reaktivt tilsyn (viktige) og høyere gebyrtak.

Et CSIRT (også kalt CERT) tar imot varsler, analyserer trusler og bistår virksomheter under og etter hendelser. I Norge fyller NSM/NCSC denne rollen nasjonalt.

Både NIS1 og NIS2 forutsetter at hver stat har et velfungerende CSIRT. NIS2 stiller tydeligere krav til samarbeid og informasjonsdeling mellom landenes responsmiljøer.

Loven retter seg mot tjenester der bortfall får store konsekvenser for samfunnet – innen energi, transport, helse, vannforsyning, bank, finansiell markedsinfrastruktur og digital infrastruktur.

Hvilke konkrete tjenester og terskler som gjelder, er presisert i forskrift. Det er leveransen av selve tjenesten, ikke bransjen generelt, som er avgjørende.

Digitale tjenester er presist avgrenset til tre typer: nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. Kategorien er smalere enn samfunnsviktige tjenester.

Under NIS2 utvides og omklassifiseres digital infrastruktur og IKT-tjenester, slik at flere typer leverandører omfattes enn i dag.

NIS2 deler sektorer i «svært kritiske» (vedlegg I) og «andre kritiske» (vedlegg II). I tillegg til NIS1-sektorene kommer blant annet avløp, avfallshåndtering, post- og kurértjenester, næringsmidler, produksjon, kjemikalier, romvirksomhet og offentlig forvaltning.

Denne utvidelsen er en av de største endringene fra NIS1 til NIS2, og er hovedgrunnen til at mange flere norske virksomheter vil bli omfattet når regelverket gjennomføres.

NIS2 bruker en størrelsesregel: virksomheten omfattes vanligvis hvis den har minst 50 ansatte eller mer enn 10 millioner euro i omsetning/balanse. Mindre virksomheter faller i utgangspunktet utenfor.

Det finnes viktige unntak – enkelte aktører omfattes uansett størrelse fordi de er kritiske (for eksempel deler av digital infrastruktur og offentlig forvaltning).

Digitalsikkerhetsloven krever at tilbydere gjennomfører tiltak som står i forhold til risikoen, for å forebygge og håndtere hendelser. Kravene er funksjonelle – de sier hva som skal oppnås, ikke nøyaktig hvordan.

De konkrete kravene utdypes i forskrift. Under NIS2 erstattes og utvides dette av en mer detaljert liste over risikostyringstiltak.

NIS2 artikkel 21 lister konkrete tiltak: risikoanalyse og sikkerhetspolicy, hendelseshåndtering, kontinuitet og sikkerhetskopiering, forsyningskjedesikkerhet, sikkerhet i anskaffelse og utvikling, kryptografi, tilgangskontroll, og opplæring.

Dette er mer presist enn dagens funksjonelle sikkerhetskrav, og innebærer at mange virksomheter må dokumentere tiltakene grundigere enn i dag.

NIS2 løfter cybersikkerhet til styrenivå. Ledelsen må godkjenne risikostyringstiltakene, føre tilsyn med gjennomføringen og gjennomgå opplæring. Ansvaret kan ikke fullt ut delegeres bort.

Dette er en markant endring fra NIS1: ledelsen kan holdes personlig ansvarlig, og manglende oppfølging kan få konsekvenser for den enkelte leder.

NIS2 krever at virksomheter tar hensyn til sårbarheter hos sine direkte leverandører og tjenesteytere, og til kvaliteten på deres sikkerhetsarbeid. Forsyningskjedeangrep er en hovedbegrunnelse for regelen.

I praksis betyr det leverandørkartlegging, sikkerhetskrav i avtaler og løpende oppfølging – noe som ligner sterkt på god tredjeparts-risikostyring etter andre rammeverk.

NIS2 forutsetter at omfattede virksomheter melder seg inn og oppgir nøkkelopplysninger, slik at myndighetene har oversikt over hvem som er underlagt regelverket. Dette gjør tilsyn og varsling mer effektivt.

Hvordan registreringen konkret skal skje i Norge, avklares ved den nasjonale gjennomføringen av NIS2.

Tilbydere av digitale tjenester som tilbyr tjenester i Norge, men ikke er etablert her, kan måtte utpeke en representant i landet. Representanten er kontaktpunkt overfor norske myndigheter.

Regelen sikrer at også grenseoverskridende tjenester kan følges opp av norsk tilsyn.

Digitalsikkerhetsloven åpner for at IKT-produkter, -tjenester og -prosesser kan sertifiseres etter EUs cybersikkerhetssertifiseringsrammeverk. Sertifisering kan gjøre det enklere å dokumentere at sikkerhetskrav er oppfylt.

Sertifisering er i utgangspunktet frivillig, men kan bli stilt som krav i enkelte sammenhenger.

Begrepet dekker mer enn vellykkede angrep: enhver hendelse som går ut over tilgjengelighet, integritet eller konfidensialitet i systemene kan regnes som en sikkerhetshendelse. Definisjonen står i § 4.

Det er konsekvensen for tjenesten som er avgjørende, ikke om det dreier seg om et bevisst angrep, en feil eller et uhell.

Tilbydere av samfunnsviktige tjenester (§ 8) og digitale tjenester (§ 11) skal uten ugrunnet opphold varsle om hendelser som har betydelig innvirkning på leveransen. Formålet er rask respons og læring på tvers.

Under NIS2 blir varslingsreglene mer detaljerte, med konkrete frister og flere trinn i rapporteringen.

Under NIS2 må «vesentlige» hendelser varsles. En hendelse er vesentlig blant annet hvis den har forårsaket eller kan forårsake alvorlige driftsforstyrrelser eller økonomisk tap, eller har rammet andre gjennom betydelig skade.

Terskelen avgjør hva som må rapporteres, og henger sammen med de strenge varslingsfristene i NIS2.

NIS2 innfører en trinnvis varsling: en tidlig forhåndsvarsel innen 24 timer, en mer utfyllende hendelsesmelding innen 72 timer, og en sluttrapport senest innen én måned.

Dette er strengere og mer presist enn dagens norske regler, og krever at virksomheten har en innøvd varslingsrutine før en hendelse inntreffer.