For the complete documentation index, see /llms.txt. Markdown version of this page: /insights/compliance/hva-er-nis2.md.
EN / NB Kontakt oss →
EN / NB

Rådgivning

MDR / SOC

Sårbarhetshåndtering

Identitet

Compliance

AI-sikkerhet

CrowdStrike

Aikido

Tenable

Idira (CyberArk)

Innsikt

Serier

Hendelser og ressurser

Om oss

Selskapsinfo

Kontakt

Partnere

Compliance ↗

Hva er NIS2, og hvilke norske virksomheter er omfattet

NIS2-kravene følger kontraktene nedover, så dere kan bli bedt om å vise sikkerhetsmodenhet før regelen i det hele tatt er norsk lov.

5 min lesetid Av Maximilian Sharoyan
NIS2, FM CyberSecurity forsidegrafikk

Dere kan tape en kontrakt på NIS2 før regelen i det hele tatt er norsk lov. En kunde som er omfattet, må kontrollere sine egne leverandører, så spørreskjemaet havner på pulten deres uansett om regelen treffer dere direkte ennå. Svarer dere svakt, faller dere ut av kortlista.

Det er forretningsrisikoen, og den er her allerede. Gjennom compliance-prosjektene dette kvartalet ser jeg det samme om igjen: et mellomstort norsk foretak får et langt sikkerhetsskjema fra en større kunde, og oppdager at det ikke har dokumenterte svar. Avtalen stopper opp. Kostnaden er ikke et gebyr. Det er anbudet dere ikke vinner, og fornyelsen som går til noen andre.

NIS2, FM CyberSecurity

Hva NIS2 er, og hvem det omfatter

NIS2 er EUs sentrale cybersikkerhetslov for viktige deler av økonomien. Det fulle navnet er direktivet om nettverks- og informasjonssikkerhet, andre versjon, direktiv (EU) 2022/2555. Det pålegger de omfattede virksomhetene å styre cyberrisikoen sin, rapportere alvorlige hendelser raskt, og legge ansvaret på styret. EUs medlemsstater måtte skrive det inn i nasjonal lov innen 17. oktober 2024.

Regelen sorterer de omfattede virksomhetene i to grupper. Vesentlige virksomheter er sektorene med høyest kritikalitet: energi, transport, bank, helse, drikkevann og digital infrastruktur. Viktige virksomheter er neste lag: posttjenester, avfall, kjemikalier, mat, produksjon og digitale tilbydere som sky og nettbaserte markedsplasser. Skillet styrer først og fremst hvor tett en tilsynsmyndighet følger dere. Vesentlige virksomheter kontrolleres på forhånd, viktige virksomheter kontrolleres etter at noe har gått galt. Begge må oppfylle de samme kravene til sikkerhet og rapportering.

Størrelse avgjør om dere er omfattet i det hele tatt. Som tommelfingerregel fanger direktivet mellomstore og større virksomheter: 50 ansatte eller mer, eller mer enn 10 millioner euro i omsetning. Under det er dere som regel utenfor, med mindre dere driver noe et land har pekt ut som kritisk uansett størrelse. Et foretak på 40 personer er altså ofte utenfor det direkte omfanget, mens en produsent på 300 ansatte i en omfattet sektor er innenfor.

Og her kommer poenget som overrasker norske foretak: plikten følger leverandørkjeden nedover. En omfattet virksomhet må styre sikkerhetsrisikoen fra leverandørene sine (NIS2 artikkel 21). I praksis sender den forpliktelsene videre til dere gjennom kontrakten. Dere kan stå utenfor det direkte omfanget og likevel møte de samme spørsmålene, fordi kunden deres trenger svarene deres for å tilfredsstille tilsynet som følger dem.

Hvordan dette lander i Norge

Norge er med i EØS, så NIS2 gjelder ikke her automatisk slik det gjør inne i EU. Det må først innlemmes i EØS-avtalen, og den innlemmelsen er i prosess. Ingen norsk startdato er kunngjort, og dere bør behandle enhver konkret dato dere ser på nett som ubekreftet.

Bland ikke dette med loven Norge allerede har. Digitalsikkerhetsloven, i kraft fra 1. oktober 2025, viderefører det eldre NIS1-direktivet, ikke NIS2. Regjeringen har sagt at NIS2 kommer gjennom en ny og bredere lov senere, sammen med EUs motstandsdyktighetsdirektiv for kritiske virksomheter. Den norske regelen som svarer til NIS2, er altså fortsatt under arbeid.

Det gapet er et planleggingsvindu, ikke en grunn til å vente. Presset fra leverandørkjeden venter ikke på norsk lov, og sikkerhetsarbeidet NIS2 forventer (risikostyring, hendelsesrespons, leverandøroppfølging) er det samme arbeidet et ISO 27001-system allerede gir dere. Det meste dere etablerer nå, teller senere.

Beslutningen styret må ta

Det ene spørsmålet for styret dette kvartalet er enkelt: bekrefter vi om vi er omfattet, og hvem er ansvarlig. Navngi en person, gi vedkommende en frist, og la vedkommende skrive ned tre ting: om NIS2 treffer dere direkte etter sektor og størrelse, hvilke av kundene deres som er omfattet og vil sende plikter videre til dere, og hvor dagens sikkerhetsnivå har hull mot direktivets krav til risikostyring. Det notatet er hele beslutningen. Alt operativt følger av det.

Vet dere allerede at dere er innenfor eller nær omfanget, ligger det operative neste steget i guiden vår om hvordan norske SMB-er forbereder seg på NIS2. Den dekker hva dere bør gjøre dette kvartalet, og hva som kan vente.

Neste steg

Se FM CyberSecuritys kompetanse og partnersertifiseringer på partnersiden vår. Eller ta en 30-minutters samtale med compliance-teamet vårt for et styrenivå-blikk på om dere er omfattet, og hva det betyr for kontraktene deres.

FAQ

Er vi omfattet av NIS2?

Dere er sannsynligvis direkte omfattet hvis dere driver i en omfattet sektor (energi, transport, bank, helse, vann, digital infrastruktur, produksjon, mat, kjemikalier, avfall, post eller digitale tjenester) og har 50 ansatte eller mer, eller mer enn 10 millioner euro i omsetning. Selv om dere ligger under den grensa, kan en omfattet kunde sende NIS2-plikter videre til dere gjennom kontrakten. Bekreft mot sektorlistene i direktiv (EU) 2022/2555 og skriv konklusjonen ned.

Når begynner NIS2 å gjelde i Norge?

Ingen dato er satt. Norge er med i EØS, så NIS2 må innlemmes i EØS-avtalen og deretter skrives inn i en ny norsk lov før det gjelder her. Den prosessen er i gang. Behandle enhver konkret norsk dato dere ser på nett som ubekreftet inntil regjeringen kunngjør en.

Hva skjer hvis vi ignorerer det?

Den nære kostnaden er kommersiell, ikke regulatorisk: en omfattet kunde som ikke får tilfredsstillende sikkerhetssvar fra dere, flytter kontrakten et annet sted. Inne i EU bærer NIS2 dessuten gebyrer på opptil 10 millioner euro eller 2 % av global omsetning for vesentlige virksomheter. Risikoen for tapt kontrakt treffer norske foretak først, gjennom spørreskjemaer i leverandørkjeden.

Hvordan skiller NIS2 seg fra GDPR?

GDPR beskytter personopplysninger, NIS2 beskytter sikkerheten og kontinuiteten i nettverks- og informasjonssystemer. Én hendelse kan utløse begge. De har ulike tilsynsmyndigheter, ulike rapporteringsfrister og ulike utløsere, så en plan bygget bare for GDPR-avviksrapportering dekker ikke en NIS2-hendelse.

Hvordan henger det sammen med digitalsikkerhetsloven?

Digitalsikkerhetsloven, i kraft fra 1. oktober 2025, gjennomfører det eldre NIS1-direktivet. Den er ikke den norske versjonen av NIS2. Regjeringen har sagt at NIS2 kommer gjennom en egen og bredere lov, så dagens lov er en beslektet forløper, ikke den samme regelen.

Mer om Compliance

5. juni 2026 · Compliance
Hva EUs Cyber Resilience Act er, og hvem den omfatter

CRA er en EU-lov som knytter cybersikkerhetskrav til CE-merket, så et produkt med digitale elementer ikke kan selges i EU uten å oppfylle dem.

3. juni 2026 · Compliance
Hva ISO 27001 Lead Implementer-sertifisering betyr for prosjektet ditt

En Lead Implementer bygger styringssystemet deres, en Lead Auditor reviderer det. Ansetter dere feil rolle, stopper sertifiseringsprosjektet opp.

11. mai 2026 · Compliance
SOC 2 compliance for norske SMB-er som selger til USA

SOC 2 kan vinne dere en amerikansk avtale, eller koste seks sifre dere ikke trengte. Slik ser dere forskjellen, og slik passer det med ISO 27001.

← Tilbake til all innsikt
Spørsmål eller forespørsel? [email protected] Kontakt oss →