For the complete documentation index, see /llms.txt. Markdown version of this page: /insights/compliance/nis2-sjekkliste-for-smb-ledere.md.
EN / NB Kontakt oss →
EN / NB

Rådgivning

MDR / SOC

Sårbarhetshåndtering

Identitet

Compliance

AI-sikkerhet

CrowdStrike

Aikido

Tenable

Idira (CyberArk)

Innsikt

Serier

Hendelser og ressurser

Om oss

Selskapsinfo

Kontakt

Partnere

Compliance ↗

NIS2-sjekkliste for norske SMB-ledere

NIS2-sjekkliste for norske SMB-ledere, med omfangstesten, hvem som er ansvarlig for hva, rapporteringsfristene, hva dere bør budsjettere, og spørsmålene styret må svare på.

7 min lesetid Av Maximilian Sharoyan
NIS2 Checklist, FM CyberSecurity forsidegrafikk

Her er NIS2-sjekklista en norsk SMB-leder kan handle på. Den samler beslutningene bare dere kan ta, og holder ingeniørarbeidet som følger etterpå utenfor.

NIS2 er EUs sentrale lov for cybersikkerhet i viktige deler av økonomien, direktiv (EU) 2022/2555. Den er ikke norsk lov ennå. Norge er i EØS, så regelverket må først innlemmes i EØS-avtalen og deretter skrives inn i en ny norsk lov, og det arbeidet pågår. Ingen norsk startdato er satt, så regn enhver bestemt dato dere ser på nett som ubekreftet. Loven Norge allerede har, digitalsikkerhetsloven, i kraft fra 1. oktober 2025, bærer det eldre NIS1-direktivet, ikke NIS2.

Tidspunktet er uavklart, men arbeidet kan dere ikke vente med. Presset gjennom leverandørkjeden er her allerede, og punktene under tar måneder, så start nå. For hva NIS2 er og hvem den omfatter, les forklaringen vår om NIS2 i Norge. Denne sjekklista ligger et lag under: beslutningene på ledernivå.

NIS2 Checklist, FM CyberSecurity

1. Kjør omfangstesten

Skriv ned om NIS2 omfatter dere, etter sektor og etter størrelse. To tall avgjør det. Dere er omfattet hvis dere driver i en dekket sektor og når grensen for mellomstore foretak: 50 eller flere ansatte, eller mer enn 10 millioner euro i omsetning eller balansesum. Noen få sektorer er med uansett størrelse, så sjekk sektorlistene, ikke stopp ved antall ansatte.

Selv under den grensen kan en dekket kunde skyve NIS2-plikter over på dere gjennom kontrakten (artikkel 21). Noter derfor to svar: er vi direkte omfattet, og hvilke av kundene våre sender plikter videre ned til oss.

2. Avgjør vesentlig eller viktig, og hva det endrer

Plasser dere i riktig kategori, for den styrer hvordan tilsynet følger dere opp. Vesentlige virksomheter omfatter energi, transport, bank, helse, vann og digital infrastruktur. Viktige virksomheter omfatter neste lag: industri, mat, kjemikalier, avfall, post, og digitale tilbydere som sky.

Skillet endrer først og fremst tilsynet. Vesentlige virksomheter kontrolleres på forhånd, viktige virksomheter kontrolleres etter en hendelse. Begge møter de samme sikkerhets- og rapporteringspliktene, så les ikke “viktig” som “lettere arbeid”.

3. Forankre ansvaret i styret skriftlig

Få styret til å ta formelt ansvar for cybersikkerhetsrisikoen og protokollføre det (artikkel 20). NIS2 pålegger ledelsesorganet å godkjenne og føre tilsyn med sikkerhetstiltakene, og krever at styremedlemmene tar opplæring i cybersikkerhet så de kan vurdere risikoene selv.

Skriv et styrenotat på én side som navngir den ansvarlige for risikoen, peker på risikostyringsplanen, og setter en dato for styreopplæring. Godkjenn det i et protokollført møte som viser til artikkel 20. “Det overlater vi til IT” er svaret som ryker her.

4. Legg grunnlaget for risikostyring

Etabler de ti minstetiltakene for sikkerhet som NIS2 lister, eller koble dem mot det dere allerede kjører (artikkel 21). Lista dekker risikopolicyer, hendelseshåndtering, sikkerhetskopi og forretningskontinuitet, sikkerhet i leverandørkjeden, sikker utvikling, flerfaktorpålogging, kryptering og opplæring av ansatte.

Kjører dere et ISO 27001-system, finnes de fleste av disse allerede. Gjør en gap-analyse: NIS2-tiltaket på den ene siden, kontrollen dere kjører i dag på den andre. Merk hvert som på plass, delvis eller manglende. Hullene blir arbeidsplanen, og dere kan gjenbruke ISO 27001-arbeidet dere har gjort.

5. Få oversikt over leverandørene på plass

Skriv ned hvordan dere styrer sikkerhetsrisikoen fra leverandørene, for NIS2 navngir leverandørkjeden som et eget tiltak (artikkel 21). Dette er den samme plikten de dekkede kundene deres skyver over på dere, så arbeidet teller begge veier.

List opp de viktigste leverandørene etter hvor kritiske de er for tjenesten deres. Merk hver enkelt, og sjekk så kontrakten for sikkerhetsplikter, frister for varsling ved brudd, og rett til å be om dokumentasjon. Skyplattformer og enhver leverandør som håndterer kundedata kommer først.

6. Still inn hendelsesplanen etter fristene

Skriv om hendelsesplanen rundt tre frister, for NIS2-rapportering måles i timer, ikke dager (artikkel 23). Når en alvorlig hendelse er bekreftet, skylder en dekket virksomhet:

  • Et tidlig varsel innen 24 timer etter at den ble oppdaget.
  • En full melding innen 72 timer, med en første vurdering.
  • En sluttrapport innen én måned etter den meldingen.

24-timersfristen er den operative endringen med reell brodd, etter direktivets rapporteringsplikter. Navngi hvem som avgjør at en hendelse er alvorlig nok til å rapportere, og øv på flyten fra ende til ende med folkene som er på vakt klokka tre om natta. Teller rutineboka deres fortsatt i dager, rett det denne uka.

7. Sett én ansvarlig per plikt

Gi hver plikt én intern ansvarlig og før det inn i et kort omfangsnotat. Omfang, styrenotat, risikogrunnlag, leverandørgjennomgang og hendelsesplan trenger hver sin navngitte person, altså én ansvarlig og ikke en komité.

Notatet er beslutningsprotokollen. Det sier om NIS2 omfatter dere, hvem som er ansvarlig for hver plikt, og når de forfaller. En revisor, eller et spørreskjema fra en kunde, ber om akkurat dette først.

8. Budsjetter arbeidet ærlig

Sett et budsjett over tre poster: intern arbeidstid, verktøy dere mangler, og ekstern rådgivning eller revisjonshjelp. For en SMB ligger mesteparten av kostnaden i arbeidstid til å skrive, innføre og dokumentere tiltakene, ikke i ny programvare.

Planlegg utgiftene over to til tre kvartaler, ikke bare ett. I typiske gjennomganger er det tekniske grunnlaget allerede på plass, og det som mangler er dokumentasjonen og hendelsesflyten, som tar lengre tid å få på plass enn å kjøpe.

9. Still styret disse spørsmålene dette kvartalet

Ta med fire spørsmål til neste styremøte, og få et ja eller nei på hvert:

  • Er vi direkte omfattet, og hvilke kunder sender NIS2-plikter til oss gjennom kontrakter?
  • Hvem er ansvarlig for hver NIS2-plikt, ved navn, med en dato?
  • Kan vi sende et tidlig varsel innen 24 timer i dag, med folkene vi har på vakt?
  • Hva er budsjettet, fordelt på arbeidstid, verktøy og ekstern hjelp?

Fire svar, skrevet ned, er hele beslutningen på ledernivå. Alt det operative følger av dem.

Neste steg

Ta kontakt med compliance-teamet vårt for en NIS2-tilstandsanalyse: en omfangskonklusjon dere kan forsvare, en gap-liste mot tiltakene i artikkel 21, og en innøvd rapporteringsflyt på 24 timer. Vi jobber sammen med teamet deres, slik at dere sitter igjen med et opplegg dere kan drifte på egen hånd.

FAQ

Er vi omfattet av NIS2 som SMB?

Dere er sannsynligvis direkte omfattet hvis dere driver i en dekket sektor og har 50 eller flere ansatte, eller mer enn 10 millioner euro i omsetning eller balansesum, etter størrelsesgrensene. Noen få sektorer er med uansett størrelse. Under den grensen kan en dekket kunde likevel sende NIS2-plikter til dere gjennom kontrakten (artikkel 21), så sjekk mot sektorlistene i direktiv (EU) 2022/2555 og skriv ned konklusjonen.

Når gjelder NIS2 i Norge?

Ingen dato er satt. Norge er i EØS, så NIS2 må innlemmes i EØS-avtalen og deretter skrives inn i en ny norsk lov før den gjelder her, og den prosessen pågår. Regn enhver bestemt norsk dato dere ser på nett som ubekreftet til regjeringen kunngjør én. Presset gjennom leverandørkjeden venter ikke på datoen, så forbered dere nå.

Hvor raskt må vi rapportere en hendelse?

Tre frister etter artikkel 23: et tidlig varsel innen 24 timer etter at en alvorlig hendelse er oppdaget, en full melding innen 72 timer med en første vurdering, og en sluttrapport innen én måned etter den meldingen, etter direktivets rapporteringsplikter. Er hendelsen fortsatt åpen etter én måned, sender dere en statusrapport i stedet, og sluttrapporten følger når den er løst.

Kan vi gjenbruke ISO 27001-arbeidet til NIS2?

Ja, en stor del overføres. Tiltakene i artikkel 21 (risikostyring, hendelseshåndtering, sikkerhet i leverandørkjeden, forretningskontinuitet, lederansvar) er de samme tingene et ISO 27001-system allerede produserer med bevis. Koble de eksisterende kontrollene deres mot NIS2-tiltakene, så er mesteparten av sikkerhetsarbeidet gjort. Det som gjenstår er stort sett de bestemte fristene for hendelsesrapportering og det navngitte styreansvaret.

Hva må styret gjøre?

Forankre det skriftlig. NIS2 pålegger ledelsesorganet å godkjenne og føre tilsyn med sikkerhetstiltakene og ta opplæring i cybersikkerhet (artikkel 20). I praksis navngir styret en ansvarlig for risikoen, godkjenner risikostyringsplanen i et protokollført møte, setter en dato for opplæring, og godkjenner på nytt minst én gang i året og etter enhver alvorlig hendelse.

Hva er forskjellen på NIS2 og digitalsikkerhetsloven?

Digitalsikkerhetsloven, i kraft fra 1. oktober 2025, bærer det eldre NIS1-direktivet, ikke NIS2. Den er ikke den norske versjonen av NIS2. Regjeringen har sagt at NIS2 kommer gjennom en egen, bredere lov senere, så dagens lov er en beslektet forgjenger og ikke det samme regelverket.

Mer om Compliance

5. juni 2026 · Compliance
Hva EUs Cyber Resilience Act er, og hvem den omfatter

CRA er en EU-lov som knytter cybersikkerhetskrav til CE-merket, så et produkt med digitale elementer ikke kan selges i EU uten å oppfylle dem.

3. juni 2026 · Compliance
Hva ISO 27001 Lead Implementer-sertifisering betyr for prosjektet ditt

En Lead Implementer bygger styringssystemet deres, en Lead Auditor reviderer det. Ansetter dere feil rolle, stopper sertifiseringsprosjektet opp.

11. mai 2026 · Compliance
SOC 2 compliance for norske SMB-er som selger til USA

SOC 2 kan vinne dere en amerikansk avtale, eller koste seks sifre dere ikke trengte. Slik ser dere forskjellen, og slik passer det med ISO 27001.

← Tilbake til all innsikt
Spørsmål eller forespørsel? [email protected] Kontakt oss →