# Slik forbereder norske SMB-er seg på NIS2

> Praktiske compliance-steg for det nye EU-direktivet, hva du bør gjøre nå, og hva som kan vente.

Source: https://fmcybersecurity.com/insights/compliance/slik-forbereder-norske-smber-seg-pa-nis2/
Locale: Norwegian (nb-NO)
Other locale: https://fmcybersecurity.com/en/insights/compliance/nis2-prep/

## Metadata

- Date: 2026-04-22
- Author: johan-vorgaard
- Topic: compliance
- Format: guide

NIS2 utvider hva som regnes som "vesentlige" og "viktige" virksomheter, og strammer inn fristen for hendelsesrapportering. De fleste norske SMB-er vi snakker med er usikre på om de er innenfor virkeområdet. Her er en praktisk rekkefølge.

## 1. Avklar omfanget først

Før du bruker en eneste time på kontroller, bekreft om direktivet gjelder for din sektor og størrelse. Kriteriene er endret; mange virksomheter som var utenfor NIS1 er innenfor NIS2.

## 2. Kartlegg dagens tilstand mot Annex I

Annex I er kontrollbiblioteket ditt. Kjør en gap-analyse. De fleste ISO 27001-tilpassede organisasjoner er 60-70 % på vei.

## 3. Få incident-playbooken på plass

24-timers tidligvarslingen er den operative endringen med ekte konsekvenser. Hvis IR-runbooken din fortsatt måles i dager, fiks det først.

## 4. Dokumentér, ikke pynt på fasaden

Revisorer vil ha bevis på at kontrollene *fungerer*, ikke pene policydokumenter. Bygg dokumentasjonen som et biprodukt av arbeidet, ikke som et eget løp.

> Hvis du bare skal gjøre én ting dette kvartalet: øv gjennom hele 24-timers varslingsflyten fra ende til ende, med de som faktisk skal være på vakt.

---

For the full documentation index, see https://fmcybersecurity.com/llms.txt
For the complete corpus as a single document, see https://fmcybersecurity.com/llms-full.txt