NIS2 er EUs reviderte direktiv for cybersikkerhet. Det utvider kravene til risikostyring, ledelsesansvar og hendelsesrapportering, og ventes innført i norsk rett i 2026 etter at digitalsikkerhetsloven trådte i kraft 1. oktober 2025.

Treffer NIS2 min virksomhet?

NIS2 utvider omfanget fra et fåtall kritiske virksomheter til tusenvis av norske bedrifter, blant annet de med 50 eller flere ansatte eller omsetning over 10 millioner euro, virksomheter i essensielle eller viktige sektorer, og leverandører til slike virksomheter.

Hva krever NIS2 av ledelsen?

Ansvaret for cybersikkerhet skal forankres på toppledernivå, med risikostyring og dokumenterte tiltak, og vesentlige hendelser skal varsles myndighetene innen korte frister. Manglende etterlevelse kan gi personlig ansvar for ledelsen.

To fagfolk gjennomgår dokumenter og notater ved et skrivebord med bærbare maskiner.

Etterlevelse · NIS2

NIS2 kommer. Spørsmålet er
om dere er klare.

Digitalsikkerhetsloven trådte i kraft 1. oktober 2025. NIS2 ventes innført i norsk rett i 2026, og utvider kravene dramatisk, med personlig ansvar for ledelsen. Virksomheter som venter på forskriften, starter for sent.

01Hvem omfattes

Treffer NIS2 dere?

NIS2 utvider omfanget fra et fåtall kritiske virksomheter til tusenvis av norske bedrifter. Kjenner dere igjen ett eller flere av punktene, bør dere kartlegge nå:

50 eller flere ansatte, eller omsetning/balanse over 10 millioner euro

Virksomhet i «essensielle» eller «viktige» sektorer: energi, transport, helse, digital infrastruktur, produksjon med flere

Kunder eller eiere i EU, der NIS2 allerede har trådt i kraft

Leverandør til virksomheter som selv omfattes. Kravene forplanter seg nedover i leverandørkjeden

Selv om NIS2 kanskje ikke treffer dere direkte: når sikkerheten skjerpes rundt dere, blir det svakeste leddet mer utsatt, og kundene deres vil stille kravene videre.

02Hva kreves

Tre krav som treffer ledelsen.

Ansvar

Ledelsesforankring

Ansvaret for cybersikkerhet skal forankres på toppledernivå med definerte roller. Manglende etterlevelse kan gi personlig ansvar, i ytterste konsekvens at ledelsen midlertidig avsettes.

Styring

Risikostyring & tiltak

Regelmessige risikoanalyser og dokumenterte tekniske, operasjonelle og organisatoriske sikkerhetstiltak, inkludert kontroll på tredjeparter og leverandørkjeden.

Rapport

Varsling & dokumentasjon

Vesentlige hendelser skal varsles myndighetene innen korte frister, og etterlevelsen skal kunne dokumenteres. Uten rutiner på plass er fristene umulige å nå.

03Slik hjelper vi

GAP-analysen: svaret
på «hvor står vi?»

På noen få uker måler vi sikkerhetsmodenheten deres mot NSM grunnprinsipper og NIS2-kravene. Dere får et ærlig bilde, en prioritert plan, og en ledelsesrapport som er klar for styret.

Dette får dere

Modenhetsvurdering mot NSM grunnprinsipper
Kartlegging mot NIS2-kravene som kommer
Prioritert tiltaksplan med kost/nytte-vurdering
Ledelsesrapport, klar for styrebehandling
Anbefalt vei videre, uten binding

Start kartleggingen før forskriften tvinger dere.

De som er klare når NIS2 trer i kraft, brukte tiden før. Ta sikkerhetsdiagnosen for et raskt nåbilde, eller book en uforpliktende prat om GAP-analysen.

Ta sikkerhetsdiagnosen → Book GAP-analyse

Innholdet på denne siden er veiledende informasjon om regelverk i utvikling, og er ikke juridisk rådgivning. Endelige krav fastsettes når NIS2 gjennomføres i norsk rett.

NIS2 kommer. Spørsmålet erom dere er klare.