top of page

Få full kontroll på NIS2 – sikre at bedriften din oppfyller de nye kravene

IMG_5520-Enhanced-NR.jpg

EU har vedtatt 'Network and Information Security Directive 2' (NIS2) for å styrke cybersikkerheten og motstandskraften mot cybertrusler i EU og EØS. Direktivet stiller skjerpede krav til flere sektorer og deres leverandører, med fokus på risikostyring, kontroll, rapportering og tilsyn. Målet er å beskytte samfunnets viktige og kritiske bedrifter og sikre kontinuerlig drift, selv under cyberangrep.

NIS2 blir vedtatt i Norsk lov i løpet av 2025. Ved å forbedre og sikre systemene nå, kan du både møte kravene og styrke bedriftens motstandsdyktighet mot fremtidige cybertrusler. Å være forberedt tidlig betyr mindre risiko og en tryggere fremtid for virksomheten din.

Serverrom
IMG_5561-Enhanced-NR_edited.jpg

Hva er NIS2? 

NIS2 'Network and Information Security Directive 2' er et nytt EU-direktiv (2022/2025) som erstatter NIS1 som Norge og EU allerede har implementert. Nytt i NIS2 er at direktivet blir ikke bare lengre frivillig, men det blir obligatorisk for mange bedrifter. Hovedintensjonen bak NIS2 er å få Cybersikkerhet inn i alle prosessene som bedriften driver med og redusere risiko for hendelser som kan skade bedriften, kunder og samfunnet som helhet. Det skal øke motstandsdyktigheten mot cybertrusler på tvers av hele Europa, inkludert Norge.

Sanksjonering er nytt i NIS2. Blir IT-sikkerheten ikke tilstrekkelig oppfulgt kan det komme store bøter og sanksjoner mot både ledelse og styret i bedriften, opp til 2% av bedriftens omsetning eller 10 millioner Euro. Ledelse og styret risikerer i tillegg fengselsstraff.

Virksomheter som blir berørt og faller innunder NIS2

For å finne ut om din virksomhet faller innunder NIS2, så kategoriseres en del sektorer som kritiske og en del som viktige. Dersom man er innenfor en av disse sektorene eller leverer kritiske tjenester, produkter eller varer til en organisasjon som opererer innenfor en av disse sektorene, så er man innenfor NIS2-regelverket og er forpliktet til å følge reglene. ​

Kritiske virksomheter:

​​

  • Digital infrastruktur: DNS, datasentre, skylagringsleverandører, MSP-er (Managed Service Providers), kommunikasjonsplattformer, toppdomeneadministratorer og tillitstjenester.
     

  • Energi: Produsenter, operatører, forsyning, distributører, kringkasting og salg av elektrisitet, olje, gass, fjernvarme/kjøling, hydrogen, operatører og produsenter av ladestasjoner for elbiler.
     

  • Transport: Luftfart, jernbane, vei- og vanntransport, samt gods- og havnevirksomheter.
     

  • Offentlig forvaltning: Sentraladministrasjon, regioner og kommuner.
     

  • Bank- og finansielle markedsinfrastrukturer: Banker, kredittinstitusjoner, handels- og børsvirksomheter samt deres infrastruktur.
     

  • Helse: Helsetjenesteleverandører, forskningslaboratorier innen helsefremming, farmasøytiske selskaper samt produsenter av medisinsk utstyr og råvarer.
     

  • Drikke- og avløpsvann: Leverandører, distributører, innsamling og avhending
     

  • Romfart: Romfartsinfrastruktur, programvare og tjenester.

Viktige virksomheter​

  • Kjemikaler: Fremstilling, produksjon og distribusjon.
     

  • Avfallshåndtering: Innsamling, transport, gjenvinning og avhending.
     

  • Post- og budtjenester: Klargjøring, sortering, transport og levering av post og pakker.
     

  • Matvarevirksomheter: Fremstilling, distribusjon og produksjon.
     

  • Digitale tjenesteleverandører: Leverandører av nettbaserte markedsplasser, søkemotorer og sosiale plattformer.
     

  • Forskning: Forskningsorganisasjoner.
     

  • Produksjonsvirksomheter for kritisk viktig utstyr: 

Fremstilling og produksjon av farmasøytiske produkter, elektronisk og optisk utstyr, maskineri, kjøretøy og reservedeler som anses som spesielt viktige for samfunnet.

Hvis din virksomhet er underleverandør til en bedrift som er dekket av NIS2, så vil NIS2 også gjelde for dere. 

Minimumskrav for NIS2

Det er ikke bare sektorene ovenfor som bestemmer om en bedrift må oppfylle NIS2. For at bedriften skal være forpliktet til å måtte oppfylle NIS2, så må den være dekket av ett eller flere av de følgende kriteriene*:

eller

50+ eller flere medarbeidere i organisasjonen

eller

Omsetning som overskrider 10 millioner EUR (ca. 100 millioner kroner) per år

Eiendeler over 10 millioner EUR (ca. 100 millioner NOK)

* NIS2-direktivet stiller i tillegg krav at underleverandører til NIS2-bedrifter oppfyller nødvendige sikkerhetsstandarder. Som leverandør til en NIS2-bedrift kan man derfor indirekte bli påvirket av kravene, selv uten å oppfylle størrelseskriteriene selv.

Bedrifter med kritiske produkt i verdikjeden

Bedrifter som har lite eller ingen konkurranse i markedet kan også bli innbefattet av NIS2-direktivet om tjenestene som bedriften er kritiske for samfunnet eller kritiske for leverandører som er kritiske. Eksempel kan være leverandører av avløp- og pumpesystem,  leverandør til el-bransjen, logistikk-bransje eller leverandører av deler til transportbransjen. Telekom-systemer, overvåkingssystemer og teknikkdeler kan også være omfattet.

Leverandører som leverer til en kritisk sektor, og som er i fåtall eller har monopol vil også være innbefattet av NIS2.

Et overvåkingskamera med skygge
Dommer og Gjavel

Sanksjoner ved manglende etterlevelse av NIS2

NIS2 stiller strengere krav til cybersikkerhet, og manglende etterlevelse kan få alvorlige konsekvenser for bedriften din. For å sikre at reglene overholdes, har direktivet innført tydelige sanksjonsrammer som kan ramme både virksomheter og ledelse:

  • Store bøter: Bedrifter som bryter reglene kan bli ilagt bøter på opptil 10 millioner euro eller 2 % av den globale årlige omsetningen, avhengig av hva som er høyest.
     

  • Personlig ansvar for ledelsen: Bedriftens styre og ledelse kan holdes ansvarlig for manglende oppfølging av cybersikkerhetskrav. Dette kan innebære krav om konkrete tiltak eller til og med erstatningsansvar.
     

  • Tap av tillit: For bedrifter som ikke oppfyller NIS2-kravene, kan konsekvensene strekke seg utover økonomiske sanksjoner. Manglende sikkerhet kan skade omdømmet og føre til tap av kunder og samarbeidspartnere.

Å ignorere NIS2 kan altså bli langt dyrere enn å etterleve kravene. Ved å være proaktiv og sikre at systemene og prosessene er på plass, kan bedriften unngå både økonomisk risiko og skade på omdømmet.

IMG_5533-Enhanced-NR (2)_edited.jpg

Gjør din bedrift klar for NIS2

Hvis bedriften din er omfattet av de nye NIS2-reglene, må dere sikre en god grunnleggende cybersikkerhet. Dette innebærer at dere må oppfylle krav innen ledelse, risikohåndtering, kontinuitetsplanlegging og rapportering til relevante myndigheter.

Det forventes at dere kan dokumentere hvordan IT-sikkerheten er organisert, hvordan dere håndterer og beskytter systemene, hvordan dere gjenoppretter driften etter hendelser, og hvor robust sikkerheten deres er.

NIS2 krever implementering av en rekke tiltak, inkludert:

  • Definisjon av arbeidsgruppe og rapportering

  • Regelmessig risikoanalyse

  • Sikring av informasjonssystemer

  • Effektiv håndtering av sikkerhetshendelser

  • Planer for driftskontinuitet, som backup, gjenoppretting og krisehåndtering

  • Løpende evaluering og oppdatering av sikkerhetstiltak

  • Opplæring av ansatte i cybersikkerhet

  • Bruk av kryptering for å beskytte data

  • Sikker tilgangsstyring og personalsikkerhet

I tillegg må vesentlige sikkerhetshendelser rapporteres til myndighetene innen gitte tidsfrister. Å oppfylle disse kravene bidrar ikke bare til økt sikkerhet, men styrker også tilliten til bedriften din i markedet.

Når trer NIS2 i kraft? 

Status i Norge er at det er p.t. en offentlig høring om tilbakemeldinger som konkluderes 11. Desember 2024. I Danmark skal NIS2 være i effekt 1. Juli 2025, Sverige 1. Januar 2025, Nederland Q3 2025. Det er sannsynlig at Norge ligger nærme disse landene, mest sannsynlig Q3 2025 ettersom vi ligger noe etter EU ellers. Kun Belgia, Kroatia, Ungarn, Italia, Latvia og Litauen har implementert direktivet i nasjonal lov iht. opprinnelig frist. 


Norge har tidligere adoptert NIS-1 direktivet og har igjennom EØS krav på oss om å adoptere direktivet. Med regjeringens posisjon er det usannsynlig at Norge igjennom EFTA-domstolen vil protestere på iverksettelsen. 

Vil du motta vår guide om NIS2? Fyll ut skjemaet under så mottar du den i løpet av kort tid kostnadsfritt.

IT Relasjon AS beskytter din private informasjon og følger GDPR-regulativet. Vi vil derfor aldri dele eller bruke informasjon du deler med oss til andre formål enn som oppgitt. 

Meldingen din er sendt. Vi sender straks over NIS2 guiden.

bottom of page