NIS2 endrer spillereglene: Er norske virksomheter klare for strengere sikkerhetskrav?

Den siste tiden har vi sett flere eksempler på hvor kritisk cybersikkerhet har blitt for norske virksomheter. DNB ble nylig utsatt for et sofistikert svindelforsøk, og både offentlig sektor og store private selskaper har opplevd alvorlige cyberangrep. For å styrke beredskapen mot digitale trusler har EU vedtatt NIS2-direktivet. Direktivet skjerper kravene til sikkerhet og rapportering for virksomheter som drifter kritiske tjenester, og blir trolig implementert i norsk lov i løpet av 2026. Men hva betyr egentlig disse nye kravene for norske bedrifter?

Hva er NIS2-direktivet og hvem er det relevant for?

NIS2 (Network and Information Security Directive 2) er en revidert versjon av det opprinnelige NIS-direktivet fra 2016, med mål om å etablere et høyt, felles sikkerhetsnivå i Europa. Direktivet utvider omfanget til å omfatte både «essensielle» og «viktige» tjenester — blant annet energi, transport, finans, helse, vannforsyning, offentlig administrasjon og digital infrastruktur. I tillegg vil NIS2 inkludere mellomstore bedrifter, som er en vesentlig utvidelse fra NIS1 som i hovedsak fokuserte på kritiske infrastrukturleverandører.

Hva endres?

NIS2 vil ramme et bredt spekter av virksomheter, inkludert både store og mellomstore selskaper, samt aktører i leverandørkjeden. I praksis innebærer endringene skjerpede krav til risikostyring, hyppigere vurderinger, testing og obligatorisk rapportering av sikkerhetshendelser. I tillegg stilles det strengere krav til dokumentasjon og leverandørkjedesikkerhet. Ansvaret for dette er tydelig plassert hos toppledelsen. Myndighetene får hjemler til å ilegge bøter, pålegg og i ytterste fall avsette ledelsen dersom kravene ikke overholdes. De største endringene for bedriftene er:

• Økte krav til dokumentasjon og risikostyring: Virksomhetene må gjennomføre regelmessige risikoanalyser, implementere nye sikkerhetsprosedyrer og jobbe for å redusere de viktigste risikoene — ofte med en mer helhetlig tilnærming som også inkluderer samarbeid med tredjepartsleverandører. Å være i tråd med NIS2 fordrer videre at man kan dokumentere aktivitetene som gjennomføres.
• Større ansvar hos ledelsen: Ansvar for cybersikkerhet må forankres på toppledernivå med klart definerte roller. Manglende etterlevelse kan føre til at ledelsen blir personlig ansvarliggjort for virksomhetens manglende sikkerhet og kan i ytterste konsekvens midlertidig avsettes.
• Flere krav til sikkerhetstiltak: Bedrifter som omfattes av NIS2 er pålagt å gjennomføre en rekke sikkerhetstiltak. Dette innebærer blant annet implementeringer av tekniske, operasjonelle og organisatoriske sikkerhetstiltak basert på en helhetlig trusseltilnærming. Dette betyr at mange virksomheter må ta bevisste valg rundt hvordan man organiserer seg.

Manglende etterlevelse kan føre til betydelige økonomiske sanksjoner, tap av omdømme og i verste fall alvorlige driftsforstyrrelser — konsekvenser som i dagens digitale landskap kan være ødeleggende.

Hvordan komme i gang?

Å oppfylle NIS2-kravene og styrke virksomhetens sikkerhet kan virke overveldende, men det er fullt mulig å starte i det små. Et naturlig første steg er å gjennomføre en risikoanalyse for å kartlegge hvilke trusler som er mest kritiske for din virksomhet. Deretter bør det vurderes om virksomheten er eksponert for en uakseptabelt høy risiko og eventuelt gjennomføre risikoreduserende tiltak. Skal man lykkes over tid er det sentralt at sikkerhet er satt i system i brede lag av virksomheten.

Bekk har erfaring med å styrke sikkerhetsarbeidet hos sine kunder og utarbeide sikkerhetsstrategier. Ta kontakt på hei@bekk.no, eller direkte med Oscar Hafstad eller Kristoffer Winther for en uforpliktende prat om hvordan vi kan hjelpe din bedrift.