Det er en vanlig antakelse, og ofte feil. Mange forbinder cybersikkerhetsregelverk med kraftforsyning, banker eller statlige institusjoner. Men med NIS2 utvides regelverket betydelig. Flere sektorer omfattes, flere selskaper regnes som samfunnsviktige, og ansvaret for cybersikkerhet flyttes tydelig fra IT-avdelingen og opp til ledelsen.
Mange virksomheter som tidligere sto utenfor, vil nå enten være direkte omfattet eller indirekte berørt gjennom kunder, leverandører og kontraktskrav.
Hva er egentlig NIS2?
NIS2 er EUs oppdaterte direktiv for nettverks- og informasjonssikkerhet (Network and Information Security Directive). Det erstatter det tidligere NIS1-direktivet og har som mål å styrke cybersikkerheten i hele Europa.
Direktivet stiller konkrete krav til risikostyring, sikkerhetstiltak, hendelseshåndtering og rapportering. Samtidig tydeliggjør det ledelsens ansvar – og åpner for betydelige sanksjoner ved manglende etterlevelse.
Kort sagt: NIS2 gjør cybersikkerhet til et styrings- og ledelsesansvar, ikke bare et teknisk spørsmål.
Hvem omfattes av NIS2?
NIS2 gjelder for virksomheter som:
-
Opererer innen definerte sektorer
-
Er over en viss størrelse
Direktivet deler virksomheter inn i to hovedkategorier:
-
Vesentlige virksomheter (Essential Entities)
-
Viktige virksomheter (Important Entities)
Forskjellen mellom disse ligger primært i tilsynsform og sanksjonsnivå – ikke i selve sikkerhetskravene.
Størrelseskriterier er et avgjørende punkt
Som hovedregel gjelder NIS2 for virksomheter som har:
-
Minst 50 ansatte, eller
-
Årlig omsetning over ca. 10 millioner euro
-
Men det finnes viktige unntak.
Enkelte virksomheter omfattes uansett størrelse, for eksempel:
-
Tilbydere av sentral digital infrastruktur
-
Enkelte nettverks- og sikkerhetstjenester
-
Virksomheter med særlig samfunnskritisk rolle
Det betyr at også mindre selskaper kan bli direkte regulert.
Gjelder dette norske selskaper?
Ja.
Selv om Norge ikke er EU-medlem, vil NIS2 bli innført gjennom EØS-avtalen. Det vil komme norsk lovgivning som konkretiserer:
-
Hvem som omfattes
-
Hvem som fører tilsyn
-
Hvordan håndheving og sanksjoner skal skje
I tillegg kan norske virksomheter bli indirekte påvirket dersom de leverer til EU-virksomheter som selv er underlagt NIS2. Disse vil stille strengere krav i kontrakter, leverandøravtaler og sikkerhetsrevisjoner.
Hvem blir typisk overrasket?
Mange virksomheter tenker: «Dette gjelder ikke oss.» Likevel gjør det ofte det.
Typiske eksempler:
-
IT-driftsselskaper og MSP-er
-
SaaS-selskaper med bedriftskunder
-
Private helsetjenester
-
Logistikk- og transportselskaper
-
Datasentre og hostingmiljøer
-
Leverandører til offentlig sektor
-
Produksjonsbedrifter med digitaliserte prosesser
Hvis virksomheten:
-
Leverer digitale tjenester
-
Er en del av andres verdikjede
-
Eller håndterer driftskritiske systemer
...bør NIS2 vurderes grundig.
Hva betyr dette i praksis?
For mange virksomheter innebærer NIS2 et skifte i hvordan cybersikkerhet organiseres og prioriteres.
Blant annet:
-
Ledelsen får et eksplisitt og dokumenterbart ansvar
-
Det stilles krav til systematisk risikostyring
-
Virksomheten må ha strukturert hendelseshåndtering
-
Sikkerhetstiltak må være dokumentert og forholdsmessige
-
Leverandørkjeden må vurderes og følges opp
-
Brudd kan medføre betydelige bøter
-
Dette handler ikke bare om teknologi – men om styring, struktur og modenhet.
-
For mange vil det kreve en gjennomgang av eksisterende sikkerhetsarbeid:
-
Har vi tilstrekkelig oversikt over risiko?
-
Er ansvarsforhold tydelig definert?
-
Er leverandører vurdert?
-
Kan vi dokumentere det vi faktisk gjør?
Oppsummering av NIS2
NIS2 gjelder for:
-
Langt flere sektorer enn tidligere
-
Mellomstore og store virksomheter (som hovedregel)
-
Både private og offentlige aktører
-
Også indirekte gjennom leverandørkjeder
Konklusjonen er enkel:
Det er langt flere virksomheter enn man tror som bør undersøke om de omfattes.
Å anta at man ikke er berørt kan bli en kostbar feil.
