Det er en vanlig antakelse, og ofte feil. Mange forbinder cybersikkerhetsregelverk med kraftforsyning, banker eller statlige institusjoner. Men med NIS2 utvides regelverket betydelig. Flere sektorer omfattes, flere selskaper regnes som samfunnsviktige, og ansvaret for cybersikkerhet flyttes tydelig fra IT-avdelingen og opp til ledelsen.
Mange virksomheter som tidligere sto utenfor, vil nå enten være direkte omfattet eller indirekte berørt gjennom kunder, leverandører og kontraktskrav.
NIS2 er EUs oppdaterte direktiv for nettverks- og informasjonssikkerhet (Network and Information Security Directive). Det erstatter det tidligere NIS1-direktivet og har som mål å styrke cybersikkerheten i hele Europa.
Direktivet stiller konkrete krav til risikostyring, sikkerhetstiltak, hendelseshåndtering og rapportering. Samtidig tydeliggjør det ledelsens ansvar – og åpner for betydelige sanksjoner ved manglende etterlevelse.
Kort sagt: NIS2 gjør cybersikkerhet til et styrings- og ledelsesansvar, ikke bare et teknisk spørsmål.
NIS2 gjelder for virksomheter som:
Opererer innen definerte sektorer
Er over en viss størrelse
Direktivet deler virksomheter inn i to hovedkategorier:
Vesentlige virksomheter (Essential Entities)
Viktige virksomheter (Important Entities)
Forskjellen mellom disse ligger primært i tilsynsform og sanksjonsnivå – ikke i selve sikkerhetskravene.
Som hovedregel gjelder NIS2 for virksomheter som har:
Minst 50 ansatte, eller
Årlig omsetning over ca. 10 millioner euro
Men det finnes viktige unntak.
Enkelte virksomheter omfattes uansett størrelse, for eksempel:
Tilbydere av sentral digital infrastruktur
Enkelte nettverks- og sikkerhetstjenester
Virksomheter med særlig samfunnskritisk rolle
Det betyr at også mindre selskaper kan bli direkte regulert.
Ja.
Selv om Norge ikke er EU-medlem, vil NIS2 bli innført gjennom EØS-avtalen. Det vil komme norsk lovgivning som konkretiserer:
Hvem som omfattes
Hvem som fører tilsyn
Hvordan håndheving og sanksjoner skal skje
I tillegg kan norske virksomheter bli indirekte påvirket dersom de leverer til EU-virksomheter som selv er underlagt NIS2. Disse vil stille strengere krav i kontrakter, leverandøravtaler og sikkerhetsrevisjoner.
Mange virksomheter tenker: «Dette gjelder ikke oss.» Likevel gjør det ofte det.
Typiske eksempler:
IT-driftsselskaper og MSP-er
SaaS-selskaper med bedriftskunder
Private helsetjenester
Logistikk- og transportselskaper
Datasentre og hostingmiljøer
Leverandører til offentlig sektor
Produksjonsbedrifter med digitaliserte prosesser
Hvis virksomheten:
Leverer digitale tjenester
Er en del av andres verdikjede
Eller håndterer driftskritiske systemer
...bør NIS2 vurderes grundig.
For mange virksomheter innebærer NIS2 et skifte i hvordan cybersikkerhet organiseres og prioriteres.
Blant annet:
Ledelsen får et eksplisitt og dokumenterbart ansvar
Det stilles krav til systematisk risikostyring
Virksomheten må ha strukturert hendelseshåndtering
Sikkerhetstiltak må være dokumentert og forholdsmessige
Leverandørkjeden må vurderes og følges opp
Brudd kan medføre betydelige bøter
Dette handler ikke bare om teknologi – men om styring, struktur og modenhet.
For mange vil det kreve en gjennomgang av eksisterende sikkerhetsarbeid:
Har vi tilstrekkelig oversikt over risiko?
Er ansvarsforhold tydelig definert?
Er leverandører vurdert?
Kan vi dokumentere det vi faktisk gjør?
NIS2 gjelder for:
Langt flere sektorer enn tidligere
Mellomstore og store virksomheter (som hovedregel)
Både private og offentlige aktører
Også indirekte gjennom leverandørkjeder
Konklusjonen er enkel:
Det er langt flere virksomheter enn man tror som bør undersøke om de omfattes.
Å anta at man ikke er berørt kan bli en kostbar feil.