Vi ønsker å bruke informasjonskapsler (cookies) for å gi deg en best mulig brukeropplevelse. Er det greit for deg? Les mer

Våre advokater
Cyber security

EUs nye cybersikkerhetsdirektiv kommer – er virksomheten din klar?

Cyberangrep er ikke lenger et problem bare for store teknologiselskaper. Stadig flere virksomheter blir rammet av datainnbrudd, løsepengevirus og driftsstans som følge av digitale angrep. Derfor har EU vedtatt NIS2-direktivet, som stiller strengere krav til cybersikkerhet for en rekke virksomheter.

Selv om reglene ennå ikke er gjennomført i norsk rett, er det grunn til å forberede seg allerede nå.

THE_Eurojurisferdig2-2

Skrevet av:

Thor Harald Eike (H), Partner

Nyhet

Publisert 17.06.2026

Lesetid:

4 minutter

Hva er NIS2?

NIS2-direktivet (direktiv (EU) 2022/2555) er EUs nye regelverk for cybersikkerhetstiltak. Formålet er å styrke motstandskraften mot digitale trusler og sikre et mer enhetlig sikkerhetsnivå i Europa.

Direktivet erstatter det tidligere NIS1-regelverket og omfatter langt flere virksomheter enn før. Samtidig stilles det strengere krav til både sikkerhetstiltak, ledelse og rapportering av hendelser.

I EU skulle medlemsstatene gjennomføre NIS2 i nasjonal rett innen 17. oktober 2024, med virkning fra 18. oktober 2024.  Norge er gjennom EØS-avtalen forpliktet til å ta direktivet inn i norsk rett. Det er ventet at NIS2 vil bli gjennomført gjennom forskrifter til datasikkerhetsloven.

Hvem omfattes av NIS2?

NIS2 gjelder ikke alle virksomheter, men rekkevidden er betydelig bredere enn under det tidligere regelverket.

Som utgangspunkt gjelder NIS2 for virksomheter i utpekte sektorer som har over 50 ansatte eller en årsomsetning på over 10 millioner euro.

Virksomheter innenfor virkeområdet deles i to hovedkategorier: «essensielle enheter» (essential entities) og «viktige enheter» (important entities). Medlemsstatene skal etablere og jevnlig oppdatere lister over hvilke virksomheter som tilhører hvilken kategori. Skillet er relevant fordi det påvirker hvor strengt tilsyn virksomheten er underlagt og størrelsen på eventuelle sanksjoner.

Direktivets vedlegg I lister opp sektorer som regnes som essensielle blant annet: energi, transport, bank og finansiell markedsinfrastruktur, helse, drikkevann og avløp, digital infrastruktur, IKT-tjenesteforvaltning, offentlig forvaltning og romfart.

I tillegg lister vedlegg II opp andre kritiske sektorer som også omfattes: post og budtjenester, avfallshåndtering, kjemikalier, matproduksjon og -distribusjon, deler av industriproduksjon, digitale tilbydere og forskningsorganisasjoner.

Hva må virksomheten gjøre?

NIS2 stiller konkrete krav til tre områder:

  1. Risikostyring og sikkerhetstiltak

Virksomheten må innføre «egnede og forholdsmessige» tiltak for å håndtere risiko og forebygge eller redusere konsekvensene av cyberhendelser.

Minstekravene omfatter blant annet:

  • Risikostyringspolicy og informasjonssikkerhet
  • Systemer for håndtering av sikkerhetshendelser
  • Kontinuitetsstyring, inkludert sikkerhetskopiering, katastrofegjenoppretting og krisehåndtering
  • Sikkerhet i leverandørkjeden
  • Sikkerhet ved anskaffelse, utvikling og vedlikehold av systemer, herunder håndtering av sårbarheter
  • Regelmessig testing og evaluering av sikkerhetstiltak
  • Grunnleggende cyberhygiene og opplæring av ansatte
  • Bruk av kryptografi og kryptering der det er relevant
  • Tilgangskontroll og ressursforvaltning
  • Flerfaktorautentisering og sikrede kommunikasjonskanaler

Et særlig fokusområde er leverandørkjeden. Virksomheten må ikke bare vurdere egen sikkerhet, men også risiko knyttet til leverandører og samarbeidspartnere.

  1. Ledelsens ansvar

En viktig endring i NIS2 er at cybersikkerhet løftes opp på styre- og ledelsesnivå.

Styret skal godkjenne sikkerhetstiltakene og føre tilsyn med at de faktisk gjennomføres.

Ledelsen må også ha tilstrekkelig kunnskap om cybersikkerhet til å kunne ivareta sitt ansvar. Cybersikkerhet blir dermed ikke lenger bare et spørsmål for IT-avdelingen.

  1. Rapporteringsplikt ved sikkerhetshendelser

Ved alvorlige sikkerhetshendelser må virksomheten varsle myndighetene innen korte frister.

Rapporteringen skjer i tre trinn:

  • Varsel innen 24 timer
  • Foreløpig melding om hendelsen med mer detaljert informasjon innen 72 timer
  • Endelig sluttrapport innen én måned

I enkelte tilfeller må også kunder eller andre berørte varsles.

Hva skjer ved brudd?

NIS2 gir myndighetene betydelige sanksjonsmuligheter.

Ved alvorlige eller vedvarende brudd kan virksomheten blant annet møte:

  • pålegg om utbedring
  • offentliggjøring av regelbrudd
  • betydelige overtredelsesgebyrer

For de største virksomhetene kan gebyrene utgjøre opptil 10 millioner euro eller 2 % av global årsomsetning.

Direktivet åpner også for personlig ansvar på ledelsesnivå i visse tilfeller.

Hva bør virksomheten gjøre nå?

Selv om NIS2 ennå ikke er innført i Norge, er det klokt å starte forberedelsene allerede nå.

Virksomheter som kan bli omfattet bør:

  • avklare om de faller innenfor regelverket
  • kartlegge eksisterende sikkerhetstiltak
  • gjennomgå beredskaps- og rapporteringsrutiner
  • vurdere risiko i leverandørkjeden
  • sikre at styret og ledelsen har nødvendig kompetanse

For mange virksomheter vil arbeidet med NIS2 kreve både tekniske, organisatoriske og juridiske vurderinger. Jo tidligere arbeidet starter, desto enklere blir overgangen når reglene trer i kraft i norsk rett.