NIS2 for norske bedrifter: hvem omfattes, og hva kreves
NIS2-direktivet utvider EUs sikkerhetskrav til langt flere virksomheter — også underleverandører. Vi forklarer hvem som omfattes, og hvilke tiltak du må ha på plass.
NIS2 er EUs oppdaterte direktiv for nettverks- og informasjonssikkerhet. Det viktigste skiftet fra forgjengeren er omfanget: der NIS1 traff et fåtall kritiske sektorer, treffer NIS2 et bredt spekter av «viktige» og «vesentlige» virksomheter — inkludert mange mellomstore bedrifter som tidligere falt utenfor.
For Norge innføres kravene gjennom norsk lovgivning. Selv om du ikke er direkte omfattet, kan du bli berørt indirekte: store, omfattede virksomheter må stille sikkerhetskrav til hele leverandørkjeden sin. Er du underleverandør til en stor aktør, kommer kravene til deg via kontrakt — uansett egen størrelse.
Kjernen i NIS2 er at ledelsen blir ansvarlig. Styret og daglig leder kan holdes ansvarlige for manglende sikkerhetsstyring. Det betyr at cybersikkerhet flyttes fra IT-avdelingen til styrebordet — det er ikke lenger en teknisk detalj, men et ledelsesansvar med sanksjoner.
De konkrete kravene koker ned til fire områder: (1) risikostyring og sikkerhetstiltak, (2) hendelseshåndtering med rapporteringsplikt innen gitte frister, (3) kontinuitet og backup, og (4) sikkerhet i leverandørkjeden. I praksis betyr det dokumenterte rutiner, deteksjon og respons (EDR/MDR), og en plan for hva som skjer når — ikke om — noe går galt.
Start med en gap-analyse: hva har du i dag, og hva mangler mot kravene? ECIT hjelper norske virksomheter med å kartlegge NIS2-eksponering, etablere sikkerhetsstyring og sette opp deteksjon og hendelseshåndtering som faktisk møter kravene — uten å bygge et byråkrati du ikke trenger.