NIS2-krav: hva må virksomheten ha på plass?

NIS2 stiller krav på tre områder: risikostyringstiltak, hendelsesvarsling og ledelsesansvar. Her er en oversikt over hva hvert område innebærer i praksis.

Status: Den utvidede NIS2-loven er ennå ikke vedtatt i Norge og ventes i løpet av 2026. Usikker på om dere i det hele tatt er omfattet? Sjekk om dere er omfattet først.

1. Risikostyringstiltak

Virksomheten skal ha tekniske og organisatoriske tiltak som står i forhold til risikoen. NIS2 lister blant annet opp:

  • Retningslinjer for risikoanalyse og informasjonssystemsikkerhet
  • Håndtering av sikkerhetshendelser (deteksjon, respons, gjenoppretting)
  • Driftskontinuitet — sikkerhetskopiering, krisehåndtering og beredskap
  • Sikkerhet i leverandørkjeden og hos tjenesteleverandører
  • Sikkerhet i anskaffelse, utvikling og vedlikehold av systemer
  • Rutiner for å vurdere om tiltakene faktisk virker
  • Grunnleggende cyberhygiene og opplæring av ansatte
  • Kryptografi og kryptering der det er relevant
  • Tilgangskontroll, håndtering av utstyr og personellsikkerhet
  • Flerfaktorautentisering og sikret intern kommunikasjon

2. Hendelsesvarsling

Ved betydelige hendelser gjelder en trinnvis varslingsplikt:

  • Innen 24 timer — tidlig varsel om at en betydelig hendelse er oppdaget.
  • Innen 72 timer — mer utfyllende hendelsesvarsel med foreløpig vurdering.
  • Innen én måned — sluttrapport med årsak, omfang og tiltak.

3. Ledelsesansvar

NIS2 plasserer ansvaret tydelig hos ledelsen. Ledelsen skal godkjenne risikostyringstiltakene og føre tilsyn med gjennomføringen, og kan holdes ansvarlig ved manglende oppfølging. Det er også en plikt til å gjennomføre opplæring slik at ledelsen har tilstrekkelig kompetanse til å forstå og vurdere risikoen.

Vanlige spørsmål

Hva er hovedkravene i NIS2?

NIS2 stiller krav på tre områder: risikostyringstiltak for informasjonssikkerhet, varsling av alvorlige hendelser innen gitte frister, og at ledelsen godkjenner og følger opp sikkerhetsarbeidet.

Hvor raskt må vi varsle om en hendelse?

Et tidlig varsel skal sendes innen 24 timer etter at en betydelig hendelse er oppdaget, et mer utfyllende hendelsesvarsel innen 72 timer, og en sluttrapport normalt innen én måned.

Er ledelsen personlig ansvarlig?

NIS2 legger ansvar på ledelsen for å godkjenne og føre tilsyn med risikostyringstiltakene. Ledelsen kan holdes ansvarlig ved manglende oppfølging, og har plikt til å gjennomføre opplæring.

Gjelder kravene allerede?

Den utvidede loven som gjennomfører NIS2 fullt ut i Norge er ennå ikke vedtatt og ventes i løpet av 2026. Det er likevel lurt å bygge opp tiltakene nå, før NSM-registrering og tilsyn starter.

Denne siden er generell veiledning, ikke juridisk rådgivning, og gjenspeiler status per 2026 mens regelverket fortsatt er under utvikling. Ved komplekse forhold anbefaler vi å involvere fagperson.

Bygg opp NIS2-beredskapen steg for steg

Prøv Styringsklar.no gratis i 14 dager. Registrer tjenester, sett opp varslingsberedskap og dokumenter tiltakene.

Start gratis prøveperiode