Er vi omfattet av NIS2 og digitalsikkerhetsloven?

Om virksomheten omfattes avhenger av to ting: hvilken sektor dere opererer i, og størrelsen på virksomheten. Her er en oversikt over sektorene, størrelseskriteriene og hvor langt regelverket har kommet i Norge per 2026.

Rettslig status: Digitalsikkerhetsloven trådte i kraft 1. oktober 2025, men dekker foreløpig kun et begrenset antall virksomheter. Den utvidede loven som gjennomfører NIS2 fullt ut er ennå ikke vedtatt, og ventes i løpet av 2026 — avhengig av innlemmelse i EØS-avtalen. Det lønner seg å forberede seg nå, før NSM-registreringen åpner.

Størrelseskriterier

Hovedregelen er at virksomheten kan omfattes dersom den oppfyller minst ett av disse:

  • Minst 50 ansatte
  • Over 10 millioner euro i årlig omsetning

Noen typer tjenester — for eksempel DNS- og skytjenester — kan omfattes uavhengig av størrelse.

Hvilke sektorer er omfattet?

NIS2 skiller mellom «vesentlige» og «viktige» virksomheter. Begge kategoriene har krav til risikostyring, sikkerhetstiltak og hendelsesvarsling, men tilsyn og sanksjoner er strengere for de vesentlige.

Vesentlige sektorer

  • Energi
  • Transport
  • Helse
  • Vannforsyning
  • Bank og finansmarkedsinfrastruktur
  • Digital infrastruktur
  • Offentlig forvaltning
  • Romvirksomhet

Viktige sektorer

  • Avløp og avfallshåndtering
  • Kjemisk industri
  • Matproduksjon
  • Medisinsk utstyr og elektronikk
  • Maskineri og motorvogner
  • Post- og kurertjenester
  • Digitale tjenester (markedsplasser, søkemotorer, skytjenester)
  • Forskning

Viktige datoer

  • 1. oktober 2025 — digitalsikkerhetsloven trådte i kraft (begrenset omfang).
  • I løpet av 2026 — utvidet NIS2-lov ventes vedtatt (EØS-avhengig).
  • 1. juli 2026 — NSM planlegger å åpne registreringsportalen.
  • Oktober 2026 — de første tilsynene ventes.

Vanlige spørsmål

Gjelder NIS2 i Norge nå?

Digitalsikkerhetsloven trådte i kraft 1. oktober 2025, men dekker foreløpig et begrenset antall virksomheter. Den utvidede loven som gjennomfører NIS2 fullt ut er ennå ikke vedtatt og ventes i løpet av 2026, avhengig av innlemmelse i EØS-avtalen.

Hvilke størrelseskrav gjelder?

Hovedregelen er at virksomheter med minst 50 ansatte eller over 10 millioner euro i omsetning kan omfattes. Enkelte typer tjenester, som DNS- og skytjenester, kan omfattes uavhengig av størrelse.

Hvor mange norske virksomheter blir omfattet?

Den utvidede loven anslås å treffe rundt 5 000 norske virksomheter, mot noen hundre under dagens digitalsikkerhetslov.

Når må vi registrere oss, og når starter tilsyn?

NSM planlegger å åpne en registreringsportal 1. juli 2026, og de første tilsynene ventes fra oktober 2026. Tidslinjen avhenger av at loven vedtas og innlemmes i EØS.

Denne siden er generell veiledning, ikke juridisk rådgivning, og gjenspeiler status per 2026 mens regelverket fortsatt er under utvikling. Ved komplekse forhold anbefaler vi å involvere jurist eller annen fagperson.

Forbered NIS2-beredskapen i god tid

Prøv Styringsklar.no gratis i 14 dager. Vurder om dere er omfattet, registrer tjenester og sett opp varslingsberedskap — før portalen åpner.

Start gratis prøveperiode