kravklar

EUs Digital Omnibus og NIS2: hva endrer seg for norske bedrifter?

Skrevet av Jakob Torsvik 10 min lesetid

EU-kommisjonen la 19. november 2025 fram en omfattende forenklingspakke kalt Digital Omnibus. Pakken endrer hvordan virksomheter rapporterer cybersikkerhetshendelser under NIS2, GDPR og en rekke beslektede regelverk – men den rører ikke ved de underliggende kravene. For norske virksomheter som forbereder seg på NIS2, betyr det at innholdet i sikkerhetsarbeidet står fast. Det er rapporteringsmaskineriet som endres. Likevel er forslaget verdt å forstå nå, fordi det former hvordan compliance-arbeidet vil se ut når NIS2 til slutt blir norsk lov.

Hva er Digital Omnibus?

Digital Omnibus er en lovgivningspakke fra Europakommisjonen som ble lagt fram 19. november 2025 som del av en bredere agenda for å forenkle EUs digitale regelverk og styrke europeisk konkurranseevne. Pakken er den syvende omnibusen i Kommisjonens forenklingsarbeid, og er inspirert blant annet av anbefalingene i Draghi-rapporten om å redusere regulatoriske byrder.

Forslaget er delt i to spor. Den generelle Digital Omnibus endrer GDPR, ePrivacy-direktivet, NIS2-direktivet, Data Act, eIDAS og Critical Entities Resilience-direktivet (CER). En egen Digital Omnibus on AI gjør målrettede endringer i AI-forordningen. Felles for begge er at de ikke innfører et nytt lag med regulering, men forsøker å luke ut overlapp, redusere dobbeltrapportering og samordne fragmenterte rapporteringskrav.

Kommisjonen anslår at forenklingstiltakene kan gi inntil 5 milliarder euro i reduserte administrative kostnader for europeiske virksomheter fram til 2029. Det er et estimat, og det er ikke uten kritikere. Jacques Delors Centre har påpekt at tallet bygger på en avgrenset andel av endringene som lar seg kvantifisere, og at Kommisjonen ikke har lagt fram en full konsekvensutredning. Forut for offentliggjøringen kjørte Kommisjonen en åpen høringsrunde i september og oktober 2025, hvor over 500 innspill ble levert fra næringsliv, fagmiljøer, sivilsamfunn og offentlige aktører. Forslaget er fortsatt i ordinær lovgivningsprosedyre og må vedtas av både Europaparlamentet og Rådet før det kan tre i kraft.

Hva endrer seg for NIS2?

Den mest håndfaste endringen for NIS2-pliktige virksomheter er innføringen av et felles EU-rapporteringspunkt for cybersikkerhetshendelser, omtalt som single-entry point (SEP). Tanken er at virksomheter skal kunne rapportere én gang og få innsendingen rutet videre til de riktige nasjonale mottakerne. Portalen er foreslått driftet og vedlikeholdt av ENISA, EUs cybersikkerhetsbyrå, som allerede har erfaring med den tilsvarende rapporteringsløsningen under Cyber Resilience Act.

I praksis betyr det at én og samme alvorlige hendelse, som i dag ofte trigger parallelle varslingsplikter under NIS2, GDPR og DORA, kan håndteres gjennom én strukturert innsending. Single-entry point er foreslått å dekke:

  • NIS2-direktivet (hendelsesrapportering etter artikkel 23 og 30)
  • GDPR (varsling om personopplysningsbrudd)
  • DORA (alvorlige IKT-hendelser i finanssektoren)
  • CER-direktivet (hendelser i kritisk infrastruktur)
  • eIDAS-forordningen (hendelser knyttet til tillitstjenester)

Senere er det planlagt å innlemme sektorspesifikke regimer som energi og luftfart gjennom egne gjennomføringsrettsakter. Cyber Resilience Act har allerede en parallell ordning, og rapporter under CRA kan oppfylle NIS2-rapporteringen så lenge de inneholder informasjonen som NIS2 krever.

ENISAs rolle er foreslått å være rent operasjonell. Byrået fungerer som teknisk tilrettelegger og utfører en innledende format- og fullstendighetskontroll, men har ikke selvstendig tilgang til innholdet i meldingene utover det rapporteringsregimet selv hjemler. Det er et viktig poeng som rettsmiljøer som Kennedys Law har trukket fram: legislaturen vil sannsynligvis presisere ytterligere at ENISA ikke blir en parallell mottaker av sensitive hendelsesdata.

Den europeiske personvernrådet (EDPB) får i oppgave å utvikle felles maler for hendelsesvarsling under GDPR, basert på arbeidet som allerede er gjort under DORAs tekniske reguleringsstandarder. Målet er at samme dataformater og felter skal kunne gjenbrukes på tvers av regelverkene, slik at virksomheten ikke må fylle ut den samme informasjonen i ulike strukturer for hver myndighet.

Selve single-entry point er foreslått driftsklart cirka 18 måneder etter at Digital Omnibus formelt trer i kraft. Portalen skal også være interoperabel med European Business Wallets for autentisering og identifikasjon av virksomhetene som rapporterer. Forslaget legger inn en ny artikkel 23a i NIS2 som etablerer rapporteringspunktet, definerer ENISAs rolle og fastsetter krav til tilgang, interoperabilitet og sikkerhet for selve portalen.

Hva endrer seg ikke for NIS2?

Dette er den viktigste seksjonen for virksomheter som har lagt en plan for NIS2-etterlevelse. Forenklingspakken endrer ikke selve direktivets substans:

Omfanget står fast. Definisjonene av vesentlige og viktige virksomheter i NIS2 endres ikke. De samme sektorene, størrelsesgrensene og unntakene gjelder. En virksomhet som er omfattet i dag, er omfattet etter Digital Omnibus.

De materielle sikkerhetskravene står fast. Artikkel 21 i NIS2 lister opp ti minimumstiltak knyttet til risikostyring: blant annet retningslinjer for risikoanalyse, hendelseshåndtering, leverandørkjedesikkerhet, multifaktorautentisering, kryptering og opplæring av personell. Ingen av disse røres av Digital Omnibus.

Varslingsplikten og fristene står fast. Artikkel 23 i NIS2 fastsetter at vesentlige og viktige virksomheter skal sende tidlig varsel innen 24 timer fra de blir oppmerksomme på en betydelig hendelse, en hendelsesvarsling innen 72 timer og en sluttrapport innen én måned. Disse triggerne, innholdskravene og fristene står uendret. Det Digital Omnibus endrer, er hvor varselet sendes – ikke hva det skal inneholde eller når det skal sendes.

Mottakerne er fortsatt de samme. Plikten til å varsle riktig nasjonal CSIRT eller kompetent myndighet etter artikkel 23(1) består. Digital Omnibus er strukturert slik at single-entry point teknisk videreformidler innsendingen til samme myndighet som ellers ville mottatt den. For Norge betyr det at Nasjonal sikkerhetsmyndighet (NSM) forblir nasjonalt kontaktpunkt og responsmiljø når NIS2 blir norsk lov.

Med andre ord: forslaget endrer hvordan virksomheten leverer rapporten, ikke hvilken rapport som skal leveres eller hvem som skal motta den.

Sideeffekter for GDPR-rapportering

For mange norske virksomheter henger NIS2-rapportering og GDPR-rapportering tett sammen. En cybersikkerhetshendelse som rammer personopplysninger, trigger varslingsplikt under begge regelverk samtidig. Derfor er det verdt å merke seg at Digital Omnibus også justerer GDPR-bruddvarslingen, både på terskel og frist.

Etter dagens artikkel 33 i GDPR skal personopplysningsbrudd som regel varsles til tilsynsmyndigheten innen 72 timer, med en lav terskel: varslingsplikten gjelder med mindre bruddet sannsynligvis ikke vil medføre risiko for de registrertes rettigheter og friheter. Forslaget hever denne terskelen til høy risiko, slik at bare brudd som sannsynligvis medfører høy risiko for de registrerte trigger varslingsplikt. Samtidig forlenges fristen fra 72 til 96 timer.

I praksis vil dette redusere antallet GDPR-varsler virksomhetene må sende, og gi noe mer pusterom til å vurdere hendelsens omfang før innsending. Når single-entry point er på plass, kanaliseres også GDPR-varsler gjennom samme portal som NIS2-, DORA-, CER- og eIDAS-varsler. En overgangsbestemmelse skal regulere perioden fram til portalen er operasjonell.

Det er verdt å merke seg at GDPR ikke er et direktiv men en forordning, og at endringer i GDPR påvirker norsk rett direkte gjennom personvernforordningen, slik den allerede er inkorporert i norsk lov.

Hva betyr det for norske bedrifter?

Norge er EØS-land. NIS2-direktivet er foreløpig ikke innlemmet i EØS-avtalen, og er heller ikke gjennomført i norsk rett. Dagens digitalsikkerhetslov (lov 20. desember 2023 nr. 108), som trådte i kraft 1. oktober 2025, gjennomfører NIS1, ikke NIS2. NSM har varslet at NIS2 vil bli innført i Norge gjennom en ny lov som også omfatter CER-direktivet, og at den nye loven vil erstatte digitalsikkerhetsloven. Forventet implementering er i løpet av 2026, men eksakt dato avhenger av prosessen i EØS-komiteen og i Stortinget.

For norske virksomheter har Digital Omnibus to praktiske konsekvenser. Den første er at når NIS2 etter hvert blir norsk lov, vil rapporteringsregimet sannsynligvis bli enklere enn det ellers ville vært, forutsatt at Digital Omnibus blir vedtatt i EU og deretter inntatt i EØS-avtalen. Den andre er at den substansielle delen av forberedelsene – risikostyring, leverandørkjedesikkerhet, opplæring, hendelseshåndtering – ikke skal endres. Virksomheter som bygger NIS2-etterlevelse i dag, bygger på et fundament som er stabilt.

Den juridiske gjennomgangen Lov & Data publiserte i mars 2026 oppsummerte det slik: Digital Omnibus endrer ikke karakteren av forberedelsene som NIS2-omfattede virksomheter bør gjøre.

Når trer endringene i kraft?

Digital Omnibus er fortsatt et forslag. Det går gjennom ordinær lovgivningsprosedyre, hvor både Europaparlamentet og Rådet må komme til enighet. Forventet endelig vedtak ligger trolig en gang midten til slutten av 2026, avhengig av hvor kontroversielle de enkelte elementene viser seg å bli i forhandlingene. Pakken har allerede møtt kritikk fra personvernmiljøer, akademia og deler av sivilsamfunnet, særlig knyttet til endringene i GDPR og AI-forordningen. Det er rimelig å forvente at innholdet justeres underveis.

Single-entry point er foreslått driftsklart cirka 18 måneder etter at forordningen trer i kraft. Det gir en realistisk tidslinje hvor portalen kan være i bruk en gang i 2028. For norske virksomheter kommer dette i tillegg til den EØS-prosessen som må til før forordningen kan gjelde i Norge.

For en virksomhet som planlegger NIS2-etterlevelse i 2026 og 2027, er Digital Omnibus altså en utvikling å følge med på, ikke en endring man kan basere seg på i selve forberedelsen.

Hva bør norske SMBer gjøre nå?

Tre konkrete grep gir best uttelling akkurat nå:

Fortsett forberedelsene mot de materielle NIS2-kravene som planlagt. Risikoanalyse, leverandørkontroll, kryptering, MFA, opplæring og hendelsesprosesser – alt dette kreves uansett. Digital Omnibus rører ikke ved noen av disse områdene.

Bygg en hendelsesrapporteringsprosess som tåler begge regimer. Dagens fragmenterte regime krever at virksomheten kan håndtere parallell varsling til ulike myndigheter under NIS2, GDPR, eventuelt DORA og sektorspesifikke regelverk. Den samme prosessen vil senere måtte mate inn i single-entry point. En god intern prosess starter alltid med deteksjon, vurdering og dokumentasjon – uavhengig av om innsendingen til slutt skjer ett eller fem steder. Se vår praktiske gjennomgang av NIS2-hendelseshåndtering for et rammeverk.

Oppdater leverandørkontraktene. Artikkel 21 i NIS2 setter eksplisitte krav til leverandørkjedesikkerhet, inkludert varslingsplikter mellom leverandør og kunde ved hendelser. Det gjelder uansett hva som skjer med Digital Omnibus. Vår oversikt over leverandørkjedekrav beskriver hva som bør stå i en oppdatert databehandler- eller leverandøravtale.

Kartlegg hvilke regelverk dere er omfattet av. Mange norske mellomstore virksomheter er underlagt NIS2 og GDPR samtidig, og enkelte er også omfattet av DORA, CER eller sektorspesifikke regelverk innen energi, helse eller finans. Å ha denne oversikten dokumentert er nyttig allerede i dag for å unngå å overse en varslingsplikt, og den blir enda mer verdifull når single-entry point skal kobles sammen med virksomhetens eksisterende prosesser. Virksomheter med datterselskaper eller kunder i EU-land som allerede har implementert NIS2, må dessuten forholde seg til de nasjonale gjennomføringene der – uavhengig av norsk progresjon.

For virksomheter der styret må godkjenne risikostyringstiltak under NIS2 artikkel 20, er det også verdt å forberede en kort, faktabasert orientering om Digital Omnibus til neste styremøte. Forenklingspakken endrer ikke styrets ansvar, men den endrer rammeverket rapporteringen skjer innenfor, og det er den typen kontekst et ansvarsbevisst styre bør ha tilgang til. Se vår gjennomgang av styre- og lederansvar under NIS2 for mer om hvordan dette ansvaret er strukturert.

Oppsummering

Digital Omnibus er en strukturreform, ikke en substansiell endring. Den endrer hvor og hvordan virksomheter rapporterer cybersikkerhetshendelser, men den endrer ikke hvilke krav som gjelder, hvilke virksomheter som er omfattet, eller hvilke frister som løper. For norske SMBer som forbereder seg på NIS2, er anbefalingen rett fram: fortsett som planlagt, og følg med på hvordan forenklingspakken vedtas og innlemmes i EØS-avtalen.

Kravklars NIS2-vurdering gir deg en strukturert oversikt over hvor virksomheten står mot kravene i artikkel 21, slik at forberedelsen hviler på en konkret status – uavhengig av hvordan rapporteringen blir samordnet senere.