kravklar

Slik forbereder du bedriften på NIS2: Praktisk steg-for-steg for norske SMBer

Skrevet av Jakob Torsvik 10 min lesetid

Du har sjekket sektoren din, telt ansatte og kommet til konklusjonen: NIS2 gjelder din virksomhet. Hva nå?

Utfordringen er at det meste av veiledningen der ute er skrevet for store konsern med dedikerte sikkerhetsteam, egne jurister og budsjetter som gjør det mulig å sette i gang storskalaprosjekter over natten. For en bedrift med rundt 100 ansatte, ingen egen sikkerhetsavdeling og en IT-ansvarlig som allerede har nok på tallerkenen, ser veien annerledes ut. Du trenger en tilnærming som er tilpasset din virkelighet, ikke en nedskalert versjon av noe som ble laget for Equinor.

Du trenger verken en konsulent eller store investeringer for å komme i gang. Du trenger en strukturert tilnærming, litt tid og viljen til å starte.

Et viktig forbehold først: NIS2-direktivet er ennå ikke gjennomført i norsk rett. Digitalsikkerhetsloven, som er basert på det første NIS-direktivet, trådte i kraft 1. oktober 2025. Når NIS2 gjennomføres i norsk lov, vil det erstatte eller vesentlig endre digitalsikkerhetsloven, men ingen dato er bekreftet. Kravene i NIS2-direktivet er imidlertid kjent, og det er klokt å forberede seg allerede nå, slik at du slipper å starte fra null den dagen loven trer i kraft.

Her er 7 konkrete steg du kan starte med denne uken.

Steg 1: Bekreft at NIS2 gjelder din virksomhet

Ikke anta, verifiser. Om NIS2 gjelder deg, avgjøres av to faktorer: hvilken sektor virksomheten din opererer i, og hvor stor den er. Direktivet skiller mellom 18 sektorer fordelt på «høykritiske» og «andre kritiske» kategorier, og setter en størrelsesterskel basert på antall ansatte og omsetning.

Det er også et viktig skille mellom vesentlige og viktige enheter. Kategorien avgjør hvor strengt tilsynsregimet er, og hvor høye sanksjoner som kan ilegges. Vesentlige enheter er underlagt proaktivt tilsyn, mens viktige enheter primært er underlagt tilsyn i etterkant av hendelser.

Bruk Kravklars gratis omfangssjekk for å bekrefte om du er omfattet, eller les den fullstendige gjennomgangen av hvem som er omfattet for detaljer.

Selv om du ikke er direkte omfattet, bør du være oppmerksom på den indirekte effekten: NIS2-direktivets artikkel 21(2)(d) krever at omfattede enheter sikrer sin forsyningskjede. I praksis betyr det at store kunder i omfattede sektorer kan stille NIS2-lignende sikkerhetskrav til sine leverandører, også leverandører som ikke selv faller under direktivet. Har du kunder i helse, energi, transport eller digital infrastruktur, kan dette treffe deg. Les mer om hva leverandørkjedekravene betyr for underleverandører.

Steg 2: Forankre ansvaret hos ledelsen

Her er et poeng mange IT-ansvarlige overser: NIS2 plasserer ansvaret for cybersikkerhet eksplisitt hos ledelsen, ikke hos IT-avdelingen.

Artikkel 20(1) i direktivet slår fast at ledelsesorganer i vesentlige og viktige enheter skal godkjenne og føre tilsyn med cybersikkerhetstiltakene enheten iverksetter. Det er ikke en valgfri anbefaling. Ledelsen kan holdes ansvarlig for manglende etterlevelse, og for vesentlige enheter kan enkeltpersoner i ledelsen midlertidig suspenderes fra sine roller.

I tillegg krever artikkel 20(2) at ledelsesmedlemmer gjennomgår opplæring for å oppnå tilstrekkelig kunnskap og ferdigheter til å identifisere risikoer og vurdere cybersikkerhetspraksis. Tilsvarende opplæring skal også tilbys ansatte.

For en virksomhet med 100 ansatte betyr dette noe helt konkret: Daglig leder og styret må formelt eie NIS2-forberedelsene. Det holder ikke at IT-ansvarlig «tar det på kammerset».

Hva du gjør nå: Sett NIS2-forberedelser på agendaen for neste styremøte, og utnevn én person, typisk IT-ansvarlig, som eier forberedelsene i det daglige og rapporterer til daglig leder. Ramm det inn som risikostyring, fordi det er nettopp det det er. Unngå teknisk sjargong i presentasjonen; snakk om forretningsrisiko, omdømmeskade og kontraktsforpliktelser. En styreklar oppsummering som viser nåværende status og identifiserte gap er den raskeste veien til å få styret med. Les mer om NIS2-bøter og styreansvar.

Steg 3: Kartlegg hvor du står i dag

Du kan ikke tette hull du ikke har identifisert. Neste steg er en strukturert egenvurdering som dekker alle de 10 sikkerhetskategoriene i NIS2 artikkel 21(2).

Her er en kort oversikt over de 10 kategoriene (kategoriene er listet som bokstavpunkt (a)–(j) i direktivteksten, vi bruker nummerering her for lesbarhet):

  1. Risikoanalyse og sikkerhetspolicyer: retningslinjer for risikoanalyse og informasjonssystemsikkerhet.
  2. Hendelseshåndtering: prosesser for å oppdage, håndtere og rapportere sikkerhetshendelser.
  3. Driftskontinuitet: herunder sikkerhetskopihåndtering, katastrofegjenoppretting og krisehåndtering.
  4. Forsyningskjedesikkerhet: sikkerhetstiltak knyttet til leverandører og tjenesteleverandører.
  5. Sikkerhet ved anskaffelse og utvikling: sikkerhet i anskaffelse, utvikling og vedlikehold av nettverks- og informasjonssystemer, herunder håndtering og offentliggjøring av sårbarheter.
  6. Vurdering av effektivitet: retningslinjer og prosedyrer for å vurdere om sikkerhetstiltakene fungerer.
  7. Grunnleggende cyberhygiene og opplæring: praksis for cyberhygiene og sikkerhetsopplæring.
  8. Kryptografi: retningslinjer for bruk av kryptografi og, der det er hensiktsmessig, kryptering.
  9. Personell- og tilgangssikkerhet: personellsikkerhet, tilgangskontrollpolicyer og forvaltning av aktiva.
  10. Sikret kommunikasjon: bruk av flerfaktorautentisering, sikrede kommunikasjonsløsninger, og sikret tale-, video- og tekstkommunikasjon og sikrede nødkommunikasjonssystemer, der det er hensiktsmessig.

Les den fullstendige gjennomgangen av de 10 sikkerhetskravene i Artikkel 21 for detaljer om hver kategori. Jobber du også mot ISO 27001, kan du lese vår guide til hvordan NIS2 og ISO 27001 henger sammen, arbeidet med de ti kategoriene dekker samtidig nesten to tredjedeler av ISO 27001 Annex A.

Et viktig prinsipp: Artikkel 21(1) krever at tiltakene skal følge en allfare-tilnærming («all-hazards approach») og stå i forhold til risikoen. Det betyr at tiltakene skal ta hensyn til virksomhetens størrelse, sannsynligheten for og alvorlighetsgraden av hendelser, samt kostnadene ved gjennomføring. Du skal altså ikke måle deg mot standarden for et stort energikonsern, men du skal gjøre en ærlig vurdering av hvor du faktisk står.

Kravklars gratis egenvurdering dekker alle 10 kategorier og gir deg en visuell oversikt på under 30 minutter. Foretrekker du en manuell tilnærming, kan du kartlegge eksisterende tiltak mot hver kategori i et regneark. Det viktigste er at du gjør det strukturert. Du kan også se vår sammenligning av NIS2-verktøy for norske bedrifter for en oversikt over tilgjengelige løsninger.

Steg 4: Identifiser og prioriter de største manglene

Nå har du en baseline. Neste spørsmål: Hvor starter du?

Ikke prøv å fikse alt samtidig. Prioriter manglene basert på to dimensjoner: hvor stort avviket er, og hvor alvorlige konsekvensene er dersom det utnyttes. En lav score på hendelseshåndtering er langt mer presserende enn en lav score på kryptografi hvis du i dag ikke har noen hendelsesresponsplan i det hele tatt.

Lag en enkel prioriteringsmatrise med to akser: avviksstørrelse (høy/middels/lav) og konsekvens for virksomheten (høy/middels/lav). Kategoriene som havner i øvre høyre hjørne – stort avvik og høy konsekvens – er der du begynner.

Et konkret eksempel: Hvis egenvurderingen viser at du mangler hendelseshåndtering fullstendig (stort avvik) og virksomheten din behandler sensitive kundedata (høy konsekvens), er det tydelig hvor du skal starte. Samtidig kan en middels score på kryptografi vente hvis du allerede bruker kryptert kommunikasjon og lagring, selv om du mangler en formell policy.

Husk allfare-prinsippet fra Artikkel 21(1): Tiltakene skal stå i forhold til risikoen, med hensyn til virksomhetens størrelse og eksponeringsnivå. Det betyr at prioriteringen din vil se annerledes ut enn for en virksomhet i en annen sektor eller med en annen risikoprofil. Det er helt riktig.

Med Kravklars betalte plan får du en vektet gapanalyse som gjør denne prioriteringen automatisk. Men en manuell matrise på et ark er en god start.

Steg 5: Start med lavthengende frukt

Ikke kok havet. Velg 3–5 raske gevinster som målbart forbedrer sikkerheten uten å kreve store investeringer eller langvarige prosjekter. Her er fem tiltak de fleste SMBer kan gjennomføre raskt:

Aktiver flerfaktorautentisering (MFA) for alle ansatte. Dette er et av de mest effektive enkelttiltakene du kan gjøre, og det dekker deler av kategori 10 (sikret kommunikasjon og tilgangskontroll).

Dokumenter en enkel hendelsesresponsplan. Hvem ringer hvem når noe går galt? En plan trenger ikke å være lang, den trenger å eksistere. Dette adresserer kategori 2 (hendelseshåndtering) direkte.

Gjennomgå og dokumenter tilgangsstyring. Hvem har tilgang til hva? Har tidligere ansatte fortsatt aktive kontoer? Dette dekker kategori 9 (personell- og tilgangssikkerhet).

Sett opp automatiske sikkerhetsoppdateringer. Uoppdatert programvare er en av de vanligste angrepsvektorene. Dette bidrar til kategori 5 (sikkerhet ved anskaffelse og vedlikehold) og kategori 7 (grunnleggende cyberhygiene).

Gjennomfør grunnleggende sikkerhetsopplæring for alle ansatte. Phishing er fortsatt den mest utbredte trusselen mot SMBer. En kort opplæringsøkt dekker kategori 7 (cyberhygiene og opplæring).

Legg merke til at disse fem tiltakene til sammen berører seks av de ti Artikkel 21-kategoriene. Det er ikke tilfeldige fikser, det er strukturert fremgang. Når du gjennomfører disse tiltakene, dokumenter hva du har gjort og knytt det til den relevante kategorien. Det viser både deg selv og tilsynet at du jobber systematisk.

Steg 6: Etabler hendelseshåndtering og rapportering

NIS2 stiller spesifikke krav til rapportering av vesentlige sikkerhetshendelser. Artikkel 23(4) definerer tre tidsfrister du må kjenne til:

  • Tidlig varsling innen 24 timer etter at du blir oppmerksom på en vesentlig hendelse.
  • Hendelsesvarsling innen 72 timer med en oppdatert vurdering av hendelsen, inkludert alvorlighetsgrad og konsekvenser.
  • Sluttrapport innen én måned etter innsendingen av 72-timersvarselet. Hvis hendelsen fortsatt pågår etter én måned, skal du sende en fremdriftsrapport i stedet, og deretter en sluttrapport innen én måned etter at hendelsen er håndtert.

Digitalsikkerhetsforskriften § 17 krever allerede i dag 24-timers varsling. Denne bestemmelsen gjelder både for tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester. Sluttrapporten etter § 17 skal leveres innen én måned fra det første 24-timersvarselet, noe som faktisk avviker fra NIS2, der fristen løper fra 72-timersvarselet.

For en SMB betyr dette i praksis: Du trenger en skriftlig plan for hvem som gjør hva når en hendelse inntreffer. Planen trenger ikke å være kompleks. Skriv en 1-sides hendelsesresponsplan med kontaktliste, eskaleringsvei og en enkel mal for varsling. Les mer om hendelsesrapportering og tidsfrister.

Steg 7: Dokumenter og følg opp jevnlig

NIS2-etterlevelse er ikke et prosjekt med en sluttdato. Direktivet krever løpende risikostyring, noe som betyr at du jevnlig må vurdere om tiltakene dine fortsatt er tilstrekkelige.

En god tommelfingerregel: Gjennomfør en ny egenvurdering hver sjette måned, eller etter vesentlige endringer: nye systemer, sikkerhetshendelser, organisasjonsendringer eller endringer i trusselbildet. En egenvurdering har en holdbarhetsdato.

Dokumentasjon er viktig av tre grunner. For det første fordi tilsynsmyndigheten (NSM) kan kreve det. For det andre fordi styret trenger oppdatert informasjon for å ivareta sitt ansvar. Og for det tredje fordi du selv trenger det for å måle fremgang over tid.

Hold det enkelt: Logg hva som er vurdert, hvilke tiltak som er iverksatt, og hva som gjenstår. Det gir deg en ryddig historikk og sparer deg for mye arbeid neste gang.

En enkel måte å gjøre dette på er å bruke egenvurderingen som et levende dokument. Oppdater scorene etter hvert som du gjennomfører tiltak, og sammenlign med forrige vurdering for å se fremgangen visuelt. Det gjør det også enklere å rapportere til styret: du kan vise konkret utvikling, ikke bare en liste med gjenstående oppgaver.

Start med en gratis egenvurdering i dag og bruk den som utgangspunkt for din første styrediskusjon om NIS2.

Oppsummering: Din NIS2-sjekkliste

  1. ✅ Bekreft at NIS2 gjelder din virksomhet. Sektor og størrelse avgjør.
  2. ✅ Forankre ansvaret hos daglig leder og styret. Dette er risikostyring, ikke IT.
  3. ✅ Kartlegg nåværende status med en strukturert egenvurdering.
  4. ✅ Prioriter de største manglene basert på risiko og konsekvens.
  5. ✅ Gjennomfør 3–5 raske tiltak som gir målbar forbedring.
  6. ✅ Etabler en enkel hendelsesresponsplan med klare ansvarsforhold.
  7. ✅ Dokumenter alt og gjennomfør ny vurdering minst hver sjette måned.

Du trenger ikke en konsulent for å komme i gang. Du trenger en strukturert tilnærming og 30 minutter. Husk at NIS2-direktivet ennå ikke er gjennomført i norsk rett, men kravene er kjent, og bedrifter som forbereder seg nå, slipper å starte fra null.

Start med en gratis egenvurdering og bruk den som utgangspunkt for styrediskusjonen.

Les mer: