NIS2 og ISO 27001: slik henger de sammen
NIS2 og ISO 27001: slik henger de sammen
Mange norske virksomheter møter nå sikkerhetskrav fra to kanter samtidig. På den ene siden står NIS2-direktivet – EUs regelverk for nettverks- og informasjonssikkerhet, som norske virksomheter bør forberede seg på allerede nå. På den andre siden står ISO 27001, den internasjonale standarden for informasjonssikkerhet som kunder, partnere og offentlige anbud i praksis krever.
Spørsmålet mange IT-ansvarlige stiller seg er naturlig nok: «Må vi gjøre alt dobbelt? Trenger vi to separate prosjekter, to sett med dokumentasjon, to runder med risikovurderinger?»
Det korte svaret er nei. Mellom NIS2 Artikkel 21 og ISO 27001 Annex A er det om lag 70 % overlapp. Gjør du den ene jobben grundig, har du et solid forsprang på den andre. Denne guiden viser deg nøyaktig hvor overlappet ligger, hvor manglene er, og hvordan du utnytter det du allerede har på plass.
Kort om NIS2 og ISO 27001
NIS2 (EU 2022/2555)
NIS2 er EUs reviderte direktiv for nettverks- og informasjonssikkerhet. Direktivet er ikke formelt innlemmet i EØS-avtalen ennå, men norske virksomheter har allerede et rammeverk gjennom digitalsikkerhetsloven (LOV-2023-12-20-108), som trådte i kraft 1. oktober 2025. Digitalsikkerhetsloven implementerer det opprinnelige NIS1-direktivet, men inneholder elementer som forbereder for de strengere NIS2-kravene. NSM fører tilsyn.
NIS2 gjelder virksomheter over visse terskler i utpekte sektorer, sjekk om du er omfattet her. Artikkel 21 er kjernen i direktivet og definerer 10 sikkerhetskategorier som virksomheter må ha tiltak for. Du kan lese en fullstendig gjennomgang av disse i guiden vår om NIS2 Artikkel 21-kravene.
ISO 27001:2022
ISO 27001 er den ledende internasjonale standarden for ledelsessystemer for informasjonssikkerhet (ISMS). Den er frivillig, ingen lov pålegger deg sertifisering, men stadig flere kunder, partnere og offentlige innkjøpere stiller den som krav i anbud og leverandørvurderinger. Annex A inneholder 93 kontroller fordelt på fire temaer: organisatoriske, personellrelaterte, fysiske og teknologiske.
Det viktige bindeleddet: NIS2 Artikkel 21(2) refererer eksplisitt til «relevante europeiske og internasjonale standarder» som grunnlag for sikkerhetstiltakene. ISO 27001 er den mest brukte av disse standardene, og dermed den naturlige referanserammen for NIS2-samsvar.
Slik overlapper NIS2 og ISO 27001
Her er kjernen i kartleggingen mellom NIS2 Artikkel 21 og ISO 27001 Annex A. Av de 10 NIS2-kategoriene er 4 fullt dekket og 6 delvis dekket av ISO 27001. Ingen av kategoriene er helt uten dekning, ISO 27001 gir deg alltid et utgangspunkt. Til sammen berøres 62 av 93 Annex A-kontroller, nesten to tredjedeler av hele standarden.
| NIS2-kategori (Art. 21) | Dekning | Annex A-kontroller |
|---|---|---|
| (a) Risikostyring og informasjonssikkerhetspolicyer | ✅ Dekket | A.5.1, A.5.2, A.5.7, A.5.36 (4 stk) |
| (b) Hendelseshåndtering | ⚠️ Delvis | A.5.24–A.5.29, A.6.8, A.8.15, A.8.16 (9 stk) |
| (c) Driftskontinuitet og krisehåndtering | ⚠️ Delvis | A.5.29, A.5.30, A.8.13, A.8.14 (4 stk) |
| (d) Leverandørkjedesikkerhet | ⚠️ Delvis | A.5.19–A.5.23 (5 stk) |
| (e) Sikkerhet ved anskaffelse, utvikling og vedlikehold | ⚠️ Delvis | A.8.4, A.8.8–A.8.9, A.8.25–A.8.33 (12 stk) |
| (f) Vurdering av effektiviteten av sikkerhetstiltak | ✅ Dekket | A.5.35, A.5.36 (2 stk) |
| (g) Grunnleggende cyberhygiene og opplæring | ⚠️ Delvis | A.5.10, A.5.17, A.6.3, A.8.5, A.8.7, A.8.19 (6 stk) |
| (h) Kryptografi og kryptering | ✅ Dekket | A.8.24 (1 stk) |
| (i) Personellsikkerhet, tilgangskontroll og aktivaforvaltning | ✅ Dekket | A.5.3, A.5.9–A.5.18, A.6.1–A.6.6, A.8.1–A.8.3, A.8.5 (21 stk) |
| (j) Flerfaktorautentisering og sikret kommunikasjon | ⚠️ Delvis | A.5.14, A.8.5, A.8.20–A.8.22, A.8.24 (6 stk) |
Tabellen viser at ISO 27001 gir deg et bredt fundament. Men «delvis dekket» betyr at du har mer arbeid å gjøre, og det er i disse manglene NIS2 stiller krav som ISO 27001 alene ikke oppfyller.
Der NIS2 går lenger enn ISO 27001
De seks «delvis dekket»-kategoriene inneholder konkrete mangler du må tette. Her er de viktigste:
1. Hendelsesrapportering med faste tidsfrister
Dette er kanskje det mest merkbare gapet. NIS2 Artikkel 23 krever varsling til nasjonal CSIRT innen 24 timer etter at en vesentlig hendelse oppdages, en detaljert melding innen 72 timer, og en sluttrapport innen én måned. ISO 27001 (A.5.24–A.5.29) krever at du har prosedyrer for hendelseshåndtering, men sier ingenting om tidsfrister. Du kan ha et ISO 27001-sertifisert ISMS og likevel bryte NIS2s rapporteringskrav. Les mer om hva som kreves i guiden vår om NIS2 hendelsesrapportering.
2. Krisehåndtering som egen disiplin
ISO 27001 dekker forretningskontinuitet godt (A.5.29, A.5.30, A.8.13–A.8.14), men NIS2 skiller eksplisitt mellom driftskontinuitet og krisehåndtering. Direktivet krever en egen styringsstruktur for kriser med definerte roller, beslutningsmyndighet og krisekommunikasjonsplaner. I tillegg forventes det at virksomheten gjennomfører regelmessige cyberøvelser for å teste at planene faktisk fungerer under press. ISO 27001 gir deg et godt utgangspunkt med sine kontinuitetskontroller, men du trenger trolig en mer formalisert kriseorganisasjon med tydeligere kommandolinjer enn standarden krever.
3. Leverandørkjededybde
ISO 27001 har solide kontroller for leverandørstyring (A.5.19–A.5.23), men NIS2 Artikkel 21(3) går dypere. Direktivet krever at du vurderer leverandørenes egne cybersikkerhetspraksiser og gjør en sårbarhetsvurdering av hele leverandørkjeden, ikke bare dine direkte leverandører. For virksomheter som bruker mange underleverandører eller skytjenester, betyr dette en mer systematisk tilnærming enn det ISO 27001 alene krever. Vi har skrevet en egen guide om NIS2 og leverandørkjedesikkerhet.
4. Koordinert sårbarhetsrapportering
NIS2 Artikkel 12 forventer at virksomheten har en publisert policy for koordinert sårbarhetsrapportering. Det betyr et definert kontaktpunkt for eksterne sikkerhetsforskere som finner sårbarheter i systemene dine, og koordinering med nasjonal CSIRT. I praksis betyr dette at du trenger en «security.txt»-fil eller tilsvarende offentlig kontaktinformasjon, en intern prosess for å motta og håndtere rapporter, og en tidsplan for utbedring. Dette har ingen direkte ekvivalent i ISO 27001 Annex A og er et område du må bygge opp fra bunnen av.
5. Eksplisitte krav til flerfaktorautentisering
ISO 27001 kontroll A.8.5 sier at du skal ha «sikker autentisering», men overlater detaljene til virksomheten. NIS2 Artikkel 21(2)(j) er mer spesifikk: direktivet krever eksplisitt flerfaktorautentisering (MFA) eller kontinuerlig autentisering, i tillegg til sikrede nødkommunikasjonssystemer. Har du allerede MFA på plass for alle kritiske systemer, er du godt dekket, men du trenger dokumentasjon som viser at dette er et bevisst valg, ikke bare noe du «tilfeldigvis gjør».
6. Personlig ledelsesansvar
NIS2 Artikkel 20 innfører noe ISO 27001 ikke har: et eksplisitt krav om at ledelsen skal gjennomføre cybersikkerhetsopplæring og kan holdes personlig ansvarlig for manglende etterlevelse. ISO 27001 krever «ledelsesinvolvering» (klausul 5.1), men uten personlig ansvar. Dette betyr i praksis at du trenger dokumentert opplæring for ledergruppen, ikke bare generell sikkerhetsbevissthet for alle ansatte.
I tillegg til disse seks manglene bør du være klar over at NIS2 Artikkel 3 innfører en registreringsplikt hos nasjonal CSIRT, og at Artikkel 20(2) spesifiserer personlig ledelsesansvar. To krav som ikke har noen parallell i ISO 27001 overhodet.
Der ISO 27001 gir deg et forsprang
De fire «fullt dekket»-kategoriene er der ISO 27001 virkelig lønner seg. Har du allerede jobbet med standarden, har du et solid fundament:
Risikostyring (kategori a): ISO 27001 klausulene 6.1, 8.2 og 8.3 dekker NIS2s krav til risikovurdering og sikkerhetspolicyer direkte. Har du en fungerende risikovurderingsprosess etter ISO 27001, oppfyller du dette NIS2-kravet uten vesentlig tilleggsarbeid.
Effektivitetsvurdering (kategori f): Her har ISO 27001 det sterkeste samsvaret. Standardens PDCA-syklus (planlegg–utfør–kontroller–korriger), kravene til internrevisjon (klausul 9.2) og ledelsens gjennomgang (klausul 9.3) dekker NIS2s forventning om at du jevnlig vurderer om sikkerhetstiltakene dine faktisk fungerer. Les mer om hvordan egenvurderingen vår måler dette.
Kryptografi (kategori h): Annex A-kontroll A.8.24 dekker kryptografipolicy og nøkkelhåndtering godt nok til å møte NIS2s krav. Sørg for at policyen er oppdatert og reflekterer faktisk praksis.
Personellsikkerhet, tilgangskontroll og aktivaforvaltning (kategori i): Dette er det bredeste samsvaret: 21 Annex A-kontroller dekker hele livssyklusen fra bakgrunnssjekk ved ansettelse, via taushetserklæring og opplæring, til tilgangsavslutning ved fratreden. I tillegg dekkes identitets- og tilgangsstyring samt aktivaforvaltning. Har du implementert disse kontrollene, har du en svært stor del av NIS2 kategori (i) på plass.
Hovedbudskapet er klart: Har du ISO 27001 – sertifisert eller ikke – har du et betydelig forsprang. Du trenger trolig bare å tette de seks manglene beskrevet over.
Praktisk oppsummering for norske SMB-er
Her er tre nøkkelpunkter du bør ta med deg:
Du trenger ikke ISO 27001-sertifisering for å oppfylle NIS2. Men gjør du NIS2-arbeidet grundig, dekker du samtidig 62 av 93 Annex A-kontroller, nesten to tredjedeler av ISO 27001. Det betyr at veien til en eventuell sertifisering blir vesentlig kortere, og du har solid dokumentasjon å vise til når kunder spør.
Omvendt: Har du allerede ISO 27001, har du om lag 70 % av NIS2 på plass. Da kan du fokusere ressursene på de seks manglene: hendelsesrapportering med faste tidsfrister, krisehåndtering som egen disiplin, leverandørkjededybde, koordinert sårbarhetsrapportering, MFA-dokumentasjon og personlig ledelsesansvar.
For de fleste norske SMB-er er den pragmatiske tilnærmingen å starte med NIS2-kravene, som er de lovpålagte, og bruke ISO 27001 som referanseramme og kontrollrammeverk der det gir merverdi. Ikke forsøk å innføre begge parallelt som separate prosjekter, bygg heller ett integrert sikkerhetsarbeid som dekker begge. Hvilke sektorer og virksomheter som omfattes kan du lese mer om i guiden vår om hvem NIS2 gjelder for. Trenger du hjelp til å velge riktig verktøy for arbeidet, har vi også en sammenligning av NIS2-verktøy for norske bedrifter.