kravklar

NIS2 for IT-tjenesteleverandører: Hvorfor du er omfattet – og hva du bør gjøre nå

Skrevet av Jakob Torsvik 7 min lesetid

IT-tjenesteleverandører har en dobbelteksponering mot NIS2 som få andre sektorer opplever. På den ene siden er forvaltning av IKT-tjenester en egen sektor med høy kritikalitet i direktivets Annex I – noe som betyr at mellomstore og store leverandører er direkte underlagt kravene. På den andre siden vil kundene dine – virksomheter i alle NIS2-sektorer – stille kontraktsfestede sikkerhetskrav til sine leverandører. Denne doble eksponeringen gjør at IT-leverandører møter NIS2 fra to fronter samtidig.

NIS2 er ennå ikke gjennomført i norsk rett. Digitalsikkerhetsloven, som trådte i kraft 1. oktober 2025, gjennomfører det eldre NIS1-direktivet. NIS2 er EØS-relevant og forventes innlemmet, men ingen dato er bekreftet. Det betyr ikke at du kan vente – EU-baserte kunder stiller allerede krav, og norske virksomheter som forbereder seg tidlig, vil stå sterkere når regelverket kommer.

Denne guiden går gjennom hvorfor IT-leverandører er omfattet, hva kravene innebærer i praksis, og hvilke konkrete steg du bør ta nå.

Hvorfor IT-leverandører er direkte omfattet

NIS2 klassifiserer «forvaltning av IKT-tjenester (bedrift-til-bedrift)» som en sektor med høy kritikalitet i Annex I. Det plasserer IT-tjenesteleverandører i samme kategori som energi, transport og helse – sektorer der sikkerhetsbrist kan ha store samfunnskonsekvenser.

Direktivet definerer to underkategorier eksplisitt:

Managed service providers (MSP) er i Art. 6(39) definert som virksomheter som tilbyr tjenester knyttet til installasjon, forvaltning, drift eller vedlikehold av IKT-produkter, nettverk, infrastruktur, applikasjoner eller andre nettverks- og informasjonssystemer. Det omfatter tjenester levert både hos kunden og via fjerntilgang.

Managed security service providers (MSSP) er i Art. 6(40) definert som en MSP som i tillegg utfører eller bistår med aktiviteter knyttet til håndtering av cybersikkerhetsrisiko.

Disse definisjonene er brede. De fanger opp langt mer enn virksomheter som aktivt markedsfører seg som MSP. Drifter du IT-systemer, applikasjoner eller nettverk for andre virksomheter? Da faller du sannsynligvis innenfor definisjonen, uavhengig av hva du kaller tjenesten.

Størrelse avgjør klassifisering

Som hovedregel gjelder NIS2 for virksomheter i Annex I-sektorer som enten har 50 eller flere ansatte, eller en årlig omsetning på 10 millioner euro eller mer. Mellomstore IT-leverandører som oppfyller terskelen, klassifiseres som «viktige» (important) virksomheter, mens store leverandører klassifiseres som «vesentlige» (essential).

Det finnes unntak: nasjonale myndigheter kan utpeke virksomheter under terskelen dersom de fyller en særlig kritisk rolle, for eksempel som eneleverandør av en kritisk tjeneste (Art. 2(2)(d)).

For virksomheter som inngår i et konsern, beregnes størrelsen med hensyn til partner- og tilknyttede virksomheter i tråd med EU-kommisjonens anbefaling 2003/361/EC. En IT-leverandør med 30 ansatte som er del av et større konsern, kan dermed likevel overstige terskelen.

For en full gjennomgang av hvem NIS2 gjelder, se sjekkliste for norske bedrifter. Usikker på om NIS2 gjelder deg? Prøv vår gratis omfangssjekk.

Leverandørkjede-presset – den andre fronten

Selv om virksomheten din faller under størrelsesterskelen, er du ikke fri fra NIS2. Art. 21(2)(d) pålegger NIS2-regulerte virksomheter å sikre sine leverandørkjeder – og som IT-leverandør er du en del av den kjeden.

I praksis betyr det at kundene dine vil stille kontraktsfestede krav til sikkerhetsnivået ditt. De vil kreve dokumenterte sikkerhetstiltak, hendelseshåndteringsrutiner med definerte varslingsfrister, og sannsynligvis rett til revisjon eller innsyn i din sikkerhetspraksis.

NSM Risiko 2026 vier en egen seksjon til leverandørkjederisiko (s. 32). NSM peker på konsentrasjonsrisiko – der mange virksomheter er avhengige av de samme få leverandørene – og på at sikkerhetsnivået i leverandørkjeder ofte ikke følges opp systematisk. For IT-leverandører som betjener mange kunder i NIS2-sektorer, er dette særlig relevant. Du er potensielt et enkeltpunkt for svikt i flere kunders sikkerhetskjede.

Konsekvensen er konkret: uten dokumentert sikkerhetsnivå vil du tape anbud og kundeforhold mot konkurrenter som kan vise til et strukturert sikkerhetsarbeid.

For en grundigere gjennomgang av leverandørkjedekravene, se NIS2 og leverandørkjeden – krav, kontrakter og kontroll.

De viktigste kravene for en IT-leverandør

Art. 21 i NIS2 stiller ti kategorier med sikkerhetskrav. Alle gjelder, men fem av dem treffer IT-leverandører med særlig tyngde.

1. Risikoanalyse (Art. 21(2)(a))

NIS2 krever risikovurderinger som grunnlag for sikkerhetstiltakene. For en IT-leverandør betyr det at vurderingen ikke kan begrenses til egne systemer. Du forvalter kundemiljøer – risikoen i de miljøene er din risiko. En risikovurdering som bare dekker eget kontor og intern infrastruktur, men ignorerer de 50 kundemiljøene du drifter, er utilstrekkelig.

Praktisk betyr det at du trenger en strukturert metodikk for å vurdere risiko på tvers av kundeporteføljen, og at vurderingen bør oppdateres jevnlig og ved vesentlige endringer.

2. Hendelseshåndtering (Art. 21(2)(b))

Varslingsfristene under NIS2 er stramme: førstevarsling innen 24 timer, oppdatert vurdering innen 72 timer, og sluttrapport innen én måned. For MSP-er og MSSP-er gjelder i tillegg en spesifikk regel fra EU-gjennomføringsforordningen 2024/2690: fullstendig utilgjengelighet av en tjeneste i 30 minutter eller mer utløser rapporteringsplikt.

Som IT-leverandør er du gjerne den som oppdager hendelser i kundemiljøer først. Det krever klare rutiner: hvem varsler hvem, innen hvilken frist, og med hvilken informasjon. Uten definerte prosesser risikerer du å bryte varslingsplikten fordi intern kommunikasjon tar for lang tid.

Se NIS2 hendelsesrapportering – frister, innhold og prosess for en detaljert gjennomgang.

3. Forsyningskjedesikkerhet (Art. 21(2)(d))

Du stiller krav til dine kunders leverandører, men dine egne leverandører fortjener like mye oppmerksomhet. RMM-plattformer, skyinfrastruktur, overvåkningsverktøy, ticketingsystemer, backup-løsninger – alle utgjør din forsyningskjede.

En kompromittering av RMM-plattformen din gir en angriper tilgang til samtlige kundemiljøer du forvalter. Det er et scenario NIS2 adresserer direkte. Du trenger oversikt over egne leverandører, vurdering av risikoen de representerer, og kontraktsfestede sikkerhetskrav nedover i kjeden.

4. Tilgangskontroll og flerfaktorautentisering (Art. 21(2)(i)/(j))

Privilegert tilgang til kundemiljøer er kjernerisikoen for enhver IT-leverandør. Admin-kontoer, service-kontoer, fjerntilgangsverktøy – dette er angrepsvektorer som trusselaktører aktivt utnytter.

NIS2 krever tilgangskontroll basert på minste privilegium og bruk av flerfaktorautentisering. For en MSP handler det ikke bare om egne ansattes tilgang, men om hele modellen for hvordan dere aksesserer kundemiljøer. Delte admin-kontoer uten MFA er ikke forenlig med direktivets krav.

5. Driftskontinuitet (Art. 21(2)(c))

Når du er noen andres driftskontinuitet, har du et dobbelt ansvar. Kundene dine baserer sine egne kontinuitetsplaner på at du leverer. SLA-forpliktelsene dine møter nå regulatoriske krav – og NIS2 forventer at du har testet planene, ikke bare dokumentert dem.

Det betyr beredskapsplaner, backup-rutiner, og gjenopprettingsprosedyrer som faktisk er øvd. Evnen til å gjenopprette tjenestene innen avtalt tid må være verifisert, ikke antatt.

Øvrige krav

De fem gjenværende kategoriene gjelder også: opplæring og sikkerhetskultur, kryptografi, sårbarhetshåndtering, personellsikkerhet, og sikring av nettverks- og informasjonssystemer. For en fullstendig oversikt over alle ti kravkategoriene, se NIS2 Art. 21 – alle ti krav forklart.

Konkrete steg du bør ta nå

1. Kartlegg kundene dine etter NIS2-sektor

Identifiser hvilke av kundene dine som opererer i NIS2-sektorer – energi, helse, transport, vannforsyning, digital infrastruktur, og så videre. Det er derfra de kontraktsfestede kravene vil komme først, og det avgjør hvor akutt forberedelsesbehovet ditt er.

2. Dokumentér sikkerhetsarbeidet proaktivt

Ikke vent til kundene krever det. Gjennomfør en modenhetsvurdering nå, og bruk resultatet til å prioritere forbedringer. Dokumentasjon som finnes når kunden spør, er verdt langt mer enn dokumentasjon du lager under tidspress.

Kartlegg NIS2-modenheten din gratis – du får en oversikt over styrker og gaps på tvers av alle ti kravkategorier.

3. Gjennomgå hendelseshåndteringsrutinene

Organisasjonen din må kunne oppdage, vurdere og varsle en hendelse innen 24 timer – også utenfor arbeidstid. Det krever tydelig ansvarsfordeling, definerte eskaleringsprosedyrer, og en kontaktliste som er oppdatert og tilgjengelig. Hvis dette ikke er på plass, er hendelseshåndtering et naturlig sted å starte.

4. Vurder din egen leverandørkjede

List opp verktøyene og plattformene du er avhengig av for å levere tjenester: RMM, skyplattformer, overvåkning, ticketing, backup. Vurder konsekvensene dersom én av dem blir kompromittert eller utilgjengelig, og sjekk om du har kontraktsfestede sikkerhetskrav mot dine leverandører.

5. Bruk NIS2 som konkurransefortrinn

IT-leverandører som proaktivt kan dokumentere et NIS2-kompatibelt sikkerhetsnivå, posisjonerer seg sterkere i anbudsprosesser. NIS2-forberedelse er ikke bare en kostnad – det er en investering i konkurransekraft.

Et konkurransefortrinn – ikke bare en kostnad

Markedet vil dele seg i to: leverandører som kan dokumentere et strukturert sikkerhetsarbeid i tråd med NIS2, og leverandører som ikke kan det. De førstnevnte vil vinne kontrakter. De sistnevnte vil tape dem.

For IT-leverandører med kunder i NIS2-sektorer er dette allerede i ferd med å bli virkelighet. EU-baserte kunder stiller krav nå. Norske kunder i regulerte sektorer vil følge etter når NIS2 gjennomføres i norsk rett. Virksomheter som starter forberedelsene tidlig, slipper å gjøre det under press – og kan bruke dokumentert sikkerhet aktivt i salg og kundedialog.