kravklar

NIS2 og ledelsens ansvar: Hva styret og daglig leder må gjøre i praksis

Skrevet av Jakob Torsvik 9 min lesetid

Daglig leder i en mellomstor norsk virksomhet får en e-post fra en stor kunde. Kunden ber om dokumentasjon på hvordan selskapet styrer cybersikkerheten, hvem som er ansvarlig, og hvilke tiltak som er godkjent av ledelsen. Spørsmålet virker enkelt, men svaret er det ikke. IT-avdelingen har sine rutiner, men ingen har formelt godkjent dem. Styret har aldri behandlet cybersikkerhet som eget punkt. Og det finnes ingen dokumentert ansvarsfordeling.

Denne situasjonen er svært vanlig i norske virksomheter med 50–250 ansatte. Ifølge en artikkel i Lov&Data fra mars 2026 har mange norske virksomheter, inkludert offentlige, ennå ikke kommet i gang med forberedelsene til NIS2. Det er et problem, fordi NIS2-direktivet endrer spillereglene for hvem som eier cybersikkerhetsansvaret.

Artikkel 20 i NIS2-direktivet gjør det eksplisitt: cybersikkerhet er et lederansvar. Styret og daglig leder kan ikke lenger delegere dette ansvaret til IT-avdelingen og anse seg ferdige. Ledelsesorganene skal selv godkjenne sikkerhetstiltakene, føre tilsyn med gjennomføringen og gjennomgå opplæring. NIS2 er ikke innlemmet i EØS-avtalen per april 2026, og ingen dato for norsk gjennomføring er bekreftet, men retningen er tydelig. Virksomheter som rammes av direktivet bør forberede seg nå.

Hva NIS2 faktisk krever av ledelsen

Artikkel 20 i NIS2-direktivet stiller konkrete krav til det direktivet kaller management bodies, det vil si ledelsesorganer. I norsk kontekst betyr det styret og daglig leder. Kravene er fordelt på to ledd.

Artikkel 20(1) pålegger tre forpliktelser:

Godkjenne cybersikkerhetsrisikostyringstiltakene. Ledelsesorganene skal formelt godkjenne de sikkerhetstiltakene virksomheten iverksetter etter Artikkel 21. Det holder ikke at IT-avdelingen har implementert brannmur og tofaktorautentisering. Tiltakene skal være vedtatt av ledelsen som en bevisst beslutning. En oversikt over hva Artikkel 21 krever gir et godt utgangspunkt for å forstå omfanget.

Føre tilsyn med gjennomføringen. Godkjenning alene er ikke nok. Ledelsen skal følge opp at tiltakene faktisk blir gjennomført og fungerer som forutsatt. Dette innebærer en form for løpende rapportering, for eksempel kvartalsvise statusoppdateringer til styret.

Kunne holdes ansvarlig. Direktivet slår fast at ledelsesorganene kan holdes ansvarlige for brudd på virksomhetens forpliktelser etter Artikkel 21. For en gjennomgang av sanksjoner og konsekvenser, se vår artikkel om NIS2-bøter og styreansvar.

Artikkel 20(2) handler om opplæring, og her er det viktig å lese nøyaktig:

Ledelsesmedlemmer skal gjennomgå opplæring. Medlemsstatene skal sikre at medlemmene av ledelsesorganene er pålagt å gjennomgå opplæring. Dette er et obligatorisk krav. Formålet er at ledelsen skal ha tilstrekkelig kunnskap til å identifisere risiko og vurdere cybersikkerhetsrisikostyringen og dens innvirkning på virksomhetens tjenester.

Ansatteopplæring er en oppfordring, ikke et pålegg via Art. 20. Direktivet sier at medlemsstatene skal oppfordre (encourage) virksomheter til å tilby tilsvarende opplæring til ansatte jevnlig. Art. 20 pålegger altså ikke virksomheten å gjennomføre opplæring for alle ansatte. Men – og dette er vesentlig – Artikkel 21(2)(g) krever at virksomheten har tiltak for grunnleggende cyberhygiene og opplæring i cybersikkerhet som en del av de operative sikkerhetstiltakene. Ansatteopplæring blir dermed et krav gjennom Artikkel 21, ikke gjennom governance-bestemmelsen i Artikkel 20. Forskjellen er juridisk relevant: Art. 20 plasserer ansvaret hos ledelsen personlig, mens Art. 21 stiller krav til virksomheten som helhet.

Disse kravene utgjør et minimumsnivå i direktivet. Norsk gjennomføring kan bli strengere. Allerede i dag stiller digitalsikkerhetsloven, som trådte i kraft 1. oktober 2025 og implementerer NIS1, krav til sikkerhetsstyring med ledelsesforankring. NIS2 skjerper og konkretiserer disse kravene vesentlig.

Hva dette betyr i praksis for en norsk SMB

For en virksomhet med 50–250 ansatte, uten dedikert compliance-team, kan kravene virke overveldende. De trenger ikke å være det. Her er de konkrete grepene som bringer ledelsen i tråd med NIS2 Artikkel 20.

Sett cybersikkerhet på styreagendaen

Cybersikkerhet bør være fast punkt på styreagendaen, minimum kvartalsvis. Det betyr ikke at styret skal diskutere brannmurregler, men at de mottar en kortfattet statusrapport: Hva er de viktigste risikoene? Hvilke tiltak er iverksatt? Er det hendelser som krever oppmerksomhet? Styrebehandlingen dokumenteres i styreprotokollen. Denne dokumentasjonen er i seg selv et viktig bevis på at ledelsen faktisk fører tilsyn.

Gjennomfør en egenvurdering av nåsituasjonen

Før ledelsen kan godkjenne tiltak, må den vite hvor virksomheten står. En strukturert egenvurdering kartlegger styrker og svakheter på tvers av de ti kategoriene i NIS2 Artikkel 21, fra risikoanalyse til hendelseshåndtering, tilgangskontroll og forsyningskjedesikkerhet. Kravklars egenvurdering er bygget for akkurat dette formålet og gir en oversikt ledelsen kan bruke som beslutningsgrunnlag. Les mer om hvordan vurderingen fungerer.

Utnevn en ansvarlig person

Noen må eie ansvaret for det daglige sikkerhetsarbeidet. I store virksomheter er dette en CISO (Chief Information Security Officer). I en SMB kan rollen fylles av daglig leder selv, en IT-ansvarlig, eller en ekstern rådgiver. Det viktige er at ansvaret er tydelig plassert, at personen har mandat og ressurser, og at det finnes en rapporteringslinje til styret. NSM Risiko 2026 påpeker at mange virksomheter har utpekt sikkerhetsroller uten å sikre at de ansatte har ressurser eller kompetanse til å ivareta dem. Resultatet er at sikkerhetsarbeidet ikke blir godt nok fulgt opp.

Godkjenn og dokumenter sikkerhetstiltakene formelt

Når egenvurderingen er gjennomført og prioriteringene er klare, skal ledelsen formelt godkjenne tiltakene. Det betyr et styrevedtak som sier: «Styret godkjenner følgende sikkerhetstiltak for perioden …» Vedtaket refererer til den underliggende handlingsplanen og tildeler ansvar og ressurser. Denne formaliteten er ikke byråkrati for byråkratiets skyld. Det er kjernen i NIS2 Artikkel 20: ledelsen skal ta et aktivt, dokumentert eierskap til cybersikkerheten.

Sørg for opplæring

Ledelsen skal selv gjennomgå opplæring – det er et direkte krav i Art. 20(2). I tillegg krever Art. 21(2)(g) at virksomheten har tiltak for cyberhygiene og opplæring for ansatte. I praksis betyr det at opplæring må dekke begge nivåer: ledelsen og resten av organisasjonen. Dette behandles mer utfyllende i neste seksjon.

Etabler en prosess for jevnlig gjennomgang

Cybersikkerhet er ikke et engangstiltak. Trusselbildet endrer seg, virksomheten endrer seg, og tiltakene må justeres. Ledelsen bør fastsette en årlig syklus der egenvurderingen oppdateres, tiltakene evalueres og handlingsplanen revideres. Dette er kjernen i et styringssystem, og det er nettopp et slikt system NSM peker på som «helt nødvendig» i Risiko 2026. En guide til de praktiske forberedelsene kan hjelpe med å strukturere denne prosessen.

Opplæringskravet: Hva skal ledelsen og ansatte faktisk lære?

NIS2 stiller opplæringskrav gjennom to separate bestemmelser, og det er nyttig å forstå forskjellen.

Artikkel 20(2) krever at ledelsesmedlemmer gjennomgår opplæring. Direktivet oppfordrer også virksomheter til å tilby tilsvarende opplæring til ansatte jevnlig, men dette er formulert som en oppfordring (encourage), ikke et pålegg.

Artikkel 21(2)(g) krever derimot at virksomheten har tiltak for grunnleggende cyberhygiene og opplæring i cybersikkerhet som en del av sine operative sikkerhetstiltak. Her er ansatteopplæring et reelt krav, fordi det er et av de ti sikkerhetstiltakene ledelsen skal godkjenne og føre tilsyn med etter Art. 20(1).

I praksis betyr dette at opplæring er påkrevd på begge nivåer, men gjennom ulike mekanismer i direktivet. Direktivet spesifiserer ikke et pensum, men hensikten er klar: alle i virksomheten skal ha kunnskap som står i forhold til deres rolle og ansvar.

For styret og daglig leder betyr dette forståelse av det aktuelle trusselbildet, virksomhetens risikoeksponering, hvilke sikkerhetstiltak som er på plass, og hva som gjenstår. Ledelsen trenger ikke teknisk dybdekunnskap, men må kunne stille de riktige spørsmålene og vurdere om svarene er tilfredsstillende.

For øvrige ansatte handler det om å bygge grunnleggende sikkerhetskompetanse. Typiske tiltak inkluderer:

  • Phishing-simuleringer: Regelmessige tester der ansatte mottar realistiske phishing-e-poster. Formålet er å trene gjenkjenning, ikke å straffe de som klikker.
  • E-læringskurs: Korte, digitale kurs om passordpraksis, sikker håndtering av data, rapportering av mistenkelig aktivitet og lignende. Gjennomføring bør dokumenteres.
  • Årlige bevisstgjøringsøkter: En samling, fysisk eller digital, der ledelsen kommuniserer sikkerhetsprioriteringer og ansatte får stille spørsmål.
  • Skrivebordsøvelser: Simulering av sikkerhetshendelser der nøkkelpersonell øver på respons uten tekniske systemer. Eksempel: «Vi har oppdaget ransomware i regnskapssystemet. Hvem gjør hva de neste to timene?»

Opplæring handler ikke primært om kursbevis. Det handler om å bygge en sikkerhetskultur der ansatte forstår sin rolle og tør å melde fra. Begrepet cyberhygiene i Artikkel 21(2)(g) understreker at dette er daglige vaner, ikke årlige formaliteter. Kravklars ressurser om opplæring og cyberhygiene gir en mer detaljert inngang til temaet.

NSM bekrefter: Manglene er reelle

Nasjonal sikkerhetsmyndighet (NSM) publiserte rapporten Risiko 2026 den 6. februar 2026. Rapporten tegner et bilde som underbygger behovet for det NIS2 nå krever.

NSM slår fast at sikkerhet er et lederansvar. Det er ikke en teknisk oppgave som kan løses av IT-avdelingen alene. Rapporten fremhever at et styringssystem som inkluderer organisatoriske, fysiske, tekniske og menneskelige tiltak er «helt nødvendig» for å oppnå tilstrekkelig sikkerhet.

Samtidig avdekker rapporten et gjennomgående problem: mange virksomheter har formelt utpekt ansatte i sikkerhetsroller, men uten å sørge for at disse personene har ressursene eller kompetansen de trenger for å fylle rollene. Konsekvensen, ifølge NSM, er at sikkerhetsarbeidet ikke blir godt nok fulgt opp.

Dette er nettopp det gapet NIS2 Artikkel 20 adresserer. Direktivet krever ikke bare at ledelsen peker ut en ansvarlig, men at den aktivt fører tilsyn, sørger for opplæring og stiller ressurser til rådighet. Funnene i NSM Risiko 2026 viser at mange norske virksomheter har en vei å gå.

I tillegg skriver Lov&Data i mars 2026 at mange norske virksomheter, inkludert offentlige, ennå ikke har kommet i gang med NIS2-forberedelser. Kombinert med NSMs funn gir dette et klart bilde: behovet for handling er akutt, og det starter i ledelsen.

Veien videre: Fire steg du kan ta nå

NIS2 er ikke innlemmet i EØS-avtalen ennå, og ingen dato for norsk gjennomføring er bekreftet. Men retningen er entydig: cybersikkerhet blir et formelt lederansvar med krav til dokumentasjon, tilsyn og opplæring. Digitalsikkerhetsloven stiller allerede krav til sikkerhetsstyring. Virksomheter som handler nå, slipper å løpe etter.

Her er fire konkrete steg ledelsen kan ta i dag:

  1. Kartlegg nåsituasjonen. Gjennomfør en strukturert egenvurdering som dekker NIS2 Artikkel 21-kravene. Det gir et faktagrunnlag styret kan behandle.
  2. Plasser ansvaret. Utnevn en person med tydelig mandat, ressurser og rapporteringslinje til styret. Sikre at rollen er reell, ikke bare formell.
  3. Sett cybersikkerhet på styreagendaen. Innfør kvartalsvis statusrapportering og dokumenter behandlingen i styreprotokollen.
  4. Start opplæringen. Planlegg opplæring for både ledelsen og ansatte. Begynn med det enkleste: en bevisstgjøringsøkt og en phishing-simulering.

Virksomheter som allerede har et bevisst forhold til digitalsikkerhetsloven har et forsprang. For de som ikke har begynt, er det viktigste å starte.

Kartlegg din virksomhets sikkerhetsnivå – Kravklars egenvurdering gir deg oversikten du trenger for å ta de første beslutningene.