kravklar

NIS2 og leverandørkjeden: hva betyr kravene for norske underleverandører?

Skrevet av Jakob Torsvik 11 min lesetid

Du er IT-leder i en norsk bedrift med 80 ansatte. Dere leverer IT-tjenester til et par store aktører innen helse og energi. Én dag dukker det opp en e-post fra en av storkundene: de trenger dokumentasjon på informasjonssikkerheten din. Risikovurdering, hendelseshåndtering, tilgangskontroll, hele pakken. Fristen er seks uker.

Hva er det som skjer?

Kort fortalt: NIS2 er i ferd med å forandre spillereglene. EUs cybersikkerhetsdirektiv pålegger regulerte virksomheter å sikre hele leverandørkjeden sin, ikke bare egen drift. I EU trådte NIS2 i kraft 18. oktober 2024, og europeiske virksomheter er allerede underlagt kravene. Det betyr at norske bedrifter som leverer tjenester eller produkter til regulerte aktører, møter nye krav nå, selv om NIS2 ikke er gjennomført i norsk lov ennå.

Digitalsikkerhetsloven, som trådte i kraft 1. oktober 2025, gjennomfører det første NIS-direktivet (NIS1) i norsk rett. Regjeringen har signalisert at et lovforslag som gjennomfører NIS2 vil komme, men ingen dato er bekreftet. I mellomtiden er det kontraktskravene fra kundene dine som driver utviklingen.

Denne artikkelen forklarer hva NIS2-kravene til leverandørkjeden betyr for deg som underleverandør, hva kundene dine sannsynligvis vil kreve, og hvordan du kommer i gang, uten å måtte sertifisere deg etter ISO 27001 fra dag én.

Hvorfor stiller kundene dine plutselig nye krav?

Svaret ligger i NIS2-direktivets artikkel 21, punkt 2(d). Der kreves det eksplisitt at regulerte virksomheter skal ivareta sikkerhet i leverandørkjeden, inkludert sikkerhetsaspekter i forholdet til direkte leverandører og tjenesteleverandører. Dette er ikke en vag oppfordring. Det er et konkret krav som regulerte virksomheter må etterleve.

Konsekvensen er at virksomheter som faller inn under NIS2, må vurdere leverandørenes sikkerhetspraksis som en del av sin egen risikostyring. De kan ikke lenger nøye seg med å sikre egen infrastruktur; de er pålagt å ha kontroll på hele kjeden.

Konsekvensen er kontraktskrav. Revisjonsrett. Krav om dokumentasjon. Og disse kravene forplanter seg nedover: din kunde stiller krav til deg, og du forventes å stille tilsvarende krav til dine underleverandører. Slik sprer forpliktelsene seg gjennom hele verdikjeden.

Leverer du IT-tjenester til NIS2-regulerte virksomheter? Les mer i NIS2 for IT-tjenesteleverandører.

Norske aktører bekrefter trenden

Dette er ikke teori. Flere norske fagmiljøer peker på at utviklingen allerede er i gang.

Olof Eilertsson, jurist og forretningsutvikler for IT-sikkerhet i Atea-konsernet, har påpekt at store europeiske aktører allerede har begynt å stille formelle krav til underleverandører, også norske. Han ser at mange virksomheter sitter på gjerdet og venter, men advarer mot dette: når kravet om samsvar fra en viktig kunde kommer, er det trolig for sent å sette i gang tiltak.

Siv Irene Aasen, partner og leder for IT-risikotjenester i BDO, har advart om at norske leverandører kan miste kontrakter dersom de ikke kan dokumentere sikkerhetspraksisen sin. Hun peker spesielt på at norske bedrifter som leverer til europeiske aktører som er omfattet av NIS2, allerede i dag risikerer å tape oppdrag, uavhengig av norsk lovgivning.

Kristian Foss, partner i Bull advokatfirma, sitert av Digital Norway, understreker at underleverandører ikke bare må møte kravene fra kundene sine, de må også stille egne vilkår nedover til sine leverandører. Noen aktører vil måtte kreve retten til å inspisere flere nivåer ned i leverandørkjeden, påpeker han.

I en artikkel i Lov&Data påpeker Foss at den vide rekkevidden av NIS2 innebærer at leverandører indirekte omfattes gjennom kontraktsforpliktelser, uavhengig av geografisk plassering, så lenge tjenesten ytes til regulerte virksomheter i EØS-området.

Er du juridisk forpliktet til å etterleve NIS2?

Her er det viktig å nyansere.

Direkte forpliktet? Nei, med mindre virksomheten din selv faller inn under NIS2-omfanget. Det avhenger av sektor og størrelse: du må operere i en av de regulerte sektorene (energi, transport, helse, digital infrastruktur, og flere) og ha minst 50 ansatte eller over 10 millioner euro i omsetning. Vil du sjekke raskt? Bruk Kravklars omfangssjekk for å se om din bedrift faller direkte inn under NIS2.

Indirekte forpliktet? I praksis, ja. Gjennom kontraktskrav fra regulerte kunder er du bundet til å dokumentere og etterleve sikkerhetskrav som speiler NIS2. Dette er den praktiske realiteten for de fleste norske underleverandører i dag.

Digitalsikkerhetsloven, som gjelder fra 1. oktober 2025, gjennomfører NIS1 og retter seg mot tilbydere av samfunnsviktige tjenester og digitale tjenester. NIS2 vil utvide omfanget betydelig: flere sektorer og flere virksomheter vil omfattes. Men selv før NIS2 gjennomføres i norsk lov, er markedskreftene i gang. Kunder som er regulert under NIS2 i EU, kan rett og slett ikke bruke leverandører som ikke møter kravene. Velger de deg uten at du kan dokumentere sikkerhet, tar de en risiko som kan gi dem bøter og tilsynsreaksjoner.

Advokatfirmaet Bull påpeker i sin gjennomgang av digitalsikkerhetsloven at selv om en leverandør eller underleverandør ikke er direkte regulert, kan den møte nye krav gjennom kontrakter når kundene selv må stille krav til og dokumentere sikkerheten i verdikjeden.

Poenget er dette: selv om du ikke er juridisk pålagt å etterleve NIS2 direkte, vil markedet tvinge deg. Mangelen på dokumentasjon er ikke bare et etterlevelsesproblem. Det er et kommersielt problem.

Hva vil kundene dine kreve av deg?

NIS2 artikkel 21 lister opp ti kategorier av sikkerhetstiltak som regulerte virksomheter skal ha på plass. Når kundene dine stiller krav til deg som leverandør, vil de typisk speile disse kategoriene. Her er hva du kan forvente:

Dokumentert risikostyring. Du må kunne vise at du har gjennomført en risikovurdering og har en sikkerhetspolicy. Kunden vil se at du systematisk har identifisert trusler og sårbarheter, og at du har tiltak på plass. Les mer om hvordan du gjennomfører en risikoanalyse.

Hendelseshåndtering. Du trenger rutiner for å oppdage, håndtere og varsle om sikkerhetshendelser. Kunden vil vite hva du gjør når noe går galt, og at du varsler dem dersom hendelsen kan påvirke tjenestene du leverer.

Tilgangskontroll. Hvem har tilgang til hva i systemene dine, og hvordan styres det? Rollebasert tilgangskontroll, prinsippet om minste privilegium, og bruk av multifaktorautentisering (MFA) er forventede minimumskrav.

Kontinuitetsplanlegging. Backup-rutiner, gjenopprettingsplaner og beredskap. Kunden vil vite at du kan komme tilbake i drift etter en hendelse, og hvor raskt.

Revisjonsrett. Mange kontrakter vil inneholde en klausul som gir kunden rett til å gjennomføre eller bestille revisjon av sikkerhetspraksisen din. Vær forberedt på at dette blir standard.

Leverandørstyring nedover. Du må selv stille sikkerhetskrav til dine underleverandører. Kaskadering er en sentral mekanisme i NIS2, og kundene dine vil forvente at du tar ansvar for hele din del av kjeden.

Opplæring. Du må kunne dokumentere at ansatte har fått sikkerhetsopplæring. Det handler ikke om lange kurs, men om å vise at de som jobber med sensitiv informasjon eller kritiske systemer, vet hva de gjør.

For en fullstendig gjennomgang av alle ti kravområdene, se vår guide til NIS2 Artikkel 21.

Forholdsmessighetsprinsippet gjelder

NIS2 artikkel 21(1) slår fast at tiltakene skal være forholdsmessige. Det vil si at kravene skal stå i forhold til virksomhetens risikoeksponering, størrelse og de potensielle konsekvensene av en hendelse.

Konkret innebærer det at en IT-tjenesteleverandør som drifter kritisk infrastruktur for et sykehus, vil møte langt strengere krav enn en leverandør av kontorrekvisita til samme sykehus. Lov&Data-artikkelen om NIS2-omfanget bruker nettopp dette eksempelet: en leverandør av et journalsystem til et sykehus forventes å ha vesentlig bedre kontroll på leverandørkjeden enn en bilforhandler. Kravene skaleres etter risiko, og det er et prinsipp du bør bruke aktivt når du prioriterer tiltak.

Hvordan dokumentere sikkerhet uten ISO 27001?

Mange norske SMBer reagerer på nye sikkerhetskrav med en følelse av at de må sertifisere seg etter ISO 27001 umiddelbart. Det er forståelig, men sjelden nødvendig som første steg. ISO 27001 er et solid rammeverk, men sertifiseringen er kostbar og tidkrevende, og NIS2 krever ikke sertifisering. Det NIS2 krever, er at du har egnede og forholdsmessige tiltak på plass, og at du kan dokumentere dem.

Som Eilertsson i Atea påpeker: det handler ikke nødvendigvis om å kjøpe nytt. Mange har allerede verktøyene, men har kanskje ikke slått på tofaktorautentisering, mangler rutiner for onboarding og offboarding, eller har ikke opplæring som treffer. Han kaller det «digitalt bondevett»: å bruke det du har, og å bruke det riktig.

Her er en pragmatisk tilnærming:

1. Start med en egenvurdering

Kartlegg hvor du står i dag mot de ti kategoriene i NIS2 Artikkel 21. En strukturert egenvurdering gir deg oversikt over hva du allerede har på plass, og hvor de viktigste manglene er. Kravklars gratis NIS2-vurdering er designet for akkurat dette: du svarer på spørsmål knyttet til hver kravkategori og får en visuell oversikt over modenheten din. Les mer om hvordan vurderingen fungerer.

2. Lag en sikkerhetspolicy

Du trenger et kort, konkret dokument som beskriver hvordan virksomheten din håndterer informasjonssikkerhet. Det bør dekke risikovurdering, tilgangskontroll, hendelseshåndtering, backup-rutiner og opplæring. Dokumentet trenger ikke å være langt. To til fem sider er ofte nok for en SMB. Poenget er at det finnes, at det er oppdatert, og at det brukes.

3. Dokumenter det du allerede gjør

Dette er kanskje det viktigste rådet: mange norske SMBer har bedre sikkerhetspraksis enn de tror. Problemet er at det ikke er skrevet ned. Bruker du MFA? Har du backup-rutiner? Kjører du jevnlige oppdateringer? Skriv det ned. Dokumentasjon er forskjellen mellom «vi gjør dette» og «vi kan bevise at vi gjør dette», og det er sistnevnte kundene dine trenger.

BDOs Siv Irene Aasen bekrefter dette skillet: mindre virksomheter mangler ofte hele styringssystemet og jobber reaktivt og ad hoc, mens de større har systemene, men svikter på det operasjonelle: de glemmer å øve, teste og verifisere at sikkerheten faktisk fungerer.

4. Prioriter de viktigste tiltakene

Du trenger ikke alt på plass fra dag én. Fokuser på de tiltakene som gir størst sikkerhetseffekt og som kundene oftest spør etter. Kristian Foss i Bull lister opp konkrete ting som tofaktorautentisering, krav om backupsystemer og intern cybersikkerhetstrening som sentrale NIS2-krav. Prioriter disse:

  • Multifaktorautentisering (MFA) på alle kritiske systemer
  • Backup med jevnlig testing av gjenoppretting
  • En enkel hendelseshåndteringsplan: hvem gjør hva når noe skjer?
  • Grunnleggende sikkerhetsopplæring for ansatte

5. Bruk rammeverk som referanse

Du trenger ikke sertifisering for å bruke anerkjente rammeverk som rettesnor. NSMs grunnprinsipper for IKT-sikkerhet er et godt norsk utgangspunkt. ISO 27001 kan brukes som referanse uten at du sertifiserer deg. BDOs Aasen kaller standarden en «gullstandard» som gir god metodikk, men påpeker at den har ett kritisk punkt den ikke dekker godt nok: varslingsrutinene. Og NIS2 Artikkel 21 gir deg ti konkrete kategorier å strukturere arbeidet etter.

For en mer detaljert steg-for-steg-veiledning, se forberedelsesguiden for SMBer. Vil du sammenligne verktøy som kan hjelpe deg? Se vår oversikt over NIS2-verktøy for norske bedrifter.

Konkurransefordel, ikke bare plikt

Det er lett å se NIS2-krav som nok en byrde: enda flere skjemaer, enda mer dokumentasjon. Men det finnes en annen vinkel.

I en situasjon der regulerte virksomheter må vurdere leverandørenes sikkerhet, blir din dokumentasjon et salgsargument. Kan du vise til en strukturert risikovurdering, en oppdatert sikkerhetspolicy og dokumenterte rutiner, skiller du deg ut. Leverandører som kan dokumentere sikkerhet i tråd med NIS2-kravene, vil vinne kontrakter over de som ikke kan det.

Kristian Foss i Bull har uttalt at god cybersikkerhet er i ferd med å gå fra å være en hygienefaktor til å bli et reelt konkurransefortrinn. I Lov&Data-artikkelen om NIS2-omfanget slås det også fast at proaktiv etterlevelse kan gi leverandører en fordel i markedet. Og Foss understreker at reglene ikke er laget for å plage folk. De er laget for å beskytte virksomheter og samfunnet mot stadig økende cybertrusler.

Tenk på det slik: kunden din sitter med et krav om å dokumentere leverandørkjeden. De har kanskje ti leverandører de må vurdere. Leverandøren som allerede har dokumentasjonen klar, er leverandøren som gjør jobben enklest for kunden, og det er leverandøren som blir valgt neste gang også.

Med Kravklar kan du generere en styreklar rapport basert på egenvurderingen din: et dokument du kan dele med kunder og samarbeidspartnere for å vise at du tar sikkerhet på alvor.

Kom i gang: tre steg denne uken

Du trenger ikke et stort prosjekt for å starte. Her er tre konkrete ting du kan gjøre denne uken:

1. Kartlegg kundene dine. Gå gjennom kundelisten og identifiser hvem som opererer i NIS2-regulerte sektorer: energi, transport, helse, finans, digital infrastruktur, vannforsyning, avløp, offentlig forvaltning. Disse kundene vil stille krav, om de ikke allerede har gjort det.

2. Gjennomfør en egenvurdering. Bruk Kravklars gratis NIS2-vurdering for å kartlegge modenheten din mot NIS2 Artikkel 21. Det tar omtrent 15 minutter, og du får umiddelbart en visuell oversikt over styrker og mangler.

3. Start dokumentasjonen. Ta det du allerede gjør og skriv det ned. MFA-policyen. Backup-rutinene. Hvem som har administratortilgang. Det trenger ikke å være perfekt. Det viktigste er å begynne. Du kan alltid forbedre dokumentasjonen etterhvert.

Kartlegg sikkerhetsnivået ditt på 15 minutter

Bruk Kravklars gratis egenvurdering basert på NIS2 Artikkel 21 for å kartlegge hvor du står, og oppgrader til Oppfølging for en styreklar rapport du kan vise kundene dine.

Start gratis vurdering →