kravklar

NIS2 risikoanalyse: Slik gjennomfører du det i praksis

Skrevet av Jakob Torsvik 9 min lesetid

Risikoanalyse er det aller første kravet NIS2 stiller til virksomheter. Artikkel 21(2)(a) lister «policies on risk analysis and information system security» som punkt én i minimumskravene, og det er ikke tilfeldig. Uten en dokumentert risikoanalyse har du ikke grunnlag for å vurdere om tiltakene dine er forholdsmessige. Du kan rett og slett ikke demonstrere overfor et tilsynsorgan at du har gjort nok, fordi du ikke kan vise hva «nok» er basert på.

Heldigvis krever NIS2 ikke at du bygger et fullskala styringssystem for informasjonssikkerhet (ISMS). Det direktivet faktisk krever er at du gjennomfører en systematisk, dokumentert og oppdatert risikoanalyse, tilpasset virksomhetens størrelse og risikobilde.

Denne guiden viser deg hvordan du som IT-leder i en norsk mellomstor bedrift (50–249 ansatte) gjennomfører en NIS2 risikoanalyse i praksis, steg for steg.

Hva NIS2 faktisk krever av risikoanalysen

Før du setter i gang, er det verdt å forstå hva direktivet faktisk sier, og hva det ikke sier.

Risikobasert, ikke sjekklistebasert

Artikkel 21(1) krever at virksomheter iverksetter «appropriate and proportionate technical, operational and organisational measures» for å håndtere risiko. Nøkkelordene her er forholdsmessige og risikobaserte. NIS2 gir deg ikke en sjekkliste du kan krysse av punkt for punkt. I stedet skal tiltakene dine stå i forhold til risikoen virksomheten din faktisk er utsatt for.

All-hazards: ikke bare cybertrusler

Artikkel 21(2) slår fast at tiltakene «shall be based on an all-hazards approach that aims to protect network and information systems and the physical environment of those systems from incidents». Det betyr at risikoanalysen din ikke kan begrense seg til digitale trusler. Du må også vurdere strømbrudd, brann, naturhendelser, menneskelig feil og leverandørsvikt.

Forholdsmessighet for SMBer

Direktivet er tydelig på at størrelse spiller inn. Artikkel 21(1) sier at det «shall be taken due account of the degree of the entity's exposure to risks, the entity's size and the likelihood of occurrence of incidents and their severity, including their societal and economic impact». For en norsk bedrift med 80 ansatte betyr det at forventningene er vesentlig lavere enn for en stor operatør av kritisk infrastruktur, men at du fortsatt må kunne dokumentere hva du har gjort og hvorfor.

Ingen bestemt metode er pålagt

NIS2 foreskriver ikke en spesifikk metodikk. Du kan bruke ISO 27005, NS-ISO 31000, NSMs grunnprinsipper for IKT-sikkerhet, eller en kombinasjon. Det som teller er at tilnærmingen er dokumentert, systematisk og at du gjennomfører den jevnlig.

Hva med norsk lov?

Digitalsikkerhetsloven trådte i kraft 1. oktober 2025 og gjennomfører det første NIS-direktivet (NIS1) i norsk rett. NIS2 er ennå ikke gjennomført i Norge, og ingen dato er bekreftet. Virksomheter som allerede nå forholder seg til NIS2-kravene, har et solid forsprang når den norske gjennomføringen vedtas.

Steg-for-steg: Slik gjør du en NIS2 risikoanalyse

Her er den praktiske oppskriften. Hvert steg inkluderer konkrete eksempler tilpasset norske mellomstore bedrifter.

1. Kartlegg kritiske verdier

Start med å identifisere hva virksomheten din faktisk er avhengig av. Hvilke systemer, data og tjenester er det som holder hjulene i gang?

Typiske verdier for en norsk SMB:

  • ERP-systemet (Visma, SAP Business One, 24SevenOffice): ordrehåndtering, fakturering, lager
  • E-post og samhandling (Microsoft 365, Google Workspace): intern og ekstern kommunikasjon
  • Kundedata i CRM: kontaktinformasjon, avtaler, historikk
  • Økonomisystem: regnskap, lønn, rapportering
  • Produksjonsstyring: hvis du driver produksjon eller logistikk
  • Nettsted og nettbutikk: hvis det er en salgskanal

Et godt utgangspunkt er å stille spørsmålet: Hva stopper opp dersom dette systemet er utilgjengelig i 24 timer? Svaret gir deg en rask prioritering av hvilke verdier som er mest kritiske.

Ikke begrens deg til IT-systemer. Husk at NIS2 krever en allfare-tilnærming: bygningen du sitter i, strømforsyningen, nøkkelpersoner med unik kompetanse, alt dette er verdier som kan påvirke driften.

2. Identifiser trusler og sårbarheter

Når du vet hva du skal beskytte, er neste steg å kartlegge hva som kan gå galt.

Nasjonal sikkerhetsmyndighet (NSM) publiserer årlige trusselvurderinger som gir et godt bilde av trussellandskapet i Norge. Bruk dette som utgangspunkt (tilgjengelig på nsm.no).

Vanlige trusler for norske mellomstore bedrifter:

  • Løsepengevirus (ransomware): Fortsatt den mest akutte trusselen for SMBer. Angripere krypterer data og krever betaling for å gi tilgang tilbake.
  • Phishing og sosial manipulering: Falske e-poster som lurer ansatte til å oppgi innlogging eller installere skadevare. Spesielt effektive mot virksomheter uten systematisk sikkerhetsopplæring.
  • Kompromittert leverandør: En IT-leverandør, skytjeneste eller programvareleverandør som blir angrepet, kan gi angripere tilgang til dine systemer.
  • Insidertrussel: Ansatte som gjør feil, eller i sjeldne tilfeller handler med vilje. Tilgangsstyring og logging reduserer denne risikoen.
  • Strømbrudd og naturhendelser: Flom, langvarig strømbrudd eller brann kan sette systemer ut av spill. Spesielt relevant for virksomheter med lokal infrastruktur.

For hver trussel: vurder også sårbarhetene som gjør deg utsatt. Mangler du multifaktorautentisering (MFA)? Har du testet backup-rutinene dine? Har leverandøravtalene dine krav til sikkerhet?

3. Vurder sannsynlighet og konsekvens

Nå kobler du trusselbilde og verdier sammen i en risikovurdering. For de fleste SMBer holder en enkel 3×3-matrise:

Lav konsekvens Middels konsekvens Høy konsekvens
Høy sannsynlighet Middels risiko Høy risiko Svært høy risiko
Middels sannsynlighet Lav risiko Middels risiko Høy risiko
Lav sannsynlighet Lav risiko Lav risiko Middels risiko

Konkret eksempel: Løsepengevirus mot ERP-systemet. Sannsynligheten vurderer du som middels. Det skjer jevnlig mot norske bedrifter, men dere har grunnleggende sikkerhetstiltak på plass. Konsekvensen er høy: uten ERP stopper fakturering, ordrehåndtering og lagerstyring. Risikoen blir dermed høy, og dette havner høyt på prioriteringslisten.

Gjør denne vurderingen for alle kombinasjoner av verdier og trusler du identifiserte i steg 1 og 2. Du trenger ikke hundrevis av scenarioer. For en mellomstor bedrift er 15–25 risikoer et vanlig omfang i første runde.

Husk: vurderingene trenger ikke være perfekte. Poenget er å ha et strukturert grunnlag for å prioritere, ikke å lage et vitenskapelig presist modell.

4. Prioriter tiltak

Ranger risikoene etter score og ta de høyeste først. For hver høy risiko: hvilket konkret tiltak reduserer sannsynligheten eller konsekvensen?

Noen tiltak gir mye effekt for lite penger:

  • Multifaktorautentisering (MFA) på alle eksterne tjenester: reduserer risikoen for kompromitterte kontoer dramatisk
  • Verifisert backup med jevnlig test av gjenoppretting: forskjellen mellom en uke nedetid og noen timer ved løsepengevirus
  • Sikkerhetsopplæring for ansatte: halvparten av vellykkede angrep starter med en ansatt som klikker på feil lenke
  • Tilgangsstyring etter minste privilegium: begrens hvem som har administratortilgang
  • Oppdatert programvare og automatisk patching: fjerner kjente sårbarheter

Koble hvert tiltak tilbake til NIS2 Artikkel 21-kategoriene. Risikoanalysen din dekker kategori (a). Men tiltakene vil naturlig falle inn under de andre kategoriene også: hendelseshåndtering (b), driftskontinuitet (c), forsyningskjedesikkerhet (d), og så videre. Slik bygger risikoanalysen bro til resten av NIS2-arbeidet.

Vurder alltid kost-nytte. Et tiltak som koster 50 000 kroner i året og reduserer en høy risiko til lav, er nesten alltid verdt det. Et tiltak som koster en million og reduserer en middels risiko marginalt, bør kanskje vente.

5. Dokumenter alt

Dette steget er ikke valgfritt. NIS2 krever at du kan demonstrere etterlevelse overfor tilsynsmyndigheter. Uten dokumentasjon har du ingenting å vise frem.

Dokumenter som minimum:

  • Risikovurderingen: hvilke verdier, trusler, sannsynligheter og konsekvenser du har vurdert
  • Tiltaksplanen: hvilke tiltak du har besluttet, med prioritering
  • Ansvarlig person: hvem eier hvert tiltak
  • Tidslinje: når risikoanalysen ble gjennomført og når neste gjennomgang er planlagt
  • Status på tiltak: hva er gjennomført, hva er pågående, hva gjenstår

Du trenger ikke et avansert GRC-verktøy for dette. Et regneark med dato, ansvarlig og status er langt bedre enn ingen dokumentasjon. Det viktigste er at det finnes, at det er oppdatert, og at noen eier det.

Vanlige feil SMBer gjør med NIS2 risikoanalyse

Risikoanalysen blir en engangsøvelse

NIS2 forventer løpende risikostyring, ikke en risikoanalyse du gjør én gang når prosjektet starter og deretter legger i en skuff. Trusselbilde, systemer og organisasjonen endrer seg. Sett en fast kadence: minimum én gang i året, og alltid ved vesentlige endringer (nytt system, ny leverandør, sikkerhendelse).

Bare IT-risiko på listen

All-hazards betyr at du også må vurdere fysiske og organisatoriske risikoer. Hva skjer ved langvarig strømbrudd? Brann i serverrommet? En nøkkelperson som slutter? Leverandøren din som går konkurs? Disse scenariene hører hjemme i risikoanalysen din.

Ledelsen er ikke involvert

Artikkel 20(1) krever at ledelsen godkjenner risikostyringstiltakene og fører tilsyn med gjennomføringen. Risikoanalysen er ikke en oppgave IT-avdelingen kan løse alene. Daglig leder eller styret må være involvert – både for å oppfylle kravet og for å sikre at nødvendige ressurser faktisk blir prioritert.

Unødvendig kompleksitet

En norsk bedrift med 80 ansatte trenger ikke et fullskala ISO 27001 ISMS for å oppfylle NIS2. Husk forholdsmessighetsprinsippet: start pragmatisk med det du har, dokumenter det du gjør, og bygg videre etter hvert. En grundig risikoanalyse i et regneark slår et halvferdig ISMS-prosjekt som aldri ble implementert.

Verktøy og ressurser

Du trenger ikke dyre verktøy for å komme i gang med NIS2 risikoanalyse. Her er de viktigste ressursene:

NSMs grunnprinsipper for IKT-sikkerhet (versjon 2.1) er gratis, norskspråklig og tilgjengelig på nsm.no/gp-ikt. De inkluderer mal for risikovurdering og regneark med sikkerhetstiltak, et solid utgangspunkt for norske SMBer.

ISO 27005 er den internasjonale standarden for risikoanalyse knyttet til informasjonssikkerhet. Den er betalt, men gir en strukturert tilnærming hvis du ønsker å gå dypere.

NS-ISO 31000 er et generelt rammeverk for risikostyring som fungerer godt som overordnet struktur.

NSMs e-læringskurs i grunnprinsipper for IKT-sikkerhet er gratis og gir en god innføring for deg som er ny til systematisk sikkerhetsarbeid.

Usikker på hvor virksomheten din står? Start med en gratis NIS2-egenvurdering som dekker risikoanalyse og 9 andre Artikkel 21-kategorier.

Oppsummering og neste steg

Risikoanalysen er grunnmuren for alt NIS2-arbeid. Den gir deg oversikten du trenger for å prioritere riktig, og den dokumentasjonen du trenger for å vise at tiltakene dine er forholdsmessige.

Start enkelt: kartlegg de viktigste verdiene, identifiser de mest relevante truslene, vurder risikoen, og dokumenter det hele. Du trenger ikke et perfekt resultat. Du trenger et godt nok utgangspunkt som du kan forbedre over tid.

Risikoanalysen informerer direkte alle de andre ni Artikkel 21-kategoriene. Når du har den på plass, vet du hvor du skal sette inn kreftene videre.

Relaterte guider:

Usikker på om NIS2 gjelder for din virksomhet? Sjekk det her, tar 30 sekunder.