NIS2-verktøy for norske bedrifter: Komplett oversikt (2026)
NIS2-verktøy for norske bedrifter: Komplett oversikt (2026)
Sist oppdatert: mars 2026
Du har sannsynligvis googlet «NIS2» og fått hundrevis av treff, EU-direktiver, konsulenttilbud, engelskspråklige plattformer og tungt juridisk språk. Men hvilke verktøy og tjenester finnes faktisk for norske bedrifter? Og hvilke hjelper deg konkret videre?
Denne oversikten samler alt vi har funnet av NIS2-verktøy, plattformer og tjenester som er relevante for norske virksomheter. Vi har testet det vi kan teste, lest det som finnes av offentlig informasjon, og forsøkt å gi et ærlig bilde, inkludert av vårt eget produkt.
Først litt kontekst: Digitalsikkerhetsloven trådte i kraft 1. oktober 2025 og gjennomfører det opprinnelige NIS-direktivet (NIS1). NIS2 er ennå ikke gjennomført i norsk rett, og ingen dato er bekreftet. Norske bedrifter som treffer NIS2-kriteriene, typisk 50+ ansatte i relevante sektorer, bør forberede seg nå, uavhengig av når den norske gjennomføringen vedtas.
Hva et godt NIS2-verktøy bør hjelpe deg med
Ikke alle verktøy dekker det samme. For å vurdere hva som faktisk er nyttig, hjelper det å bryte ned NIS2-arbeidet i konkrete steg:
Omfangssjekk: Er vi i det hele tatt omfattet av NIS2 eller digitalsikkerhetsloven? Hvilken kategori faller vi i, vesentlig eller viktig virksomhet?
Modenhetsvurdering: Hvor står vi i dag? Hvilke av de ti sikkerhetskategoriene i NIS2 artikkel 21 har vi kontroll på, og hvor har vi hull?
Gap-analyse: Hva er forskjellen mellom der vi er og der vi må være? Hvilke konkrete mangler må lukkes?
Prioritert tiltaksliste: Gitt begrensede ressurser: hva bør vi gjøre først?
Dokumentasjon og rapport: Kan vi vise styret, ledelsen eller tilsynsmyndigheten at vi har kartlagt situasjonen og har en plan?
Noen verktøy dekker bare det første steget. Andre dekker hele kjeden. Prisen varierer fra gratis til flere hundre tusen kroner. La oss gå gjennom hva som finnes.
Gratis selvtester og omfangssjekker
Disse verktøyene hjelper deg med det første og mest grunnleggende spørsmålet: Er vi i scope?
BDO NIS2-kompasset
BDO har laget et gratis digitalt verktøy som kombinerer noen korte spørsmål om drift og risikoprofil med automatisk innhentede data fra Brønnøysundregistrene. Du får svar på om virksomheten omfattes av NIS2 eller digitalsikkerhetsloven, en indikasjon på modenhetsnivå, og tre anbefalte tiltak.
Av de gratis verktøyene vi har sett, er dette det sterkeste på scope-avklaring. Det er tydelig designet som en inngang til BDOs rådgivningstjenester, men selve verktøyet gir reell verdi uten at du forplikter deg til noe.
PwC NIS2-testen
PwC Norge har en NIS/NIS2-side med oppfordring til å ta en test for å se om direktivet påvirker virksomheten. Det er begrenset offentlig informasjon om testens dybde, metodikk og hva du faktisk får ut. PwC understreker selv at virksomheter må vurdere om de faller inn under reguleringene. Testen fremstår som et naturlig første kontaktpunkt med PwCs rådgivningstjenester.
Telenor NIS2-kartlegger
Telenor tilbyr en kartlegger der du svarer på noen enkle spørsmål for å avdekke om virksomheten omfattes av NIS2. De er tydelige på at NIS2 foreløpig ikke er del av EØS-avtalen, men at norske virksomheter bør forberede seg. Kartleggeren er knyttet til Telenors bredere sikkerhetstjenester, inkludert Nettverk som tjeneste (NaaS).
Hva disse verktøyene er, og ikke er
Alle tre er gode som første steg. De hjelper deg svare på «gjelder dette oss?», og det er et viktig spørsmål. Men ingen av dem gir deg en fullstendig modenhetsvurdering, gap-analyse eller tiltaksliste. For det trenger du enten et selvbetjent verktøy eller en konsulent.
Selvbetjente compliance-verktøy
Her finner du verktøy du kan ta i bruk på egen hånd, uten å engasjere en ekstern konsulent. De varierer stort i omfang, pris og målgruppe.
Kravklar
Kravklar er en norsk NIS2-plattform bygget spesifikt for norske virksomheter. Verktøyet dekker hele kjeden fra scope-avklaring til løpende oppfølging:
En gratis omfangssjekk med fire spørsmål gir deg svar på om NIS2 gjelder for din virksomhet, uten registrering. Selve egenvurderingen består av 56 spørsmål fordelt på de ti sikkerhetskategoriene i NIS2 artikkel 21, og gratisversjonen gir deg radardiagram og trafikklysscore per kategori. Les mer om metodikken bak vurderingen.
Betalingsversjonen (990 kr/mnd, eller 490 kr/mnd som grunnleggermedlem for de 30 første kundene) legger til detaljert gap-analyse, en interaktiv handlingsplan der du kan spore fremdrift per tiltak og kategori, vurderingshistorikk med trendvisning og en styreklar PDF-rapport. Handlingsplanen genereres automatisk fra gap-analysen med prioriterte tiltak du kan markere som ikke startet, pågår eller fullført – slik at du ser konkret hva som gjenstår. Gjennomfører du vurderingen flere ganger, kan du følge utviklingen over tid med trendlinjer og sammenligne radardiagrammer mellom vurderinger. PDF-rapporten kan inkludere utviklingsdata med trenddiagram, sammenligningstabeller og automatisk generert oppsummering – nyttig som styredokumentasjon som viser at virksomheten jobber systematisk med forbedring. Betalingsversjonen inkluderer også en ISO 27001 Annex A-kartlegging som viser hvordan din NIS2-score mapper til 62 av 93 ISO 27001-kontroller – nyttig for virksomheter som vurderer ISO 27001-sertifisering. Les vår grundige guide til NIS2 og ISO 27001-sammenhengen for å forstå hvordan de to rammeverkene komplementerer hverandre.
Kravklar er et relativt nytt produkt som fokuserer utelukkende på NIS2-compliance for norske SMB-er. Det er ikke en fullskala GRC-plattform som RISMA eller .legal, men det dekker hele kjeden fra omfangssjekk til styreklar rapport med utviklingsdata over tid, til en brøkdel av prisen.
For ordens skyld: Kravklar er vårt eget produkt, og denne artikkelen publiseres på vår blogg. Vi har forsøkt å gi en rettferdig fremstilling av alle alternativene.
Tilgjengelig på kravklar.no.
RISMA Systems (nå del av Cerivo)
RISMA er en skandinavisk GRC-plattform som integrerer NIS2 med ISO 27001, CIS18 og GDPR i samme løsning. Tanken er å unngå dobbeltarbeid: oppfyller du et krav i ett rammeverk, oppdateres relevante deler av de andre automatisk.
RISMA ble i 2025 slått sammen med ComplyCloud og Wired Relations under eierfondet Triple Private Equity. Den nye enheten markedsføres under merkevaren Cerivo og sikter mot å bli en ledende nordisk GRC-plattform. Plattformen er rettet mot mellomstore og større virksomheter, og er bredere og mer avansert enn en enkel NIS2-egenvurdering, men dermed også dyrere og mer kompleks å komme i gang med.
.legal ISMS
.legal er en nordisk ISMS-løsning (Information Security Management System) som støtter NIS2 og ISO 27001. Plattformen tilbyr forhåndsdefinerte rammeverkmaler for ISO 27001:2022, NIS2 generelt og NIS2 for energisektoren. Du kan også opprette egne rammeverk for eksempelvis ISAE, SOC2 og CIS18.
En nyttig funksjon er automatisk kobling mellom rammeverk: fullfører du oppgaver i ett rammeverk, oppdateres relevante deler av andre. Plattformen inkluderer også risikovurdering basert på NIS2-scenarioer og hendelseslogg med automatisk versjonering.
.legal har en gratisplan du kan starte med uten kredittkort.
Copla
Copla tar en uvanlig tilnærming: compliance via chatbot i Slack og Teams. Verktøyet leder teammedlemmer gjennom NIS2-tilpassede sjekker og samler bevis automatisk i et sentralt arkiv som er klargjort for tilsyn. Det er en interessant løsning for organisasjoner som vil bygge compliance inn i de verktøyene folk allerede bruker i hverdagen.
ISMS.online
ISMS.online er en internasjonal ISMS-plattform som blant annet anbefales av FM CyberSecurity for norske bedrifter. Plattformen er omfattende og sikter mot ISO 27001-sertifisering parallelt med NIS2-compliance. Den er engelskspråklig og rettet mot et internasjonalt marked.
octoplant (AMDT/Novotek)
octoplant er et spesialisert verktøy for bedrifter med produksjons- og automasjonsmiljøer (OT). Threat Protection-modulen gjør risikoanalyse i OT-miljøer ved å sammenligne automasjonsutstyr mot CVE-, CERT- og CISA-databaser. Dette er kun relevant for bedrifter med industrielle kontrollsystemer og er ikke et generelt NIS2-verktøy.
Konsulentbaserte tjenester
Vil du ha ekstern hjelp, finnes det en rekke norske og internasjonale konsulentfirmaer som tilbyr NIS2-relaterte tjenester. Her er et utvalg av de mest synlige aktørene i det norske markedet:
SPADE Consulting tilbyr gap-analyse, risikovurdering og samsvarsvurdering, med oppgitte prisintervaller på sine nettsider.
Intelli har en pakkeløsning med gap-analyse, risikovurderingsrapport, risikohåndteringsplan og samsvarsvurdering, til fastpris.
Bekk og Atea publiserer begge fagartikler og er synlige i NIS2-diskusjonen. Atea har Thomas Tømmernes som tydelig talsperson og produserer mye innhold om NIS2-beredskap.
FM CyberSecurity tilbyr rådgivning og anbefaler ISMS.online som verktøyplattform.
Bouvet tilbyr NIS2-gapanalyse og implementeringsstøtte.
Brækhus, Bull & Co og DLA Piper dekker det juridiske perspektivet rundt NIS2-compliance.
Kiwa kobler NIS2-veiledning til sine sertifiseringstjenester, mens Orange Business og Secure-NOK (sistnevnte med OT-fokus) tilbyr compliance-rådgivning.
Fordelen med konsulenter er ekstern kvalitetssikring, erfaring fra andre virksomheter og muligheten til å delegere arbeidet. Ulempen er pris: en typisk NIS2-gapanalyse fra et konsulentfirma koster anslagsvis 50 000–200 000+ kroner, avhengig av virksomhetens størrelse og kompleksitet. Det er også en risiko for å skape avhengighet av eksterne ressurser for noe som bør være en intern kompetanse over tid.
Prisestimatene over er basert på markedsobservasjoner og samtaler, ikke offisielle prislister. Be om konkret tilbud fra aktørene du vurderer.
Enterprise GRC-plattformer
For fullstendighetens skyld: Det finnes store GRC-plattformer som Microsoft Compliance Manager (som har en egen NIS2-template), ServiceNow GRC, OneTrust, RSA Archer og AuditBoard. Disse er designet for store virksomheter med dedikerte compliance-avdelinger, og er i de fleste tilfeller overkill for norske SMB-er – både i pris, kompleksitet og implementeringstid.
Har du allerede Microsoft 365 E5, kan det være verdt å sjekke Compliance Manager. Ellers bør du se på verktøyene lengre opp i denne artikkelen først.
Offentlige og gratis ressurser
NSM (Nasjonal sikkerhetsmyndighet)
NSM er den mest autoritative norske kilden for NIS2-relatert informasjon. De tilbyr veileder til digitalsikkerhetsloven, NSMs grunnprinsipper for IKT-sikkerhet, og egenvurderingsskjemaer. Grunnprinsippene er et solid fundament for enhver virksomhet som vil jobbe strukturert med informasjonssikkerhet.
Begrensningen er at NSMs ressurser er normativt sterke, men svake som praktiske arbeidsverktøy for en typisk SMB. Det krever intern kapasitet og kompetanse å omsette rådene til konkrete tiltak og oppfølging i din virksomhet.
Digdir (Digitaliseringsdirektoratet)
Digdir gir anbefalinger og veiledning om styring av informasjonssikkerhet. Nyttig som overordnet referanse, men ikke spesifikt rettet mot NIS2.
ENISA (EUs cybersikkerhetsbyrå)
ENISA publiserer maler, retningslinjer og teknisk veiledning for NIS2 artikkel 21. Materialet er fritt tilgjengelig, grundig og konkret, men på engelsk, og rettet mot et EU-bredt publikum uten spesielle tilpasninger til norske forhold.
Sammenligningstabell
| Verktøy/tjeneste | Type | Omfangssjekk | Gap-analyse | Tiltaksplan | Historikk/trend | Rapport til styre | Pris | Best egnet for |
|---|---|---|---|---|---|---|---|---|
| BDO NIS2-kompasset | Selvtest | Ja | Nei | Delvis (3 tiltak) | Nei | Nei | Gratis | Første avklaring |
| PwC NIS2-testen | Selvtest | Ja | Nei | Nei | Nei | Nei | Gratis | Første avklaring |
| Telenor NIS2-kartlegger | Selvtest | Ja | Nei | Nei | Nei | Nei | Gratis | Første avklaring |
| Kravklar | Verktøy | Ja | Ja (betalt) | Ja (betalt) | Ja (betalt) | Ja (betalt) | Gratis / fra 490 kr/mnd | SMB som vil kartlegge og handle |
| RISMA / Cerivo | GRC-plattform | Nei | Ja | Ja | Nei | Ja | Forespørsel | Mellomstore+ med flere rammeverk |
| .legal ISMS | ISMS-plattform | Nei | Ja | Ja | Nei | Ja | Gratis plan / betalt | Bedrifter med ISO 27001-behov |
| Copla | Verktøy (chat) | Nei | Delvis | Delvis | Nei | Nei | Forespørsel | Team som vil compliance i Slack/Teams |
| ISMS.online | ISMS-plattform | Nei | Ja | Ja | Nei | Ja | Forespørsel | Internasjonale virksomheter |
| octoplant | OT-verktøy | Nei | Delvis (OT) | Delvis (OT) | Nei | Nei | Forespørsel | Industri/produksjon |
| Konsulenter | Tjeneste | Varierer | Ja | Ja | Varierer | Ja | ~50 000–200 000+ kr | Bedrifter som vil ekstern kvalitetssikring |
| Enterprise GRC | Plattform | Varierer | Ja | Ja | Varierer | Ja | Høy | Store virksomheter |
| NSM-ressurser | Offentlig | Delvis | Nei | Nei | Nei | Nei | Gratis | Alle som vil forstå rammeverket |
Anbefaling etter bedriftsprofil
Usikker på om du er omfattet? Start med BDO NIS2-kompasset. Det henter data fra Brønnøysundregistrene og gir deg svar på scope-spørsmålet på noen minutter. Kravklar har også en gratis omfangssjekk med fire spørsmål som gir deg en rask indikasjon uten registrering.
Vet du er i scope og vil kartlegge hvor du står? Bruk et selvbetjent verktøy som Kravklar for å få en modenhetsvurdering, gap-analyse og tiltaksliste til en overkommelig kostnad. En fordel med et selvbetjent verktøy fremfor en engangskonsultasjon er at du kan gjennomføre nye vurderinger over tid og følge utviklingen med trenddata, noe som gir styret dokumentasjon på at arbeidet går fremover. Alternativt, engasjer en konsulent hvis du har budsjett for det og ønsker ekstern kvalitetssikring.
Har du allerede ISO 27001 og trenger NIS2-tilpasning? Se på RISMA/Cerivo eller .legal ISMS. Begge lar deg koble NIS2-krav med eksisterende ISO 27001-arbeid, slik at du unngår å gjøre jobben dobbelt. Kravklar tilbyr også en ISO 27001 Annex A-kartlegging som viser overlappet mellom NIS2 og ISO 27001 for de som vil forstå sammenhengen mellom rammeverkene.
Stor virksomhet med egen compliance-avdeling? En enterprise GRC-plattform som ServiceNow eller OneTrust kan gi deg den bredden og integrasjonen du trenger. Sjekk også Microsoft Compliance Manager hvis du allerede har Microsoft 365 E5.
Vil ha alt gjort av noen andre? Da er konsulentveien riktig. Be om fastpris og tydelig leveransebeskrivelse. SPADE Consulting og Intelli er blant dem som tilbyr pakkeløsninger.
For de fleste norske SMB-er er den mest effektive tilnærmingen å starte med en gratis omfangssjekk, deretter bruke et selvbetjent verktøy for egenvurdering og gap-analyse, og eventuelt supplere med konsulenthjelp på spesifikke områder der du trenger ekstern kompetanse.
Kom i gang
Uansett hvilket verktøy eller hvilken tjeneste du velger, er det viktigste å starte. NIS2-kravene er kjent, og bedrifter som kartlegger situasjonen sin nå, har et solid forsprang når regelverket gjennomføres i norsk rett.
Vil du teste hvor din bedrift står? Start en gratis NIS2-egenvurdering på kravklar.no.
Les mer:
- Gjelder NIS2 for oss? Sjekkliste for norske bedrifter
- NIS2 Artikkel 21: De 10 sikkerhetskravene forklart på norsk
- Slik forbereder du bedriften på NIS2
- NIS2 og leverandørkjeden: Hva betyr kravene for underleverandører?
Denne artikkelen er skrevet av teamet bak Kravklar. Vi har forsøkt å gi en ærlig og komplett oversikt, inkludert verktøy som konkurrerer med vårt eget. Har vi gått glipp av noe? Send oss en e-post på kontakt@kravklar.no.