kravklar

NIS2-guide

Registreringsplikt hos NSM – innmeldingen som gjelder nå, og portalen som kommer

8 min lesetid

«Alle må registrere seg hos NSM» – påstanden dukker opp i nyhetsbrev, på frokostseminarer og i salgsmøter. Den er upresis nok til å skape to motsatte feil: virksomheter som allerede har en lovpålagt innmeldingsplikt uten å vite det, og virksomheter som tror de må registrere seg i dag, selv om plikten deres tidligst kommer med en ny lov som ennå ikke er vedtatt.

Det er nemlig to forskjellige ting som blandes sammen. Den ene er innmeldingsplikten i digitalsikkerhetsloven, som gjelder nå og fungerer overraskende manuelt. Den andre er registreringsportalen NSM har varslet i forbindelse med en ventet ny lov som skal gjennomføre NIS2. Denne artikkelen holder de to fra hverandre, slik at dere kan svare på det eneste spørsmålet som betyr noe: hva gjelder for oss, og når?

Sporet som gjelder nå: innmelding etter digitalsikkerhetsloven

Digitalsikkerhetsloven trådte i kraft 1. oktober 2025, sammen med digitalsikkerhetsforskriften som utfyller den. Et viktig premiss først: loven gjennomfører NIS1-direktivet, ikke NIS2. Når noen hevder at NIS2 allerede er norsk lov, stemmer det altså ikke – NIS2 er verken innlemmet i EØS-avtalen eller gjennomført i norsk rett ennå. Det som gjelder i Norge i dag, er NIS1 gjennom digitalsikkerhetsloven. Forholdet mellom dagens lov og NIS2 er nærmere forklart i guiden om digitalsikkerhetsloven og NIS2.

At loven bygger på NIS1, betyr ikke at den er uten betydning. For virksomhetene som omfattes, gjelder pliktene fullt ut – inkludert plikten til å melde seg inn hos myndighetene.

Hvem omfattes av dagens lov

Loven retter seg mot to kategorier: tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester.

Samfunnsviktige tjenester er avgrenset til sju sektorer:

  • energi
  • transport
  • helse
  • vannforsyning
  • bank
  • finansmarkedsinfrastruktur
  • digital infrastruktur

Tilbydere av digitale tjenester omfatter blant annet nettbaserte markedsplasser, søkemotorer og skytjenester, med egne avgrensninger i forskriften.

Det viktigste å forstå er modellen loven bruker. Ingen får brev i posten med beskjed om at de er omfattet. Loven legger opp til en «nedenfra og opp»-tilnærming: virksomheten skal selv vurdere om den faller innenfor, ved å se på sektorene i lovens § 2 og deretter på virksomhetstypene og minsteverdiene i digitalsikkerhetsforskriften § 1. Konklusjonen – og ansvaret for den – ligger hos dere.

I praksis betyr det at en del virksomheter er omfattet uten å ha registrert det selv. Et nettselskap, en vannbehandlingsoperatør eller en tilbyder av DNS-tjenester kan ha hatt innmeldingsplikt siden oktober 2025 uten at noen i organisasjonen har gjort vurderingen. Plikten gjelder uavhengig av om dere har oppdaget den.

Slik foregår innmeldingen i dag

Tilbydere av samfunnsviktige tjenester skal melde seg inn hos to instanser: NSM og tilsynsmyndigheten i sin sektor. Loven sier at innmeldingen skal skje «så raskt det lar seg gjøre» – det finnes altså ingen fast frist å planlegge mot, plikten løper fra det øyeblikket dere er omfattet.

Selve prosessen er manuell. NSM har publisert to PDF-skjemaer: ett for innmelding av virksomheten og ett for innmelding av de samfunnsviktige tjenestene den leverer. Skjemaene fylles ut og sendes på e-post til postmottak@nsm.no, merket «Innmelding digitalsikkerhetsloven». Samme informasjon skal deles med sektormyndigheten deres.

Innmeldingen skal blant annet inneholde virksomhetens navn, organisasjonsnummer, adresse og kontaktinformasjon – inkludert kontaktperson og vakttelefon – samt navn på eller en kort beskrivelse av de samfunnsviktige tjenestene dere tilbyr. Etter innmelding får virksomheten et saksnummer, og hver innmeldt tjeneste får et eget referansenummer.

Plikten stopper ikke der. Endrer noe seg i virksomheten eller tjenestene – nye tjenester, organisasjonsendringer, ny kontaktinformasjon – skal dere melde fra til både NSM og tilsynsmyndigheten. Innmeldingen er med andre ord ikke en engangsøvelse, men en løpende forpliktelse til å holde myndighetenes oversikt oppdatert.

At ordningen er basert på PDF og e-post, er verken bra eller dårlig i seg selv – det er bare slik den fungerer i dag, for en relativt avgrenset gruppe virksomheter. Men det forklarer også hvorfor neste punkt har fått så mye oppmerksomhet.

Sporet som kommer: ny lov og registreringsportal

Parallelt med dagens ordning forbereder myndighetene gjennomføringen av NIS2 i Norge. Signalene peker mot en ny lov som gjennomfører både NIS2 og CER-direktivet (om kritiske enheters motstandsdyktighet), og som vil erstatte dagens digitalsikkerhetslov. Her er det avgjørende å skille mellom det som er varslet og det som er vedtatt – for per i dag er ingenting av dette vedtatt.

Hva som er varslet

To milepæler er kommunisert:

  • En registreringsportal hos NSM, planlagt åpnet 1. juli 2026, som etter planen skal håndtere registrering av virksomheter under det ventede nye regelverket.
  • Tilsyn ventes fra oktober 2026.

I tillegg ventes omfanget å øke betydelig. Der dagens lov treffer noen hundre virksomheter, er anslaget at den nye loven vil omfatte rundt 5 000. Det skyldes at NIS2 dekker langt flere sektorer enn NIS1 – blant annet IKT-tjenester, post, avfallshåndtering, matproduksjon og kjemikalier – og bruker størrelsesterskler som fanger opp mellomstore virksomheter. Hvilke virksomheter som ventes å falle innenfor, er gjennomgått i oversikten over hvem NIS2 ventes å gjelde for.

Hva som ikke er vedtatt

Alt i forrige avsnitt er planer og anslag. Den nye loven er ikke vedtatt, NIS2 er ikke innlemmet i EØS-avtalen, og det finnes ingen bekreftet ikrafttredelsesdato. Portaldatoen 1. juli 2026 er en planlagt åpning som kan flytte seg. Tallet 5 000 er et anslag for et regelverk som ennå ikke finnes i norsk rett – ikke en beskrivelse av dagens rettstilstand.

Det betyr to ting for hvordan dere bør lese mediedekning og leverandørhenvendelser. For det første: ingen kan i dag pålegge en norsk SMB å «registrere seg for NIS2», for plikten eksisterer ikke ennå. For det andre: at plikten ikke eksisterer ennå, er ikke det samme som at den ikke kommer. Retningen er tydelig kommunisert, selv om datoene ikke er bindende.

Hvorfor forvekslingen oppstår – og hvorfor den koster

Forvekslingen mellom de to sporene er forståelig. Begge handler om registrering hos NSM, begge knyttes til «NIS» i en eller annen form, og overgangen fra dagens lov til den ventede nye skjer glidende i omtalen. Resultatet er at budskapet «alle må registrere seg» får leve, løsrevet fra både hvem «alle» er og når «må» inntreffer.

Kostnaden ved forvekslingen er reell i begge retninger. Virksomheter som er omfattet av dagens lov, kan utsette en plikt som allerede løper, fordi de tror «dette gjelder først når NIS2 kommer». Og virksomheter som først omfattes av den nye loven, kan kaste bort tid på å lete etter en registreringsordning som ikke gjelder dem – i stedet for å bruke tiden på forberedelsene som faktisk monner.

For det er verdt å være tydelig på hva registrering egentlig er: en døråpner. Innmeldingen gir myndighetene oversikt, men det er ikke den som utgjør etterlevelsen. Bak registreringsplikten ligger kravene til risikostyring og sikkerhetstiltak, og plikten til å varsle om alvorlige hendelser – under dagens lov innen 24 timer for tilbydere av samfunnsviktige tjenester. Hvordan varslingsplikten fungerer, og hva NIS2 ventes å kreve, er beskrevet i guiden om hendelsesrapportering. En virksomhet som registrerer seg uten å ha disse tingene på plass, har bare gjort seg synlig for tilsynsmyndigheten – ikke etterlevd loven.

To spørsmål dere bør avklare nå

Uavhengig av hvor dere lander, koker dette ned til to vurderinger som kan gjøres med dagens informasjon.

  1. Omfattes vi av dagens digitalsikkerhetslov?

Gå gjennom sektorene i lovens § 2 og avgrensningene i forskriftens § 1. Leverer dere samfunnsviktige tjenester innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur eller digital infrastruktur, kan svaret være ja. Da gjelder innmeldingsplikten allerede for dere, og den skal oppfylles så raskt det lar seg gjøre: skjemaer til NSM, kopi til sektormyndigheten, og rutiner for å melde endringer. Tilbyr dere digitale tjenester innenfor forskriftens definisjoner, omfattes dere også av loven – med krav til sikkerhet og varsling – men uten den samme innmeldingsordningen.

Husk at vurderingen er deres ansvar. «Vi har ikke hørt noe fra NSM» er ikke et argument – modellen forutsetter at dere identifiserer dere selv.

  1. Ligger vi an til å omfattes når NIS2 kommer?

Hvis dere er en mellomstor eller stor virksomhet i en av sektorene NIS2 dekker, er sannsynligheten høy for at den ventede nye loven vil treffe dere. Da er det ikke registreringen som bør bekymre dere – å fylle ut en portal tar en ettermiddag. Det som tar tid, er jobben bak: å kartlegge hvor dere faktisk står på risikostyring, tilgangskontroll, leverandøroppfølging, beredskap og hendelseshåndtering, og å lukke gapene.

Den kartleggingen må gjøres uansett, enten loven kommer i 2026 eller senere. Forskjellen ligger i arbeidsforholdene: de som starter nå, kan fordele arbeidet over måneder og ta tiltakene i fornuftig rekkefølge. De som venter til plikten treffer dem, må gjøre nøyaktig den samme jobben – men under tidspress, samtidig med alle andre som ventet, og med et tilsynsregime som er varslet å følge kort tid etter portalen. En praktisk inngang til arbeidet finnes i steg-for-steg-guiden for SMB-er som forbereder seg på NIS2.

Begynn med avklaringen, ikke med skjemaene

Rekkefølgen er ikke tilfeldig: først avklare om dere omfattes – av dagens lov, av den ventede nye, eller begge – og deretter kartlegge egen modenhet mot kravene. Registrering og innmelding følger naturlig av den første avklaringen; sikkerhetsarbeidet følger av den andre.

Er dere usikre på hvor dere står, kan dere ta en scope-sjekk og få et konkret svar på om virksomheten ligger innenfor – i dag eller når NIS2 kommer. Deretter vet dere hvilket av de to sporene dere skal forholde dere til, og kan bruke tiden frem mot den varslede portalen på arbeidet som faktisk krever den.