kravklar

Slik fungerer NIS2-egenvurderingen | Kravklar

Skrevet av Jakob Torsvik 7 min lesetid

Slik fungerer NIS2-egenvurderingen

Kravklars egenvurdering gir deg et konkret bilde av hvor organisasjonen din står i forhold til sikkerhetskravene i NIS2-direktivet. Denne siden forklarer hvordan vurderingen er bygget opp, hvordan scoringen beregnes, og hvilke begrensninger som gjelder.

Hva vurderingen måler

Vurderingen består av 56 spørsmål fordelt på 10 sikkerhetskategorier. Kategoriene dekker kravene i NIS2 Artikkel 21(2)(a)–(j), som definerer minimumstiltakene for risikostyring alle berørte virksomheter må ha på plass.

De 10 kategoriene er:

  1. Risikoanalyse: retningslinjer for risikoanalyse og informasjonssikkerhet
  2. Hendelseshåndtering: rutiner for å oppdage, håndtere og rapportere hendelser
  3. Driftskontinuitet: beredskapsplaner, sikkerhetskopiering og gjenoppretting
  4. Forsyningskjede: sikkerhet i leverandørkjeden og hos tredjeparter
  5. IKT-livssyklus: sikkerhet i anskaffelse, utvikling og vedlikehold av IKT-systemer
  6. Effektivitetsvurdering: rutiner for å evaluere om sikkerhetstiltakene fungerer
  7. Opplæring og hygiene: opplæring, bevisstgjøring og grunnleggende cyberhygiene
  8. Kryptografi: retningslinjer for kryptering og eventuell bruk av kryptografi
  9. Tilgangskontroll: personellsikkerhet, tilgangsstyring og forvaltning av verdier
  10. MFA og kommunikasjon: flerfaktorautentisering og sikret kommunikasjon

Hver kategori har fem eller seks spørsmål. Til sammen gir de 56 spørsmålene et tverrsnitt av organisasjonens sikkerhetspraksis på tvers av alle områdene NIS2 stiller krav til.

Hvordan spørsmålene er bygget opp

Hvert spørsmål besvares på en modenhetsskala fra 1 til 5:

  • 1 – Ikke påbegynt: Ingen formelle tiltak er på plass.
  • 2 – Grunnleggende: Det finnes ad hoc-tiltak, men de er ikke dokumentert.
  • 3 – Etablert: Dokumenterte prosesser som følges i praksis.
  • 4 – Styrt: Prosessene måles, evalueres og forbedres jevnlig.
  • 5 – Optimalisert: Kontinuerlig forbedring basert på data og erfaringer.

Skalaen er utformet slik at nivå 3 representerer det de fleste virksomheter bør sikte mot som et solid grunnlag. Nivå 4 og 5 er relevante for organisasjoner som ønsker å ligge i forkant, men er ikke nødvendigvis forventet av alle.

Spørsmålene er formulert slik at en IT-ansvarlig med generell oversikt over organisasjonens praksis kan besvare dem, du trenger ikke spesialisert sikkerhetsbakgrunn. Hvert spørsmål har en hjelpetekst som forklarer hva det konkret handler om.

Ulik vekting

Ikke alle spørsmål teller likt. Hvert spørsmål har en vekting basert på hvor kritisk det underliggende tiltaket er for NIS2-samsvar:

  • Kritisk: Tiltak som er direkte krav i NIS2-direktivet. Mangler her utgjør alvorlige avvik.
  • Viktig: Tiltak som støtter kjerneforpliktelsene og som tilsynsmyndigheter forventer å se.
  • Støttende: God praksis som styrker det samlede sikkerhetsnivået, men som ikke er eksplisitte krav.

Denne vektingen gjør at scoren reflekterer hva som faktisk betyr mest for NIS2-samsvar, ikke bare hvor mange spørsmål du scorer høyt på.

Hvordan scoringen fungerer

Kategoriscore

Hver av de 10 kategoriene får en prosentscore basert på besvarelsene. Scoren tar hensyn til spørsmålenes vekting: et spørsmål med høy kritikalitet påvirker kategoriscoren mer enn et spørsmål med lavere vekting.

Konseptuelt beregnes kategoriscoren slik: summen av dine svar (multiplisert med tilhørende vekt) delt på den teoretisk beste scoren for de besvarte spørsmålene. Resultatet er en prosentverdi mellom 0 og 100.

Ubesvarte spørsmål

Dersom du hopper over et spørsmål, ekskluderes det fra beregningen. Du straffes altså ikke for å la et spørsmål stå ubesvart, men resultatet blir mer nøyaktig jo flere spørsmål du besvarer. Hvis et spørsmål handler om noe som ikke er relevant for din organisasjon, er det bedre å hoppe over det enn å gjette.

Totalscore

Totalscoren er gjennomsnittet av de 10 kategoriscorene. Alle kategorier veier likt i totalscoren. Dette gjør det enkelt å sammenligne: hvis én kategori er svak, synes det tydelig, uavhengig av hvor mange spørsmål den inneholder.

Trafikklys

Resultatene vises med trafikklysfarger, både per kategori og som en totalvurdering:

  • Rød (under 40 %): Kritisk gap som krever umiddelbar oppmerksomhet. Her mangler grunnleggende tiltak.
  • Gul (40–70 %): Arbeid pågår, men viktige tiltak mangler fortsatt. Det er et godt utgangspunkt, men det gjenstår vesentlige forbedringer.
  • Grønn (over 70 %): God praksis er på plass. Fokus bør ligge på vedlikehold og kontinuerlig forbedring.

Et radardiagram gir deg et visuelt overblikk over alle 10 kategorier samtidig. Dette gjør det raskt å identifisere hvor organisasjonen har styrker og hvor det er størst forbedringspotensial.

Hva resultatene betyr, og ikke betyr

Det er viktig å forstå hva vurderingen gir deg, og hva den ikke gir deg.

Vurderingen er en modenhetsmåling. Den viser hvor langt organisasjonen har kommet med sikkerhetstiltakene som NIS2 krever. En høy score betyr at du har etablerte, dokumenterte prosesser på de fleste områdene. En lav score betyr at det er konkrete mangler som bør adresseres.

Vurderingen er ikke en samsvarssertifisering. En grønn totalscore betyr ikke at du er juridisk «NIS2-compliant». Formelt samsvar avhenger av faktisk implementering, dokumentasjon og eventuell ekstern verifisering, ikke av en selvrapportert poengsum.

Resultatene er et internt beslutningsgrunnlag. Radardiagrammet og kategoriscorene er nyttige i samtaler med ledelsen og styret. Men de er ikke et dokument du kan vise tilsynsmyndigheten som bevis på samsvar. Verdien ligger i å identifisere hvor manglene er, hvor alvorlige de er, og i hvilken rekkefølge de bør prioriteres.

Gapanalyse og handlingsplan

Den gratis vurderingen gir deg scores og radardiagram, altså innsikt i hvor du står. Betalende brukere får i tillegg verktøy for å handle på resultatene.

Gapanalyse: Hver enkelt besvarelse brytes ned og vises med fargekoding etter hvor stort gapet er mellom nåværende modenhet og anbefalt nivå. Gapene sorteres etter en kombinasjon av spørsmålets kritikalitet og størrelsen på avviket. Dette gir deg en prioritert oversikt, ikke bare over hva som mangler, men hva som haster mest.

Handlingsplan: Basert på gapanalysen genereres en prioritert liste over konkrete tiltak, sortert etter hva som gir størst forbedring i NIS2-modenhet. Hvert tiltak er knyttet til et spesifikt spørsmål og kategori.

Styredokument: En nedlastbar PDF oppsummerer status, mangler og anbefalte tiltak i et format som kan presenteres for ledelsen eller styret. Rapporten inkluderer radardiagram, kategoriscorer og handlingsplan, og er tydelig merket som egenvurdering, ikke som en uavhengig revisjon. Har du gjennomført flere vurderinger over tid, kan rapporten også vise utviklingstrender.

For en bredere oversikt over hvordan du kan forberede bedriften på NIS2 steg for steg, se den tilhørende guiden.

Begrensninger og omfang

Kravklar er et verktøy for kartlegging og prioritering, ikke en erstatning for faglig rådgivning. Her er de viktigste begrensningene:

Egenvurdering, ikke revisjon. Resultatene er basert på respondentens egen oppfatning av organisasjonens praksis. Det er ingen uavhengig verifisering. Nøyaktigheten avhenger av at den som besvarer har reell innsikt i hvordan ting faktisk fungerer, ikke bare hva som står i policy-dokumenter.

Én respondent. I denne versjonen fylles vurderingen ut av én person. Ulike personer i organisasjonen kan ha ulik oppfatning av modenhetsnivået, særlig på tvers av avdelinger. Ta gjerne med kollegaer i diskusjonen rundt besvarelsene.

Ingen juridisk rådgivning. Kravklar gir ikke juridiske vurderinger og tar ikke stilling til om din organisasjon oppfyller lovkravene. For formelt NIS2-samsvar anbefaler vi å kombinere egenvurderingen med profesjonell gjennomgang.

Vurderingen er et startpunkt. For mange norske SMB-er som ikke har gjort en systematisk kartlegging tidligere, gir den et konkret og strukturert grunnlag å jobbe videre fra. Sammenligningen av NIS2-verktøy for norske bedrifter gir mer kontekst om hvordan Kravklar passer inn blant tilgjengelige alternativer.

Hvordan vi holder vurderingen oppdatert

NIS2-direktivet er vedtatt på EU-nivå, men den norske implementeringen gjennom digitalsikkerhetsloven og tilhørende forskrifter er fortsatt under utvikling. Kravklars metodikk – spørsmål, vektinger og anbefalinger – oppdateres etter hvert som det norske regelverket konkretiseres.

Vurderingen har en anbefalt gyldighetsperiode på seks måneder. NIS2-samsvar er en løpende prosess, ikke et engangsprosjekt: trusselbildet endrer seg, organisasjonen utvikler seg, og regelverket kan justeres. En regelmessig ny vurdering gir deg oppdatert status og lar deg måle faktisk fremdrift over tid. Dashbordet viser når det nærmer seg tid for en ny gjennomgang.

For virksomheter som gjennomfører vurderingen med jevne mellomrom, viser historikk- og trendvisningen hvordan modenheten utvikler seg, slik at du kan dokumentere fremgang og justere prioriteringer underveis.