NIS2-guide
Styringssystem for informasjonssikkerhet i liten bedrift: hvor mye trenger dere egentlig?
Mange små og mellomstore virksomheter får i dag presentert det samme tilbudet: et fullskala styringssystem for informasjonssikkerhet, gjerne bygget på SharePoint eller Microsoft 365, med dokumentstyring, risikoregister, rutinebibliotek og kontinuerlig oppfølging. Tilbudet kommer som regel med en henvisning til NIS2 og et underforstått premiss om at dette er det dere må ha for å være på rett side av regelverket. For en stor og kompleks virksomhet kan et slikt system være helt riktig. For en typisk SMB er det like ofte kraftig overdimensjonert: dyrt å innføre, tungt å holde levende, og bygget for et detaljnivå dere verken har ressurser til eller reelt behov for.
Spørsmålet dere bør stille er ikke om dere har et imponerende system, men om sikkerhetsstyringen står i forhold til risikoen, størrelsen og eksponeringen deres. Det er nettopp dette utgangspunktet NIS2 bygger på, og det er grunnen til at en lettere, forholdsmessig tilnærming ofte er det riktige for en mindre bedrift. Denne artikkelen går gjennom hva et styringssystem egentlig er, hva regelverket faktisk krever, og hvordan dere finner ut hvilket nivå dere trenger.
Hva et styringssystem for informasjonssikkerhet egentlig er
Et styringssystem for informasjonssikkerhet, ofte forkortet ISMS (information security management system), høres mer omfattende ut enn det trenger å være. I kjernen er det en måte å styre informasjonssikkerhet på systematisk: dere kartlegger risiko, bestemmer hvilke tiltak dere skal ha, plasserer ansvar, og følger opp at det faktisk virker. Den formelle standarden for et slikt system er ISO/IEC 27001. Den beskriver hvordan et ledelsessystem for informasjonssikkerhet skal etableres, drives og forbedres over tid.
Det mange forbinder med et ISMS – mappestrukturer i SharePoint, lange rutinedokumenter, et detaljert risikoregister – er ikke selve styringssystemet. Det er én måte å realisere det på. Et styringssystem kan i prinsippet være lett eller tungt. Det avgjørende er ikke mengden dokumenter, men om dere har kontroll på risiko, tiltak, ansvar og oppfølging. En liten virksomhet med god oversikt og noen få velvalgte rutiner kan ha bedre reell styring enn en stor organisasjon med hundre dokumenter ingen leser.
Denne forskjellen er verdt å holde fast ved når noen tilbyr dere et fullskala system. Et tungt dokument- og prosessapparat er et middel for å oppnå styring, ikke styringen i seg selv. Når dere vurderer et tilbud, er det derfor rimelig å spørre hvor mye av apparatet som faktisk vil bli brukt i deres drift, og hvor mye som vil bli liggende som hyllevare.
Hva NIS2 faktisk krever, og hvorfor forholdsmessighet er hele poenget
NIS2 er EUs reviderte direktiv for nettverks- og informasjonssikkerhet. I Norge gjelder i dag digitalsikkerhetsloven (LOV-2023-12-20-108), som gjennomfører det første NIS-direktivet (NIS1) og trådte i kraft 1. oktober 2025. NIS2 er foreløpig ikke innlemmet i EØS-avtalen og dermed ikke gjennomført i norsk rett. Det er likevel det kommende, mer omfattende regelverket de fleste forbereder seg mot, fordi det utvider både hvilke sektorer som omfattes og hvilke krav som stilles til virksomhetene.
Kjernen i NIS2 ligger i Artikkel 21. Den krever at omfattede virksomheter innfører passende og forholdsmessige tekniske, operasjonelle og organisatoriske risikohåndteringstiltak, basert på en all-hazards-tilnærming. Det betyr at dere skal ta høyde for hele bredden av trusler mot informasjonssystemene: ikke bare digitale angrep, men også menneskelig svikt, fysiske hendelser og bortfall hos leverandører.
De ti tiltakene i Artikkel 21
Artikkel 21(2) lister opp ti tiltaksområder som risikohåndteringen som et minimum skal dekke, fra punkt (a) til (j):
- Risikoanalyse og retningslinjer for sikkerhet i informasjonssystemer
- Håndtering av hendelser
- Driftskontinuitet, sikkerhetskopiering, katastrofegjenoppretting og krisehåndtering
- Sikkerhet i leverandørkjeden
- Sikkerhet ved anskaffelse, utvikling og vedlikehold av systemer, inkludert håndtering og offentliggjøring av sårbarheter
- Retningslinjer og prosedyrer for å vurdere om risikohåndteringstiltakene virker etter hensikten
- Grunnleggende cyberhygiene og opplæring i sikkerhet
- Retningslinjer for bruk av kryptografi og kryptering
- Personellsikkerhet, tilgangsstyring og forvaltning av verdier
- Bruk av flerfaktorautentisering, sikret kommunikasjon og sikrede nødkommunikasjonssystemer
En grundigere gjennomgang av hva hvert av punktene innebærer i praksis finner dere i guiden om de ti tiltakene i Artikkel 21.
Det avgjørende ligger i Artikkel 21(1): tiltakene skal stå i forhold til virksomhetens risiko, størrelse, eksponering og sannsynligheten for og alvorligheten av hendelser, sett opp mot kostnaden ved å innføre dem og det som regnes som beste praksis. Listen over de ti områdene er altså felles, men ambisjonsnivået innenfor hvert område skal tilpasses dere. En virksomhet med ti ansatte og noen få skytjenester forventes ikke å ha det samme apparatet som en kritisk infrastrukturoperatør med tusen ansatte.
Krever NIS2 da at dere kjøper et bestemt styringssystem eller sertifiserer dere etter ISO 27001? Nei. Regelverket påbyr verken et konkret verktøy, en bestemt programvare eller en formell sertifisering. Det krever at dere har forholdsmessige tiltak på plass og kan vise at de er resultatet av en bevisst vurdering. Hvordan dere kommer dit, står dere fritt til å bestemme.
Et siste presiserende poeng: om dere i det hele tatt omfattes, og om dere i så fall regnes som «vesentlig» eller «viktig» virksomhet, avhenger av sektor kombinert med størrelse, ikke størrelse alene. Er dere usikre på om regelverket gjelder dere, er en enkel scope-sjekk et fornuftig første skritt før dere vurderer system og tiltak.
Når et tungt styringssystem er riktig, og når det er overkill
Det finnes gode grunner til å bygge et fullt styringssystem. Hvis kundene deres krever ISO 27001-sertifisering for å inngå avtale, hvis dere opererer i flere regulatoriske regimer samtidig, eller hvis driften er kompleks nok til at sikkerhet må styres på tvers av mange systemer, team og prosesser, da er et omfattende apparat ikke overkill, men nødvendig. Da bør dere heller ikke prøve å spare dere til en lettvektsløsning som ikke holder mål.
Problemet oppstår når et system dimensjonert for den situasjonen selges inn til en virksomhet som ikke er i den. Symptomene er gjenkjennelige: dokumenter som skrives én gang og aldri åpnes igjen, et risikoregister ingen oppdaterer, og en følelse av at sikkerhetsarbeidet handler mer om å fylle ut maler enn om å redusere reell risiko. Når systemet blir tyngre å vedlikeholde enn risikoen tilsier, ender det med å bli liggende, og da gir det verken bedre sikkerhet eller bedre etterlevelse.
Tabellen under oppsummerer hva som kjennetegner de to ytterpunktene. De fleste SMB-er befinner seg nærmere høyre kolonne enn de blir fortalt.
| Kjennetegn | Tungt styringssystem (full ISMS-suite) | Lett, forholdsmessig tilnærming |
|---|---|---|
| Passer når | Høy kompleksitet, mange systemer, team og prosesser | Oversiktlig drift, få systemer og leverandører |
| Drives oftest av | Sertifiseringskrav fra kunder, regulatorisk press utover NIS2 | NIS2-etterlevelse i forhold til reell risiko |
| Dokumentmengde | Omfattende politikk-, rutine- og prosessbibliotek | Det som faktisk besluttes og brukes |
| Ressursbehov | Eget sikkerhetsårsverk eller mer | Deles på eksisterende roller |
| Innføring og drift | Lang innføring, krever løpende vedlikehold | Rask å komme i gang, lett å holde levende |
| Vanligste feil | – | Overdimensjonering: systemet blir hyllevare |
Poenget er ikke at det lette alltid er bedre, men at valget skal være et resultat av en vurdering av deres situasjon, ikke av hva en leverandør har på hyllen. En bredere oversikt over verktøyene og tjenestene som finnes i det norske markedet, finner dere i oversikten over NIS2-verktøy for norske bedrifter.
Slik ser en lett, forholdsmessig tilnærming ut i praksis
En forholdsmessig tilnærming følger den samme logikken som et tungt system, bare med et ambisjonsnivå tilpasset en mindre virksomhet. Den kan beskrives i fire bevegelser som gjentas over tid.
Kartlegg hvor dere står. Før dere kan prioritere, må dere vite hvilke av de ti tiltaksområdene dere allerede dekker, hvilke dere dekker delvis, og hvilke dere ikke har tatt tak i. Dette er en modenhetsvurdering, ikke en revisjon, og den trenger ikke ta lang tid.
Finn de viktigste gapene. Ikke alle mangler er like alvorlige. Et hull i tilgangsstyringen eller manglende sikkerhetskopier veier tyngre enn en uferdig rutinebeskrivelse. Målet er å skille det som faktisk øker risikoen fra det som bare mangler på papiret.
Prioriter tiltak etter risiko. Når gapene er kjent, ranger dem etter hvor mye risiko de representerer og hvor mye det koster å lukke dem. Dette er kjernen i en praktisk risikovurdering, og det er her forholdsmessigheten blir konkret. En strukturert gjennomgang av metoden finner dere i guiden om praktisk risikovurdering.
Dokumenter beslutninger og følg opp jevnlig. Dere trenger ikke et stort dokumentsystem, men dere bør kunne vise hva dere har vurdert, hva dere har valgt å gjøre, og hvorfor dere eventuelt har valgt å ikke gjøre noe på et område. Denne dokumentasjonen er det som gjør etterlevelsen etterprøvbar, og den bør oppdateres når noe vesentlig endrer seg. For en samlet steg-for-steg-gjennomgang rettet mot mindre virksomheter, se forberedelser for SMB.
NSM grunnprinsipper som norsk referanse
For en SMB som ønsker et konkret rammeverk uten å gå hele veien til ISO 27001, er NSMs grunnprinsipper for IKT-sikkerhet et godt utgangspunkt. De er norske, fritt tilgjengelige og skrevet i et språk som er til å forstå uten sikkerhetsbakgrunn. Prinsippene er organisert rundt å kartlegge, beskytte, oppdage og håndtere, og de gir praktiske anbefalinger på et nivå som lar seg gjennomføre uten et tungt styringsapparat.
ISO 27001 og NSM grunnprinsipper kan understøtte NIS2-arbeidet, og det er stor overlapp mellom kontrollene i ISO 27001 Annex A og tiltakene i Artikkel 21. Men det er verdt å være presis: å følge et rammeverk, eller å være sertifisert, er ikke det samme som å oppfylle NIS2. Sertifisering kan dokumentere at dere har god styring, men NIS2-etterlevelse handler om at de forholdsmessige tiltakene faktisk er på plass for deres virksomhet. Forholdet mellom de to er beskrevet nærmere i guiden om ISO 27001-overlapp.
Hvor Kravklar passer inn
Kravklar er ikke et fullverdig styringssystem, og det erstatter ikke et ISMS for en virksomhet som faktisk trenger ett. Hvis dere har kunder som krever sertifisering, eller en kompleksitet som gjør at sikkerhet må styres på tvers av mange prosesser, trenger dere et dokument- og prosessapparat som Kravklar ikke er ment å være.
Det Kravklar er, er et egenvurderings- og modenhetsverktøy. Det hjelper dere å forstå hvor dere står på de ti tiltaksområdene i Artikkel 21, hvor de viktigste gapene er, og hva dere bør prioritere først, gjennom en gapanalyse og en prioritert handlingsplan koblet mot NIS2 Artikkel 21 og ISO 27001 Annex A. Dere kan følge utviklingen over tid og hente ut en styreklar rapport som dokumenterer vurderingene. Med andre ord dekker det startpunktet og oppfølgingslaget i en lett tilnærming: kartleggingen, prioriteringen og dokumentasjonen av beslutninger, ikke selve dokumenthåndteringen.
For en SMB som mistenker at det tunge systemet de er tilbudt er overdimensjonert, er et fornuftig første steg å skaffe seg et nøkternt bilde av egen modenhet før dere bestemmer hvilket nivå dere faktisk trenger. Kartlegg hvor dere står på de ti tiltaksområdene, så har dere et grunnlag for å velge riktig dimensjonering, framfor å la valget bli tatt for dere.