NIS2-direktivet: Hva betyr det egentlig for din bedrift?

Skrevet av Helge Wigdel Storevik

Har du hørt om NIS2 og lurt på om det angår din bedrift? Du er ikke alene. Dette EU-direktivet kom i 2025 og påvirker langt flere norske bedrifter enn mange tror.

Kort fortalt er NIS2 EUs forsøk på å få bedrifter til å ta cybersikkerhet på alvor. Det er ikke bare noe som gjelder de store teknologiselskapene lenger.

Hva er egentlig NIS2?

NIS2 står for "Network and Information Systems Directive 2" – et fancy navn for EUs nye regler om cybersikkerhet. Norge må følge disse reglene gjennom EØS-avtalen, så det kommer til å gjelde for oss også.

Enkelt sagt handler det om å beskytte bedriftens digitale systemer mot hackere og cyberangrep. Direktivet krever at bedrifter tar grep om sin egen sikkerhet, rapporterer alvorlige hendelser innen 72 timer, og sørger for at også leverandørene deres har orden på sakene.

Hvilke bedrifter må bry seg om dette?

Her kommer den store overraskelsen for mange: NIS2 gjelder ikke bare for de store teknologigigantene.

De mest kritiske sektorene inkluderer selvsagt energi, transport, helse og banker – bedrifter som samfunnet ikke kan fungere uten. Men listen stopper ikke der.

Andre sektorer som blir påvirket (gitt at bedriften har over 50 ansatte eller mer enn 10 millioner euro i omsetning):

  • Post og pakkelevering – tenk Posten, Bring og andre som leverer pakker til døra di

  • Avfallshåndtering – renovasjonsselskaper og gjenvinningsanlegg

  • Matproduksjon – alt fra slakterier til bakeri og meierier

  • Kjemisk industri – bedrifter som produserer alt fra maling til medisiner

  • Enkelte produksjonsbedrifter – produksjon av transportmidler, medisin, elektronikk og maskiner

  • Forskningsinstitusjoner – universiteter og forskningssentre

  • Offentlig sektor – kommuner, fylkeskommuner og statlige etater

Og her kommer en viktig detalj: Også leverandørene til disse bedriftene kan bli omfattet.

Så hvis du leverer tjenester til sykehus, kommuner, eller store produksjonsbedrifter, kan du også måtte forholde deg til NIS2-kravene.

Hva betyr dette i hverdagen?

Hvis vi ser nærmere på hva det betyr i praksis:

Risikovurderinger: Du må kartlegge hvor sårbar bedriften din er. Hvor viktige er de ulike systemene? Hva skjer hvis de blir hacket?

Sikkerhetstiltak: Dette kan være alt fra å lære opp ansatte til å gjenkjenne phishing-e-poster, til å dele opp nettverket ditt. Tenk på nettverkssegmentering som å låse ulike rom på kontoret – hvis noen bryter seg inn i resepsjonen, skal de ikke automatisk få tilgang til regnskapsavdelingen.

Rask rapportering: Hvis noe alvorlig skjer, har du 72 timer på å melde fra til myndighetene. Det betyr at du må ha systemer som oppdager problemer raskt.

Leverandørkontroll: Du må også sjekke at de du samarbeider med har orden på sikkerheten sin. Hvis leverandøren din blir hacket, kan det ramme deg også.

Ledelsesansvar: Her kommer kanskje den største endringen – toppledelsen blir personlig ansvarlig. Det er ikke lenger nok å si "det er IT-avdelingens problem."

Formål - hvorfor gjør EU dette?

Cyberangrep blir stadig mer vanlige, dyrere og farligere. Verden har sett ransomware-angrep som har lammet sykehus, og hackere som har stengt ned kritisk infrastruktur.

EU vil forsøke å sikre at samfunnet fortsatt fungerer selv om kriminelle prøver å sabotere det. Ved å kreve at bedrifter tar cybersikkerhet på alvor, håper de å gjøre det mye vanskeligere for hackerne å lykkes.

Hva kan man gjøre nå?

Først: Finn ut om bedriften din faktisk er omfattet. Sjekk både størrelsen på bedriften og hvilken bransje dere er i.

Hvis dere er omfattet, start med det grunnleggende:

  • Kartlegg hvilke systemer som er mest kritiske for driften

  • Sørg for at alle ansatte får opplæring i cybersikkerhet

  • Ha en plan for hva dere gjør hvis noe skjer

  • Vurder om dere trenger hjelp fra eksperter

Det kan være lurt å ikke vente til siste liten. NIS2 trer i kraft i 2025, men det er bedre å være forberedt i god tid enn å stresse med å få alt på plass.

Konklusjon

NIS2 kan virke komplisert, men i bunn og grunn handler det om sunn fornuft: Å på best mulig ta vare på de digitale systemene som bedriften er avhengig av. For mange bedrifter kan dette bety en endring i hvordan de tenker på cybersikkerhet – fra noe IT-avdelingen håndterer til noe hele ledelsen må bry seg om.

Spørsmålet er ikke om cyberangrep kommer til å skje, men når. NIS2 handler om å være forberedt når det skjer.

Helge Wigdel Storevik
Forrige

Vannkraft under press – sikkerheten starter i nettverket
Neste

Påloggingsnøkler: Hva det er og hvorfor det er framtidens pålogging