NIS2-direktivet: Hvilke virksomheter omfattes?
Utvidede krav til cybersikkerhet
NIS2-direktivet utvider virkeområdet fra NIS1 så mye at det må kunne kalles vårt første generelle regelverk om hvordan virksomheter skal håndtere cybersikkerhet. Kravene omfatter blant annet risikostyring, tilgangskontroll, beredskapsplaner og tiltak for å hindre og håndtere sikkerhetsbrudd. Dette innebærer at virksomheter må ha robuste systemer og prosedyrer på plass for å beskytte seg mot cyberangrep og andre digitale trusler.
Direktivet innfører også strengere krav til rapportering ved sikkerhetshendelser, med klare tidsfrister for varsling til relevante myndigheter.
Hvem omfattes av NIS2?
Direktivet utvider virkeområdet i forhold til det tidligere NIS-direktivet fra 2016, slik at et bredere spekter av sektorer og tjenester reguleres. Dermed er ikke bare
- energi,
- helse,
- transport,
- finans,
- vannforsyning og digitale tjenester som skytjenester, datalagring og nettverksinfrastruktur
omfattet, men også
- fjernvarme,
- hydrogen,
- farmasøytisk industri,
- produsenter av medisinsk utstyr,
- avfall og avløp,
- forvaltere av IT og OT,
- post og budtjenester,
- kjemikere,
- produsenter og distributører av mat,
- produsenter av en rekke maskinvareutstyr,
- offentlig administrasjon og
- romfart.
Selv om hovedregelen er at virksomhetene må ha minst 50 ansatte og omsetning eller balanse på minst 10 millioner euro, er det spesialregler og unntak som gjør at også mindre virksomheter omfattes. Dersom en virksomhet ikke omfattes direkte av NIS2-direktivet fra 2022, vil man kunne omfattes gjennom kontrakt dersom kunder skulle være omfattet.
Det vil si at også en rekke mindre virksomheter også vil omfattes. Steg én blir dermed å finne ut av om virksomheten, direkte eller indirekte, vil omfattes. Siden direktive foreløpig ikke er gjennomført i norsk lov, gjelder det særlig for norske selskaper som opererer i EU eller har kunder der.
Siden det offentlige leverer mange samfunnsviktige tjenester er både statlig og fylkeskommunale offentlige organer omfattet. Direktivet inviterer også landene til å la kommuner og utdannelsesinstitusjoner omfattes, særlig om viktig forskning utføres.
Konsekvenser for norske virksomheter
For norske virksomheter innebærer NIS2-direktivet både utfordringer og muligheter. På den ene siden krever direktivet investeringer i teknologi, kompetanse og interne prosesser for å møte de nye kravene. Dette kan være ressurskrevende, spesielt for mindre selskaper som kanskje ikke har hatt fokus på cybersikkerhet tidligere. På den andre siden kan etterlevelse av direktivet bidra til økt tillit fra kunder og samarbeidspartnere, samt styrke virksomhetens konkurranseevne i et stadig mer digitalisert marked.
Å ha robuste sikkerhetssystemer på plass vil også redusere risikoen for økonomiske tap og omdømmeskader som følge av cyberangrep, noe som gjør investeringer i cybersikkerhet til en langsiktig fordel.
Hvordan kan virksomheter forberede seg?
For å sikre etterlevelse av NIS2-direktivet bør norske virksomheter starte med en grundig kartlegging av egen cybersikkerhet. Dette innebærer å identifisere potensielle risikoer, evaluere eksisterende sikkerhetstiltak, og implementere nødvendige forbedringer. Videre bør virksomheter utvikle klare beredskapsplaner og sørge for opplæring av ledelse og ansatte i håndtering av sikkerhetshendelser. Dette inkluderer å etablere rutiner for rask rapportering av sikkerhetsbrudd og å teste beredskapsplaner regelmessig for å sikre at de fungerer i praksis. Samtidig er det viktig å holde seg oppdatert på hvordan direktivet vil bli implementert i Norge og hvilke spesifikke krav som vil gjelde.
Les mer om hvilke konkrete sikkerhetskrav som gjelder.
Hva kan skje om jeg ikke etterlever?
Det viktigste å tenke på ved lav datasikkerhet er den skade et angrep kan gjøre på virksomheten og dens kunder og brukere. Utover slike konsekvenser, innfører NIS2 ganske drastiske sanksjoner for manglende etterlevelse, inkludert risiko for personlig ansvar, fjernelse av ledelsen og stansing av virksomheten.
Har du spørsmål til NIS2, ta kontakt med oss. Du finner oss her.
Relaterte artikler
Hvilke konkrete sikkerhetstiltak krever NIS2 at virksomheter gjennomfører?
Når NIS2-direktivet gjelder din virksomhet, oppstår spørsmålet: hvilke tiltak kreves? Her får du en kort oppsummering og konkrete råd for å komme i gang.
Les mer
TikTok ilagt bot for overføring av europeiske personopplysninger i Kina
Den 2. mai 2025 vedtok det irske datatilsynet å ilegge TikTok en bot på 530 millioner euro for brudd på GDPR. Saken g...
Les mer
Milliardbøter til Meta og Apple for brudd på Digital Markets Act
Den 23. april kunngjorde Europakommisjonen de første bøtene under Digital Markets Act (DMA). Apple og Meta ble ilagt ...
Les mer
Hvordan kan vi hjelpe deg?
Trenger du juridisk hjelp? Ring oss eller send en e-post for en helt uforpliktende prat.