NIS2-løsning for nye krav til IT-sikkerhet for samfunnets viktigste bedrifter

NIS2 er EUs nye sikkerhetsdirektiv som skal styrke digital sikkerhet i virksomheter som leverer samfunnsmessig kritiske eller viktige tjenester – samt deres leverandører. Det erstatter det gamle NIS-direktivet og stiller strengere krav til både teknologi, organisering og ledelse.

Her hjemme har vi hengt litt etter, men 1. oktober 2025 trådte den norske Lov om digital sikkerhet i kraft. I praksis gjennomfører loven og tilhørende forskrift det første sikkerhetsdirektivet, med en gradvis tilpasning mot NIS2.

– Dette er likevel ikke tiden for å sove i timen. Manglende etterlevelse kan få store økonomiske konsekvenser. Det gjelder ikke minst for norske bedrifter som leverer til europeiske aktører som er omfattet av NIS2, hvor regelverket allerede har trådt i kraft, advarer Siv Irene Aasen, partner og leder for IT-risikotjenester i BDO Consulting. 

Det betyr at en norsk kjemikalieprodusent eller teknologileverandør kan miste kontrakter over natten hvis de ikke kan dokumentere sikkerhet i tråd med EU-direktivet.

Er du «viktig» eller «kritisk»?

Det nye regelverket opererer med to hovedkategorier som avgjør hvor hardt myndighetene klyper: Kritiske og viktige enheter.

• Kritiske sektorer: Dette omfatter helse, bank/finans, transport, vannforsyning, energi og digital infrastruktur. Disse er underlagt strengt tilsyn.

• Viktige sektorer: Her finner vi matproduksjon, kjemikalier, produksjon av medisinsk utstyr og enkelte offentlige organer. Disse er foreløpig ikke underlagt tilsynsplikt, men kan sjekkes ved bekymringsmeldinger.

Men Aasen peker på en «joker» som treffer mange uforvarende: Leverandører av digitale tjenester.

– Har du en omsetning over 100 millioner kroner eller mer enn 50 ansatte, og leverer SaaS-løsninger, IT-drift eller sentral IT-infrastruktur, så blir du truffet av regelverket. Det er for å trygge hele IT-leverandørkjeden for de kritiske og viktige tjenestene, forklarer hun.

– Vi ser for eksempel HR-løsningsleverandører som ikke er enorme konsern, men som treffes fordi de er digitale tjenestetilbydere til kritiske sektorer.

ISO-muligheten

Mange norske selskaper lener seg på ISO 27001-sertifisering, som er en ganske trygg vei til å oppfylle NIS2-kravene. Det vil si, det er noen forbehold:

– Dette er en gullstandard. Oppfyller du kravene her, har selskapet som regel på plass metodikken. Men det er ett kritisk punkt standarden ikke dekker godt nok: Varslingsrutinene, påpeker Aasen.

NIS2 stiller nemlig absolutte krav til når du skal varsle myndighetene ved angrep:

• 24 timer: Første varsel om hendelsen.

• 72 timer: Oppdatering på situasjonen.

• 30 dager: Endelig sluttrapport.

– I Norge skal dette rapporteres sektorvis: Finans til Finanstilsynet, kraft til NVE, og så videre. De som faller utenfor, skal rapportere til Nasjonal sikkerhetsmyndighet (NSM). Dette er rutiner virksomhetene må etablere selv, og her synder mange, sier hun.

Gapet mellom liv og lære

BDO opplever stor pågang fra usikre bedrifter. For å hjelpe dem har selskapet utviklet «NIS2-kompasset», et verktøy som henter data fra Brønnøysundregistrene og kartlegger bedriftens modenhet opp mot lovkravene.

– Vi ser en tydelig forskjell. Mindre virksomheter mangler ofte hele styringssystemet og jobber reaktivt og ad hoc. De større og mer modne virksomhetene har systemene, men svikter på det operasjonelle: De glemmer å øve, teste og verifisere at sikkerheten faktisk fungerer, sier Aasen.

Kompasset gir bedriftene en test av «rikets tilstand» og prioriterer de tre viktigste tiltakene de bør ta tak i.

Verktøyene du bør ha

For å håndtere de strenge kravene til dokumentasjon og varsling, holder det ikke lenger med regneark.

– Det er en god investering å få på plass et GRC-verktøy (Governance, Risk and Compliance). Det sikrer at policyer og prosedyrer er dokumentert, at du kan integrere sikkerhet i risikostyringen og de operasjonelle prosessene, og at du får loggført varslinger og oppfølging av svakheter, råder Aasen.

Selv om BDO ikke selv markedsfører et GRC-verktøy, anbefaler Aasen virksomhetene å bruke et. Konsekvensen av å bryte reglene kan bli kostbar, og verktøy gjør etterlevelse enklere, mener hun:

– Sanksjonene er lagt opp som i GDPR. Bryter du loven, kan du få bøter på inntil 2 prosent av omsetningen. GRC gjør etterlevelse mer metodisk og forutsigbart.