Digitalsikkerhetsloven (NIS1) er innført – NIS2 er på vei

26. september 2025

Nyheter

Digitalsikkerhetsloven (NIS1) er innført – NIS2 er på vei

Fra 1. juli 2025 trådte digitalsikkerhetsloven i kraft i Norge. Loven gjennomfører EUs første NIS-direktiv (NIS1) og markerer et viktig steg i retning av sterkere regulering av digital sikkerhet i samfunnsviktige sektorer. Samtidig står vi allerede på terskelen til neste generasjon regelverk – NIS2-direktivet – som er enda mer omfattende.

Det er viktig å forstå at NIS-direktivene er såkalte horisontale regelverk, som gjelder på tvers av sektorer. De etablerer et felles minimumsnivå, men dersom eksisterende sektorregelverk allerede stiller likeverdige eller strengere krav, så gjelder disse i tillegg eller foran. Dette betyr at kraftsektoren fortsatt skal følge IKT-forskriften og kraftberedskapsforskriften, finanssektoren vil forholde seg til DORA-forordningen, og helsesektoren har egne sikkerhetskrav – samtidig som de nye NIS-kravene setter et felles gulv.

Digitalsikkerhetsloven og det kommende NIS2-direktivet retter seg mot virksomheter som leverer samfunnskritiske og viktige tjenester. Det betyr at aktører innen energi, transport, helse, vann- og avløp, bank og finans, samt digital infrastruktur allerede nå må forholde seg til lovverket. Også enkelte digitale tjenester, som markedsplasser og skytjenester, er inkludert. Med NIS2 vil virkeområdet utvides til blant annet avfallshåndtering, matforsyning og offentlig forvaltning. I Norge er det Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for Samfunnssikkerhet og Beredskap (DSB) som er foreslått for oppfølging og tilsyn, men hvor for eksempel NVE følger opp energisektoren, og Finanstilsynet følger opp finanssektoren gjennom DORA.

Det er ventet at NIS2 og CER først vil bli implementert i norsk rett med virkning fra 2026. Myndighetene har signalisert at de vurderer å samle regelverket i en felles lov fremfor å lage parallelle ordninger. Det understreker behovet for at virksomheter bygger helhetlige styringssystemer som dekker begge rammeverk, slik at man unngår dobbeltarbeid.

Kravene virksomhetene må møte

NIS2 bygger på og skjerper rammene fra NIS1. Mange av prinsippene er allerede gjeldende gjennom digitalsikkerhetsloven, men blir mer detaljerte og forpliktende. Artikkel 21 i NIS2 angir minimumskrav som virksomhetene må oppfylle:

Styringssystem for digital sikkerhet (krav fra NIS1).

Systematiske risikovurderinger av nettverk og informasjonssystemer (krav fra NIS1).

Tekniske og organisatoriske tiltak for å beskytte kritiske systemer (krav fra NIS1, skjerpes i S2).

Hendelseshåndtering og varsling – evne til å oppdage, håndtere og rapportere alvorlige hendelser til NSM/NorCERT (krav fra NIS1).

Ledelsesansvar – styret og toppledelsen får eksplisitt ansvar for digital sikkerhet (nytt i NIS2).

Leverandørkjede – virksomhetene må stille tydelige sikkerhetskrav til sine leverandører og underleverandører (nytt i NIS2).

Kontinuitets- og beredskapsplaner, inkludert øvelser (skjerpes i NIS2).

Kryptering og tilgangsstyring for å sikre konfidensialitet og integritet i kritiske systemer (tydeliggjort i NIS2).

Opplæring og bevisstgjøring av ansatte for å styrke sikkerhetskulturen (tydeliggjort i NIS2).

Dokumentasjon og tilsyn – virksomhetene må kunne vise hvordan de oppfyller kravene (krav fra NIS1, styrkes i NIS2).

Sanksjoner – NIS2 innfører bøter på opptil 10 millioner euro eller 2 % av global omsetning.

Hvordan møter vi dette?

For oss i Proactima har dette allerede medført økt oppdragsmengde. Kundene ønsker å revidere sikringen i leverandørkjedene og forberede virksomheten på samsvar med både gjeldende og kommende regelverk. Mange av våre kunder er i gang med tekniske tiltak og hendelseshåndtering for å møte dagens trusselbilde. Nå rettes fokuset i større grad mot å bygge strukturer som også sikrer etterlevelse av de nye lovkravene.

Samtidig er det viktig å være klar over at NIS2 og CER-direktivet utfyller hverandre – der NIS2 handler om digital sikkerhet, omfatter CER fysisk og operasjonell robusthet. Mange virksomheter vil omfattes av begge regelverk, og bør derfor bygge helhetlige styringssystemer som ivaretar kravene samlet fremfor å gjøre arbeidet to ganger.