Til forsiden
Chat med oss
IT-sikkerhet 05-08-2025

Hvordan NIS2 påvirker ledere i norske virksomheter

Det nye EU-direktivet, NIS2, krever at virksomheter og myndigheter jobber tettere sammen for å beskytte kritisk infrastruktur. Dette får følger for mange norske virksomheter.

Thomas Tømmernes
Konserndirektør for IT-sikkerhet
Thomas Tømmernes
Thomas Tømmernes - konserndirektør for IT-sikkerhet i Atea.

– Det handler ikke lenger bare om IT. Det handler om ledelse og ansvar, sier Thomas Tømmernes, konserndirektør for IT-sikkerhet i Atea.

Tenk deg en motorvei. På overflaten flyter trafikken som normalt. Varer transporteres, informasjon flyter, alt ser ut til å fungere. Men under overflaten skjer det noe. Kode og kontrakter, leveranser og beslutninger, kryper inn og ut av digitale systemer, som er tett sammenvevd. Ett hull, én åpen dør og hele kjeden kan stoppe opp.

– Dette er virkeligheten EU prøver å møte med det nye NIS2-direktivet. Mange tror at kravene ikke gjelder dem, men det gjør de i aller høyeste grad. Nå som fokuset er rettet mot hele verdikjedene, for å tette mulige sikkerhetshull, viser det seg at det er mange som bidrar til kritisk infrastruktur, enten direkte eller indirekte, sier han.

Les mer om "Lederens guide til NIS2"

Hva NIS2 krever av deg som leder

NIS2 er en oppdatering av det opprinnelige NIS-direktivet (Network and Information Security Directive) fra 2016. Det er EUs mest omfattende regelverk for digital sikkerhet til dags dato, og målet er å sikre et jevnt og tilstrekkelig sikkerhetsnivå på tvers av medlemsland og sektorer.

Den første versjonen av direktivet ga landene stort rom til å definere sikkerhetsnivå selv, mens NIS2 stiller langt strengere og mer konkrete krav. Det er forventet at det norske lovverket vil oppdateres med NIS2-kravene så fort det lar seg gjøre.

– Det EU gjør nå, er å definere et minstekrav for digital sikkerhet på tvers av landegrenser. Dette er ikke en veileder. Det er bunnplanken, sier Olof Eilertsson, som er jurist og forretningsutvikler for IT-sikkerhet i Atea-konsernet.

Som EØS-medlem har Norge forpliktet seg til å innføre direktivet i nasjonal lov. For deg som leder betyr dette blant annet at:

  • du må ha kontroll på beredskap, risikovurdering og hendelseshåndtering
  • du må ha god tilgangsstyring og sørge for opplæring av alle ansatte
  • du har plikt til å rapportere alvorlige hendelser innen 24 timer
  • du må ha kontroll på sikkerheten i hele verdikjeden, ikke bare i egen organisasjon
  • du har et personlig og juridisk ansvar for å etterleve kravene
  • du må vite om tiltakene du innfører har effekt og justere det som ikke fungerer
  • manglende samsvar kan medføre bøter, stans av drift, offentlig kritikk, ordre om retting eller pålegg om bedre opplæring

Virksomheter i alle størrelser påvirkes

Direktivet gjelder ikke bare store nasjonale aktører. Selv om det ofte er disse som berøres direkte av direktivet, er det mange i økosystemet rundt som også må forholde seg til kravene. I første omgang har EU som mål å forbedre sikkerheten innen energi, transport, vann- og matforsyning, romfart, helsevesen, offentlig administrasjon, digitale tjenester og finanssektoren.

– Mange ledere i mindre virksomheter tror de er for små til å omfattes. Det stemmer ikke. NIS2 handler om verdikjeden du er en del av, ikke hvor stor du er, sier Tømmernes.

Han påpeker at NIS2-kravene ikke bare skal følges, men også forstås. Det handler om å ta eierskap til virksomhetens digitale risiko. Dette innebærer å gjøre løpende vurderinger, dokumentere valg og følge opp tiltak. Ikke én gang, men som en del av den daglige styringen.

– Du kan ikke gjøre det halvveis og håpe det holder. Dette er et varslet veiskille for hvordan du som leder må jobbe med IT-sikkerhet. Og husk at de IT-kriminelle ikke venter på at lovverket skal være ferdig behandlet i Norge. De utnytter svakhetene dine nå. Og går de ikke direkte på deg, finner de kanskje et smutthull gjennom en av leverandørene dine, sier Tømmernes.

”Mange ledere i mindre virksomheter tror de er for små til å omfattes. Det stemmer ikke. NIS2 handler om verdikjeden du er en del av, ikke hvor stor du er.”

— Thomas Tømmernes - konserndirektør for IT-sikkerhet i Atea

Få kontroll på hele leverandørkjeden

Han beskriver det som en dominoeffekt: Én svak aktør i verdikjeden kan sette mange i fare.

– Vi ser gang på gang at angrepene starter hos noen med lav modenhet og få ressurser, men ender hos en kritisk virksomhet. NIS2 forsøker å gjøre noe med den risikoen. Du må forstå din del av ansvaret, sier han.

Selv om din virksomhet ikke blir nevnt eksplisitt i lovteksten, kan direktivet treffe deg gjennom økosystemet ditt. Store aktører, som selv er regulert, vil måtte dokumentere sikkerheten i sin verdikjede. Og det ansvaret vil de sende videre til deg.

– Du kan bli bedt om å dokumentere hvordan du håndterer digital sikkerhet, fordi du leverer til noen som er regulert av NIS2. Har du ikke denne dokumentasjonen klar, kan du miste oppdrag, sier Eilertsson.

Han ser allerede nå at store aktører i Europa har begynt å stille formelle krav til underleverandører. Det norske “pusterommet” før direktivet blir innført i norsk lov, er i realiteten bare en utsettelse.

– Vi ser at mange sitter på gjerdet og venter. Men det er et farlig selvbedrag. Skal du være konkurransedyktig i tiden som kommer, vil det kreve handling nå. Når kravet om samsvar fra en viktig kunde kommer, er det trolig for sent å sette i gang tiltak, sier han.

Sunt digitalt bondevett

En sentral del av NIS2-direktivet er ikke bare hvilke tiltak du har gjort, men hvordan du har tenkt. Myndighetene krever at du dokumenterer vurderingene dine. Hvorfor gjør du som du gjør? Hvorfor lar du være?

– Det handler ikke nødvendigvis om å kjøpe nytt. Mange har allerede verktøyene, men de har kanskje ikke slått på tofaktor-autentisering, de mangler rutiner for onboarding og offboarding, eller de har ikke opplæring som treffer, sier Eilertsson.

Han kaller det digitalt bondevett. Å bruke det du har, og å bruke det riktig. Innsikten du får må du bruke til å ta avgjørelser som er rimelig ut ifra din virksomhets størrelse, risiko og funksjon. Du må ta bevisste valg og dokumentere hvordan du resonnerer.

NIS2 som mulighet, ikke bare plikt

For ledere som tenker fremover, gir NIS2-direktivet en strategisk mulighet. Det tvinger frem en dialog mellom IT-avdelingen og ledelsen, og gjør sikkerhet til en del av forretningsstrategien. Dette er et godt utgangspunkt for å digitalisere virksomheten på en trygg måte og å bygge langsiktig konkurransekraft.

– God IT-sikkerhet i henhold til NIS2 er en forutsetning for å bruke AI, for å skalere digitale tjenester og for å beholde tillit hos kunder og partnere. Har du ikke kontroll på sikkerheten, har du heller ikke kontroll på fremtiden, sier Eilertsson.

– Om IT-sikkerhet behandles som et IT-problem, overser du noen viktige realiteter. I dag handler IT-sikkerhet om omdømme, økonomi og evne til å levere tjenester. Ledere som ser IT-sikkerhet som en mulighet, kommer til å vinne kampen om oppdragene i tiden som kommer. Og så er jo dette også en veldig smart måte å øke sikkerheten i hele samfunnet på, avslutter Tømmernes.

Les flere artikler om NIS2
IT-sikkerhet Hvorfor ledelsen bør eie sikkerhetsarbeidet i virksomheten