NIS2 – Cybersikkerhet som virksomhetsansvar

Tekst: Sigmund Eng, fagansvarlig ekom

Strømnettet, mobilnettet, datasentrene og vannverket. Vi tenker ikke så ofte på dem, helt til de slutter å virke. Bak dem står virksomheter som er avhengige av at nettverk og IT-systemer fungerer, også når noen prøver å slå dem ut. Med NIS2 sier EU at sikkerheten ikke lenger kan være opp til den enkelte. Det blir et krav.

Et felles løft for digital sikkerhet i Europa

NIS2 er EUs direktiv for sikkerhet i nettverks- og informasjonssystemer, formelt direktiv (EU) 2022/2555, vedtatt 14. desember 2022.

Det nye direktivet, NIS2, erstatter det første NIS-direktivet fra 2016, som viste seg å være for ulikt praktisert fra land til land.

Virkeområdet for NIS2 blir kraftig utvidet, sikkerhetskravene blir skjerpet og sanksjonene harmonisert .

Reglene i NIS 2 er tydeligere enn i NIS1, er du stor nok og opererer i en av de utpekte sektorene, da er du omfattet.

NIS2 og CRA er to sider av samme sak

Her er det lett å blande kortene. Cyber Resilience Act (CRA) handler om produkter. Mer konkret så handler det om at en ruter, en sensor eller et alarmsystem er sikkert når det settes på markedet. NIS2 handler om virksomheter. Det innebærer at en organisasjon som for eksempel drifter strømnettet eller et datasenter må jobbe systematisk med sikkerhet i egen drift.

CRA stiller krav til byggematerialene, men NIS2 stiller krav til hvordan bygget driftes og vedlikeholdes. Det er behov for begge. Et sikkert produkt hjelper lite i en virksomhet uten kontroll, og omvendt. Derfor er det to direktiver.

Hvem er berørt av NIS2?

NIS2 deler virksomhetene i to grupper. Virksomheter som har høy kritikalitet defineres i NIS2- vedlegg 1. Dette er virksomheter som står for blant annet energi, transport, digital infrastruktur, IKT-tjenestestyring og offentlig forvaltning. Viktige virksomheter, men som ikke er like høy kritikalitet, defineres i NIS2 – vedlegg 2. Dette omfatter blant annet produsenter av elektronikk, IKT-utstyr og maskiner. Forskjellen ligger mest i tilsynet, virksomheter med høy kritikalitet kan få uanmeldt tilsyn, mens viktige virksomheter kontrolleres som hovedregel ved mistanke.

Dette gjelder i stor grad oss som jobber med elektroteknikk og ekom. Nettoperatører, kraftselskaper, datasentre og leverandører av digital infrastruktur ligger midt i kjernen, sammen med mange som produserer elektronisk utstyr.

Risikostyring

Kjernen er risikostyring. Virksomheten må iverksette tekniske og organisatoriske tiltak som står i forhold til risikoen, inkludert sikkerhet i forsyningskjeden. Det stilles krav til hendelseshåndtering, testing, kryptering og beredskap.

Alvorlige hendelser skal varsles raskt, med en tidlig melding innen 24 timer. Det er viktig å være klar over at ansvaret legges på ledelsen, dette er ikke lenger noe IT-avdelingen ordner alene i et hjørne. Manglende etterlevelse kan gi gebyrer på inntil 10 millioner euro for kritiske virksomheter og 7 millioner for viktige.

Norsk lovgivning

Norge er ikke helt i mål. Digitalsikkerhetsloven, som gjennomfører NIS1 direktivet, trådte i kraft 1. oktober 2025. NIS2 er foreløpig ikke en del av norsk rett. Direktivet må først tas inn i EØS-avtalen, og ventes deretter innført i løpet av 2026. Det vil trolig skje sammen med CER-direktivet om kritiske virksomheters motstandsdyktighet.

Nasjonal sikkerhetsmyndighet (NSM) får en sentral koordinerende rolle, mens sektormyndighetene fører tilsyn på sine områder. At lovverket ennå ikke er på plass, er ingen grunn til å vente. Gode sikkerhetsrutiner bygges ikke over natten.

Standardene gjør den tunge jobben i NIS2

NIS2 finner ikke opp sikkerheten på nytt, men bygger på etablerte standarder. De tekniske kravene er konkretisert i EU-kommisjonens gjennomføringsforordning (EU) 2024/2690, som bryter risikostyringskravene ned en rekke konkrete sikkerhetstiltak.

Ryggraden er NEK ISO/IEC 27001 for styring av informasjonssikkerhet, mens NEK IEC 62443-serien dekker industrielle og operasjonelle systemer (OT). ENISA (European Union Agency for Cybersecurity) publiserte i 2025 en veiledning (Technical Implementation Guidance) som kobler NIS2-kravene direkte mot disse standardene.

Her treffer regelverket knutepunktet der elektriske, elektroniske og digitale systemer møtes, et arbeidsområde som treffer de fleste av NEKs komiteer.

Akkurat som for CRA er det standardene som gjør den tunge jobben. De gjør lovkravene målbare og etterprøvbare, og gir et felles språk for produsenter, virksomheter, innkjøpere og tilsyn.

Komiteen NK 65 – Industriell automatisering, jobber aktivt med NEK IEC 62443-serien, som er sentral både for NIS2 og CRA. NEK har samlet hele denne serien i standardsamlingen NEK 820 – Cybersikkerhet for industrielle automatiserings- og kontrollsystemer. Dette er en strukturert tilnærming til sikkerhetskrav for industrielle automatiserings- og kontrollsystemer (OT).

Forbered deg nå

NIS2 gjør cybersikkerhet til et virksomhetsansvar, forankret helt opp i ledelsen. Sammen med CRA må både produktene og virksomhetene som bruker dem være trygge.

Virksomheter innen ekom, energi og digital infrastruktur bør starte kartleggingen nå, for å finne ut om de er omfattet. Finner man at dette gjelder for virksomheten, så gjelder det å starte arbeidet med innretting så snart som mulig.

God sikkerhet kan ikke bestilles dagen før tilsynet kommer. Den må bygges inn over tid, og standardene er verktøyet som gjør det mulig.

Kilder:

https://www.regjeringen.no/no/sub/eos-notatbasen/notatene/2021/feb/nis2-direktivet/id2846097/

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555

https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj

https://www.nek.no/produkter/nek-820/

https://nsm.no/aktuelt/ny-digitalsikkerhetslov-i-norge