NIS2 og Digitalsikkerhetsloven: hva norske virksomheter må gjøre i 2026
25 May 2026 · Skarpix
Digitalsikkerhetsloven har vært i kraft i Norge siden 1. oktober 2025. Loven gjennomfører det opprinnelige NIS-direktivet i norsk rett, med utvalgte NIS2-krav integrert. Det fulle NIS2-regelverket er på vei, men kommer gjennom en egen ny lov, ikke ved å endre Digitalsikkerhetsloven. NSM venter at den nye loven trer i kraft i løpet av 2026, avhengig av hvor raskt EØS-innlemmelsen av NIS2-direktivet går.
Det betyr at norske virksomheter står i en spesiell situasjon akkurat nå. Dere er allerede underlagt en norsk digitalsikkerhetslov med reelle krav. Samtidig vet dere at en strengere lov er på trappene. Vent å se er ikke et trygt sted å stå.
Hvem omfattes
Digitalsikkerhetsloven har siden 1. oktober 2025 stilt grunnleggende krav til virksomheter som leverer samfunnsviktige tjenester innen blant annet energi, transport, helse, vannforsyning, bank, finansiell infrastruktur, digital infrastruktur og enkelte digitale tjenester. Hovedregelen har vært virksomheter med over 50 ansatte eller en omsetning over 10 millioner euro, men unntak finnes.
Når NIS2 gjennomføres fullt ut, utvides virkeområdet betydelig. NSM anslår at mellom 5 000 og 8 000 norske virksomheter vil bli omfattet av NIS2-grunnlinjen. Til sammenligning omfattet NIS1 noen hundre. Det er en dramatisk utvidelse.
Nye sektorer som kommer inn med NIS2 inkluderer offentlig forvaltning, avfallshåndtering, post- og leveransetjenester, matproduksjon, og produsenter av kritisk teknologi. Hvis dere leverer til en virksomhet som omfattes, blir dere ofte indirekte omfattet gjennom krav til forsyningskjeden. Dette gjelder uansett størrelse.
De fire kravene, oppsummert
NSM oppsummerer kravene i fire ord: risikovurdere, sikre, opprettholde og varsle. Det høres enkelt ut, men hvert ord skjuler reelle krav til policyer, rutiner og dokumentasjon.
Risikovurdere. Dere må gjennomføre risikovurderinger av nettverks- og informasjonssystemene som leverer tjenestene deres. Det finnes ingen "one size fits all". Loven legger opp til at sikkerhetstiltakene skal stå i forhold til risikoen. Hver virksomhet må gjøre sine egne vurderinger.
Sikre. Implementer tekniske og organisatoriske sikkerhetstiltak som svarer på den risikoen dere identifiserte. NIS2 spesifiserer en konkret minimumsliste i artikkel 21: risikostyring, hendelseshåndtering, forsyningskjedesikkerhet, kryptering, tilgangsstyring og flerfaktorautentisering, blant annet.
Opprettholde. Tiltakene skal vedlikeholdes og oppdateres. Sikkerhet er ikke en engangsjobb. Dere må kunne dokumentere at tiltakene faktisk fungerer over tid.
Varsle. Når en betydelig hendelse skjer, må dere rapportere etter 24-72-30-modellen: tidlig varsling innen 24 timer, hendelsesrapport innen 72 timer, og sluttrapport innen én måned. Dette er en konkret operasjonell kapasitet. Den må være på plass før hendelsen, ikke etter.
Personlig ansvar i ledelsen
Et viktig poeng i NIS2 er at ledelsen kan holdes personlig ansvarlig for svikt i sikkerhetsstyringen. Forarbeidene til Digitalsikkerhetsloven har allerede åpnet for at fysiske personer kan ilegges overtredelsesgebyr "dersom det er nødvendig i det enkelte tilfellet". Trenden er klar: dette er ikke noe styret eller toppledelsen kan delegere bort fullstendig.
Praktisk betyr det at styret må forstå risikobildet, godkjenne sikkerhetsstrategien, og kunne dokumentere at de har gjort det. Mange norske styrer er ikke der i dag.
Sanksjoner
For vesentlige virksomheter kan overtredelsesgebyret bli inntil 10 millioner euro eller 2 % av global omsetning, det høyeste av de to. For viktige virksomheter er taket 7 millioner euro eller 1,4 % av global omsetning. Til sammenligning er GDPR-taket 20 millioner euro eller 4 % av global omsetning.
I praksis ser vi sjelden bøter i toppen av spekteret med en gang. Men sanksjonsregimet er bygget for å bite, og NSM har varslet at de vil håndheve aktivt.
Hva dere bør gjøre nå
Vent ikke på den nye NIS2-loven. Digitalsikkerhetsloven gjelder allerede, og NIS2-kravene er i hovedsak kjente. Begynn med dette:
Avklar omfanget. Faller dere innenfor sektor og størrelseskravene? Leverer dere til noen som faller innenfor? Hvis svaret er ja på det første, er dere omfattet i dag. Hvis ja på det andre, blir dere det enten gjennom forsyningskjedekrav fra kundene deres eller direkte når NIS2 trer i kraft.
Gjennomfør en gap-analyse. Kartlegg dagens sikkerhetsnivå opp mot kravene i artikkel 21. Identifiser hvor dere ikke leverer i dag. Prioriter etter risiko.
Bygg 24-72-30-rutinen før dere trenger den. En hendelsesrapporteringsprosess som ikke er tabletop-testet er ikke en rutine, det er et håp. Kjør gjennom et scenario i ro og fred, før det smeller.
Sett styret i bilen. Forklar risikobildet på ledelsesnivå. Få sikkerhetsstrategien godkjent. Dokumenter det. Når NIS2 kommer, vil tilsynet se etter akkurat dette.
Skarpix gir dere en gratis NIS2-kartlegging som tar 5–10 minutter og leverer en konkret rapport om hvor dere står mot kontrollene i artikkel 21. Den er bygget rundt det norske regulatoriske bildet, inkludert dagens Digitalsikkerhetsloven og det vi vet om den kommende NIS2-loven.