NIS2-etterlevelse for nordiske bedrifter, uten den juridiske kompleksiteten.
Gratis, ingen registrering kreves for kartleggingen.
- 01Drift i én av NIS2s 18 sektorer (energi, transport, bank, helse, vann, digital infrastruktur, industri, mat, kjemikalier og flere).
- 02Mellomstore virksomheter (50+ ansatte eller mer enn €10M i omsetning): automatisk omfattet.
- 03Mindre virksomheter som drifter kritisk infrastruktur eller tjenester der avbrudd vil ha vesentlig samfunnsmessig eller økonomisk konsekvens.
- 04Leverandører til omfattede virksomheter. Forsyningskjedekravene forplanter seg nedover til leverandører hos kundene dine.
- 05Hovedkontor utenfor EU, men leverer omfattede tjenester til EU-kunder.
Hva kreves
Klart språk, ikke juridisk sjargong. Kildehenvisninger lenker til selve regelverket.
Tiltak for risikostyring
Innfør egnede tekniske og organisatoriske tiltak som dekker policyer, hendelseshåndtering, kontinuitet i virksomheten, sikkerhet i forsyningskjeden, systemanskaffelse, kryptografi, tilgangskontroll, ressursforvaltning og personellsikkerhet.
Artikkel 21, NIS2-direktivet (EU) 2022/2555 →Hendelsesrapportering innen 24 timer
Send tidligvarsel til ditt nasjonale CSIRT innen 24 timer, hendelsesvarsel innen 72 timer og en sluttrapport innen én måned for enhver vesentlig hendelse.
Artikkel 23, NIS2-direktivet →Aktsomhetsvurdering av forsyningskjeden
Vurder og dokumenter cybersikkerhetspraksisen til dine kritiske leverandører. NIS2 utvider eksplisitt ansvaret for leverandørenes svakheter til deg.
Ledelsesansvar
Styre og toppledelse må godkjenne tiltakene for cybersikkerhets-risikostyring, overvåke implementeringen og fullføre spesifikk cybersikkerhetsopplæring.
Artikkel 20, NIS2-direktivet →Registrering hos nasjonal myndighet
Vesentlige og viktige virksomheter må registrere seg hos nasjonal tilsynsmyndighet. I Norge operasjonaliseres dette gjennom Digitalsikkerhetsloven.
Sårbarhetsrapportering og deling av trusselinformasjon
Drift en koordinert prosess for sårbarhetsrapportering og delta i frivillige ordninger for deling av trusselinformasjon der det er mulig.
Viktige datoer
- januar 2023NIS2 trådte i kraft på EU-nivå
- 17. oktober 2024Frist for medlemsstatenes gjennomføring (de fleste EU-land i kraft)
- Q1 2025Håndheving pågår i Sverige, Danmark og Finland
- 1. oktober 2025Norge: Digitalsikkerhetsloven i kraft; full NIS2-lov ventet i løpet av 2026, avhengig av EØS-innlemmelse
- LøpendeNasjonale tilsynsmyndigheter utgir sektorspesifikk veiledning
Sanksjoner
Inntil 10 millioner euro eller 2 % av global omsetning for vesentlige virksomheter, det høyeste av de to.
Utover sanksjoner kan manglende etterlevelse blokkere enterprise-salgsavtaler, eksponere ledelsen personlig og utløse rapporteringspliktige hendelser under tilgrensende regelverk.
Slik hjelper Skarpix
Avklaring av omfang
Automatisert klassifisering av vesentlig, viktig eller utenfor omfang basert på sektor, størrelse og virksomhet.
Kontrollkartlegging
Kartlegg eksisterende kontroller mot kravene i NIS2 artikkel 21 og avdekk det som mangler.
Arbeidsflyt for hendelsesrapportering
Maler og tidsfrister for varselrekken 24t / 72t / 1 måned.
Leverandørregister
Spor kritiske leverandørers cybersikkerhetsposisjon og utløs nye vurderinger automatisk.
Generator for styredokumenter
Cybersikkerhetsbriefer for ledelsens tilsynskrav, med ett klikk.
Klar for å se hvor du står på NIS2 / Digitalsikkerhetsloven?
Ofte stilte spørsmål
Gjelder NIS2 for selskapet mitt i Norge?+
Digitalsikkerhetsloven, som gjennomfører det opprinnelige NIS1-direktivet med utvalgte NIS2-krav integrert, har vært i kraft i Norge siden 1. oktober 2025. NIS2 vil bli gjennomført gjennom en egen ny lov, ventet i løpet av 2026 og avhengig av innlemmelse i EØS-avtalen. NSM anslår at mellom 5 000 og 8 000 norske virksomheter vil omfattes av NIS2-grunnlinjen.
Hva er forskjellen mellom vesentlige og viktige virksomheter?+
Vesentlige virksomheter (store selskaper i kritiske sektorer som energi og bank) møter strengest tilsyn og høyest sanksjoner. Viktige virksomheter har lignende plikter, men lettere tilsyn. Begge må oppfylle de samme risikostyringstiltakene i artikkel 21.
Hvordan skiller NIS2 seg fra NIS1?+
NIS2 dekker langt flere sektorer (18 mot 7), legger til ledelsesansvar og krav til forsyningskjeden, krever hendelsesrapportering innen 24 timer og innfører vesentlig høyere sanksjoner. Den utvides også til alle virksomheter av betydelig størrelse i de omfattede sektorene, ikke bare utpekte «operatører av vesentlige tjenester».
Vi er allerede ISO 27001-sertifisert. Etterlever vi NIS2?+
ISO 27001 dekker det meste av NIS2 artikkel 21, men ikke alt. Du må fortsatt håndtere tidsfrister for hendelsesrapportering, opplæring i ledelsesansvar, NIS2-spesifikk aktsomhetsvurdering av forsyningskjeden, og registrering hos nasjonal tilsynsmyndighet.
Gjelder kravene til forsyningskjeden for oss som leverandør?+
Hvis kundene dine er omfattede virksomheter, vil cybersikkerhetsforventninger forplante seg nedover til deg. Selv om du ikke er direkte omfattet, må du regne med kontraktskrav og sikkerhetsspørreskjemaer fra omfattede kunder.
Hva skjer hvis vi ikke etterlever?+
Sanksjoner inntil €10M eller 2 % av global omsetning for vesentlige virksomheter (€7M eller 1,4 % for viktige virksomheter), pluss suspensjon av ledelsessertifisering, pluss personlig ansvar for ledelsen i enkelte medlemsstater.