NIS2 och norska Digitalsikkerhetsloven: vad norska företag måste göra under 2026
25 May 2026 · Skarpix
Digitalsikkerhetsloven har varit i kraft i Norge sedan 1 oktober 2025. Lagen genomför det ursprungliga NIS-direktivet i norsk rätt, med utvalda NIS2-krav integrerade. Den fulla NIS2-implementeringen är på väg, men kommer genom en separat ny lag, inte genom att ändra Digitalsikkerhetsloven. NSM räknar med att den nya lagen träder i kraft under 2026, beroende på hur snabbt NIS2-direktivet införlivas i EES-avtalet.
Det placerar norska företag i en särskild situation just nu. Ni är redan föremål för en norsk digitalsäkerhetslag med reella krav. Samtidigt vet ni att en strängare lag är på gång. Att vänta och se är ingen trygg position.
Vem omfattas
Sedan 1 oktober 2025 har Digitalsikkerhetsloven ställt grundläggande krav på verksamheter som levererar samhällsviktiga tjänster inom bland annat energi, transport, hälsa, vattenförsörjning, bank, finansiell infrastruktur, digital infrastruktur och vissa digitala tjänster. Huvudregeln har varit verksamheter med mer än 50 anställda eller en omsättning över 10 miljoner euro, men undantag finns.
När NIS2 implementeras fullt ut utvidgas tillämpningsområdet betydligt. NSM uppskattar att mellan 5 000 och 8 000 norska verksamheter kommer att omfattas av NIS2-baslinjen. NIS1 omfattade några hundra. Det är en dramatisk utvidgning.
Nya sektorer som kommer in med NIS2 omfattar offentlig förvaltning, avfallshantering, post- och leveranstjänster, livsmedelsproduktion samt tillverkare av kritisk teknik. Om ni levererar till en verksamhet som omfattas blir ni ofta indirekt omfattade genom krav på leverantörskedjan, oavsett egen storlek.
De fyra kraven, i klartext
NSM sammanfattar kraven i fyra ord: riskbedöma, säkra, upprätthålla och varsla. Det låter enkelt. Varje ord döljer reella krav på policyer, rutiner och dokumentation.
Riskbedöma. Ni måste genomföra riskbedömningar av nätverks- och informationssystemen som levererar era tjänster. Det finns ingen "one size fits all". Lagen utgår från att säkerhetsåtgärderna ska stå i proportion till risken. Varje verksamhet gör sina egna bedömningar.
Säkra. Implementera tekniska och organisatoriska säkerhetsåtgärder som svarar mot de risker ni identifierat. NIS2 specificerar en konkret miniminivå i artikel 21: riskhantering, incidenthantering, säkerhet i leverantörskedjan, kryptering, åtkomstkontroll och flerfaktorautentisering, bland annat.
Upprätthålla. Åtgärder ska underhållas och uppdateras. Säkerhet är inget engångsprojekt. Ni måste kunna dokumentera att åtgärderna faktiskt fungerar över tid.
Varsla. När en betydande incident inträffar ska ni rapportera enligt 24-72-30-modellen: tidig varning inom 24 timmar, incidentrapport inom 72 timmar, och slutrapport inom en månad. Det är en konkret operativ förmåga. Den måste finnas på plats före incidenten, inte efter.
Personligt ansvar i ledningen
En viktig punkt i NIS2 är att ledningen kan hållas personligt ansvarig för brister i säkerhetsstyrningen. Förarbetena till Digitalsikkerhetsloven öppnar redan för att fysiska personer kan åläggas överträdelseavgift "om det är nödvändigt i det enskilda fallet". Riktningen är tydlig: det här är inte något styrelsen eller högsta ledningen helt kan delegera bort.
I praktiken betyder det att styrelsen måste förstå riskbilden, godkänna säkerhetsstrategin och kunna dokumentera att de har gjort det. Många norska styrelser är inte där idag.
Sanktioner
För väsentliga verksamheter kan överträdelseavgiften bli upp till 10 miljoner euro eller 2 % av global omsättning, det högsta av de två. För viktiga verksamheter är taket 7 miljoner euro eller 1,4 % av global omsättning. Som jämförelse är GDPR-taket 20 miljoner euro eller 4 % av global omsättning.
I praktiken ser man sällan böter i topp direkt. Sanktionsregimen är dock byggd för att bita, och NSM har signalerat aktiv tillsyn.
Vad ni bör göra nu
Vänta inte på den nya NIS2-lagen. Digitalsikkerhetsloven gäller redan, och NIS2-kraven är i huvudsak kända. Börja med detta:
Klargör omfattningen. Faller ni inom sektor- och storlekskraven? Levererar ni till någon som gör det? Om ja på det första är ni omfattade idag. Om ja på det andra dras ni in antingen genom leverantörskedjekrav från era kunder eller direkt när NIS2-implementeringen landar.
Genomför en gap-analys. Kartlägg nuvarande säkerhetsnivå mot kraven i artikel 21. Identifiera var ni inte levererar idag. Prioritera efter risk.
Bygg 24-72-30-rutinen innan ni behöver den. En incidentrapporteringsprocess som inte är tabletop-testad är ingen rutin, det är en förhoppning. Gå igenom ett scenario under lugna förhållanden, inte under själva händelsen.
Få styrelsen på plats. Förklara riskbilden på ledningsnivå. Få säkerhetsstrategin godkänd. Dokumentera det. När NIS2-tillsynen kommer letar tillsynsmyndigheten efter exakt detta.
Skarpix erbjuder en gratis NIS2-kartläggning som tar 5–10 minuter och levererar en konkret rapport över var ni står mot kontrollerna i artikel 21. Den är byggd kring den norska regulatoriska bilden, inklusive dagens Digitalsikkerhetsloven och det vi vet om den kommande NIS2-lagen.