NIS2-direktivet er ennå ikke gjeldende i Norge, men gjennomføring ventes i løpet av 2026. Fordi Norge er EØS-medlem og ikke EU-medlem, må NIS2 først innlemmes i EØS-avtalen før det kan gjennomføres i norsk rett – noe som per 2026 ikke har skjedd. Gjeldende lov er digitalsikkerhetsloven, som trådte i kraft 1. oktober 2025 og gjennomfører det opprinnelige NIS1-direktivet. NIS2 ventes innført gjennom en ny lov som også dekker CER-direktivet om kritiske enheters motstandsdyktighet, og som vil erstatte dagens digitalsikkerhetslov. Denne guiden forklarer statusen, hvilke virksomheter som vil omfattes, og hvilke krav norske virksomheter bør forberede seg på.
For norske virksomheter er det avgjørende å forstå at forberedelse lønner seg nå, selv om den endelige loven ikke er vedtatt. Kravene til risikostyring, hendelsesrapportering og ledelsesansvar er kjent, og de bygger på samme logikk som personvernarbeidet mange allerede har på plass.
Status: hvorfor NIS2 ikke gjelder ennå i Norge
NIS2 er et EU-direktiv. Gjennom EØS-avtalen forplikter Norge seg til å innlemme EØS-relevant EU-regelverk, men prosessen tar tid: direktivet må først tas inn i EØS-avtalen, deretter gjennomføres i norsk lov. Per 2026 er NIS2 ikke innlemmet i EØS-avtalen, og det er ikke fastsatt en endelig ikrafttredelsesdato for Norge.
Det som gjelder i dag, er digitalsikkerhetsloven, som trådte i kraft 1. oktober 2025 og gjennomfører NIS1. NIS2 ventes innført i løpet av 2026, sannsynligvis gjennom en ny lov som erstatter digitalsikkerhetsloven og som også omfatter CER-direktivet. Nasjonal sikkerhetsmyndighet (NSM) er sentral i det norske arbeidet.
Hvilke virksomheter vil omfattes?
NIS2 utvider virkeområdet betydelig sammenlignet med NIS1 og skiller mellom to kategorier:
| Kategori | Eksempler på sektorer |
|---|---|
| Vesentlige enheter | Energi, transport, bank, finansmarked, helse, drikkevann, avløp, digital infrastruktur, offentlig forvaltning |
| Viktige enheter | Post og kurér, avfallshåndtering, kjemikalier, næringsmiddel, produksjon, digitale tjenester, forskning |
Terskelen følger i hovedsak størrelse: mellomstore og store virksomheter i de omfattede sektorene vil som regel være omfattet. For norske virksomheter i tvil er rådet å forberede seg som om de blir omfattet – kravene til risikostyring er uansett god praksis.
Hvilke krav stiller NIS2?
NIS2 stiller krav på fire hovedområder, som norske virksomheter kan begynne å forberede nå:
- Risikostyring. Virksomheten må ha et rammeverk for å kartlegge og håndtere IKT-risiko, inkludert tekniske og organisatoriske tiltak.
- Hendelsesrapportering. Alvorlige hendelser skal varsles til tilsynsmyndigheten innen bestemte frister – en tidlig varsling raskt, etterfulgt av en mer utfyllende rapport.
- Leverandørkjede. Sikkerheten i leverandørkjeden skal vurderes, og kritiske leverandører følges opp.
- Ledelsesansvar. Ledelsen skal godkjenne og føre tilsyn med sikkerhetstiltakene og kan holdes ansvarlig ved forsømmelse.
NIS2 sammenlignet med NIS1
NIS2 er en betydelig skjerpelse av det opprinnelige direktivet. De viktigste endringene:
| Område | NIS1 (digitalsikkerhetsloven) | NIS2 (forventet) |
|---|---|---|
| Virkeområde | Utvalgte sektorer og digitale tjenester | Langt bredere, delt i vesentlige og viktige enheter |
| Ledelsesansvar | Begrenset | Ledelsen godkjenner tiltak og kan holdes ansvarlig |
| Hendelsesrapportering | Enklere krav | Trinnvis: tidlig varsling og utfyllende rapport |
| Leverandørkjede | Lite eksplisitt | Uttrykkelig krav om vurdering av leverandørrisiko |
| Sanksjoner | Moderate | Vesentlig strengere, med gebyr etter EU-modell |
For norske virksomheter som allerede oppfyller digitalsikkerhetsloven, betyr overgangen til NIS2 altså ikke å starte på nytt, men å utvide og formalisere det eksisterende arbeidet – særlig på leverandørkjede og ledelsesansvar.
Sektorene som vil omfattes
NIS2 deler de omfattede virksomhetene i vesentlige og viktige enheter. Vesentlige enheter omfatter blant annet energi, transport, bank og finansmarked, helse, drikkevann, avløp, digital infrastruktur og offentlig forvaltning. Viktige enheter omfatter post og kurér, avfallshåndtering, produksjon av kjemikalier og næringsmiddel, alminnelig produksjonsindustri, digitale tjenester som nettbaserte markedsplasser og søkemotorer, samt forskning. Skillet har praktisk betydning: vesentlige enheter er underlagt strengere, proaktivt tilsyn, mens viktige enheter i hovedsak kontrolleres etter at et problem er avdekket. Terskelen følger i hovedsak størrelse, slik at mellomstore og store virksomheter i disse sektorene som regel omfattes.
Overlappet med GDPR
For virksomheter som allerede jobber med personvern, er NIS2 ikke fremmed terreng. Begge regelverkene krever dokumentert risikostyring, systematisk hendelseshåndtering og ansvarliggjøring av ledelsen. Et praktisk poeng er at samme hendelse kan utløse plikter etter begge: et dataangrep som rammer personopplysninger, krever avviksmelding til Datatilsynet innen 72 timer etter GDPR artikkel 33, samtidig som det utløser varslingsplikt etter NIS2. Datatilsynets håndheving viser hvor dyrt sikkerhetssvikt kan bli – Trumf fikk 5 millioner kroner for manglende tilgangskontroll. Se oversikten over overtredelsesgebyr.
Hvordan forberede seg nå
Selv om loven ikke er vedtatt, kan norske virksomheter starte forberedelsene: kartlegg IKT-risikoen, etabler en rutine for hendelsesrapportering, gå gjennom leverandørkjeden og forankre sikkerhetsarbeidet i ledelsen. Mye av dette overlapper med personvernarbeidet, og det gir liten mening å drive NIS2, GDPR og DORA i adskilte systemer. En integrert plattform som Legiscope samler risiko, dokumentasjon og hendelseshåndtering på tvers av regelverkene. For verktøyvalg spesifikt for NIS2, se beste NIS2-programvare, og for personvern generelt sammenligningen av GDPR-programvare.
Sanksjoner under NIS2
En vesentlig endring fra NIS1 er sanksjonsnivået. NIS2 legger opp til overtredelsesgebyr etter EU-modell, med betydelig høyere maksimalbeløp enn dagens digitalsikkerhetslov, og med et skille i nivå mellom vesentlige og viktige enheter. I tillegg kommer det personlige ledelsesansvaret: ledelsen kan holdes ansvarlig for manglende oppfølging av sikkerhetstiltakene. Selv om det norske sanksjonsnivået fastsettes endelig når loven vedtas, er retningen klar – konsekvensene av manglende etterlevelse blir merkbart større enn i dag. For virksomheter er dette et argument for å forankre cybersikkerhetsarbeidet i styret allerede nå, ikke vente til loven trer i kraft.
Hva bør norske virksomheter gjøre først?
Selv uten en endelig lov er de mest verdifulle forberedelsene tydelige: gjennomfør en risikovurdering av IKT-systemene, etabler en skriftlig rutine for hendelseshåndtering med tydelige varslingslinjer, kartlegg de kritiske leverandørene og få sikkerhetsarbeidet på styrets agenda. Disse fire tiltakene er god praksis uansett regelverk, og de utgjør kjernen i det NIS2 vil kreve. Å komme i gang nå gjør overgangen til den kommende loven til en formalisering av eksisterende rutiner framfor et prosjekt som må startes fra bunnen under tidspress.
Ofte stilte spørsmål
Er NIS2 gjeldende i Norge i 2026?
Nei. NIS2 er foreløpig ikke tatt inn i EØS-avtalen, og det er ikke fastsatt en endelig ikrafttredelsesdato. Gjeldende lov er digitalsikkerhetsloven, som gjennomfører NIS1. NIS2 ventes innført i løpet av 2026 gjennom en ny lov.
Hvilke virksomheter omfattes av NIS2 i Norge?
NIS2 vil omfatte mellomstore og store virksomheter i sektorer som energi, transport, helse, digital infrastruktur, offentlig forvaltning, næringsmiddel og flere, delt i vesentlige og viktige enheter. Er dere i tvil, bør dere forberede dere som om dere blir omfattet.
Hva er forskjellen på digitalsikkerhetsloven og NIS2?
Digitalsikkerhetsloven gjennomfører det opprinnelige NIS1-direktivet og er gjeldende norsk rett fra 1. oktober 2025. NIS2 er et nyere og strengere direktiv med utvidet virkeområde, strengere sanksjoner og eksplisitt ledelsesansvar, som ventes å erstatte digitalsikkerhetsloven gjennom en ny lov i løpet av 2026.
Kan ett verktøy dekke både NIS2, GDPR og DORA?
Ja, og for de fleste virksomheter er det mest fornuftig. Alle tre regelverkene krever dokumentert risikostyring, hendelseshåndtering og leverandørkontroll, og dokumentasjonen overlapper. En integrert plattform reduserer dobbeltarbeidet sammenlignet med tre adskilte systemer – se beste NIS2-programvare.
Konklusjon
NIS2 er ikke gjeldende i Norge ennå, men gjennomføring ventes i løpet av 2026 gjennom en ny lov som også dekker CER-direktivet. For norske virksomheter er den beste strategien å forberede seg nå på kjente krav – risikostyring, hendelsesrapportering, leverandørkontroll og ledelsesansvar – framfor å vente på den endelige loven. Fordi kravene overlapper tungt med GDPR, gir det mest mening å samordne NIS2-arbeidet med personvernet i én plattform framfor å bygge to adskilte systemer.
Sist gjennomgått: juli 2026.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial