Site Search Site Search

Menu

Event

Loading Results

Kvinne med PC i datasenter

NIS og NIS2: Alt du må vite om de nye direktivene

Er din virksomhet forberedt på kravene som kommer med NIS/NIS2? Direktivene legger føringer for at virksomhetene i større grad må ha grunnleggende sikkerhetsmekanismer på plass og stiller strengere krav til ledere - noe som bør være i virksomhetenes egen interesse.

Ta NIS2-testen
Kontakt oss

Det du bør vite om NIS/NIS2

Hva er bakgrunnen?

Europeiske bedrifter står overfor stadig hyppigere og mer komplekse cyber- og digitale trusler. Dette skyldes mer sofistikerte angripere, lengre verdikjeder og et økende fokus på digitale verdiforslag i selskaper. For å møte disse utfordringene, har EU introdusert en rekke nye regulatoriske krav, deriblant NIS- og NIS2-direktivene.

NIS-direktivet (Network and Information Security Directive) har som mål å styrke sikkerheten til nettverk og informasjonssystemer innen EU. NIS fokuserer på å styrke nasjonal cybersikkerhetskapasitet, fremme samarbeid mellom medlemslandene, og sikre at kritiske sektorer som blant annet energi, transport, helse, offentlige tjenester og finansmarkedsinfrastrukturen har tilstrekkelige sikkerhetstiltak på plass.

For å møte de stadig økende truslene i det digitale landskapet, har EU introdusert NIS2-direktivet, som ytterligere styrker sikkerhetskravene til nettverk og informasjonssystemer. Sett i forhold til det første NIS-direktivet, har NIS2 et:

  1. Utvidet omfang: Inkludere flere sektorer og tjenester som er kritiske og viktige for samfunnet.
  2. Forbedret samarbeid: Økt samarbeid mellom EU-landene for å sikre en mer enhetlig tilnærming til cybersikkerhet.
  3. Strengere krav: Implementere strengere sikkerhetskrav og rapporteringsplikter for bedrifter, inkludert risikostyring og hendelseshåndtering.
  4. Økt tilsyn: Gi myndighetene bedre verktøy for tilsyn og håndheving av sikkerhetskrav.

NIS2-direktivet reflekterer behovet for en mer robust og omfattende tilnærming til digital sikkerhet i lys av det stadig mer komplekse trussellandskapet.

Hvordan gjennomføres det i Norge, EU og EØS?

Norge

I Norge vil NIS-direktivet bli implementert gjennom Lov om digital sikkerhet (digitalsikkerhetsloven). Digitalsikkerhetsloven er hovedsakelig er basert på NIS, men inkluderer enkelte elementer fra NIS2, som rapportering, tilsyn og sanksjoner. 

Ifølge Nasjonal sikkerhetsmyndighet (NSM) vil NIS2-direktivet bli fullt implementert i en nyere norsk lov som vil inkludere både NIS2- og CER-direktivet (Critical Entities Resilience). Denne vil erstatte digitalsikkerhetsloven.

Til tross for at det ikke er kjent når denne nye loven vil tre i kraft i Norge, bør de fleste bedrifter allerede i dag forholde seg til den utvidede loven som kommer basert på NIS2 og CER direktivene. Det er totalberedskap.

Andre EU- eller EØS-land

De ulike EU- og EØS-landene sikrer nasjonal implementering gjennom egne prosesser, men med betydelige variasjoner i hvordan lovgivningen gjennomføres i de ulike landene. NIS-direktivet er allerede implementert i EU-landene, mens NIS2-direktivet skulle ha vært innført i nasjonal lovgivning innen oktober 2024. Flere EU-land ligger imidlertid bak skjema, men er i full gang med å implementere direktivet. Norske bedrifter som har virksomhet i andre  EU/EØS-land må forholde seg til nasjonale lover i de respektive landene.

Hva innebærer Digitalsikkerhetsloven (DSL)?

Forventet ikrafttredelse før 1. juli 2025 jf. NSM

Digitalsikkerhetsloven gjennomfører NIS i norsk rett. Formålet med digitalsikkerhetsloven er å sikre grunnleggende krav til digital sikkerhet i virksomheter av særlig betydning for samfunnet ved å forebygge, oppdage og motvirke uønskede hendelser i nettverk og informasjonssystemer.

Loven har også som mål å legge til rette for sikkerhet i IKT-produkter, IKT-tjenester og IKT-prosesser.

  • For samfunnet betyr dette at essensielle tjenester forblir stabile og pålitelige, også når kriser oppstår.
  • For virksomheter betyr det at de må beskytte og styrke sine digitale plattformer, noe som er avgjørende for å realisere deres visjoner, ambisjoner og mål.

Når trer det i kraft?

Ifølge Nasjonal sikkerhetsmyndighet (NSM) forventes Lov om digital sikkerhet (digitalsikkerhetsloven) å tre i kraft før 1. juli 2025, så snart forskriften til loven blir vedtatt.

Parallelt utvikles en ny lov for å implementere NIS2-direktivet i norsk rett. Denne loven vurderes i sammenheng med CER-direktivet (Critical Entities Resilience), som fokuserer på motstandsdyktighet i samfunnsviktige virksomheter utenom cybersikkerhet. En ny stortingsmelding foreslår en lov som vil gjennomføre både NIS2- og CER-direktivet, og på sikt erstatte digitalsikkerhetsloven. NSM er foreløpig sparsommelige med informasjon rundt den nye loven, men de er tydelige på at gjennomføringen vil gå raskt. Vi antar at dette vil skje en gang i løpet av 2026.

Hvorfor bør du handle nå?

I dagens digitale landskap er det ikke et spørsmål om en hendelse vil inntreffe, men når den inntreffer. Venting på at lovgivningen skal tre i kraft kan sette virksomheten din i fare, og påføre store kostnader. Ved å handle nå, sikrer du at bedriften har både motstandskraft mot digitale trusler og responskapasitet når en hendelse oppstår.

Å være proaktiv gir deg en konkurransefordel, beskytter dine verdier, og opprettholder tilliten hos kunder og partnere. Ikke la virksomheten din bli et lett mål. Styrk sikkerheten i dag for å sikre en tryggere fremtid.

Det handler om å sikre at virksomhetene har grunnleggende sikkerhetsmekanismer på plass, noe som er i deres egen interesse.

Ved å implementere NIS/NIS2-kravene nå, styrker du virksomhetens forsvar mot digitale trusler og sikrer en robust fremtid.

Torkil HindbergPartner i PwC Norway

Hvorfor velge oss?

Omfattende erfaring og ekspertise

Vi har høyt kvalifiserte fagfolk som tilbyr rådgivning og skreddersydde løsninger innen både digital- og informasjonssikkerhet, samt juridisk etterlevelse.

Bransjekunnskap

Vi leverer skreddersydde løsninger tilpasset de unike behovene i hver kritisk og viktig sektor.

Helhetlig tilnærming

Vi veileder dere gjennom hele prosessen, fra juridisk vurdering til implementering, samt etablering av overvåkingsmekanismer som sikrer kontinuerlig samsvar over tid.

Internasjonalt nettverk

Med vårt EMEA NIS/NIS2-nettverk og internasjonale forgreninger jobber vi tett for å bistå både i enkeltland og for selskaper som opererer på tvers av flere territorier, og sikrer effektiv implementering av regelverket.
< Tilbake

< Tilbake
[+] Les mer

Våre tjenester innen NIS/NIS2

Vurdere om deres virksomhet omfattes

Sammen vurderer og dokumenterer vi på hvilken måte dere er berørt av NIS/NIS2-direktivet. Dette vil legge grunnlaget for hva dere må oppnå og opprettholde samsvar med.

Avklare ansvar

Vi hjelper dere med å identifisere mangler i forhold til å oppfylle kravene i direktivet.

Tiltaksplan

Vi hjelper dere med å utarbeide detaljert tiltaksplan som sikrer etterlevelse av NIS/NIS2-kravene, med fokus på operasjonell motstandskraft og strategiske mål.

Sikre forretningskontinuitet

For å stå imot cyberhendelser og andre digitale forstyrrelser trenger du et sterkt rammeverk for digital sikkerhet.

Etablere varslingsrutiner

Vi utvikler effektive prosedyrer for varsling og tidsriktig rapportering av hendelser til myndighetene.

Sikre overvåking

Vi utvikler system for kontinuerlig kontroll for å sikre at tiltakene dine fungerer hensiktsmessig og effektivt over tid.

< Tilbake

< Tilbake
[+] Les mer

NIS- og NIS2 gjennomføringen i Norge

NIS får anvendelse for "tilbydere av samfunnsviktige tjenester" innenfor sektorer som energi, transport, helse, m.m., mens NIS2-direktivene skiller mellom "kritiske" og "viktige" sektorer. Virksomheter som faller inn under kategorien "kritiske" sektorer vil bli underlagt proaktivt tilsyn, noe som betyr at de kan få uanmeldte tilsyn fra tilsynsmyndighetene når som helst, med pålegg og sanksjoner dersom det oppdages avvik. Derimot vil virksomheter som faller inn under kategorien "viktige" få noe lavere bøter og er underlagt et reaktivt tilsyn fra myndighetene

I stedet for en minimumsterskel, som tidligere, vil det bli benyttet ensartede kriterier i EU og EØS for å bestemme hvilke typer virksomheter som blir underlagt disse bestemmelsene. I Norge forventes det at reguleringene vil skille mellom virksomheter med minimum 50 ansatte, og med en årlig omsetning på 100 millioner norske kroner eller mer, men med noen unntak.

Virksomhetene må selv vurdere om de faller inn under disse reguleringene. Det forventes et stort antall berørte virksomheter i Norge.

For å sikre samsvar med NIS/NIS2, er det viktig å fokusere på fire kjerneområder: Leders ansvar, Sikkerhetstiltak, Krav til varsling, og Tilsyn & Sanksjoner.

  • Øverste leder har det overordnede ansvaret for å etablere og vedlikeholde et styringssystem for digital sikkerhet.
  • Sikkerhetsprosedyrer må være dokumentert, kjent for alle ansatte, og regelmessig gjennomgått for forbedringer.
  • Sikkerhetsarbeidet skal integreres i den daglige driften og kontinuerlig overvåkes for å tilpasse seg nye trusler.
  • Det er viktig å sikre at alle ansatte har nødvendig opplæring i sikkerhetsprotokoller og at det finnes klare rutiner for håndtering av hendelser.
  • Implementer hensiktsmessige og proporsjonale tiltak for å sikre at sikkerhetsnivået er tilpasset organisasjonens behov.
  • Sørg for at tiltakene dekker menneskelige, prosessuelle og teknologiske aspekter.
  • Tilpass sikkerhetstiltakene til organisasjonens størrelse, kompleksitet og risikoprofil.
  • Gjennomfør regelmessige vurderinger og oppdateringer av sikkerhetstiltak for å møte nye trusler og sårbarheter.

Alle virksomheter må etablere prosedyrer for korrekt rapportering av sikkerhetshendelser til myndighetene. Dette innebærer en tretrinns rapporteringsprosess:

  • Trinn 1: Tidlig førsterapport innen 24 timer
  • Trinn 2: Bekreftende utvidet rapport innen 72 timer
  • Trinn 3: Endelig rapport senest innen en måned etter hendelsen

Rapportene må inneholde informasjon om type berørt virksomhet, kritikalitet, tjeneste og konsekvenser.

Generelle vilkår for ileggelse av administrative sanksjoner

Det er en differensiering mellom virksomheter som defineres innenfor “kritisk” og “viktig” sektor

I Norge*:

  • Sanksjoner opptil 4 % av årlig omsetning, eller 25 X Grunnbeløpet (G) - pt ca 3 mill kr, beregnet ut fra siste regnskapsår.

I Europa:

  • Kritiske virksomheter i Europa kan stå overfor bøter på opptil 10 millioner euro eller minst 2 prosent av deres globale omsetning i det siste regnskapsåret

*jf. utkast for Digitalsikkerhetsforskriften

NIS/NIS2: Direktivene omfatter både viktige og kritiske sektorer

I Norge vil de ulike sektorene og deres omfang bli integrert på forskjellige tidspunkter. De første sektorene som dekkes, er de som faller under NIS-direktivet, og disse er inkludert i Lov om digital sikkerhet (DSL).

NIS2-direktivet utvider sektordefinisjonen fra NIS og omfatter betydelig flere sektorer. Disse sektorene er delt inn i to kategorier: Kritiske sektorer og Viktige sektorer, som inkluderer flere tjenester og sektorer avgjørende for samfunnets funksjon.

Kritiske sektorer er avgjørende for samfunnets funksjon og sikkerhet. Disse sektorene har strengere krav til sikkerhet og rapportering på grunn av deres betydning for nasjonal sikkerhet og økonomisk stabilitet.

Viktige sektorer er betydningsfulle, men ikke like ‘kritiske’ som de i de kritiske sektorene. Disse har også sikkerhetskrav, men disse kan kanskje oppleves som noe mindre strenge sett i forhold til de kritiske sektorene.

NIS2 vil i større grad legge krav til flere sektorer enn NIS, og flere virksomheter vil bli omfattet der NIS allerede er gjeldende. I oversikten nedenfor indikerer vi hvilke sektorer som til slutt vil bli underlagt direktivene når NIS2 er fullt gjennomført i Norge.

Kritiske sektorer

Energi

  • Elektrisitetsforetak: Selskaper som driver med levering av elektrisitet.
  • Distribusjonssystemoperatører: Ansvarlige for drift og vedlikehold av elektrisitetsdistribusjonsnett.
  • Transmisjonssystemoperatører: Ansvarlige for drift og vedlikehold av elektrisitetsoverføringsnett.
  • Produsenter: Selskaper som produserer elektrisitet.
  • Nominert elektrisitetsmarkedsoperatør: Ansvarlige for drift av elektrisitetsmarkeder.
  • Markedsdeltakere: Selskaper som tilbyr aggregasjon, etterspørselsrespons eller energilagringstjenester.
  • Operatører av ladestasjoner: Ansvarlige for drift og administrasjon av ladestasjoner for elektriske kjøretøy.
  • Operatører av fjernvarme: Ansvarlige for drift og administrasjon av fjernvarmesystemer.
  • Operatører av fjernkjøling: Ansvarlige for drift og administrasjon av fjernkjølesystemer.
  • Operatører av oljeoverføringsrørledninger: Ansvarlige for transport av olje gjennom rørledninger.
  • Operatører av oljeproduksjon, raffinering og behandlingsanlegg: Selskaper som produserer, raffinerer og behandler olje.
  • Sentral lagringsenheter: Ansvarlige for lagring av olje i henhold til EU-direktiver.
  • Leverandørforetak: Selskaper som leverer gass til forbrukere.
  • Distribusjonssystemoperatører: Ansvarlige for drift og vedlikehold av gassdistribusjonsnett.
  • Transmisjonssystemoperatører: Ansvarlige for drift og vedlikehold av gasstransmisjonsnett.
  • Lagringssystemoperatører: Ansvarlige for lagring av gass.
  • LNG-systemoperatører: Ansvarlige for drift av LNG-anlegg.
  • Naturgassforetak: Selskaper som driver med produksjon og behandling av naturgass.
  • For Hydrogen involverer dette virksomheter som: Operatører av hydrogenproduksjon: Ansvarlige for produksjon av hydrogen.
  • Operatører av hydrogenlagring: Ansvarlige for lagring av hydrogen.
    Operatører av hydrogentransport: Ansvarlige for transport av hydrogen.

Transport

  • Luftfartsselskaper: Selskaper som driver med kommersiell lufttransport.
  • Lufthavnsforvaltningsorganer: Organer som administrerer flyplasser, inkludert sentrale flyplasser i EU.
  • Trafikkontrolloperatører: Operatører som tilbyr lufttrafikktjenester, inkludert lufttrafikkontroll.
  • Infrastrukturforvaltere: Ansvarlige for vedlikehold og drift av jernbaneinfrastruktur.
  • Jernbaneforetak: Selskaper som driver med jernbanetransport, inkludert operatører av serviceanlegg.
  • Passasjer- og godstransportselskaper for innlands, sjø- og kysttransport: Selskaper som driver med vanntransport, unntatt individuelle fartøy.
  • Havneforvaltningsorganer: Organer som administrerer havner, inkludert havneanlegg og operatører av utstyr i havner.
  • Operatører av fartøystrafikktjenester (VTS): Ansvarlige for overvåking og styring av fartøytrafikk.
  • Veimyndigheter: Ansvarlige for trafikkstyring, unntatt offentlige enheter hvor dette ikke er en essensiell del av deres generelle aktivitet.
  • Operatører av intelligente transportsystemer: Selskaper som driver med implementering og drift av intelligente transportsystemer.

Bank og finansmarkedsinfrastruktur

  • Kredittinstitusjoner: Banker og finansinstitusjoner som tilbyr kredittjenester.
  • Operatører av handelsplattformer: Selskaper som driver med drift av handelsplattformer for finansielle instrumenter.
  • Sentral motpart (CCP): Institusjoner som fungerer som mellomledd i finansielle transaksjoner for å redusere risiko.


 

Helse

  • Helseleverandører: Disse inkluderer institusjoner som tilbyr helsetjenester til befolkningen.
  • EU-referanselaboratorier: Laboratorier som er anerkjent på EU-nivå for spesifikke forsknings- og utviklingsoppgaver.
  • Selskaper som driver med forskning og utvikling av legemidler: Disse inkluderer selskaper som utvikler nye medisinske produkter.
  • Produsenter av grunnleggende farmasøytiske produkter og farmasøytiske preparater: Selskaper som produserer viktige medisinske produkter og preparater.
  • Produsenter av medisinsk utstyr som anses som kritisk under en folkehelsekrise: Selskaper som lager medisinsk utstyr som er avgjørende i krisesituasjoner innen folkehelse

Drikkevann og avløpsvann

  • Leverandører og distributører av vann til menneskelig konsum: Ansvarlige for levering og distribusjon av drikkevann.
  • Selskaper som samler inn, disponerer eller behandler urbant avløpsvann: Ansvarlige for håndtering av avløpsvann fra byområder.
  • Selskaper som samler inn, disponerer eller behandler husholdningsavløpsvann: Ansvarlige for håndtering av avløpsvann fra husholdninger.
  • Selskaper som samler inn, disponerer eller behandler industrielt avløpsvann: Ansvarlige for håndtering av avløpsvann fra industrien.


 

Digital infrastruktur og IKT-tjenester

  • Internett-utvekslingspunkter: Tilbyr tilkobling mellom ulike nettverk for å lette utveksling av internett-trafikk.
  • DNS-tjenesteleverandører: Tilbyr domeneoppløsningstjenester for internettbrukere.
  • Toppnivådomene-registere: Ansvarlige for administrasjon av toppnivådomener.
  • Skytjenesteleverandører: Tilbyr skalerbare og fleksible datatjenester over internett.
  • Datasentertjenesteleverandører: Tilbyr lagring, behandling og transport av data.
  • Innholdsleveringsnettverk: Distribuerer digitalt innhold for å sikre høy tilgjengelighet og rask levering.
  • Tillitsstjenesteleverandører: Tilbyr tjenester som sikrer elektroniske transaksjoner.
  • Leverandører av offentlige elektroniske kommunikasjonsnettverk: Tilbyr nettverkstjenester for offentlig kommunikasjon.
  • Leverandører av offentlig tilgjengelige elektroniske kommunikasjonstjenester: Tilbyr tjenester for offentlig kommunikasjon.
  • Leverandører av administrerte tjenester: Tilbyr tjenester knyttet til installasjon, styring, drift eller vedlikehold av IKT-produkter og systemer.
  • Leverandører av administrerte sikkerhetstjenester: Tilbyr tjenester relatert til håndtering av cybersikkerhetsrisikoer.


 

Offentlig forvaltning

  • Offentlige forvaltningsenheter på sentralt nivå: Definert av en medlemsstat i henhold til nasjonal lovgivning.
  • Offentlige forvaltningsenheter på regionalt nivå: Definert av en medlemsstat i henhold til nasjonal lovgivning.

Romvirksomhet

  • Operatører av bakkebasert infrastruktur: Eies, administreres og drives av medlemsstater eller private aktører for å støtte levering av rombaserte tjenester

Viktige sektorer

Post- og budtjenester

  • Nasjonale postselskaper: Selskaper som leverer post- og pakke tjenester på nasjonalt nivå.
  • Private kurérselskaper: Virksomheter som tilbyr ekspresslevering og logistikktjenester.
  • Logistikkleverandører: Selskaper som håndterer distribusjon og transport av varer.

Avfallshåndtering

  • Avfaldshåndtering i kommunene: Både kommunale og offentlige virksomheter
  • Avfallsstasjoner
  • Forbrenningsanlegg
     

Produksjon, behandling og distribusjon av kjemikalier

  • Distribusjonsselskaper: Virksomheter som håndterer transport og lagring av kjemikalier.​
  • Behandlingsanlegg: Anlegg som behandler eller resirkulerer kjemikalier, inkludert farlig avfall.​
  • Leverandører til kritisk infrastruktur: Selskaper som leverer kjemikalier til sektorer som energi, vannforsyning eller helse​.
  • Kjemiske fabrikker: hvor det produseres kjemikalier.


 

Matproduksjon, prosessering og distribusjon

  • Matvarekjeder
  • Dirstributører av mat
  • Produksjon av mat, eksempelvis større gårder, slakterier,og fabrikker der mat produseres.

Digitale tjenester

  • Leverandører av nettbaserte markedsplasser: Selskaper som tilbyr plattformer for kjøp og salg av varer og tjenester på nettet.
  • Leverandører av nettbaserte søkemotorer: Selskaper som tilbyr tjenester for å søke etter informasjon på internett.
  • Leverandører av sosiale nettverkstjenester: Selskaper som tilbyr plattformer for sosiale interaksjoner og nettverksbygging.

Forskning

  • Universiteter og høyskoler: Spesielt de med forskningsprogrammer innen teknologi, helse, energi, og andre kritiske sektorer.
  • Forskningsinstitutter: Institusjoner som deltar i prosjekter med betydning for nasjonal sikkerhet eller samfunnskritiske funksjoner.
  • Teknologisentre: Sentre som utvikler eller tester teknologi som kan påvirke kritisk infrastruktur.
  • Bioteknologiselskaper: Virksomheter som forsker på og utvikler bioteknologiske løsninger med potensial for samfunnspåvirkning

Produksjon av utstyr og maskiner

  • Produsenter av medisinsk utstyr: Selskaper som lager utstyr brukt i diagnose, behandling og overvåking av pasienter.
  • Leverandører av kritiske komponenter: Virksomheter som produserer viktige deler eller teknologi for medisinsk utstyr.
  • Distribusjonsnettverk: Selskaper som håndterer logistikk og levering av medisinsk utstyr til helsevesenet.
  • Produsenter av elektroniske komponenter: Selskaper som lager viktige deler for IT-systemer og nettverksinfrastruktur.
  • Datautstyrsprodusenter: Virksomheter som produserer maskinvare brukt i kritiske IT-systemer.
  • Ortopediske produktprodusenter: Selskaper som lager medisinsk utstyr som er essensielt for helsevesenet
  • Produsenter av elektrisk utstyr: Selskaper som lager komponenter og systemer brukt i kritisk infrastruktur, som energiforsyning og transport.
  • Leverandører til energisektoren: Virksomheter som produserer utstyr for kraftproduksjon, distribusjon og styringssystemer.
  • Produsenter av sikkerhetskritiske systemer: Selskaper som lager utstyr for overvåking og kontroll av kritiske nettverk.
  • Produsenter av industrielle maskiner: Selskaper som lager maskiner brukt i kritiske sektorer som energi, transport og helse.
  • Leverandører til kritisk infrastruktur: Virksomheter som produserer utstyr for vedlikehold og drift av samfunnskritiske tjenester.
  • Produsenter av automatiseringsutstyr: Selskaper som lager teknologi for styring og overvåking av industrielle prosesser

Produksjon av transportutstyr

  • Produsenter av kjøretøy: Selskaper som lager motorvogner og tilhørende utstyr som er essensielle for transportinfrastruktur.
  • Leverandører av kritiske komponenter: Virksomheter som produserer deler som er viktige for kjøretøyenes sikkerhet og funksjonalitet.
  • Produsenter av transportutstyr: Selskaper som lager tilhengere og semitrailere brukt i logistikk og varetransport.
  • Produsenter av luftfartsutstyr: Selskaper som lager deler og systemer for fly og helikoptre.
  • Produsenter av skipsutstyr: Virksomheter som lager utstyr for skip og maritime operasjoner.
  • Produsenter av jernbaneutstyr: Selskaper som lager tog og tilhørende infrastrukturkomponenter

Vår foreslåtte vei for å oppnå og opprettholde etterlevelse

Juridisk vurdering

Å gjennomføre en juridisk vurdering er avgjørende for å navigere det komplekse digitale landskapet og sikre samsvar med NIS- og NIS2-direktivene. Det er viktig å dokumentere denne vurderingen for å avgjøre om virksomheten faller inn under direktivenes virkeområde. Dette inkluderer å forstå hvordan direktivene påvirker selskapet, og hvilke deler av organisasjonen som er berørt eller bør prioriteres.

Det er også viktig å dokumentere vurderingen selv om virksomheten ligger i skjæringspunktet og faller på utsiden av lovens virkeområde. Dette gir klarhet og sikrer at virksomheten er forberedt på eventuelle fremtidige endringer i regelverket, samt beskytter mot misforståelser eller feilvurderinger.

Gap-analyse

For å sikre samsvar med NIS/NIS2-direktivene er det viktig å gjennomføre en grundig gap-analyse. Denne analysen identifiserer hvor virksomheten står i forhold til de spesifikke kravene i NIS/NIS2, og avdekker eventuelle avvik som må adresseres. En strukturert tilnærming som gir en klar oversikt over nødvendige tiltak for å oppnå samsvar, samt en tydelig plan for å sikre størst mulig forretningsverdi av arbeidet. Det er avgjørende å se arbeidet i kontekst av virksomhetens behov, slik at tiltakene for å lukke identifiserte gap gir mening fra et forretningsperspektiv. Dette bør baseres på virksomhetens risikoprofil, verdier og eksterne trusselnivå. Resultatene gir et solid grunnlag for å etablere en tydelig plan for videre arbeid.

Implementering

En vellykket implementering er avgjørende for å styrke virksomhetens digitale robusthet og sikre overholdelse av NIS/NIS2-kravene. Dette innebærer å etablere robuste sikkerhetstiltak, forbedre risikostyring og sikre kontinuerlig overvåking av nettverk og informasjonssystemer.

En effektiv implementering gir et solid grunnlag for å tilpasse tiltakene, slik at virksomheten er godt rustet til å rapportere hendelser innen de fastsatte fristene. Implementeringen vil også sikre et godt styringssystem som legger til rette for kontinuerlig forbedring, overvåking og kontroll. Dette gir ledelsen trygghet i at virksomheten er godt forberedt når myndighetene ønsker å gjennomføre tilsyn, og bidrar til å opprettholde tillit hos kunder og partnere.

Opprettholdelse av digital sikkerhet gjennom kontinuerlig forbedring

For å sikre at virksomheten har et levende styringssystem, er det avgjørende med en kontinuerlig prosess for evaluering og forbedring av sikkerhetstiltak. Dette innebærer regelmessige gjennomganger for å sikre at tiltakene er effektive og i samsvar med gjeldende NIS/NIS2-krav.

Virksomheten bør gjennomføre årlige vurderinger av omfang, modenhet og tiltak for å fange opp endringer og nye utfordringer. Ved å justere sikkerhetsprosedyrer etter behov, kan bedriften bedre håndtere risikoer og tilpasse seg endringer i regelverket. Dette bidrar til å opprettholde en høy standard for digital sikkerhet og styrker tilliten blant kunder og leverandører.

Ta NIS2-testen


Digitalsikkerhetsloven gjelder for virksomheter med over 50 ansatte og/eller en årlig omsetning på 100 millioner kroner, men det finnes flere unntak. Når NIS2-direktivet blir implementert i norsk lov, vil flere virksomheter bli underlagt disse kravene. Tilbydere av digitale tjenester som er avgjørende for å opprettholde sentrale samfunnsfunksjoner kan også bli berørt, selv med færre ansatte og lavere omsetning. Ta testen for å se om NIS2-direktivet påvirker din virksomhet!

 


Er du klar for NIS, NIS2 eller DSL?

Vi ringer deg gjerne for en uformell prat.

Kontakt oss

Trenger du hjelp med cyber?

Vi kan hjelpe deg med alt fra krisehåndtering og penetrasjonstesting til tilgangsstyring, DORA og NIS2.

Våre tjenester

Torkil Hindberg

Partner | Risk Advisory Services, Oslo, PwC Norway

952 60 567

Kontakt meg

Eldar Lorentzen Lillevik

Partner | Cyber Security, Oslo, PwC Norway

951 02 435

Kontakt meg

Eirik Horpestad

Director | Assurance, Oslo, PwC Norway

476 18 368

Kontakt meg

Gunnar Salberg

Director | Assurance, PwC Norway

456 17 598

Kontakt meg

Om oss Kontakt Presse Event Innsikt Tjenester Kontorer Karriere Alumni

© 2020 - 2025 PwC. Alle rettigheter forbeholdt. PwC refererer til PwC-nettverket og/eller en eller flere av dets medlemsfirmaer, som hver enkelt er en egen juridisk enhet. Vennligst se www.pwc.com/structure for mer informasjon.