Norge står foran sitt største løft innen digital regulering på et tiår. Etter planen trer de NIS2-tilpassede endringene i digitalsikkerhetsloven i kraft 1. juli 2026, med en registreringsfrist for berørte virksomheter 1. oktober 2026. Resultatet er dramatisk: antallet norske virksomheter som omfattes av lovpålagte krav til digital sikkerhet, vokser fra rundt 600 til omtrent 5.000. NIS2 i Norge er dermed ikke lenger et regelverk for noen få kraftselskaper og teleaktører, men en plikt som treffer en stor del av norsk næringsliv og offentlig sektor.
For ledere betyr dette en konkret risiko. Brudd på loven kan utløse overtredelsesgebyr på opptil 4 prosent av virksomhetens årsomsetning. Offentlige virksomheter risikerer gebyr på opptil 25 ganger folketrygdens grunnbeløp, rundt 3 millioner kroner. Samtidig krever loven varsling av alvorlige hendelser innen 24 timer. Denne analysen går gjennom hva NIS2 i Norge faktisk innebærer, hvilke sektorer som rammes, hva bøtene betyr for markedet, og hvordan Norge ligger an sammenlignet med Sverige, Finland og Danmark.
NIS2 i Norge: dette skjer 1. juli 2026
NIS2-direktivet (Network and Information Security Directive 2, EU-direktiv 2022/2555) er EUs viktigste rammeverk for cybersikkerhet. EUs medlemsland hadde frist til 17. oktober 2024 med å gjennomføre direktivet i nasjonal rett. Norge står utenfor EU, men innenfor EØS. Det betyr at NIS2 først må innlemmes i EØS-avtalen, og deretter gjennomføres i norsk lov. Denne to-trinns-prosessen forklarer hvorfor Norge ligger etter EU-landene.
Grunnmuren er allerede på plass. Digitalsikkerhetsloven, formelt lov om digital sikkerhet, ble vedtatt i Stortinget i desember 2023 og trådte i kraft 1. oktober 2025. Loven gjennomførte det opprinnelige NIS1-regelverket. NIS2 representerer en kraftig utvidelse av denne loven, både i omfang, krav og sanksjoner. Etter planen trer de NIS2-tilpassede endringene i kraft 1. juli 2026.
Den praktiske konsekvensen for en norsk bedriftsleder er enkel å oppsummere. Fra sommeren 2026 må langt flere virksomheter etablere styringssystemer for digital sikkerhet, gjennomføre risikovurderinger, sikre hendelseshåndtering og varsle myndighetene raskt ved alvorlige cyberangrep. De som ikke er klare innen registreringsfristen 1. oktober 2026, risikerer både tilsyn og gebyr fra og med de første kontrollene, som etter planen starter i 2027.
Fra 600 til 5.000 virksomheter: det nye omfanget
Det mest oppsiktsvekkende tallet i hele NIS2-overgangen er omfanget. Under det gamle regimet omfattet digitalsikkerhetsloven rundt 600 norske virksomheter, hovedsakelig store aktører innen energi, transport, bank, helse, vannforsyning og digital infrastruktur. NIS2-utvidelsen løfter dette tallet til omtrent 5.000 virksomheter. Det er en åttedobling.
Utvidelsen skjer langs to akser. For det første legger NIS2 til flere sektorer, blant annet avløp og avfallshåndtering, post- og budtjenester, produksjon av visse varer, romfart, offentlig forvaltning og digitale tilbydere. For det andre senkes terskelen for hvem som regnes som omfattet. Loven bruker en størrelsesgrense knyttet til EUs definisjon: virksomheter med færre enn 50 ansatte og under 100 millioner kroner i årlig omsetning eller balanse faller som hovedregel utenfor, med mindre tilsynsmyndigheten bestemmer noe annet.
Det betyr at mellomstore bedrifter, som tidligere aldri tenkte på seg selv som kritisk infrastruktur, nå plutselig faller innenfor. En mellomstor matprodusent, et avfallsselskap, en leverandør av administrerte IT-tjenester eller en regional vannverkseier kan alle havne på listen. For mange av disse virksomhetene er dette første gang de møter et lovpålagt krav om formelle styringssystemer for digital sikkerhet. Kompetansegapet er reelt, og fristene er korte.
Tidslinjen for digitalsikkerhetsloven og NIS2
For å forstå hvor Norge står i juni 2026, hjelper det å se hele forløpet samlet. Tabellen under viser de viktigste milepælene fra EUs vedtak til de første norske tilsynene.
| Dato | Milepæl | Betydning |
|---|---|---|
| Desember 2022 | NIS2-direktivet (2022/2555) trer i kraft i EU | EUs nye rammeverk for cybersikkerhet vedtas |
| 17. oktober 2024 | Frist for EU-land til å gjennomføre NIS2 | Medlemsland må ha direktivet i nasjonal rett |
| Desember 2023 | Digitalsikkerhetsloven vedtas i Stortinget | Norge gjennomfører det opprinnelige NIS-regelverket |
| 1. oktober 2025 | Digitalsikkerhetsloven trer i kraft | Rundt 600 virksomheter omfattes |
| 20. januar 2026 | EU-kommisjonen foreslår forenklinger i NIS2 | Berører 28.700 selskaper i EU |
| 1. juli 2026 | NIS2-tilpassede endringer trer i kraft (planlagt) | Omfanget utvides mot 5.000 virksomheter |
| 1. oktober 2026 | Registreringsfrist for berørte virksomheter | Virksomheter må melde seg til tilsynet |
| Fra 2027 | Første tilsyn og kontroller fra NSM og sektormyndigheter | Sanksjoner kan ilegges ved brudd |
Tidslinjen viser et viktig poeng: Norge gjennomfører NIS2 nesten to år etter EUs frist. Det gir norske virksomheter et lite pusterom, men også en falsk trygghet. Trusselbildet venter ikke på lovgivningen. Virksomheter som utsetter arbeidet til loven formelt trer i kraft, vil oppdage at både risikovurderinger, leverandørgjennomganger og styringssystemer tar måneder å bygge opp på en troverdig måte.
Hvilke sektorer omfattes av NIS2-direktivet
NIS2 deler omfattede virksomheter i to kategorier: vesentlige virksomheter (essential entities) og viktige virksomheter (important entities). Skillet handler om hvor alvorlige konsekvensene blir hvis virksomheten settes ut av spill, og det avgjør hvor strenge sanksjonene og tilsynet blir. Vesentlige virksomheter står overfor de hardeste reaksjonene.
| Kategori | Sektorer | Tilsynsregime |
|---|---|---|
| Vesentlige virksomheter | Energi, transport, bank, finansmarkedsinfrastruktur, helse, drikkevann, avløp, digital infrastruktur, IKT-tjenestestyring, offentlig forvaltning, romfart | Proaktivt tilsyn, strengeste gebyrnivå |
| Viktige virksomheter | Post og bud, avfallshåndtering, kjemikalier, matproduksjon og -distribusjon, produksjon (medisinsk utstyr, elektronikk, maskiner, kjøretøy), digitale tilbydere, forskning | Reaktivt tilsyn, noe lavere gebyrnivå |
Listen avslører hvor bredt NIS2 favner. Energi, transport, bank, helse, drikkevann og digital infrastruktur regnes som vesentlige sektorer der et vellykket angrep kan få umiddelbare fysiske konsekvenser. Hendelsen ved en norsk vannkraftdam i april 2025, der angripere åpnet en luke og slapp ut rundt 500 liter vann i sekundet i fire timer, er nettopp den typen scenario regelverket forsøker å forhindre.
Et viktig poeng for norske selskaper er at også leverandørkjeden trekkes inn. NIS2 krever at omfattede virksomheter vurderer sikkerheten hos sine leverandører og tjenestepartnere. En liten programvareleverandør som i seg selv faller under terskelen, kan likevel måtte dokumentere sikkerheten sin fordi en kunde i energisektoren krever det. Slik forplanter kravene seg langt utover de 5.000 direkte omfattede virksomhetene.
Bøter på opptil 4 prosent: sanksjonene i digitalsikkerhetsloven
Det er sanksjonene som gir NIS2 i Norge tyngde i styrerommet. Tilsynsmyndigheten kan ilegge overtredelsesgebyr på opptil 4 prosent av virksomhetens samlede årlige omsetning. For et selskap med en milliard kroner i omsetning betyr det et tak på 40 millioner kroner. Nivået er bevisst lagt tett opptil GDPR-sanksjonene, slik at digital sikkerhet skal få samme oppmerksomhet i ledelsen som personvern fikk etter 2018.
For offentlige virksomheter, som sjelden har en omsetning å regne prosenter av, gjelder et annet tak. Her kan gebyret settes til opptil 25 ganger folketrygdens grunnbeløp, som tilsvarer rundt 3 millioner kroner. Det er et betydelig beløp for en kommune eller et helseforetak med stramt budsjett, og det signaliserer at offentlig sektor ikke slipper unna kravene.
NIS2 introduserer i tillegg et personlig ansvar for ledelsen som er nytt i norsk sammenheng. Styret og toppledelsen kan holdes ansvarlig for at virksomheten oppfyller sikkerhetskravene. De skal godkjenne risikotiltak og delta i opplæring. Dette flytter cybersikkerhet fra IT-avdelingen til styrebordet. Konsekvensen er at digital sikkerhet ikke lenger kan delegeres bort som et teknisk anliggende, men blir en del av ledelsens samlede risikoansvar.
Rapporteringsplikt: 24, 72 timer og 30 dager
Et av de mest konkrete kravene i NIS2 er rapporteringsplikten ved alvorlige hendelser. Loven bygger på en trappetrinnsmodell med tre frister, og hver frist krever stadig mer detaljert informasjon. Tidslinjen begynner i det øyeblikket virksomheten blir klar over en hendelse med vesentlig påvirkning på tjenestene.
- Innen 24 timer: En tidlig varsling til tilsynsmyndigheten med en første vurdering av hendelsen, inkludert om den mistenkes å være forårsaket av en ulovlig eller ondsinnet handling.
- Innen 72 timer: En oppdatert hendelsesrapport med en mer fullstendig vurdering av alvorlighetsgrad, virkning og eventuelle indikatorer på kompromittering.
- Innen 30 dager: En sluttrapport som beskriver hendelsen i detalj, årsaken, hvilke tiltak som er iverksatt og hvordan virksomheten håndterte konsekvensene.
For mange virksomheter er 24-timersfristen den vanskeligste. Under et pågående angrep er informasjon ofte mangelfull, systemer kan være nede, og IT-teamet jobber på spreng for å begrense skaden. Å samtidig produsere en korrekt varsling krever at virksomheten har øvd på prosessen på forhånd. De som først leter etter riktig kontaktpunkt og malverk når krisen er et faktum, taper verdifulle timer. Et innøvd hendelseshåndteringsapparat blir derfor like viktig som de tekniske sikringstiltakene.
NSM som tilsynsmyndighet og nasjonalt kontaktpunkt
Nasjonal sikkerhetsmyndighet (NSM) står sentralt i den norske gjennomføringen. I modellen som beskrives for digitalsikkerhetsloven, fungerer NSM som nasjonalt kontaktpunkt for NIS-samarbeidet og som nasjonalt CSIRT, altså det operative responsmiljøet for cyberhendelser. Det er hit virksomheter skal varsle, og det er NSM som koordinerer med tilsvarende myndigheter i EU og Norden.
Selve tilsynet blir i praksis delt mellom NSM og sektorvise myndigheter. Energisektoren, finanssektoren, helsesektoren og andre har allerede egne fagmyndigheter med tilsynsansvar, og NIS2 bygger videre på denne sektormodellen. For en omfattet virksomhet betyr det at man kan møte både sin sektormyndighet og NSM i ulike sammenhenger. Klarhet i hvem som har ansvar for hva, blir derfor en av de praktiske utfordringene i 2026 og 2027.
NSM har de siste årene advart tydelig om et forverret digitalt risikobilde, særlig fra statlige aktører rettet mot kritisk infrastruktur. NIS2 gir myndigheten et sterkere juridisk verktøy enn tidligere. Der NSM før i stor grad var avhengig av råd og veiledning, gir loven nå hjemmel til å stille krav, føre tilsyn og ilegge gebyr. Det endrer dynamikken mellom myndighet og virksomhet fra anbefaling til pålegg.
Markedseffekt: hva NIS2 betyr for norsk næringsliv
Når omfanget åttedobles, skapes det et marked. Etterspørselen etter cybersikkerhetstjenester, juridisk rådgivning, styringssystemer og kompetanse vil øke kraftig i Norge gjennom 2026 og 2027. Konsulenthus, advokatfirmaer og sikkerhetsleverandører posisjonerer seg allerede for en bølge av virksomheter som trenger hjelp til å forstå om de er omfattet, og hva som kreves.
Kostnadene er reelle. En mellomstor virksomhet som starter fra et lavt modenhetsnivå, må regne med investeringer i alt fra risikostyringsverktøy og logging til opplæring og ekstern rådgivning. Tabellen under skisserer typiske kostnadsdrivere virksomheter møter i NIS2-arbeidet. Tallene er illustrasjoner på kategorier, ikke offisielle satser, og varierer sterkt med størrelse og utgangspunkt.
| Kostnadsdriver | Hva det omfatter | Typisk karakter |
|---|---|---|
| Gap-analyse og kartlegging | Vurdering av om virksomheten er omfattet, og av nåsituasjonen | Engangskostnad, ofte ekstern bistand |
| Styringssystem for digital sikkerhet | Policyer, rutiner, risikovurderinger, dokumentasjon | Oppstart pluss løpende vedlikehold |
| Teknisk sikring | Logging, deteksjon, tilgangsstyring, segmentering | Investering pluss driftskostnad |
| Hendelseshåndtering og varsling | Beredskapsplan, øvelser, kontaktpunkt mot NSM | Oppstart pluss årlige øvelser |
| Leverandøroppfølging | Sikkerhetskrav og kontroll i leverandørkjeden | Løpende prosess |
| Opplæring av ledelse og ansatte | Styreopplæring, bevisstgjøring, fagkompetanse | Årlig kostnad |
For norsk næringsliv samlet er nettoeffekten todelt. På kort sikt påfører NIS2 en betydelig administrativ og økonomisk byrde, særlig for de mange mellomstore virksomhetene som ikke har bygget sikkerhetskompetanse fra før. På lengre sikt hever regelverket sikkerhetsnivået i hele økonomien og reduserer sannsynligheten for de store, kostbare hendelsene. Spørsmålet er om norske virksomheter rekker å bygge modenheten før trusselaktørene utnytter gapet.
Norden i sammenligning: hvordan Norge ligger an
Norge er ikke alene om å slite med NIS2-gjennomføringen, men sammenligningen med nabolandene er likevel avslørende. En analyse fra DNV, «How cyber resilient are the Nordics 2026», registrerte 21 cyberhendelser som rammet norske virksomheter i 2025. Til sammenligning observerte rapporten 60 hendelser i Sverige, 44 i Finland og 41 i Danmark. Norge fremstår altså som mindre utsatt i absolutte tall, men forskjellene henger også sammen med markedsstørrelse og rapporteringskultur.
| Land | Cyberhendelser mot virksomheter (2025) | NIS2-status |
|---|---|---|
| Sverige | 60 | Gjennomfører NIS2 som EU-medlem |
| Finland | 44 | Gjennomfører NIS2 som EU-medlem |
| Danmark | 41 | Gjennomfører NIS2 som EU-medlem |
| Norge | 21 | Gjennomfører via EØS, planlagt kraft 1. juli 2026 |
Den viktigste strukturelle forskjellen er tempo. Sverige, Finland og Danmark er bundet av EUs frist og har kommet lenger i gjennomføringen, selv om også flere EU-land har vært forsinket. Norge gjennomfører via EØS og ligger derfor et stykke bak. Det gir norske virksomheter mer tid, men også en konkurransemessig ulempe: nordiske kunder og partnere som allerede stiller NIS2-krav, forventer at norske leverandører holder samme nivå, uavhengig av når den norske loven formelt trer i kraft.
Et felles nordisk trekk er at trusselbildet drives stadig mer av avanserte og delvis AI-støttede angrep. Nordiske sikkerhetsmiljøer rapporterer at de håndterer presset relativt godt, men advarer mot å undervurdere tempoet i utviklingen. Den som leser de norske tallene som et tegn på at Norge er trygt, leser dem feil. Lavere antall registrerte hendelser betyr ikke nødvendigvis færre forsøk, men kan like gjerne gjenspeile at færre hendelser blir oppdaget og rapportert.
Historisk kontekst: fra sikkerhetsloven til digital sikkerhet
NIS2 kommer ikke til et tomt landskap. Norge har lang tradisjon for sikkerhetsregulering, fra sikkerhetsloven som verner nasjonale sikkerhetsinteresser, til personopplysningsloven og GDPR som regulerer personvern. Digitalsikkerhetsloven fyller et hull mellom disse: den regulerer den operative driftssikkerheten i samfunnskritiske digitale tjenester, uavhengig av om det dreier seg om statshemmeligheter eller persondata.
Behovet ble understreket av hendelsen ved en norsk vannkraftdam i april 2025. Ifølge World Economic Forums Global Cybersecurity Outlook 2026 åpnet angripere en luke ved dammen og slapp ut rundt 500 liter vann i sekundet i fire timer. Rapporten beskriver hendelsen som en talende illustrasjon på hvor skjør den sammenkoblede infrastrukturen er. Et digitalt angrep fikk altså en fysisk konsekvens i den virkelige verden, akkurat den typen risiko NIS2 forsøker å adressere.
Mønsteret gjentar seg på tvers av Norden og Europa. Angrep mot kraft, vann, helse og transport har gått fra å være teoretiske skrekkscenarier til dokumenterte hendelser. Det er denne utviklingen lovgiverne i Brussel og Oslo svarer på. NIS2 er et forsøk på å heve gulvet for digital sikkerhet i hele samfunnet, slik at ett enkelt svakt ledd ikke kan velte en hel forsyningskjede.
Ekspertene: hva NSM, DNV, WEF og EU sier
Vurderingene fra de mest sentrale aktørene tegner et samstemt bilde: trusselen vokser, og regelverket henger etter virkeligheten. Følgende analyser bygger på offentlige rapporter og dokumenterte posisjoner fra navngitte institusjoner.
«Hendelsen er en talende illustrasjon på hvor skjør den sammenkoblede infrastrukturen er.»
World Economic Forum, Global Cybersecurity Outlook 2026, om dam-angrepet i Norge
World Economic Forum bruker den norske dam-hendelsen som et hovedeksempel på at cyberrisiko nå krysser grensen fra digital kompromittering til fysiske konsekvenser. Det er presist denne typen scenario, der et tastetrykk kan flytte vann eller slå av strøm, som gjør NIS2 mer enn et papirkrav.
DNVs nordiske analyse registrerte 21 cyberhendelser mot norske virksomheter i 2025, mot 60 i Sverige, 44 i Finland og 41 i Danmark.
DNV, «How cyber resilient are the Nordics 2026»
DNV påpeker at de nordiske landene håndterer det økende presset relativt godt, men advarer mot å hvile på laurbærene. For Norge er budskapet at lavere hendelsestall ikke er et frikort. Modenheten i de tusenvis av nye virksomhetene som nå omfattes, er fortsatt uprøvd.
20. januar 2026 foreslo EU-kommisjonen målrettede forenklinger i NIS2 for å gi tydeligere regler og lette etterlevelsen, et forslag som berører 28.700 selskaper, inkludert 6.200 mikro- og småbedrifter.
EU-kommisjonen, forslag om endringer i NIS2
EU-kommisjonens egen erkjennelse av at regelverket må forenkles, sier mye. Selv EU innser at byrden på mindre virksomheter er stor. For norske aktører som ennå ikke har begynt, er dette samtidig en påminnelse: kjernekravene består, uansett hvordan detaljene justeres.
Nasjonal sikkerhetsmyndighet (NSM) er nasjonalt kontaktpunkt og nasjonalt CSIRT, og kan etter loven føre tilsyn og ilegge overtredelsesgebyr på opptil 4 prosent av årsomsetningen.
Nasjonal sikkerhetsmyndighet, om digitalsikkerhetsloven
NSMs nye rolle er den mest konkrete endringen for norske virksomheter. Myndigheten går fra rådgiver til tilsynsorgan med sanksjonsmakt. Det er denne forskjellen, fra anbefaling til pålegg, som vil prege etterlevelsesarbeidet i 2026 og 2027.
Fem spådommer for NIS2 i Norge mot 2027
Basert på dagens status, EUs erfaringer og det nordiske trusselbildet, peker utviklingen i fem retninger gjennom 2026 og 2027.
- Et stort etterlevelsesgap ved kraftdato. Når endringene trer i kraft 1. juli 2026, vil et flertall av de nye virksomhetene fortsatt ikke ha et modent styringssystem på plass. Erfaringene fra EU-land som bommet på fristen i 2024, tilsier at registreringsfristen 1. oktober 2026 blir krevende å nå for mange.
- Leverandørkrav driver tempoet mer enn loven. De fleste virksomheter vil oppleve at det faktiske presset kommer fra store kunder som stiller NIS2-krav i kontrakter, ikke fra tilsynet. Markedet håndhever raskere enn myndighetene.
- De første gebyrene blir signalsaker. NSM og sektormyndighetene vil prioritere noen få tydelige saker for å sette presedens, snarere enn å gi bøter i bredt omfang fra dag én. De første reaksjonene blir varslede og pedagogiske.
- Kompetansemangelen blir flaskehalsen. Norge mangler sikkerhetskompetanse, og 5.000 virksomheter som samtidig leter etter rådgivere, presser opp priser og ventetider. Konsulentmarkedet blir overopphetet i 2026.
- Styreansvaret endrer prioriteringen. Det personlige ledelsesansvaret løfter digital sikkerhet permanent opp på styrenes agenda. Innen 2027 blir cybersikkerhet en fast post i norsk styrearbeid, på linje med finansiell risiko og HMS.
Slik forbereder virksomheter seg på NIS2
For en virksomhet som mistenker at den blir omfattet, er det første steget å avklare nettopp det. Deretter følger en strukturert oppbygging av styring, tekniske tiltak og beredskap. En praktisk rekkefølge ser slik ut.
- Avklar om virksomheten er vesentlig eller viktig under NIS2, basert på sektor og størrelse.
- Gjennomfør en gap-analyse mot kravene i digitalsikkerhetsloven.
- Etabler et styringssystem for digital sikkerhet, med policyer og dokumenterte risikovurderinger.
- Innfør tekniske grunntiltak: logging, deteksjon, tilgangsstyring, segmentering og sikkerhetskopiering.
- Bygg en beredskapsplan med innøvde varslingsrutiner mot NSM innenfor 24-, 72- og 30-dagersfristene.
- Still sikkerhetskrav til leverandører og dokumenter oppfølgingen.
- Gi ledelse og styre opplæring, og forankre ansvaret formelt.
Et godt utgangspunkt for det tekniske grunnarbeidet er anerkjente rammeverk. Mange norske virksomheter bygger på NSMs grunnprinsipper for IKT-sikkerhet eller internasjonale standarder som ISO 27001. Poenget er ikke å finne opp hjulet, men å gjøre sikkerhet til en dokumentert, etterprøvbar prosess. En enkel sjekkliste for modenhet kan se slik ut:
NIS2-modenhet, hurtigsjekk:
[ ] Vet vi om vi er omfattet (vesentlig/viktig)?
[ ] Har vi en oppdatert risikovurdering?
[ ] Finnes et dokumentert styringssystem for digital sikkerhet?
[ ] Logger og overvaaker vi kritiske systemer?
[ ] Har vi en testet beredskaps- og varslingsplan (24/72/30)?
[ ] Stiller vi sikkerhetskrav til leverandoerer?
[ ] Er ledelse og styre opplaert og ansvarlig?Virksomheter som krysser av på alle disse punktene før sommeren 2026, vil møte tilsynsregimet fra en posisjon av styrke. De som starter etter at loven trer i kraft, vil bruke 2027 på å ta igjen et forsprang konkurrentene allerede har bygget.
Ofte stilte spørsmål om NIS2 i Norge
Når trer NIS2 i kraft i Norge?
De NIS2-tilpassede endringene i digitalsikkerhetsloven trer etter planen i kraft 1. juli 2026, med registreringsfrist for berørte virksomheter 1. oktober 2026. Grunnloven, digitalsikkerhetsloven, trådte i kraft allerede 1. oktober 2025.
Hvor mange norske virksomheter omfattes av NIS2?
Omfanget utvides fra rundt 600 virksomheter under det opprinnelige regelverket til omtrent 5.000 virksomheter etter NIS2-tilpasningen. Utvidelsen skyldes både flere sektorer og en lavere terskel for hvem som regnes som omfattet.
Hvor store kan bøtene bli?
Tilsynsmyndigheten kan ilegge overtredelsesgebyr på opptil 4 prosent av virksomhetens samlede årlige omsetning. For offentlige virksomheter er taket satt til opptil 25 ganger folketrygdens grunnbeløp, rundt 3 millioner kroner.
Hvilke frister gjelder for å varsle hendelser?
Modellen har tre trinn: en tidlig varsling innen 24 timer, en oppdatert hendelsesrapport innen 72 timer og en sluttrapport innen 30 dager. Fristene starter når virksomheten blir klar over en hendelse med vesentlig påvirkning.
Hvorfor ligger Norge etter EU på NIS2?
Norge står utenfor EU, men innenfor EØS. NIS2 må derfor først innlemmes i EØS-avtalen og deretter gjennomføres i norsk lov. Denne to-trinns-prosessen gjør at Norge ligger bak EUs frist 17. oktober 2024.
Hvem fører tilsyn med digitalsikkerhetsloven?
Nasjonal sikkerhetsmyndighet (NSM) er nasjonalt kontaktpunkt og nasjonalt CSIRT. Selve tilsynet deles i praksis mellom NSM og sektorvise fagmyndigheter innen energi, finans, helse og andre områder.
Gjelder NIS2 også små bedrifter?
Som hovedregel faller virksomheter med færre enn 50 ansatte og under 100 millioner kroner i omsetning eller balanse utenfor, med mindre tilsynsmyndigheten bestemmer noe annet. Mindre leverandører kan likevel måtte dokumentere sikkerhet fordi omfattede kunder krever det.
Related Coverage
- Cyberangrep Norge: AI-Trussel, 21 Angrep [2026]
- Cyberangrep Bremanger: 500 l/s i 4 timer [2026]
- Datalekkasjer: hvordan de skjer og hvordan du beskytter deg
- HTTPS og TLS: slik beskyttes forbindelsen din på nett
- Passordsikkerhet: sterke passord, hashing og tofaktor
- Phishing: hvordan svindel på nett fungerer og kjennes igjen
- Nettsikkerhet: datalekkasjer, passord, HTTPS og phishing
