Hjem

NIS2-direktivet: Dette må norske virksomheter vite

Cybersikkerhet NIS2

NIS2-direktivet: Dette må norske virksomheter vite

NIS2-direktivet, som ble vedtatt av EU i desember 2022, innebær en betydelig oppdatering av det opprinnelige NIS-direktivet fra 2016. Hovedformålet er å styrke cybersikkerheten i kritiske sektorer og bedre beskytte mot stadig mer avanserte trusler.

Alexander MollanPartner
Marte Wellerop Reed
20.06.2025 22:00

Selv om EU-landene var pålagt å implementere NIS2 innen oktober 2024, er direktivet per juni 2025 ennå ikke innført i norsk lov. Norske virksomheter bør likevel begynne forberedelsene nå for å møte de kommende kravene. 

For en oversikt over implementeringen av NIS2 i andre europeiske land, klikk her

Hva er NIS2, og hvem gjelder det for? 

Når NIS2 implementeres i Norge, vil det innføre strengere krav til cybersikkerhet for virksomheter innen sektorer som energi, helse, transport, finansielle tjenester og digital infrastruktur. Direktivet vil gjelde for mellomstore og store virksomheter i disse sektorene, med strengere forpliktelser for aktører som klassifiseres som «vesentlige». 

De viktigste pliktene under NIS2 er: 

  • Risikostyring: Virksomheter må iverksette tekniske og organisatoriske tiltak for å håndtere cybersikkerhetsrisikoer på en effektiv måte. 
  • Hendelsesrapportering: Betydelige cybersikkerhetshendelser må rapporteres til relevante myndigheter innen korte frister – trolig innen 24 timer. 
  • Sikkerhet i verdikjeden: Virksomheter må sikre at leverandører og tjenestetilbydere oppfyller definerte krav til cybersikkerhet. 
  • Styring og ansvar: Det må etableres tydelige ansvarsforhold for cybersikkerhet på ledelsesnivå, og styret og ledelsen vil kunne holdes ansvarlige for etterlevelse. 
  • Regelmessige revisjoner: Virksomheter må gjennomføre periodiske risikovurderinger og revisjoner for å sikre kontinuerlig etterlevelse. 

Les mer: NIS2-direktivet (regjeringen.no)

Hvordan kan virksomheter i Norge forberede seg på NIS2-direktivet? 

Selv om NIS2 ennå ikke er implementert i Norge, kan virksomheter ta grep for å forberede seg på direktivets krav: 

  • Hold deg oppdatert på lovgivningen: Følg med på utviklingen knyttet til implementeringen av NIS2 i Norge. Rådfør deg for å forstå hvordan direktivet vil påvirke din virksomhet. 
  • Gjennomfør en cybersikkerhetsanalyse: Vurder nåværende sikkerhetstiltak opp mot de forventede kravene i NIS2. Identifiser eventuelle mangler og lag en plan for å utbedre dem før direktivet blir lov. 
  • Utvikle en plan for hendelseshåndtering: Forbered deg på kravene til rapportering ved å etablere og teste en plan for håndtering av sikkerhetshendelser. Sørg for at teamet ditt er i stand til å oppdage, reagere på og rapportere hendelser effektivt. 
  • Samarbeid med verdikjeden: Jobb tett med leverandører og samarbeidspartnere for å verfisere at deres praksis møter nødvendige sikkerhetsstandarder. Oppdater kontrakter med tydelige krav i tråd med NIS2. 
  • Øk bevisstheten i organisasjonen: Gi opplæring til ansatte og ledelse om cybersikkerhet og de kommende kravene i NIS2. Å bygge en sikkerhetskultur internt vil gjøre overgangen til nye regler smidigere. 

Hvorfor handle nå? 

Selv om det fortsatt er usikkerhet rundt når NIS2 blir innført i norsk lovgivning, kan det være risikabelt å vente. Manglende etterlevelse når direktivet trer i kraft, kan medføre betydelige sanksjoner – inkludert bøter og skade på omdømmet. Tidlig forberedelse gir ikke bare etterlevelse, men styrker også virksomhetens motstandsdyktighet mot trusler og gir et konkurransefortrinn i en stadig mer digital økonomi. 

Hvordan Brækhus kan bistå din virksomhet i overgangen til NIS2-direktivet

I Brækhus er vi spesialister på å veilede virksomheter gjennom komplekse regulatoriske landskap. Vårt team av eksperter følger utviklingen av NIS2 i Norge tett, og vi er klare til å bistå din virksomhet med nødvendige forberedelser. 

Les mer: Brækhus’ ekspertise innen personvern og cybersikkerhet

Vi tilbyr skreddersydde råd og praktiske løsninger, blant annet: 

  • Gjennomføring av modenhets- og etterlevelsesvurderinger
  • Utvikling av planer for hendelseshåndtering
  • Styrking av sikkerheten i leverandørkjeden
  • Opplæring og bevisstgjøringsprogrammer

Ta kontakt med oss i dag for å høre hvordan vi kan bistå din virksomhet i overgangen til NIS2-direktivet og samtidig styrke den digitale sikkerheten. Ved å handle nå, kan din organisasjon ligge i forkant av regelverksendringer og stå sterkere i møte med fremtidens trusselbilde.

Kontakt oss

Navn*
For at vi skal kunne behandle henvendelsen din, må vi lagre og bruke personopplysningene du oppgir i dette skjemaet. Kryss av nedenfor hvis du tillater at vi oppbevarer dine personlige opplysninger til dette formålet.*
This field is for validation purposes and should be left unchanged.

Kontakt

Alexander Mollan
Partner

Marte Wellerop Reed
Senior personvernrådgiver | Advokatfullmektig

    Nytt rammeverk for overføring av personopplysninger til USA

    Nytt rammeverk for overføring av personopplysninger til USA

    Sommerens innføring av Data Privacy Framework markerte en milepæl for overføring av personopplysninger til USA. Mange lurer nå på hvordan det nye rammeverket vil påvirke dataoverføringer fra deres virksomhet. I denne episoden av Lovlytt forklarer personvernekspert og advokatfullmektig Marte Wellerop Tronstad hva en adekvansbeslutning er, og hva det nye rammeverket betyr for bruken av amerikanske skytjenester. Er din virksomhet oppdatert? Programleder er advokat/assosiert partner Ida Brabrand. Produsent Øystein Weibell/Kanonlyd.

    EU-kommisjonen med adekvansbeslutning for USA

    EU-kommisjonen med adekvansbeslutning for USA

    EU-kommisjonen besluttet 10. juli at USA får en såkalt adekvansbeslutning med umiddelbar virkning. Dette er en svært god nyhet for europeiske virksomheter som ønsker å overføre personopplysninger til amerikanske virksomheter. En adekvansbeslutning er en beslutning tatt av EU-kommisjonen om at et land, et område eller en internasjonal organisasjon har et tilstrekkelig beskyttelsesnivå for personopplysninger.

    Marte Wellerop TronstadSenior personvernrådgiver | Advokatfullmektig
    Alexander MollanPartner
    13.07.2023 20:15

    Adekvansbeslutningen for USA innebærer at overføring av personopplysninger fra EØS til virksomheter i USA nå er lovlig og trygt, forutsatt at de aktuelle virksomhetene står på listen over virksomheter som er sertifisert under EU-U.S. Data Privacy Framework. Virksomheter velger selv om de ønsker å sertifiseres under rammeverket. Listen over sertifiserte virksomheter finnes her, og vil oppdateres jevnlig.

    Når USA nå har fått en adekvansbeslutning, trenger ikke europeiske virksomheter å bruke EUs standard kontraktbestemmelser (SCC) som mekanisme for å overføre personopplysninger til amerikanske virksomheter lenger. Det er heller ikke nødvendig å gjennomføre såkalte transfer impact assessments (TIA) før overføringen kan gjennomføres.

    Det er viktig å huske på at selv om en amerikansk virksomhet er sertifisert under EU-U.S. Data Privacy Framework, må man fortsatt ha et lovlig behandlingsgrunnlag for overføring av personopplysninger, og inngå nødvendige databehandleravtaler.

    Det er også viktig å minne om at adekvansbeslutningen som kom 10. juli kun gjelder for USA.

    Dersom du skal overføre til andre land utenfor EØS som ikke har fått en adekvansbeslutning, som f.eks. India eller Singapore, må du fortsatt inngå SCC og gjennomføre TIA.

    Nå gjenstår det å se hvor godt EU-U.S. Data Privacy Framework vil fungere fremover. EU-kommisjonens sertifiseringsordninger for USA har blitt utfordret og ugyldiggjort to ganger tidligere (Safe Harbor og Privacy Shield I) i Schrems I og Schrems II-dommene. Max Schrems, mannen bak Schrems I og Schrems II, har uttalt at han og organisasjonen hans None of Your Business (NOYB) vil utfordre det nye rammeverket rettslig.

    Kontakt

    Marte Wellerop Reed
    Senior personvernrådgiver | Advokatfullmektig

    Alexander Mollan
    Partner