NIS2 har gått fra strategi til drift. Få innsikt i de største utfordringene knyttet til scoping, leverandører og risikostyring i praksis.
NIS2 i 2026: Når compliance møter gjennomføring

NIS2 i 2026: Når compliance møter gjennomføring

Time Reading
9 minutters lesing
NIS2

NIS2 er ikke lenger noe organisasjoner kun forholder seg til på et strategisk nivå. De fleste er allerede godt i gang. De har kartlagt systemer, gjennomført gap-analyser og utarbeidet retningslinjer.

Fokuset har flyttet seg fra planlegging til implementering, og i økende grad til drift. Det betyr at organisasjonen ikke lenger bare skal dokumentere tilnærmingen, men faktisk få sikkerhetstiltakene til å fungere i praksis.

Samtidig tegner det seg et tydelig bilde i 2026: Mange organisasjoner har fått på plass rammeverket, men mangler å omsette det til handling.

Typisk ser vi at:

  • scope er definert, men uten reell prioritering

  • leverandørkrav er etablert, men vanskelige å håndtere i praksis

  • risikostyring er beskrevet, men brukes ikke aktivt i beslutninger

Dette etterlater tre utfordringer som mange organisasjoner står overfor akkurat nå:

  • Hvordan avgrenser man scope?

  • Hvordan håndterer man leverandører uten å drukne i krav?

  • Hvordan etablerer man risikostyring som fungerer i praksis?

NIS2: Fra planlegging til operasjonell virkelighet

Arbeidet med NIS2 har endret karakter i 2026. Det handler ikke lenger om hva organisasjonen skal gjøre, men om å få kravene til å fungere i praksis. Sikkerhetstiltak må være operative, brukes konsekvent og være forankret i tydelige roller og ansvar.

Dette stiller større krav til governance. Ansvar må være tydelig plassert, og arbeidet må bygge på en risikobasert prioritering der innsatsen rettes mot de mest kritiske systemene og avhengighetene.

Det er i denne fasen mange organisasjoner møter de største utfordringene. Ikke fordi kravene er uklare, men fordi de skal omsettes til konkrete prosesser i en kompleks driftssituasjon.

Bildet er ofte at:

  • kontrolltiltak er beskrevet, men brukes ikke konsekvent

  • roller er definert, men ikke forankret i organisasjonen

  • prioriteringer skjer ad hoc fremfor risikobasert

NIS2 stiller ikke bare krav til tekniske tiltak, men også til organisatorisk forankring. Uten tydelig ledelsesforankring blir arbeidet fragmentert og vanskelig å drive frem.

Resultatet er at ansvaret for risiko blir uklart plassert, og beslutninger tas uten et felles risikobilde.

God governance innebærer blant annet:

  • tydelig eierskap i ledelsen

  • klare roller og ansvar på tvers av organisasjonen

  • en felles tilnærming til risikobasert beslutningstaking

Når governance er på plass, blir det mulig å prioritere innsatsen og sikre fremdrift i arbeidet med NIS2, spesielt innen scoping, leverandørstyring og risikostyring.

LES OGSÅ: Kom i gang med NIS2

Scoping: Hva omfattes egentlig av NIS2?

Scoping er et av områdene der mange organisasjoner mister oversikten.

NIS2 tar utgangspunkt i begrepet network and information systems. Dette omfatter mer enn tradisjonelle IT-systemer og inkluderer alle eiendeler som kan påvirkes av cybertrusler, blant annet:

  • systemer og applikasjoner

  • nettverk og infrastruktur

  • databaser og dataplattformer

  • digitale tjenester

Typiske feil er å behandle alle systemer likt og å utarbeide omfattende systemoversikter uten prioritering. Resultatet er en spredt innsats der de mest kritiske områdene ikke får tilstrekkelig oppmerksomhet.

Derfor er klassifisering avgjørende. Systemer bør vurderes ut fra betydningen de har for:

  • organisasjonens kjerneleveranser

  • leveransen av tjenestene som omfattes av NIS2

  • konsekvensene ved nedetid eller kompromittering

Dette gir grunnlag for å prioritere innsatsen og sikre at ressursene brukes der risikoen er størst.

Det samme prinsippet gjelder for leverandører.

Ikke alle leverandører er relevante i en NIS2-sammenheng. Fokuset bør være målrettet mot de leverandørene som faktisk påvirker sikkerheten.

En praktisk tilnærming til scoping

En enkel tilnærming til scoping er å:

  • kartlegge systemer og leverandører

  • klassifisere dem etter kritikalitet og risiko

  • prioritere innsatsen mot de høyeste risikoene

Målet er ikke å redusere scope, men å skape oversikt og retning i arbeidet.

Leverandørstyring i NIS2: Få kontroll på krav og nivå

Leverandørstyring står sentralt i NIS2, og er samtidig et område der mange organisasjoner overimplementerer.

Ofte stilles det omfattende krav til alle leverandører, noe som fører til:

  • lange kravkataloger

  • tunge prosesser

  • manglende fremdrift

Resultatet blir ofte det motsatte av hensikten: høy kompleksitet og lav effekt.

Leverandører er imidlertid ikke automatisk underlagt NIS2 med mindre de selv omfattes direkte av regelverket. Det avgjørende er derfor ikke om leverandøren er «NIS2-compliant», men om sikkerhetsnivået er tilpasset risikoen leverandøren introduserer.

Leverandører er altså ikke indirekte omfattet av NIS2 gjennom kundene sine. De er ansvarlige for å levere et sikkerhetsnivå som er tilstrekkelig for den aktuelle leveransen.

Organisasjonen må derfor differensiere kravene. For eksempel:

  • En hostingleverandør vil normalt møte omfattende tekniske sikkerhetskrav.

  • En konsulent med systemtilgang vil typisk vurderes ut fra tilgangsstyring og awareness.

  • En leverandør uten tilgang til data eller systemer vil ha begrensede krav.

For leverandører betyr dette at individuelle kundekrav raskt kan skape parallelle kravsett som øker kompleksitet og kostnader uten nødvendigvis å øke sikkerhetsnivået tilsvarende.

En mer effektiv tilnærming er å arbeide proaktivt:

  • identifiser hvilke risikoer løsningen deres introduserer hos kunden

  • definer relevante sikkerhetstiltak

  • dokumenter dem og gjør dem til en del av standardoppsettet

Dette gir et tydelig utgangspunkt i dialogen med kundene og reduserer behovet for å håndtere individuelle krav fra sak til sak.

Slik jobber dere strukturert med leverandører

En praktisk tilnærming kan deles inn i tre steg:

1. Still krav gjennom kontrakter

  • Bruk leverandørens eksisterende sikkerhetsoppsett der det er mulig.

  • Suppler med spesifikke krav basert på risiko.

2. Følg opp med revisjon

Omfanget bør tilpasses risikoen:

  • lav risiko → egenerklæring eller self-assessment

  • høy risiko → sertifisering eller mer omfattende revisjon

3. Vurder den samlede risikoen

  • Er sikkerhetsnivået tilstrekkelig?

  • Bør det stilles ytterligere krav?

  • Er det behov for alternativer?

Målet er ikke å standardisere kravene, men å finne riktig nivå for den enkelte leverandør.

Risikostyring i praksis

Risikostyring er kjernen i NIS2. Organisasjonen må kunne dokumentere at risiko er identifisert, vurdert systematisk og håndtert på et informert grunnlag.

Mange organisasjoner har arbeidet med risikostyring i årevis. Likevel oppstår det utfordringer når arbeidet skal oppfylle kravene i NIS2.

Typiske utfordringer er at:

  • risikovurderinger gjennomføres, men ikke brukes aktivt i prioriteringer

  • vurderinger gjennomføres ulikt på tvers av organisasjonen

  • arbeidet blir en dokumentasjonsøvelse fremfor et styringsverktøy

Konsekvensen er at risikostyringen mister sin effekt i beslutningsprosessene.

En velfungerende risikostyringsprosess bør som minimum inneholde:

  • en tydelig avgrensning av scope

  • felles risikokriterier for sannsynlighet og konsekvens

  • en fast metode for vurdering og prioritering

  • en tydelig tilnærming til håndtering og oppfølging

Det avgjørende er ikke hvilken modell som brukes, men at den brukes konsekvent på tvers av organisasjonen.

Samtidig må risikostyring være en integrert del av driften. Dette krever tydelige triggere for når en risikovurdering skal oppdateres, for eksempel ved:

  • nye systemer eller leverandører

  • endringer i eksisterende oppsett

  • nye trusler eller sårbarheter

I tillegg krever det involvering fra flere deler av organisasjonen, fordi risikostyring ikke er én persons ansvar. Det er en felles disiplin.

NIS2 har så vidt begynt

For mange organisasjoner vil 2026 oppleves som en milepæl. Kravene er implementert, prosessene er etablert og dokumentasjonen er på plass.

Men NIS2 er ikke en statisk øvelse. Trusselbildet endrer seg kontinuerlig, avhengighetene blir mer komplekse, og kravene til dokumentasjon og governance vil utvikle seg i takt med myndighetenes tilsyn.

Det betyr at organisasjoner må bevege seg fra et prosjektfokus til en varig disiplin, der:

  • risikostyring oppdateres løpende og brukes aktivt

  • leverandørstyring justeres i takt med endrede avhengigheter

  • prioriteringer revurderes i takt med nye trusler og endringer i virksomheten

Organisasjonene som lykkes, er ikke nødvendigvis de som implementerer flest kontrolltiltak, men de som evner å tilpasse seg og ta de riktige beslutningene over tid.

LES OGSÅ: Slik implementeres EUs direktiver og forordninger i Skandinavia
Logo

Andre artikler