Digitalsikkerhetsloven vs. NIS2: hva er forskjellen?
To regelverk, samme mål – men ikke de samme kravene. Denne artikkelen forklarer hva som skiller digitalsikkerhetsloven fra NIS2, hva det betyr for norske kommuner i dag, og hva de bør planlegge for fremover.
Utgangspunktet: to ulike generasjoner av samme regelverk
Digitalsikkerhetsloven og NIS2 er ikke to uavhengige regelverk. De springer ut av det samme europeiske initiativet: EUs NIS-direktiv, som hadde som mål å heve sikkerhetsnivået for samfunnskritisk infrastruktur på tvers av medlemsstatene.
Digitalsikkerhetsloven er Norges implementering av det opprinnelige NIS-direktivet fra 2016. Den trådte i kraft 1. oktober 2025 og er gjeldende norsk rett i dag.
NIS2 er den reviderte og betydelig styrket versjonen av NIS-direktivet, vedtatt av EU i 2022. Det er ikke norsk lov ennå, men det vil bli det. Som EØS-member er Norge forpliktet til å implementere NIS2, og arbeidet med dette pågår.
Det betyr at norske kommuner i dag forholder seg til digitalsikkerhetsloven – men bør planlegge for NIS2.
Sammenligning: de viktigste forskjellene
| Tema | Digitalsikkerhetsloven | NIS2 |
|---|---|---|
| Rettslig status i Norge | Gjeldende norsk lov (fra 1. okt. 2025) | Ikke norsk lov ennå – implementering pågår |
| Sektorer som omfattes | Energi, transport, helse, vann, digital infrastruktur | Betydelig utvidet – også avfall, offentlig forvaltning, matproduksjon, post m.fl. |
| Virksomhetsstørrelser | Primært større virksomheter | Også mellomstore virksomheter (50+ ansatte eller 10M+ EUR omsetning) |
| Risikostyring | Krav om sikkerhetstiltak og risikovurdering | Mer detaljerte og spesifikke krav til risikostyringsprosessen |
| Lederansvar | Implisitt | Eksplisitt – ledelsen kan holdes personlig ansvarlig |
| Leverandørstyring | Krav til å vurdere leverandørrisiko | Strengere krav til kontroll og dokumentasjon av hele leverandørkjeden |
| Hendelsesrapportering | Krav om varsling ved alvorlige hendelser | Konkrete tidsfrister: 24 timer for første varsel, 72 timer for detaljert rapport |
| Sanksjoner | Pålegg og bøter | Høyere bøtenivå – opptil 10M EUR eller 2 % av global omsetning (viktige virksomheter) |
| Tilsyn | NSM og sektorvise tilsynsorganer | Mer harmonisert tilsyn på tvers av EU/EØS |
Hva er likt?
Til tross for forskjellene deler de to regelverkene det samme grunnprinsippet: virksomheter som leverer samfunnskritiske tjenester, har et ansvar for å sikre at disse tjenestene opprettholdes – også under angrep eller teknisk svikt. Og det ansvaret kan ikke outsources.
Begge regelverk stiller krav til risikostyring, tilgangsstyring, hendelseshåndtering, leverandørstyring og dokumentasjon. De tekniske kravene peker i samme retning: segmenterte nettverk, kontrollert fjernaksess, sikkerhetsorientert logging og en evne til å oppdage og håndtere avvik.
Det betyr at tiltak implementert for å etterleve digitalsikkerhetsloven i dag, er relevante og nyttige under NIS2. Det er ikke to separate prosjekter – det er ett prosjekt med to milepæler.
Hva betyr lederansvaret i NIS2 i praksis?
En av de viktigste endringene i NIS2 er det eksplisitte lederansvaret. Mens digitalsikkerhetsloven plasserer ansvar hos virksomheten som helhet, er NIS2 tydeligere på at styret og toppledelsen er personlig ansvarlige for at kravene oppfylles.
I praksis innebærer dette at ledelsen må:
- Ha tilstrekkelig forståelse for organisasjonens risikobilde til å ta informerte beslutninger
- Godkjenne og følge opp sikkerhetstiltak
- Sikre at sikkerhet er integrert i virksomhetens overordnede styring – ikke bare delegert til IT-avdelingen
- Kunne dokumentere at disse prosessene er på plass
For kommuner betyr det at kommunedirektøren, rådmannen og VA-sjefen aktivt må involveres i sikkerhetsarbeidet, og ikke bare informeres om det i etterkant.
Hva med SMB-er og leverandører?
En viktig utvidelse i NIS2 er at terskelen for hvem som er direkte omfattet, er senket. Der digitalsikkerhetsloven i hovedsak retter seg mot større virksomheter, vil NIS2 også treffe mellomstore virksomheter – definert som virksomheter med 50 eller flere ansatte, eller med en årsomsetning over 10 millioner euro.
I tillegg vil NIS2s krav til leverandørstyring indirekte ramme mange mindre virksomheter som leverer tjenester til virksomheter som er direkte omfattet. Selv om din virksomhet ikke er omfattet av NIS2 selv, kan dine kunder kreve at du etterlever tilsvarende krav – fordi de er ansvarlige for deg som del av sin leverandørkjede.
Tidslinje: hva skjer og når?
Oktober 2025: Digitalsikkerhetsloven trer i kraft i Norge.
2024–2025: EU-landene implementerer NIS2 i nasjonal lovgivning.
2025–2026 (estimert): Norsk implementering av NIS2 forventes å komme på plass, men endelig tidslinje er ikke fastsatt.
Fremover: Tilsyn og håndhevelse vil trappes opp etter hvert som regelverket er etablert og virksomheter har hatt tid til å tilpasse seg.
Rådet: ikke vent
Det er fristende å avvente den norske implementeringen av NIS2 før man setter i gang tiltak. Det er en forståelig tanke, men en risikabel strategi av to grunner.
For det første: kravene i digitalsikkerhetsloven gjelder nå. Manglende etterlevelse kan allerede i dag utløse tilsyn og pålegg.
For det andre: arbeidet med å bygge et forsvarlig sikkerhetsnivå tar tid. Nettverkssegmentering, tilgangsstyring, logging og leverandørstyring er ikke noe man implementerer på noen uker. Virksomheter som starter nå, er i en langt bedre posisjon når NIS2 kommer enn de som venter.
NetNordics Cyber Advisory-team hjelper kommuner og VA-virksomheter med å forstå hva gjeldende og kommende regelverk betyr for dem konkret – og å prioritere tiltak som gir størst effekt. Ta kontakt for en NIS2-gap-analyse eller en innledende samtale om din virksomhets situasjon.
Innholdsfortegnelse
Innholdsfagskategori
Innholdstype
Relatert innhold
NIS2 for kommuner: hva betyr kravene i praksis?
Slik sikrer du fjernaksess til pumpestasjoner og vannverk
De fem vanligste sikkerhetsutfordringene i kommunale vannverk
Har kommunen kontroll på hvem som har tilgang til vannforsyningen?
NIS2 og Digitalsikkerhetsloven: Hva betyr de nye sikkerhetskravene for vann- og avløpssektoren?
CyberTalk 2026: Fra antagelse til bevis
Kontakt Oss
Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!