Gå til innhold
NetNordic Norway
salg.no@netnordic.com +47 67 247 365 Webshop Community
Support Under Attack?
01 jun, 2026
Cybersikkerhet NetNordic Nettverk Artikkel

NIS2 for kommuner: hva betyr kravene i praksis?

Mange kommuner har hørt om NIS2. Færre vet nøyaktig hva det betyr for dem – hvem som er omfattet, hva som faktisk kreves, og hva konsekvensene er dersom de ikke leverer. Denne artikkelen gir en praktisk gjennomgang.

Denne artikkelen er en del av vår innholdsserie om cybersikkerhet i VA-sektoren. Se også hovedartikkelen NIS2 og digitalsikkerhetsloven: hva betyr de nye sikkerhetskravene for vann- og avløpssektoren?

NIS2 er ikke norsk lov – ennå

Et viktig utgangspunkt: NIS2 er et EU-direktiv, og det er ikke direkte gjeldende norsk rett i dag. Det gjeldende regelverket er digitalsikkerhetsloven, som trådte i kraft 1. oktober 2025 og er basert på det opprinnelige NIS-direktivet.

Det betyr likevel ikke at NIS2 er irrelevant for norske kommuner. Norge er EØS-medlem, og NIS2 vil over tid implementeres i norsk lov. Tidsplanen er ikke endelig fastsatt, men retningen er klar. Virksomheter som begynner å tilpasse seg NIS2-kravene nå, slipper å gjøre jobben to ganger.

Og for kommuner som allerede er usikre på om de oppfyller digitalsikkerhetsloven: NIS2 stiller høyere krav på nær alle punkter. Å sikte mot NIS2-nivå er derfor alltid et tryggere valg.

Hvem er omfattet?

Digitalsikkerhetsloven – og fremtidig NIS2-implementering – gjelder virksomheter som leverer samfunnsviktige tjenester. For kommunal sektor betyr dette særlig:

  • Vannforsyning og avløpshåndtering
  • Renovasjon og avfallshåndtering
  • Lokal helse- og omsorgstjenester (i enkelte kategorier)
  • Digital infrastruktur og kommunale IKT-tjenester

Kommuner som drifter vannverk, pumpestasjoner eller renseanlegg; enten selv eller gjennom interkommunale selskaper, er direkte omfattet. Det samme gjelder IKS-er og private aktører som utfører oppgaver på vegne av kommunen.

Usikker på om din virksomhet er omfattet? Det beste svaret gir en risikovurdering basert på hvilke tjenester dere faktisk leverer, ikke bare organisasjonsform.

Hva krever loven – konkret?

Kravene i digitalsikkerhetsloven og NIS2 er ikke teknologispesifikke. De dreier seg om å ha et systematisk og dokumentert sikkerhetsnivå. De viktigste kravområdene er:

Risikostyring

Virksomheten skal ha en løpende prosess for å identifisere, vurdere og håndtere risiko. Det betyr ikke at alle risikoer må elimineres, men at de er kjent, vurdert og at det finnes tiltak proporsjonal med alvorlighetsgraden.

I praksis innebærer dette at kommunen må ha oversikt over sine kritiske systemer, vite hvilke trusler som er relevante, og ha en plan for hva som gjøres dersom noe skjer.

Tilgangsstyring

Kun autoriserte personer skal ha tilgang til kritiske systemer – og tilgangen skal være begrenset til det som er nødvendig for jobben. Tilganger skal dokumenteres, og de skal trekkes tilbake når de ikke lenger er nødvendige.

For mange kommuner er dette en utfordring i praksis: tidligere ansatte, tidligere leverandører og servicepersonell har tilganger som aldri ble ryddet opp i. NIS2 gjør dette til et konkret krav, ikke bare god praksis.

Segmentering og nettverkssikkerhet

Kritiske systemer skal skilles fra andre systemer i nettverket. Et angrep på én del av infrastrukturen skal ikke automatisk gi tilgang til alt annet. Dette er særlig relevant for VA-sektoren, der flate nettverk historisk har vært normen.

Hendelseshåndtering og rapportering

Virksomheten skal ha evne til å oppdage sikkerhetshendelser, håndtere dem strukturert og rapportere om dem. NIS2 stiller konkrete tidskrav til rapportering: alvorlige hendelser skal varsles til relevante myndigheter innen 24 timer, med en mer detaljert rapport innen 72 timer.

Dette krever at virksomheten faktisk har logging og overvåking som fanger opp sikkerhetshendelser – ikke bare tekniske driftsfeil.

Leverandørstyring

Kommunen er ansvarlig for sikkerhetsnivået også hos sine leverandører og driftspartnere. Det betyr at kontrakter må inneholde sikkerhetskrav, og at kommunen må følge opp at kravene etterleves.

Dokumentasjon

Alt det ovennevnte skal kunne dokumenteres. Ikke fordi tilsynsmyndigheten er ute etter å finne feil, men fordi dokumentasjon er beviset på at arbeidet faktisk gjøres.

Hva forventes av ledelsen?

NIS2 skiller seg fra tidligere regelverk på ett viktig punkt: lederansvaret er eksplisitt. Styret og toppledelsen kan holdes personlig ansvarlig dersom virksomheten ikke oppfyller kravene.

I praksis betyr dette at sikkerhet ikke lenger er noe som kan delegeres fullt ut til IT-avdelingen. Kommunedirektører, rådmenn og VA-sjefer må ha tilstrekkelig forståelse for risikobildet til å ta informerte beslutninger – og de må kunne dokumentere at de gjør det.

Dette er et skifte for mange kommuner. Det er ikke et krav om at ledelsen skal bli tekniske eksperter. Det er et krav om at sikkerhet behandles som et ledelsesspørsmål, ikke bare et driftsspørsmål.

Hva skjer ved manglende etterlevelse?

Tilsynsmyndigheten for digitalsikkerhetsloven i Norge er Nasjonal sikkerhetsmyndighet (NSM) og sektorvise tilsynsorganer. Ved brudd på loven kan virksomheter ilegges pålegg om utbedring, og i alvorlige tilfeller bøter.

NIS2 introduserer i tillegg muligheten for bøter tilsvarende det som er kjent fra GDPR-regimet – opptil 10 millioner euro eller 2 % av global omsetning for viktige virksomheter, og opptil 20 millioner euro eller 4 % for essensielle virksomheter som vannforsyning.

For kommuner er kanskje vel så viktig den politiske og omdømmemessige risikoen: en sikkerhetshendelse som rammer vannforsyningen vil ikke forbli intern.

Hvor bør kommuner starte?

Det er lett å bli handlingslammet av omfanget. Men det finnes et naturlig startpunkt: å forstå sitt faktiske ståsted.

En NIS2-gap-analyse gir et strukturert bilde av hvor virksomheten er i dag, hva loven krever, og hva som må prioriteres. Den er ikke en revisjon og ikke en dom – den er et beslutningsgrunnlag.

Fra gap-analysen er det mulig å lage en prioritert tiltaksplan der de største risikoene adresseres først, og der arbeidet kan skaleres over tid uten at alt må gjøres på én gang.

NetNordics Security Advisory-team gjennomfører NIS2-gap-analyser tilpasset kommunal sektor og VA-virksomheter. Ta kontakt for en uforpliktende samtale om hva en slik analyse innebærer for din virksomhet.

Kontakt Oss

Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!

Siste innhold

Slik sikrer du fjernaksess til pumpestasjoner og vannverk
Cybersikkerhet
Artikkel
jun 01, 2026

Slik sikrer du fjernaksess til pumpestasjoner og vannverk

De fem vanligste sikkerhetsutfordringene i kommunale vannverk
Cybersikkerhet
Artikkel
jun 01, 2026

De fem vanligste sikkerhetsutfordringene i kommunale vannverk

Digitalsikkerhetsloven vs. NIS2: hva er forskjellen?
Cybersikkerhet
Artikkel
jun 01, 2026

Digitalsikkerhetsloven vs. NIS2: hva er forskjellen?

Vårt nyhetsbrev

Få de aller siste nyhetene og oppdateringene rett i innboksen din.