NIS2 Directive

Etter NIS1-direktivet er det i stor grad opp til medlemsstatene å fastsette hvilke aktører som oppfyller kriteriene for å bli klassifisert som tilbyder av samfunnsviktige tjenester. I NIS2-direktivet er det fastsatt mer enhetlige kriterier for hvilke aktører som skal omfattes av direktivet, og nye sektorer omfattes. Alle virksomheter av en viss størrelse og en viss type (som fastsatt i direktivet) skal være omfattet. 

Samtidig skjerpes sikkerhetskravene, kravene til risikovurdering av nettverks- og informasjonssystemer, og mer presise rapporteringskrav blir innført. Det innføres også ansvar for virksomhetens ledelse. 

Direktivet gjelder i utgangspunktet for selskaper med 50 eller flere ansatte eller en omsetning over 10 millioner euro, men det gjøres flere unntak, blant annet for virksomheter som har en særlig viktig betydning for samfunnet. 

Selskaper som leverer tjenester til berørte sektorer vil også bli indirekte påvirket, ettersom det vil stilles strengere krav til avtaler som inngås med leverandører. 

Oppdatering 2026: 

I januar 2026 la EU-kommisjonen frem forslag til endringer i NIS2-direktivet, samtidig med forslag til oppdatert cybersikkerhetsforordning. Endringene tar utgangspunkt i erfaringer fra innføring og praktisering av NIS2, et skjerpet trusselbilde og en ny EU-politikk. Hovedgrepet er å tydeliggjøre virkeområde og definisjoner for mer proporsjonal etterlevelse og redusert administrativ byrde, blant annet gjennom justeringer for enkelte sektorer og en ny foretaksgruppe (small mid-cap enterprises) som får enklere krav. 

Samtidig foreslås det at regler om jurisdiksjon og rapportering/tilsyn for grensekryssende virksomheter forenkles, og at ENISA får en sterkere koordinerende rolle og tydeligere ansvar for gjensidig bistand mellom nasjonale myndigheter.