På norsk
NIS2-direktivet
Status
Tidsfristen for å implementere direktivet i nasjonal rett for EU-medlemsstater var 17. oktober 2024.
Status i Norge
Implementeringsprosessen i norsk lov er ikke påbegynt. Forordningen er til vurdering i EØS/EFTA-statene.
NIS2-direktivet erstatter NIS1-direktivet, og har som mål å styrke motstandsdyktigheten i nettverks- og informasjonssystemer for både private og offentlige aktører i sentrale sektorer i EU (og EØS).
Etter NIS1-direktivet er det i stor grad opp til medlemsstatene å fastsette hvilke aktører som oppfyller kriteriene for å bli klassifisert som tilbyder av samfunnsviktige tjenester. I NIS2-direktivet er det fastsatt mer enhetlige kriterier for hvilke aktører som skal omfattes av direktivet, og nye sektorer omfattes. Alle virksomheter av en viss størrelse og en viss type (som fastsatt i direktivet) skal være omfattet.
Samtidig skjerpes sikkerhetskravene, kravene til risikovurdering av nettverks- og informasjonssystemer, og mer presise rapporteringskrav blir innført. Det innføres også ansvar for virksomhetens ledelse.
Direktivet gjelder i utgangspunktet for selskaper med 50 eller flere ansatte eller en omsetning over 10 millioner euro, men det gjøres flere unntak, blant annet for virksomheter som har en særlig viktig betydning for samfunnet.
Selskaper som leverer tjenester til berørte sektorer vil også bli indirekte påvirket, ettersom det vil stilles strengere krav til avtaler som inngås med leverandører.