NIS2: Styret kan ikke lenger delegere bort cyberrisiko

Den 1. juli 2026 åpner NSMs registreringsportal for virksomheter i scope for digitalsikkerhetsloven, Norges implementering av NIS2-direktivet.

Den 1. juli 2026 åpner NSMs registreringsportal for virksomheter i scope for digitalsikkerhetsloven, Norges implementering av NIS2-direktivet. Første tilsyn starter i oktober. For styremedlemmer i de rundt 5000 virksomhetene som er omfattet, endrer dette én ting helt grunnleggende: cybersikkerhet er ikke lenger noe styret kan delegere til IT-avdelingen og lukke som en compliance-øvelse. Den personlige eksponeringen endrer seg.

Før NIS2: ansvaret går nedover, fra styret via CEO til CISO. Etter NIS2: ansvaret stopper på styrebordet. Du kan ikke lenger delegere bort konsekvensen.

Det som faktisk endrer seg

NIS2 — i Norge implementert som digitalsikkerhetsloven — er ikke en oppdatering av eksisterende krav. Det er en ny rammelov som flytter ansvaret for cybersikkerhet fra IT-avdelingen til styrebordet. Artikkel 20 i direktivet, som er ordrett innarbeidet i den norske loven, krever fire ting av styret personlig:

  • Styret skal godkjenne virksomhetens tiltak for håndtering av cybersikkerhetsrisiko.
  • Styret skal føre tilsyn med at tiltakene implementeres.
  • Styremedlemmene skal gjennomgå opplæring for å forstå risikobildet.
  • Styremedlemmene kan holdes personlig ansvarlige for brudd på loven.

Dette er ikke formuleringer om at styret «bør holdes orientert» eller «få jevnlige briefinger». Det er formuleringer om ansvar. Ikke IT-sjefen. Ikke CEO. Ikke CISO.

Når NSM kommer på tilsyn i oktober og ber om å se hvordan cybersikkerhetsrisiko er godkjent og fulgt opp, er det styreprotokollene de leter etter.

Hva som står på spill 

Sanksjonsnivået i NIS2 er kalibrert for å sikre at styret tar dette på alvor. For essensielle virksomheter — energi, transport, helse, vann, bank og digital infrastruktur — er taket €10 millioner eller 2 % av global årsomsetning, det som er høyest. For viktige virksomheter — IKT-tjenester, post, kjemi, mat og forskning — er taket €7 millioner eller 1,4 %.

Det er bøter for selskapet. På styreansvarssiden åpner direktivet i tillegg for to typer personlig konsekvens:

  • Personlige bøter. Den nasjonale implementeringen avgjør nivået. Tyske myndigheter har satt taket til €500 000 per styremedlem. Den norske forskriften ventes å lande på et tilsvarende nivå når den ferdigstilles.
  • Midlertidig forbud mot å ha lederfunksjoner. Tilsynet kan, for essensielle virksomheter, suspendere en CEO eller juridisk representant fra å utøve lederfunksjoner inntil bruddet er korrigert.

Personlig ansvar under NIS2 er ikke begrenset til grov uaktsomhet eller forsett. Det utløses av brudd på loven — og «vi visste ikke at vi hadde et brudd» er ikke et forsvar når styret hadde plikt til å vite.

De tre spørsmålene styret bør stille på neste møte

Du trenger ikke å bli cybersikkerhetsekspert. Du trenger å kunne stille de spørsmålene som tvinger virksomheten til å levere reelle svar — og dokumentere dem i protokollen.

1. «Er vi i scope for digitalsikkerhetsloven, og hvor er det dokumentert?»

Mange virksomheter har ikke gjort denne vurderingen formelt. Hvis du er i en av sektorene loven dekker og har 50+ ansatte eller €10 millioner+ i omsetning, er du sannsynligvis definert som essensiell eller viktig.

Men også underleverandører kan være i scope. Du er kanskje ikke direkte omfattet — men kunden din er det. I praksis betyr det at kravene likevel kommer til deg. Det er realiteten i moderne leverandørkjeder, og noe jeg har sett gjentatte ganger de siste seks månedene.

2. «Hvilke risiko-godkjenninger har vi gjort i styret de siste 12 månedene, og hva er gjort siden?»

NIS2 krever ikke bare at risiko identifiseres; det krever at styret har godkjent hvordan risikoen håndteres.

Hvis siste behandling av cybersikkerhet i styret var en orienteringssak fra IT, har dere ikke en NIS2-konform prosess.

Du skal se ordet vedtak i protokollen, knyttet til konkrete tiltak, definert ansvarlig og frist.

3. «Hvordan blir vi varslet hvis vi har et alvorlig sikkerhetsbrudd — og hva er styrets rolle i de første 24 timene?»

NIS2 krever varsling av betydelige hendelser innen 24 timer og en oppfølgingsrapport innen 72 timer.

Dette er ikke bare et IT-spørsmål. Det er et spørsmål om kommunikasjon, juridisk eksponering, myndighetskontakt og kundehåndtering. Hvis styret ikke kjenner sin rolle de første 24 timene, lærer man det under verst mulige omstendigheter.

Hvordan en moden styrebehandling ser ut i praksis

For virksomheter jeg har hjulpet gjennom NIS2-forberedelser, ser en moden styrebehandling slik ut:

  • Kvartalsvis status fra sikkerhetsansvarlig med tre faste elementer: hendelsesstatistikk, status på godkjente risikotiltak og nye risikoer som krever styrets behandling.
  • Årlig dypdykk der styret vedtar — ikke bare «tar til orientering» — den oppdaterte cybersikkerhetsstrategien og bevilger nødvendige ressurser.
  • Tabletop-øvelse der styret deltar i en simulert hendelse minst én gang per år, slik at roller og beslutningslinjer er forstått før en reell hendelse oppstår.
  • Tydelig dokumentasjon i styreprotokollen av hver godkjenning. Det er protokollen som er beviset under et tilsyn.

«Vi diskuterte det» er ikke godt nok. «Vi vedtok X med ansvarsperson Y og frist Z» er det som teller.

Hvis du leser dette og tenker «vi har ikke noe av dette», er du i samme posisjon som de fleste norske styrer i scope. Det er ikke en anklage — det er en realitetsbeskrivelse.

Tilsynet starter i oktober. Det betyr at du har fire styremøter mellom nå og da til å komme deg inn i en defensiv posisjon.

Tre konkrete ting du som styremedlem bør gjøre denne måneden

Disse tiltakene krever ikke ekspertkunnskap, men flytter den personlige eksponeringen din i riktig retning.

Be om en formell scope-vurdering

Send forespørselen skriftlig. Bestill svaret tilbake i samme form — signert og med juridisk eller compliance-funksjonens påtegning.

Hvis vurderingen viser at dere er i scope, er det dokumentert. Hvis den viser at dere ikke er det, er det dokumentet du peker på dersom spørsmålet senere reises. Begge utfall beskytter styret.

Gjennomfør opplæringen — og dokumenter den

Direktivet krever det. Det er ikke nok å «være orientert».

Det må foreligge dokumentasjon på at styret har gjennomgått opplæring i cyberrisiko og styrets rolle. Hvert styremedlem bør ha sin egen oppdaterte attest. Sett det opp som oppgave for styresekretariatet før neste møte.

Krev risiko-vurderinger som beslutningsgrunnlag

Be om at neste styremøte har en sak med tittelen:

«Godkjenning av cybersikkerhets-risikohåndtering 2026».

Forvent at saksgrunnlaget inneholder:

  • de viktigste risikoområdene,
  • foreslåtte tiltak,
  • kostnader,
  • restrisiko,
  • og en eksplisitt anbefaling til styret om godkjenning.

Det er denne dokumentasjonen som etablerer at styret faktisk har gjort jobben sin.

Det mange styrer fortsatt undervurderer

De siste tre årene har vi hjulpet styrer og ledergrupper i privat sektor med å gjøre cybersikkerhet til en operasjonell prosess heller enn en compliance-øvelse.

Mønsteret er konsistent: styremedlemmer som forstår finansiell risiko, juridisk risiko og omdømmerisiko på et høyt nivå, men som fortsatt behandler cyberrisiko som «noe IT håndterer».

NIS2 endrer det fundamentalt — cyberrisiko blir styrerisiko, juridisk og personlig.

Det er dette vi ser hos mange virksomheter akkurat nå: høy modenhet på tradisjonell virksomhetsstyring, men begrenset forståelse for hvordan regulatorisk cyberansvar faktisk skal behandles og dokumenteres på styrenivå.

Regningen forfaller 1. juli. Tilsynet starter i oktober. Tiden mellom de to datoene er vinduet virksomheter har til å komme i en defensiv posisjon — og kunne svare på spørsmålene fra NSM med dokumentasjon, ikke muntlige forsikringer fra IT-avdelingen.

nLogic Security

nLogic er en pålitelig nordisk partner for nettverks- og sikkerhetsløsninger med høy ytelse, og hjelper virksomheter med å bygge sikkerhet som et system — ikke bare som compliance.

Denne artikkelen om NIS2 og styreansvar er utarbeidet av nLogic Security, sikkerhetsteamet i nLogic.

Teamet arbeider med sikkerhetsarkitektur, governance, regulatoriske sikkerhetskrav, risikoanalyse og operasjonell sikkerhet i komplekse virksomhetsmiljøer.

Arbeidet handler ikke bare om teknologi, men om hvordan virksomheter faktisk styrer, dokumenterer og følger opp cyberrisiko når regulatoriske krav, trusselbildet og forretningsrisiko møtes i praksis.

Disse artiklene er en del av nLogics arbeid med kunnskapsdeling, analyse og praktisk risikoreduksjon i moderne virksomhetsmiljøer — med fokus på hvordan sikkerhetskontroller faktisk fungerer når de møter reelle trusler, operative kompromisser og nye angrepsmetoder.

Powered by Knowledge. Driven by Trust.

Denne artikkelen fokuserer på styreansvar og regulatorisk eksponering under NIS2

I neste utgivelse går vi dypere inn i den operative siden: hvordan virksomheter faktisk bygger en defensiv posisjon før tilsynene starter, inkludert dokumentasjon, styringsprosesser, leverandørkjeder og praktisk risikohåndtering.

Les neste artikkel: Operasjonell guide til NIS2

Ta kontakt for mer informasjon

Foto av Thomas Brodersen.

Thomas Brodersen

thomas.brodersen@nlogic.no
+47 958 30 108