NIS2-compliance for vekstselskaper: Hva det krever, hvem det gjelder for, og hva finansledere må gjøre

‍

NIS2 er ikke en sertifisering du starter med når en kunde ber om det. Det er et EU-direktiv som trådte i kraft i oktober 2024 — og hvis selskapet ditt opererer i EU eller EØS, leverer til europeiske selskaper eller er i en regulert sektor, gjelder det svært sannsynlig for deg.

‍

Her er hva finans- og compliance-ledere i vekstselskaper må forstå.

Vesentlige vs. viktige enheter — hvilken kategori tilhører dere?

Dette er spørsmålet de fleste selskaper misforstår, og det avgjør både kravene dere må oppfylle og potensielle sanksjoner.

‍

Vesentlige enheter — energi, transport, bank, finansmarkedsinfrastruktur, helse, drikkevann, digital infrastruktur, IKT-tjenestestyring, offentlig administrasjon og romfart.
Strengere tilsyn og høyere bøter.

‍

Viktige enheter — post og logistikk, avfallshåndtering, kjemikalier, mat, produksjon, digitale tjenester (nettmarkedsplasser, søkemotorer) og forskning.
Mindre strengt tilsyn, men fortsatt betydelige krav.

Størrelsesterskelen er lavere enn mange forventer:

• Vesentlige enheter: 250+ ansatte eller €50M+ i omsetning  

• Viktige enheter: 50+ ansatte eller €10M+ i omsetning  

‍

Leverandørkjeden er den skjulte risikoen.
Selv om dere er under tersklene, vil NIS2-krav allerede flyte inn i kontraktene hvis dere leverer til en vesentlig eller viktig enhet. Innkjøpsteam i større europeiske selskaper legger nå inn NIS2-krav i leverandøravtaler.

‍

Hvis du er usikker på hvilken kategori som gjelder — eller om NIS2 gjelder i det hele tatt — er svaret sannsynligvis ja. En avklaring av omfang koster langt mindre enn en regulatorisk granskning.

Hva NIS2 faktisk krever fra ledelsen

‍

NIS2 er bygget rundt fire hovedpilarer. Alle påvirker styringsprosesser som ligger hos finans- og compliance-ledelse — ikke bare IT.

Risikostyring

Dokumenterte cybersikkerhetsvurderinger med godkjenning på styrenivå.
NIS2 plasserer eksplisitt ansvar hos ledelsen — artikkel 20 krever at ledelsen godkjenner tiltak og følger opp implementeringen.

Hendelsesrapportering

Varsling innen 24 timer til nasjonal myndighet ved vesentlige hendelser, etterfulgt av en detaljert rapport innen 72 timer.
Finansledere eier vesentlighetsvurderingen — altså om en hendelse er rapporteringspliktig.
Denne vurderingen må være definert og dokumentert på forhånd.

Sikkerhet i leverandørkjeden

Dokumentert vurdering av leverandørers sikkerhetsnivå, samt kontraktskrav til nøkkelleverandører.
Finans eier leverandørkontrakter — dermed ligger dette direkte i innkjøpsprosessen.

Styrets ansvar

NIS2 kan medføre personlig ansvar for styremedlemmer og ledelse.
Dette er ikke en IT-oppgave som delegeres oppover — det starter på styrenivå.

Hvor lang tid NIS2-compliance tar

‍

Direktivet er allerede i kraft. Spørsmålet er ikke om dere skal etterleve det, men hvor raskt dere kan lukke gapet.
‍

I motsetning til ISO 27001 eller SOC 2 finnes det ingen sertifiseringsrevisjon.
Det du trenger er en dokumentert og etterprøvbar compliance-posisjon — bevis på at kontrollene er på plass og fungerer dersom en regulator spør.

Hva bøtene kan bli

‍

• Vesentlige enheter: opptil €10 millioner eller 2 % av global årlig omsetning  

• Viktige enheter: opptil €7 millioner eller 1,4 % av global årlig omsetning  

‍

Personlig ansvar for ledelsen er eksplisitt inkludert — inkludert midlertidig utestengelse fra lederroller ved alvorlige brudd.
Dette er det som gjør NIS2 til et styreansvar — ikke bare et IT-prosjekt.

Hva det koster å etterleve

• Med verktøy for styringsautomatisering: €5 000–12 000 første år  

• Tradisjonell konsulentmodell: €15 000–40 000 avhengig av omfang og sektor

• Årlig oppfølging med verktøy: €5 000–10 000  

NIS2 er en kontinuerlig forpliktelse — krav til hendelsesrapportering har ikke en årlig syklus, og myndigheter kan be om dokumentasjon når som helst.

‍

Vil du ha NIS2-sjekklisten for sign-offs, rammeverk for hendelsesrapportering og en komplett compliance-plan for finansledere? ‍

Last ned: NIS2 for vekstselskaper — hva CFOer må vite →