UTKAST · Norsk versjon (bokmål) under gjennomgang · FOUNDER_DECISION-markører angir valg som ligger hos grunder (NOK-pris, juridisk partner, norsk enhet) · FOR_LEGAL_REVIEW-markører angir punkter som krever norsk juridisk gjennomgang (EØS-innlemmelse, arbeidsrett, NIS2-status)

Cybersikkerhet · NIS1 / NIS2 · Norge

Digitalsikkerhetsloven og NIS2

Norge er per juni 2026 regulert av NIS1 — digitalsikkerhetsloven (lov 2023-12-20 nr. 108), i kraft 1. oktober 2025. NIS2-direktivet er ennå ikke innlemmet i EØS-avtalen; ny norsk lov ventes i 2026. NSM er koordinerende tilsynsmyndighet.

Kilder: NSM digitalsikkerhetsloven · NSM ny lov · NIS2 EØS-notat

Gjeldende norsk rett

Digitalsikkerhetsloven (NIS1)
Lov 2023-12-20 nr. 108
I kraft: 1. oktober 2025
Tilsyn: NSM + sektortilsyn

Kommende (FOR_LEGAL_REVIEW)

Ny digitalsikkerhetslov (NIS2)
EØS-innlemmelse pågår
Norsk lov ventes 2026
Tilsyn: NSM + sektortilsyn (utvidet)

NIS1 vs NIS2 — nøkkelforskjeller

AspektNIS1 (gjeldende)NIS2 (kommende)

EU-direktivNIS-direktiv (EU) 2016/1148NIS2-direktiv (EU) 2022/2555

Norsk lovDigitalsikkerhetsloven (lov 2023-12-20 nr. 108)Ny lov ventes 2026 (FOR_LEGAL_REVIEW)

Ikrafttredelse (NO)1. oktober 2025Ikke fastsatt – EØS-innlemmelse ikke gjort per juni 2026

Sektorer7 sektorer18 sektorer – kraftig utvidet scope

Hvem omfattesOperatører av samfunnskritiske tjenesterVesentlige + Viktige enheter (≥50 ansatte eller >10M EUR omsetning)

RapporteringsfristVarierende frist (forskrift)24 t / 72 t / 1 mnd (trinnvis)

BøterNasjonale sanksjoner10M EUR/2% (vesentlige) · 7M EUR/1,4% (viktige)

Tilsyn (NO)NSM + sektortilsynNSM + sektortilsyn (utvidet, FOR_LEGAL_REVIEW)

Er HR-tech omfattet?

Digitalsikkerhetsloven (NIS1) retter seg mot samfunnskritiske tjenester og visse digitale tjenesteleverandører. De fleste HR-tech-leverandører er i dag IKKE direkte under loven. Under NIS2 (kommende) er scopet utvidet. Virksomheter med ≥50 ansatte eller >10M EUR omsetning i berørte sektorer kan komme inn. FOR_LEGAL_REVIEW[Endelig norsk NIS2-scope avhenger av lovbehandling].

Leverandørkjede og Art. 21 NIS2

NIS2 Artikkel 21 krever at vesentlige/viktige enheter håndterer sikkerhetsrisiko i leverandørkjeden. Store HR-kunder (helseforetak, energiselskaper) kan stille NIS2-inspirerte dokumentasjonskrav til HR-tech-leverandørene sine – selv om leverandøren ikke er direkte under NIS2. God sikkerhetsdokumentasjon er en salgsfremmende faktor.

Art. 21 tekniske krav (NIS2)

Risikobaserte sikkerhetstiltak: (a) hendelseshåndteringsplan, (b) kontinuitets- og beredskapsplan, (c) forsyningskjedesikkerhet, (d) sikring av nettverks- og informasjonssystemer, (e) kryptografipolicy, (f) personellsikkerhet og tilgangskontroll, (g) multifaktor-autentisering. Kravene er proporsjonale med risiko og virksomhetsstørrelse.

NSMs rolle

NSM (Nasjonal sikkerhetsmyndighet) er koordinerende tilsynsmyndighet. NSM leder NCSC-Norge og er nasjonalt kontaktpunkt i EU-samarbeidet (NIS Cooperation Group). Sektortilsyn (Nkom for ekom, NVE for energi, Helsetilsynet m.fl.) fører tilsyn i sine sektorer. NSM-registreringsportal for virksomheter ventes rundt 2026 (estimat).

Hva bør HR-tech gjøre nå?

1) Kartlegg om virksomheten kan falle under NIS2-scope (sektortilhørighet, størrelse). 2) Dokumenter sikkerhetstiltak i tråd med Art. 21 – dette er god praksis uavhengig av om man er direkte underlagt loven. 3) Forbered hendelsesresponsplan med 24t/72t-rapporteringslinje. 4) Sjekk om kunder stiller NIS2-inspirerte leverandørkrav allerede nå. FOR_LEGAL_REVIEW[Søk juridisk rådgivning for endelig scoping under norsk NIS2-lovgivning].

Trenger du EU AI Act-dokumentasjon også?

HR-tech-deployers som bruker AI til rekruttering er typisk under begge regelverk: EU AI Act (høyrisiko Annex III) og NIS2 (leverandørkjede-krav fra kunder). PowerQuant leverer compliance-evidens for begge.

Kontakt oss →KI-loven status →