top of page
Search

Har du kontroll på DSL (NIS1) og NIS2?

  • Writer: Bjørnar Aassveen
    Bjørnar Aassveen
  • Sep 12
  • 4 min read

Updated: Oct 8

Det dukker stadig opp nye krav og direktiver innen cybersikkerhet, fra Digitalsikkerhetsloven (NIS1/NIS2) til DORA og EU AI Act. For mange virksomheter kan det være krevende å holde oversikt og sikre at man etterlever alle kravene.


Heldigvis finnes det en solid grunnmur å bygge på: NSMs grunnprinsipper for IKT-sikkerhet. Disse prinsippene gir en helhetlig, risikobasert tilnærming til sikkerhet og samsvarer godt med kravene i både NIS-direktivet og andre internasjonale standarder.


Med andre ord: Hvis du følger NSMs grunnprinsipper, er du allerede godt på vei til å oppfylle kravene i NIS2 og andre regulatoriske rammeverk. Kombinerer du dette med Microsoft sine verktøy, som Microsoft Purview, Entra ID og Defender, får du en praktisk og effektiv måte å implementere prinsippene på i hverdagen.

ree

NSMs grunnprinsipper for IKT-sikkerhet versjon 2.1: NSMs Grunnprinsipper for IKT-sikkerhet v2.1.pdf


Videre i denne bloggposten kan du lese om hva som ligger i DSL (NIS1) i dag og hva som kommer i NIS2. Jeg har videre mappet kravene mot NSM sine grunnprinsipper og mot konkrete verktøy i Microsoft sfæren.


Jeg er ikke jurist, og dette innlegget er basert på min tolkning av direktivene og beste praksis innen sikkerhet. 🥸🕵️



🧩 Hva er Digitalsikkerhetsloven?

Digitalsikkerhetsloven er norsk lovgivning som skal beskytte kritisk infrastruktur og samfunnsviktige tjenester mot digitale trusler. Den bygger på det opprinnelige NIS-direktivet (NIS1) fra EU og er Norges måte å implementere EUs cybersikkerhetskrav på.

  • Gjelder for norske virksomheter innen sektorer som energi, helse, transport, finans og digitale tjenester.

  • Stiller krav til risikostyring, hendelseshåndtering, ledelsesansvar og sikkerhetstiltak.

  • Er allerede gjeldende lov i Norge.


🌍 Hva er NIS2-direktivet?

NIS2 er en oppdatert og strengere versjon av det opprinnelige NIS-direktivet fra EU. Det ble vedtatt i EU i 2022 og skal implementeres i norsk rett gjennom endringer i Digitalsikkerhetsloven.

  • Utvider virkeområdet til flere sektorer (f.eks. vann og avløp, digital infrastruktur, matproduksjon).

  • Innfører strengere krav til sikkerhetsstyring, rapportering og ledelsesansvar.

  • Skiller virksomheter i kritiske og viktige sektorer, med ulike tilsynsregimer.

  • Krever minimums sikkerhetstiltak, risikovurderinger og tiltak for leverandørkjeder

    • Eksempler på underleverandører som omfattes

      • IT-drift

      • Telekom- og nettverksleverandører

      • Cloud og hostingtjenester

      • Produsenter av kritisk utstyr (f.eks. SCADA-systemer og medisinsk utstyr)

      • Logistikk og transportleverandører til energisektoren

      • Vedlikeholdsleverandører for vannverk eller kraftverk


Digitalsikkerhetsloven

NIS2-direktivet

Norsk lov basert på NIS1

EU-direktiv som skal inn i norsk lov

Gjelder allerede

Antatt på plass i løpet av 2026

Har grunnleggende krav

Har utvidede og strengere krav

Gjelder visse sektorer

Gjelder flere sektorer og flere virksomheter

Generelle sikkerhetskrav

Minimumskrav + krav til ledelse, rapportering og leverandørkjeder

📌 Krav i Digitalsikkerhetsloven (DSL)


  1. Styringssystem for sikkerhet

    • Etablering og vedlikehold av et styringssystem som dekker digital sikkerhet.

  2. Ledelsens ansvar

    • Ledelsen skal godkjenne og gjennomgå sikkerhetsstyringssystemet minst årlig.

    • Ansvarlig for at virksomheten opprettholder et forsvarlig sikkerhetsnivå.

  3. Risikovurdering og risikohåndtering

    • Gjennomføre risikovurderinger og lage plan for håndtering av identifiserte risikoer.

  4. Organisatoriske sikkerhetstiltak

    • Rutiner og prosedyrer for sikkerhet i organisasjonen.

  5. Teknologiske tiltak

    • Tiltak som tilgangskontroll og nettverks segmentering.

  6. Fysiske sikkerhetstiltak

    • Sikring av lokasjoner og fysisk infrastruktur.

  7. Sikkerhetstiltak for personell

    • Kompetanseheving og personellsikkerhet (f.eks. bakgrunnssjekker).

  8. Hendelses håndtering og beredskap

    • Beredskapsplaner og øvelser for å teste planverket.

  9. Leverandørkjedesikkerhet

    • Sikre at leverandører og tredjeparter ikke svekker virksomhetens sikkerhetsnivå.



📌 Tilleggskrav fra NIS2-direktivet


  1. Obligatorisk opplæring

    • Ledelsen må gjennomføre opplæring innen informasjonssikkerhet.

  2. Test av effektivitet

    • Sikkerhetstiltak må testes for å sikre kontinuerlig forbedring.

  3. Forretnings kontinuitet

    • Krav om å sikre leveransen av samfunnskritiske tjenester, også ved hendelser.



Mapping: NIS1/NIS2, NSMs grunnprinsipper og Microsoft-verktøy


Kravområde (NIS1/NIS2)

NSM Grunnprinsipp

Microsoft-løsning

Risikostyring og oversikt over verdier

Identifiser

Purview Data Map, Compliance Manager

Tilgangsstyring og minst mulig privilegier

Beskytt

Entra ID (Conditional Access, PIM), Purview etiketter

Segmentering og sikring av systemer

Beskytt

Defender for Endpoint, Defender for Cloud

Kontinuerlig overvåking og hendelsesdeteksjon

Oppretthold

Microsoft Sentinel, Defender XDR

Hendelseshåndtering og rapportering

Håndter

Sentinel playbooks, eDiscovery, Audit

Leverandør- og tredjepartsstyring

Identifiser / Oppretthold

Compliance Manager, Entra ID Governance

Sikkerhetsstyring og ledelsesansvar

Alle

Compliance Manager, Purview rapportering



Identitet og tilgang (Zero Trust-kjernen)

  • Entra ID Conditional Access: kombinerer signaler (bruker, sted, risiko, enhetsstatus) for å kreve MFA, blokkere “legacy auth”, og kun slippe til compliant devices. Start med de innebygde CA‑malene for “Secure foundation” og “Require MFA for admins”, og gå videre til risikobaserte regler (krever P2/ID Protection).

  • PIM i Entra ID gir just‑in‑time privilegert tilgang og reduserer faste admin rettigheter.


Enheter og endepunkt

  • Intune compliance policies definerer minstekrav per plattform

  • Integrer statusen direkte i CA (kreve compliant device)

  • Defender for Endpoint


Data og samhandling

  • Purview Information Protection gir sensitivity labels (kryptering, vannmerke, tilgangsrestriksjoner) på tvers av Office, SharePoint/OneDrive. Kombiner med DLP for å hindre lekkasje i e‑post, Teams, SharePoint og enheter. Vurder auto‑labeling der det er hensiktsmessig.


  • Defender for Cloud Apps beskytter SaaS‑data: oppdagelse av skyapper, session controls (sanntids DLP/tilgang). Integrasjonen med CA gir policyhåndheving i sanntid.


Sky og plattform

  • Defender for Cloud for multicloud/hybrid: CSPM (kontinuerlig vurdering, sikre anbefalinger, Secure Score), DSPM‑funksjoner for datarisiko og AI‑sikkerhetspostur for generativ‑AI‑arbeidslaster.


Overvåking, hendelser og rapportering

  • Microsoft Sentinel er SIEM/SOAR-laget: skalerbar innsamling av loggdata, analyser og automatisert respons.

  • Purview Compliance Manager samler kontrollstatus, veileder forbedringstiltak og gir compliance score. Det finnes et bredt bibliotek med regulatoriske maler; tilgjengelighet varierer med lisens.




Oppsummert 🕵️


Ta kontroll før kravene tar deg!

Digitalsikkerhetsloven og NIS2 er ikke bare krav, det er en sjanse til å bygge en tryggere, mer robust virksomhet. Start med NSMs grunnprinsipper, og bruk verktøy som du kanskje allerede betaler for, eksempelvis: Microsoft Purview, Entra ID, Intune og Defender. Det er vanskelig å gjøre tiltak på antagelser og uklare prosesser.


  • Få kontroll på leverandører, og hva de leverer til/for deg

  • Hvilke systemer har du og hvilke type data inneholder systemene

  • Hvordan er dataflyten i din bedrift?

  • Få kontroll på joiner/mover/leaver prosessen (!)

  • Hvordan jobber dere i dag med interne prosesser, og hvordan ønsker dere å jobbe?



Bjørnar&AI

Comments

bottom of page