Slik forbereder norske SMB-er seg på NIS2

NIS2 utvider hva som regnes som “vesentlige” og “viktige” virksomheter, og strammer inn fristen for hendelsesrapportering. De fleste norske SMB-er vi snakker med er usikre på om de er innenfor virkeområdet. Her er en praktisk rekkefølge.

1. Avklar omfanget først

Før du bruker en eneste time på kontroller — bekreft om direktivet gjelder for din sektor og størrelse. Kriteriene er endret; mange virksomheter som var utenfor NIS1 er innenfor NIS2.

2. Kartlegg dagens tilstand mot Annex I

Annex I er kontrollbiblioteket ditt. Kjør en gap-analyse — de fleste ISO 27001-tilpassede organisasjoner er 60–70 % på vei.

3. Få incident-playbooken på plass

24-timers tidligvarslingen er den operative endringen med ekte konsekvenser. Hvis IR-runbooken din fortsatt måles i dager, fiks det først.

4. Dokumentér, ikke spill teater

Revisorer vil ha bevis på at kontrollene fungerer, ikke glansede policyer. Bygg dokumentasjon som et biprodukt av arbeidet, ikke som et separat løp.

Hvis du bare skal gjøre én ting dette kvartalet: kjør 24-timers varslingsflyten gjennom ende-til-ende, med de faktiske personene som vil være på vakt.