← Blog
20. apríl 2026 · 8 min · Nordic Defence

NIS2 í framkvæmd: Heildarleiðarvísir 2026 fyrir norræn fyrirtæki

NIS2 er nú í gildi á öllu EES. Við skerum í gegnum lagamálið og útskýrum hverjir falla undir, tíu kjarnaskilyrðin, frestina og sex áþreifanleg skref til að verða tilbúinn fyrir regluvörslu.

NIS2-tilskipunin (EU 2022/2555) er umfangsmesta netöryggisreglugerð sem Norðurlöndin hafa nokkru sinni þurft að takast á við. Á Íslandi er hún innleidd með lögum um netöryggi. Noregur, Svíþjóð, Danmörk og Finnland hafa samsvarandi landslög. Fyrir þúsundir fyrirtækja sem hafa aldrei litið á sig sem mikilvæga innviði er þetta alveg nýr veruleiki.

Ef þú ert óviss hvort fyrirtæki þitt falli undir eða hvað þið í raun þurfið að gera — þú ert ekki einn. Þessi leiðarvísir sker í gegnum skriffinnskuna og gefur þér skýra mynd.

Hvað er NIS2 — og af hverju núna?

NIS2 kemur í stað upphaflegu NIS-tilskipunarinnar frá 2016. Röksemdin er einföld: NIS1 var of þröng, ójafnt innleidd, og netógnin hefur sprungið út. Í samanburði við forvera sinn nær NIS2 yfir fleiri geira, fleiri fyrirtæki, gerir strangari kröfur og leiðir til umtalsverðra sekta við brot.

Nýtt fyrir stjórnendur: NIS2 leggur á persónulega ábyrgð. Stjórnarmenn og forstjórar geta verið dregnir til ábyrgðar ef fyrirtækið vantar fullnægjandi netöryggi.

Erum við í umfangi? Stærð og geiri

NIS2 hefur tvö stig: 'nauðsynlegar' og 'mikilvægar' einingar. Báðar hafa í grundvallaratriðum sömu kröfur, en mismunandi eftirlit.

Nauðsynlegar einingar (strangasta eftirlit)

  • Orka (rafmagn, olía, gas, hitaveita, vetni)
  • Samgöngur (flug, járnbraut, sjór, vegur)
  • Bankastarfsemi og innviðir fjármálamarkaðar
  • Heilbrigðisþjónusta (sjúkrahús, lyfjaframleiðendur, rannsóknarstofur)
  • Drykkjarvatn og frárennsli
  • Stafrænir innviðir (ský, DNS, IXP, gagnaver)
  • Opinber stjórnsýsla (miðstjórnstofnanir)
  • Geimur

Mikilvægar einingar

  • Póstur og sendlar
  • Úrgangsmeðhöndlun
  • Efni
  • Matvælaframleiðsla og -dreifing
  • Framleiðsla (lækningatæki, tölvubúnaður, farartæki, vélar)
  • Stafrænir veitendur (markaðstorg á netinu, leitarvélar, samfélagsmiðlar)
  • Rannsóknarstofnanir

Tíu kjarnakröfur

21. grein NIS2 telur upp tíu lágmarkskröfur sem hver eining sem fellur undir verður að uppfylla. Þetta eru ekki gátreitir — eftirlitsaðilinn býst við skjalfestri innleiðingu.

  1. Áhættugreining og upplýsingaöryggisstefna — formleg, uppfærð, samþykkt af stjórn.
  2. Atvikameðhöndlun — skilgreind ferli, æfð.
  3. Rekstrarsamfella og viðbragðsáætlun — þar á meðal afrit og endurheimt.
  4. Öryggi aðfangakeðjunnar — kortleggja og samningsbinda þriðju aðila.
  5. Öryggi í innkaupum, þróun og viðhaldi — öruggt SDLC, uppfærslur.
  6. Stefnur um mat á virkni öryggisaðgerða.
  7. Grunn nethollusta og þjálfun — phishing-meðvitund, lykilorðaagi.
  8. Dulritun og dulkóðun — hvar og hvernig.
  9. Öryggi starfsmanna, aðgangsstýring, eignaumsjón.
  10. Margþætt auðkenning og varin samskipti.

Tilkynningaskyldur sem munu koma ykkur á óvart

Tilkynningaskyldan er ef til vill strangasti hluti NIS2. Um leið og þið uppgötvið 'verulegt atvik' — eitthvað sem hefur eða getur haft alvarlegar rekstrarlegar afleiðingar — fer klukkan af stað.

  1. Innan 24 klst.: Snemmbúin tilkynning til eftirlitsaðila með því sem þið vitið.
  2. Innan 72 klst.: Uppfært mat, þar á meðal árásarleið og fyrstu mótaðgerðir.
  3. Innan 1 mánaðar: Full lokaskýrsla með orsakagreiningu og lokuðum aðgerðum.

Sektir, persónuleg ábyrgð og eftirlit

Nauðsynlegar einingar geta fengið sektir allt að 10 milljónir evra eða 2 prósent af alþjóðlegri árveltu — hvort sem hærra er. Fyrir mikilvægar einingar er þakið 7 milljónir evra eða 1,4 prósent.

Persónuleg ábyrgð er nýja þátturinn. Stjórnarformenn og forstjórar geta verið tímabundið leystir frá stjórnunarstörfum vegna stórkostlegs gáleysis. Netöryggi er nú stjórnarmál — ekki tölvumál.

Sex skref að regluvörsluviðbúnaði

  1. Skýrðu stöðuna: Föllum við undir? Nauðsynleg eða mikilvæg? Skráðu fyrirtækið hjá eftirlitsaðila ef ekki þegar gert.
  2. Bilsgreining: Mældu núverandi ástand á móti tíu kröfunum. Verið heiðarleg — ódýrara að finna gloppur núna en eftir árás.
  3. Áhættumiðuð forgangsröðun: Reynið ekki að laga allt í einu. Hverjar eru líklegustu árásarleiðirnar? Hvað myndi særa mest? Byrjið þar.
  4. Byggðu atvikameðhöndlun: Skilgreindu hlutverk, búðu til tengiliðalista, æfðu atburðarás að minnsta kosti tvisvar á ári. 24 klst. glugginn krefst þess að þið vitið þegar hvað þið eigið að gera.
  5. Læstu aðfangakeðjuna: Kortleggðu mikilvæga þriðju aðila. Samningsbinddu öryggiskröfur. Biddu um SOC 2 skýrslur eða ISO 27001 vottorð.
  6. Skjalfestu allt: Stefnur, æfingar, atvik, aðgerðir, ákvarðanir. Eftirlitið vill sönnunargögn — ekki fyrirætlanir.

Hvað kostar þetta, raunhæft?

Fyrir meðalstórt fyrirtæki (100–500 starfsmenn) án þróaðs öryggis er fjárfesting fyrsta árs venjulega á milli 50.000 og 200.000 evra. Þetta felur í sér bilsgreiningu, stefnumótun, tæknilegar varnir (MFA, EDR, loggun), þjálfun og upphaflega uppsetningu atvikameðhöndlunar.

Áframhaldandi rekstur: 1–3 prósent af upplýsingatæknifjárveitingu er algeng þumalputtaregla fyrir öryggisvinnu eftir uppsetningu.

Hvernig Nordic Defence hjálpar

Við höfum framkvæmt NIS2-bilsgreiningar fyrir norræn fyrirtæki frá því tilskipunin var samþykkt. Nálgun okkar er hagnýt: við skjalfestum það sem þið hafið, greinum það sem vantar og forgangsröðum eftir raunverulegri áhættu — ekki eftir því sem er auðveldast að haka við.

Fyrir fyrirtæki án innri SOC-getu bjóðum við SOC-as-a-Service með 24/7 vöktun og atvikasvari innan NIS2-frestanna. Það gerir ykkur tilbúin fyrir tilkynningar frá fyrsta degi.