Mange små og mellomstore virksomheter har sett på NIS2 og tenkt at dette gjelder noen få, store aktører. Kraft, helse, transport, finans — samfunnskritiske virksomheter med hundrevis av ansatte og milliarder i omsetning.
Det er riktig. På papiret.
Men det er ikke der det stopper.
De samme virksomhetene er avhengige av leverandører. Og leverandørene har igjen sine leverandører. Når kravene til sikkerhet, kontroll og dokumentasjon skjerpes hos de som er direkte omfattet, begynner de samme kravene å dukke opp videre nedover i kjeden. Ikke nødvendigvis som lovkrav — men som spørsmål fra kunder som selv er underlagt NIS2 og som trenger å dokumentere at hele leverandørkjeden holder mål.
I Danmark har under 2 000 virksomheter registrert seg som NIS2-pliktige — langt færre enn de 3 000 myndighetene forventet. Mange vet rett og slett ikke at de er omfattet. Og enda flere vet ikke at kravene vil treffe dem indirekte — gjennom kundene deres.
Det er den biten som er interessant for norske SMB.
Når kunden spør
De første spørsmålene handler gjerne om sikkerhet. Har dere kontroll på tilgang? Har dere logging? Hvordan håndterer dere hendelser? Mange svarer godt på dette — de har jobbet med sikkerhet, kanskje mot ISO 27001 eller tilsvarende, og har fått mye på plass.
Men så kommer neste runde.
Hva slags data behandler dere egentlig? Hvorfor har dere dem? Hvem har tilgang — i praksis, ikke på papiret? Hvor lenge lagres de? Hvilke underleverandører er inne?
Og da blir det stille.
Ikke fordi virksomheten ikke har gjort noe. Men fordi man har jobbet med sikkerhet — og mindre med det som faktisk skjer med dataene over tid. Man har kontroll på systemene, men ikke nødvendigvis på bruken. Det er et gap som mange oppdager først den dagen kunden stiller spørsmålene.
To spor som henger sammen
NIS2 handler om robusthet — styringssystemer, beredskap, hendelseshåndtering, leverandørkjeder. GDPR handler om personopplysninger — formål, lagringstid, tilgang, rettigheter.
De er ikke det samme. Men de overlapper mer enn de fleste tror.
Du kan ha god kontroll på IT-sikkerheten og samtidig ha svak kontroll på personopplysninger. Du kan ha tekniske tiltak på plass og likevel mangle oversikt over formål, lagringstid og faktisk bruk. Avtalen beskriver én ting — virkeligheten utvikler seg i en annen retning. Tilganger utvides gradvis, ofte uten at noen tar en bevisst beslutning.
NIS2 sier eksplisitt at direktivet ikke setter GDPR til side. De to regelverkene eksisterer side om side. Og for en virksomhet som vil svare godt når kunden spør, er det helheten som teller — ikke bare det ene sporet.
Leverandørkjeden som etterlevelsestest
Det som gjør NIS2 spesielt relevant for SMB, er fokuset på leverandørkjeder. NIS2-pliktige virksomheter er pålagt å vurdere risikoen i sine leverandørrelasjoner. Det betyr at de vil stille spørsmål nedover — og forvente dokumenterte svar.
Ikke som formalitet. Som kvalifiseringskrav.
Vi har allerede sett dette i GDPR-sammenheng. Innkjøpsavdelinger krever databehandleravtaler, underleverandørlister, dokumentasjon på tilgangsstyring og avvikshåndtering. De som ikke kan levere, blir valgt bort.
NIS2 forsterker denne dynamikken. Kravene blir bredere — ikke bare personopplysninger, men hele virksomhetens robusthet. Og de går dypere — ikke bare avtaletekst, men faktisk praksis.
Grant Thornton peker på at mange virksomheter fortsatt ikke har registrert seg som NIS2-pliktige, og at forventningen er at tilsynsmyndighetene vil håndheve regelverket konsekvent. Det er grunn til å tro at det samme vil gjelde i Norge når regelverket implementeres fullt ut.
Hva en SMB faktisk trenger
Ikke alt. Men nok til å kunne svare.
Det betyr at du bør kunne forklare hva du leverer, hvilke systemer du bruker, hvilke data som er involvert, hvem som har tilgang, hvilke leverandører du bruker, hvordan du håndterer hendelser — og hvordan du vet at det du sier faktisk stemmer med det som skjer.
Alle trenger ikke kunne alt. Men alle trenger å kunne nok — i sitt eget område. Den som håndterer kundedataene i CRM-et trenger ikke forstå hele NIS2-direktivet. Men hun trenger å vite hva hun har tilgang til, hvorfor, og hva hun gjør hvis noe går galt.
Det er egentlig ikke så forskjellig fra god matlaging. Du trenger ikke være kokk for å krydre maten riktig. Men du trenger å ha krydderet der maten lages — ikke gjemt i et skap ingen åpner.
Spørsmålet er ikke om du er NIS2-pliktig
Det er om du er klar for den dagen kunden spør.
For mange kommer den testen ikke fra myndighetene. Den kommer fra en kunde som selv er under press — og som trenger å vite at leverandørkjeden holder.
Det er ikke en trussel. Det er en mulighet. Virksomheter som kan dokumentere kontroll — på sikkerhet og på personvern — står sterkere i anbudsprosesser, i kunderelasjoner, og i møte med uventede hendelser.
Du trenger ikke gjøre alt på én gang. Men du trenger å ha begynt.
Inspirert av: Grant Thornton — «Taler I NIS2? Mange virksomheder gør ikke» (mars 2026)
