Tilbake til artikler

11.6.2026

NIS2 og DORA — uten panikken. Her er hva norske SMB-eiere faktisk må gjøre.

Konsulenter selger panikk om NIS2 og DORA, og "personlig ansvar for daglig leder" havner i innboksen ukentlig. Det meste av det de roper om, gjelder ikke deg. Vi sammenfattet det viktigste i en 14-siders brief — hvem som er i scope, hva som faktisk er i kraft i Norge, og hva som bare er støy.

Vi får e-poster fra norske SMB-eiere som har lest at de "kan bli personlig ansvarlig" hvis NIS2 ikke etterleves. De har sovet dårlig en uke. De har vurdert å bruke 50 000 kroner på en compliance-pakke.

Det meste av det de hørte, er overdrevet eller direkte feil.

Her er statusen i Norge per juni 2026:

DORA — den europeiske forordningen om digital operasjonell motstandsdyktighet — er allerede i kraft i Norge siden 1. juli 2025. Den gjelder finanssektor. Banker, forsikring, betalingsforetak, krypto-aktører. Hvis du ikke er én av disse, gjelder ikke DORA deg.

NIS2 er IKKE i kraft i Norge ennå. EØS-innlemmelsen er ikke ferdig. Vi forventer ikrafttredelse i løpet av 2026 via en helt ny digitalsikkerhetslov — den som er i kraft nå (fra oktober 2025) implementerer gamle NIS1. Når NIS2 kommer, vil den treffe rundt 5 000 norske virksomheter, ikke "alle SMB".

For å være i scope for NIS2 må du oppfylle to filter samtidig: minst 50 ansatte (eller over €10M i omsetning og balanse), OG drive i en spesifikk kritisk sektor — energi, transport, finans, helse, post, kjemikalier, IKT-tjenester med flere. En vanlig norsk konsulent, regnskapsbyrå eller e-handler utenfor disse sektorene er ikke omfattet.

Article 20 om personlig ansvar for ledelsen er reell — men gjelder bare hvis virksomheten er klassifisert som essential eller important entity. Er du utenfor scope, har du ikke et Article 20-problem.

Vi sammenfattet alt dette i en 14-siders brief — med kildehenvisninger, tidslinje for norsk implementering, og en konkret beslutningsflyt så du på et øyeblikk vet om noe av dette gjelder deg.

Last den ned gratis. Den er på norsk, leses på 10 minutter, og inneholder ingen scare-tactics.

→ Last ned NIS2 og DORA-briefen (PDF, 14 sider)

Det vi tror du faktisk bør se på i 2026 er EU AI Act — den treffer langt bredere enn NIS2 fordi Article 4 om AI-kompetanse gjelder alle arbeidsgivere som bruker AI, uavhengig av størrelse og sektor. Det dekker vi i briefen og i vår tidligere artikkel om AI Act for norske SMB-er.

*Dette er ikke juridisk rådgivning. Det er en sammenfatning bygget på Finanstilsynet, NSM, PwC, Deloitte og direkte forordningstekst. Konsulter advokat før konkrete beslutninger.*

Roger Agerup

Grunnlegger og AI-rådgiver