Blogg
16.06.2025
min tid å lese

NIS2 kommer – men hvem eier egentlig ansvaret for sikkerheten?

NIS2-direktivet nærmer seg – og flere virksomheter bør vurdere ansvarsfordelingen for informasjonssikkerhet.
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >NIS2 kommer – men hvem eier egentlig ansvaret for sikkerheten?</span>

EU-direktivet NIS2 nærmer seg. Mange norske virksomheter forsøker nå å kartlegge hva det faktisk vil bety for dem, men mange har ikke engang begynt på reisen!

For noen handler det om å få på plass en god sikkerhet av hele IT Infrastrukturen. Andre har sikkerheten på plass, men mangler dokumentasjon og styringssystemer.

For dem begge handler det om å skape klarhet i én grunnleggende ting:

Hvem har egentlig ansvar for informasjonssikkerheten?

Svaret er ofte mer uklart enn man tror.

Mer krav, men samme kapasitet

NIS2 stiller økte krav til styring, risikovurdering, beredskap og rapportering – også for virksomheter som tidligere har operert under radaren. Samtidig ser vi at de interne ressursene i mange virksomheter ikke vokser i takt med kravene.

Det betyr at sikkerhetsarbeidet ofte blir «noe man tar litt ved siden av». En IT-leder får ansvar for sikkerhet i tillegg til alt annet. Noen tiltak settes i gang – men uten helhetlig plan, prioritering eller struktur.

Det er forståelig, men også risikabelt.

Hvorfor det ikke er nok å "fordele ansvaret"

Å spre sikkerhetsansvaret mellom ulike funksjoner kan fungere i teorien. I praksis ser vi ofte at:

  • Ingen har overordnet eierskap – det mangler en sikkerhetsstrategi.
  • Tiltakene blir tilfeldige – man reagerer på det som haster, men jobber lite forebyggende.
  • Regelverk og trusler forblir abstrakte – fordi ingen har rollen til å følge med og oversette dem til virksomhetens kontekst.
  • Styret og ledelsen involverer seg ikke eller får ikke tilstrekkelig innsikt – og dermed heller ikke grunnlag for å ta informerte beslutninger.

CISO for hire: Et pragmatisk alternativ

Det er ikke sikkert dere har behov for en sikkerhetsleder på fulltid. Men kanskje trenger dere en som tar ansvar for helheten – i et par timer i uken, eller i en overgangsfase.

Gjennom vår CISO for hire-tjeneste tilbyr Sicra erfarne rådgivere som fungerer som virksomhetens sikkerhetsleder – uten at dere må ansette noen. Vi kan blant annet bidra med:

  • Risikostyring og modenhetsanalyse
  • Plan for å møte NIS2 og andre relevante krav
  • Etablering eller videreutvikling av ISMS (informasjons­sikkerhetsstyrings­system)
  • Rapportering til ledelse og styre
  • Incident response og beredskapsplanlegging

NIS2 er ikke bare en revisjonsøvelse

Det handler om tillit, omdømme og evnen til å tåle uforutsette hendelser. For mange virksomheter blir NIS2 en vekker – og en anledning til å rydde opp, få struktur og legge en langsiktig plan for sikkerhet.

Men da må noen eie den planen.

Er dere i gang med NIS2-forberedelser, men mangler en tydelig ansvarlig?
Vi tar gjerne en uforpliktende prat for å se hvordan en CISO for hire kan bidra hos dere.

Les mer om Sicra sin CISO-for-hire-tjeneste >

Trenger du bistand?

Kontakt oss gjerne.
Ta kontakt

Les mer

Når er det riktig å leie inn en CISO?
Blogg

Når er det riktig å leie inn en CISO?

Fagblogg
Cybersikkerhet
Gratis webinar: Når alarmen går – hva skjer egentlig?
Eventer

Gratis webinar: Når alarmen går – hva skjer egentlig?

Webinar
10 sikkerhetstiltak virksomheten bør ha på plass før ferien
Blogg

10 sikkerhetstiltak virksomheten bør ha på plass før ferien

Fagblogg
Cybersikkerhet
Hvorfor moderne SOC er viktig for NSM, GDPR og ny digital sikkerhetslov
Blogg

Hvorfor moderne SOC er viktig for NSM, GDPR og ny digital sikkerhetslov

Fagblogg
Cybersikkerhet

Skreddersydd cybersikkerhet for virksomheter og institusjoner – så dere kan vokse, innovere og jobbe uten bekymringer.

Ta kontaktRing oss +47 648 08 488