Gjennomføringsforordning til NIS2-direktivet - risikostyringstiltak mv. for enkelte virksomhetskategorier
Kommisjonens gjennomføringsforordning (EU) 2024/2690 av 17. oktober 2024 om fastsettelse av regler for gjennomføring av direktiv (EU) 2022/2555 med hensyn til tekniske og metodiske krav til risikostyringstiltak for cybersikkerhet og nærmere spesifikasjon av de tilfeller hvor en hendelse anses å være vesentlig med hensyn til DNS-tjenesteleverandører, TLD-navneregistre, skytjenesteleverandører, tjenesteleverandører av datasentre, nettverksleverandører for innholdslevering, administrerte tjenesteleverandører, leverandører av administrerte sikkerhetstjenester, tilbydere av online markedsplasser, av online søkemotorer og av plattformer for sosiale nettverkstjenester, og tillitstjenesteleverandører
Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 laying down rules for the application of Directive (EU) 2022/2555 as regards technical and methodological requirements of cybersecurity risk-management measures and further specification of the cases in which an incident is considered to be significant with regard to DNS service providers, TLD name registries, cloud computing service providers, data centre service providers, content delivery network providers, managed service providers, managed security service providers, providers of online market places, of online search engines and of social networking services platforms, and trust service providers
EØS-notat | 23.10.2025 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 08.09.2025
Spesialutvalg: Kommunikasjoner
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Justis- og beredskapsdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester
Kapittel i EØS-avtalen:
Status
Gjennomføringsforordningen ble vedtatt 17. oktober 2024 og trådte i kraft i EU 7. november 2024.
Sammendrag av innhold
Bakgrunn og formål
Gjennomføringsforordningen gjelder for spesifikke kategorier av virksomheter som tilbyr digitale tjenester: DNS-tjenesteleverandører, TLD-navneregistre, skytjenesteleverandører, tjenesteleverandører av datasentre, nettverksleverandører for innholdslevering, administrerte tjenesteleverandører, leverandører av administrerte sikkerhetstjenester, tilbydere av online markedsplasser, av online søkemotorer og av plattformer for sosiale nettverkstjenester, og tillitstjenesteleverandører (samlet omtalt som «de relevante virksomhetene»).
Bakgrunnen for gjennomføringsforordningen er behovet for å gi konkret og ensartet veiledning til de relevante virksomhetene om hvordan de skal etterleve kravene i direktiv (EU) 2022/2555 (NIS2-direktivet) artikkel 21 nr. 2 om tekniske og metodiske krav til risikostyringstiltak for cybersikkerhet og spesifisere de tilfeller hvor en hendelse anses å være vesentlig og dermed skal rapporteres.
Vedlegget til gjennomføringsforordningen angir de tekniske og metodiske kravene, som er basert på europeiske og internasjonale standarder og tekniske spesifikasjoner som er relevante for sikkerheten i nettverks- og informasjonssystemer.
Ved implementering og anvendelse av de tekniske og metodiske kravene for tiltakene, skal virksomhetene sikre et sikkerhetsnivå som er passende for gjeldende risiko.
Gjennomføringsforordningen angir konkrete kriterier for når en hendelse anses som «vesentlig» etter artikkel 23 (3) i NIS2-direktivet. For hendelser som ikke alene når opp til forordningens terskel for å være «vesentlig», angir forordningen at gjentakende mindre hendelser likevel samlet kan anses som «vesentlig» dersom nærmere angitte vilkår er oppfylt.
Gjennomføringsforordningen angir videre særskilte kriterier tilpasset de relevante virksomhetene for når en hendelse anses som «betydelig».
Nærmere om de enkelte bestemmelsene i forordningen
Artikkel 2 fastsetter at de tekniske og metodologiske kravene for håndtering av cybersikkerhetsrisiko etter artikkel 21(2) i NIS2-direktivet følger av vedlegget til forordningen.
Videre er det i bestemmelsen spesifisert at ved bruk av tekniske og metodologiske kravene angitt i vedlegget, så skal virksomhetene skal sikre et sikkerhetsnivå tilpasset egne risikoer, størrelse, sannsynlighet for hendelser og potensiell samfunnsmessig og økonomisk påvirkning.
Hvis et krav er merket «der det er hensiktsmessig», «aktuelt» eller «mulig» og enheten velger å ikke bruke det, må dette begrunnes og dokumenteres tydelig.
Artikkel 3 angir konkrete kriterier for hva som skal til for at en hendelse regnes som betydelig etter NIS2 artikkel 23 (3). Kriteriene er ganske konkrete, blant annet er en hendelse betydelig dersom den har forårsaket eller er i stand til å forårsake direkte økonomisk tap for virksomheten som oversiger 500 000 euro eller 5% av årsomsetningen, utlevering av forretningshemmeligheter eller skade på liv og helse.
Planlagte driftsavbrudd og vedlikehold regnes ikke som vesentlige hendelser.
Artikkelen angir videre hvilke hensyn som skal hensyntas ved beregning av antall brukere som er berørt av en hendelse i henhold til artikkel 7 og artikkel 9–14.
Artikkel 4 angir at gjentakende mindre hendelser samlet kan anses som vesentlig dersom følgende kumulative vilkår er oppfylt: de har skjedd minst to ganger i løpet av 6 måneder, de har samme tilsynelatende underliggende årsak, de samlet sett har har forårsaket eller er i stand til å forårsake direkte økonomisk tap for virksomheten som oversiger 500 000 euro eller 5% av årsomsetningen, jf. artikkel 3 nr. 1 bokstav a.
Artikkel 5 til 14 gir spesifiserte kriterier for når en hendelse anses betydelig for konkrete kategorier virksomheter. Disse virksomhetene er DNS-tjenesteleverandører, TLD-navneregistre, leverandører av skytjenester, leverandører av datasentertjenester, leverandører av innholdsleveringsnettverk, leverandører av administrerte tjenester og leverandører av administrerte sikkerhetstjenester, leverandører av nettbaserte markedsplasser, leverandører av nettbaserte søkemotorer, leverandører av sosiale nettverksplattformer, leverandører av tillitstjenester
Merknader
Rettslige konsekvenser
Det antas at forordningen vil gjennomføres i nasjonal rett ved at den inkorporeres som norsk forskrift med hjemmel i ny lovregulering som gjennomfører NIS2-direktivet. Det legges til grunn at innlemmelse av gjennomføringsforordningen i EØS-avtalen og i nasjonal rett vil skje samtidig med innlemmelse av NIS2-direktivet. Det foregår for tiden et arbeid med å forberede nasjonal gjennomføring av NIS2-direktivet.
Økonomiske og administrative konsekvenser
Gjennomføringsforordningen spesifiserer allerede gjeldende forpliktelser som følge av NIS2-direktivet. Forordningen vil dermed ikke innebære en økning i økonomiske eller administrative konsekvenser sammenlignet med NIS2-direktivet.
Sakkyndige instansers merknader
EØS-notatet er forelagt spesialutvalget for kommunikasjoner.
Vurdering
Forordningen er knyttet til NIS2-direktivet som allerede er vurdert relevant og akseptabel. Gjennomføringsforordningen anses dermed som EØS-relevant og akseptabel. Innlemmelse av gjennomføringsforordningen i EØS-avtalen og i nasjonal rett vil måtte koordineres med innlemmelse av NIS2-direktivet. For NIS2-direktivet er det tatt konstitusjonelt forbehold, og det tas derfor også konstitusjonelt forbehold om innlemmelse av gjennomføringsforordningen
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2024/2690 |
| Basis rettsaktnr.: | |
| Celexnr.: | 32024R2690 |
EFTA-prosessen
| Dato mottatt standardskjema: | 26.11.2024 |
| Frist returnering standardskjema: | 18.03.2025 |
| Dato returnert standardskjema: | |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Ja |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |