Praktisk NIS2-cybersikkerhet for norske SMB i 2026
De fleste tenker at cybersikkerhet under NIS2 kun handler om statskritisk infrastruktur. Som webutvikler i Kronvega AS ser jeg hver dag hvordan små og mellomstore bedrifter blir fanget i kryssilden. Sannheten er at du som SMB må ha ting på plass i dag. NIS2-direktivet gjelder for Norge og inkluderer krav som også rammer underleverandører til kritisk infrastruktur.
NIS2 er ikke bare for de store
Tenk på NIS2 som et krav om brannsikring i et bygg. Selv om du ikke eier bygget, må leietakeren ha brannslukkere. For norske bedrifter betyr dette at IT-sikkerhet ikke lenger er en oppgave for IT-avdelingen alene. Det er et styrearansvar.
I dag kreves det at du har kontroll på din digitale tilstedeværelse. Du må vite hvem som har tilgang, og hva som skjer hvis noe går galt. Manglende sikkerhet kan bety direkte bøter eller tap av kontrakter. Derfor må digitalisering skje trygt.
Passkeys er det nye dørlåsen
Passord er utdaterte. De er som en nøkkel under dørmatten som alle kan finne. Passkeys er det neste logiske steget for å sikre innloggingen din. Det er en kryptert nøkkel som ligger direkte på enheten din.
Med passkeys fjerner du muligheten for at phishing-angrep stjeler legitimasjonen din. Dette gir en trygg opplevelse for både deg og kundene dine. Det er enkelt å implementere og beskytter mot de vanligste angrepene vi ser i 2026.
For å lykkes med dette trenger du god planlegging. Her er hva du gjør:
- Skru på tofaktor for alle administratorbrukere i dag.
- Skift til passkeys for alle interne systemer i neste uke.
- Fjern alle gamle passordbaserte innlogginger.
Daglige backups er din forsikring
Et nettsted uten backup er som en butikk uten alarm. Hvis tyver slår inn, er alt borte. Med NIS2-kravene må du kunne dokumentere at du kan gjenopprette data raskt.
En god backuprutine lagrer dataene dine et annet sted enn hovedsystemet. Den skal testes jevnlig, ikke bare ligge der. En ukentlig test av gjenoppretting tar deg ti minutter, men kan være en reddende engel.
Husk at sikkerhet også handler om personvern. En sletting i en backup må være GDPR-kompatibel. GDPR krever at personopplysninger slettes når formålet med behandlingen er oppfylt. Dette betyr at backupen må renskes for data som ikke lenger skal lagres. Dette er krevende, men nødvendig for å unngå bøter.
Knytt sikkerhet til tillit
Når du bygger nettstedet ditt, må du tenke på alt som henger sammen. wcag-tilgjengelighet gjør nettsiden brukbar for alle. God sikkerhet gjør den trygg å bruke. Sammen skaper dette tillit og øker konvertering.
Hvis du bruker kunstig intelligens i systemene dine, må du også sikre disse. En god ai-sikkerhetsveileder hjelper deg å navigere dette. For å lykkes med digitaliseringen må AI, sikkerhet og personvern henge sammen.
For å lese mer om hvordan du gjør dette trygt, anbefaler jeg AI og GDPR for SMB: Slik digitaliserer du trygt i 2026. For å forstå mer om e-post og sikkerhet, anbefaler jeg også Slik sender du GDPR-compliant cold emails i Norge — En praktisk guide for norske bedrifter. Hvis du vil dykke dypere i e-postlister, kan du lese vår guide om GDPR og e-postlister: Slik unngår norske bedrifter bøter.
For offisielle retningslinjer anbefaler jeg å sjekke Datatilsynets veileder om informasjonssikkerhet.
Pro-tip:
Ikke vent på at et angrep skal skje før du handler. Gjennomfør en enkel sjekk i dag: Skift passord til passkeys og sjekk at backupen fra i natt faktisk virker. Små grep gir stor sikkerhet.