Konsern x | NIS2 gap-analyse

For et norsk konsern, med en rekke datterselskaper, med tydelig tilstedeværelse i det norske markedet har vi utarbeidet en gapanalyse og veikart mot NIS2 compliance.

Bakgrunn

NIS2-direktivet stiller skjerpede krav til informasjonssikkerhet for virksomheter i hele Europa. Mange ledere spør seg: Hvor starter vi, og hvordan kan vi sikre faktisk etterlevelse – og unngå alvorlige konsekvenser?

 

Vil du ha en enkel innføring i hva NIS2 er?

 

I denne artikkelen deler vi erfaringer fra et nylig prosjekt for en større norsk virksomhet innen næringsmiddelindustrien (kundenavnet er anonymisert), hvor vi i Tellmann Executive Advisors gjennomførte en grundig GAP-analyse og la grunnlaget for NIS2-compliance. 

Konsernet består av en rekke selskaper med tydelige merkevarer i norske forbrukeres bevissthet. De opererer innen sektoren FMCG / næringsmiddel og servering.

 

Skjermbilde 2025-11-03 kl. 14.02.52

 

Funn og tilstand i virksomheten – et ærlig bilde


Gjennom kartleggingen og GAP-analysen avdekket vi en rekke forhold som gir et realistisk bilde av hvor virksomheten sto ved prosjektstart. Dette er typiske utfordringer vi ser hos mange virksomheter som nå møter NIS2-kravene:


1. God risikokultur – men informasjonssikkerhet var ikke forankret i ledelsen

Virksomheten hadde etablert solide rutiner og en sterk kultur for kvalitet og matsikkerhet, spesielt gjennom bruk av et TQM-system. Dette ga et godt utgangspunkt for å bygge videre på, men informasjonssikkerhet var i liten grad løftet opp på styre- og ledelsesnivå. Det manglet bevissthet om at informasjonssikkerhet er et ledelsesansvar, og ikke bare et IT-anliggende.

 

2. Manglende styringssystem og dokumentasjon

Selv om det fantes enkelte policyer og prosedyrer for IT-sikkerhet, var det ikke etablert et helhetlig styringssystem for informasjonssikkerhet i tråd med ISO 27001 og NIS2. Dokumentasjonen var fragmentert, og mange viktige områder – som risikovurderinger, hendelseshåndtering, leverandørstyring og opplæring – var ikke tilstrekkelig dekket eller formalisert. Man hadde altså deler av en overordnet informasjons-sikkerhetspolicy, men var ikke fundamentert i ledelsens føringer.

3. GAP på sentrale områder

GAP-analysen viste betydelige avvik på flere av de ti kravområdene i NIS2, blant annet:

  • Ledelsesforankring og governance: Styret og ledelsen hadde ikke satt konkrete mål, risikoterskler eller etablert tydelige roller og ansvar for informasjonssikkerhetsarbeidet.
  • Hendelseshåndtering: Det fantes ingen compliant enhetlig, dokumentert prosess for håndtering og rapportering av informasjons-sikkerhetshendelser, verken internt eller mot myndigheter.
  • Leverandørstyring: Kontroll og oppfølging av informasjonssikkerhet i leverandørkjeden var mangelfull, og det manglet formelle krav og rutiner i avtaler.
  • Kontinuerlig forbedring og internrevisjon: Det var ikke etablert systematikk for kontinuerlig forbedring eller internrevisjon av informasjonssikkerhetsarbeidet.
  • Opplæring og bevisstgjøring: Opplæring var i hovedsak knyttet til kvalitet og matsikkerhet, ikke til informasjonssikkerhet og de spesifikke kravene i NIS2.


4. IT-sikkerhet delvis ivaretatt – men OT-sikkerhet manglet

Konsern-IT hadde innført flere gode tiltak for IT-sikkerhet, men arbeidet var i liten grad utvidet til OT (operasjonell teknologi) og produksjonsmiljøene. Dette er et typisk funn i virksomheter med både IT- og OT-miljøer, hvor ansvarsforhold og risikovurderinger ofte er uklare.

5. Konsekvenser ved manglende etterlevelse

Analysen synliggjorde at manglende etterlevelse av NIS2 ikke bare kan få økonomiske konsekvenser i form av bøter, men også personlige konsekvenser for styremedlemmer og daglig leder. Dette understreker viktigheten av å forankre arbeidet i toppledelsen og sikre at alle nivåer i organisasjonen forstår sitt ansvar.

 

Vil du ha en enkel innføring i hva NIS2 er?

 

Slik jobbet vi: Metode og tilnærming


Vår tilnærming til identifikasjon av compliance-GAP bygger på ISO 27001/2/5-standardene, og består av tre hovedsteg:

  • Kartlegging av nåsituasjon – gjennom intervjuer med nøkkelpersoner og gjennomgang av eksisterende dokumentasjon.
  • GAP-analyse – vurdering av avstanden mellom dagens praksis og kravene i NIS2, målt mot ISO 27001.
  • Tiltaksplan – utarbeidelse og prioritering av konkrete tiltak for å lukke GAP og oppnå compliance innen utgangen av 2025, med mål om internrevisjon i Q1 2026.

Viktige læringspunkter

  • Styringssystem og ledelsesforankring er avgjørende: Arbeidet må starte i styret og toppledelsen, med etablering av styringssystem, governance-modell og tydelige roller og ansvar.

  • Konsekvenser ved manglende etterlevelse er alvorlige: Både virksomheten og enkeltpersoner i ledelsen kan holdes økonomisk og personlig ansvarlig ved brudd på NIS2 og GDPR.

  • Stort GAP til NIS2: Det manglet styringssystem, policyer, risikovurderinger og dokumentasjon på flere områder. Mange prosesser var ikke formalisert, spesielt innen hendelseshåndtering, leverandørstyring og kontinuerlig forbedring.

  • God risikokultur, men manglende bevissthet om IT- og informasjonssikkerhet: Virksomheten hadde etablert rutiner for kvalitet og matsikkerhet, men informasjonssikkerhet var i liten grad forankret i ledelsen, styret og produksjonsenhetene.

Eksempel på oppsummering

Skjermbilde 2025-11-10 kl. 14.21.16

 

Anbefalte tiltak

Vi anbefalte å bygge videre på eksisterende kvalitetssystem (TQM) og kultur, fremfor å innføre helt nye systemer. Tiltakene ble prioritert etter kritikalitet og ressursbehov, og inkluderte blant annet:

  • Etablering av styringssystem for informasjonssikkerhet
  • Utarbeidelse av policyer og prosedyrer for alle NIS2-kravområder
  • Systematisk risikovurdering etter ISO 27005
  • Opplæring og bevisstgjøring på alle nivåer
  • Forbedring av hendelseshåndtering, leverandørkontroll og kontinuitetsplaner
  • Kontinuerlig forbedring og internrevisjon

 

Hva kan andre virksomheter lære?

  1. Ledelsen må ta ansvar: NIS2 krever aktiv involvering fra styre og toppledelse – dette kan ikke delegeres bort.
  2. Bygg på eksisterende styrker: Har dere gode rutiner for kvalitet, matsikkerhet eller andre kvalitets- eller sikkerhetskrav? Bruk disse som fundament for informasjons-sikkerhetsarbeidet.
  3. Start med en GAP-analyse: Få oversikt over hvor dere står, og lag en realistisk plan for å tette hullene.
  4. Prioriter tiltakene: Ikke alt må gjøres samtidig – men de viktigste GAP-ene må lukkes først.
  5. Sørg for kontinuerlig forbedring: Compliance er ikke et prosjekt, men en kontinuerlig prosess.

Key take-away

NIS2 og Digitalsikkerhetsloven er ikke bare et nytt sett med krav – det er en mulighet til å styrke virksomhetens robusthet og konkurransekraft. Vår erfaring viser at med riktig tilnærming og ledelsesforankring er det fullt mulig å lykkes, selv om utgangspunktet kan virke krevende.

Ta kontakt med oss i Tellmann Executive Advisors for en uforpliktende prat om hvordan vi kan hjelpe din virksomhet på veien mot NIS2-compliance.

 

Vil du ha en enkel innføring i hva NIS2 er?

Prosjektinformasjon

Handel og industri
Transport og reiseliv

Behov: Kartlegging GAP ift NIS2-forskriften

Leveranse: Analyse, kartlegging, og anbefalt strategi for compliance NIS2

Om selskapet

Konsernet er et ledende skandinavisk merkevarehus som eier og utvikler forbrukerbrands innen FMCG og servering. De har en omsetning > 5 MRD og over 2000 ansatte. De har en rekke ulike produksjonsanlegg og mange serveringsenheter. Deres styrke ligger i operasjonell effektivitet, innovasjon og merkevareutvikling.