A study of NIS2.0 readiness in Norwegian Private SMEs: The Management Perspective

Abstract

Denne studien utforsker cybersikkerhetslandskapet blant norske SMBer (Små og mellomstore bedrifter) i privat sektor, spesielt med fokus på deres beredskap for NIS 2.0-direktivet. NIS 2 utvider det opprinnelige NIS 1-direktivet, og etablerer et grundig rammeverk designet for å heve cybersikkerhetsstandarder over hele EU. Den introduserer strenge krav til risikostyring, hendelsesrespons, forretning- skontinuitet og forsyningskjedesikkerhet. Denne studien undersøker de vanligste risikofaktorer for cybersikkerhet, forståelsesnivået blant beslutningstakere og ut- fordringene ledere møter når de styrer organisasjonene sine mot overholdelse av NIS 2.0. Ved å benytte en "Mixed Method"-tilnærming ble data samlet inn gjennom spørreundersøkelser og intervjuer med totalt 57 respondenter. Dette inkluderte 35 SMBer og 22 større selskaper, med innsikter hentet fra undersøkelsesresultater og 7 gjennomførte intervjuer. Funnene indikerer at norske SMB-er viser betydelige sårbarheter på grunn av utilstrekkelige IT-sikkerhetsbudsjetter og utilstrekkelig opplæring i nettsikkerhet. Til tross for den kritiske rollen til IT-systemer i de- res operasjoner, mangler mange SMBer robust risikostyringspraksis, som oftere observeres i større selskaper. Denne forskningen fremhever SMBs høye avhen- gighet av sine IT-leverandører, og introduserer forsyningskjederisikoer som krever strenge leverandørrisikostyringsstrategier. Studien avslører også at selv om mange SMB-ledere er klar over viktigheten av cybersikkerhet, er det et betydelig gap i de- res beredskap for NIS 2.0-krav. Dette gapet forverres av begrensede ressurser og ekspertise, noe som utgjør en betydelig utfordring for etterlevelse. Den kompar- ative analysen viser at større virksomheter generelt opprettholder høyere sikker- hetsstandarder, drar nytte av bedre ressursallokering og mer modne rammeverk for cybersikkerhet. SMB står imidlertid overfor unike utfordringer, inkludert be- hovet for skreddersydd støtte og målrettede ressurser for å forbedre deres cyber- sikkerhetsstilling.

This study explores the cybersecurity landscape among Norwegian SMEs (Small and Medium-sized Enterprises) in the private sector, specifically focusing on their preparedness for the NIS 2.0 directive. NIS 2 expands upon the original NIS 1 directive, establishing a thorough framework designed to elevate cybersecurity standards across the EU. It introduces stringent requirements for risk manage- ment, incident response, business continuity, and supply chain security. This study investigates common cybersecurity risk factors, the level of understanding among decision-makers, and the challenges leaders face in governing their organizations toward compliance with NIS 2.0. Utilizing a mixed-methods approach, data were collected through surveys and interviews with 57 respondents, including 35 SMEs and 22 larger enterprises, from survey results and 7 interviews. The findings in- dicate that Norwegian SMEs display significant vulnerabilities due to inadequate IT security budgets and insufficient cybersecurity training. Despite the critical role of IT systems in their operations, many SMEs lack robust risk management prac- tices, which are more commonly observed in larger corporations. This research highlights the high dependency of SMEs on their IT suppliers, introducing supply chain risks that necessitate strict supplier risk management strategies. The study also reveals that while many SME leaders are aware of the importance of cyberse- curity, there is a notable gap in their readiness for NIS 2.0 requirements. This gap is aggravated by limited resources and expertise, posing a significant challenge for compliance. The comparative analysis shows that larger enterprises generally maintain higher security standards, benefiting from better resource allocation and more mature cybersecurity frameworks. However, SMEs face unique challenges, including the need for tailored support and targeted resources to enhance their cybersecurity posture.