Hva er digitalsikkerhetsloven, og hvorfor er den viktig?
Digitalsikkerhetsloven ble vedtatt i desember 2023 og implementerer EUs første NIS-direktiv (NIS1). Den 20. juni 2025 besluttet regjeringen at loven trer i kraft sammen med digitalsikkerhetsforskriften allerede den 1. oktober. Forskriften fyller ut lovens rammer og stiller detaljerte krav til prosesser, tiltak og dokumentasjon. Selv om EU har gått videre til NIS2-direktivet, vil den norske loven med forskrift være et viktig første steg og legge grunnlaget for senere utvidelser.
Hvem omfattes av loven?
Loven gjelder for samfunnskritiske sektorer som bank, finans, energi, transport, helse, vannforsyning og digital infrastruktur. Forskriften konkretiserer nærmere hvilke virksomheter innenfor disse sektorene som omfattes. Digitale tjenesteleverandører som nettbaserte markedsplasser, skytjenester og søkemotorer omfattes også.
Hvilke krav stiller loven til sikkerhetsarbeidet?
Virksomheter må bl.a. etablere og vedlikeholde et styringssystem for digital sikkerhet, forankret i ledelsen og tilpasset virksomhetens risikobilde. Forskriften stiller krav til systematisk risikovurdering og -håndtering, tekniske og organisatoriske tiltak, fysisk og personellmessig sikring, samt kontinuitetsstyring og overvåking. Det kreves også rutiner for å håndtere hendelser, og virksomheten skal kunne dokumentere at nødvendige tiltak er gjennomført.
Varslingsforpliktelser
Regelverket innebærer også en plikt for omfattede virksomheter til å varsle om hendelser som har betydelig innvirkning på leveringen av en tjeneste. Forskriften tydeliggjør hvordan virksomheter skal vurdere hendelser og gir detaljer om varslingsprosedyrene. Varsling skal skje uten unødig opphold til sektortilsyn (eller Nasjonal sikkerhetsmyndighet i fravær av sektortilsyn), og virksomhetene må selv vurdere om de omfattes av loven ,og har dermed meldeplikt.
Hvem har ansvaret og hva kan brudd føre til?
Et sentralt punkt i forskriften er at øverste leder har det formelle ansvaret for sikkerhetsnivået. Lederen skal godkjenne styringssystemet, følge opp arbeidet minst årlig og sikre at sikkerhetsarbeidet er tilpasset virksomhetens faktiske risiko. Digitalsikkerhet er dermed ikke lenger kun et teknisk spørsmål for IT-avdelingen, men en del av virksomhetsstyringen på toppledernivå.
Ved brudd på kravene kan virksomheter ilegges betydelige gebyrer:
- For offentlige organer og fysiske personer er rammen opptil 25 ganger folketrygdens grunnbeløp
- For private virksomheter kan bøtene være opptil 4 % av årlig omsetning, begrenset oppad til 50 millioner kroner
Oppsummert
Når digitalsikkerhetsloven og forskriften trer i kraft får norske virksomheter med samfunnskritisk betydning et helhetlig regelverk for digital sikkerhet. Kravene til styringssystem, risikovurderinger, dokumentasjon og ledelsesforankring skjerper ansvaret, samtidig som klare varslingsforpliktelser skal bidra til bedre håndtering av hendelser.Virksomheter som kan være omfattet bør nå:
- Avklare om de omfattes av loven og varsle Nasjonal sikkerhetsmyndighet (NSM) og tilsynsmyndighet der det er påkrevd
- Sette seg grundig inn i regelverket for å forstå hvilke plikter som gjelder.
- Etablere eller oppdatere styringssystem for digital sikkerhet
- Kartlegge modenhet gjennom risikovurderinger og gap-analyser
- Implementere nødvendige tiltak og dekke minimumskravene for virksomhetsstyring. Her bør man bruke NSMs grunnprinsipper for informasjonssikkerhet som er en offentlig tilgjengelig ressurs.
For å sikre at virksomheten ikke bare er teknisk, men også juridisk, i samsvar med loven bør man vurdere juridisk bistand for å bistå med regelverksforståelse, tolkning og implementering av tiltak. Vi har god kompetanse på området og bistår gjerne med å avklare omfanget, gjennomføre vurderinger og sikre at virksomheten er rustet iht. lovens krav.
