Teknologi og innovasjon 

Personvern og cybersikkerhet

"The Big Five"The Big Five er en betegnelse brukt på de fem store EU-reguleringene som sammen utgjør en betydelig del av 


Målet med EU Data Strategy er å jevne ut konkurranse i det digitale markedet, sørge for økt datadeling og legge til rette for en stadig voksende «dataøkonomi» innad i EU.Samtidig som det digitale landskapet fortsetter å vokse skal de nye reguleringene også sørge for at personvernet, sikkerheten og de grunnleggende rettighetene til borgerne ivaretas.Her gir vi deg en kort introduksjon til reguleringene i The Big Five og kort status for eventuell implementering og ikrafttredelse i Norge.

Data Governance Act (DGA) — "Enabling data sharing for the common good"

Data Governance Act, eller Dataforvaltningsforordningen, ble formelt vedtatt i EU 4. mai 2022, og ble gjeldende i EU den 24. september 2023. Forskjellene mellom DGA og DA er at DGA gir et bredere rammeverk for bruk og deling av offentlig data, mens DA også angir konkrete rettigheter til brukere av tilknyttede enheter (IoT-produkter).

Grunntanken bak DGA er at data som har blitt skapt eller samlet inn av offentlige myndigheter (eller private virksomheter på vegne av det offentlige) skal komme samfunnet som helhet til gode. DGAs formål er dermed å legge til rette for økt datadeling, slik at data, som nevnt ovenfor, frivillig kan deles på tvers av ulike offentlige myndigheter. På denne måten skal DGA sørge for økt potensiale for datadrevet innovasjon i samfunnet ved at data kan deles, samtidig som personvern og informasjonssikkerhet ivaretas.

Forordningen omhandler data i både offentlig og privat sektor, og introduserer flere ulike roller, som igjen har ulike funksjoner og krav. «Data Intermediation Service Providers (DISP)» er tilsynsmyndighetsgodkjente enheter som fungerer som en form for rådgivende datahub, og som muliggjør deling av data mellom de som sitter på dataen («Data Holders») og potensielle brukere av dataen («Data Users»). DISP skal også tilgjengeliggjøre data for eventuelle eiere av personopplysningene («de registrerte»/«Data Subjects») og sørge for ivaretakelse av deres rettigheter etter GDPR. DISP skal også gi råd til Data Holders og Data Users om hvordan de trygt kan dele data og hvilke eventuelle avtaler som kreves.

Forordningen vurderes som EØS-relevant, da den inngår som en regulering av det europeiske indre marked, og forordningen er nå under vurdering i EØS/EFTA-statene. Det forventes at forordningen vil bli implementert i norsk rett på sikt.

Digital Markets Act (DMA) — "Promoting fair competition in digital markets"

Digital Markets Act (DMA), eller Forordningen om digitale markeder, ble formelt vedtatt 14. september 2022 og ble, med unntak for enkelte bestemmelser, gjeldende i EU fra 2. mai 2023.

DMA er EUs flaggskipregelverk som adresserer problemene som globale, dominerende plattformer skaper ved at de får uforholdsmessig stor nytte av fordelene i det digitale markedet. Formålet med DMA er dermed å sørge for et mer rettferdig og konkurransedyktig digitalt marked i EU.

DMA introduserer begrepet «gatekeepers» for de store globale aktørene som dominerer markedet, og EU-kommisjonene utnevnte den 6. september 2023 de 6 første «gatekeepers» under DMA.

Disse er Alphabet (morselskapet til Google), Amazon, Apple, ByteDance (selskapet bak TikTok), Meta og Microsoft.

Gatekeeperne har under DMA en rekke plikter og krav, herunder bl.a. å gi andre virksomheter tilgang til data de selv genererer, samt å gi andre virksomheter muligheter til å promotere tilbud og inngå kontrakter i gatekeeperens plattform med gatekeeperens kunder. Videre oppstiller DMA en rekke forbud, bl.a. forbud mot å favorisere egne varer og tjenester i ulike rangeringer, samt å sammenstille data på tvers av ulike tjenester eller plattformer uten samtykke.

Brudd på DMA kan medføre bøter på inntil 10 % av global årlig omsetning, eller 20 % ved gjentatte brudd. I ekstraordinære tilfeller, ved systematisk og gjentatte brudd, er Kommisjonen også bemyndiget til å vedta ytterligere tiltak, som å forplikte en gatekeeper til å selge en virksomhet eller deler av den.

Forordningen er vurdert som EØS-relevant og er for tiden til vurdering i EØS/EFTA-statene. Forordningen vil trolig implementeres i Norge i løpet av de kommende årene.

Digital Services Act (DSA) — "Strengthens the responsibilities and supervision to ensure less citizen exposure to illegal and manipulative content online"

Digital Services Act (DSA), eller Forordning om Digitale Tjenester, ble vedtatt 19. oktober 2022 og ble gjeldende i EU den 17. februar 2024.

DSA har som mål å sørge for et tryggere digitalt liv for forbrukere med åpne, gjennomsiktige og pålitelige plattformer. DSA vil redusere risikoen for sosial manipulasjon og eksponering av ulovlig innhold og dermed gi større demokratisk kontroll over plattformene. EU-kommisjonen varslet den 12. juli 2024 plattformen «X» (tidligere Twitter) om en innledende vurdering om brudd på DSA. X kan med dette risikere en bot på opptil 6 % av sin globale omsetning, altså $ 204 mill. eller 2,14 mrd. kroner.

DSA erstattet tidligere praksis der det var plattformeierne selv som i stor grad modererte og besluttet hvilket innhold som skulle aksepteres på deres egen plattform.

Pliktsubjekter under DSA er delt inn i fire kategorier;

1) Alle «mellomliggende» formidlingstjenester som tilbyr nettverks infrastruktur (ekomtilbydere og Internet Service Providers):

 Disse har bl.a. plikt til å informere om hvilke retningslinjer og prosedyrer som brukes for å moderere innhold, og årlig rapportere om foretatt moderering,

2) Tjenester som lagrer innhold (webhosting og skytjenester):

 Disse må bl.a. sørge for å ha rutiner for varsling og fjerning av ulovlig innhold, og gi begrunnelse hvis noe fjernes,

3) Digitale plattformer (nettmarkedsplasser, appbutikker og SoMe-plattformer): 

Disse har bl.a. plikt til å opprette effektive og brukervennlige interne klagesystemer, opprette rutiner for å forhindre misbruk, samt ivareta krav til bruk av reklame,

4) De største digitale plattformene (VLOPs og VLOSEs): 

Disse må bl.a. vurdere risiko forbundet med bruken av plattformen, samt sørge for jevnlig uavhengig revisjon og offentliggjøring av rapport.

Rettsakten er vurdert som EØS-relevant og vurderes nå av en arbeidsgruppe i EØS/EFTA-landene. Det forventes dermed at forordningen vil implementeres i Norge på sikt. Norge utarbeidet også i 2022 en egen norsk posisjon for DSA om forbud mot atferdsbasert markedsføring mot barn og unge. Denne kan leses her.

Anbefalte tiltak for omfattede virksomheter allerede nå

Som nevnt ovenfor er det trolig en god tid igjen til de ulike regelverkene får virkning i Norge. For virksomheter som tilbyr tjenester ut i Europa, eller leverer tjenester til andre Europeiske virksomheter, kan det likevel hende av regelverkene får indirekte virkning for virksomheten før de implementeres i norsk rett.Det anbefales likevel at virksomheter allerede nå begynner kartlegging og planlegging slik at de er klar den dagen kravene gjelder for deres virksomhet. Dette innebærer bl.a. å:

Vurder om virksomheten blir eller allerede er omfattet av de ulike regelverkene, samt fastslå hvilke krav som stilles til virksomheten og de tjenestene som tilbys.

Gjør ledelsen og styret i virksomheten oppmerksomme på de fremtidige kravene og allerede nå få forankring for videre arbeid.

Skaff oversikt over ansvarlige roller og personer i virksomheten og begynn identifisering av relevante avdelinger og interessenter, herunder IT-avdeling, juridisk avdeling, etterlevelses-team, eksterne juridisk rådgivere, leverandører og samarbeidspartnere.

Kartlegg virksomheten og få en oversikt over hvor forberedt virksomheten er med tanke på å ivareta de nye kravene (GAP-analyse).

Skaff oversikt over budsjettsituasjonen og sett rammer for fremtidige etterlevelsesprosjekter.

Prioriter oppgaver og påbegynn planlegging av gjennomføringen.

Ta kontakt med oss for en vurdering av om deres virksomhet vil være omfattet av én eller flere av reguleringene i The Big Five.

AI Act: Den siste reguleringen i "The Big Five" har trådt i kraft!

Det betyr at én enkelt hendelse hos én tjenesteleverandør kan få konsekvenser for store deler av finansmarkedet, og dermed true den økonomiske stabiliteten i Europa. Dette tilsier at det er behov fra lovgivers hold for å styrke robustheten i dette markedet – et behov som snart vil kunne innfris gjennom implementeringen av Digital Operational Resilience Act (DORA).

I dette nyhetsbrevet tar vi for oss innholdet i DORA, implementeringen i EU og Norge, og hvilke tiltak påvirkede norske virksomheter allerede nå bør begynne å forberede for å sikre etterlevelse.

EU-kommisjonens forslag til Digital Operational Resilience Act (DORA), er en del av EU-kommisjonens tiltakspakke for digitale sikkerhetstjenester innen finanssektoren. Forordningen ble vedtatt i desember 2022.

I EU trådte regelverket i kraft 16. Januar 2023. Omfattede virksomheter ble gitt en 24-måneders overgangsperiode for implementering og regelverket vil gjelde for omfattede finansforetak som opererer i EU-land fra 17. januar 2025. Det er usikkert om regelverket rekker å bli behandlet i Norge innen den tid. Finansdepartementet sendte i januar 2024 på høring et forslag til norsk implementering av forordningen, med frist for kommentarer 3. april 2024. Regelverket antas å være EØS-relevant og norske virksomheter bør allerede nå begynne forberedelser til etterlevelse av DORA når det trer i kraft i Norge.

DORA er et sektorspesifikt regelverk for finanssektoren som skal sikre at det finansielle markedet som helhet har nødvendige tiltak på plass for å forhindre cyberangrep. DORA stiller strengere og harmoniserte krav til finansforetak i EU, samt til deres leverandører innenfor informasjons- og kommunikasjonsteknologi (IKT). Manglende etterlevelse av regelverket kan bli kostbart og kan føre til både administrative gebyrer og tilbakekallelse av konsesjon. Etterlevelse av kravene i DORA krever stor tverrfaglig kompetanse innenfor blant annet teknologi, cybersecurity og juss.

Det er foreslått at i Norge skal Finanstilsynet være tilsynsorgan for overholdelse av DORA. Dette vil imidlertid kunne revurderes i lys av gjennomføringen av NIS1- og NIS2-regelverkene (generelle regler om motstandsdyktighet i nettverks- og informasjonssystemer hos private og offentlige samfunnskritiske aktører) avhengig av om tilsynsmyndigheten for digitalsikkerhetsloven (som gjennomfører NIS1-direktivet i norsk rett) vil legges til eksisterende sektormyndighet eller til en felles myndighet. Departementet har imidlertid foreslått at tilsynsmyndigheten skal legges til eksisterende sektormyndighet slik at Mattilsynet vil ha tilsynsansvar for tilsyn for f.eks. tilbydere av vannforsyningstjenester osv. Det taler for at tilsynsmyndighet for DORA trolig vil være Finanstilsynet.

DORA vil gjelde for 21 kategorier av finansielle virksomheter, herunder banker og kredittinstitusjoner, betalingsforetak, investeringsselskap, verdipapirhandelsforetak, forvaltningsselskaper, pensjonsfond, forsikringsselskap, revisjonsselskap, tilbydere av kryptvaluta og inkassobyråer. Dette vil omfatte alle finansielle virksomheter som i dag er underlagt Forskrift om IKT-systemer i banker mv (“IKT-forskriften”), men også ytterligere finansielle virksomheter. DORA vil også gjelde for et bredere og mer spesifikt spekter av finansielle og relaterte enheter, inkludert de som er involvert med krypto-eiendeler, kritisk finansiell infrastruktur, og spesifikke typer finanstjenesteleverandører.

Også IKT-leverandører som leverer tjenester for driftskritiske funksjoner til finansielle virksomheter vil være underlagt DORA. Det betyr at IKT-leverandører som tidlig kan vise til at de oppfyller kravene i DORA vil kunne få en markedsfordel.

Det stilles andre krav til «mikroforetak», som er finansforetak med færre enn 10 ansatte og som har en omsetning under 2 millioner euro. Det betyr at de enkelte finansforetakene må vurdere både om hvordan DORA vil gjelde for dem og hvordan kravene i DORA skal implementeres i praksis.

Hvordan vil DORA påvirke norske finansforetak?

Alle finansforetak som opererer i EU-land vil være omfattet av DORA. Dette gjelder også for norske finansforetak som opererer både i Norge og i EU. Mange foretak har i dag implementert standarder som ISO 27001 (standard for ledelsessystemer innen informasjonssikkerhet). ISO 27001 dekker ulike områder som er relevante for etterlevelse av DORA, inkludert kravene til risikovurdering, hendelsesvarsling, forretningskontinuitet og operasjonell robusthet. Men virksomheter som har implementert ISO 27001 vil ikke automatisk være DORA-compliant. For eksempel er ikke ISO 27001 like tydelig på kravet til penetration testing, som er en av pilarene i DORA-regelverket.

DORA stiller krav til finansforetak i hele det indre marked. For å oppfylle DORA må foretak etablere solide rammeverk for styring av IKT-risiko og rutiner for rapportering av IKT-hendelser, de må sørge for regelmessig testing av IKT-systemenes robusthet og motstandsdyktighet, håndtering av IKT-risiko knyttet til tredjeparter, samt gjennomføre informasjonsdeling i tråd med konkurranse- og personvernlovgivningen. DORA stiller også krav til at alle finansforetak ha grundig dokumentasjon over rammeverket for IKT-risiko, og også dokumentere jevnlig (minst årlig) en gjennomgang av rammeverket.

Hvilke krav stiller DORA til bruk av IKT-leverandører?

Mens IKT-forskriften § 12 i dag kun stiller krav til at finansforetak har ansvar for at leverandører oppfyller alle kravene i IKT-forskriften ved utkontraktering, går DORA lengre hva gjelder detaljering i hvilke krav som stilles til IKT-leverandører.

menes alle IKT-leverandører som finansforetak direkte eller indirekte benytter seg av og som har en kritisk og avgjørende betydning for finansforetakets kritiske prosesser.

IKT-leverandører som etter DORA vurderes som kritiske vil være underlagt Oversight Framework i DORA kapittel V section II, som er et omfattende rammeverk som regulerer effektiv kontroll over slike leverandører. Det betyr at også skyleverandører og tilbydere av annen kritiske tjenester til finansforetak vil kunne bli pålagt strenge krav og tilsyn.

For de ukritiske leverandørene vil DORA få en indirekte betydning ved at det må inkorporeres ytterligere vilkår i avtalen mellom finansforetaket og IKT-leverandøren. Dette vil være vilkår knyttet til bl.a. varsling av sikkerhetsbrudd og revisjonsadgang. DORA art. 27 oppstiller hvilke krav som stilles til innhold i avtalen.

DORA er inndelt i fem overordnede områder (pilarer) som sammen skal sørge for operasjonell motstandsdyktighet og ansvarlig digitalisering:

1. IKT-risikostyring og ansvarsplassering

 oppstiller DORA krav til spesifikke funksjoner innen IKT-risikostyring. Disse kravene er knyttet til identifisering, beskyttelse og forebygging, deteksjon og gjenoppretting, læring og utvikling, og kommunikasjon. DORA krever videre at virksomhetens ledelsesorgan tar 

 for håndtering av IKT-risikoer. Dette innebærer bl.a. ledelsens godkjenning av firmaets strategi for bruk av IKT-leverandører, samt en overordnet strategi for den operasjonelle motstandsdyktigheten i foretaket.

DORA pålegger finansforetak å rapportere alvorlige IKT-relaterte hendelser til tilsynsmyndighetene. Det legges også opp til at berørte brukere skal informeres. Lignende rapporteringsforpliktelser finner vi også i bl.a. CRA (Cyber Resilience Act), GDPR (General Data Protection Regulation) og NIS-direktivene (Network and Informations Systems Directives 1 og 2). DORAs rammeverk for hendelsesrapportering vil potensielt kunne bidra til å øke finansforetakenes evne til å analysere, klassifisere og rapportere IKT-hendelser og trusler.

3. Digital operasjonell stabilitetstesting

DORA stiller krav til at finansforetaket minst årlig gjennomfører sikkerhetstester og tester for motstandsdyktighet i sine systemer. For de finansforetakene som anses særlig viktige pålegger DORA i tillegg at det gjennomføres avanserte simuleringer av cyberangrep minst hvert tredje år. Testene skal gjennomføres av sertifisert personell som har dokumentert tilstrekkelig kompetanse for å gjennomføre slike tester. Alle potensielle sårbarheter som avdekkes gjennom testingen skal adresseres og dokumenteres.

4. Risiko fra kritiske tredjeparts IKT-leverandører

Alle IKT-leverandører skal som en integrert del av finansforetakets IKT-risikostyring overvåkes og risikovurderes. Finansforetakets strategi for bruk av IKT-leverandører skal vurderes jevnlig og en klar exit-strategi må være på plass for alle IKT-leverandører. I tillegg må alle krav til avtaler som stilles etter DORA art. 27 og Oversight Framework være oppfylt.

Med formål om økt informasjonsdeling mellom finansforetakene i EU, oppstiller DORA krav knyttet til informasjonsdeling. Målet er å sørge for at finansforetakene deler informasjon og etterretning innenfor cybersikkerhet og potensielle trusler og dermed styrker den totale motstandsdyktigheten i EUs finansmarked som helhet. DORA krever derfor at finansforetak og tilsynsmyndigheter i enda større grad må samarbeide på tvers av landegrensene.

Hvordan bør IKT-leverandører som leverer tjenester til finansforetak som opererer i EU, og fremtidige omfattede norske finansforetak forberede seg?

Alle finansforetak som opererer i EU-land vil være omfattet av DORA og har frem til 16. januar 2025 på å innrette seg etter de nye kravene. Dette gjelder også for norske finansforetak som operer i EU-land. Dette innebærer å:

Fastsette og avklare ansvar for implementeringen av DORA

Påstarte overordnet strategiarbeid i ledelsen

Få oversikt over foretakets modenhet ved å gjennomføre en GAP-analyse (readiness assessment)

Gjøre nødvendige oppdateringer i foretakets internkontrollprosesser og rutiner

Identifisere og dokumentere kritiske leverandører, systemer og prosesser.

Gjennomgå avtaleverk slik at de overholder kravene i DORA art. 27

For norske IKT-leverandører som leverer tjenester til finansforetak i EU vil det være viktig å kunne påvise at de er DORA-compliant i markedet. Slike IKT-leverandører bør derfor allerede nå begynne å:

Kartlegge om, og i hvor stor grad, kravene i DORA vil gjelde for dem

Vurdere om man er å anse som en kritisk IKT-leverandør

Implementere nødvendige tiltak som vil kreves av dem som IKT-leverandør

Forberede seg på en grundig gjennomgang og revidering av eksisterende avtaleverk med kunder

På grunn av kravenes kompleksitet og omfang anbefales det at også at andre norske finansforetak som senere vil bli omfattet av DORA gjennom implementering i norsk lov, og IKT-leverandører som leverer tjenester til disse, allerede nå begynner tilsvarende forberedelser.

EUs Digital Operational Resilience Act: Et stort steg i riktig retning mot økt cybersikkerhet og markedsstabilitet i EUs finanssektor

Regjerningen la den 5. mai 2023 frem et forslag til lov om digital sikkerhet (Digitalsikkerhetsloven) som vil tre i kraft i løpet av 2024. Justis- og beredskapskomiteen kom den 21. november 2023 med Innst. 78 L 2023-2024 til den nye digitalsikkerhetsloven som vil behandles i Stortinget 5. desember 2023.

Loven skal styrke den digitale sikkerheten i samfunnet og følger opp EU-direktivet om sikkerhet i nettverks- og informasjonssystemer (NIS1-direktivet). Loven har som formål å bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig samfunnsmessig betydning gjennom å stille strengere krav til kontroll på sikkerhetsarbeidet, og pålegger virksomheter å varsle ved uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester.

Digitalsikkerhetsloven vil i første omgang gjelde for samfunnskritiske sektorer som energi, transport, helse, vannforsyning, bank, finansmarkeder, og digital infrastruktur, samt for digitale tjenesteleverandører som digitale markedsplasser, skytjenester og søkemotorer. Men, i årene som kommer, vil Norge trolig også gradvis måtte implementere NIS1’s etterkommer, NIS2-direktivet, i Digitalsikkerhetsloven, noe som vil medføre at lovens virkeområde utvides til også å omfatte bl.a. offentlige myndigheter, utdanningsinstitusjoner, matproduksjon, post- og pakkedistributører, avfallshåndtering og produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner og transportutstyr).

EU har satt frist for implementering av NIS2 for europeiske virksomheter til oktober 2024. For norske virksomheter som skal tilby tjenester i Europa vil det altså også stilles krav om at virksomheter må sikre etterlevelse av NIS2.

KRAV TIL RISIKOVURDERINGER OG ØKT MONITORERING

I henhold til NIS1-direktivets artikkel 16 (1) er virksomheter som omfattes av loven pålagt å gjennomføre grundige risikovurderinger for å identifisere og treffe hensiktsmessige og rimelige tekniske og organisatoriske tiltak.I tråd med den tekniske utviklingen skal tiltakene sikre et nivå for sikkerhet i virksomheten som står i forhold til risikoen, idet det tas hensyn til bl.a. sikkerheten i systemer og anlegg, styring av driftskontinuitet, overvåkning, revisjon og testing, samt hendelseshåndtering. Ovennevnte vurderinger og iverksettelse av tiltak må kunne dokumenteres for å påvise etterlevelse.

OBLIGATORISKE VARSLINGSFORPLIKTELSER OM HENVDELSER

Nytt med digitalsikkerhetsloven og NIS1-direktivet er at det blir obligatorisk å varsle om hendelser som

leveringen av en tjeneste. Dette gjelder både for operatører av essensielle tjenester og leverandører av digitale tjenester. Direktivet definerer "hendelse" som enhver begivenhet som har en reell negativ virkning på sikkerheten i nettverks- og informasjonssystemer. Dette innebærer at en helhetsvurdering må gjennomføres for å avgjøre om virkningen av en begivenhet er negativ og videre om den negative virkningen er å anse som "betydelig". Faktorer som antall berørte brukere, hendelsens varighet, geografisk omfang og økonomiske og samfunnsmessige konsekvenser vurderes. Varslingsplikten gjelder bare når virksomheten har tilstrekkelig informasjon til å vurdere hendelsens betydning. Dersom det vurderes at varslingsforpliktelsen er utløst må varselet gis "uten unødig opphold". Dette betyr at varsling skal skje så snart som praktisk mulig, uten unødvendige forsinkelser.

HVA BETYR INNFØRINGEN AV DIGITALSIKKERHETSLOVEN I PRAKSIS FOR OMFATTEDE VIRKSOMHETER?

Det er avgjørende for etterlevelse av regelverket at virksomheten gjennomfører jevnlige risikovurderinger for å identifisere potensielle trusler og sårbarheter i tjenestene som tilbys, og iverksette tiltak for å redusere risikoen. Virksomheter bør implementere sterke sikkerhetstiltak som to-faktorautentisering, sterk kryptering, samt få på plass et IAM-system (Identity Access Management), for å beskytte kunders data mot uautorisert tilgang. Her er etterfølgelse av Nasjonal Sikkerhetsmyndighet (NSM) sine grunnprinsipper for IKT-sikkerhet en fin plass å starte. NSM er også i departementets proposisjon utpekt som kandidat for nasjonalt kontaktpunkt for tilsynsmyndigheter under regelverket. Regelverket krever også tett samarbeid med NSM og andre sektorspesifikke tilsynsorgan, inkludert virksomhetsinterne Computer Security Incident Response Teams (CSIRTs), for å sikre en effektiv respons på sikkerhetsbrudd.

Overholdelse av krav i digitalsikkerhetsloven innebærer at virksomheter bør etablere tydelige interne retningslinjer og prosedyrer for å håndtere sikkerhetsbrudd i samsvar med lovens krav. Videre bør virksomheten implementere tiltak knyttet til sikkerhetsovervåkning og hendelseshåndteringssystemer for å oppdage, rapportere og reagere på sikkerhetsbrudd raskt.

I korte trekk skal digitalsikkerhetsloven sørge for en betydelig forbedring av digital sikkerhet i norske samfunnskritiske virksomheter gjennom implementering av NIS1-direktivet. Omfattede virksomheter blir nå pålagt å etablere robuste interne prosesser, gjennomføre grundige og hyppige risikovurderinger, varsle om sikkerhetshendelser og samarbeide tettere med nasjonale myndigheter.

I EU er NIS1 allerede erstattet av NIS2, og europeiske virksomheter har for alvor fått en felles målsetning for digital sikkerhet og økt samarbeid i det indre markedet. Det er derfor viktig at også norske virksomheter har økt fokus på digital sikkerhet i årene som kommer.

Dette bør du vite om digitalsikkerhetsloven som trer i kraft i 2024 

Trine er en del av faggruppen for Teknologi og innovasjon, hvor hun jobber med spørsmål knyttet til personvern og informasjonssikkerhet. Trine har tidligere jobbet som jurist og personvernombud for AtB hvor arbeidet bestod av generell compliance av personvern. Trine har også jobbet som personvernombud for Norges domstoler, inkludert Domstoladministrasjonen, tilsynsutvalget for dommere, innstillingsrådet for dommere og Finnmarkskommisjonen. Trine har i sitt arbeid jobbet tett på IT, CISO og informasjonssikkerhetsrådgivere og har opparbeidet seg god teknisk kompetanse som utfyller det juridiske. 

Nylig har hun tatt emner i Digital Sikkerhet - Teknologi på Norges teknisk-naturvitenskapelige universitet (NTNU) hvor hun har skrevet om bruk av AI innenfor Cybersecurity og sikkerhet i sky, herunder viktigheten av en robust Skystrategi for virksomheter når de tar steget over i sky.

Trine sitter også i "Komité for personvern, informasjonssikkerhet og cybersecurity" i Standard Norge, og er utvalgt som nasjonal ekspert fra Norge i ISO/IEC JTC 1/SC 27 WG4 og WG5 og bistår i arbeidet med nye standarder knyttet til Privacy, AI og Cybersecurity.

På studiet tok Trine spesialfag innenfor cybersecurity og i sin masteroppgave analyserte hun lovpålagte varslingsforpliktelser ved cybersikkerhetsbrudd i henholdsvis GDPR og NIS-direktivet. Sistnevnte skal gjennomføres i norsk rett i 2025 som Lov om digital sikkerhet.

Kontaktinformasjon

+47 454 27 053

trh@adeb.no

+47 23 89 40 00

Kompetanseområder

Teknologi og innovasjon

Personvern og cybersikkerhet

Trine Hammervold

Aktuelt

AI Act: Den siste reguleringen i "The Big Five" har trådt i kraft!

EUs Digital Operational Resilience Act: Et stort steg i riktig retning mot økt cybersikkerhet og markedsstabilitet i EUs finanssektor

Dette bør du vite om digitalsikkerhetsloven som trer i kraft i 2024

Nyhetsbrev