Digitalsikkerhetsloven trer i kraft 1. oktober
Manglende etterlevelse av nye regler kan gi milliongebyr
Fra 1. oktober trer digitalsikkerhetsloven med forskrift i kraft. Mange virksomheter vet ennå ikke om de faktisk omfattes – men konsekvensene av å overse regelverket kan bli store, både økonomisk og omdømmemessig. Digitalsikkerhetsloven stiller bindende krav til styring, risikovurderinger, dokumentasjon og ledelsesansvar for digital sikkerhet. Dette betyr at en rekke virksomheter i samfunnskritiske sektorer må ha på plass styringssystemer, sikkerhetstiltak og rutiner for varsling av hendelser. Ved mangler vil ledelsen formelt kunne holdes ansvarlig.
Hva er digitalsikkerhetsloven, og hvorfor er den viktig?
Digitalsikkerhetsloven ble vedtatt i desember 2023 og implementerer EUs første NIS-direktiv (NIS1). Den 20. juni 2025 besluttet regjeringen at loven trer i kraft sammen med digitalsikkerhetsforskriften allerede den 1. oktober. Forskriften fyller ut lovens rammer og stiller detaljerte krav til prosesser, tiltak og dokumentasjon. Selv om EU har gått videre til NIS2-direktivet, vil den norske loven med forskrift være et viktig første steg og legge grunnlaget for senere utvidelser.
Hvem omfattes av loven?
Loven gjelder for samfunnskritiske sektorer som bank, finans, energi, transport, helse, vannforsyning og digital infrastruktur. Forskriften konkretiserer nærmere hvilke virksomheter innenfor disse sektorene som omfattes. Digitale tjenesteleverandører som nettbaserte markedsplasser, skytjenester og søkemotorer omfattes også. Virkeområdet fremgår av lovens § 2 og forskriften § 1 og illustreres under:
Hvilke krav stiller loven til sikkerhetsarbeidet?
Virksomheter må bl.a. etablere og vedlikeholde et styringssystem for digital sikkerhet, forankret i ledelsen og tilpasset virksomhetens risikobilde. Forskriften stiller krav til systematisk risikovurdering og -håndtering, tekniske og organisatoriske tiltak, fysisk og personellmessig sikring, samt kontinuitetsstyring og overvåking. Det kreves også rutiner for å håndtere hendelser, og virksomheten skal kunne dokumentere at nødvendige tiltak er gjennomført.
Varslingsforpliktelser
Regelverket innebærer også en plikt for omfattede virksomheter til å varsle om hendelser som har betydelig innvirkning på leveringen av en tjeneste. Forskriften tydeliggjør hvordan virksomheter skal vurdere hendelser og gir detaljer om varslingsprosedyrene. Varsling skal skje uten unødig opphold til sektortilsyn (eller Nasjonal sikkerhetsmyndighet i fravær av sektortilsyn), og virksomhetene må selv vurdere om de omfattes av loven ,og har dermed meldeplikt.
Hvem har ansvaret og hva kan brudd føre til?
Et sentralt punkt i forskriften er at øverste leder har det formelle ansvaret for sikkerhetsnivået. Lederen skal godkjenne styringssystemet, følge opp arbeidet minst årlig og sikre at sikkerhetsarbeidet er tilpasset virksomhetens faktiske risiko. Digitalsikkerhet er dermed ikke lenger kun et teknisk spørsmål for IT-avdelingen, men en del av virksomhetsstyringen på toppledernivå.
Ved brudd på kravene kan virksomheter ilegges betydelige gebyrer:
- For offentlige organer og fysiske personer er rammen opptil 25 ganger folketrygdens grunnbeløp
- For private virksomheter kan bøtene være opptil 4 % av årlig omsetning, begrenset oppad til 50 millioner kroner.
Oppsummert
Med ikrafttredelsen av digitalsikkerhetsloven og forskriften får norske virksomheter med samfunnskritisk betydning et helhetlig regelverk for digital sikkerhet. Kravene til styringssystem, risikovurderinger, dokumentasjon og ledelsesforankring skjerper ansvaret, samtidig som klare varslingsforpliktelser skal bidra til bedre håndtering av hendelser.
Virksomheter som kan være omfattet bør nå:
- Avklare om de omfattes av loven og varsle Nasjonal sikkerhetsmyndighet (NSM) og tilsynsmyndighet der det er påkrevd
- Sette seg grundig inn i regelverket for å forstå hvilke plikter som gjelder.
- Etablere eller oppdatere styringssystem for digital sikkerhet
- Kartlegge modenhet gjennom risikovurderinger og gap-analyser
- Implementere nødvendige tiltak og dekke minimumskravene for virksomhetsstyring. Her bør man bruke NSMs grunnprinsipper for informasjonssikkerhet som er en offentlig tilgjengelig ressurs.
For å sikre at virksomheten ikke bare er teknisk, men også juridisk, i samsvar med loven bør man vurdere juridisk bistand for å bistå med regelverksforståelse, tolkning og implementering av tiltak. Vi har god kompetanse på området og bistår gjerne med å avklare omfanget, gjennomføre vurderinger og sikre at virksomheten er rustet iht. lovens krav.
