Hopp til innholdet
  • Hjem
  • aktuelt
  • Digitalsikkerhetsloven trer i kraft– slik forbereder du deg

Digitalsikkerhetsloven trer i kraft– slik forbereder du deg

teknisk

Lov om digital sikkerhet (digitalsikkerhetsloven) og tilhørende forskrift til digitalsikkerhetsloven (digitalsikkerhetsforskriften) trer i kraft i Norge 1. oktober 2025.

Formålet med loven og forskriften er å sikre grunnleggende krav til digital sikkerhet i samfunnskritiske virksomheter i Norge. Loven gjennomfører EU's Network and Information Security (NIS) direktiv i norsk rett.

I dette nyhetsbrevet gir vi deg en oversikt over de nye kravene og praktiske råd for å etterleve regelverket.

Hvilke virksomheter omfattes av loven?

Digitalsikkerhetsloven gjelder for "tilbydere av samfunnsviktige tjenester" innen disse sektorene:

modell 1

Digitalsikkerhetsforskriften definerer terskelverdier for å identifisere hvilke virksomheter som skal anses som tilbydere av samfunnsviktige tjenester. Terskelverdiene angir innenfor hver sektor kategorier av tjenester eller størrelser på produksjon, drift eller brukere. Virksomhetene skal selv avgjøre basert på terskelverdiene hvorvidt de leverer en samfunnsviktig tjeneste. Departementene kan også utpeke andre virksomheter som skal omfattes av loven.

Terskelverdiene fremgår av forskriftens § 1.

Loven gjelder også for "tilbydere av digitale tjenester":

modell 2

Hvilke krav stilles til tilbydere av samfunnsviktige tjenester?

Regelverket stiller en rekke krav til tilbydere av samfunnsviktige tjenester. Under følger en oversikt over hovedkravene og praktiske råd for gjennomføring:

1. Meld virksomheten til NSM og tilsynsmyndighet: Virksomheten skal snarest mulig registrere seg hos NSM og relevant tilsynsmyndighet når loven trer i kraft. Registreringen skal inneholde grunnleggende informasjon som virksomhetsnavn, organisasjonsnummer, kontaktinformasjon, hvilken tjeneste som tilbys, og geografisk område.

Praktiske råd:

  • Vurder først om virksomheten leverer en samfunnviktig tjeneste basert på terskelverdiene i digitalsikkerhetsforskriften § 1. Dette sparer tid og sikrer at dere fokuserer på riktige krav.
  • Forbered informasjonen på forhånd og sett av tid til registrering tidlig i oktober 2025.
  • Undersøk om virksomheten allerede har systemer som kan bygges videre på, som eksisterende kvalitetssystemer eller HMS-systemer.

2. Etabler styringssystem for sikkerhet: Virksomheten skal opprette og vedlikeholde et dokumentert styringssystem for digital sikkerhet som er integrert i den overordnede virksomhetsstyringen.

Praktiske råd:

  • Vurder å benytte anerkjente standarder som ISO 27001 og NSMs grunnprinsipper for IKT-sikkerhet som utgangspunkt.
  • Involver IT-avdelingen og andre relevante fagområder tidlig i prosessen for å sikre at systemet blir praktisk gjennomførbart.
  • Dokumenter alle prosesser og rutiner skriftlig, og sørg for at de er lett tilgjengelige for ansatte.

3. Gjennomfør risikovurderinger: Virksomheten skal utarbeide, vedlikeholde og dokumentere risikovurderinger som dekker organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak.

Praktiske råd:

  • Risikovurderingene bør beskrive virksomhetens nettverk og informasjonssystemer, deres betydning for tjenesteleveransen, mulige trusler, sårbarheter, konsekvenser av hendelser, og avhengigheter til andre virksomheter.
  • Start med å kartlegge de mest kritiske systemene og deres sammenhenger først.
  • Gjennomfør risikovurderingene i team med representanter fra ulike fagområder for å få et helhetlig bilde.
  • Oppdater risikovurderingene minst årlig eller når det skjer vesentlige endringer i virksomheten.

4. Iverksett sikkerhetstiltak: Basert på risikovurderingene skal virksomheten ha en plan for å håndtere risiko og gjennomføre organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak.

Praktiske råd:

  • Prioriter tiltak basert på risiko og start med de mest kritiske områdene.
  • Lag en tidsplan for implementering av tiltak og følg opp fremdriften regelmessig.
  • Sørg for at alle ansatte får nødvendig opplæring i sikkerhetstiltak som gjelder deres arbeidsområde.

5. Etabler beredskapsplaner: Virksomheten skal ha beredskapsplaner for håndtering av hendelser og varsling.

Praktiske råd:

  • Lag enkle sjekklister for de mest vanlige hendelsestypene for å sikre rask og riktig respons.
  • Etabler klare kommunikasjonslinjer og kontaktlister for krisesituasjoner.
  • Test planene regelmessig og oppdater basert på erfaringer.

6. Følg opp leverandører: Virksomheten må sikre at leverandører og andre som utfører arbeid som kan påvirke sikkerheten, overholder kravene til forsvarlig sikkerhet. sikkerhetskravene må gjøres gjeldende gjennom avtaler eller andre egnede måter.

Praktiske råd:

  • Lag en oversikt over alle kritiske leverandører og vurder deres sikkerhetsnivå før avtaler inngås.
  • Inkluder sikkerhetskrav i alle relevante leverandøravtaler og gjennomfør regelmessige oppfølginger.
  • Krev dokumentasjon på leverandørenes sikkerhetstiltak og gjennomfør jevnlige revisjoner av deres etterlevelse.

Hvilke krav stilles til tilbydere av digitale tjenester?

Kravene til tilbydere av digitale tjenester fremgår av EUs gjennomføringsforordning 2018/151. Forordningen spesifiserer:

  • Hvilke konkrete sikkerhetskrav som skal vurderes og implementeres når tilbydere etablerer og gjennomfører tiltak for å oppnå et forsvarlig sikkerhetsnivå i nettverk og informasjonssystemer som benyttes for leveranse av sine tjenester.
  • Detaljerte elementer og spesifikasjoner knyttet til sikkerhetskrav samt konkrete parametere og kriterier for varsling og rapportering av sikkerhetshendelser.

Unntak fra krav til digital sikkerhet og varslingsplikten

Tilbydere av digitale tjenester med færre enn 50 ansatte og årlig omsetning under 10 millioner euro er unntatt fra krav til digital sikkerhet og varslingsplikten. Unntaket gjelder kun disse kravene. Tilbydere av digitale tjenester omfattes fortsatt av lovens øvrige bestemmelser om behandling av personopplysninger, tilsyn og opplysningsplikt.

Tilsyn og kontroll

Virksomhetens leder har ansvaret for at virksomheten har et forsvarlig sikkerhetsnivå etter digitalsikkerhetsloven. Dersom kravene ikke overholdes, kan virksomheten bli gjenstand for:

  • Pålegg om retting
  • Tvangsmulkt
  • Overtredelsesgebyr på opptil 25G eller 4% av virksomhetens årsomsetning foregående regnskapsår. Det høyeste beløpet utgjør den øvre rammen, men med en øvre grense på 50 MNOK.

Særlig om konsernforhold og transaksjonsprosesser:

Hvis selskapet som overtrer bestemmelsene er del av et konsern, beregnes overtredelsesgebyret basert på konsernets samlede årlige omsetning. Dette betyr at morselskapet og øverste morselskap i konsernet blir subsidiært ansvarlige for gebyret.

Retten til å ilegge overtredelsesgebyr foreldes fem år etter at lovbruddet er avsluttet. Myndighetene kan avbryte fristen ved å gi forhåndsvarsel eller fatte vedtak om gebyr.

Dette betyr at en kjøper kan bli holdt ansvarlig for tidligere lovbrudd gjennom det subsidiære ansvaret. Overholdelse av digitalsikkerhetsloven er derfor viktig å vurdere i oppkjøpsprosesser.

Hvem fører tilsyn?

Hvert departement kan utpeke spesialiserte tilsynsmyndigheter for sin sektor. Disse fører tilsyn med virksomheter innenfor sitt område. For virksomheter som ikke har en slik spesialisert tilsynsmyndighet, er Nasjonal sikkerhetsmyndighet (NSM) den overordnede tilsynsmyndigheten.

For tilbydere av digitale tjenester er tilsynet begrenset til reaktive tiltak. Tilsyn kan bare gjennomføres hvis tilsynsmyndigheten mottar konkrete opplysninger eller tegn på lovbrudd. Tilsynsmyndigheten må også vurdere at tilsyn er nødvendig og forholdsmessig.

Har du virksomhet eller kunder i EU?

NIS2-direktivet trådte i kraft i EU-landene med implementeringsfrist 17. oktober 2024 og gjelder for virksomheter som opererer i EU. Basert på vår erfaring ligger imidlertid flere EU-land bak den opprinnelige tidsplanen.

EU-landene implementerer direktivene gjennom egne nasjonale lovgivningsprosesser, noe som skaper betydelige variasjoner i hvordan lovgivningen gjennomføres mellom de ulike medlemslandene. Dette betyr at kravene kan variere både i innhold, tidspunkter og håndhevelse avhengig av hvilket land din virksomhet opererer i.

Dersom din virksomhet leverer tjenester til EU-markedet eller har etablert virksomhet i EU-land, er det viktig å holde seg oppdatert på de spesifikke nasjonale implementeringsreguleringene i de aktuelle landene.

Hvordan kan vi hjelpe deg med forberedelsene?

Vårt ekspertteam hjelper deg med å etterleve kravene og gir praktiske råd for hvordan arbeidet kan integreres med eksisterende prosesser. Kontakt oss for en uforpliktende samtale om hvordan vi kan støtte implementeringen av digitalsikkerhetsloven.

Med vår juridiske og praktiske erfaring bistår vi i alle steg av implementeringen, inkludert kartlegging av virkeområde og tolkning av regelverk, samt utarbeidelse av prosesser, policyer og rutiner for risikostyring. Vi hjelper også med revisjon og etablering av tilpassede kontrakter, og utvikling og implementering av robuste rammeverk for risiko- og virksomhetsstyring. Sammen finner vi en kostnadseffektiv og bærekraftig løsning som imøtekommer deres behov.