Digitalsikkerhetsloven trer i kraft i dag 1. oktober 2025

Loven ble vedtatt i Stortinget 12. desember 2023, og trådte i kraft 1. oktober 2025.

Formålet

Formålet med loven er å styrke den digitale sikkerheten i virksomheter som har særlig betydning for samfunnet. Virksomhetene blir underlagt sikkerhets- og varslingskrav som skal gjøre dem bedre rustet til å stå imot digitale angrep.

Loven gjennomfører EU-direktivet om sikkerhet i nettverks- og informasjonssystemer (NIS1). NIS1-direktivet tar sikte på å skape harmoniserte regler for større motstandsdyktighet mot digitale trusler innenfor EU.

I EU er NIS1 allerede fulgt opp av NIS2, som trådte i kraft i EU i oktober 2024. NIS2 stiller ytterligere krav til informasjonssikkerhet og beredskap, og bl.a. utvider virkeområdet betraktelig til å omfatte flere sektorer, og ved å stille krav til sikkerheten også i leverandørkjedene.

Departementet har i sitt posisjonsnotat av 23. august 2023 vurdert NIS2 som EØS-relevant og akseptabelt for Norges del. Departementet har videre uttalt at de jobber for å kunne gjennomføre også NIS2, og at de uavhengig av EØS-prosessen tar sikte på å gjøre de nødvendige tilpasningene i nasjonalt regelverk for å være i overensstemmelse med øvrige europeiske land. NIS2 vil sannsynligvis bli gjennomført i norsk rett i løpet av 2026.

Samfunnskritiske og digitale tjenester

Digitalsikkerhetsloven vil fra 1. oktober 2025 gjelde for samfunnskritiske tjenester innenfor bl.a. energi, transport, helse, vannforsyning, bank, finans og digital infrastruktur, og for leverandører av digitale tjenester som nettbaserte markedsplasser, skytjenester og søkemotorer. Hvorvidt en virksomhet er omfattet av loven er i stor grad basert på skjønnsmessige kriterier, og første oppgave blir derfor å vurdere om ens egen virksomhet vil omfattes av loven.

Ved gjennomføring av NIS2 i norsk rett vil anvendelsesområdet utvides til å omfatte virksomheter innenfor bl.a. matproduksjon, forskning og utdanning, avfallshåndtering og produsenter av visse varer som bl.a. medisinsk utstyr, IKT-utstyr og elektronikk, mv.

Norske virksomheter som leverer tjenester i EU-land må være klar over at de allerede nå innen EU vil kunne være underlagt NIS2.

Sikkerhetskrav og varslingsplikt

Loven pålegger tilbyderne å sørge for tilfredsstillende informasjonssikkerhet. Dette innebærer at virksomhetene jevnlig må gjennomføre risikovurderinger for å identifisere potensielle trusler og sårbarheter i nettverks- og informasjonssystemet. Videre må det etableres tekniske og organisatoriske sikkerhetstiltak som står i et rimelig forhold til den aktuelle risikoen, og som er egnet til å forebygge, avdekke og redusere konsekvensene av at risikoen realiseres. Vurderingene og tiltakene må kunne dokumenteres. Ved sikkerhetsbrudd og uønskede hendelser må tilbyderen varsle myndighetene uten unødig opphold, og det må etableres rutiner som sikrer at denne varslingsplikten blir overholdt.

Lignende krav kjenner vi igjen fra for eksempel GDPR, men mens GDPR er begrenset til å gjelde brudd på personvernet, skal det etter digitalsikkerhetsloven foretas en bredere vurdering av potensielle sikkerhetsrisikoer mot nettverks- og informasjonssystemet. Departementet uttaler i lovforarbeidene at dersom tilbyderne følger Nasjonal Sikkerhetsmyndighets (NSMs) grunnprinsipper for IKT-sikkerhet, vil kravene etter digitalsikkerhetsloven være ivaretatt.

Ved gjennomføring av NIS2-direktivet vil loven måtte endres til å oppfylle de skjerpede kravene som følger av dette, idet NIS2 innfører flere og tydeligere krav til informasjonssikkerhet og beredskap.

Sanksjoner ved brudd

Brudd kan straffes med pålegg, tvangsmulkt og overtredelsesgebyr. Overtredelsesgebyr kan i enkelte tilfeller også ilegges fysiske personer som opptrer på vegne av det ansvarlige selskapet. Videre vil det ansvarlige selskapets og konsernets morselskap hefte subsidiært for beløpet.

Råd om veien videre

Vi anbefaler alle å gjennomgå informasjonssikkerheten i virksomheten, vurdere om virksomheten er omfattet av loven og i så fall avklare om lovens krav er oppfylt (GAP-analyse). Er det gap/mangler, så bør disse naturligvis utbedres umiddelbart. Tilsvarende bør vurderes opp mot NIS2, slik at virksomheten oppfyller gjeldende krav i EU, og er i forkant før kravene blir gjeldende i Norge i løpet av 2026.

Ta kontakt om dere ønsker at Tenden bistår med dette.