Tilbake til aktuelt

Digitalsikkerhetsloven trer i kraft i løpet av 2024

Loven vil i første omgang gjelde for samfunnskritiske tjenester innenfor bl.a. energi, transport, helse, vannforsyning, bank, finans og digital infrastruktur, og for leverandører av digitale tjenester som nettbaserte markedsplasser, skytjenester og søkemotorer.

I Stock 1157541850

Loven ble vedtatt i Stortinget 12. desember i fjor, og vil tre i kraft i løpet av 2024. Dato for ikrafttredelse er fremdeles ikke satt.

Formålet

Formålet med loven er å styrke den digitale sikkerheten i virksomheter som har særlig betydning for samfunnet. Virksomhetene blir underlagt sikkerhets- og varslingskrav som skal gjøre dem bedre rustet til å stå imot digitale angrep.

Loven gjennomfører EU-direktivet om sikkerhet i nettverks- og informasjonssystemer (NIS1). NIS1-direktivet tar sikte på å skape harmoniserte regler for større motstandsdyktighet mot digitale trusler innenfor EU.

I EU er NIS1 allerede fulgt opp av NIS2, som stiller ytterligere krav til informasjonssikkerhet og beredskap, og som bl.a. utvider virkeområdet betraktelig til å omfatte flere sektorer, og ved å stille krav til sikkerheten også i leverandørkjedene. EU-landene har frist til 24. oktober 2024 med å implementere NIS2.

Departementet har i sitt posisjonsnotat av 23. august 2023 vurdert NIS2 som EØS-relevant og akseptabelt for Norges del. Departementet har videre uttalt at de jobber for å kunne gjennomføre også NIS2, og at de uavhengig av EØS-prosessen tar sikte på å gjøre de nødvendige tilpasningene i nasjonalt regelverk for å være i overensstemmelse med øvrige europeiske land. NIS2 vil altså høyst sannsynligvis også bli gjennomført i norsk rett.

Samfunnskritiske og digitale tjenester

Loven vil i første omgang gjelde for samfunnskritiske tjenester innenfor bl.a. energi, transport, helse, vannforsyning, bank, finans og digital infrastruktur, og for leverandører av digitale tjenester som nettbaserte markedsplasser, skytjenester og søkemotorer. Hvorvidt en virksomhet er omfattet av loven er i stor grad basert på skjønnsmessige kriterier, og første oppgave blir derfor å vurdere om ens egen virksomhet vil omfattes av loven.

Ved gjennomfæring av NIS2 i norsk rett vil anvendelsesområdet utvides til å omfatte virksomheter innenfor bl.a. matproduksjon, forskning og utdanning, avfallshåndtering og produsenter av visse varer som bl.a. medisinsk utstyr, IKT-utstyr og elektronikk, mv.

Norske virksomheter som leverer tjenester i EU-land må være forberedt på at kundene innen 24. oktober 2024 vil være underlagt NIS2.

Sikkerhetskrav og varslingsplikt

Loven pålegger tilbyderne å sørge for tilfredsstillende informasjonssikkerhet. Dette innebærer at virksomhetene jevnlig må gjennomføre risikovurderinger for å identifisere potensielle trusler og sårbarheter i nettverks- og informasjonssystemet. Videre må det etableres tekniske og organisatoriske sikkerhetstiltak som står i et rimelig forhold til den aktuelle risikoen, og som er egnet til å forebygge, avdekke og redusere konsekvensene av at risikoen realiseres. Vurderingene og tiltakene må kunne dokumenteres. Ved sikkerhetsbrudd og uønskede hendelser må tilbyderen varsle myndighetene uten unødig opphold, og det må etableres rutiner som sikrer at denne varslingsplikten blir overholdt.

Lignende krav kjenner vi igjen fra for eksempel GDPR, men mens GDPR er begrenset til å gjelde brudd på personvernet, skal det etter digitalsikkerhetsloven foretas en bredere vurdering av potensielle sikkerhetsrisikoer mot nettverks- og informasjonssystemet. Departementet uttaler i lovforarbeidene at dersom tilbyderne følger Nasjonal Sikkerhetsmyndighets (NSMs) grunnprinsipper for IKT-sikkerhet, vil kravene etter digitalsikkerhetsloven være ivaretatt.

Ved gjennomføring av NIS2-direktivet vil loven måtte endres til å oppfylle de skjerpede kravene som følger av dette, idet NIS2 innfører flere og tydeligere krav til informasjonssikkerhet og beredskap.

Sanksjoner ved brudd

Brudd kan straffes med pålegg, tvangsmulkt og overtredelsesgebyr. Overtredelsesgebyr kan i enkelte tilfeller også ilegges fysiske personer som opptrer på vegne av det ansvarlige selskapet. Videre vil det ansvarlige selskapets og konsernets morselskap hefte subsidiært for beløpet.

Råd om veien videre

Vi anbefaler alle å så snart som mulig ta en gjennomgang av informasjonssikkerheten i virksomheten og være i forkant. Det er viktig å kontrollere om virksomheten vil kunne bli underlagt NIS2, slik at man kan vurdere hvordan informasjonssikkerheten skal ivaretas og hvordan virksomheten skal møte de nye kravene.