Digitalsikkerhetsloven og forskriften trer i kraft – hva betyr det for norske virksomheter?

Da vi i mai 2025 skrev artikkelen: "Norsk lov om digital sikkerhet henger langt etter EU – men snart er tiden inne", var forskriften til digitalsikkerhetsloven fortsatt under arbeid. Nå er ventetiden over.

Digitalsikkerhetsloven med tilhørende forskrift trer i kraft 1. oktober 2025. Det markerer et tydelig skifte i hva norske virksomheter må gjøre for å sikre sine digitale tjenester og systemer, og ansvaret plasseres nå tydelig hos øverste ledelse.

Fra forslag til vedtak

Loven gjennomfører i hovedsak det første NIS-direktivet fra 2016 i norsk rett, mens forskriften presiserer hvordan pliktene skal etterleves. Nettopp derfor har mange ventet spent på de endelige formuleringene i forskriften.

Høringsnotatet fra 2024 la opp til relativt detaljerte minstekrav på flere områder. I den endelige forskriften har departementet valgt en mer funksjons- og risikobasert tilnærming. Virksomhetene skal nå selv dokumentere risikovurderinger og beskrive hvilke tiltak som er egnet for å beskytte tjenester og systemer. Denne fleksibiliteten kan gi rom for å tilpasse kravene til virksomhetens størrelse og risiko, men skaper samtidig behov for grundig dokumentasjon for å vise at kravene er oppfylt.

Et annet område som har fått tydeligere regulering, er varsling og samhandling med nasjonale responsmiljøer (CSIRT). Kravene er utformet for å sikre raskere og mer koordinert håndtering av hendelser. Forskriften presiserer også hvordan opplysninger som deles i forbindelse med hendelseshåndtering, må begrenses til det nødvendige og sikres særskilt. Dette reflekterer samspillet mellom digital sikkerhet og personvern.

Flere aktører etterlyste overgangsbestemmelser i høringen. Dette ble ikke tatt inn. Ifølge § 25 gjelder forskriften derfor fullt ut fra 1. oktober 2025, uten gradvis innfasing.

Hvem omfattes?

Forskriften gjelder for tilbydere av samfunnsviktige tjenester, blant annet innen energi, transport, bank og helse, samt for tilbydere av digitale tjenester som skytjenester, markedsplasser og søkemotorer. I tillegg vil reglene kunne få betydelig innvirkning i leverandørkjeder. Selv om en leverandør eller underleverandør ikke er direkte regulert, kan den møte nye krav gjennom kontrakter når kundene selv må stille krav til og dokumentere sikkerheten i verdikjeden.

Dette betyr at også virksomheter som ikke ser seg selv som «omfattet av loven», kan møte praktiske konsekvenser i form av endrede avtalevilkår, strengere krav til risikovurderinger og forventninger om beredskapsplaner.

Praktiske konsekvenser

Virksomheter som omfattes bør raskt få oversikt over hvor de står. Et naturlig første steg er å avklare om man faktisk er underlagt loven. Deretter bør dagens sikkerhetsnivå sammenlignes med kravene i forskriften. Mange vil kunne oppdage at det er behov for å etablere eller oppdatere styringssystemer, gjennomføre regelmessige risikovurderinger og tilpasse beredskapsplaner.

Loven legger ansvaret hos virksomhetens øverste ledelse. Styret og toppledelsen kan ikke lenger overlate digital sikkerhet til teknologimiljøene alene. Ressurser må settes av, og ledelsen må ha innsikt i hvordan risiko håndteres. Samtidig må virksomhetene se på sine leverandøravtaler. Kravet om sikkerhet i leverandørkjeden innebærer at kontrakter bør revideres for å sikre at også leverandører og underleverandører oppfyller forskriftens krav.

Forskriften forutsetter dessuten at virksomhetene etablerer rutiner for varsling og samhandling med nasjonale responsmiljøer ved alvorlige hendelser. For noen kan dette være en helt ny del av sikkerhetsarbeidet. Endelig er det viktig å samordne de nye pliktene med personvernlovgivningen. Kravene til digital sikkerhet og personvernforordningen (GDPR) griper inn i hverandre, og dårlig koordinering kan skape både ineffektivitet og regelbrudd.

Bull har et av landets fremste juridiske miljø innen teknologi, IT og AI. Har du spørsmål til dette eller annet så finner du oss her.

Tilsyn og sanksjoner

Nasjonal kommunikasjonsmyndighet (NKOM) utpekes i forskriften som såkalt nasjonalt felles kontaktpunkt for sikkerhet i nettverk og informasjonssystemer.

Tilsyn med digitalsikkerhetsloven og forskriften er fordelt mellom NKOM og eventuelle utpekte sektortilsyn. Dette er i § 21 fordelt slik at ansvarlig departement kan utpeke myndigheter som skal føre tilsyn med virksomheter innenfor egen sektor, mens NKOM fører tilsyn med virksomheter der det ikke er utpekt slike tilsyn. Det er ikke utpekt slike sektortilsyn per dags dato.

Ved brudd på loven eller forskriften kan tilsynsmyndigheten ilegge overtredelsesgebyr på inntil 25 ganger folketrygdens grunnbeløp eller fire prosent av virksomhetens årsomsetning forutgående regnskapsår hvis det gjelder foretak. Morselskapet hefter for gebyret subsidiært. Gebyret kan aldri overstige 50 millioner kroner, og sanksjonene er vesentlig strammere enn det NIS1 legger opp til.

Utfordringer og muligheter

Det er ingen tvil om at forskriften løfter digital sikkerhet opp som et sentralt lederansvar og gir føringer for hvordan virksomheter skal arbeide systematisk. Samtidig peker mange på utfordringer. Mindre virksomheter kan oppleve at kostnadene og ressursbehovet blir betydelige.

Begreper som «egnede tiltak» gir rom for tilpasning, men også et tolkningsrom som virksomhetene bør avklare gjennom grundige risikovurderinger og dokumentasjon. Ikke minst er tidsfaktoren en utfordring. Med ikrafttredelse allerede 1. oktober har virksomheter som ikke har begynt å forberede seg dårlig tid.

Dagens regler bygger på NIS1, men skjerper kravene en del i forhold til NIS1. EU har innført NIS2, som innebærer enda mer omfattende krav og flere virksomheter. Les mer om dette i artikkelen: "NIS2-direktivet: Hvilke virksomheter omfattes?". Virksomheter som behandler forskriften som et minimumsnivå, vil være bedre rustet for å møte neste runde.

Hva bør virksomheter gjøre nå

Digitalsikkerhetsloven med forskriften er nå en realitet. For mange virksomheter markerer dette starten på et nytt regime der digital sikkerhet ikke lenger er en frivillig ambisjon, men en lovpålagt plikt.

Virksomheter som vil være godt forberedt, bør snarest:

• Ta stilling til om virksomheten omfattes av reglene
• Gjennomføre en analyse av gapet mellom dagens praksis og forskriftens krav
• Gjøre risikoanalyser
• Forankre sikkerhetsarbeidet hos styre og ledelse
• Oppdatere leverandøravtaler
• Etablere rutiner for varsling og samarbeid med responsmiljøer

Motivasjonen for å etablere tilstrekkelig sikkerhet bør ikke kun være frykt for tilsyn, men heller:

• Sikre operasjonell trygghet for egen virksomhet
• Være forberedt på krav fra kunder
• Unngå personlig ansvar etter aksjeloven § 17-1. Les mer om dette i artikkelen: "NIS2: Personlig ansvar for ledelsen og ansatte"

Digital sikkerhet er ikke bare en kostnad. Når det håndteres riktig, er det en investering i virksomhetens robusthet, tillit og konkurransekraft.

NIS2 - Hva skjer videre?

Mens vi i Norge nå gjennomfører NIS1 gjennom digitalsikkerhetsloven og forskriften, har EU allerede gått videre. NIS2-direktivet er nå gjennomført i en rekke EU-land, men er ennå ikke innlemmet i EØS-avtalen. Det betyr at direktivet heller ikke er gjennomført i norsk rett. Muligens vil NIS2 gjennomføres parallelt med CER, som gjelder krav til fysisk sikkerhet. Du kan lese mer om dette i artikkelen: "CER-direktivet: Nye fysiske sikkerhetskrav for kritiske virksomheter".

Regjeringen har varslet at arbeidet med norsk implementering pågår, men tidslinjen er ikke avklart.

Ønsker du å lese mer om NIS2? Her er et knippe artikler vi anbefaler:

• Hvilke konkrete sikkerhetstiltak krever NIS2 at virksomheter gjennomfører?
• NIS2-direktivet: Hvilke virksomheter omfattes?
• NIS2: Personlig ansvar for ledelsen og ansatte

Her kan du også lese om kravene til sikkerhet i IoT-utstyr:

• Cyber Resilience Act: Nye sikkerhetskrav i endelig versjon av forordningen

Har du spørsmål til dette eller annet så finner du oss her.