Digitalisering og ledelse, Forsvar og sikkerhet, Fagartikler, Informasjonssikkerhet, personvern og beredskap

Loven om digital sikkerhet (digitalsikkerhetsloven) trådte i kraft 1. oktober 2025 og gjelder nå.  Loven implementerer EUs NIS-direktiv og sikter mot å styrke Norges digitale motstandskraft.  Seniorrådgiver Klaus Trapp gir her en oversikt over hva dette innebærer for virksomheter, og hvordan du kan sikre etterlevelse. 

Er din virksomhet underlagt loven? 

Loven gjelder primært leverandører av essensielle tjenester innen sektorer som energi, transport, helse, vannforsyning, finans og digital infrastruktur (digitalsikkerhetsloven kap. 1 § 2). Selv om virksomheten din ikke faller direkte inn under disse, kan sektordepartementene utpeke dere som kritiske for samfunnsfunksjoner (digitalsikkerhetsloven kap. 2 § 6). 

Start med en selvavklaring: 

1. Bruk veiledere fra Nasjonal sikkerhetsmyndighet (NSM) for å vurdere om dere er omfattet. 

2. Kontakt relevant sektordepartement for veiledning. 

En tidlig avklaring gir rom for effektiv planlegging og unngår potensielle sanksjoner.

Sikkerhetsstyring som grunnlag 

Digitalsikkerhetsloven krever at underlagte virksomheter etablerer et integrert styringssystem for digital sikkerhet, med ledelsens aktive involvering (digitalsikkerhetsforskriften § 6). Systemet skal være dokumentert, basert på anerkjente standarder som ISO 27001, og omfatte forebygging, avdekking, håndtering og kontinuerlig forbedring. Ledelsen må definere klare roller og ansvar, samt gjennomføre årlige gjennomganger. 

Hvis virksomheten allerede har etablert et godt styringssystem for sikkerhet, vil mye være på plass. Loven vektlegger en risikobasert tilnærming uten krav om sertifisering – fokus er på et funksjonelt styringssystem som øker den totale motstandskraften.  

Styringsaktiviteter i praksis  

For å sikre etterlevelse må virksomheter gjennomføre regelmessige risikovurderinger av nettverk og systemer, inkludert dokumentasjon av sårbarheter, tiltak og oppdateringer ved endringer (digitalsikkerhetsforskriften kap. 2 § 7).

Andre sentrale aktiviteter omfatter:

1. Ledelsesforankring og medarbeideropplæring

2. Utvikling av beredskapsplaner (digitalsikkerhetsforskriften § 13).

3. Varsling av sikkerhetshendelser til myndighetene (digitalsikkerhetsloven § 17). 

Tilsyn fra myndighetene kan medføre overtredelsesgebyr (digitalsikkerhetsloven § 17), med et maksimum på 25 ganger grunnbeløpet i folketrygden (G) eller 4 prosent av foretakets årsomsetning – høyeste beløp gjelder, begrenset til 50 millioner kroner. Et robust styringssystem er dermed ikke bare et lovkrav, men også en økonomisk sikring. 

Loven er koordinert med eksisterende regelverk som GDPR og sikkerhetsloven, slik at du kan bygge videre på dagens tiltak. En gap-analyse er et effektivt verktøy for å kartlegge og tette hull. 

Praktiske steg - Hva gjør du nå?

For å sikre etterlevelse av loven raskt, anbefales det å følge disse prioriterte stegene: 

  1. Avklar virkeområdet: Vurder om virksomheten er underlagt loven eller kan bli utpekt (digitalsikkerhetsforskriften § 1). Bruk NSMs veiledere og/eller kontakt sektordepartementet. 

  2. Prioriter kjerneaktiviteter: Gjennomfør risikovurderinger og beredskapstester. Dokumenter styringssystemet i henhold til digitalsikkerhetsforskriften § 6. 

God sikkerhetsstyring ivaretar ikke bare lovkrav, men øker også virksomhetens robusthet mot både digitale og fysiske trusler.

Seniorrådgiver - Klaus Trapp

Hva kan vi bistå med? 

Hos Habberstad har vi et dedikert fagmiljø med erfarne, sertifiserte rådgivere innen virksomhetssikkerhet og beredskap.

Vi tilbyr skreddersydd støtte, inkludert: 

- Grundig gjennomgang og vurdering av lovens påvirkning på din virksomhet. 

- Etablering av enkle og effektive tiltak som dekker sikkerhetsbehovene dine. 

- Utvikling og tilpasning av et styringssystem for digital sikkerhet. 

 Våre konsulenter har hands-on erfaring fra implementering av NIS-direktivet i sentralforvaltningen og kan guide dere sømløst gjennom kravene.