I løpet av 2024 får Norge sin første lov om digital sikkerhet. Denne loven vil også iverksette EUs NIS-direktiv (Network and Information Security Directive) i norsk lov. Loven vil stille krav til digital sikkerhet i offentlige og private virksomheter i en rekke sektorer. Det blir også krav til varsling av digitale hendelser til myndighetene.
Den nye loven skal legge til rette for å styrke den digitale sikkerheten i virksomheter som har særlig betydning for samfunnet. Det blir etablert et regelverk med minimumskrav til digital sikkerhet som gjelder for en rekke private og offentlige virksomheter på tvers av sektorer.
I pressemeldingen fra Regjeringen datert 5.mai 2023 sies det at "Utvalgte virksomheter vil nå bli forpliktet til å overholde digitale sikkerhetskrav og å varsle om alvorlige digitale hendelser. Det vil gjøre virksomhetene bedre rustet til å stå imot angrep mot de digitale systemene de er avhengige av"
Når loven trer i kraft vil det komme krav om at virksomhetene som omfattes av loven skal gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenester. På bakgrunn av risikovurderingen skal virksomheten iverksette hensiktsmessige og proporsjonale sikkerhetstiltak som skal sørge for et sikkerhetsnivå som er tilpasset risikoen.
De proporsjonale tiltakene skal forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes.
Dette betyr at alle virksomheter må se på digital sikkerhet som en naturlig del av den ordinære driften. Virksomheten må tilpasse sikringstiltak til egen risiko. Dette er et lederansvar.
Med den nye loven vil virksomheter;
- Få mer ansvar for å beskytte seg mot cyberkriminalitet
- Forpliktes til å overholde digitale sikkerhetskrav
- Forplikte seg å varsle om alvorlige digitale hendelser.
Justisdepartementet viser til NSMs grunnprinsipper for IKT-sikkerhet i oversendelsen av lovforslaget til Stortinget (Prop. 109 LS (2022 –2023). Å følge NSMs grunnprinsipper vil være et godt utgangspunkt for virksomheter som er underlagt lov om digital sikkerhet.
I første omgang vil loven om digital sikkerhet gjelde for en rekke offentlige og private virksomheter innenfor sektorene: Energi, transport, helse, vannforsyning, bank, finansmarkeds-infrastruktur og digital infrastruktur. Det er en forutsetning at virksomhetene leverer en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter, at de er avhengig av nettverks- og informasjonssystemer for å levere tjenesten, og at tjenesteleveransen kan bli betydelig forstyrret av en digital hendelse. Loven vil i tillegg også omfatte enkelte tilbydere av digitale tjenester som nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.
Vår anbefaling er i første omgang å kartlegge hvordan NIS-direktivet spesifikt vil påvirke og er relevant for din virksomhet. Dette vil sette føringer for planleggingen og gjennomføringen av tiltakene som kreves i samsvar med direktivet. Det kan være en omfattende prosess som tar tid og vil kreve involvering fra flere av fagområdene og ressurser. Det er på bakgrunn av dette viktig å være tidlig ute med planlegging for å sikre at man er forberedt på eventuelle krav, for å unngå å bli overveldet når direktivet trer i kraft.
Allerede i lovproposisjonen fra Justisdepartementet til Stortinget, er det signaler om at lov om digital sikkerhet vil utvides om kort tid. Dette er blant annet fordi EU har jobbet med å videreutvikle NIS-direktivet. Et revidert direktiv, NIS-2, ble vedtatt i 2022. For EU-landene er NIS-2 nå i ferd med å fases inn. NIS-2 er vurdert som EØS-relevant av Justisdepartementet, og det jobbes med å få direktivet inn i norsk lov.
NIS-2 innebærer en utvidelse av virkeområdet for loven om digital sikkerhet, noe som betyr at flere sektorer og flere virksomheter vil omfattes av reguleringen. Blant annet vil tjenestetilbydere innen energi, transport, bank, finansmarkedsinfrastruktur, helse, drikkevann, avløpsvann, digital infrastruktur, IKT-tjenester, sentral og regional offentlig forvaltning og romvirksomhet omfattes av NIS-2 og bli definert som vesentlige tjenester (essential services). Virksomheter innen post - og kurertjenester, avfallshåndtering, produksjon og distribusjon av kjemikalier, matproduksjon, produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr), tilbydere av digitale tjenester og forskning vil bli definert som viktige tjenester (important services) og omfattes også av NIS-2.
Virksomheter med mindre enn 50 ansatte og en omsetning på mindre enn 10 millioner euro i årlig global omsetning forventes ikke å være underlagt direktivet, med mindre tjenesten som leveres vurderes av myndighetene til å være av en tilstrekkelig samfunnsmessig viktig art.
Habberstad har et sterkt fagmiljø med erfarne og sertifiserte rådgivere innen informasjonssikkerhet og beredskap. Habberstad kan bistå virksomheter med:
Våre konsulenter har jobbet med implementering av NIS-direktivet i sentralforvaltningen, og kan bistå dere med å tilpasse dere til det nye regelverket og være proaktive før loven trer i kraft. Se oversikt over alle våre rådgivere her