1. oktober 2025 trer digitalsikkerhetsloven og digitalsikkerhetsforskriften i kraft. Regelverket skal styrke Norges evne til å motstå digitale angrep, og sørge for at samfunnskritiske tjenester fungerer også når noe går galt. For virksomheter som leverer slike tjenester, innebærer dette nye og tydelige krav til styring og sikkerhet.
Hvem omfattes av loven?
Loven gjelder for virksomheter som leverer tjenester av kritisk betydning for samfunnet, blant annet innen:
• Energi
• Transport
• Helse
• Drikkevannsforsyning
• Bank og finans
• Offentlig forvaltning
• Digital infrastruktur (bl.a. elektroniske kommunikasjonstjenester og datalagring)
I tillegg omfattes visse digitale tjenesteleverandører, som skyløsninger, nettbaserte markedsplasser og søkemotorer. Dersom virksomheten leverer en tjeneste som andre deler av samfunnet er avhengig av, er det stor sannsynlighet for at dere omfattes.
Hva kreves av virksomhetene?
Digitalsikkerhetsloven stiller krav om at virksomheter må arbeide systematisk og risikobasert med digital sikkerhet.
Styret og toppledelsen får et tydelig ansvar for å sikre at virksomheten beskytter sine verdier og har kontroll på digitale risikoer. Det innebærer å ha oversikt over trusler og sårbarheter, gjennomføre jevnlige risikovurderinger, innføre nødvendige sikkerhetstiltak og kunne håndtere alvorlige hendelser.
En viktig nyhet er at virksomhetene også må sikre at underleverandører følger opp kravene. Ansvar for digital sikkerhet stopper altså ikke ved egne systemer og ansatte.
Utfordringer mange vil møte
Selv om kravene kan virke tydelige, kan det være krevende å gjennomføre dem i praksis. Mange virksomheter må samordne kravene i digitalsikkerhetsloven med andre regelverk som sikkerhetsloven, personvernregelverket og – for flere – de kommende NIS2- og CER-kravene fra EU. Der digitalsikkerhetsloven bygger på EUs første NIS-direktiv (NIS1), vil NIS2 innføre enda strengere krav til digital sikkerhet og styring, mens CER-direktivet har fokus på fysisk robusthet og beredskap i kritisk infrastruktur.
Komplekse leverandørkjeder, mangel på kompetanse og behov for sterkere ledelsesforankring gjør at flere virksomheter vil måtte endre både struktur, kultur og rutiner for å møte kravene.
Når trer kravene i kraft?
Digitalsikkerhetsloven og -forskriften trer i kraft 1. oktober 2025. Fra denne datoen får myndighetene tilsynsmyndighet, og det kan ilegges sanksjoner og overtredelsesgebyr ved manglende etterlevelse.
Hva bør virksomheter gjøre nå?
Det første steget er å avklare om virksomheten omfattes av regelverket. Deretter bør man gjennomføre en enkel vurdering av hvor godt man allerede oppfyller kravene, og lage en plan for å tette eventuelle gap.
Forankring i ledelsen er avgjørende. Digital sikkerhet må bli en naturlig del av styring og drift, på linje med økonomi og HMS. Virksomheter som starter arbeidet nå, vil stå langt sterkere når loven trer i kraft.
Digitalsikkerhetsloven gjennomfører EUs første NIS-direktiv (NIS1) i norsk rett, men med elementer fra NIS2 direktivet. Den legger grunnlaget for fremtidig etterlevelse av NIS2 og andre regelverk som stiller enda strengere krav til digital motstandskraft.
.png)
