Digitalsikkerhetsloven

Hva er Digitalsikkerhetsloven og Digitalsikkerhetsforskriften?

Digitalsikkerhetsloven (DSL) er Norges første helhetlige lov om digital sikkerhet. Den ble vedtatt i desember 2023 og bygger på NIS-direktivet fra EU (Network and Information Security). Loven setter rammene og prinsippene for hvem som omfattes av hva.

Digitalsikkerhetsforskriften (DSF) gir utfyllende detaljer om hvordan lovens krav skal oppfylles i praksis. Forskriften kan derfor sees på som en operasjonalisering av loven.

Loven og forskriften trer i kraft 1. oktober 2025.

Hensikten med DSL og DSF er å styrke motstandsdyktigheten mot cyberangrep og andre digitale hendelser, spesielt i virksomheter som leverer samfunnskritiske eller digitale tjenester.

Kort sagt: Loven stiller krav til hvordan virksomheter organiserer, sikrer og rapporterer om sin digitale sikkerhet.

I denne artikkelen deler Erik, vår sikkerhetsrådgiver det du trenger å vite om Digitalsikkerhetsloven.

Last også ned en sjekkliste for å selv sjekke om du er omfattet. 

Hvem omfattes av Digitalsikkerhetsloven og -forskriften?

På et overordnet nivå gjelder loven for to typer virksomheter:

1. Samfunnsviktige virksomheter: innen energi, transport, bank, helse, vannforsyning og digital infrastruktur.
2. Tjenestetilbydere av digitale tjenester: som skytjenester, netthandel og søkemotorer

Når NIS2-direktivet innføres (antageligvis i løpet av det neste året), vil også flere sektorer omfattes, blant annet offentlig forvaltning, avfallshåndtering, post- og leveransetjenester, matproduksjon og produsenter av kritisk teknologi.

Små virksomheter er i utgangspunktet unntatt, men kan likevel omfattes dersom de leverer særlig kritiske tjenester.

Er du usikker på om du omfattes av Digitalsikkerhetsloven? Da bør du gjøre følgende nå:

1. Avklare om du er innenfor lovens virkeområde: sjekk sektor, størrelse og tjenester. Vi har gjort det enkelt for deg å sjekke

Om du er omfattet, gå videre til steg 2:

1. Gjennomføre en gapanalyse: kartlegg dagens sikkerhetsnivå opp mot lovens krav.
2. Etabler et styringssystem for sikkerhet: dokumenter policy, rutiner og roller, i første gang og som et minimum de som understøtter virksomhetens viktigste leveransekjeder.
3. Sikre hendelseshåndtering og varsling: hvem gjør hva, når, hvor og hvordan? Sørg for klare prosesser og tekniske verktøy for å oppdage og melde fra om hendelser.
4. Involver ledelsen: Digitalsikkerhetsloven, og etter hvert NIS2, setter klare krav til styret og toppledelsen, og understreker at de har det overordnede ansvaret for at kravene etterleves.
5. Se fremover mot NIS2: forbered dere på at virkeområdet blir bredere og kravene strengere fra 2026.

Hvilke krav stilles i Digitalsikkerhetsloven og -forskriften?

Kravene til virksomheter er delt i to, og gjelder for henholdsvis samfunnsviktige tjenester og tilbydere av digitale tjenester. Kravene er som følger:

For samfunnsviktige tjenester gjelder §7 og §8 i lovteksten, og kapittel 2 §6-14 i forskriften. Lovtekstens §7 og 8 sier følgende:

• Risikovurdering av nettverks- og informasjonssystemene som brukes til å levere tjenesten.
• Egnede tekniske og organisatoriske tiltak som står i forhold til risikoen og den teknologiske utviklingen.
• Tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesten kan opprettholdes.
• Varslingsplikt til myndighetene uten unødig opphold ved hendelser som har betydelig innvirkning på tjenesteleveransen (basert på antall brukere, varighet og geografisk omfang).

Forskriftens §6-14 sier videre at samfunnsviktige tjenester også skal ha:

• Styringssystem for informasjonssikkerhet (ISMS) (§6) som skal dokumenteres og inngå som en del av den overordnede virksomhetsstyringen. Virksomhetens leder har ansvaret for at virksomheten har et forsvarlig sikkerhetsnivå innenfor virkeområdet til digitalsikkerhetsloven.
• Risikovurdering og risikohåndtering (§7-8) sier at en samfunnsviktig tjeneste skal utarbeide, vedlikeholde og dokumentere risikovurderinger som er av et slikt omfang at tilbyderen kan identifisere organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak som ivaretar formålene for risikohåndtering. Basert på risikovurderingene skal en tilbyder av en samfunnsviktig tjeneste ha en plan for å håndtere risiko, enten det er organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak, som reduserer risikoen og opprettholder et forsvarlig sikkerhetsnivå.
• Organisatoriske sikkerhetstiltak (§9) sier at en tilbyder av en samfunnsviktig tjeneste skal utarbeide skriftlige instrukser, rutiner og prosedyrer for digital sikkerhet. Styringsdokumentene skal tilpasses virksomhetens størrelse, kompleksitet og risikobilde. Det skal foreligge tiltaksplaner som kan iverksettes dersom risikoen endrer seg eller det oppstår en hendelse, jf. §13 om hendelseshåndtering og beredskap.
• Teknologiske sikkerhetstiltak (§10) sier at en tilbyder av en samfunnsviktig tjeneste skal iverksette teknologiske sikkerhetstiltak som er tilpasset omfang, kompleksitet, driftsmiljø, brukermiljø, funksjon og risiko ved virksomhetens nettverk og informasjonssystemer, basert på risikovurderingene gjort jf. §7. Dersom et eller flere av tiltakene i andre ledd ikke kan gjennomføres, skal dette godkjennes av virksomhetens leder. Forskriften refererer her til 7 konkrete teknologiske sikkerhetstiltak som er:

1. sterk autentisering for adgang til nettverk og informasjonssystemer
2. styring av og kontroll med tilganger til virksomhetens nettverk og informasjonssystemer
3. tiltak for segmentering av nettverk og tjenester basert på minste privilegiums prinsipp
4. tiltak som skal sikre at nettverk og informasjonssystemer kan håndtere forskjellige typer avbrudd og gjenopprettes innen rimelig tid uten vesentlig reduksjon av tjenestens kvalitet
5. tiltak som skal sikre at nettverk og informasjonssystemer har tilstrekkelig kapasitet til å tåle overbelastning og utstyrssvikt
6. tiltak som skal sikre at nettverk og informasjonssystemer videreutvikles kontinuerlig, herunder at oppdateringer kvalitetssikres, installeres og testes fortløpende
7. sikkerhetsovervåkning av nettverk og informasjonssystemer for å avdekke hendelser.

Begrunnelsen for eventuelle unntak skal dokumenteres i styringssystemet for sikkerhet. Tilsynsmyndigheten skal orienteres om unntaket.

• Fysiske sikkerhetstiltak (§11) sier at en tilbyder av en samfunnsviktig tjeneste skal iverksette tiltak for fysisk sikkerhet for å opprettholde forsvarlig sikkerhet i nettverk og informasjonssystemer.
• Sikkerhetstiltak for personell (§12) sier at en tilbyder av en samfunnsviktig tjeneste skal iverksette nødvendige sikkerhetstiltak for ansatte, leverandører og oppdragstakere som kan få tilgang til virksomhetens nettverk og informasjonssystemer gjennom å sørge for a) det er rollebasert tilgangsstyring til lokaler, nettverk og informasjonssystemer, og b) at personell er gjort kjent med relevante tiltak, har tilstrekkelig sikkerhetskompetanse, og gis nødvendig opplæring ved behov.
• Hendelseshåndtering og beredskap (§13) sier at tilbydere av samfunnsviktige tjenester skal ha oppdaterte beredskapsplaner for håndtering og varsling av hendelser, inkludert vurdering av relevante tiltak som raskt kan iverksettes. Ved hendelser skal karakter og omfang identifiseres, nødvendige mottiltak iverksettes, og sikker tilstand gjenopprettes. Planverket skal dokumenteres, vedlikeholdes og testes gjennom øvelser for å styrke virksomhetens evne til hendelseshåndtering.

• Oppfølgingsplikt (§14) sier at tilbydere av samfunnsviktige tjenester skal sikre at leverandører og andre som utfører arbeid som kan påvirke sikkerheten i nettverk og informasjonssystemer, følger kravene til forsvarlig sikkerhet. Sikkerhetstiltakene skal gjelde for leverandører gjennom avtale eller andre egnede metoder, slik at et forsvarlig sikkerhetsnivå opprettholdes.
• Varslingplikt (§17) sier at et varsel skal sendes til tilsynsmyndighet med kopi til Nasjonalt kontaktpunkt. Varselet om hendelser skal sendes innen 24 timer etter at tilbyderen har fått kjennskap til hendelsen, og inneholde informasjon om tilbyder, berørt tjeneste, hendelsens karakter, antall berørte brukere og virkninger i andre land. Informasjonen skal oppdateres innen 72 timer. Innen én måned skal det sendes en hendelsesrapport med oppdatert informasjon og oversikt over avhjelpende tiltak. Tilsynsmyndigheten kan kreve statusoppdateringer og nødvendige opplysninger.

For tilbydere av digitale tjenester (§10 og §11 i lovteksten)

• Risikovurdering av nettverks- og informasjonssystemene som brukes til å levere tjenesten.
• Egnede sikkerhetstiltak basert på risiko og beste praksis, med særskilt fokus på:
  a) systemer, utstyr og anlegg
  b) hendelseshåndtering (for eksempel beredskapsplaner)
  c) opprettholdelse av tjenesteleveranse (for eksempel kontinuitetsplaner og katastrofegjenopprettingsplaner)
  d) overvåking, revisjon og testing
  e) internasjonale standarder
• Tiltak for å forebygge, avdekke og redusere konsekvenser av hendelser, slik at tjenesten kan opprettholdes.
• Varslingsplikt til myndighetene uten unødig opphold ved hendelser som påvirker tjenesteleveransen betydelig (inkludert økonomiske og samfunnsmessige konsekvenser).

Kort oppsummert må alle virksomheter som omfattes risikovurdere, sikre, opprettholde, og varsle. Digitale tjenestetilbydere har i tillegg mer detaljerte krav til hvordan sikkerheten skal følges opp (bl.a. standarder, testing og overvåking).

Det er viktig å presisere at tekniske og organisatoriske tiltak skal stå i forhold til risikoen, som betyr at hver enkelt virksomhet må gjøre sine egne vurderinger for hvilke tiltak som skal innføres.

Hva gjør Advania?

Advania jobber helhetlig med Digitalsikkerhetsloven. Det betyr både at driftstjenestene vi leverer til kundene våre er i henhold til kravene i loven, men også at vi bistår kundene våre med å etterleve kravene.

Trenger du hjelp med aktivitetene i listen over? Ta kontakt med oss, så setter vi opp en uforpliktende prat om hvordan vi kan hjelpe deg med å etterleve kravene.