Forskriften, som er fastsatt med hjemmel i digitalsikkerhetsloven fra 2023, implementerer EUs direktiv om sikkerhet i nettverks- og informasjonssystemer (NIS-direktivet) i norsk rett.

Ny forskrift om digital sikkerhet

Den nye digitalsikkerhetsforskriften vil tre i kraft 1. oktober 2025, og etablerer en ny standard for digitalt ansvar.

Publisert

Flere saker om datasikkerhet

security datasikkerhet

Forskriften innfører EUs NIS-direktiv (sikkerhet for nettverk og informasjonssystemer), og den flytter digital sikkerhet fra å være et IT-anliggende til å bli en lovpålagt og strategisk forpliktelse for toppledelsen i en rekke samfunnskritiske sektorer. Det skriver Næringslivets Sikkerhetsråd på sine nettsider.

 

Forpliktelser for ledelsen

Forskriften etablerer en ny standard for digitalt ansvar som vil få konsekvenser for styring, drift og strategi i de berørte sektorene. Dette markerer et skifte fra frivillige bransjenormer til lovfestede og håndhevbare krav for et bredt spekter av norske virksomheter.

For virksomhetsledere er det viktig å forstå at forskriften bygger på fire sentrale pilarer som til sammen utgjør det nye etterlevelsesregimet. Disse er ikke kun tekniske krav, men forpliktelser som forankres i hele virksomheten:

  1. Formell styring og ledelsesforankring. Forskriften stiller krav om å etablere et formelt styringssystem for sikkerhet (ISMS), som skal være en integrert del av den overordnede virksomhetsstyringen og godkjennes av virksomhetens øverste leder.
  2. Risikostyring. Virksomheter pålegges å systematisk identifisere, vurdere og håndtere digital risiko gjennom dokumenterte prosesser som dekker både interne og eksterne avhengigheter.
  3. Pålagte sikkerhetstiltak. Forskriften spesifiserer en rekke obligatoriske sikkerhetstiltak på tvers av fire domener: organisatoriske, teknologiske, fysiske og personellmessige.
  4. Ansvar i leverandørkjeden. Virksomheter holdes juridisk ansvarlige for å sikre at sentrale leverandører opprettholder et tilsvarende sikkerhetsnivå, noe som utvider ansvaret utover egen organisasjon.

Forskrift om digital sikkerhet trer i kraft 1. oktober 2025. 

 

Unntak for små virksomheter

En sentral del av den nye forskriften er den detaljerte listen over hvilke virksomheter som defineres som «tilbydere av samfunnsviktige tjenester». Forskriften beveger seg bort fra vage, kvalitative beskrivelser og introduserer i stedet presise terskler. Dette betyr at virksomheten ikke nødvendigvis kan tolke hvorvidt de er omfattet av de nye kravene, men at dette nå er et resultat av en objektiv beregning basert på operasjonelle data.

Forskriften skiller mellom tilbydere av samfunnsviktige tjenester og «tilbydere av digitale tjenester», som typisk inkluderer nettbaserte markedsplasser, søkemotorer og skytjenester. For denne siste gruppen gjelder et eget, ofte lettere, regime basert på en EU-forordning som innlemmes direkte i forskriften.

Et sentralt element her er unntaket for små virksomheter. Krav til digital sikkerhet og varslingsplikt gjelder ikke for tilbydere av digitale tjenester med færre enn 50 ansatte og en årlig omsetning eller balanse som ikke overstiger 10 millioner euro. Dette unntaket er av stor betydning for mange små og mellomstore teknologibedrifter i Norge.

 

Gjennomgang av forskriftens krav

En sentral endring som forskriften innfører, ligger i § 6 Styring og ledelsesansvar. Her fastslås det at enhver tilbyder må etablere et «styringssystem for sikkerhet» som skal være en integrert del av den «overordnede virksomhetsstyringen». Det avgjørende punktet er kravet om at dette systemet skal «godkjennes av virksomhetens leder» og gjennomgås årlig.

Dette er en juridisk forankring av digital sikkerhet som en kjerneoppgave innen selskapsstyring. Ansvaret flyttes fra IT-direktørens kontor til topplederens bord. En leder kan ikke godkjenne noe vedkommende ikke forstår. Dette tvinger frem en ny dialog internt, der tekniske eksperter må beskrive risikoer og kontroller slik at det passer inn i virksomhetens øvrige risikostyring. Dette gjør det i praksis umulig for en toppleder å hevde uvitenhet etter en alvorlig hendelse.

 

Fire domener for pålagte sikkerhetstiltak

Forskriften stiller krav om en helhetlig tilnærming til sikkerhet gjennom tiltak i fire sentrale domener:

  1. Organisatoriske tiltak (§9) Krav om skriftlige instrukser, rutiner og prosedyrer, samt oppdaterte tiltaksplaner for hendelseshåndtering. Disse styringsdokumentene skal være tilpasset virksomhetens størrelse og risikobilde.
  2. Teknologiske tiltak (§10) Forskriften lister en rekke konkrete teknologiske minstekrav, inkludert sterk autentisering, tilgangsstyring, nettverkssegmentering, tiltak for robusthet og kapasitet, kontinuerlig oppdatering (patching) og sikkerhetsovervåking.
  3. Fysiske tiltak (§11) Krav om å hindre uautorisert fysisk tilgang til lokasjoner og infrastruktur, samt å beskytte kritiske eksterne avhengigheter som strømtilførsel og datakommunikasjon.
  4. Personellmessige tiltak (§12) Krav om å styre tilganger basert på tjenstlig behov (minste privilegiums prinsipp), sørge for tilstrekkelig opplæring og kompetanse, og etablere robuste rutiner for når ansatte eller leverandører slutter.

 

Leverandørkjedesikkerhet

§14 fastslår at en tilbyder må påse at leverandører som kan påvirke sikkerheten, utfører sitt arbeid i tråd med forskriftens krav. Dette skal sikres «gjennom avtale eller på annen egnet måte».

Denne bestemmelsen vil skape en kaskadeeffekt av etterlevelseskrav nedover i leverandørkjedene og endre innkjøpsprosesser og B2B-relasjoner i Norge. En stor bank, som er direkte omfattet av forskriften, blir nå juridisk ansvarlig for sikkerheten hos sin mindre IT-tjenesteleverandør. Banken vil håndheve dette gjennom strenge kontraktskrav, revisjonsrettigheter og krav om dokumentasjon på sikkerhetsarbeidet, for eksempel i form av sertifiseringer. Den mindre IT-leverandøren må, for å beholde banken som kunde, investere i egen sikkerhet for å møte disse kravene, selv om leverandøren ikke er direkte omfattet av forskriften.

 

Beredskap og øvelser

§ 13 fastslår at virksomheter skal ha dokumenterte beredskapsplaner for håndtering av hendelser, men stiller også et krav om å «gjennomføre øvelser for å teste planverket». Det innebærer et behov for jevnlig å gjennomføre alt fra diskusjonsøvelser og tekniske simuleringer til mer omfattende funksjonsøvelser for å sikre at organisasjonen faktisk er i stand til å respondere effektivt under press.

 

Varslingsplikt

En av de mest operasjonelt krevende bestemmelsene er den strenge varslingsplikten i § 17. Ved en hendelse skal et første varsel sendes til tilsynsmyndigheten og det nasjonale kontaktpunktet «senest innen 24 timer etter at virksomheten fikk kjennskap til hendelsen». Dette skal følges opp med en oppdatering innen 72 timer og en endelig hendelsesrapport innen én måned.

Forskriften krever derfor i praksis at virksomheter har en innøvd og testet «dreiebok» for varsling, klar til å bli iverksatt på et øyeblikks varsel.

 

Nasjonal sikkerhet og beredskap

Nasjonal sikkerhetsmyndighet (NSM) utpekes som både nasjonalt responsmiljø (CERT) og nasjonalt felles kontaktpunkt. Det åpnes også for at departementene kan utpeke egne sektorvise responsmiljøer. Det etableres klare rammer for informasjonsdeling mellom disse aktørene, og med internasjonale partnere, for å forebygge og håndtere hendelser. Dette understøtter ambisjonen for offentlig-privat samarbeid. I en krisesituasjon forventes det at en berørt virksomhet ikke bare håndterer hendelsen internt, men også aktivt deltar i en koordinert nasjonal respons ved å dele og motta informasjon gjennom disse formaliserte kanalene.

digital sikkerhet nyheter samfunnskritiske sektorer næringslivets sikkerhetsråd forskrift nis-direktivet
Powered by Labrador CMS