O nFredag 20. juni vedtok regjeringen på et statsrådsmøte at loven om digital sikkerhet trer i kraft den 1 oktober 2025. Samtidig ble den digitale sikkerhetsforskriften vedtatt, som trådte i kraft samtidig med loven.

‍

‍

Digital sikkerhetsloven er den siste delen av Norges gjennomføring av EUs NIS 1-direktivet. Det gjelder sektorene energi, transport, helsetjenester, vannforsyning, bank, finansmarkeder og digital infrastruktur. Formålet med loven er å sikre at organisasjoner av betydning for det norske samfunnet opprettholder en forsvarlig, systematisk og risikobasert styring av digital sikkerhet.

Reguleringen gir klar veiledning om hva som utgjør en minimumsnivå av tiltak nødvendig for å oppnå tilstrekkelig sikkerhet.

Er organisasjonen din klar?

Hovedfokuset i loven er forpliktelsen for organisasjoner til å sikre et tilstrekkelig sikkerhetsnivå. Dette ansvaret legges særlig på toppledelsen, som må sørge for at klare instruksjoner, rutiner og prosedyrer er på plass for å håndtere digital sikkerhet.

Mange av sektorene som nå er underlagt loven om digital sikkerhet har gjennomgått betydelig digital transformasjon. Drikkevannsforsyning er et godt eksempel.I dag er kontrollsystemer og produksjonsutstyr stort sett digitale og sammenkoblet i organisasjonsnettverk. Disse digitale systemene er avgjørende for levering av rent drikkevann til befolkningen.

Selv om slike systemer alltid har vært underlagt krav til sikker og pålitelig drift, har industristandarder for digitale sikkerhetstiltak historisk vært vage og frivillige.

Med den nye digitale sikkerhetsforordningen er disse systemene nå underlagt Spesifikke og håndhevbare krav for digital sikkerhet.

Hvor skal jeg begynne?

Det første trinnet er å vurdere om organisasjonen din faller innenfor lovens anvendelsesområde. Digital sikkerhetsforordningen gir detaljert veiledning med klare, kvantitative terskelverdier. For mange organisasjoner vil det være entydig om de er dekket eller ikke.

I tillegg tillater forskriften den ansvarlige sektormyndigheten eller Norges nasjonale sikkerhetsmyndighet (NSM) å bestemme at loven også skal gjelde organisasjoner utenfor det formelle virkeområdet.

Hvis en organisasjon bestemmer at den er omfattet av loven, må den Rapporter raskt relevant informasjon til NSM og den aktuelle tilsynsmyndigheten.

Trinn to er å gjennomføre en gapanalyse for å vurdere hvordan organisasjonen i dag overholder kravene i reguleringen. Eventuelle identifiserte hull må løses - og tiden vil gå raskt frem til implementering.

Forebygging og risikobasert tilnærming

I tillegg til å understreke evnen til å håndtere sikkerhetshendelser, fremhever reguleringen viktigheten av forebygging gjennom en risikobasert tilnærming. Ved kontinuerlig å identifisere og adressere risikoområder, kan organisasjoner prioritere ressurser effektivt og redusere sårbarheten for potensielle trusler.

Denne tilnærmingen gjør det mulig for organisasjoner å holde seg foran utviklingen i stedet for bare å reagere på hendelser etter at de oppstår. Det skal også bemerkes atRegulering pålegger varslingskrav for hendelser, sammen med et tilsvarende sanksjonsregime for organisasjoner som ikke overholder loven.

Norge må bygge en sterk sikkerhetskultur på tvers av sektorer for å møte et stadig mer alvorlig og komplekst trussellandskap.

Forordningens struktur

Forordningens krav til leverandører av kritiske tjenester er stort sett delt inn i følgende kategorier:

• Krav til sikkerhetsstyringssystemer og risikostyringssystemer
• Krav til spesifikke sikkerhetstiltak
• Krav til hendelseshåndtering og beredskap
• Krav til oppfølging av leverandør og tredjepart

De spesifikke sikkerhetstiltakene er videre delt inn i fire kategorier:

• Organisatoriske tiltak
• Teknologiske tiltak
• Fysiske tiltak
• Personalrelaterte tiltak

For teknologiske og fysiske tiltak spesifiserer forordningen en liste over minimumskrav for å beskytte nettverk og informasjonssystemer. Selv om slike konkrete tekniske krav kan risikere å bli utdaterte etter hvert som teknologien utvikler seg, er fordelen at de etablerer et klart grunnnivå for sikkerhet som organisasjoner kan overholde.

Sikkerhetsovervåking er et obligatorisk krav

Blant de viktigste kravene i forslaget til forordning er behovet for sikkerhetsovervåking av nettverk og informasjonssystemer for å oppdage hendelser. Dette er et minimumskrav for å muliggjøre tidlig oppdagelse og effektiv håndtering av sikkerhetshendelser.

For å sikre at uønskede hendelser håndteres i tide, bør overvåking være kontinuerlig og direkte knyttet til hendelseshåndteringsprosessen, slik at organisasjoner kan reagere på trusler i nær sanntid.

Sikkerhetsovervåking er ikke valgfritt - det er obligatorisk.

Veien fremover

Den foreslåtte forskriften for digital sikkerhet representerer et betydelig fremskritt i beskyttelsen av Norges digitale infrastruktur. Mange norske organisasjoner utenfor sektorene som er spesifisert i loven om digital sikkerhet står imidlertid overfor et like sterkt behov for å beskytte sine tjenester mot digital risiko.

Eksempler inkluderer:

• Aktører innenfor relevante sektorer, men utenfor EØS-avtalens virkeområde — for eksempel organisasjoner som opererer på norsk kontinentalsokkel
• Organisasjoner underlagt sikkerhetsloven
• Organisasjoner som opererer i sektorer som omfattes av NIS2-direktivet
• Bedrifter i andre sektorer som anser sine nettverk og informasjonssystemer som kritiske for driften

Disse organisasjonene bør også se på forordningens klare krav til både forebyggende tiltak og hendelsesberedskapasitet som et sterkt signal om det sikkerhetsnivået norske organisasjoner bør sikte på å oppnå.

Sektorer som er underlagt EUs NIS2-direktivet bør forberede seg på at dette regelverket sannsynligvis vil gjelde for dem i fremtiden.

For oss på Sikre-NOK, understreker dette viktigheten av overvåking av nettverk og informasjonssystemer som en uunnværlig komponent i en omfattende sikkerhetsstrategi.