Blogg: Ny lov om digital sikkerhet – er din virksomhet forberedt?

Tilsynsmyndighetene kan avgi tvangsmulkt eller gebyrer til virksomheter som ikke overholder bestemmelsene i den nye loven, som forventes å tre i kraft i løpet av 2024.

Lov om digital sikkerhet ble sanksjonert i Stortinget i desember 2023 og stiller eksplisitte krav til digital sikkerhet til virksomheter som leverer såkalte samfunnsviktige tjenester og digitale tjenester.

Formålet med loven er å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes til å levere de samfunnsviktige tjenestene. Blir din virksomhet berørt av lovverket, og i tilfelle, på hvilken måte? 

Hva er formålet med loven?

Lov om digital sikkerhet innføres for å sikre et høyt, felles nivå for sikkerhet i nettverks- og informasjonssystemer i Norge, etter samme standard som er gjort gjeldende i EU. Det stilles flere krav til hvordan virksomheter som er omfattet av loven skal innrette seg for å forhindre og minimere konsekvensene av digitale angrep.

Loven har til hensikt å forplikte de virksomhetene som har en «særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet».  

Hva er relasjonen mellom lov om digital sikkerhet og NIS2-direktivet?

Lov om digital sikkerhet medfører innføring av EUs NIS-direktiv 2016/1148 i Norge. NIS ble gjort gjeldende i EU tilbake i 2016. EU har siden den gang vedtatt et nytt og utvidet direktiv som kalles NIS2-direktivet. 

NIS2-direktivet gjøres gjeldende i EU fra oktober 2024. Lov om digital sikkerhet er den første innføringen av direktivene i Norge, og bygger på NIS-direktivet av 2016. Loven ble sanksjonert i Stortinget i desember 2023, og det er forventet at den vil tre i kraft i løpet av 2024. 

Hvem er det loven gjelder for?

Loven gjøres gjeldende for tilbydere av det som er kategorisert som samfunnsviktige tjenester. Dette er i første omgang angitt å være tilbydere innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. 

I tillegg blir loven også gjeldende for virksomheter som kvalifiserer som tilbydere av digitale tjenester. 

Definisjonen av tilbydere av digitale tjenester er angitt å være tilbydere av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester. Dette er definisjoner som vil treffe et bredt spekter av IKT-leverandører, men som også vil treffe handelsvirksomheter. 

Hva betyr dette for berørte virksomheter? 

Lov om digital sikkerhet stiller en rekke minstekrav til virksomhetene med hensyn til å gjennomføre risikovurderinger og innføre tilstrekkelige, risikoreduserende sikkerhetstiltak. 

Begrepene «robusthet og motstandsdyktighet» blir gjennomgående benyttet for å beskrive forventninger til nivået på sikkerhetstiltakene i den digitale infrastrukturen. Dette innebærer forventninger om at virksomheten forebygger, avdekker og motvirker uønskede hendelser. 

Det stilles også krav om at virksomheten tester evnen til å motstå digitale angrep, øver på håndtering av uønskede hendelser og tester hvorvidt de klarer å opprettholde, eller komme tilbake til, «normaltilstand» ved en hendelse. Loven innfører i tillegg krav til varsling til tilsynsmyndighetene etter en digital hendelse. 

Hvilke risikoer står virksomhetene ovenfor?

På lik linje med innføringen av personvernforordningen (GDPR) i Norge i 2018, gis tilsynsmyndighetene mulighet til å avgi tvangsmulkt eller gebyrer hvis virksomheten ikke har overholdt bestemmelsene i loven. Størrelsen på gebyrene er ikke fastsatt i Norge, men NIS2-direktivet opererer med bøter på opptil 10 millioner euro eller 2 % av virksomhetens globale årlige omsetning. 

Vi er ikke tilhenger av at det primært er den økonomiske nedsiderisikoen som driver sikkerhetsarbeidet i en virksomhet, men vi erkjenner at trusselen om bøter kan være en vekker for å få forankring og midler til å iverksette aktiviteter. Omdømme, tap av kunder og samarbeidspartnere, økonomiske tap og tap av tillit til at din virksomhet kan ivareta en samfunnsviktig tjeneste, bør være like store drivere for å etterleve kravene i loven. 

Så, gjelder dette din virksomhet?

Det første du bør gjøre er å avklare om virksomheten din blir underlagt loven. Og, selv om du ikke blir direkte underlagt loven i første omgang, vil NIS2-direktivet utvide bestemmelsene til også å gjelde for sektorer innen forvaltning av IKT-tjenester, post- og kurertjenester, avfallshåndtering, fremstilling, produksjon og distribusjon av kjemikalier, produksjon av visse typer utstyr og forskning. 

Dette betyr at din virksomhet kan bli omfattet ved utvidelsen av virkeområdene også i Norge. Det er forespeilet at dette vil skje gradvis gjennom forskrifter, og at dette vil skje raskere enn innføringen av det første NIS-direktivet.

Samtidig ønsker vi å understreke at selv om din virksomhet ikke direkte blir underlagt lov om digital sikkerhet, legger loven sunne føringer for hvordan virksomheten din bør jobbe for å forebygge, avdekke og motvirke hendelser i den digitale infrastrukturen. Dette starter med risikovurderinger, og deretter med å innføre tiltak som sørger for et tilstrekkelig sikkerhetsnivå. 

NSMs grunnprinsipper for IKT-sikkerhet og ulike anerkjente, internasjonale standarder og rammeverk vil være gode utgangspunkt for å etablere dette sikkerhetsnivået. 

Og til sist, vil vi minne om at det også er viktig å ta høyde for tilstrekkelig sikkerhet hos tredjeparter og IKT-leverandører i sikkerhetsarbeidet. Dette inngår som en vesentlig del av de risikovurderingene og sikkerhetstiltakene virksomheten må evaluere for å etterleve loven. Et godt tips i denne sammenheng er å etterspørre, gjennomgå og evaluere tredjepartsuttalelser som ISAE 3402 / SOC2 rapporter, ISO/IEC 27001 sertifisering, eller andre relevante sertifiseringer fra leverandører og samarbeidspartnere.