- Vil kreve tilpasning
- Vil kreve tilpasning
Den 1. oktober trer lov om digital sikkerhet og tilhørende forskrift i kraft i Norge. Virksomheter med samfunnsviktige oppdrag vil merke dette mest.
Siv Irene Aasen er partner i Consulting i BDO.
Siv Irene Aasen er partner i Consulting i BDO.
− Dette er et steg på veien mot et robust og motstandsdyktig samfunn, sier Siv Irene Aasen, partner i Consulting i BDO.
Den 20. juni ble forskriften om digital sikkerhet vedtatt. Dermed ble det endelig klart hvilke virksomheter som blir underlagt digitalsikkerhetsloven i Norge, og når bestemmelsene trer i kraft.
− Det er ganske begrenset hvilke virksomheter som omfattes av forskriften i denne omgang, men for dem det gjelder, vil det medføre nye krav for hvordan de håndterer, og reduserer, risikoen for digitale sikkerhetsbrudd og -hendelser, sier Aasen som har gått gjennom forskriften med lupe.
Aasen ramser opp energi, transport, helse- og omsorg, vannforsyning, bank og finans, og sentral internettinfrastruktur som bransjer den nye forskriften vil omfatte. I tillegg er tilbydere av digitale tjenester i virksomheter som har mer enn 50 ansatte og en årlig omsetning / balanse på omtrent 100 millioner kroner (10 millioner euro) omfattet.
− De fleste virksomheter som omfattes av loven må nå i første omgang innføre et ledelsessystem for informasjonssikkerhet, sier Aasen, og påpeker at anerkjente standarder som ISO 27001 og NSMs grunnprinsipper for IKT-sikkerhet vil være gode utgangspunkt.
- Dessuten er det viktig å beskrive de faktiske forholdene knyttet til de samfunnsviktige tjenestene, hvilke nettverks- og informasjonssystemer leveransen av tjenestene er avhengig av - og hvilke avhengigheter det er mellom virksomhetens egne systemer og systemer levert av tredjeparter, fortsetter BDO-partneren.
Aasen mener ledere og styre må kartlegge hva konsekvensene vil være ved bortfall av de mest kritiske tjenestene.
− Få oversikt over hvilke digitale hendelser som får størst samfunnsmessig konsekvens. Å få bukt med disse svakhetene vil gi mer robuste og motstandsdyktige tjenester.
Den første loven om sikkerhet i nettverk og informasjonssikkerhet (NIS) ble vedtatt i EU allerede i 2016, og trådte i kraft i 2018. EU har siden den gang vedtatt og innført et nytt og utvidet direktiv som kalles NIS2-direktivet, som ble gjort gjeldende i EU fra 2024.
− Digitalsikkerhetsloven som nå innføres i Norge er i prinsippet en innføring av NIS-direktivet fra 2016, avslutter Aasen, og legger til at NIS2-direktivet vil bli gradvis innført gjennom endringer i digitalsikkerhetsforskriften. Dette vil innebære at regelverket utvides til flere sektorer.