Rett før jul ble den nye digitalsikkerhetsloven kunngjort. Loven gjennomfører NIS1-direktivet og cybersikkerhetsforordningen, og stiller grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet. Loven stiller krav til tilbydere av «samfunnsviktige tjenester» innen sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Hva som anses som samfunnsviktige tjenester, er nærmere definert i loven. Loven stiller også krav til «tilbydere av digitale tjenester», det vil si virksomheter som tilbyr tjenester i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.
Hvilke krav stiller digitalsikkerhetsloven?
For virksomheter som ikke har tilsvarende eller strengere forpliktelser, innfører digitalsikkerhetsloven nye krav om:
- Risikovurderinger av nettverks- og informasjonssystemer.
- Iverksettelse av hensiktsmessige og proporsjonale sikkerhetstiltak, slik at sikkerhetsnivået blir tilpasset risikoen.
- Iverksettelse av proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes, samt
- varsling ved hendelser som virker betydelig inn på tjenesteleveransen.
En tilbyder av digitale tjenester i Norge som ikke har hovedkontor i Norge eller annen EØS-stat, skal også utpeke en representant i Norge.
Justis- og beredskapsdepartementet har uttalt at det vurderer at samfunnsviktige tjenester som allerede følger NSMs grunnprinsipper for IKT-sikkerhet, vil ivareta kravene til sikkerhetstiltak i digitalsikkerhetsloven.
Selv om EU ikke lenger vurderer NIS1-direktivet som tilstrekkelig, og har vedtatt NIS2 – som vil utvide krav og virkeområde kraftig – vil gjennomføringen av NIS1 i Norge gjennom digitalsikkerhetsloven styrke reguleringen av digital sikkerhet i norske bedrifter.
Med hensyn til gjennomføring av cybersikkerhetsforordningen, fremgår det av digitalsikkerhetsloven at loven også legger til rette for opprettelse av sikkerhetssertifiseringsordninger for IKT-produkter, IKT-tjenester og IKT-prosesser på et senere tidspunkt.
Ved brudd på digitalsikkerhetsloven vil man kunne ilegges overtredelsesgebyr. Det er foreløpig ikke satt klare rammer for størrelsen på overtredelsesgebyr. En større bekymring enn gebyrer bør imidlertid være mulig styreansvar for manglende oppfyllelse av kravene i loven.
Veien videre
På tross av at regjeringen ligger langt etter i implementeringen av NIS1-direktivet, har den ikke satt dato for når digitalsikkerhetsloven trer i kraft. Virksomheter kan likevel allerede nå vurdere om man er omfattet av regelverket. For virksomheter som omfattes, er det bare å begynne å forberede seg, herunder ved å
- etablere sikkerhetsstyringssystem og iverksette sikkerhetstiltak,
- systematisk vurdere risiko knyttet til sine systemer, og
- etablere rutiner for å ivareta plikten til å varsle.
Mange virksomheter som leverer tjenester i EU-land, har også begynt forberedelsene til kravene i NIS2, som skal tre i kraft i EU-land innen 24. oktober 2024.
