DEBATT

Norsk lov om digital sikkerhet henger langt etter EU – men snart er tiden inne

På tross av at nesten hver tredje bedrift oppgir å ha blitt påvirket av cyberhendelser, gjennomfører Norge NIS1-direktivet fra 2016 først nå – om regjeringen klarer å sette en dato.

Advokat Hanna Beyer Olaussen, advokat/partner Kristian Foss og Advokatfullmektig Tara Årøe i Bull & Co Advokatfirma anbefaler i denne kronikken norske virksomheter å vurdere allerede nå om de er omfattet av den norske digitalsikkerhetsloven, selv om det fortsatt er uklart når loven trer i kraft,
Advokat Hanna Beyer Olaussen, advokat/partner Kristian Foss og Advokatfullmektig Tara Årøe i Bull & Co Advokatfirma anbefaler i denne kronikken norske virksomheter å vurdere allerede nå om de er omfattet av den norske digitalsikkerhetsloven, selv om det fortsatt er uklart når loven trer i kraft, Foto: Bull & Co Advokatfirma
Hanna Beyer Olaussen, Kristian Foss og Tara Årøe, alle i Bull & Co Advokatfirma
23. mai 2024 - 16:03

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Rett før jul ble den nye digitalsikkerhetsloven kunngjort. Loven gjennomfører NIS1-direktivet og cybersikkerhetsforordningen, og stiller grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet. Loven stiller krav til tilbydere av «samfunnsviktige tjenester» innen sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Hva som anses som samfunnsviktige tjenester, er nærmere definert i loven. Loven stiller også krav til «tilbydere av digitale tjenester», det vil si virksomheter som tilbyr tjenester i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.

Hvilke krav stiller digitalsikkerhetsloven?

For virksomheter som ikke har tilsvarende eller strengere forpliktelser, innfører digitalsikkerhetsloven nye krav om:

  • Risikovurderinger av nettverks- og informasjonssystemer.
  • Iverksettelse av hensiktsmessige og proporsjonale sikkerhetstiltak, slik at sikkerhetsnivået blir tilpasset risikoen.
  • Iverksettelse av proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes, samt
  • varsling ved hendelser som virker betydelig inn på tjenesteleveransen.

En tilbyder av digitale tjenester i Norge som ikke har hovedkontor i Norge eller annen EØS-stat, skal også utpeke en representant i Norge.

Justis- og beredskapsdepartementet har uttalt at det vurderer at samfunnsviktige tjenester som allerede følger NSMs grunnprinsipper for IKT-sikkerhet, vil ivareta kravene til sikkerhetstiltak i digitalsikkerhetsloven. 

Programdirektør Sverre Christian Stoltz i Markedsplassen for skytjenester i DFØ sier til Digi at han ikke kan kommentere Microsofts store jafs av det norske skymarkedet. I rapporten anslår DFØ at Microsoft hentet inn rundt 2 milliarder av potten på 10 milliarder kroner i 2020.
Les også

Tror staten bruker opp mot 21 milliarder på sky: – Krevende marked å samle data på

Selv om EU ikke lenger vurderer NIS1-direktivet som tilstrekkelig, og har vedtatt NIS2 – som vil utvide krav og virkeområde kraftig – vil gjennomføringen av NIS1 i Norge gjennom digitalsikkerhetsloven styrke reguleringen av digital sikkerhet i norske bedrifter.

Med hensyn til gjennomføring av cybersikkerhetsforordningen, fremgår det av digitalsikkerhetsloven at loven også legger til rette for opprettelse av sikkerhetssertifiseringsordninger for IKT-produkter, IKT-tjenester og IKT-prosesser på et senere tidspunkt.

Ved brudd på digitalsikkerhetsloven vil man kunne ilegges overtredelsesgebyr. Det er foreløpig ikke satt klare rammer for størrelsen på overtredelsesgebyr. En større bekymring enn gebyrer bør imidlertid være mulig styreansvar for manglende oppfyllelse av kravene i loven.

Veien videre

På tross av at regjeringen ligger langt etter i implementeringen av NIS1-direktivet, har den ikke satt dato for når digitalsikkerhetsloven trer i kraft. Virksomheter kan likevel allerede nå vurdere om man er omfattet av regelverket. For virksomheter som omfattes, er det bare å begynne å forberede seg, herunder ved å

  • etablere sikkerhetsstyringssystem og iverksette sikkerhetstiltak,
  • systematisk vurdere risiko knyttet til sine systemer, og
  • etablere rutiner for å ivareta plikten til å varsle.

Mange virksomheter som leverer tjenester i EU-land, har også begynt forberedelsene til kravene i NIS2, som skal tre i kraft i EU-land innen 24. oktober 2024.

Næringslivslederne Kristin Nyberg (t.v.) i Twoday, Geir Arne Olsen i Netcompany, Gry Arnesen i Tietoevry, Øystein Refsnes i Capgemini Invent, Kristin Blix-Elton i Sopra Steria og Petter Moe i Atea.
Les også

IT-bransjen om digitaliseringsstrategien: Ambisiøse mål, men lite konkrete planer

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra