Digitalsikkerhetsloven er i kraft — hva betyr det for din virksomhet?

Hvem gjelder den for?

Loven retter seg mot to hovedgrupper virksomheter. Først og fremst gjelder den tilbydere av samfunnsviktige tjenester etablert i Norge innen sektorer som energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. De nærmere kriteriene for hvilke tjenester som regnes som samfunnsviktige gis i digitalsikkerhetsforskriften. Loven omfatter også tilbydere av digitale tjenester. I praksis vil dette si nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester.

I tillegg finnes det unntak og geografiske avgrensninger som er viktige å kjenne til:

• Unntak: Loven omfatter ikke virksomheter som allerede omfattes av lov om elektroniske tillitstjenester . Noen av lovens sentrale forpliktelser for samfunnsviktige tjenester gjelder ikke dersom virksomheten er underlagt strengere krav til sikkerhet og varsling gjelder etter andre lover (for eksempel sikkerhetsloven).

• Geografisk virkeområde: Samfunnsviktige tjenester gjelder for virksomheter etablert i Norge. Digitale tjenester kan omfattes dersom virksomheten har hovedkontor i Norge eller har/skal ha representant i Norge. Utenlandske virksomheter kan med andre ord i noen tilfeller omfattes.

Hvilke krav gjelder

For de virksomhetene som omfattes innebærer loven konkrete krav til risikostyring, sikkerhetstiltak og rapportering. Disse kravene favner både tekniske og organisatoriske tiltak og stiller krav til ledelsesansvar og leverandørstyring.

Hovedkravene omfatter:

• Innmelding: Underlagte virksomheter skal snarest sende inn grunnleggende informasjon om virksomheten til Nasjonal sikkerhetsmyndighet (NSM).
• Risikovurdering: Løpende, systematisk risikovurdering av nettverks‑ og informasjonssystemer.
• Tiltak og hendelseshåndtering: Implementering av tekniske og organisatoriske sikkerhetstiltak tilpasset virksomhetens risiko, samt rutiner for forebygging, avdekking og begrensning av hendelser.
• Ledelsens ansvar: Ledelsen har ansvaret for at virksomheten opprettholder et forsvarlig sikkerhetsnivå innen lovens virkeområde.
• Kontroll av leverandører: Krav om å sikre at leverandører og andre eksterne aktører etterlever virksomhetens sikkerhetskrav.
• Varslingsplikt: Hendelser med betydelig innvirkning på tjenestetilbudet skal varsles til tilsynsmyndigheten innen 24 timer, med oppdatering innen 72 timer. En fullstendig hendelsesrapport skal oversendes innen én måned fra første varsel.

Sanksjoner ved manglende etterlevelse

Manglende etterlevelse kan få reelle og alvorlige konsekvenser. Tilsynsmyndigheten er blitt gitt flere virkemidler for å sikre etterlevelse og håndtere overtredelser.

Mulige reaksjoner er:

• Pålegg om retting: Tilsynsmyndigheten kan kreve at virksomheten retter forhold som ikke er i samsvar med loven.
• Tvangsmulkt: For å sikre at pålegg blir gjennomført kan tvangsmulkter anvendes.
• Overtredelsesgebyr: Ved overtredelser kan det ilegges gebyr inntil det høyeste av 25 G eller 4 prosent av virksomhetens årlige omsetning, med et øvre tak på 50 millioner kroner (G = folketrygdens grunnbeløp).

Hva bør virksomheter som omfattes gjøre nå?

Når loven nå er i kraft, er det viktig å jobbe strukturert og prioritere tiltak som sikrer både etterlevelse og robusthet mot digitale hendelser.

Følgende steg gir en praktisk rekkefølge for arbeidet:

1. Avklar om dere er underlagt loven: Hvis dere er i tvil, bør dette vurderes raskt. Digitale aktører med representant i Norge bør særlig undersøke om de omfattes.
2. Kartlegg forpliktelsene: Identifiser hvilke tekniske, organisatoriske og dokumentasjonskrav som gjelder for deres virksomhet, og hvordan disse kan etterleves i praksis.
3. Vurder eksisterende tiltak og rutiner: Undersøk om eksisterende sikkerhetsstyring — for eksempel sertifiseringer som ISO/IEC 27001 eller sektorbestemte regler — dekker deler av kravene, og hvilke gap som må lukkes.
4. Iverksett tiltak: Implementer nødvendige tekniske og organisatoriske tiltak, kartlegg intern kompetanse og etabler tydelige ansvarsroller. Ledelsen må godkjenne sikkerhetsstyringssystemet og er ansvarlig for etterlevelse.
5. Forbered rapporteringsevne: Sørg for rutiner og systemer som sikrer rask varsling og oppfølging ved hendelser, inkludert beredskaps- og kommunikasjonsplaner.
6. Innhent bistand: Dersom intern kapasitet eller kompetanse ikke er tilstrekkelig for å oppfylle kravene innen kort tid, bør ekstern rådgivning vurderes.

Thommessen bistår virksomheter med kartlegging av forpliktelser, utarbeidelse av dokumentasjon og vurdering av nødvendige tekniske og organisatoriske tiltak for å sikre etterlevelse av digitalsikkerhetsloven. Ta gjerne kontakt for en uforpliktende samtale om hva loven betyr for din virksomhet og hvilke tiltak som bør prioriteres.