Næringslivets
sikkerhets-
råd
Meny

Er din virksomhet klar for den nye digitalsikkerhetsloven?

23. sep 2025
Lesetid: 1 min

Norge har fått en ny lov om digital sikkerhet (digitalsikkerhetsloven), og en tilhørende forskrift (digitalsikkerhetsforskriften) som trer i kraft 1. oktober 2025. Dette nye regelverket skjerper kravene betraktelig og er noe alle vi som jobber med sikkerhet og beredskap må kjenne til.

Hensikten er å styrke den digitale motstandskraften i samfunnskritiske sektorer.

Hvem gjelder dette for?

Loven retter seg mot to hovedgrupper av virksomheter:

  1. Tilbydere av samfunnsviktige tjenester. Dette omfatter virksomheter innenfor sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Forskriften lister i detalj hvilke aktører som omfattes, for eksempel KBO-enheter, kommersielle lufthavner, systemviktige banker og vannverk over en viss størrelse.
  2. Tilbydere av digitale tjenester Virksomheter som tilbyr nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester faller inn under denne kategorien. Det er verdt å merke seg at små virksomheter med færre enn 50 ansatte og en omsetning under 10 millioner euro er unntatt fra enkelte krav.

Hva betyr dette i praksis for din virksomhet?

Hvis din virksomhet omfattes, innføres det flere konkrete plikter. Her er hovedpunktene:

  • Plikt til risikovurdering
    Dere må systematisk vurdere risikoen knyttet til nettverks- og informasjonssystemene som understøtter tjenestene deres.
  • Krav om sikkerhetstiltak
    Basert på risikovurderingen skal det iverksettes «hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak». Forskriften utdyper dette med krav om blant annet etablering av et styringssystem for sikkerhet, tiltak for sikker drift, hendelseshåndtering, sterk autentisering og segmentering av nettverk.
  • Varslingsplikt ved hendelser
    Ved digitale hendelser som har en «betydelig innvirkning» på tjenesteleveransen, har virksomheten plikt til å varsle myndighetene uten unødig opphold. Forskriften konkretiserer dette:
    • Første varsel skal sendes innen 24 timer etter at hendelsen ble kjent.
    • En oppdatering skal følge innen 72 timer.
    • En endelig hendelsesrapport skal leveres innen én måned.

Brudd på disse pliktene kan medføre betydelige overtredelsesgebyrer.

For oss i sikkerhetsbransjen betyr dette en mulighet til å løfte sikkerhetsarbeidet opp på et strategisk nivå. Vi anbefaler å sette seg grundig inn i loven og forskriften, vurdere om din virksomhet er omfattet, og starte arbeidet med å sikre etterlevelse.

Bjarte Malmedal NSR

Bjarte Malmedal Fagdirektør digital sikkerhet bma@nsr-org.no +47 990 94 838

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk