Næringslivets
sikkerhets-
råd
Meny

Ny forskrift om digital sikkerhet

25. jun 2025
Lesetid: 9 min

Digitalsikkerhetsforskriften er nå vedtatt av Stortinget, og vil tre i kraft 1. oktober 2025. Forskriften innfører EUs NIS-direktiv (sikkerhet for nettverk og informasjonssystemer), og den flytter digital sikkerhet fra å være et IT-anliggende til å bli en lovpålagt og strategisk forpliktelse for toppledelsen i en rekke samfunnskritiske sektorer.

Skjermbilde 2025 06 25 kl 11 52 41

En ny standard for digitalt ansvar

En ny og omfattende forskrift til digitalsikkerhetsloven, kjent som digitalsikkerhetsforskriften, er vedtatt og representerer en endring i det norske regelverket for cybersikkerhet. Forskriften, som er fastsatt med hjemmel i digitalsikkerhetsloven fra 2023, implementerer EUs direktiv om sikkerhet i nettverks- og informasjonssystemer (NIS-direktivet) i norsk rett. Dette markerer et skifte fra frivillige bransjenormer til lovfestede og håndhevbare krav for et bredt spekter av norske virksomheter. Forskriften etablerer en ny standard for digitalt ansvar som vil få konsekvenser for styring, drift og strategi i de berørte sektorene.

Forpliktelser for ledelsen

For virksomhetsledere er det viktig å forstå at forskriften bygger på fire sentrale pilarer som til sammen utgjør det nye etterlevelsesregimet. Disse er ikke kun tekniske krav, men forpliktelser som forankres i hele virksomheten:

  1. Formell styring og ledelsesforankring
    Forskriften stiller krav om å etablere et formelt styringssystem for sikkerhet (ISMS), som skal være en integrert del av den overordnede virksomhetsstyringen og godkjennes av virksomhetens øverste leder.
  2. Risikostyring
    Virksomheter pålegges å systematisk identifisere, vurdere og håndtere digital risiko gjennom dokumenterte prosesser som dekker både interne og eksterne avhengigheter.
  3. Pålagte sikkerhetstiltak
    Forskriften spesifiserer en rekke obligatoriske sikkerhetstiltak på tvers av fire domener: organisatoriske, teknologiske, fysiske og personellmessige.
  4. Ansvar i leverandørkjeden
    Virksomheter holdes juridisk ansvarlige for å sikre at sentrale leverandører opprettholder et tilsvarende sikkerhetsnivå, noe som utvider ansvaret utover egen organisasjon.

Knapp frist til forskriften trer i kraft

Forskriften trer i kraft 1. oktober 2025. Virksomheter som omfattes av forskriften, eller som er i en gråsone, må starte en grundig vurdering av sin nåværende posisjon, identifisere gap mot de nye kravene og etablere en konkret plan for etterlevelse.

Forskriftens virkeområde

Definisjon av «tilbydere av samfunnsviktige tjenester»

En sentral del av den nye forskriften er den detaljerte listen over hvilke virksomheter som defineres som «tilbydere av samfunnsviktige tjenester». Forskriften beveger seg bort fra vage, kvalitative beskrivelser og introduserer i stedet presise terskler. Dette betyr at virksomheten ikke nødvendigvis kan tolke hvorvidt de er omfattet av de nye kravene, men at dette nå er et resultat av en objektiv beregning basert på operasjonelle data.

Denne tilnærmingen har en viktig konsekvens: den første oppgaven for enhver virksomhet i de berørte sektorene er ikke en juridisk vurdering, men en intern dataanalyse. Man må hente frem historiske og nåværende tall for passasjerreiser, godsvolum, brukertall, vannproduksjon og lignende for å fastslå om man overskrider de definerte grensene. For eksempel er terskler som "overstiger 375 000 togkilometer per år" eller "behandler minst 2000 m³ drikkevann per døgn" utvetydige. Videre indikerer bruken av en "femårsperiode" for havner at en virksomhet kan omfattes basert på tidligere aktivitet, selv om dagens nivå er under terskelen. Dette gjør etterlevelse til en langsiktig strategisk øvelse som krever historisk dataanalyse og kontinuerlig overvåking.

Kategorien «tilbyder av digitale tjenester» og unntaket for små virksomheter

Forskriften skiller mellom tilbydere av samfunnsviktige tjenester og «tilbydere av digitale tjenester», som typisk inkluderer nettbaserte markedsplasser, søkemotorer og skytjenester. For denne siste gruppen gjelder et eget, ofte lettere, regime basert på en EU-forordning som innlemmes direkte i forskriften. Et sentralt element her er unntaket for små virksomheter. Krav til digital sikkerhet og varslingsplikt gjelder ikke for tilbydere av digitale tjenester med færre enn 50 ansatte og en årlig omsetning eller balanse som ikke overstiger 10 millioner euro. Dette unntaket er av stor betydning for mange små og mellomstore teknologibedrifter i Norge.

Fremtidssikring i virkeområdebestemmelsen

En av de mest strategisk viktige bestemmelsene i forskriften er § 4. Denne gir ansvarlige departementer, og i visse tilfeller Nasjonal sikkerhetsmyndighet (NSM), myndighet til å fatte vedtak om at loven også skal gjelde for andre virksomheter enn de som er eksplisitt listet i § 1.

Dette innebærer at listen i § 1 må betraktes som et minimum, ikke et uttømmende register. Bestemmelsen introduserer en form for strategisk usikkerhet, eller regulatorisk inkluderingsrisiko, for virksomheter som opererer i eller i tilknytning til de definerte sektorene. En virksomhet som i dag ikke er omfattet, men som utvikler seg til å bli en kritisk underleverandør til en utpekt virksomhet, kan i fremtiden bli inkludert ved enkeltvedtak. En proaktiv strategi er derfor ikke å konkludere med at man er unntatt, men å kontinuerlig vurdere sin egen betydning i det nasjonale beredskapsbildet og følge med på utviklingen i egen sektor.

Første steg for virksomheter som omfattes av forskriften

For virksomheter som definerer seg som omfattet av forskriften, er første steg å melde seg. Man skal "snarest" melde inn opplysninger om virksomhetens navn, organisasjonsnummer, kontaktinformasjon og detaljer om den samfunnsviktige tjenesten til både NSM og den relevante tilsynsmyndigheten. Denne registreringen er ikke en formalitet; den plasserer virksomheten formelt på myndighetenes radar og initierer tilsynsforholdet.

Gjennomgang av forskriftens krav

Styring og ledelsesansvar (§6)

En sentral endring som forskriften innfører, ligger i § 6. Her fastslås det at enhver tilbyder må etablere et «styringssystem for sikkerhet» som skal være en integrert del av den «overordnede virksomhetsstyringen». Det avgjørende punktet er kravet om at dette systemet skal «godkjennes av virksomhetens leder» og gjennomgås årlig.

Dette er en juridisk forankring av digital sikkerhet som en kjerneoppgave innen selskapsstyring. Ansvaret flyttes fra IT-direktørens kontor til topplederens bord. En leder kan ikke godkjenne noe vedkommende ikke forstår. Dette tvinger frem en ny dialog internt, der tekniske eksperter må beskrive risikoer og kontroller slik at det passer inn i virksomhetens øvrige risikostyring. Dette gjør det i praksis umulig for en toppleder å hevde uvitenhet etter en alvorlig hendelse.

Risikostyring (§7-§8)

Forskriften beskriver en standardisert og systematisk tilnærming til risikostyring. Virksomheter pålegges å utarbeide, vedlikeholde og dokumentere risikovurderinger som identifiserer trusler, sårbarheter og potensielle konsekvenser for leveransen av den samfunnsviktige tjenesten. Basert på disse vurderingene skal det utarbeides en plan for risikohåndtering. Denne planen skal omfatte konkrete «organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak» for å redusere risikoen til et forsvarlig nivå. Dette formaliserer et skifte fra en reaktiv holdning, der man håndterer problemer etter at de oppstår, til en proaktiv kultur der man systematisk jobber for å forhindre at de inntreffer.

De fire domenene for pålagte sikkerhetstiltak (§9-§12)

Forskriften stiller krav om en helhetlig tilnærming til sikkerhet gjennom tiltak i fire sentrale domener:

  1. Organisatoriske tiltak (§9) Krav om skriftlige instrukser, rutiner og prosedyrer, samt oppdaterte tiltaksplaner for hendelseshåndtering. Disse styringsdokumentene skal være tilpasset virksomhetens størrelse og risikobilde.
  2. Teknologiske tiltak (§10) Forskriften lister en rekke konkrete teknologiske minstekrav, inkludert sterk autentisering, tilgangsstyring, nettverkssegmentering, tiltak for robusthet og kapasitet, kontinuerlig oppdatering (patching) og sikkerhetsovervåking.
  3. Fysiske tiltak (§11) Krav om å hindre uautorisert fysisk tilgang til lokasjoner og infrastruktur, samt å beskytte kritiske eksterne avhengigheter som strømtilførsel og datakommunikasjon.
  4. Personellmessige tiltak (§12) Krav om å styre tilganger basert på tjenstlig behov (minste privilegiums prinsipp), sørge for tilstrekkelig opplæring og kompetanse, og etablere robuste rutiner for når ansatte eller leverandører slutter.

En spesielt viktig detalj finnes i § 10, som omhandler teknologiske tiltak. Her åpnes det for at tiltak kan fravikes, men dette er underlagt en streng prosess: unntaket må godkjennes av virksomhetens leder, begrunnelsen må dokumenteres i styringssystemet, og tilsynsmyndigheten skal orienteres. Prosessen etablerer et formelt, skriftlig bevis på at ledelsen bevisst har akseptert en spesifikk risiko og at regulatoren er informert om avviket.

Leverandørkjedesikkerhet (§14)

§14 fastslår at en tilbyder må påse at leverandører som kan påvirke sikkerheten, utfører sitt arbeid i tråd med forskriftens krav. Dette skal sikres «gjennom avtale eller på annen egnet måte».

Denne bestemmelsen vil skape en kaskadeeffekt av etterlevelseskrav nedover i leverandørkjedene og endre innkjøpsprosesser og B2B-relasjoner i Norge. En stor bank, som er direkte omfattet av forskriften, blir nå juridisk ansvarlig for sikkerheten hos sin mindre IT-tjenesteleverandør. Banken vil håndheve dette gjennom strenge kontraktskrav, revisjonsrettigheter og krav om dokumentasjon på sikkerhetsarbeidet, for eksempel i form av sertifiseringer. Den mindre IT-leverandøren må, for å beholde banken som kunde, investere i egen sikkerhet for å møte disse kravene, selv om leverandøren ikke er direkte omfattet av forskriften.

Hendelseshåndtering, varsling og nasjonal koordinering

Beredskap og øvelser (§13)

§ 13 fastslår at virksomheter skal ha dokumenterte beredskapsplaner for håndtering av hendelser, men stiller også et krav om å «gjennomføre øvelser for å teste planverket». Det innebærer et behov for jevnlig å gjennomføre alt fra diskusjonsøvelser og tekniske simuleringer til mer omfattende funksjonsøvelser for å sikre at organisasjonen faktisk er i stand til å respondere effektivt under press.

Håndtering av varslingsplikten (§17)

En av de mest operasjonelt krevende bestemmelsene er den strenge varslingsplikten i § 17. Ved en hendelse skal et første varsel sendes til tilsynsmyndigheten og det nasjonale kontaktpunktet «senest innen 24 timer etter at virksomheten fikk kjennskap til hendelsen». Dette skal følges opp med en oppdatering innen 72 timer og en endelig hendelsesrapport innen én måned.

Tidsfristen starter fra det øyeblikket virksomheten får "kjennskap" til hendelsen, for eksempel når en sikkerhetsanalytiker bekrefter at et angrep er reelt. Innenfor dette korte tidsvinduet må organisasjonen ikke bare jobbe med teknisk skadebegrensning, men også gjennomføre en rask konsekvensanalyse, vurdere innvirkning på tjenesten og brukere, samle inn nødvendig informasjon og sikre godkjenning fra ledelse og juridisk avdeling for å sende et formelt varsel til myndighetene. Å improvisere denne prosessen midt i en pågående krise er en oppskrift på katastrofe. Forskriften krever derfor i praksis at virksomheter har en innøvd og testet "dreiebok" for varsling, klar til å bli iverksatt på et øyeblikks varsel.

Nasjonal sikkerhet og beredskap (§16, §20)

Nasjonal sikkerhetsmyndighet (NSM) utpekes som både nasjonalt responsmiljø (CERT) og nasjonalt felles kontaktpunkt. Det åpnes også for at departementene kan utpeke egne sektorvise responsmiljøer. Det etableres klare rammer for informasjonsdeling mellom disse aktørene, og med internasjonale partnere, for å forebygge og håndtere hendelser. Dette understøtter ambisjonen for offentlig-privat samarbeid. I en krisesituasjon forventes det at en berørt virksomhet ikke bare håndterer hendelsen internt, men også aktivt deltar i en koordinert nasjonal respons ved å dele og motta informasjon gjennom disse formaliserte kanalene.

Håndheving, tilsyn og økonomiske konsekvenser

Tilsynsregimet (§21, §23)

Ansvaret for å føre tilsyn med at forskriften etterleves, legges til de respektive sektordepartementene, som skal utpeke tilsynsmyndigheter. For virksomheter som faller utenfor et departements ansvarsområde, er NSM tilsynsmyndighet. Disse tilsynsmyndighetene gis vide fullmakter. De kan kreve tilgang til all nødvendig dokumentasjon og informasjon for å vurdere etterlevelse, og kan pålegge representanter fra virksomheten å være til stede under tilsyn.

Overtredelsesgebyr (§24)

Tilsynsmyndigheten kan ilegge overtredelsesgebyr for brudd på loven. Gebyret kan utgjøre opptil 25 ganger folketrygdens grunnbeløp (G) eller, for foretak, opptil 4 % av den globale årsomsetningen, avhengig av hvilket beløp som er høyest. Det er imidlertid satt et tak på 50 millioner kroner.

Strukturen er tydelig inspirert av personvernforordningen (GDPR) og signaliserer en intensjon om streng håndheving. Forskriften lister opp en rekke momenter som skal vektlegges ved utmåling av gebyret. Dette gir en verdifull pekepinn på hvordan virksomheter bør agere for å redusere den økonomiske risikoen etter at et brudd har funnet sted. Blant de formildende omstendighetene er det spesielt ett punkt som skiller seg ut: «om tilbyderen har bistått myndigheten i forbindelse med utredning av overtredelsen».

Dette betyr at en virksomhets opptreden under selve etterforskningen har en direkte og lovfestet innvirkning på størrelsen på et eventuelt gebyr. En strategisk respons på en hendelse må derfor inkludere en plan for proaktivt, transparent og konstruktivt samarbeid med tilsynsmyndigheten. Forsøk på å skjule informasjon, forsinke prosessen eller være lite samarbeidsvillig er ikke bare dårlig praksis; det er en finansiell svært risikabel strategi som kan føre til et betydelig høyere gebyr.

Strategisk veikart

Fra byrde til konkurransefortrinn

Selv om innføringen av digitalsikkerhetsforskriften medfører et betydelig arbeid med etterlevelse, er det feil å kun se på dette som en regulatorisk byrde. Kravene som stilles er de samme byggeklossene som utgjør en digitalt robust, effektiv og konkurransedyktig virksomhet. NSR mener at evnen til å demonstrere etterlevelse vil i økende grad bli en forutsetning for tillit fra kunder, partnere og investorer. Virksomheter som omfavner forskriftens prinsipper proaktivt, vil ikke bare unngå sanksjoner, men også bygge en mer motstandsdyktig organisasjon, men bidra til at totalberedskapen i Norge styrkes.

Les hele forskriften på Lovdata

Bjarte Malmedal NSR

Bjarte Malmedal Fagdirektør digital sikkerhet bma@nsr-org.no +47 990 94 838

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk