Næringslivets
sikkerhets-
råd
Meny

Nytt nasjonalt rammeverk for håndtering av digitale angrep

26. jun 2025
Lesetid: 2 min

Nasjonal sikkerhetsmyndighet har oppdatert sitt rammeverk for håndtering av digitale angrep og cyberhendelser. Rammeverket tydeliggjør roller og ansvar, og skjerper kravene til de sektorvise responsmiljøene.

Det nye rammeverket erstatter det som ble utgitt i 2017 og tydeliggjør roller, ansvar og forventninger, og legger til rette for samarbeid og informasjonsdeling.

Målgruppe

Målgruppen for rammeverket er blant andre offentlige og private virksomheter som har betydning for nasjonal sikkerhet, kritisk infrastruktur og kritiske samfunnsfunksjoner. Videre retter det seg mot sektorvise responsmiljøer, myndigheter og departementer med en rolle i håndtering av digitale angrep og cyberhendelser.

Ansvar og krav til virksomheter

Rammeverket stiller følgende krav til virksomheter:

Alle virksomheter har selv ansvar for å ivareta sin egen cybersikkerhet.

Virksomhetene anbefales å etablere tilknytning til det SRM som er etablert innen sin (hoved)sektor. Virksomheter som ikke har tilhørighet til en SRM oppfordres til å undersøke hvor de kan henvende seg for å få informasjon om og bistand til håndtering av digitale angrep. Hendelser med betydning for nasjonal sikkerhet skal uansett varsles til NCSC.

Det anbefales at virksomhetene er kjent med, og innretter seg etter NSMs grunnprinsipper for IKT-sikkerhet eller tilsvarende IKT sikkerhetsstandarder. Virksomheter som er underlagt sikkerhetsloven skal også innrette seg etter relevante veiledere fra NSM. Prinsippene beskriver grunnleggende tiltak for å beskytte informasjonssystemer, data og tjenester mot uautorisert tilgang, skade eller misbruk. Grunnprinsippene er relevante for alle norske virksomheter, både i offentlig og privat sektor. NSM har utviklet flere støtteprodukter, blant
annet prioritering av grunnprinsippene for å understøtte og forenkle implementering.

Dersom en virksomhet inngår avtaler med underleverandører innenfor hendelseshåndtering, anbefales det at virksomheten pålegger leverandørene å dele data fra hendelseshåndtering og tilhørende analyse med virksomheten og SRM/NCSC. Ved inngåelse av kontrakter, avtaler om samarbeid og avtaler om leveranser av varer og tjenester, bør virksomhetene stille krav knyttet til cybersikkerhet, inkludert informasjonsplikt ved digitale angrep og cyberhendelser.

Virksomheter som benytter tredjepartsleverandører for sine IKT-løsninger sine, anbefales å gjennomgå disse med leverandørene for å etablere en felles forståelse av sikkerhetsarkitekturen og virksomhetens kritiske verdier.

Les hele rammeverket her

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk