Digital sikkerhet i Norge - Nye krav for kritiske virksomheter fra oktober 2025

Formålet med loven og forskriften er å fastsette felles grunnleggende krav til digital sikkerhet for virksomheter som leverer samfunnskritiske tjenester. 

Loven gjennomfører EUs Network and Information Security (NIS) direktiv i norsk rett, og forskriften tar inn over seg enkelte krav som følger av NIS2-direktivet (Directive (EU) 2022/2555).

For å gi et innblikk i det nye regelverket, har vi laget en Q&A under som dekker det grunnleggende kravene og konseptene som innføres med digitalsikkerhetsloven. 

Kort om digitalsikkerhetsloven

• Digitalsikkerhetsloven og tilhørende forskrift trer i kraft 1. oktober 2025
• Loven gjelder for tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester 
• Loven krever at virksomhetene gjør risikovurderinger, gjennomfører tiltak og sikrer at ansatte og leverandører følger kravene
• Ledelsesansvaret forankres juridisk med krav om at virksomhetens leder årlig godkjenner styringssystemet
• Overtredelsesgebyr kan utgjøre opptil 4% av global årsomsetning opptil 50 millioner kroner
• NIS2-direktivet vil utvide virkeområdet betydelig når det implementeres

Hva er Digitalsikkerhetsloven?

Som Norges første sektorovergripende cybersikkerhetslov har Digitalsikkerhetsloven som mål å sikre robuste samfunnskritiske tjenester, beskytte kritisk infrastruktur og styrke nasjonal beredskap mot cyberangrep.

Når trer loven i kraft?

Digitalsikkerhetsloven og tilhørende forskrift trer i kraft 1. oktober 2025. Implementeringen er ikke trinnvis, alle krav gjelder fra ikrafttredelsesdatoen.

Hvilke virksomheter omfattes av loven?

Loven omfatter to hovedkategorier av virksomheter:

• Tilbydere av samfunnsviktige tjenester inkluderer virksomheter som leverer tjenester som er viktige for kritiske samfunnsmessige tjenester, er avhengige av nettverks- og informasjonssystemer, og kan få tjenesteleveransen betydelig forstyrret av hendelser.
• Tilbydere av digitale tjenester omfatter nettbaserte markedsplasser, søkemotorer og skytjenester. For denne gruppen gjelder et lettere regime, med unntak for små virksomheter med færre enn 50 ansatte og årlig omsetning under 10 millioner euro.

Virksomheten må selv vurdere om den er omfattet av regelverket. I forskriften fastsettes det konkrete terskelverdier som skal gjøre det enklere å vurdere om en virksomhet er en tilbyder av samfunnsviktige tjenester.

Må virksomheten registreres hos NSM?

Ja, dersom virksomheten er en tilbyder av en samfunnsviktig tjeneste, skal den snarest registreres med navn, organisasjonsnummer, kontaktinformasjon, tjeneste, samfunnssektor, i hvilke land tjenesten tilbys og geografisk område.

Hvilke tiltak må tilbydere av samfunnsviktige tjenester gjennomføre?

Virksomheten må etablere og vedlikeholde et dokumentert styringssystem for sikkerhet som godkjennes årlig av virksomhetens leder, gjennomføre og oppdatere risikovurderinger som beskriver nettverk, sårbarheter og konsekvenser, samt iverksette organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak. Virksomheten skal også ha beredskapsplaner for hendelseshåndtering og varslingsprosedyrer.

Hva må jeg gjøre for å sikre leverandørkjeden?

Digitalsikkerhetsloven innfører en oppfølgingsplikt overfor leverandører og andre som utfører arbeid for virksomheten som kan påvirke sikkerheten. Virksomheten må påse at leverandørene utfører arbeid på en måte som gjør at kravene til forsvarlig sikkerhet overholdes, og gjennom avtale eller på annen egnet måte gjøre sikkerhetstiltakene gjeldende overfor leverandørene.

Hvem skal føre tilsyn med loven?

Ansvaret for tilsyn legges til respektive sektordepartementer, som utpeker tilsynsmyndigheter innenfor egen sektor. For virksomheter utenfor departementenes ansvarsområder, er NSM tilsynsmyndighet. NSM fungerer også som nasjonalt responsmiljø og kontaktpunkt.

Hva er sanksjonene for manglende etterlevelse?

Brudd på digitalsikkerhetsloven kan føre til betydelige bøter, potensielt opptil 25 ganger folketrygdens grunnbeløp eller 4% av virksomhetens globale årlige omsetning, begrenset oppad til 50 millioner kroner. Gebyret kan ilegges inntil fem år etter at bruddet på digitalsikkerhetsloven fant sted. Hvis et selskap i et konsern får overtredelsesgebyr, er morselskapet også ansvarlig for beløpet.

Hvordan påvirker NIS2 fremtidige krav?

NIS2-direktivet er enda ikke inntatt i norsk rett, men dette vil sannsynligvis skje i fremtiden. NIS2-direktivet vil utvide virkeområdet betydelig når det implementeres og innføre enkelte nye krav.

Hva bør jeg gjøre nå for å forberede meg?

• Vurder virkeområdet: Finn ut om din virksomhet regnes som en tilbyder av en samfunnsviktig tjeneste eller en digital tjeneste. Bruk terskelverdiene som er definert i forskriften.
• Etabler eller oppdater styringssystem: Implementer et styringssystem for sikkerhet med utgangspunkt i en anerkjent standard som ISO/IEC 27001/2022 eller NIST Cybersecurity Framework (CSF) 2.0. Pass på at styringssystemet er forankret hos virksomhetens eller konsernets øverste ledelse. 
• Gjennomfør risikovurdering: Identifiser trusler, sårbarheter og potensielle konsekvenser.
• Implementer sikkerhetstiltak: Iverksett organisatoriske, teknologiske, fysiske og personellmessige tiltak.
• Forbered varslingsprosedyrer: Etabler prosesser for 24-timers varsling ved hendelser. Gjennomføre øvelser for å sikre at prosessen fungerer i praksis.
• Vurder leverandørkjeden: Pass på at leverandørene opprettholder tilsvarende sikkerhetsnivå. Det er hensiktsmessig å starte med en gjennomgang av avtalene med leverandørene for å sikre at kravene i digitalsikkerhetsloven videreføres. 
• Registrer virksomheten: Meld virksomheten til NSM.