Norsk lov om digital sikkerhet henger langt etter EU – men snart er tiden inne

Rett før jul ble den nye digitalsikkerhetsloven kunngjort. Loven gjennomfører NIS 1-direktivet og cybersikkerhetsforordningen og stiller grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet. Loven stiller krav til tilbydere av "samfunnsviktige tjenester" innen sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Hva som anses som samfunnsviktige tjenester er nærmere definert i loven. Loven stiller også krav til "tilbydere av digitale tjenester", det vil si virksomheter som tilbyr tjenester i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.

Hvilke krav stiller digitalsikkerhetsloven?

For virksomheter som ikke har tilsvarende eller strengere forpliktelser, innfører digitalsikkerhetsloven nye krav om

• risikovurderinger av nettverks- og informasjonssystemer
• iverksettelse av hensiktsmessige og proporsjonale sikkerhetstiltak, slik at sikkerhetsnivået blir tilpasset risikoen
• iverksettelse av proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes
• varsling ved hendelser som virker betydelig inn på tjenesteleveransen.

En tilbyder av digitale tjenester i Norge som ikke har hovedkontor i Norge eller annen EØS-stat skal også utpeke en representant i Norge.

Justis- og beredskapsdepartementet har uttalt at det vurderer at samfunnsviktige tjenester som allerede følger NSMs grunnprinsipper for IKT-sikkerhet vil ivareta kravene til sikkerhetstiltak i digitalsikkerhetsloven.
Selv om EU ikke lenger vurderer NIS 1-direktivet som tilstrekkelig og har vedtatt NIS 2, som vil utvide krav og virkeområde kraftig, vil gjennomføringen av NIS 1 i Norge gjennom digitalsikkerhetsloven styrke reguleringen av digital sikkerhet i norske bedrifter.

Med hensyn til gjennomføring av cybersikkerhetsforordningen, fremgår det av digitalsikkerhetsloven at loven også legger til rette for opprettelse av sikkerhetssertifiseringsordninger for IKT-produkter, IKT-tjenester og IKT-prosesser på et senere tidspunkt.

Ved brudd på digitalsikkerhetsloven vil man kunne ilegges overtredelsesgebyr. Det er foreløpig ikke satt klare rammer for størrelsen på overtredelsesgebyr. En større bekymring enn gebyrer bør imidlertid være mulig styreansvar for manglende oppfyllelse av kravene i loven.

Veien videre

På tross av at regjeringen ligger langt etter i implementeringen av NIS 1-direktivet, har den ikke satt dato for når digitalsikkerhetsloven trer i kraft. Virksomheter kan likevel allerede nå vurdere om man er omfattet av regelverket. For virksomheter som omfattes, er det bare å begynne å forberede seg, herunder ved å

• etablere sikkerhetsstyringssystem og iverksette sikkerhetstiltak
• systematisk vurdere risiko knyttet til sine systemer
• etablere rutiner for å ivareta plikten til å varsle.

Mange virksomheter som leverer tjenester i EU-land har også begynt forberedelsene til kravene i NIS 2, som skal tre i kraft i EU-land innen 24. oktober 2024.

Artikkelen er også publisert på digi.no