Digitalt varsko: Lederansvar i møte med digitalsikkerhetsloven

Fra 1. oktober 2025 ble ansvaret for digitalsikkerhet tydeliggjort og skjerpet gjennom den nye digitalsikkerhetsloven. Regelverket stiller nå strengere krav til hvordan virksomheter håndterer digitale trusler.

I en stadig mer uforutsigbar geopolitisk virkelighet og et samfunn som hviler tungt på digitale løsninger, er truslene fra cyberangrep og digital sabotasje mer reelle enn noensinne. Norge møter et nytt og omfattende regelverk som fundamentalt vil endre landskapet for digital sikkerhet: digitalsikkerhetsloven. Denne loven, med tilhørende forskrifter som trådte i kraft 1. oktober 2025 er ikke bare et teknisk anliggende for IT-avdelingen. Den representerer et kritisk lederansvar med potensielt store konsekvenser for virksomheten. Både på direktør- og styrenivå.

En hypotese: mange norske virksomheter er ikke klare for dette regelverket. En «vente og se»-holdning kan bli kostbar og er ikke tilrådelig.

• Les også: Økonomisjefens guide til trygg AI-investering
• Les også: Kanskje du røper forretningshemmeligheter når du bruker ChatGPT

Hva er digitalsikkerhetsloven – og hvorfor kommer den nå?

Digitalsikkerhetsloven er Norges gjennomføring av EUs første NIS-direktiv (NIS 1), det første felleseuropeiske regelverket for cybersikkerhet. Den tilhørende digitalsikkerhetsforskriften gjennomfører deler av det etterfølgende NIS 2-direktivet.

Mens NIS 1 fra 2016 la grunnlaget for et felles regelverk om cybersikkerhet i EU, utvidet NIS 2 fra 2022 både omfanget og ansvaret. Flere sektorer og selskaper ble omfattet, kravene til styring og ledelsesforankring ble presisert og skjerpet, og sanksjonene ved manglende etterlevelse ble betydelig strengere.

Hovedformålet er å sikre grunnleggende krav til digital sikkerhet i virksomheter som har særlig betydning for samfunnet. Dette gjøres ved å etablere rammer for å forebygge, avdekke og motvirke hendelser som kan ha stor effekt på kritisk infrastruktur og samfunnsfunksjoner.

Ettersom loven treffer så mange virksomheter, tetter denne for et tidligere fragmentert og sektorielt regelverk i Norge, som hadde klare hull og manglet en helhetlig tilnærming til digital sikkerhet. Med geopolitiske spenninger og den stadig økende trusselen fra cyberkriminalitet og cyberterrorisme, har behovet for et samlet og robust forsvar blitt aktualisert.

Er virksomheten deres berørt av digitalsikkerhetsloven?

Spørsmålet alle ledere, både på direktørnivå og i og styrer, må stille seg er: Er vi omfattet av denne loven? Loven berører sektorer som:

• Energi
• Transport
• Helse
• Vannforsyning
• Bank
• Finans
• Digital infrastruktur.

Dette omfatter virksomheter som tilbyr samfunnsviktige tjenester, og den treffer – fra store, nasjonale aktører helt ned til enkelte sensorleverandører.

Kriteriene for å omfattes er blant annet at en tjeneste er viktig for å opprettholde kritiske, samfunnsmessige eller økonomiske aktiviteter, eller at en forstyrrelse av tjenesten kan få betydelige virkninger. Altså:

• Tjenester som er viktige for samfunnet eller økonomien
• Tjenester der avbrudd kan få store konsekvenser
• Digitale tjenester, særlig skytjenester

Det finnes unntak for små virksomheter; for eksempel digitale tjenestetilbydere med færre enn 50 ansatte og en årlig omsetning under 10 millioner euro ikke like hardt truffet, spesielt ikke av varslingsplikten. Husk likevel at dette ikke gjelder alle typer små virksomheter, og det vil kunne være nødvendig med en grundig vurdering.

De sentrale kravene og pliktene for ledere

Hvis virksomheten er omfattet, er det flere nøkkelkrav virksomheten må etterleve:

• Styringssystemer for informasjonssikkerhet: Virksomheter må ha på plass rutiner og standarder for informasjonssikkerhet. Dette handler om god virksomhetsstyring (governance), og systemene/rutinene må være ledelsesforankret. Altså må styret og toppledelsen eie sikkerhetsarbeidet.
• Risikohåndtering: Det stilles krav til å ha på plass både tekniske og organisatoriske tiltak for å identifisere, vurdere og håndtere risiko.
• Leverandørkjeden: Du må ha kontroll på hele leverandørkjeden. Det svakeste leddet kan kompromittere hele virksomheten din. Dette innebærer å dokumentere at man har sjekket underleverandører og at disse opptrer i tråd med sine forpliktelser etter regelverket – helt fra din direkte leverandør og bakover.
• Varslingsplikt: Det er plikt til å varsle Nasjonal sikkerhetsmyndighet (NSM) om hendelser som er eller kan være betydelig for tjenesteleveransen. Virksomheten må foreta en konsekvensvurdering basert på definerte retningslinjer for å avgjøre alvorlighetsgraden.

Hva står på spill? Sanksjoner og konsekvenser

Brudd på digitalsikkerhetsloven er ikke uten konsekvenser. Loven gir hjemmel for å ilegge overtredelsesgebyrer. Disse gebyrene kan være enten:

• 25G (altså 25 ganger folketrygdens grunnbeløp, om lag 2,5 millioner NOK)
• Eller 4 prosent av virksomhetens årsomsetning, oppad begrenset til 50 millioner kroner.

Disse sanksjonene fattes administrativt, men kan påklages. En bot på titalls millioner kroner kan ha en lammende effekt på en virksomhet, i tillegg til tap av omdømme og tillit.

Er norske virksomheter klare for digitalsikkerhetsloven? Og hva bør du gjøre nå?

Vår generelle vurdering er at norske virksomheter i vekslende grad er modne for dette regelverket. Det kan skyldes en tendens til å «vente og se» eller at «det er lettere å be om tilgivelse enn tillatelse»

Dette er imidlertid strategier som kan få betydelige konsekvenser når det gjelder digital sikkerhet.

Som leder er det avgjørende å handle proaktivt. Her er våre viktigste anbefalinger:

• Sjekk om din virksomhet omfattes: Få en grundig vurdering av om loven og dens kriterier gjelder for din virksomhet. Forstå de spesifikke sektorene og definisjonene for «samfunnsviktige tjenester» og «digitale tjenesteleverandører».
• Sett deg grundig inn i regelverket: Forstå hvilke plikter som gjelder for nettopp virksomheten deres. Vurder om det finnes sektorspesifikke krav som også er relevante.
• Gjør en avviksanalyse: Få kartlagt nåværende sikkerhetstiltak (både tekniske og organisatoriske) for å identifisere områder som krever forbedring. Dette er en «hvor står vi nå»-vurdering.
• Implementer nødvendige tiltak: Lukk avvikene og oppfyll minimumskravene. Dette kan innebære å gjennomgå og oppdatere styringssystemer, forbedre rutiner, og reforhandle avtaler med leverandører for å sikre kontroll i hele verdikjeden.
• Bruk NSMs grunnprinsipper for informasjonssikkerhet: Dette er en offentlig tilgjengelig og god ressurs som dekker mange av minimumskravene for virksomhetsstyring. Den gir en praktisk veiledning for hvordan man kan tenke rundt virksomhetsstyring og rutiner.
• Vurder juridisk bistand: Involver en advokat i prosjektorganisasjonen for å bistå med regelverksforståelse, tolkning og implementering av tiltak. Dette sikrer at dere ikke bare er teknisk, men også juridisk, i samsvar med loven.

Digitalsikkerhetsloven er mer enn et krav – den er en mulighet

Ja, det handler om etterlevelse. Men det handler også om å gjøre virksomheten din tryggere og mer konkurransedyktig.

• Bedre styring
• Økt kundetillit
• Styrket robusthet mot trusler

Bruk loven som en anledning til å bygge noe bedre. Det starter med at du tar ansvar – i dag.

Dette er ikke tiden for å vente. Digitalsikkerhetsloven krever lederskap, strategisk tenkning og konkrete tiltak.