DEBATT

Norsk lov om digital sikkerhet henger langt etter EU – men snart er tiden inne

På tross av at nesten hver tredje bedrift oppgir å ha blitt påvirket av cyberhendelser, gjennomfører Norge NIS1-direktivet fra 2016 først nå – om regjeringen klarer å sette en dato.

Advokat Hanna Beyer Olaussen, advokat/partner Kristian Foss og Advokatfullmektig Tara Årøe i Bull & Co Advokatfirma anbefaler i denne kronikken norske virksomheter å vurdere allerede nå om de er omfattet av den norske digitalsikkerhetsloven, selv om det fortsatt er uklart når loven trer i kraft,
Advokat Hanna Beyer Olaussen, advokat/partner Kristian Foss og Advokatfullmektig Tara Årøe i Bull & Co Advokatfirma anbefaler i denne kronikken norske virksomheter å vurdere allerede nå om de er omfattet av den norske digitalsikkerhetsloven, selv om det fortsatt er uklart når loven trer i kraft, Foto: Bull & Co Advokatfirma
Hanna Beyer Olaussen, Kristian Foss og Tara Årøe, alle i Bull & Co Advokatfirma
23. mai 2024 - 16:03

Rett før jul ble den nye digitalsikkerhetsloven kunngjort. Loven gjennomfører NIS1-direktivet og cybersikkerhetsforordningen, og stiller grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet. Loven stiller krav til tilbydere av «samfunnsviktige tjenester» innen sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Hva som anses som samfunnsviktige tjenester, er nærmere definert i loven. Loven stiller også krav til «tilbydere av digitale tjenester», det vil si virksomheter som tilbyr tjenester i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.

Hvilke krav stiller digitalsikkerhetsloven?

For virksomheter som ikke har tilsvarende eller strengere forpliktelser, innfører digitalsikkerhetsloven nye krav om:

  • Risikovurderinger av nettverks- og informasjonssystemer.
  • Iverksettelse av hensiktsmessige og proporsjonale sikkerhetstiltak, slik at sikkerhetsnivået blir tilpasset risikoen.
  • Iverksettelse av proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes, samt
  • varsling ved hendelser som virker betydelig inn på tjenesteleveransen.

En tilbyder av digitale tjenester i Norge som ikke har hovedkontor i Norge eller annen EØS-stat, skal også utpeke en representant i Norge.

Justis- og beredskapsdepartementet har uttalt at det vurderer at samfunnsviktige tjenester som allerede følger NSMs grunnprinsipper for IKT-sikkerhet, vil ivareta kravene til sikkerhetstiltak i digitalsikkerhetsloven. 

 Alle kan bli hacket, uansett hvor mye som er brukt på sikkerhet. Ledelsen må derfor kunne forsvare valgene som er tatt, skriver Marianne Welin Rinde i WithSecure i denne kronikken.
Les også

Syv steg mot bedre sikkerhet

Selv om EU ikke lenger vurderer NIS1-direktivet som tilstrekkelig, og har vedtatt NIS2 – som vil utvide krav og virkeområde kraftig – vil gjennomføringen av NIS1 i Norge gjennom digitalsikkerhetsloven styrke reguleringen av digital sikkerhet i norske bedrifter.

Med hensyn til gjennomføring av cybersikkerhetsforordningen, fremgår det av digitalsikkerhetsloven at loven også legger til rette for opprettelse av sikkerhetssertifiseringsordninger for IKT-produkter, IKT-tjenester og IKT-prosesser på et senere tidspunkt.

Ved brudd på digitalsikkerhetsloven vil man kunne ilegges overtredelsesgebyr. Det er foreløpig ikke satt klare rammer for størrelsen på overtredelsesgebyr. En større bekymring enn gebyrer bør imidlertid være mulig styreansvar for manglende oppfyllelse av kravene i loven.

Veien videre

På tross av at regjeringen ligger langt etter i implementeringen av NIS1-direktivet, har den ikke satt dato for når digitalsikkerhetsloven trer i kraft. Virksomheter kan likevel allerede nå vurdere om man er omfattet av regelverket. For virksomheter som omfattes, er det bare å begynne å forberede seg, herunder ved å

  • etablere sikkerhetsstyringssystem og iverksette sikkerhetstiltak,
  • systematisk vurdere risiko knyttet til sine systemer, og
  • etablere rutiner for å ivareta plikten til å varsle.

Mange virksomheter som leverer tjenester i EU-land, har også begynt forberedelsene til kravene i NIS2, som skal tre i kraft i EU-land innen 24. oktober 2024.

I den nye digitalsikkerhetsloven ligger det an til ubehagelige overraskelser for den som sover i timen, mener advokat Ove A. Vanebo.
Les også

Et par «tvister» ved den nye digitalsikkerhetsloven bør vekke oppsikt

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.