Fredag 20. juni ble det i statsråd bestemt at digitalsikkerhetsloven trer i kraft fra 1. oktober 2025. Samtidig ble den nye digitalsikkerhetsforskriften vedtatt, med ikrafttredelse samtidig som loven. Loven berører tilbydere av samfunnskritiske tjenester innen energi, transport, helse, vannforsyning, bank, finansmarkeder og digital infrastruktur.
Vi har tidligere skrevet om den nye digitalsikkerhetslovgivningen her: Ny digitalsikkerhetslovgivning – er din virksomhet klar? – Hjort
En gjennomgang av forskriften, sammenlignet med forslaget fra høringsrunden, viser at det er gjort enkelte justeringer. Eksempelvis er det innført et unntak fra de teknologiske sikkerhetstiltakene i forskriften § 10, det er i § 16 innført en mer omfattende regulering av såkalte responsmiljøer, og adgangen til behandlingen av personopplysninger i forbindelse med digital sikkerhet er søkt nærmere presisert i en ny § 19. I tillegg er det gjort flere språklige justeringer.
Samtidig fremstår en god del av innspillene fra høringsrunden fremdeles som ubesvarte og uavklarte. Det er heller ingen overgangsbestemmelser, slik at utgangspunktet vil være at virksomheter som omfattes også må være klare til å oppfylle kravene allerede fra 1. oktober 2025. Dette gir isolert sett svært knapp tid til forberedelse for omfattede virksomheter. Overtredelse kan føre til overtredelsesgebyr på det høyeste av 25G eller 4% av virksomhetens omsetning, dog ikke mer enn MNOK 50.
Vi gjentar sjekklisten fra forrige artikkel:
- Sjekk om din virksomhet berøres av regelverket: Forskriften fastsetter kriterier og terskelverdier som definerer hvilke virksomheter som anses som tilbydere av samfunnsviktige eller digitale tjenester. Det er avgjørende å forstå disse kriteriene for å avgjøre om din virksomhet er underlagt de nye reglene. Dersom din virksomhet faller direkte inn under lovens virkeområde, som spesifisert i forskriften, må dette også meldes inn vede lovens ikrafttredelse. Dersom din virksomhet er leverandør til virksomheter underlagt regelverket må du regne med at en del av kravene i loven vil speiles mot deg.
- Sett deg inn i regelverket: Forståelse av regelverket er nødvendig for å kunne etterleve de kravene som stilles. For virksomheter som også er underlagt annen sikkerhetslovgivning, da gjerne gjennom sektorspesifikt regelverk, vil det også være nødvendig å ta stilling til hvilket regelsett som gjelder i ulike situasjoner.
- Gjør en avviksanalyse: Det er viktig å analysere hvordan din virksomhets nåværende digitale sikkerhetstiltak står i forhold til kravene i digitalsikkerhetsloven og forskriften. Dette vil identifisere områder som krever tiltak. Alle virksomheter som omfattes vil måtte gjøre noe, men hvor mye avhenger i stor grad av dagens tilstand
- Gjennomfør nødvendige tiltak: Virksomheter som omfattes må tilfredsstille de minimumskrav som følger av regelverket. Dette innebærer blant annet å gjennomgå sine styringssystemer og øvrig dokumentasjon, og oppdatere denne med referanser til de nye reglen, samt å sjekke at man oppfyller minimumskravene til digital sikkerhet. Regelverket krever også at digital sikkerhet er ivaretatt i forsyningskjeder, noe som kan utløse behov for reforhandling av avtaler.
Vi vil i løpet av høsten arrangere seminarer om digitalsikkerhetsloven og -forskriften, implementeringen av NIS2, samt annen lovgivning knyttet til digital sikkerhet. Meld deg på våre nyhetsbrev om du ønsker mer informasjon, eller følg med på våre websider. Ta også gjerne direkte kontakt om du har spørsmål knyttet til dette.
