Lov om digital sikkerhet ble sanksjonert i Stortinget i desember 2023 og stiller eksplisitte krav til digital sikkerhet til virksomheter som leverer såkalte samfunnsviktige tjenester og digitale tjenester.
Formålet med loven er å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes til å levere de samfunnsviktige tjenestene. Blir din virksomhet berørt av lovverket, og i tilfelle, på hvilken måte?
Hva er formålet med loven?
Lov om digital sikkerhet innføres for å sikre et høyt, felles nivå for sikkerhet i nettverks- og informasjonssystemer i Norge, etter samme standard som er gjort gjeldende i EU. Det stilles flere krav til hvordan virksomheter som er omfattet av loven skal innrette seg for å forhindre og minimere konsekvensene av digitale angrep.
Loven har til hensikt å forplikte de virksomhetene som har en «særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet».
Hva er relasjonen mellom lov om digital sikkerhet og NIS2-direktivet?
Lov om digital sikkerhet medfører innføring av EUs NIS-direktiv 2016/1148 i Norge. NIS ble gjort gjeldende i EU tilbake i 2016. EU har siden den gang vedtatt et nytt og utvidet direktiv som kalles NIS2-direktivet.
NIS2-direktivet gjøres gjeldende i EU fra oktober 2024. Lov om digital sikkerhet er den første innføringen av direktivene i Norge, og bygger på NIS-direktivet av 2016. Loven ble sanksjonert i Stortinget i desember 2023, og det er forventet at den vil tre i kraft i løpet av 2024.
Hvem er det loven gjelder for?
Loven gjøres gjeldende for tilbydere av det som er kategorisert som samfunnsviktige tjenester. Dette er i første omgang angitt å være tilbydere innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur.
I tillegg blir loven også gjeldende for virksomheter som kvalifiserer som tilbydere av digitale tjenester.
Definisjonen av tilbydere av digitale tjenester er angitt å være tilbydere av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester. Dette er definisjoner som vil treffe et bredt spekter av IKT-leverandører, men som også vil treffe handelsvirksomheter.
Hva betyr dette for berørte virksomheter?
Lov om digital sikkerhet stiller en rekke minstekrav til virksomhetene med hensyn til å gjennomføre risikovurderinger og innføre tilstrekkelige, risikoreduserende sikkerhetstiltak.
Begrepene «robusthet og motstandsdyktighet» blir gjennomgående benyttet for å beskrive forventninger til nivået på sikkerhetstiltakene i den digitale infrastrukturen. Dette innebærer forventninger om at virksomheten forebygger, avdekker og motvirker uønskede hendelser.
Det stilles også krav om at virksomheten tester evnen til å motstå digitale angrep, øver på håndtering av uønskede hendelser og tester hvorvidt de klarer å opprettholde, eller komme tilbake til, «normaltilstand» ved en hendelse. Loven innfører i tillegg krav til varsling til tilsynsmyndighetene etter en digital hendelse.
Hvilke risikoer står virksomhetene ovenfor?
På lik linje med innføringen av personvernforordningen (GDPR) i Norge i 2018, gis tilsynsmyndighetene mulighet til å avgi tvangsmulkt eller gebyrer hvis virksomheten ikke har overholdt bestemmelsene i loven. Størrelsen på gebyrene er ikke fastsatt i Norge, men NIS2-direktivet opererer med bøter på opptil 10 millioner euro eller 2 % av virksomhetens globale årlige omsetning.
Vi er ikke tilhenger av at det primært er den økonomiske nedsiderisikoen som driver sikkerhetsarbeidet i en virksomhet, men vi erkjenner at trusselen om bøter kan være en vekker for å få forankring og midler til å iverksette aktiviteter. Omdømme, tap av kunder og samarbeidspartnere, økonomiske tap og tap av tillit til at din virksomhet kan ivareta en samfunnsviktig tjeneste, bør være like store drivere for å etterleve kravene i loven.
Så, gjelder dette din virksomhet?
Det første du bør gjøre er å avklare om virksomheten din blir underlagt loven. Og, selv om du ikke blir direkte underlagt loven i første omgang, vil NIS2-direktivet utvide bestemmelsene til også å gjelde for sektorer innen forvaltning av IKT-tjenester, post- og kurertjenester, avfallshåndtering, fremstilling, produksjon og distribusjon av kjemikalier, produksjon av visse typer utstyr og forskning.
Dette betyr at din virksomhet kan bli omfattet ved utvidelsen av virkeområdene også i Norge. Det er forespeilet at dette vil skje gradvis gjennom forskrifter, og at dette vil skje raskere enn innføringen av det første NIS-direktivet.
Samtidig ønsker vi å understreke at selv om din virksomhet ikke direkte blir underlagt lov om digital sikkerhet, legger loven sunne føringer for hvordan virksomheten din bør jobbe for å forebygge, avdekke og motvirke hendelser i den digitale infrastrukturen. Dette starter med risikovurderinger, og deretter med å innføre tiltak som sørger for et tilstrekkelig sikkerhetsnivå.
NSMs grunnprinsipper for IKT-sikkerhet og ulike anerkjente, internasjonale standarder og rammeverk vil være gode utgangspunkt for å etablere dette sikkerhetsnivået.
Og til sist, vil vi minne om at det også er viktig å ta høyde for tilstrekkelig sikkerhet hos tredjeparter og IKT-leverandører i sikkerhetsarbeidet. Dette inngår som en vesentlig del av de risikovurderingene og sikkerhetstiltakene virksomheten må evaluere for å etterleve loven. Et godt tips i denne sammenheng er å etterspørre, gjennomgå og evaluere tredjepartsuttalelser som ISAE 3402 / SOC2 rapporter, ISO/IEC 27001 sertifisering, eller andre relevante sertifiseringer fra leverandører og samarbeidspartnere.