Ny digitalsikkerhetslovgivning – Hjort bistår bransjen

Digitalsikkerhetsloven gjelder for tilbydere av visse typer digitale tjenester, og dessuten tilbydere av samfunnskritiske tjenester innen gitte sektorer:

Energi
Transport
Helse
Vannforsyning
Bank
Finansmarkedsinfrastruktur
Digital infrastruktur

Av digitale tjenester omfattes foreløpig bare markedsplasser, søkemotorer og skytjenester. Disse er imidlertid underlagt EUs gjennomføringsforordning, og er derfor ikke så berørt av den norske forskriften.

I tillegg vil leverandørmarkedet til slike virksomheter bli indirekte omfattet av regelverket gjennom krav til leverandørstyring.

Digitalsikkerhetsloven er vedtatt, men loven har ikke trådt i kraft i påvente a forskriftsarbeidet. I september sendte Justis- og beredskapsdepartementet ut et forslag til den nye digitalsikkerhetsforiksten på høring.

Hva krever forskriften?

Forskriften spesifiserer lovens virkeområde, og operasjonaliserer sikkerhetskravene til virksomheter som omfattes. Den krever blant annet at virksomheter som er omfattet etablerer eller oppdaterer styringssystemer for digital sikkerhet, samt at virksomheten etablerer eller tilpasser sine beredskapsplaner, rutiner for håndtering og varsling av hendelser, samt øvrige sikkerhetstiltak, til regelverket. Forskriften innebærer også en implementering av NIS2-direktivet på visse områder, men en generell «NIS2-oppdatering» gjenstår fortsatt.

Når trer loven i kraft? Digitalsikkerhetsloven er vedtatt, men har ennå ikke trådt i kraft i påvente av forskriftsarbeidet. Justis- og beredskapsdepartementet sendte ut et forslag til den nye digitalsikkerhetsforskriften på høring i september. Forskriften spesifiserer lovens virkeområde og operasjonaliserer sikkerhetskravene til de omfattede virksomhetene.

Hvordan forberede din virksomhet?

Virksomheter innenfor aktuelle sektorer bør uansett gjøre følgende:

Finn ut om din virksomhet berøres av regelverket: Forskriften fastsetter kriterier og terskelverdier som definerer hvilke virksomheter som anses som tilbydere av samfunnsviktige eller digitale tjenester. Det er avgjørende å forstå disse kriteriene for å avgjøre om din virksomhet er underlagt de nye reglene. Dersom din virksomhet faller direkte inn under lovens virkeområde, som spesifisert i forskriften, må dette også meldes inn. Dersom din virksomhet er leverandør til virksomheter underlagt regelverket må du regne med at en del av kravene vil speiles mot deg.
Sett deg inn i regelverket: Forståelse av regelverket er nødvendig for å kunne etterleve de kravene som stilles. For virksomheter som også er underlagt annen sikkerhetslovgivning, da gjerne gjennom sektorspesifikt regelverk, vil det også være nødvendig å ta stilling til hvilket regelsett som gjelder i ulike situasjoner.
Foreta en avviksanalyse: Det er viktig å analysere hvordan din virksomhets nåværende digitale sikkerhetstiltak står i forhold til kravene i digitalsikkerhetsloven og forskriften. Dette vil identifisere områder som krever tiltak. Alle virksomheter som omfattes vil måtte gjøre noe, men hvor mye avhenger i stor grad av dagens tilstand
Gjennomfør nødvendige tiltak: Virksomheter som omfattes må tilfredsstille de minimumskrav som følger av regelverket. Dette innebærer blant annet å gjennomgå sine styringssystemer og øvrig dokumentasjon, og oppdatere denne med referanser til de nye reglen, samt å sjekke at man oppfyller minimumskravene til digital sikkerhet. Regelverket krever også at digital sikkerhet er ivaretatt i forsyningskjeder, noe som kan utløse behov for reforhandling av avtaler.

Høringsfristen for forskriften er 11. desember 2024, og lov og forskrift vil mest sannsynlig tre i kraft en gang på nyåret. Det er imidlertid en rekke forhold som fremstår som uavklart knyttet til både regelverkets innhold og dets ikrafttredelse.

Hjort tilbyr rådgivning og praktisk bistand for å sikre at din virksomhet både forstår og oppfyller kravene i digitalsikkerhetslovgivningen. Vi bistår også IKT-Norge med å utarbeide et høringssvar til forskriften.