Ny digitalsikkerhetslovgivning - er din virksomhet klar? - Hjort
Hva leter du etter?

Ny digitalsikkerhetslovgivning – er din virksomhet klar?

Den nye digitalsikkerhetsloven gjelder for tilbydere av samfunnskritiske tjenester innenfor utvalgte sektorer, og enkelte typer digitale tjenester. Digitalsikkerhetsforskriften er nå ute på høring, og Hjort bistår bransjen i dette.

Den nye digitalsikkerhetslovgivningen implementerer NIS1-direktivet, og stiller krav om digital sikkerhet for flere typer samfunnskritiske tjenester og enkelte typer digitale tjenester. Forskriften innebærer også en implementering av NIS2-direktivet på visse områder, men en generell «NIS2-oppdatering» gjenstår fortsatt.

Digitalsikkerhetsloven er allerede vedtatt, men har ikke trådt i kraft i påvente av forskriftsarbeidet.

Hvem gjelder loven for?

Digitalsikkerhetsloven gjelder for tilbydere av visse typer digitale tjenester, og dessuten tilbydere av samfunnskritiske tjenester innen gitte sektorer:

  • Energi
  • Transport
  • Helse
  • Vannforsyning
  • Bank
  • Finansmarkedsinfrastruktur
  • Digital infrastruktur

Av digitale tjenester omfattes bare markedsplasser, søkemotorer og skytjenester. Disse er imidlertid underlagt EUs gjennomføringsforordning, og er derfor ikke så berørt av den norske forskriften.

I tillegg vil leverandørmarkedet til slike virksomheter bli indirekte omfattet av regelverket gjennom krav til leverandørstyring.

Den nærmere angivelsen av hvilke virksomheter som er omfattet av loven er forutsatt regulert i forskrift.

Loven har samme virkeområde som NIS1, og den kommende NIS2-implementeringen vil omfatte langt flere sektorer og tjenestetyper.

Høring for digitalsikkerhetsforskriften

I september sendte Justis- og beredskapsdepartementet ut et forslag til den nye digitalsikkerhetsforskriften på høring

Forskriften spesifiserer lovens virkeområde nærmere, herunder hvilke virksomheter som omfattes, og operasjonaliserer sikkerhetskravene til virksomheter som omfattes. Den krever blant annet at virksomheter som er omfattet etablerer eller oppdaterer styringssystemer for digital sikkerhet, samt at virksomheten etablerer eller tilpasser sine beredskapsplaner, rutiner for håndtering og varsling av hendelser, samt øvrige sikkerhetstiltak, til regelverket.

Høringsfristen for forskriften er 11. desember 2024, og lov og forskrift vil mest sannsynlig tre i kraft en gang på nyåret. Det er imidlertid en rekke forhold som fremstår som uavklart knyttet til både regelverkets innhold og dets ikrafttredelse.

Hvordan forberede din virksomhet?

Uansett hva som blir utfallet av høringsrunden bør virksomheter innenfor aktuelle sektorer gjøre følgende:

  1. Sjekk om din virksomhet berøres av regelverket: Forskriften fastsetter kriterier og terskelverdier som definerer hvilke virksomheter som anses som tilbydere av samfunnsviktige eller digitale tjenester. Det er avgjørende å forstå disse kriteriene for å avgjøre om din virksomhet er underlagt de nye reglene. Dersom din virksomhet faller direkte inn under lovens virkeområde, som spesifisert i forskriften, må dette også meldes inn. Dersom din virksomhet er leverandør til virksomheter underlagt regelverket må du regne med at en del av kravene i loven vil speiles mot deg.
  2. Sett deg inn i regelverket: Forståelse av regelverket er nødvendig for å kunne etterleve de kravene som stilles. For virksomheter som også er underlagt annen sikkerhetslovgivning, da gjerne gjennom sektorspesifikt regelverk, vil det også være nødvendig å ta stilling til hvilket regelsett som gjelder i ulike situasjoner.
  3. Gjør en avviksanalyse: Det er viktig å analysere hvordan din virksomhets nåværende digitale sikkerhetstiltak står i forhold til kravene i digitalsikkerhetsloven og forskriften. Dette vil identifisere områder som krever tiltak. Alle virksomheter som omfattes vil måtte gjøre noe, men hvor mye avhenger i stor grad av dagens tilstand
  4. Gjennomfør nødvendige tiltak: Virksomheter som omfattes må tilfredsstille de minimumskrav som følger av regelverket. Dette innebærer blant annet å gjennomgå sine styringssystemer og øvrig dokumentasjon, og oppdatere denne med referanser til de nye reglen, samt å sjekke at man oppfyller minimumskravene til digital sikkerhet. Regelverket krever også at digital sikkerhet er ivaretatt i forsyningskjeder, noe som kan utløse behov for reforhandling av avtaler.

Når trer loven i kraft? Digitalsikkerhetsloven er vedtatt, men har ennå ikke trådt i kraft i påvente av forskriftsarbeidet. Justis- og beredskapsdepartementet sendte ut et forslag til den nye digitalsikkerhetsforskriften på høring i september. Forskriften spesifiserer lovens virkeområde og operasjonaliserer sikkerhetskravene til de omfattede virksomhetene.

Hjort tilbyr rådgivning og praktisk bistand for å sikre at din virksomhet både forstår og oppfyller kravene i digitalsikkerhetslovgivningen. Vi bistår også IKT-Norge med å utarbeide et høringssvar til forskriften.

Høringsfristen for forskriften er 11. desember 2024