I en verden der digitale trusler lurer rundt hvert hjørne, kommer Digitalsikkerhetsloven som et viktig skritt for å beskytte norske virksomheter og samfunnet. Basert på en spennende episode av Digitaliseringspådden, der programleder Jens Christian Bang snakker med advokatfullmektig Camilla Gjersem og advokat Lars Folkvard Giske fra Føyen, samt fagdirektør Stig Andersen fra Nasjonal sikkerhetsmyndighet (NSM), skal vi dykke ned i hva denne loven egentlig innebærer. Er det enda en byråkratisk bør, eller et nødvendig verktøy for bedre sikkerhet? La oss utforske det sammen.
Hvorfor kommer loven nå?
Norge har lenge hatt en backlog når det gjelder lover om digital sikkerhet. Loven bygger på EUs NIS1-direktiv fra 2016 og det kommende NIS2, og den kommer for å lukke hull i eksisterende regelverk. Med økende cybertrusler er det på tide å gå fra frivillige tiltak til strenge krav. Advokatene fra Føyen understreker at dette ikke er noe nytt i Europa, men Norge må nå følge etter for å sikre nasjonal sikkerhet.
Når trer den i kraft, og hvem gjelder den for?
Loven forventes å tre i kraft snart, og den omfatter et bredt spekter av virksomheter. Primært gjelder den for kritiske sektorer som energi, helse, transport og digitale tjenester. Hvis din bedrift leverer essensielle tjenester eller er del av en verdikjede som støtter disse, må du forholde deg til kravene. Det handler om å identifisere om du er en «viktig» eller «essensiell» aktør – noe NSM vil hjelpe til med å avklare.
Fra frivillig til lovpålagt sikkerhet
Tidligere har digital sikkerhet ofte vært basert på «beste praksis», men nå blir det obligatorisk. Loven krever at virksomheter etablerer et styringssystem for informasjonssikkerhet (ISMS), med sterk ledelsesforankring og grundig dokumentasjon. «Dette er et skifte som sikrer at sikkerhet ikke lenger er et valg, men en plikt,» sier advokatene fra Føyen. Det betyr at toppledelsen må involveres aktivt for å unngå sanksjoner.
Ansvar i leverandørkjeden
En av de mest utfordrende delene er ansvaret som strekker seg gjennom hele leverandørkjeden. Underleverandører må også oppfylle kravene, og eksisterende kontrakter kan trenge revisjon. Advokatene peker på at langvarige avtaler uten klare supportplikter kan bli en risiko. For å sikre helhetlig kontroll, anbefales det å inkludere sikkerhetskrav i alle nye kontrakter og gjennomgå gamle for å overføre risiko riktig.
Varsling og hendelseshåndtering
Hvis noe går galt, må alvorlige hendelser varsles raskt til NSM. Stig Andersen fra NSM forklarer at virksomheter må ha rutiner på plass – noe mange mangler i dag. Frister er strenge, og samhandling med myndigheter er essensielt i krisesituasjoner. «Har du ingen rutiner for varsling? Da er det på tide å starte,» understreker ekspertene. Dette gjelder ikke bare store angrep, men alle hendelser som kan påvirke digital sikkerhet.
Tilsyn, sanksjoner og personlig ansvar
NSM vil føre tilsyn for å sikre etterlevelse, med mulighet for pålegg, overtredelsesgebyr og oppfølging. I verste fall kan ledelsen holdes personlig ansvarlig. Bøtene kan bli betydelige, avhengig av overtredelsens alvor. Advokatene fra Føyen advarer: «Dette er ikke bare en papirtiger – myndighetene vil følge opp i praksis.»
Hvordan forberede seg?
Ikke vent! Start med å kartlegge ditt nåværende sikkerhetsnivå og etabler rutiner. Involver ledelsen tidlig, og søk kompetanse der det trengs – enten internt eller via eksterne verktøy og støtte. Unngå å undervurdere kompleksiteten i leverandørkjeden. «Begynn i det små, men vær systematisk,» råder advokatene. Med NIS2 i horisonten, som vil skjerpe kravene ytterligere, er det smart å ligge i forkant.
Avslutning: Et nødvendig steg fremover
Digitalsikkerhetsloven er mer enn enda en lov – den er en mulighet til å styrke din virksomhet mot fremtidige trusler. Som Gjersem og Giske fra Føyen oppsummerer: «Dette handler om å beskytte både bedriften din og samfunnet vi alle er del av.» Lytt til episoden av Digitaliseringspådden for mer dybde, og ta grep nå for en sikrere digital fremtid.
