Digitalsikkerhetsloven og digitalsikkerhetsforskriften

Digitalsikkerhetsloven og digitalsikkerhetsforskriften trådte i kraft 1. oktober 2025. Regelverket stiller grunnleggende krav til digital sikkerhet for virksomheter med særlig samfunnsbetydning og tilbydere av digitale tjenester. Gjennom loven og forskriften gjennomføres EUs direktiv 2016/1148 (NIS1-direktivet) i norsk rett.

Formål: Lovens formål er å stille krav til digital sikkerhet for virksomheter med særlig betydning for samfunnet. Dette gjøres ved å forebygge, avdekke og motvirke uønskede hendelser i virksomhetenes nettverks- og informasjonssystemer.

Omfang: Regelverket gjelder tilbydere av samfunnsviktige tjenester i sektorene energi, transport, helse, vannforsyning, bank og finansmarkedsinfrastruktur samt digital infrastruktur, og tilbydere av digitale tjenester (digitale markedsplasser, skytjenester og søkemotorer). Forskriften presiserer virkeområdet i 28 tjenestekategorier og unntak.

Viktige forpliktelser: Tilbydere av samfunnsviktige tjenester skal etablere og vedlikeholde et styringssystem for digital sikkerhet og gjennomføre organisatoriske, teknologiske og fysiske sikkerhetstiltak tilpasset virksomhetens risiko. Virksomhetene plikter å melde seg inn for Nasjonal sikkerhetsmyndighet og relevant tilsynsmyndighet. Ved alvorlige hendelser som påvirker tjenesteleveransen skal virksomheten varsle tilsynsmyndigheten. Også tilbydere av digitale tjenester pålegges krav om sikkerhet og varsling ved hendelser.