Hva betyr den nye digitalsikkerhetsloven for din virksomhet?

Digitalsikkerhetsloven gjelder særlig for tilbydere av samfunnsviktige tjenester og leverandører av digitale tjenester.

Formålet med regelverket er å styrke leveransen av tjenester som er viktige for samfunnets funksjonalitet i sin helhet og hindre avbrudd og følgene av dette.

Samfunnsviktige tjenester er typisk energi, transport, helse, vannforsyning og bank/finans. Felles for virksomhetene som er omfattet av loven, er at en hendelse hos virksomheten får negativ virkning for samfunnet.

Med tilbydere av digitale tjenester regnes skytjenester, nettmarkedsplasser og søkemotorer.

I tillegg til virksomhetene som kravene direkte retter seg mot, vil kravene også kunne bli videreført nedover i leverandørkjeden og dette gjør at flere vil bli indirekte omfattet. Dersom dine kunder er underlagt regelverket, kan de stille krav til deg som leverandør – om din leveranse har betydning for deres sikkerhet, nettverk eller informasjonssystemer.

Hva kreves?

Regelverket stiller flere krav, hovedpunktene er følgende:

• Innmelding: Virksomheter som er direkte omfattet av loven må snarest sende inn informasjon om sin virksomhet til Nasjonal sikkerhetsmyndighet (NSM).
• Ha et styringssystem for digital sikkerhet.
• Gjennomføre regelmessige risikovurderinger.
• Etablere rutiner for hendelseshåndtering og rapportering.
• Kontroll på tilgangsstyring, sporbarhet og leverandører.

For store aktører kan dette bygge videre på eksisterende systemer (som ISO-sertifiseringer). For mange SMB-er kan det innebære å løfte sikkerhetsarbeidet til et nytt nivå.

Hvordan komme i gang

1. Avklar om dere er omfattet: Direkte eller om dere vil bli berørt som leverandør.
2. Kartlegg dagens situasjon: Hvilke rutiner har dere på plass? Hva mangler? Har dere kompetansen dere trenger?
3. Sett ansvar: Overordnet ligger ansvaret hos styret og ledelsen, men de konkrete oppgavene kan delegeres.
4. Dokumenter det dere gjør: Med loven følger krav til dokumentering og rapportering. Sørg for at dette implementeres i rutinene.
5. Søk støtte: Juridisk bistand kan hjelpe med å oversette kravene til praktiske rutiner og avtaler.

Hvilke muligheter gir dette?

For de som er direkte omfattet kan manglende etterlevelse kan gi bøter, tvangsmulkt og konsekvenser for kunderelasjoner. Det er avgjørende for konkurranseevnen til omfattede virksomheter. Kunder vil kreve etterlevelse i anbud og kontrakter, de som kan vise til dokumenterte rutiner for sikkerhet, stiller sterkere i konkurransen.

Utover bøter og sanksjoner, kan en sikkerhetshendelse kan ramme både økonomi, drift og omdømme hardt – små virksomheter har ofte mindre å gå på og rammes hardere.

Iverksett - ta kontakt ved behov

Digitalsikkerhetsloven markerer et tydelig skifte i hvordan digital sikkerhet reguleres i Norge. Det handler ikke bare om å unngå sanksjoner, men om å sikre seg posisjon i leverandørkjeder, styrke konkurransekraften – og ikke minst beskytte virksomheten mot reelle digitale trusler.