Loven bygger på EUs NIS-direktiv og stiller krav til hvordan virksomheter organiserer, sikrer og rapporterer om digital sikkerhet. Forskriften viser hvordan kravene skal gjennomføres i praksis.
– Dette er den første helhetlige loven om digital sikkerhet i Norge. Den setter ikke bare krav, men gir også virksomheter en mulighet til å styrke motstandsdyktigheten sin mot digitale trusler, sier Erik Stol Øyan, sikkerhetsekspert i Advania Norge.
Hvem gjelder loven for
DSL gjelder for to hovedgrupper:
- Samfunnsviktige virksomheter: Energi, transport, bank, helse, vannforsyning og digital infrastruktur
- Tilbydere av digitale tjenester: Skytjenester, netthandel og søkemotorer
Med NIS2-direktivet, som trolig innføres i 2026, blir flere sektorer omfattet, blant annet offentlig forvaltning, avfallshåndtering, post- og leveransetjenester, matproduksjon og produsenter av kritisk teknologi.
Små virksomheter er i utgangspunktet unntatt, men kan omfattes dersom de leverer særlig kritiske tjenester.
– Vår klare anbefaling er å finne ut om dere omfattes. Jo før, jo bedre. Selv små aktører kan være kritiske i en verdikjede, og da gjelder kravene like fullt, sier Erik.
Dette bør du gjøre nå
Hvis du er usikker på om virksomheten din omfattes av Digitalsikkerhetsloven, start med dette:
- Avklar om dere er innenfor lovens virkeområde. Sjekk sektor, størrelse og tjenester
- Gjennomfør en gap-analyse. Kartlegg dagens sikkerhetsnivå opp mot lovens krav
- Etabler et styringssystem for sikkerhet. Dokumenter policy, rutiner og roller som understøtter virksomhetens viktigste leveransekjeder
- Sikre hendelseshåndtering og varsling. Sørg for klare prosesser og tekniske verktøy for å oppdage og melde fra om hendelser
- Involver ledelsen. Loven setter tydelige krav til styret og toppledelsen
- Se fremover mot NIS2. Forbered dere på at virkeområdet blir bredere og kravene strengere fra 2026
– Digitalsikkerhetsloven er ikke bare en IT-sak. Det er en ledelses- og styringssak. Styret og toppledelsen får et tydelig ansvar, og det er helt nødvendig for å bygge reell motstandskraft, sier Erik.
Vi kan hjelpe deg å bli mer motstandsdyktig, se hvordan vi jobber helhetlig med informasjonssikkerhet.
.jpeg?width=800&height=419&name=Advania%20Norge%20-%20Miljbilder%20-%20Oslo%20(17).jpeg)
Hvilke krav stilles
Kravene kan kort oppsummeres i fire ord: risikovurdere, sikre, opprettholde og varsle.
For samfunnsviktige virksomheter stilles det krav til blant annet:
- Risikovurderinger av nettverks- og informasjonssystemer
- Tekniske og organisatoriske sikkerhetstiltak
- Hendelseshåndtering og varsling til myndighetene
- Dokumenterte styringssystemer for sikkerhet
- Tiltak for ansatte, leverandører og fysisk sikkerhet
For tilbydere av digitale tjenester stilles det krav til:
- Risikovurdering
- Sikkerhetstiltak for systemer, hendelseshåndtering og kontinuitet
- Overvåking, testing og standarder
- Varslingsplikt ved hendelser
Alle virksomheter må tilpasse tiltakene etter egen risiko.
– Det finnes ingen "one size fits all". Loven legger opp til at sikkerhetstiltakene skal stå i forhold til risikoen. Derfor må hver virksomhet gjøre sine egne vurderinger, sier Øyan.
Les om hvordan AI har endret din IT-sikkerhet
Hva gjør Advania
Advania jobber helhetlig med Digitalsikkerhetsloven, både i hvordan vi leverer driftstjenester til kundene våre, og i hvordan vi bistår virksomheter med å etterleve kravene.
– Vi er opptatt av å forstå dine behov og levere løsninger tilpasset dere, og kan levere alt fra risikovurdering, strategisk rådgivning og beredskapsplaner til skysikkerhet og tilgangsstyring for å nevne noe. For oss er det viktig å kunne være en helhetlig partner som skaper trygghet, ikke bare levere teknologi, sier Erik.
Hvis du vil vite mer om hvordan du kan forberede deg på Digitalsikkerhetsloven, tar vi gjerne en uforpliktende prat om hvordan vi kan hjelpe deg.
