Hvilke krav stiller digitalsikkerhetsloven?

Loven stiller ti minimumskrav til risikostyring som speiler artikkel 21 i NIS2-direktivet. EU-kommisjonen har anslått at virksomheter i snitt må øke sine cybersikkerhetsbudsjetter med 22 % for å møte NIS2-kravene (EU-kommisjonen, 2022). For norske bedrifter som allerede følger NSMs grunnprinsipper, kan gapet være mindre.

Risikostyring og sikkerhetstiltak

Virksomheter skal gjennomføre systematisk risikoanalyse og implementere forholdsmessige sikkerhetstiltak. Dette omfatter alt fra tilgangskontroll og kryptering til fysisk sikring og hendelseshåndtering. Tiltakene skal stå i forhold til risikoen, noe som betyr at en stor energiprodusent må gjøre mer enn en liten avfallsoperatør.

Hendelsesrapportering

Rapporteringskravene er spesifikke og stramme. Virksomheter må varsle innen 24 timer etter at de blir oppmerksomme på en vesentlig hendelse. En mer detaljert rapport skal følge innen 72 timer, og en fullstendig sluttrapport innen 30 dager. Dette er vesentlig strengere enn det som gjaldt under NIS1.

Leverandørkjedesikkerhet

Et nytt og viktig krav er at virksomheter må vurdere sikkerheten i hele sin leverandørkjede. Det holder ikke lenger å sikre bare egne systemer. Virksomheter må stille krav til leverandører, følge opp at kravene overholdes, og ha beredskapsplaner dersom en leverandør kompromitteres.

Ledelsesansvar

Styret og daglig leder har personlig ansvar for at virksomheten etterlever kravene. Ledelsen skal gjennomgå obligatorisk opplæring i cybersikkerhet og kan holdes personlig ansvarlig ved manglende etterlevelse.

Hvordan skiller norsk implementering seg fra EU-landene?

Norge har valgt en samlet tilnærming som kombinerer NIS2 og CER i ett lovverk. De fleste EU-land implementerer de to direktivene separat. Ifølge en oversikt fra ENISA hadde bare 6 av 27 EU-land fullført nasjonal implementering innen fristen i oktober 2024 (ENISA, 2024).

[UNIQUE INSIGHT] Norges tilnærming med én samlet lov kan faktisk gi norske bedrifter en fordel. I stedet for å navigere mellom to separate regelverk, får virksomhetene ett koherent sett med krav. Det forenkler etterlevelsesarbeidet, særlig for virksomheter som faller inn under begge direktivene.

En annen forskjell er tidslinjen. Fordi NIS2 først må innlemmes i EØS-avtalen, har norske virksomheter fått noe lengre tid til forberedelse enn sine europeiske motparter. Men denne ekstra tiden bør brukes klokt. De virksomhetene som starter tidlig, unngår panikk og kostbare hasteprosjekter.

Tilsynsstrukturen er også tilpasset norske forhold. NSM får en koordinerende rolle, mens sektormyndighetene som NVE, Helsedirektoratet og Nkom får ansvar for tilsyn innenfor sine områder.

Hva bør bedriften din gjøre nå?

En undersøkelse fra NorSIS viser at bare 34 % av norske virksomheter har kartlagt om de omfattes av NIS2-kravene (NorSIS, 2025). Det betyr at flertallet av berørte virksomheter henger etter. Tiden for å starte er nå.

Steg 1: Kartlegg om virksomheten omfattes

Sjekk om virksomheten din opererer i en av de 18 sektorene som er definert i loven. Vurder størrelseskriteriene. Husk at sektormyndigheter kan utpeke virksomheter uavhengig av størrelse dersom de har en kritisk funksjon.

Steg 2: Gjennomfør en gap-analyse

Sammenlign nåværende sikkerhetstiltak mot kravene i digitalsikkerhetsloven. For virksomheter som allerede har ISO 27001-sertifisering, vil mange krav allerede være oppfylt. Men NIS2 stiller tilleggskrav, særlig rundt leverandørkjedesikkerhet og hendelsesrapportering.

Steg 3: Forankre i ledelsen

Sikre at styret og daglig leder forstår sine plikter og det personlige ansvaret som følger. Sett av budsjett og ressurser til etterlevelsesarbeidet.

Steg 4: Registrer virksomheten

Når registreringsprosessen åpner, må virksomheten registrere seg hos relevant sektormyndighet. Forbered nødvendig informasjon på forhånd.

[PERSONAL EXPERIENCE] Erfaringen vår fra tilsvarende implementeringsprosjekter i Sverige er at virksomheter som starter gap-analysen minst 12 måneder før fristen, bruker betydelig mindre ressurser enn de som venter. Hasteprosjekter koster typisk 40-60 % mer enn planlagte prosjekter.

Hvilke sanksjoner risikerer virksomheten?

Bøtenivåene under digitalsikkerhetsloven følger NIS2-direktivets rammer. Vesentlige enheter kan ilegges bøter på opptil 10 millioner euro eller 2 % av global omsetning (EU-kommisjonen, 2023). For viktige enheter er taket 7 millioner euro eller 1,4 % av global omsetning.

Men bøter er ikke den eneste risikoen. Tilsynsmyndighetene kan også gi pålegg, suspendere godkjenninger og i ytterste konsekvens forby ledere å utøve sine verv. Det personlige ansvaret for styremedlemmer og daglig leder er en ny dimensjon som skiller NIS2 fra tidligere cybersikkerhetsregelverk.

Er bøtene realistiske i norsk sammenheng? Trolig vil norske myndigheter starte med veiledning og oppfølging, ikke umiddelbare maksbøter. Men signaleffekten er tydelig: cybersikkerhet er ikke lenger et rent IT-spørsmål, det er et styringsansvar.

Citatkapsel: Under digitalsikkerhetsloven risikerer vesentlige enheter bøter på opptil 10 millioner euro eller 2 % av global omsetning, og ledelsen kan holdes personlig ansvarlig for manglende etterlevelse (EU-kommisjonen, 2023).

Ofte stilte spørsmål

Gjelder NIS2 direkte i Norge?

Nei. NIS2 er et EU-direktiv som krever nasjonal implementering. I Norge gjennomføres NIS2 gjennom digitalsikkerhetsloven. Norske virksomheter forholder seg til den norske loven, ikke direktivet direkte. Prosessen krever først innlemmelse i EØS-avtalen, deretter norsk lovvedtak.

Når trer digitalsikkerhetsloven i kraft?

Loven er vedtatt, men ikrafttredelsesdato avhenger av EØS-innlemmelsen av NIS2-direktivet. Virksomheter bør forberede seg som om fristen er nær, ettersom overgangsperioden trolig blir kort. NSM anbefaler at bedrifter starter arbeidet umiddelbart.

Må små bedrifter forholde seg til digitalsikkerhetsloven?

Hovedregelen er at virksomheter med under 50 ansatte og under 10 millioner euro i omsetning er unntatt. Men unntak finnes: leverandører av DNS-tjenester, TLD-registre, kvalifiserte tillitstenester og virksomheter som er utpekt som kritiske av sektormyndigheter omfattes uansett størrelse.

Hva er forskjellen på NIS2 og GDPR?

NIS2 handler om cybersikkerhet for kritiske sektorer, mens GDPR beskytter personopplysninger. De overlapper delvis, særlig rundt sikkerhetstiltak og hendelsesrapportering. Virksomheter som er omfattet av begge, må forholde seg til begge regelverk uavhengig av hverandre.

Trenger vi ekstern rådgivning for å etterleve digitalsikkerhetsloven?

Det avhenger av virksomhetens modenhet. Bedrifter med etablert ISMS (informasjonssikkerhetsstyringssystem) kan ofte håndtere mye internt. Men gap-analysen bør vurderes med ekstern bistand for å sikre objektivitet og riktig tolkning av kravene.

Viktige punkter om Digitalsikkerhetsloven vs NIS2 gjelder bedrift

Digitalsikkerhetsloven er Norges svar på NIS2, og den kommer med reelle konsekvenser for virksomheter som ikke forbereder seg. Med potensielle bøter i millionklassen og personlig ledelsesansvar, er dette noe styret og toppledelsen bør ha på agendaen allerede i dag.

De viktigste stegene er enkle å forstå, men krever innsats å gjennomføre: kartlegg om virksomheten er omfattet, gjennomfør en gap-analyse, forankre arbeidet i ledelsen, og sett i gang med nødvendige tiltak. Virksomheter som starter tidlig, vil stå bedre rustet og bruke mindre ressurser enn de som venter til siste liten.

---

Meta description: Digitalsikkerhetsloven implementerer NIS2 i norsk rett og vil omfatte 5 000-8 000 virksomheter. Lær forskjellene og hva din bedrift må gjøre.