Hopp til hovedinnhold
Blogg
Dame som sitter foran en pc og koder

Ny sikkerhetslov: Her er hva bedriften din må forberede seg på

Regjeringen la frem et forslag til lov om digital sikkerhet i mai 2023 og i 2024 vil den tre i kraft. Loven har som formål å sikre grunnleggende krav til digital sikkerhet i virksomheter som har særlig betydning for samfunnet. Dette gjøres ved å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester

Denne loven vil også iverksette EUs NIS-direktiv (Network and Information Security Directive) i norsk lov. 

Hva er formålet? 

Digitalsikkerhetsloven skal legge til rette for å styrke den digitale sikkerheten i virksomheter - spesielt de som har en større samfunnsmessig betydning. I pressemeldingen fra 2023 kommer det også frem at regelverket skal være fleksibelt, slik at de ulike sektorene får tilpasset seg den nye loven ut ifra sektorens behov. Dog vil det settes mimimumskrav for bedriftene, i både offentlig og privat sektor, om hvordan den digital sikkerheten skal opprettholdes. 

Kort og godt så vil virksomheter:  

  • Få mer ansvar for å beskytte seg mot cyberkriminalitet
  • Forpliktes til å overholde digitale sikkerhetskrav
  • Forplikte seg å varsle om alvorlige digitale hendelser. 

 

Hvem faller under loven? 

I første fase vil digitalsikkerhetsloven gjelde sektorer som leverer en tjeneste som er av stor betydning for å opprettholde samfunnsmessige eller økomomiske aktivitet av kritisk grad. Loven vil gjelde for: 

  •  Energi, Helse, Transport, Vannforsyning, Bank, Finansmarkeds-infrastruktur og Digital infrastruktur. 

I tillegg vil loven omfatte noen tilbydere av digital tjenester som nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.

Meld deg på vårt nyhetsbrev

Men vil ikke flere sektorer bli berørt? 

Jo, absolutt, men akkurat nå er det kun de som er nevnt over. Det kan dog ta kortere tid enn vi kanskje tror. Dette skyldes EUs videre arbeid med å utvikle NIS-direktivet (revidert direktiv (NIS-2) ble vedtatt i 2022). NIS-2 innebærer en utvidelse av virkeområdet for loven om digital sikkerhet, noe som betyr at flere sektorer og flere virksomheter vil omfattes av reguleringen. For land som er medlem av EU vil det begynne å fases inn, så vi får se når NIS-2 blir EØS-godkjent. 

Hvilke sektorer kan falle under NIS-2? 

Vesentlige tjenester:Viktige tjenester: 
Energi, Transport, Bank, Finansmarkedsinfrastruktur, Helse, Drikkevann, Avløpsvann, Digital infrastruktur, IKT-tjenester, Sentral og regional offentlig forvaltning og RomvirksomhetPost - og kurertjenester, Avfallshåndtering, Produksjon og distribusjon av kjemikalier, Matproduksjon, Produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr), Tilbydere av digitale tjenester og Forskning

 

Er det noen bedrifter som faller utenom NIS-2? 

Er det mindre enn 50 ansatte og har en omsetning på mindre enn 10 millioner euro i årlig global omsetning i bedriften din? Da vil du ikke bli underlagt direktivet, med mindre tjenesten du leverer vurderes til å være av samfunnsmessig viktig art i følge myndighetene. 

Hvordan kan min bedrift forberede seg? 

Siden loven allerede kan utvide seg om kort tid, er det lurt å forberede seg. 

– Accountor Group og derigjennom Accountor AS, har fokusert på dette helt siden april 2022. Gjennom en omfattende GAP-analyse utført i hele Group, har vi forberedt oss på det som måtte komme gjennom NIS2, og derigjennom den norske «implementeringsmekanismen» sikkerhetsloven. Gjennom våre 15 pillarer i IT, Informasjons-og Cyber Security, har vi lagt ned store summer og enormt med arbeid i 2 år allerede, for å komme opp på det nivået vi er i dag. Vi er veldig nær å være fullt NIS Compliant pr februar 2024, og således vil ikke dette medføre nevneverdige nyvinninger.

Det er naturlig å være gode – og også tidligst ute på slike områder– i Accountor Group, sier IT-direktør Jon Søbakk i Accountor Norge 

Dette kan du gjøre: 

  1. Kartlegge kritiske systemer: Kartlegge hvordan NIS-direktivet kommer til å påvirke din bedrift, og identifiser hvilke systemer og tjenester som er avgjørende for virksomhetens drift. Dette kan inkludere nettverk, skytjenester, kommunikasjonsplattformer og mer
  2. Sikkerhetsvurdering: Gjennomfør en grundig sikkerhetsvurdering av disse systemene. Vurder sårbarheter, risikoer og mulige angrepsvektorer
  3. Implementer tiltak: Basert på vurderingene - implementer nødvendige sikkerhetstiltak (brannmurer, kryptering, tilgangskontroll og overvåking)
  4. Opplæring og bevissthet: Sørg for at ansatte er klar over digitale sikkerhetsrisikoer og vet hvordan de skal håndtere dem

    Husk at digitalsikkerhetsloven er et viktig skritt for å beskytte samfunnet mot digitale trusler. Så om du ikke har begynt å sette deg inn i det enda, er tiden definitivt nå. 

 

Share