Blogg
02.10.2025
min tid å lese

Digitalsikkerhetsloven trådte i kraft 1. oktober 2025, hva betyr det for virksomheter?

Fra 1. oktober 2025 trådde Norges nye Digitalsikkerhetslov i kraft. Loven stiller tydelige krav til virksomheter som leverer samfunnsviktige tjenester og utvalgte digitale tjenesteleverandører, og legger ansvar for cybersikkerhet på ledelsen. Også leverandører berøres, da etterlevelse kan bli avgjørende for konkurranseevne og tillit i markedet.
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Digitalsikkerhetsloven trådte i kraft 1. oktober 2025, hva betyr det for virksomheter?</span>

Fra og med 1. oktober 2025 gjelder Norges nye lov om digital sikkerhet. Loven og tilhørende forskrift setter krav til hvordan virksomheter som har særlig betydning for samfunnet og utvalgte digitale tjenesteleverandører skal arbeide med digital sikkerhet.

Digitalsikkerhetsloven (med forskrift) er en nasjonal gjennomføring av EUs regelverk for nettverks- og informasjonssikkerhet. Norge har valgt å først gjennomføre NIS1 (det første direktivet fra 2016) via digitalsikkerhetsloven og tilhørende forskrift. En praktisk årsak til at man har begynt med NIS1 og ikke NIS2, er for å få på plass et etablert juridisk fundament. Dette gir tid til å modifisere og utvide regelverket på sikt. Digitalsikkerhetsloven har som mål å styrke motstandskraften i kritiske samfunnsfunksjoner, samtidig som ansvaret for cybersikkerhet tydeliggjøres på ledernivå.

Hvem omfattes?

Digitalsikkerhetsloven gjelder først og fremst:

  • Tilbydere av samfunnsviktige tjenester innen sektorer som energi, transport, helse, vannforsyning, bank- og finansmarkeder og digital infrastruktur.
  • Utvalgte digitale tjenesteleverandører, blant annet skytjenester, digitale markedsplasser og søkemotorer.

Forskriften presiserer virkeområdet nærmere og angir hvilke kategorier som omfattes.

Men det stopper ikke der: leverandører til disse virksomhetene blir i praksis også berørt. Når samfunnskritiske aktører nå får et tydelig lovpålagt ansvar for digital sikkerhet, må de stille tilsvarende krav videre nedover i leverandørkjeden. For leverandører betyr dette at manglende etterlevelse kan bli et konkurranseproblem – kunder som omfattes av loven vil ikke kunne bruke samarbeidspartnere som ikke kan dokumentere tilstrekkelig sikkerhetsnivå.

Med andre ord: selv om din virksomhet ikke er direkte omfattet av Digitalsikkerhetsloven, er det stor sannsynlighet for at kundene dine krever at man etterlever loven. Å være på forskudd med sikkerhetsarbeidet kan derfor være en avgjørende faktor for å beholde eksisterende kunder og vinne nye kontrakter.

Les også: Hva er leveringskjeden, og hvordan kan jeg sikre den?

3 Gode grunner til at leverandører må bry seg om Digitalsikkerhetsloven:

  1. Kundetap – virksomheter som er direkte omfattet kan ikke bruke leverandører som ikke oppfyller lovens krav.

  2. Konkurransefortrinn – dokumentert etterlevelse kan være et sterkt salgsargument i anbud og kontraktsforhandlinger.

  3. Fremtidig regulering – NIS2 og strengere regelverk er på vei. Å ligge foran gjør overgangen enklere og rimeligere.

Les også: Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit

Hovedkrav virksomheter må forholde seg til

Virksomheter som omfattes må blant annet:

  • Etablere og vedlikeholde et styringssystem for digital sikkerhet,
  • gjennomføre og dokumentere systematiske risikovurderinger,
  • ha rutiner for overvåkning, oppdagelse og håndtering av sikkerhetshendelser, samt plikt til å varsle relevante myndigheter om alvorlige hendelser,
  • stille krav til sikkerhet i leverandørkjeden og dokumentere oppfølging.

Kravene konkretiseres i forskriften.

Konsekvenser ved manglende etterlevelse

Loven gir hjemmel til tilsyn og reaksjoner ved manglende etterlevelse, herunder mulighet for tvangsmulkter og overtredelsesgebyr. Hjemmel og vurderingskriterier for sanksjoner er omtalt i proposisjonen og lovteksten.

Hvorfor handle nå?

Selv om loven trer i kraft i dag, krever implementering tid: styringssystemer, risikokartlegging, leverandøravtaler, beredskapsplaner og tekniske tiltak bør på plass og testes. Mange virksomheter vil kunne gjenbruke eksisterende arbeid (for eksempel ISO 27001, risikostyring og hendelseshåndtering), men arbeidet må tilpasses de spesifikke kravene i lov og forskrift.

Hvordan Sicra kan hjelpe

Sicra tilbyr tjenester som direkte støtter virksomheter i å møte kravene i digitalsikkerhetsloven:

  • Rådgivning og GAP-analyser: Kartlegging av modenhet og identifisering av mangler opp mot lov/forskrift og relevante rammeverk (ISO27001, NIS2-prinsipper).
  • Styringssystem og ledelsesforankring: Hjelp til å etablere styringsmodell, policyer og dokumentasjon som viser at ledelsen tar ansvar.
  • Risiko, leverandørstyring og teknisk sikkerhet: Risikovurderinger, leverandørgjennomgang og implementering av tekniske tiltak.
  • Overvåkning og hendelseshåndtering (SOC/IR): 24/7 overvåkning, MDR/SOC-tjenester og «incident response»-beredskap for rask håndtering av sikkerhetshendelser.
  • CISO-for-hire & opplæring: Strategisk sikkerhetsledelse og kurs/awareness for ledelse og ansatte.

Sicra har også relevante sertifiseringer og samarbeidspartnere som styrker leveransen (bl.a. ISO27001).

En praktisk sjekkliste — hva dere bør gjøre denne måneden

  1. Avklar om virksomheten er omfattet av loven (kartlegg tjenester og leveranser).
  2. Gjennomfør en rask GAP-analyse mot forskriftens krav.
  3. Prioriter tiltak: ledelsesforankring, risikovurdering, leverandørkrav og plans for hendelseshåndtering.
  4. Vurder å inngå SOC/MDR- eller IR-avtale for å sikre rask oppdagelse og respons.
  5. Dokumenter alt, tilsyn vil kunne etterspørre både planverk og gjennomførte tiltak.

Kilder

  • Regjeringen: «Ny lov om digital sikkerhet trer i kraft i dag». Regjeringen.no
  • Lovdata: Forskrift om digital sikkerhet (digitalsikkerhetsforskriften). Lovdata
  • EU / European Commission: NIS2-direktivet (oversikt). Digital Strategy
  • Prop. 109 LS (2022–2023) — proposisjon som beskriver lovens hjemler og sanksjonsmuligheter. Regjeringen.no

Bli med på gratis webinar: Styrk virksomhetens sikkerhet uten å ansette

Mange virksomheter trenger strategisk sikkerhetsledelse, men er ikke klare for å ansette en fast sikkerhetsrågiver/CISO (Chief Information Security Officer).
Les mer og meld deg på

Les mer

Vurderer du Security Operations Center (SOC)? Slik får du mest for pengene
Blogg

Vurderer du Security Operations Center (SOC)? Slik får du mest for pengene

Hvordan teknologistøtte kan spille de ansatte gode i møte med digitale trusler
Blogg

Hvordan teknologistøtte kan spille de ansatte gode i møte med digitale trusler

Nordmenn og digital sikkerhetskultur 2025: Når privat adferd blir bedriftens risiko
Blogg

Nordmenn og digital sikkerhetskultur 2025: Når privat adferd blir bedriftens risiko

Psykologisk trygghet og cybersikkerhet: Hvordan trygghet styrker forretningsbeslutninger
Blogg

Psykologisk trygghet og cybersikkerhet: Hvordan trygghet styrker forretningsbeslutninger