Da digitalsikkerhetsloven tredde i kraft i oktober 2025, skjedde det noe viktig. Ikke dramatisk. Ikke over natten. Men fundamentalt: Ansvaret flyttet seg fra IT til ledelsen og opp til styret.

Cybersikkerhet er ikke lenger et teknologisk spørsmål. Det er et styringsansvar.

Loven stiller krav til systematisk risikostyring, dokumentasjon og hendelseshåndtering. Men enda viktigere: Den forutsetter at dette er forankret øverst i virksomheten. Det er ikke en IT oppgave med rapportering. Det er en del av virksomhetsstyringen.

Les saken: Digitalsikkerhetsloven trådte i kraft 1. oktober 2025, hva betyr det for virksomheter?

Sikkerhet som friksjonsfjerner

De fleste snakker fortsatt om cybersikkerhet som risiko. Færre snakker om hva det faktisk gjør for forretningen.

Virksomheter som har tatt dette på alvor, oppdager noe interessant: God sikkerhet gir hastighet. Hastighet i anbudsprosesser, i revisjoner, i beslutninger. Når dokumentasjon og struktur er på plass, slipper du å stoppe opp hver gang noen spør om dere kan dokumentere sikkerheten. Du svarer, og går videre.

Det er derfor sikkerhet i økende grad fungerer som et konkurransefortrinn. Ikke fordi det ser bra ut på papiret, men fordi det reduserer friksjon i møte med kunder og partnere.

Styret trenger ikke forstå teknologien

Men de må forstå konsekvensene. Med NIS2 forsterkes dette ytterligere. Artikkel 20 peker tydelig på ledelsens ansvar for å forstå cyberrisiko, gjennomføre opplæring og sikre etterlevelse. Det holder ikke lenger å delegere risiko man ikke selv forstår.

Dette er en endring mange styrer fortsatt undervurderer. Ikke fordi de ikke bryr seg, men fordi cybersikkerhet fortsatt oppleves som teknisk. Det er det ikke. Det handler om styring.

De beste styrene stiller de riktige spørsmålene

De spør ikke: «Er vi sikre?»

De spør: «Har vi god oversikt?»

Og de følger opp på konkrete ting: Hvem eier risikoen? Er beredskapen faktisk testet? Hva er kritisk for virksomheten? Har vi kontroll på leverandørkjeden? Kan vi dokumentere etterlevelse?

Det handler ikke om detaljer. Det er styringssignaler.

Leverandørkjeden: Der mye av risikoen faktisk befinner seg

En av de viktigste endringene i praksis skjer ikke internt, den skjer i relasjonene.

Virksomheter som er omfattet av loven, må nå stille krav videre: Til leverandører, til partnere, til hele økosystemet. Du overtar risikoen til de du samarbeider med, enten du er bevisst på det eller ikke. Det betyr at også virksomheter som ikke er direkte regulert, vil merke kravene, ikke fra myndighetene, men fra kundene sine.

Konsekvensen er tydelig: Manglende sikkerhet blir ikke bare et driftsproblem. Det blir et salgsproblem.

Hva skjer hvis tilsynet kom i morgen?

Dette er kanskje det enkleste og mest avslørende spørsmålet et styre kan stille seg selv.

Kan dere vise hvem som har ansvar? Hvilke risikoer som er identifisert? Hvilke tiltak som er gjennomført og testet? Og hvordan dere forbedrer dere over tid?

Hvis svaret er «delvis», er det ikke et sikkerhetsproblem. Det er et styringsproblem, og det er fullt mulig å gjøre noe med.

Styret som muliggjører

Cybersikkerhet har fått mye oppmerksomhet de siste årene. Men i mange virksomheter er tilnærmingen fortsatt defensiv. Det er en mulighet som ikke utnyttes.

For de beste virksomhetene brukes sikkerhet aktivt: Til å bygge tillit, redusere friksjon, vinne kontrakter og skalere raskere.

I 2026 er ikke spørsmålet om du har sikkerhet. Spørsmålet er om markedet har tillit til den. Og ansvaret ligger nå hos styret.

Kilder

• Nasjonal sikkerhetsmyndighet (NSM) – Grunnprinsipper for IKT-sikkerhet

• Regjeringen.no – Lov om digital sikkerhet (digitalsikkerhetsloven)

• Regjeringen.no – Høringsnotat til digitalsikkerhetsforskriften, 2024

• Digitaliseringsdirektoratet (Digdir) – Veiledning om digital sikkerhet og risikostyring

• Digi.no – Dekning av NIS2 og konsekvenser for norske virksomheter, 2024–2025

• EU – NIS2-direktivet (EU) 2022/2555