Norge får sin første lov om digital sikkerhet

Regjeringen har lagt fram et forslag til lov om digital sikkerhet. Loven skal bidra til å styrke den digitale sikkerheten i virksomheter som har særlig betydning for samfunnet.

Utvalgte virksomheter vil nå bli forpliktet til å overholde digitale sikkerhetskrav og å varsle om alvorlige digitale hendelser. Det vil gjøre virksomhetene bedre rustet til å stå imot angrep mot de digitale systemene de er avhengige av.

– Det er viktig at Norge nå får en lov som stiller krav til digital sikkerhet i virksomheter som har en viktig rolle i samfunnet. Denne regjeringen mener at grunnleggende krav til digital sikkerhet i slike virksomheter er helt avgjørende for å sikre velferdssamfunnet, sier justis- og beredskapsminister Emilie Enger Mehl (Sp).

Lovforslaget forutsetter forskrifter med tydeligere avgrensninger av hvem loven skal gjelde for og mer konkrete regler om hva som skal til for å oppfylle sikkerhets- og varslingskravene.

– Regjeringen vil at det skal etableres et regelverk om digital sikkerhet på tvers av sektorer. Regelverket skal være tilpasningsdyktig og fleksibelt, slik at det kan tas hensyn til ulike behov i ulike sektorer, sier justis- og beredskapsministeren videre.

Forslaget følger opp stortingsmeldingen om Nasjonal kontroll og digital motstandskraft. Det bygger på Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet). Det vil i første omgang gjelde for tilbydere av samfunnsviktige tjenester innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur, samt tilbydere av de digitale tjenestene digitale markedsplasser, skytjeneste, og digitale søkemotorer. Loven vil bli utviklet over tid for å gjøre norske virksomheter mer ansvarlige og sikre gjennomføring av nasjonale råd og anbefalinger.

Digital sikkerhet er en avgjørende forutsetning for en vellykket digitalisering av samfunnet. Regjeringen mener at denne loven vil bli et viktig bidrag for å redusere digitale sårbarheter både i samfunnet og i den enkelte virksomhet.

Virksomhetene som blir omfattet av loven må etablere grunnleggende sikkerhetstiltak i virksomhetenes digitale systemer. Det vil for eksempel kunne bli aktuelt for virksomhetene å se hen til NSMs grunnprinsipper for IKT-sikkerhet som et utgangspunkt for sikring av sine digitale systemer. Målet er at virksomhetene vurderer digital sikkerhet som en naturlig del av den ordinære driften.

Lovens krav om varsling ved hendelser som virker inn på tjenesteleveransen vil sørge for at virksomhetene får bistand til å håndtere hendelsen. Dessuten legges det opp til videre varsling, for eksempel i samme sektor, til sikkerhetsmyndighetene og eventuelt til andre land. Varslinger vil også kunne danne et nyttig kunnskapsgrunnlag for sikkerhetsmyndighetene.