# Hva er digitalsikkerhetsloven, og hvordan den henger sammen med NIS2

> Regner Norge foretaket deres som samfunnsviktig, har dere hatt lovpålagte sikkerhetsplikter siden 1. oktober 2025. De fleste styrer har ikke hørt om loven.

Source: https://fmcybersecurity.com/insights/compliance/hva-er-digitalsikkerhetsloven/
Locale: Norwegian (nb-NO)
Other locale: https://fmcybersecurity.com/en/insights/compliance/what-norways-digital-security-act-is/

## Metadata

- Date: 2026-05-07
- Author: maximilian-sharoyan
- Topic: compliance
- Format: article

Regner Norge foretaket deres som samfunnsviktig, har dere hatt lovpålagte plikter for digital sikkerhet siden 1. oktober 2025. De fleste styrer har ikke hørt om loven som skapte dem. Loven heter digitalsikkerhetsloven. Den er kort, den er i kraft, og den legger plikten på foretaket, altså på styret.

I de compliance-gjennomgangene jeg satt i denne våren, dukket det samme gapet opp gang på gang. IT-teamet visste at loven fantes. Styret hadde aldri sett et notat om den. Det gapet er risikoen.

![Digital Security Act, FM CyberSecurity](../../../assets/news/what-norways-digital-security-act-is-inline.png)

## Hva det koster dere å overse den

Tilsynsmyndigheten kan pålegge dere å lukke sikkerhetshull, og ilegge bot hvis dere lar være. Digitalsikkerhetsloven ([Lov 2023-12-20-108](https://lovdata.no/dokument/NL/lov/2023-12-20-108)) gir myndighetene rett til å føre tilsyn, kreve endringer og ilegge tvangsmulkt som løper til dere retter opp. Det øvre taket ligger i forskriften, ikke i et rundt tall fra en overskrift, så beløpet avhenger av saken deres.

Den største kostnaden er ikke boten. Verre er det å få skriftlig beskjed fra en tilsynsmyndighet om at foretaket sviktet en grunnleggende sikkerhetsplikt, mens en kunde eller en anbudskomité kikker dere over skulderen. For et foretak som selger tillit, er det brevet som svir.

## Hva loven er, og hvem den omfatter

Digitalsikkerhetsloven er den norske versjonen av EUs første direktiv for nettverkssikkerhet, kjent som NIS1 (direktiv (EU) 2016/1148, vedtatt i 2016). NIS står for "network and information systems", altså nettverks- og informasjonssystemer. Norge er med i EØS, avtalen som binder oss til de fleste reglene i EUs indre marked, så direktivet kom hit den veien. Loven og forskriften som følger den, [trådte i kraft 1. oktober 2025](https://www.regjeringen.no/no/aktuelt/ny-lov-om-digital-sikkerhet-trer-i-kraft-i-dag/id3121009/). Det er Norges første frittstående lov om digital sikkerhet.

Loven omfatter to grupper. Den første er tilbydere av samfunnsviktige tjenester. De holder til innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur (§ 6). Forskriften navngir 28 konkrete kategorier innenfor de sektorene, så om dere er omfattet, er et spørsmål dere kan sjekke, ikke gjette på. Den andre gruppen er tilbydere av digitale tjenester (§ 9): nettbaserte markedsplasser, søkemotorer og skytjenester.

Hører dere til en av gruppene, ber loven om to ting, sagt enkelt. Styr sikkerhetsrisikoen på en måte dere kan vise fram, og rapporter alvorlige hendelser til myndighetene. Plikten til å styre risiko og plikten til å rapportere er ryggraden i hele loven. Alt annet er detaljer under de to.

Her kommer NIS2 inn. NIS2 er EUs oppdaterte og bredere versjon av det samme direktivet. Det trekker inn flere sektorer og legger ansvaret tydeligere på ledelsen. Norges innlemmelse av NIS2 er i prosess, og datoen er ikke kunngjort, så ikke planlegg rundt en frist dere har sett sitert et sted. Når det skjer, vil det erstatte og utvide dagens digitalsikkerhetslov. Et foretak som får orden på dette under dagens lov nå, får langt mindre å gjøre når de bredere reglene kommer.

## Den ene beslutningen styret må ta

Styret må bestemme, ført til protokoll, hvem som er ansvarlig for risikoen knyttet til digital sikkerhet, og slå fast om foretaket er omfattet eller ikke. Dette er det ene punktet styret må svare ja eller nei på. Ikke en strategi, ikke en budsjettpost, men en navngitt ansvarlig og en dokumentert vurdering av omfanget, protokollført.

Alt som følger, risikoarbeidet, rutinen for hendelsesrapportering, bevismappen, springer ut av den ene beslutningen. Ta den i et møte, skriv ned hvilken sektorkategori dere faller inn under, eller hvorfor dere ikke faller inn under noen, så har dere begynt på sporet en tilsynsmyndighet kommer til å be om. Hopper dere over den, har det første spørsmålet i et tilsyn ikke noe svar.

## Ta beslutningen dette kvartalet

Se FM CyberSecuritys kvalifikasjoner og partnersertifiseringer på [/partners/](/#partners). Eller bestill en samtale på 30 minutter med [compliance-teamet vårt](/services/compliance/) på styrenivå, for å slå fast om digitalsikkerhetsloven gjelder foretaket deres, og hva de første 90 dagene bør inneholde.

## FAQ

### Gjelder denne loven for oss?

Leverer dere en tjeneste innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur eller digital infrastruktur, eller driver dere en nettbasert markedsplass, en søkemotor eller en skytjeneste, så regn med ja til dere har sjekket. Forskriften lister 28 kategorier av tilbydere av samfunnsviktige tjenester (etter § 6 og § 9 i [digitalsikkerhetsloven](https://lovdata.no/dokument/NL/lov/2023-12-20-108)). Sjekk foretaket mot den listen og skriv ned konklusjonen, omfattet eller ikke, og hvorfor.

### Hva er straffen hvis vi ikke gjør noe?

Tilsynsmyndigheten kan føre tilsyn, pålegge dere å lukke sikkerhetshull og ilegge tvangsmulkt som løper til dere retter opp. De detaljerte beløpene ligger i forskriften under loven, så tallet avhenger av bruddet og foretaket deres. Omdømmekostnaden ved et offentlig pålegg fra en tilsynsmyndighet veier som regel tyngre enn boten.

### Hvordan skiller dette seg fra GDPR?

GDPR verner personopplysninger og håndheves av Datatilsynet. Digitalsikkerhetsloven verner tilgjengeligheten og sikkerheten til samfunnsviktige og digitale tjenester, uavhengig av om personopplysninger er involvert. Én hendelse kan utløse begge. De har ulike tilsynsmyndigheter, ulike utløsere og ulike rapporter, så planen deres må håndtere begge samtidig.

### Hva endrer seg når NIS2 kommer til Norge?

NIS2 er EUs bredere og strengere arvtaker til dagens regler. Det omfatter flere sektorer og legger fastere plikter på ledelsen i foretaket. Norges innlemmelse er i prosess, og datoen er ikke kunngjort, så planlegg for retningen, ikke for en fast frist. Et foretak som oppfyller dagens digitalsikkerhetslov, får et forsprang når de bredere reglene får virkning.

### Vi er små, er vi likevel omfattet?

Omfanget følger sektoren og tjenesten, ikke antall ansatte. De 28 kategoriene i forskriften avgjør det, og noen av dem trekker inn små aktører der tjenesten betyr noe for samfunnet. En liten skytilbyder eller en liten aktør innenfor en navngitt samfunnsviktig sektor kan være omfattet. Kjør sjekken framfor å anta at størrelsen holder dere utenfor.

---

For the full documentation index, see https://fmcybersecurity.com/llms.txt
For the complete corpus as a single document, see https://fmcybersecurity.com/llms-full.txt