Lov og forskrift om digital sikkerhet
Ledere og styremedlemmer får mer ansvar for IKT-sikkerhet
Endringer i datasikkerhetsloven vil kreve mer av mange ledere og styremedlemmer. Illustrasjonsbilde. Foto Andrej Lisakov / Unsplash
Skrevet av:
Nicolay Biørn-Lian
Publisert:
18. september 2025
Mange bedriftsledere og styremedlemmer vil få et større ansvar for sikkerhetstiltak når de nye reglene for digitalsikkerhet trer i kraft 1. oktober. Det blir også nye krav til forsyningskjeden.
De nye reglene går frem av endringene i digitalsikkerhetsloven og digitalsikkerhetsforskriften.
Reglene går på hvordan virksomheter skal forebygge, avdekke og håndtere digitale hendelser. De trer i kraft 1. oktober.
– Som daglig leder eller styremedlem kan du få personlig erstatningsansvar ved brudd på de nye reglene som lanseres, sier advokat Guro Austvik Letnes i Samfunnsbedriftene.
Helt kort går endringene ut på at:
- ledere får større ansvar for sikkerhetstiltak
- det blir nye krav til sikkerhet i forsyningskjeden
- det blir korte frister både for varsling og internkontroll
Overtredelser kan sanksjoneres med gebyr på inntil 25 ganger grunnbeløpet, eller 4 prosent av samlet årsomsetning.
Truslene øker
Bakgrunnen for de nye EU-reglene er at sikkerhetstrusselen vokser. Vi har tidligere skrevet om hvordan Gran kommune kjempet mot hackere.
Vi vet at det har vært hybride angrep i Norge (blant annet på Stortinget) og at flere norske havner har strategisk verdi for hele Norden.
Det er en kjensgjerning at våre medlemmer forvalter kritisk infrastruktur. Bare tenk på strøm, bredbånd, fungerende havner, vann og avløp, brann og redning og avfallshåndtering.
Uten disse tjenestene, går lokalsamfunnet i stå. Det vet dataskurker som vil ha penger av oss. Og det vet alle andre, både statlige og halvstatlige, som ikke vil Norge vel.
– Når man ser på utviklingen, bør man ikke spørre seg om man blir angrepet. Man bør heller spørre seg når, fortsetter Austvik Letnes.
– Da er det avgjørende at ledelsen har tatt de nødvendige skrittene for å forebygge, avdekke og håndtere et cyberangrep eller en annen digital hendelse.
– Det er også verdt å merke seg at det blir nye krav til sikkerhet i forsyningskjeden. Det gjør at mange virksomheter må gå gjennom sine kontrakter.
Ansvaret kan være personlig
Det er ikke alle av Samfunnsbedriftenes medlemmer som er direkte omfattet av de nye reglene. Men reglene gjelder for mange av dem. (Se faktaboks for å få en oversikt).
Da prinsippene er viktige for alle virksomheter, vil det være en fordel å følge dem uansett. Og for virksomheter som er omfattet av reglene, er det et ris bak speilet.
Samfunnsbedriftene har tidligere avholdt et webinar for å gi våre medlemmer en oversikt over de nye reglene.
– Dersom man ikke har fulgt det nye regelverket, kan både daglig leder og styremedlemmer holdes personlig ansvarlig, avslutter Austvik Letnes.
Nasjonal sikkerhetsmyndighet skal utarbeide veiledere i forbindelse med at reglene trer i kraft. Samfunnsbedriftene vil også tilby kursing i de nye reglene dersom det blir behov for det.
Hvem blir berørt?
Her er noen eksempler på virksomheter som vil bli omfattet av regelverket:
Energi:
-KBO-enheter (kraftberedskapsforskriften § 2-1 andre ledd)
-Andre virksomheter underlagt kraftberedskapsforskriften § 1-3 andre ledd
-Andre virksomheter underlagt kraftberedskapsforskriften § 1-3 andre ledd
Havn:
-Havner/havneanlegg med mer enn 100.000 tonn gods årlig (over fem år)
-Havner eller havneanlegg som håndterer mer enn 100.000 passasjerer årlig (over fem år)
-Havner eller havneanlegg som håndterer mer enn 100.000 passasjerer årlig (over fem år)
Vann og avløp:
-Vannforsyningssystemer som behandler minst 2000 m³ drikkevann per døgn
Helse:
-Helse- og omsorgstjenester i kommuner med flere enn 50.000 innbyggere, eller flere enn 20.000 brukere avhengige av tjenesten
-Tjenester som ikke kan avlastes av andre tjenester
-Tjenester som ikke kan avlastes av andre tjenester
110-sentraler:
110 sentralene som er alarmsentraler for e-call
Hold deg oppdatert!
Vi gir deg siste nytt fra skjæringspunktene mellom fag og politikk, og mellom arbeidsliv og jus. Du får relevante og forståelige nyheter rett i innboksen din.
© 2022 Samfunnsbedriftene.
Fakturaadresse
EHF:
Samfunnsbedriftene er registrert i ELMA-registeret med organisasjonsnummer 912868222.
Vi ønsker fortrinnsvis å motta fakturaer i EHF-format.
Dersom dette ikke er mulig benyttes e-post til følgende adresse: samfb@faktura.poweroffice.net
7439 Trondheim
Besøksadresse
Haakon VIIs gate 9
0161 Oslo
Postadresse
Postboks 1378 Vika
0114 Oslo
Org.nr 912868222