Hva innebærer digitalsikkerhetsloven for deg som leverandør? 

Hva er loven om digital sikkerhet – og hvorfor angår den deg som leverandør? 

Den 1. oktober 2025 trådte lov om digital sikkerhet (digitalsikkerhetsloven)i kraft. 
Loven gjennomfører EUs NIS-direktiv (NIS1) i norsk rett og skal styrke sikkerheten i norske virksomheters nettverks- og informasjonssystemer. 

Formålet er å forebygge, avdekke og håndtere hendelser som kan true leveransen av samfunnsviktige og digitale tjenester. Samtidig legger loven grunnlaget for den kommende innføringen av NIS2-direktivet, som vil utvide kravene til flere sektorer og leverandørkjeder i årene fremover. 

Loven gjelder for to hovedgrupper av virksomheter, slik det er definert i NSMs veileder: 

• Gruppe A – virksomheter som tilbyr samfunnsviktige tjenester, blant annet innen: 
  energi, transport, helse, vannforsyning, bank og finansmarkedsinfrastruktur, samt digital infrastruktur (for eksempel domeneregistre, navnetjenester og internettknutepunkter). 

• Gruppe B – virksomheter som tilbyr digitale tjenester, som: 
  nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. 

Det ansvarlige departementet eller Nasjonal sikkerhetsmyndighet (NSM) kan også ved enkeltvedtak bestemme at loven skal gjelde for andre virksomheter som har en særskilt samfunnsrolle. 

Selv om mange små og mellomstore bedrifter (SMB) ikke er direkte omfattet, får loven stor indirekte betydning. 
Virksomheter i de sektorene som omfattes, må stille sikkerhetskrav til alle sine leverandører og samarbeidspartnere.  Dermed blir også SMB-bedrifter en del av det utvidede sikkerhetsansvaret – med krav til kontroll, dokumentasjon og beredskap i verdikjeden. 

Hva betyr loven for deg som leverandør? 

For leverandører til virksomheter som leverer samfunnsviktige eller digitale tjenester, betyr den nye loven at sikkerhet ikke lenger er et valg, men et krav.  Loven pålegger de store aktørene å sikre hele verdikjeden – og det innebærer at også deres leverandører må kunne dokumentere hvordan de ivaretar sikkerhet og beredskap. 

Dette gjelder særlig SMB-bedrifter som leverer tjenester, systemer eller komponenter som inngår i kundens drift eller digitale infrastruktur. 

Kundene vil forvente at du kan vise til: 

• Tydelige rutiner for informasjonssikkerhet og tilgangsstyring, 

• Beredskap for håndtering av digitale hendelser, og 

• Trygg behandling av data og personopplysninger. 

Virksomheter som er omfattet av regelverket kan ilegges sanksjoner som overtredelsesgebyr eller andre myndighetstiltak dersom de ikke oppfyller kravene. 

Selv om man som leverandør ikke direkte omfattes av regelverket, kan manglende etterlevelse likevel få konsekvenser. Virksomheter må kunne dokumentere at deres leverandører bidrar til et forsvarlig sikkerhetsnivå. Dersom dette ikke ivaretas, kan leverandører miste kontrakter, bli valgt bort og svekke tillit og omdømme i et marked med stadig høyere krav til sikkerhet. 

I en tid der sikkerhet er tett knyttet til omdømme og forretningsforhold, kan et eneste avvik skade virksomhetens troverdighet og konkurranseevne. 

Kort sagt: Etterlevelse handler ikke bare om å unngå sanksjoner – det handler om å bevare tillit, posisjon og fremtidige forretningsmuligheter. 

Seks hovedelementer i loven om digital sikkerhet 

Loven om digital sikkerhet favner bredt og krever tiltak på tvers av organisasjonen. 
De seks områdene i figuren beskriver hvordan virksomheten skal bygge sin sikkerhetsstruktur: 

1. Organisatorisk sikkerhet 

 Virksomheten skal ha skriftlige rutiner, instrukser og tiltaksplaner for digital sikkerhet som er tilpasset risiko og gjort kjent for relevant personell. 

2. Teknologisk sikkerhet 

 Det skal gjennomføres tekniske tiltak for autentisering, tilgangsstyring, segmentering, robusthet, kapasitet, oppdatering og overvåkning av systemer. 

3. Fysisk sikkerhet 

 Lokaler, bygninger og infrastruktur skal sikres mot uautorisert adgang, ytre påvirkninger og hendelser som kan skade nettverk og systemer. 

4. Personellsikkerhet 

 Tilgang til systemer skal gis etter behov og rolle, og ansatte og leverandører skal ha nødvendig opplæring og sikkerhetsforståelse. 

5. Hendelseshåndtering og beredskap 

 Virksomheten skal ha beredskapsplaner, rutiner for varsling og evne til å håndtere og gjenopprette normal drift ved sikkerhetshendelser. 

6. Leverandørsikkerhet 

 Sikkerhetskrav skal gjelde også for leverandører og samarbeidspartnere for å sikre et forsvarlig sikkerhetsnivå i hele verdikjeden. 

Når juss møter teknologi – helhetlig støtte fra NetNordic sammen med advokatfirma 

Å oppfylle kravene i loven krever både juridisk forståelse og teknisk gjennomføring.  For mange SMB-bedrifter er dette krevende å løse alene. Derfor samarbeider NetNordic med et advokatfirma som gjør det mulig å møte kravene på en helhetlig og praktisk måte. 

Fra kartlegging til kontinuerlig forbedring

Å oppfylle loven er ikke et prosjekt – det er en prosess. Samarbeidet mellom NetNordic og det juridiske miljøet dekker hele reisen fra analyse til drift. 

1. Kartlegging 

Første steg er å forstå hvordan virksomheten omfattes av regelverket.  Advokatfirma vurderer hvordan loven treffer virksomheten og hvilke krav som gjelder – både med tanke på ansvar, styring og rapporteringsplikt. 

2. Modenhetsvurdering 

Neste fase handler om å måle modenhet og risiko. NetNordic gjennomfører en modenhetsvurdering – intervjuer, dokumentgjennomgang og analyse av tekniske rutiner.  Dette munner ut i konkrete tiltak og en rapport med strategiske anbefalinger for videre sikkerhetsarbeid. 

3. Implementering (internt) 

Når kartlegging og vurdering er fullført, starter arbeidet med å implementere nødvendige tiltak for å oppnå forsvarlig sikkerhet. NetNordic etablerer styringssystemer for sikkerhet, gjennomfører verdikartlegging og risikovurderinger, og bistår med implementering av sikkerhetstiltak som reduserer risiko for avvik og driftsstans. 
Advokatfirmaene gjør en vurdering av sikkerhetstiltakene og bidrar med gjennomgang av dokumentasjon, policyer og prosedyrer for å sikre at alt er i tråd med regelverket og revisjonskravene. 

4. Implementering (eksternt) 

I denne fasen ser man utover egen virksomhet og mot leverandørkjeden. 
De juridiske rådgiverne bistår med oppfølging av leverandører, herunder utarbeidelse av kontraktsklausuler som stiller krav til sikkerhet i leverandørforhold.  De håndterer også dialog og kontakt med tilsynsmyndigheter som Nasjonal sikkerhetsmyndighet (NSM), for eksempel ved innmelding eller spørsmål om plikter. 
Dette sikrer at virksomheten står rustet også i forhold til eksterne krav. 

5. Vedlikehold og kontinuerlig forbedring 

Digital sikkerhet er et kontinuerlig arbeid. Etter implementering sørger NetNordic og de juridiske rådgiverne for løpende drift, rådgivning og forbedring. Gjennom NetNordics Security Operations Center (SOC) overvåkes virksomheten 24/7 for å oppdage og håndtere hendelser. Samtidig følges utviklingen i lovverk og forskrifter tett, slik at virksomheten alltid ligger i forkant. 

Tjenestene i denne fasen kan inkludere: 

Sett NIS 2 som målbilde når du implementerer digitalsikkerhetsloven

Å innrette seg etter NIS1 nå – for så å oppgradere til NIS2 senere – er lite effektiv bruk av både tid og ressurser.
Sikt direkte mot NIS2, så står virksomheten støtt når regelverket oppdateres i Norge.

Våre anbefalinger

Resultatet – fra lovkrav til trygghet 

Når juss og teknologi kobles sammen, får virksomheten reell trygghet – ikke bare compliance på papiret.  NetNordic, sammen med juridiske partnere, gjør det mulig for SMB-bedrifter å møte lovens krav på en profesjonell og effektiv måte, uten å måtte bygge opp intern ekspertise fra bunnen av. 

Det handler om å redusere risiko, bevare tillit og bygge robusthet slik at du kan fokusere på kjernevirksomheten, mens NetNordic og samarbeidspartnerne sørger for at sikkerheten og etterlevelsen er ivaretatt.