Det nasjonale responsmiljøet skal i tillegg som et minimum
beredskaps- og kontinuitetsløsninger som sikrer at varsling og hendelseshåndtering kan utføres og overleveres mellom flere, med tilstrekkelige ressurser for kontinuerlig tilgjengelighet og tilgang til redundante systemer og lokasjoner.
Videre skal responsmiljøene bidra til det nasjonale responsmiljøet sin oppdragsløsning og som minimum
bidra til helhetlig cyberrisikobilde, gjennom å til enhver tid ha oversikt over og rapportere om hendelser, sårbarheter og trusler innen eget ansvarsområde
bidra til offentlig-privat samarbeid, gjennom blant annet å fremme bruk av standarder for hendelseshåndtering, risikohåndtering, taksonomi.
koordinere og gi råd om nasjonal innsats for tilsiktede alvorlige cyberhendelser
digitalsikkerhetsloven § 2 første ledd bokstav a
Ansvarlig departement kan utpeke responsmiljøer som kan bistå en tilbyder av en samfunnsviktig tjeneste med å håndtere hendelser innenfor sektorene nevnt i
. Nasjonal sikkerhetsmyndighet skal orienteres om utpekingen.
Enhver som utfører eller har utført arbeid eller oppdrag for et responsmiljø, plikter å hindre at uvedkommende får adgang eller kjennskap til det vedkommende i forbindelse med arbeidet eller oppdraget får vite om noens personlige forhold eller drifts- og forretningshemmeligheter. Taushetsplikt vedkommende er pålagt ved lov eller på annen måte, er ikke til hinder for at responsmiljøene gjensidig kan utveksle informasjon i den utstrekning det er nødvendig for å utføre pålagte oppgaver i eller i medhold av
Et responsmiljø skal overholde relevante krav som følger av eller i medhold av
redundante og sikre kommunikasjonsløsninger, med klart definerte og tydelig formidlede kommunikasjonskanaler til medlemmer og samarbeidspartnere
Få svar på ofte stilte spørsmål her (FAQ)
Forskriften trer i kraft 1. oktober 2025.
Lovdata kan dessverre ikke svare på spørsmål angående juridiske problemer. Lovdata kan heller ikke bidra med å tolke regelverket eller finne frem til rettsregler som passer i et bestemt tilfelle. Kontakt den offentlige etaten spørsmålet gjelder, eventuelt advokat eller rettshjelper hvis du har behov for slik bistand.
hendelsen, herunder mulige årsaker og konsekvenser
delta i CSIRT Network, samt kunne delta, der hensiktsmessig, i andre internasjonale samarbeidsnettverk.
skal sendes til tilsynsmyndigheten med kopi til Nasjonalt kontaktpunkt. Varselet skal sendes senest innen 24 timer etter at en tilbyder av en samfunnsviktig tjeneste fikk kjennskap til hendelsen. Varselet skal inneholde informasjon om
hendelsens virkninger i andre land.
Informasjonen i varselet skal oppdateres innen 72 timer.
Innen en måned fra varsel som nevnt i første ledd er sendt, skal tilbyderen gi tilsynsmyndigheten en hendelsesrapport. Hendelsesrapporten skal inneholde oppdatert informasjon om forhold som nevnt i første ledd og hvilke avhjelpende tiltak som er iverksatt.
Tilsynsmyndigheten kan kreve statusoppdateringer og de opplysningene som er nødvendige for å utføre pålagte oppgaver.
hvilke sårbarheter som er knyttet til virksomhetens nettverk og informasjonssystemer
virksomhetens nettverk og informasjonssystemer og hvilken betydning disse har for leveransen av den samfunnsviktige tjenesten
i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal.
skal en tilbyder av en samfunnsviktig tjeneste ha en plan for å håndtere risiko. Som en del av risikohåndteringen skal tilbyderen iverksette organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak for å redusere risiko og opprettholde et forsvarlig sikkerhetsnivå.
Sikkerhetstiltakene skal som et minimum ha som formål å bidra til sikker plattform, sikker drift og vedlikehold, samt sikker hendelseshåndtering og gjenoppretting.
En tilbyder av en samfunnsviktig tjeneste skal utarbeide skriftlige instrukser, rutiner og prosedyrer for digital sikkerhet. Styringsdokumentene skal tilpasses virksomhetens størrelse, kompleksitet og risikobilde.
En tilbyder av en samfunnsviktig tjeneste skal ha oppdaterte tiltaksplaner som kan iverksettes dersom risikoen endrer seg eller det oppstår en hendelse, jf.
Styringsdokumentene og tiltaksplanene etter første og andre ledd skal gjøres kjent for personell som utfører oppgaver for eller på vegne av virksomheten og som kan få tilgang til virksomhetens nettverk og informasjonssystemer.
skal en tilbyder av en samfunnsviktig tjeneste iverksette teknologiske sikkerhetstiltak som er tilpasset omfang, kompleksitet, driftsmiljø, brukermiljø, funksjon og risiko ved virksomhetens nettverk og informasjonssystemer.
Kapittel 1. Innledende bestemmelser (§§ 1 - 5)
§ 4. Vedtak om at digitalsikkerhetsloven også skal gjelde for andre tilbydere av samfunnsviktige tjenester
Kapittel 2. Krav til digital sikkerhet for tilbydere av samfunnsviktige tjenester (§§ 6 - 14)
Kapittel 3. Krav til digital sikkerhet for tilbydere av digitale tjenester (§15)
§ 15. Tiltak for sikkerhetsstyring for tilbydere av digitale tjenester og kriterier for å avgjøre om en hendelse skal anses for å ha betydelig innvirk...
§ 22. Begrensning i adgangen til å føre tilsyn med tilbydere av digitale tjenester
lov 20. desember 2023 nr. 108 om digital sikkerhet (digitalsikkerhetsloven) § 2
. Fremmet av Justis- og beredskapsdepartementet.
Kapittel 2. Krav til digital sikkerhet for tilbydere av samfunnsviktige tjenester (§§ 6 - 14)
Kapittel 3. Krav til digital sikkerhet for tilbydere av digitale tjenester (§15)
korrigere og gjenopprette sikkerheten i nettverk og informasjonssystemer ved hendelser
Tilbydere av en samfunnsviktig tjeneste skal snarest melde inn til Nasjonal sikkerhetsmyndighet og tilsynsmyndigheten opplysninger om
endringer i opplysninger nevnt i bokstavene a til e.
Kapittel 2. Krav til digital sikkerhet for tilbydere av samfunnsviktige tjenester
En tilbyder av en samfunnsviktig tjeneste skal etablere og vedlikeholde et styringssystem for sikkerhet som omfatter digital sikkerhet. Styringssystemet skal dokumenteres og inngå som del av den overordnede virksomhetsstyringen. Roller og ansvar for digital sikkerhet skal defineres, utpekes og dokumenteres.
kontinuerlig styre og følge opp at formålene i bokstavene a til d oppnås.
Alle aktiviteter som er nødvendige for å etablere og opprettholde et forsvarlig sikkerhetsnivå skal inngå i sikkerhetsstyringssystemet. Aktivitetene skal dokumenteres og gjøres kjent for personell med tjenstlig behov.
Virksomhetens leder har ansvaret for at virksomheten har et forsvarlig sikkerhetsnivå innenfor virkeområdet til
. Sikkerhetsstyringssystemet skal godkjennes av virksomhetens leder og gjennomgås minst årlig med sikte på å forbedre virksomhetens sikkerhetsarbeid.
En tilbyder av en samfunnsviktig tjeneste skal utarbeide, vedlikeholde og dokumentere risikovurderinger.
Risikovurderingene skal være av et slikt omfang at tilbyderen kan identifisere organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak som ivaretar formålene i
. Ved endringer i virksomheten som kan påvirke sikkerheten, skal tilbyderen vurdere hvilken risiko endringene medfører.
Krav til digital sikkerhet for tilbydere av digitale tjenester etter
sentrale systemer for rekvirering og utlevering av legemidler og andre medisinske produkter
helse- og omsorgstjenester som tilbys av en kommune med flere enn 50 000 innbyggere eller flere enn 20 000 brukere som er avhengige av tjenesten, og tjenesten ikke kan overføres eller avlastes av andre tjenester
rekursiv navnetjeneste som i gjennomsnitt per 30 dager besvarer flere enn 15 000 domenenavnsystemforespørsler per sekund
banker som Finansdepartementet har truffet beslutning om at skal anses som systemviktige i Norge, jf.
foretak som Finanstilsynet vurderer at har vesentlig betydning for det norske kapitalmarkedet.
gjelder ikke for tilbydere av digitale tjenester som har færre enn 50 ansatte og som har en årlig omsetning eller årlig samlet balanse som ikke overstiger 10 millioner euro.
Vedtak om at digitalsikkerhetsloven også skal gjelde for andre tilbydere av samfunnsviktige tjenester
Ansvarlig departement kan i særlige tilfeller fatte vedtak om at loven helt eller delvis også skal gjelde for andre tilbydere av samfunnsviktige tjenester enn de som er nevnt i § 1. Nasjonal sikkerhetsmyndighet kan fatte vedtak etter første punktum overfor virksomheter som ikke omfattes av noe departements ansvarsområde.
Nasjonalt kontaktpunkt for sikkerhet i nettverk og informasjonssystemer
med nasjonale og internasjonale aktører når det er nødvendig for å oppnå
formål. Mottakeren skal informeres dersom den delte informasjonen er underlagt taushetsplikt.
Ved fare for alvorlige hendelser skal Nasjonal sikkerhetsmyndighet informere relevante nasjonale og internasjonale aktører om risiko og mulige tiltak.
, når det er nødvendig for å utføre oppgaver i eller i medhold av
Personopplysninger skal behandles for spesifikke, uttrykkelig angitte og berettigede formål, herunder for å
Behandlingen av personopplysninger og inngrepet i personvernet skal ikke være mer omfattende enn det som er nødvendig for å oppnå formålet.
Nasjonal sikkerhetsmyndighet er nasjonalt felles kontaktpunkt for sikkerhet i nettverk og informasjonssystemer i henhold til direktiv
. Det nasjonale kontaktpunktet skal sikre samarbeid mellom norske myndigheter og relevante myndigheter i andre EU/EØS-land og delta i samarbeidsgruppen og CSIRT-nettverket etablert etter direktivet artikkel 11 og 9. Nasjonalt kontaktpunkt bør videreformidle meldinger om hendelser til nasjonale kontaktpunkter i andre berørte medlemsstater. Nasjonalt kontaktpunkt skal rutinemessig sende en kvartalsvis sammenfattende rapport til samarbeidsgruppen, over antall mottatte meldinger og arten av de meldte hendelsene, herunder type sikkerhetsbrudd, alvorlighetsgrad eller varighet. Når det er hensiktsmessig bør nasjonalt kontaktpunkt rådføre seg med myndigheten etter
overtredelsens faktiske innvirkning på markedet
. Overtredelsesgebyret tilfaller statskassen og kan utgjøre opptil 25 ganger grunnbeløpet i folketrygden eller fire prosent av virksomhetens årsomsetningen forutgående regnskapsår dersom det dreier seg om foretak. Det høyeste beløpet utgjør den øvre rammen. Overtredelsesgebyret kan uansett ikke overstige 50 millioner kroner.
Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på
om overtrederen har hatt en ledende eller passiv rolle i overtredelsen.
Andre momenter som kan være relevante ved ileggelsen og utmålingen av overtredelsesgebyr er blant annet
om tilbyderen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen
om tilbyderen har bistått myndigheten i forbindelse med utredning av overtredelsen.
Vedtak om overtredelsesgebyr er tvangsgrunnlag for utlegg. Dersom det anlegges sak mot staten for å prøve vedtaket, suspenderes tvangskraften.
sterk autentisering for adgang til nettverk og informasjonssystemer
styring av og kontroll med tilganger til virksomhetens nettverk og informasjonssystemer
tiltak for segmentering av nettverk og tjenester basert på minste privilegiums prinsipp
tiltak som skal sikre at nettverk og informasjonssystemer kan håndtere forskjellige typer avbrudd og gjenopprettes innen rimelig tid uten vesentlig reduksjon av tjenestens kvalitet
tiltak som skal sikre at nettverk og informasjonssystemer har tilstrekkelig kapasitet til å tåle overbelastning og utstyrssvikt
tiltak som skal sikre at nettverk og informasjonssystemer videreutvikles kontinuerlig, herunder at oppdateringer kvalitetssikres, installeres og testes fortløpende
sikkerhetsovervåkning av nettverk og informasjonssystemer for å avdekke hendelser.
Dersom et eller flere av tiltakene i andre ledd ikke kan gjennomføres, skal dette godkjennes av virksomhetens leder. Begrunnelsen for unntaket skal dokumenteres i styringssystemet for sikkerhet. Tilsynsmyndigheten skal orienteres om unntaket.
En tilbyder av en samfunnsviktig tjeneste skal iverksette tiltak for fysisk sikkerhet for å opprettholde forsvarlig sikkerhet i nettverk og informasjonssystemer.
Tilsynsmyndigheten kan fastsette frister og i hvilken form opplysningene etter
Ansvarlig departement utpeker myndigheter som skal føre tilsyn med virksomheter innenfor egen sektor. For virksomheter uten tilsynsmyndighet er Nasjonal sikkerhetsmyndighet tilsynsmyndighet.
Tilsynsmyndigheten kan benytte bistand fra andre i forbindelse med tilsynet.
Begrensning i adgangen til å føre tilsyn med tilbydere av digitale tjenester
Tilsyn med tilbydere av digitale tjenester kan kun gjennomføres dersom tilsynsmyndigheten mottar opplysninger om overtredelser av bestemmelser gitt i eller i medhold av
og tilsynsmyndigheten finner det nødvendig.
Nødvendig dokumentasjon og informasjon skal gjøres tilgjengelig for tilsynsmyndigheten. Den det føres tilsyn med eller dennes representant kan pålegges å være tilstede under tilsynet.
tiltak for å ivareta eksterne avhengigheter, herunder datakommunikasjon og strømtilførsel
tiltak for å forhindre at uvedkommende får tilgang til lokasjoner og fysisk og teknisk infrastruktur som nettverk og informasjonssystemer benytter eller er avhengig av
tiltak for å identifisere og beskytte bygninger, rom og tilstøtende områder som har betydning for sikkerhetsnivået til nettverk og informasjonssystemer som understøtter den samfunnsviktige tjenesten
tiltak for å avdekke hendelser med negativ virkning på sikkerheten i nettverk og informasjonssystemer.
En tilbyder av en samfunnsviktig tjeneste skal iverksette nødvendige sikkerhetstiltak for ansatte, leverandører og oppdragstakere som kan få tilgang til virksomhetens nettverk og informasjonssystemer gjennom å sørge for
at adgang til lokaler og tilganger til nettverk og informasjonssystemer tildeles basert på roller, oppgaver, ansvar og tjenstlig behov, samt følge opp at personell ikke har flere tilganger enn nødvendig
at personell nevnt i leddet her er gjort kjent med relevante sikkerhetstiltak, at de har tilstrekkelig kompetanse innenfor sikkerhet og gis nødvendig opplæring ved behov.
Når et arbeidsforhold eller en tjeneste avsluttes, skal en tilbyder av en samfunnsviktig tjeneste sikre at den som slutter ikke lenger har tilgang til virksomhetens nettverk og informasjonssystemer.
En tilbyder av en samfunnsviktig tjeneste skal ha en beredskapsplan for håndtering av hendelser og varsling etter
. Tilbyderen skal vurdere relevante beredskapstiltak og skjerping i eksisterende sikkerhetstiltak som raskt kan iverksettes ved behov.
Når tilbyderens nettverk eller informasjonssystem er utsatt for en hendelse, skal hendelsens karakter og omfang identifiseres. Tilbyderen skal iverksette nødvendige mottiltak og tiltak for å gjenopprette den sikre tilstanden i nettverk og informasjonssystemet.
En tilbyder av en samfunnsviktig tjeneste skal utarbeide, vedlikeholde og dokumentere beredskapsplaner og gjennomføre øvelser for å teste planverket og utvikle virksomhetens kompetanse til å håndtere hendelser.
En tilbyder av en samfunnsviktig tjeneste skal påse at leverandører og andre som utfører arbeid som kan påvirke sikkerheten i nettverk og informasjonssystemer og som utfører arbeid for eller på vegne av virksomheten, utfører arbeidet på en måte som gjør at kravene til forsvarlig sikkerhet overholdes.
En tilbyder av en samfunnsviktig tjeneste skal, gjennom avtale eller på annen egnet måte, gjøre sikkerhetstiltakene gjeldende overfor leverandører som nevnt i første ledd, i den grad det er nødvendig for å opprettholde et forsvarlig sikkerhetsnivå.
Kapittel 3. Krav til digital sikkerhet for tilbydere av digitale tjenester
Tiltak for sikkerhetsstyring for tilbydere av digitale tjenester og kriterier for å avgjøre om en hendelse skal anses for å ha betydelig innvirkning
) gjelder som forskrift med de tilpasninger som følger av vedlegg XI, protokoll 1 til avtalen og avtalen for øvrig.
trafikkstyring og -overvåking av kysttrafikken
kommersielle lufthavner og tjenesteleverandører innenfor sikkerhetsbegrenset område på en kommersiell lufthavn
persontransport som overstiger 375 000 togkilometer per år, inkludert grenseoverskridende transport
godstransport som overstiger 500 000 togkilometer per år, inkludert grenseoverskridende transport
infrastrukturforvaltning, trafikkstyring og togfremføring av tunnelbane og trikk som overstiger 12,5 millioner årlige passasjerreiser
havner eller havneanlegg som har et godsomlag på mer enn 100 000 tonn per år over en femårsperiode
havner eller havneanlegg som håndterer mer enn 100 000 passasjer per år over en femårsperiode
rederier som har skip med fast anløp eller som transporterer minst fem prosent av passasjerantallet eller godsomslaget i en havn som nevnt i nr. 16 og 17
Helse- og omsorgsdepartementet med underliggende etater, foretak og andre offentlig eide virksomheter, som utgjør den nasjonale helseberedskapen