Lovdata – lese-visning

Alle dokumenter › Forskrifter

Forskrift om digital sikkerhet (digitalsikkerhetsforskriften)

Departement
Justis- og beredskapsdepartementet

Vis endringshistorikk · Abonner (Atom)

Forskrift om digital sikkerhet (digitalsikkerhetsforskriften)

Kapittel 1. Innledende bestemmelser

§ 1. Tilbydere av samfunnsviktige tjenester

Tilbydere av samfunnsviktige tjenester etter digitalsikkerhetsloven § 2 første ledd bokstav a og § 6 er
  3. hovedtankanlegg for petroleumsbasert drivstoff
  4. flysikringstjenesten
  5. kommersielle lufthavner og tjenesteleverandører innenfor sikkerhetsbegrenset område på en kommersiell lufthavn
  6. flyselskaper som driver kommersiell transport med AOC i Norge
  7. infrastrukturforvaltning og trafikkstyring av det nasjonale jernbanenettet
  8. persontransport som overstiger 375 000 togkilometer per år, inkludert grenseoverskridende transport
  9. godstransport som overstiger 500 000 togkilometer per år, inkludert grenseoverskridende transport
  10. infrastrukturforvaltning, trafikkstyring og togfremføring av tunnelbane og trikk som overstiger 12,5 millioner årlige passasjerreiser
  11. trafikkstyring og -overvåking av TEN-T-vegnettet
  12. det viktigste vegnettet i områder med årsdøgntrafikk over 20 000
  13. alarmsentraler for eCall
  14. nasjonale databanker som inneholder veg- eller trafikkinformasjon
  15. trafikkstyring og -overvåking av kysttrafikken
  16. havner eller havneanlegg som har et godsomlag på mer enn 100 000 tonn per år over en femårsperiode
  17. havner eller havneanlegg som håndterer mer enn 100 000 passasjer per år over en femårsperiode
  18. rederier som har skip med fast anløp eller som transporterer minst fem prosent av passasjerantallet eller godsomslaget i en havn som nevnt i nr. 16 og 17
  19. Helse- og omsorgsdepartementet med underliggende etater, foretak og andre offentlig eide virksomheter, som utgjør den nasjonale helseberedskapen
  20. tjenester som tilbys av de regionale helseforetakene
  21. sentrale systemer for rekvirering og utlevering av legemidler og andre medisinske produkter
  22. helse- og omsorgstjenester som tilbys av en kommune med flere enn 50 000 innbyggere eller flere enn 20 000 brukere som er avhengige av tjenesten, og tjenesten ikke kan overføres eller avlastes av andre tjenester
  24. sentralt register over norske toppnivådomener (.no)
  25. rekursiv navnetjeneste som i gjennomsnitt per 30 dager besvarer flere enn 15 000 domenenavnsystemforespørsler per sekund
  26. samtrafikkpunkter for internett
  27. banker som Finansdepartementet har truffet beslutning om at skal anses som systemviktige i Norge, jf. CRR/CRD forskriften § 30
  28. foretak som Finanstilsynet vurderer at har vesentlig betydning for det norske kapitalmarkedet.

§ 2. Unntak for små virksomheter

Krav til digital sikkerhet for tilbydere av digitale tjenester etter § 15 og varslingsplikten etter § 17 gjelder ikke for tilbydere av digitale tjenester som har færre enn 50 ansatte og som har en årlig omsetning eller årlig samlet balanse som ikke overstiger 10 millioner euro.

§ 4. Vedtak om at digitalsikkerhetsloven også skal gjelde for andre tilbydere av samfunnsviktige tjenester

Ansvarlig departement kan i særlige tilfeller fatte vedtak om at loven helt eller delvis også skal gjelde for andre tilbydere av samfunnsviktige tjenester enn de som er nevnt i § 1. Nasjonal sikkerhetsmyndighet kan fatte vedtak etter første punktum overfor virksomheter som ikke omfattes av noe departements ansvarsområde.

§ 5. Innmelding av tilbydere av samfunnsviktig tjeneste

Tilbydere av en samfunnsviktig tjeneste skal snarest melde inn til Nasjonal sikkerhetsmyndighet og tilsynsmyndigheten opplysninger om
  1. virksomhetens navn, organisasjonsnummer og kontaktinformasjon
  2. tjenesten
  3. samfunnssektor
  4. i hvilke andre land tjenesten tilbys
  5. berørt geografisk område
  6. endringer i opplysninger nevnt i bokstavene a til e.

Kapittel 2. Krav til digital sikkerhet for tilbydere av samfunnsviktige tjenester

§ 6. Styringssystem for sikkerhet

En tilbyder av en samfunnsviktig tjeneste skal etablere og vedlikeholde et styringssystem for sikkerhet som omfatter digital sikkerhet. Styringssystemet skal dokumenteres og inngå som del av den overordnede virksomhetsstyringen. Roller og ansvar for digital sikkerhet skal defineres, utpekes og dokumenteres.
Sikkerhetsstyringssystemet skal baseres på anerkjente standarder og bidra til å
  1. forebygge hendelser
  2. avdekke hendelser
  3. håndtere hendelser
  4. korrigere og gjenopprette sikkerheten i nettverk og informasjonssystemer ved hendelser
  5. kontinuerlig styre og følge opp at formålene i bokstavene a til d oppnås.
Alle aktiviteter som er nødvendige for å etablere og opprettholde et forsvarlig sikkerhetsnivå skal inngå i sikkerhetsstyringssystemet. Aktivitetene skal dokumenteres og gjøres kjent for personell med tjenstlig behov.
Virksomhetens leder har ansvaret for at virksomheten har et forsvarlig sikkerhetsnivå innenfor virkeområdet til digitalsikkerhetsloven. Sikkerhetsstyringssystemet skal godkjennes av virksomhetens leder og gjennomgås minst årlig med sikte på å forbedre virksomhetens sikkerhetsarbeid.

§ 7. Risikovurdering

En tilbyder av en samfunnsviktig tjeneste skal utarbeide, vedlikeholde og dokumentere risikovurderinger.
Risikovurderingene skal være av et slikt omfang at tilbyderen kan identifisere organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak som ivaretar formålene i § 8 andre ledd. Ved endringer i virksomheten som kan påvirke sikkerheten, skal tilbyderen vurdere hvilken risiko endringene medfører.
Risikovurderingene skal minst beskrive
  1. virksomhetens nettverk og informasjonssystemer og hvilken betydning disse har for leveransen av den samfunnsviktige tjenesten
  2. hvilke hendelser virksomhetens nettverk og informasjonssystemer kan bli utsatt for
  3. hvilke sårbarheter som er knyttet til virksomhetens nettverk og informasjonssystemer
  4. konsekvensen av hendelser
  5. i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal.

§ 8. Risikohåndtering

Basert på risikovurderingene i § 7 skal en tilbyder av en samfunnsviktig tjeneste ha en plan for å håndtere risiko. Som en del av risikohåndteringen skal tilbyderen iverksette organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak for å redusere risiko og opprettholde et forsvarlig sikkerhetsnivå.
Sikkerhetstiltakene skal som et minimum ha som formål å bidra til sikker plattform, sikker drift og vedlikehold, samt sikker hendelseshåndtering og gjenoppretting.

§ 9. Organisatoriske sikkerhetstiltak

En tilbyder av en samfunnsviktig tjeneste skal utarbeide skriftlige instrukser, rutiner og prosedyrer for digital sikkerhet. Styringsdokumentene skal tilpasses virksomhetens størrelse, kompleksitet og risikobilde.
En tilbyder av en samfunnsviktig tjeneste skal ha oppdaterte tiltaksplaner som kan iverksettes dersom risikoen endrer seg eller det oppstår en hendelse, jf. § 13.
Styringsdokumentene og tiltaksplanene etter første og andre ledd skal gjøres kjent for personell som utfører oppgaver for eller på vegne av virksomheten og som kan få tilgang til virksomhetens nettverk og informasjonssystemer.

§ 10. Teknologiske sikkerhetstiltak

Basert på risikovurderingen etter § 7 skal en tilbyder av en samfunnsviktig tjeneste iverksette teknologiske sikkerhetstiltak som er tilpasset omfang, kompleksitet, driftsmiljø, brukermiljø, funksjon og risiko ved virksomhetens nettverk og informasjonssystemer.
Teknologiske sikkerhetstiltak skal minst omfatte
  1. sterk autentisering for adgang til nettverk og informasjonssystemer
  2. styring av og kontroll med tilganger til virksomhetens nettverk og informasjonssystemer
  3. tiltak for segmentering av nettverk og tjenester basert på minste privilegiums prinsipp
  4. tiltak som skal sikre at nettverk og informasjonssystemer kan håndtere forskjellige typer avbrudd og gjenopprettes innen rimelig tid uten vesentlig reduksjon av tjenestens kvalitet
  5. tiltak som skal sikre at nettverk og informasjonssystemer har tilstrekkelig kapasitet til å tåle overbelastning og utstyrssvikt
  6. tiltak som skal sikre at nettverk og informasjonssystemer videreutvikles kontinuerlig, herunder at oppdateringer kvalitetssikres, installeres og testes fortløpende
  7. sikkerhetsovervåkning av nettverk og informasjonssystemer for å avdekke hendelser.
Dersom et eller flere av tiltakene i andre ledd ikke kan gjennomføres, skal dette godkjennes av virksomhetens leder. Begrunnelsen for unntaket skal dokumenteres i styringssystemet for sikkerhet. Tilsynsmyndigheten skal orienteres om unntaket.

§ 11. Fysiske sikkerhetstiltak

En tilbyder av en samfunnsviktig tjeneste skal iverksette tiltak for fysisk sikkerhet for å opprettholde forsvarlig sikkerhet i nettverk og informasjonssystemer.
Fysiske sikkerhetstiltak skal minst omfatte
  1. tiltak for å forhindre at uvedkommende får tilgang til lokasjoner og fysisk og teknisk infrastruktur som nettverk og informasjonssystemer benytter eller er avhengig av
  2. tiltak for å identifisere og beskytte bygninger, rom og tilstøtende områder som har betydning for sikkerhetsnivået til nettverk og informasjonssystemer som understøtter den samfunnsviktige tjenesten
  3. tiltak for å ivareta eksterne avhengigheter, herunder datakommunikasjon og strømtilførsel
  4. tiltak for å avdekke hendelser med negativ virkning på sikkerheten i nettverk og informasjonssystemer.

§ 12. Sikkerhetstiltak for personell

En tilbyder av en samfunnsviktig tjeneste skal iverksette nødvendige sikkerhetstiltak for ansatte, leverandører og oppdragstakere som kan få tilgang til virksomhetens nettverk og informasjonssystemer gjennom å sørge for
  1. at adgang til lokaler og tilganger til nettverk og informasjonssystemer tildeles basert på roller, oppgaver, ansvar og tjenstlig behov, samt følge opp at personell ikke har flere tilganger enn nødvendig
  2. at personell nevnt i leddet her er gjort kjent med relevante sikkerhetstiltak, at de har tilstrekkelig kompetanse innenfor sikkerhet og gis nødvendig opplæring ved behov.
Når et arbeidsforhold eller en tjeneste avsluttes, skal en tilbyder av en samfunnsviktig tjeneste sikre at den som slutter ikke lenger har tilgang til virksomhetens nettverk og informasjonssystemer.

§ 13. Hendelseshåndtering og beredskap

En tilbyder av en samfunnsviktig tjeneste skal ha en beredskapsplan for håndtering av hendelser og varsling etter § 17. Tilbyderen skal vurdere relevante beredskapstiltak og skjerping i eksisterende sikkerhetstiltak som raskt kan iverksettes ved behov.
Når tilbyderens nettverk eller informasjonssystem er utsatt for en hendelse, skal hendelsens karakter og omfang identifiseres. Tilbyderen skal iverksette nødvendige mottiltak og tiltak for å gjenopprette den sikre tilstanden i nettverk og informasjonssystemet.
En tilbyder av en samfunnsviktig tjeneste skal utarbeide, vedlikeholde og dokumentere beredskapsplaner og gjennomføre øvelser for å teste planverket og utvikle virksomhetens kompetanse til å håndtere hendelser.

§ 14. Oppfølgingsplikt

En tilbyder av en samfunnsviktig tjeneste skal påse at leverandører og andre som utfører arbeid som kan påvirke sikkerheten i nettverk og informasjonssystemer og som utfører arbeid for eller på vegne av virksomheten, utfører arbeidet på en måte som gjør at kravene til forsvarlig sikkerhet overholdes.
En tilbyder av en samfunnsviktig tjeneste skal, gjennom avtale eller på annen egnet måte, gjøre sikkerhetstiltakene gjeldende overfor leverandører som nevnt i første ledd, i den grad det er nødvendig for å opprettholde et forsvarlig sikkerhetsnivå.

Kapittel 3. Krav til digital sikkerhet for tilbydere av digitale tjenester

§ 15. Tiltak for sikkerhetsstyring for tilbydere av digitale tjenester og kriterier for å avgjøre om en hendelse skal anses for å ha betydelig innvirkning

Kapittel 4. Fellesbestemmelser

§ 16. Responsmiljøer

Nasjonal sikkerhetsmyndighet er nasjonalt responsmiljø for håndtering av hendelser etter digitalsikkerhetsloven.
Ansvarlig departement kan utpeke responsmiljøer som kan bistå en tilbyder av en samfunnsviktig tjeneste med å håndtere hendelser innenfor sektorene nevnt i digitalsikkerhetsloven § 2 første ledd bokstav a. Nasjonal sikkerhetsmyndighet skal orienteres om utpekingen.
Enhver som utfører eller har utført arbeid eller oppdrag for et responsmiljø, plikter å hindre at uvedkommende får adgang eller kjennskap til det vedkommende i forbindelse med arbeidet eller oppdraget får vite om noens personlige forhold eller drifts- og forretningshemmeligheter. Taushetsplikt vedkommende er pålagt ved lov eller på annen måte, er ikke til hinder for at responsmiljøene gjensidig kan utveksle informasjon i den utstrekning det er nødvendig for å utføre pålagte oppgaver i eller i medhold av digitalsikkerhetsloven.
Et responsmiljø skal overholde relevante krav som følger av eller i medhold av digitalsikkerhetsloven og i tillegg sørge for
  1. redundante og sikre kommunikasjonsløsninger, med klart definerte og tydelig formidlede kommunikasjonskanaler til medlemmer og samarbeidspartnere
  2. sikre lokasjoner for arbeidssteder, infrastruktur og systemer
  3. beredskaps- og kontinuitetsløsninger som sikrer at varsling og hendelseshåndtering kan utføres og overleveres mellom flere, med tilstrekkelige ressurser for kontinuerlig tilgjengelighet og tilgang til redundante systemer og lokasjoner.
Videre skal responsmiljøene bidra til det nasjonale responsmiljøet sin oppdragsløsning og som minimum
  1. bidra til helhetlig cyberrisikobilde, gjennom å til enhver tid ha oversikt over og rapportere om hendelser, sårbarheter og trusler innen eget ansvarsområde
  2. formidle varsler om cyberrisikoer og hendelser til relevante mottakere
  3. respondere på hendelser innen eget ansvarsområde
  4. bidra til offentlig-privat samarbeid, gjennom blant annet å fremme bruk av standarder for hendelseshåndtering, risikohåndtering, taksonomi.
Det nasjonale responsmiljøet skal i tillegg som et minimum
  1. koordinere og gi råd om nasjonal innsats for tilsiktede alvorlige cyberhendelser
  2. ivareta et rettidig og nasjonalt cyberrisikobilde
  3. bidra til helhetlig situasjonsforståelse i cyberhendelser
  4. delta i CSIRT Network, samt kunne delta, der hensiktsmessig, i andre internasjonale samarbeidsnettverk.

§ 17. Varslingsplikt

Et varsel etter digitalsikkerhetsloven §§ 8 og 11 skal sendes til tilsynsmyndigheten med kopi til Nasjonalt kontaktpunkt. Varselet skal sendes senest innen 24 timer etter at en tilbyder av en samfunnsviktig tjeneste fikk kjennskap til hendelsen. Varselet skal inneholde informasjon om
  1. tilbyderens navn og kontaktinformasjon
  2. berørt tjeneste
  3. hendelsen, herunder mulige årsaker og konsekvenser
  4. antall berørte brukere
  5. hendelsens virkninger i andre land.
Informasjonen i varselet skal oppdateres innen 72 timer.
Innen en måned fra varsel som nevnt i første ledd er sendt, skal tilbyderen gi tilsynsmyndigheten en hendelsesrapport. Hendelsesrapporten skal inneholde oppdatert informasjon om forhold som nevnt i første ledd og hvilke avhjelpende tiltak som er iverksatt.
Tilsynsmyndigheten kan kreve statusoppdateringer og de opplysningene som er nødvendige for å utføre pålagte oppgaver.

§ 18. Deling av taushetsbelagt informasjon

Tilsynsmyndigheten kan dele taushetsbelagt informasjon mottatt ved varsling etter § 17 med nasjonale og internasjonale aktører når det er nødvendig for å oppnå digitalsikkerhetslovens formål. Mottakeren skal informeres dersom den delte informasjonen er underlagt taushetsplikt.
Ved fare for alvorlige hendelser skal Nasjonal sikkerhetsmyndighet informere relevante nasjonale og internasjonale aktører om risiko og mulige tiltak.

§ 19. Behandling av personopplysninger

Personopplysninger skal behandles for spesifikke, uttrykkelig angitte og berettigede formål, herunder for å
  1. iverksette sikkerhetstiltak
  2. håndtere hendelser, herunder bistand
  3. utøve varslingsplikt
  4. motta varsler
  5. utøve oppgaver som responsmiljø
  6. utøve oppgaver som nasjonalt kontaktpunkt
  7. føre tilsyn.
Behandlingen av personopplysninger og inngrepet i personvernet skal ikke være mer omfattende enn det som er nødvendig for å oppnå formålet.

§ 20. Nasjonalt kontaktpunkt for sikkerhet i nettverk og informasjonssystemer

Nasjonal sikkerhetsmyndighet er nasjonalt felles kontaktpunkt for sikkerhet i nettverk og informasjonssystemer i henhold til direktiv (EU) 2016/1148 artikkel 8 nr. 3. Det nasjonale kontaktpunktet skal sikre samarbeid mellom norske myndigheter og relevante myndigheter i andre EU/EØS-land og delta i samarbeidsgruppen og CSIRT-nettverket etablert etter direktivet artikkel 11 og 9. Nasjonalt kontaktpunkt bør videreformidle meldinger om hendelser til nasjonale kontaktpunkter i andre berørte medlemsstater. Nasjonalt kontaktpunkt skal rutinemessig sende en kvartalsvis sammenfattende rapport til samarbeidsgruppen, over antall mottatte meldinger og arten av de meldte hendelsene, herunder type sikkerhetsbrudd, alvorlighetsgrad eller varighet. Når det er hensiktsmessig bør nasjonalt kontaktpunkt rådføre seg med myndigheten etter personopplysningsloven.

§ 21. Tilsyn med tilbydere som omfattes av digitalsikkerhetsloven

Ansvarlig departement utpeker myndigheter som skal føre tilsyn med virksomheter innenfor egen sektor. For virksomheter uten tilsynsmyndighet er Nasjonal sikkerhetsmyndighet tilsynsmyndighet.
Tilsynsmyndigheten kan benytte bistand fra andre i forbindelse med tilsynet.

§ 22. Begrensning i adgangen til å føre tilsyn med tilbydere av digitale tjenester

Tilsyn med tilbydere av digitale tjenester kan kun gjennomføres dersom tilsynsmyndigheten mottar opplysninger om overtredelser av bestemmelser gitt i eller i medhold av digitalsikkerhetsloven og tilsynsmyndigheten finner det nødvendig.

§ 23. Opplysningsplikt og tilgang til lokaler

Nødvendig dokumentasjon og informasjon skal gjøres tilgjengelig for tilsynsmyndigheten. Den det føres tilsyn med eller dennes representant kan pålegges å være tilstede under tilsynet.

§ 24. Overtredelsesgebyr

Tilsynsmyndigheten kan ilegge overtredelsesgebyr etter digitalsikkerhetsloven § 17. Overtredelsesgebyret tilfaller statskassen og kan utgjøre opptil 25 ganger grunnbeløpet i folketrygden eller fire prosent av virksomhetens årsomsetningen forutgående regnskapsår dersom det dreier seg om foretak. Det høyeste beløpet utgjør den øvre rammen. Overtredelsesgebyret kan uansett ikke overstige 50 millioner kroner.
Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på
  1. overtredelsens art, herunder varighet
  2. hvor alvorlig overtredelsen er
  3. utvist skyld
  4. tilbyderens gevinst og omsetning
  5. overtredelsens faktiske innvirkning på markedet
  6. størrelsen på det berørte markedet
  7. om overtrederen har hatt en ledende eller passiv rolle i overtredelsen.
Andre momenter som kan være relevante ved ileggelsen og utmålingen av overtredelsesgebyr er blant annet
  1. om tiltak er gjennomført
  2. om tilbyderen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen
  3. om tilbyderen har bistått myndigheten i forbindelse med utredning av overtredelsen.
Vedtak om overtredelsesgebyr er tvangsgrunnlag for utlegg. Dersom det anlegges sak mot staten for å prøve vedtaket, suspenderes tvangskraften.

Kapittel 5. Avsluttende bestemmelser

§ 25. Ikrafttredelse

Forskriften trer i kraft 1. oktober 2025.