Temaside - Sikkerhetsdirektivet 2025 – krav, lederansvar og praktisk etterlevelse
Et nytt lovkrav til systematisk digital sikkerhet
Sikkerhetsdirektivet (digitalsikkerhetsloven og digitalsikkerhetsforskriften) trådte i kraft 1. oktober 2025 og stiller tydelige krav til hvordan virksomheter arbeider med risikovurdering, styringssystem, beredskap og rapportering av digitale hendelser.
For virksomheter som omfattes – direkte eller indirekte – handler dette om å kunne dokumentere at sikkerhetsarbeidet er systematisk, forankret i ledelsen og operativt gjennomført.
Hva er Sikkerhetsdirektivet?
Sikkerhetsdirektivet er den norske gjennomføringen av EUs første NIS-direktiv (NIS1). Hensikten er å styrke den digitale motstandskraften i virksomheter som leverer samfunnsviktige eller digitale tjenester. Regelverket etablerer et sektorovergripende rammeverk for digital sikkerhet og gjør risikostyring og beredskap til en integrert del av virksomhetens styringssystem.
Kravene innebærer at virksomheten må arbeide strukturert med risikovurderinger, etablere nødvendige tekniske og organisatoriske sikkerhetstiltak, ha fungerende beredskap ved hendelser og kunne dokumentere etterlevelse ved tilsyn.
Hvem omfattes av regelverket?
Sikkerhetsdirektivet gjelder virksomheter med særlig betydning for samfunnet. Dette omfatter blant annet aktører innen:
- Energi
- Transport
- Helse
- Finans
- Vann- og avløp
- Digitale infrastrukturtjenester
- Enkelte digitale tjenesteleverandører
Avgrensningen skjer gjennom sektorregelverk og myndighetsutpeking, og vurderingen må gjøres konkret for hver virksomhet.
Selv virksomheter som ikke omfattes direkte, kan bli berørt gjennom krav fra kunder eller konsern som er underlagt regelverket. Leverandørkjeden blir dermed en viktig del av sikkerhetsbildet.
Hvilke krav stilles til virksomheten?
Kjernen i Sikkerhetsdirektivet er kravet om et dokumentert og risikobasert styringssystem for informasjonssikkerhet. Virksomheten skal identifisere risiko, vurdere konsekvenser og sannsynlighet, iverksette nødvendige tiltak og følge opp at tiltakene fungerer etter hensikten.
I praksis innebærer dette blant annet krav om:
- Etablert og dokumentert styringssystem for informasjonssikkerhet
- Regelmessige og oppdaterte risikovurderinger
- Tekniske og organisatoriske sikkerhetstiltak tilpasset risiko
- Kontroll med leverandører og tredjepartsavhengigheter
- Beredskap og planverk for håndtering av digitale hendelser
- Dokumentasjon som kan fremlegges ved tilsyn
Ved alvorlige digitale hendelser skal virksomheten varsle innen 24 timer, gi oppdatert informasjon innen 72 timer og levere endelig rapport innen én måned. Dette krever både teknisk overvåkning og tydelig ledelsesforankring.
Lederansvar og konsekvenser
Sikkerhetsdirektivet tydeliggjør at ansvaret ligger hos virksomhetens ledelse. Styre og daglig leder har ansvar for at risikostyring, sikkerhetstiltak, dokumentasjon og rapporteringsevne faktisk er på plass.
Ved manglende etterlevelse kan myndighetene gi pålegg om retting, ilegge tvangsmulkt eller overtredelsesgebyr. I tillegg kommer risikoen for omdømmetap og tap av tillit hos kunder og samarbeidspartnere.
.
Slik bør virksomheten starte arbeidet
Arbeidet bør starte strukturert og lederforankret. En hensiktsmessig fremgangsmåte er å:
- Avklare om virksomheten omfattes direkte eller indirekte
- Gjennomføre en overordnet risikovurdering
- Etablere eller oppdatere styringssystemet
- Kartlegge tekniske og organisatoriske gap
- Sikre overvåkning, hendelseshåndtering og rapporteringsevne
- Dokumentere tiltak og beslutninger på en måte som tåler tilsyn
Dette er et utviklingsarbeid som krever samarbeid mellom ledelse, IT, sikkerhetsansvarlige og eventuelle eksterne rådgivere.
Hvordan kan Sodvin hjelpe?
Sikkerhetsdirektivet er et compliance- og ledelsesprosjekt. Vi bistår virksomheter med å etablere struktur, forankring og dokumentasjon – før teknologi implementeres.
På vår side for Compliance og Sikkerhetsrådgivning kan du lese mer om hvordan vi hjelper med:
- Kartlegging opp mot Sikkerhetsdirektivet
- Etablering eller forbedring av styringssystem
- Risikovurderinger og dokumentasjon
- Leverandørkontroll og forberedelse til tilsyn
Når rammeverket er på plass, sørger vi for at de tekniske tiltakene fungerer i praksis gjennom våre sikkerhetsleveranser i On-Guard og SIKKER-porteføljen – innen identitet, enhet, nettverk og overvåkning.
Start med en Sårbarhetssjekk
Er du usikker på hvor dere står i dag, anbefaler vi å starte med en strukturert sikkerhetsgjennomgang. En Sårbarhetssjekk gir oversikt over dagens sikkerhetsnivå, identifiserer gap mot regelverket og gir konkrete anbefalinger for videre arbeid.