Lov 20. desember 2023 nr. 108 om digital sikkerhet (digitalsikkerhetsloven) hører under Justis- og beredskapsdepartementet (JD). Stortingets første og andre gangs behandling av loven skjedde henholdsvis 7. og 12. desember 2023.

Digitalsikkerhetsloven gjennomfører følgende EU-rettsakter i norsk rett:

• europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet)

• Kommisjonens gjennomføringsforordning (EU) 2018/151 (gjennomføringsforordningen)

• forordning (EU) 2019/881 (cybersikkerhetsforordningen)

Formålet med NIS-direktivet er å forbedre det indre markedets virkemåte ved å skape tillit og etablere tiltak for å oppnå et «høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i Unionen», jf. artikkel 1 nr. 1 og fortalepunkt nr. 31. Nett- og informasjonssystemer og nettverks- og informasjonstjenester spiller en viktig rolle i samfunnet. Tjenestenes pålitelighet og sikkerhet er grunnleggende for økonomisk og samfunnsmessig aktivitet, og spesielt for det indre markedets funksjon.

Cybersikkerhetsforordningen har som formål å sikre et velfungerende indre marked med et høyt nivå av cybersikkerhet, motstandsdyktighet og tillit innad i EØS, jf. forordningens artikkel 1.

Gjennomføringsforordningen er gjort til norsk rett gjennom forskrift 20. juni 2025 nr. 1131 om digital sikkerhet (digitalsikkerhetsforskriften) (med hjemmel i digitalsikkerhetsloven), og presiserer kravene til tilbydere av digitale tjenester. Forarbeidene påpeker følgende om forordningens formål, jf. Prop. 109 LS (2022–2023) s. 10:

«Forordningens overordnede formål er tilsvarende NIS-direktivet, å oppnå et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i EØS for å forbedre virkemåten til det indre marked. Forordningens mer konkrete formål er å sette tilbydere av digitale tjenester bedre i stand til å treffe de tekniske og organisatoriske tiltak som er tilstrekkelige for å styre sikkerhetsrisiko i nettverks- og informasjonssystemene. Formålet er også å presisere hva som skal vektlegges for å identifisere om virkningen av en hendelse er ‘betydelig’.»

Stadig mer hyppige og omfattende sikkerhetsbrudd har en økende innvirkning på og utgjør en alvorlig trussel mot funksjonen til nettverk og informasjonssystemer. Disse systemene kan også være mål for bevisst sabotasje for å skade dem eller forårsake driftsforstyrrelser. Slike hendelser kan hindre gjennomføringen av økonomiske aktiviteter, generere betydelige økonomiske tap, undergrave brukertilliten og ha alvorlige konsekvenser for EØS-landenes økonomi.

Digitalsikkerhetsforskriften gjennomfører også deler av det såkalte NIS2-direktivet, direktiv (EU) 2022/2555.

Historikk

Direktiv (EU) 2016/1148 (NIS-direktivet) ble vedtatt i EU 6. juli 2016. Direktivets formål er å styrke den digitale sikkerheten i EØS, for slik å ivareta det indre markedets funksjon. Direktivet stiller krav om gjennomføring av sikkerhetstiltak og varsling om alvorlige digitale hendelser til to typer virksomheter: tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester.

Gjennomføringsforordningen (forordning (EU) 2018/151), vedtatt 30. januar 2018, trådte i kraft 10. mai 2018. Forordningen ble vedtatt med hjemmel i NIS-direktivet artikkel 16 nr. 8, og gjelder kun for tilbydere av digitale tjenester. Forordningen presiserer innholdet i kravene til informasjonssikkerhet mv. som følger av NIS-direktivet.

Forordning (EU) 2019/881 (cybersikkerhetsforordningen) ble vedtatt i EU 17. april 2019, med det formål å sikre et velfungerende indre marked med høyt nivå av cybersikkerhet, motstandsdyktighet og tillit innad i EØS.

Omfattende digitalisering preger samfunnsutviklingen og er en viktig forutsetning for verdiskapning og økonomisk vekst. Digitaliseringen har også ført til mer komplekse trusler, der både statlige og kriminelle aktører utnytter sårbarheter i teknologi og samfunnets økte avhengighet av digitale løsninger. De siste årene er det derfor gjennomført flere utredninger og utarbeidet politiske dokumenter om digital sikkerhet:

• NOU 2015: 13 Digital sårbarhet – sikkert samfunn

• Meld. St. 38 (2016–2017) IKT-sikkerhet. Et felles ansvar

• NOU 2018: 14 IKT-sikkerhet i alle ledd

• Meld. St. 9 (2022–2023) Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet. Så åpent som mulig, så sikkert som nødvendig

Ved tolkning av digitalsikkerhetsloven med forskrift vil trolig NOU 2018: 14 ha relativt sett størst rettskildemessig vekt, ettersom utredningen danner det faglige og prinsipielle grunnlaget for lovens utforming og gir detaljerte vurderinger av behov, formål og sentrale begreper. NOU 2015: 13 og meldingene til Stortinget har støtteverdi, særlig for å forstå de overordnede samfunnsmessige hensynene, dilemmaene og utviklingstrekkene som har påvirket lovgivningen.

NOU 2018: 14 IKT-sikkerhet i alle ledd ble overlevert til Justis- og beredskapsdepartementet, og konkluderte med mangelfull IKT-sikkerhet i Norge. Utredningen anbefalte å vedta en ny lov om IKT-sikkerhet for samfunnskritiske virksomheter, og departementet sendte senere utkast til en slik lov på høring.

Den videre gjennomføringen av de relevante EU-direktivene ble imidlertid forsinket, og først 5. mai 2023 ble proposisjonen som lå til grunn for dagens lov, Prop. 109 LS (2022–2023), godkjent i statsråd.

I november 2022 vedtok EU direktiv (EU) 2022/2555 (NIS2-direktivet), som opphever NIS1-direktivet. NIS2-direktivet er pr. 3. oktober 2025 ikke inntatt i EØS-avtalen, men antas å være EØS-relevant. Endringene innebærer særlig at virkeområdet er utvidet til å omfatte nye sektorer. NIS2-direktivet reduserer også skillet mellom tilbydere av henholdsvis samfunnsviktige tjenester og digitale ytelser – og benytter betegnelsene «essential entities» og «important entities», som foreløpig er oversatt med «vesentlige enheter» og «viktige enheter». NIS2-direktivet inneholder også en del presiseringer, blant annet ved å oppstille en minimumsliste over sikkerhetstiltak som må iverksettes, og det angir også mer presise bestemmelser for varsling av hendelser.

Dersom NIS2-direktivet blir tatt inn i EØS-avtalen, vil det bli nødvendig å gjøre endringer i digitalsikkerhetsloven.

Lovens formål

Lovens formål er å bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet ved å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester. Loven skal også legge til rette for sikkerhet i IKT-produkter, IKT-tjenester og IKT-prosesser.

Sammenhenger med og avgrensninger mot andre lover

Digitalsikkerhetsloven er en tverrsektoriell lov om digital sikkerhet. Det er imidlertid også andre lover som på ulikt vis stiller krav til digital sikkerhet og varsling av uønskede hendelser, men det er flere virksomheter som i dag ikke er omfattet av dette.

Sikkerhetsloven (lov 1. juni 2018 nr. 24) regulerer digital sikkerhet innenfor sitt virkeområde. Selv om sikkerhetsloven og digitalsikkerhetsloven har delvis overlappende virkeområder, gjelder sikkerhetsloven i mindre grad private virksomheter. Sikkerhetsloven ivaretar primært nasjonale sikkerhetsinteresser ved å sikre grunnleggende nasjonale funksjoner og å beskyttelse mot tilsiktede handlinger som kan undergrave dem. Digitalsikkerhetsloven er på sin side i større grad rettet inn mot å sikre stabil tjenesteleveranse og et velfungerende marked.

Sivilbeskyttelsesloven (lov 25. juni 2010 nr. 45) har som formål «å beskytte liv, helse, miljø, materielle verdier og kritisk infrastruktur … ved bruk av ikke-militær makt når riket er i krig, når krig truer, når rikets selvstendighet eller sikkerhet er i fare, og ved uønskede hendelser i fredstid», jf. lovens § 1. Som man kan se, er loven i mye større grad rettet mot unntakssituasjoner, mens digitalsikkerhetsloven er innrettet mot den daglige risikohåndteringen. Digitalsikkerhetsloven retter seg også spesielt inn mot cybersikkerhet.

Personopplysningsloven (lov 15. juni 2018 nr. 38) gjelder beskyttelse av personopplysninger. Selv om loven har flere løsninger som kan overlappe med eller minne om kravene i digitalsikkerhetsloven, har sistnevnte lov i større grad som siktemål at tjenesteleveranser overholdes.

DORA-loven (lov 27. mai 2025 nr. 18) skal sikre et høyt felles nivå av digital operasjonell motstandsdyktighet gjennom like krav til sikkerheten i nettverks- og informasjonssystemer som understøtter virksomheten i finansielle foretak. Loven er innrettet spesielt for finanssektoren, og har langt mer detaljerte krav enn digitalsikkerhetsloven.

Det fremgår av lovens forarbeider at digitalsikkerhetsloven er utformet for å utfylle allerede eksisterende regelverk, og det understrekes at mange virksomheter allerede er underlagt sikkerhetskrav gjennom annet regelverk, men at det har vært behov for et felles, overgripende rammeverk for digital sikkerhet, Prop. 109 LS (2022–2023) s. 28. Digitalsikkerhetsloven har en egen bestemmelse (§ 5) om forholdet til andre lover. Hovedregelen er at dersom det i eller i medhold av annen lov er fastsatt krav om sikkerhet og varsling som minst tilsvarer kravene i digitalsikkerhetsloven, skal denne andre loven benyttes. Dette gjelder både for EØS-baserte og nasjonale sektorspesifikke regler.

Forarbeider

Forarbeidene til digitalsikkerhetsloven er

• NOU 2018: 14 IKT-sikkerhet i alle ledd

• Prop. 109 LS (2022–2023) Lov om digital sikkerhet (digitalsikkerhetsloven)

• Innst. 78 L (2023–2024) Innstilling fra justiskomiteen om Lov om digital sikkerhet (digitalsikkerhetsloven)

Endringslover

Det er pr. 3. oktober 2025 ikke gitt slike lover.

Sentrale forskrifter

Forskrift 20. juni 2025 nr. 1131 om digital sikkerhet (digitalsikkerhetsforskriften) trådte i kraft 1. oktober 2025.

Juridisk litteratur

I tillegg til herværende lovkommentar foreligger det kun én annen lovkommentar: Carsten Rapp, kommentarene til digitalsikkerhetsloven, Norsk Lovkommentar, Gyldendal Rettsdata.

NIS-direktivet er kommentert i Serge Gijrath og Pieter Kalis, «Directive 2016/1148/EU – NIS Directive», som er inntatt som kapittel 10 i Serge Gijrath, Simone van der Hof, Arno R. Lodder og Gerrit-Jan Zwenne (red.), Concise European Data Protection, E-Commerce and IT Law, 3. utgave, Wolters Kluwer, 2018.

NIS-samarbeidsgruppen (NIS Cooperation Group) har utformet en rekke veiledere som kan være nyttige ved vurderingen av hvordan NIS-direktivet, og dermed digitalsikkerhetsloven, skal forstås og anvendes i praksis.

Praksis

Pr. 3. oktober 2025 foreligger det ingen rettspraksis fra EU-domstolen som er direkte relevant for tolkningen av bestemmelser i NIS-direktivet. Det foreligger heller ingen rettspraksis fra norske domstoler som gjelder digitalsikkerhetsloven.