Cloudahead - Oppdatert

Digitalsikkerhetsloven: Nye cyberkrav treffer tusenvis av norske bedrifter

Skrevet av Cloudahead | 16.4.2026

Rundt 5000 norske virksomheter vil bli underlagt nye krav til cybersikkerhet i løpet av 2026. Mange av dem har aldri hatt slike krav før. Selv om din bedrift ikke er direkte berørt, kan kundene dine være det. Da må du likevel dokumentere at sikkerheten er på stell.

Hva er digitalsikkerhetsloven?

Digitalsikkerhetsloven er Norges implementering av EUs NIS2-direktiv. Den første versjonen trådte i kraft 1. oktober 2025 og dekket et begrenset antall virksomheter innen energi, transport, helse og vannforsyning.

Nå utvides den dramatisk. En ny lov som implementerer NIS2-direktivet er under utarbeidelse og ventes vedtatt i løpet av 2026. Registreringsportalen hos NSM åpner etter planen 1. juli 2026. De første tilsynene starter fra oktober samme år.

Der den gamle loven dekket noen hundre virksomheter, vil den nye treffe rundt 5000. Det inkluderer sektorer som IKT-tjenester, avfallshåndtering, matproduksjon, post og kjemikalier. Mange av disse er små og mellomstore bedrifter som aldri har forholdt seg til formelle sikkerhetskrav.

Hvem er i scope?

Hovedregelen er enkel. Er du i en definert sektor og har minst 50 ansatte eller over 10 millioner euro i omsetning, er du i scope. Noen sektorer gjelder uavhengig av størrelse, blant annet DNS-tjenester, skytjenester og elektronisk kommunikasjon.

Sektorene er delt i to kategorier. Essensielle virksomheter inkluderer energi, transport, helse, vann, bank og digital infrastruktur. Viktige virksomheter inkluderer IKT-tjenester, post, avfall, kjemikalier, mat og forskning.

Har du et byggefirma med 30 ansatte? Da er du sannsynligvis ikke direkte i scope. Det samme gjelder et regnskapsfirma med 15 ansatte. Men det betyr ikke at du kan ignorere dette.

Leverandørkjeden endrer spillereglene

Selv om bedriften din faller utenfor loven, kan kundene dine være innenfor. Og NIS2 stiller eksplisitte krav til leverandørsikkerhet. Det betyr at virksomheter i scope vil kreve dokumentasjon fra sine leverandører og underleverandører.

Hvis du leverer IT-tjenester, regnskapstjenester eller byggetjenester til en virksomhet som er i scope, vil du bli bedt om å vise at du har kontroll på sikkerheten. Rutiner for tilgangsstyring, backup, hendelseshåndtering og oppdateringer. Ikke fordi du må etter loven, men fordi kunden din må.

Den som ikke kan dokumentere dette, risikerer å tape kontrakter.

Hva krever loven konkret?

For virksomheter som er direkte i scope, er kravene tydelige:

  1. Risikovurdering. Du må kartlegge trusler og sårbarheter løpende og dokumentere hvordan du håndterer dem.
  2. Hendelsesrapportering. Sikkerhetshendelser skal varsles til NSM innen 24 timer med et tidlig varsel. Full rapport innen 72 timer. Sluttrapport innen en måned.
  3. Tilgangsstyring. Totrinnsverifisering, rollebasert tilgang og nettverkssegmentering.
  4. Leverandørsikkerhet. Krav til leverandøravtaler, risikovurdering av tredjeparter og revisjon.
  5. Kontinuitet. Testede sikkerhetskopier, gjenopprettingsplaner og beredskap.
  6. Ledelsesansvar. Styret og ledelsen er personlig ansvarlige. Manglende etterlevelse kan gi suspensjon.

Bøtene er betydelige. Opptil 4 prosent av global årsomsetning, begrenset til 50 millioner kroner.

Hva bør du gjøre nå?

Uavhengig av om du er direkte i scope eller ikke:

  1. Avklar om du er berørt. Sjekk sektor og størrelse mot lovens virkeområde. NSM har veiledning på nsm.no.
  2. Spør kundene dine. Hvis de er i scope, vil kravene til deg komme. Bedre å være forberedt enn å bli overrasket.
  3. Få grunnmuren på plass. Totrinnsverifisering på alle kontoer. Dokumentert tilgangsstyring. Testede sikkerhetskopier. Oppdateringsrutiner. Dette er ikke avansert. Det er grunnleggende.
  4. Dokumenter det du gjør. Ha en enkel sikkerhetspolicy som beskriver rutiner og ansvar. Det trenger ikke være 50 sider. Det trenger å være ekte.
  5. Følg med på nsm.no. Tidsfrister og detaljer vil bli oppdatert løpende gjennom 2026.

Er din bedrift klar?

Digitalsikkerhetsloven er ikke bare et nytt regelverk. Den er et signal om at cybersikkerhet ikke lenger er valgfritt for norske bedrifter. Verken for de store eller for de som leverer til dem.

Det viktigste du kan gjøre akkurat nå er å få oversikt. Vet du hvem av kundene dine som er i scope? Har du dokumentert sikkerhetstiltakene dine? Kan du vise det hvis noen spør?

 

Kilder

NSM — Ny digitalsikkerhetslov i Norge (nsm.no, 2025)

NSM — Digitalsikkerhetsloven og forskriften, veileder (nsm.no, 2025)

DLA Piper — Digital Security Act enters into force (norway.dlapiper.com, 2025)

Haavind — Hvem underlegges digitalsikkerhetsloven (haavind.no, 2025)

Arntzen de Besche — Milliongebyr ved manglende etterlevelse (arntzen.no, 2025)

SPADE Consulting — NIS2-direktivet: Nye cybersikkerhetskrav (spadeconsulting.no, 2026)
Vis hele posten