Legalize
Legalize / Norge / Lov

Lov om digital sikkerhet (digitalsikkerhetsloven)

Type Lov
Publisering 2023-12-20
Status I kraft
Departement Justis- og beredskapsdepartementet
Kilde Lovdata
Endringshistorikk JSON API

Kapittel 1. Innledende bestemmelser

§ 1. Formål

Loven skal bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet ved å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester. Loven skal også legge til rette for sikkerhet i IKT-produkter, IKT-tjenester og IKT-prosesser.

§ 2. Saklig virkeområde

Loven gjelder fortilbydere av samfunnsviktige tjenester etter § 6 i sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastrukturtilbydere av digitale tjenester etter § 9.

tilbydere av samfunnsviktige tjenester etter § 6 i sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur

tilbydere av digitale tjenester etter § 9.

Loven gjelder ikke for virksomheter som er omfattet av lov om elektroniske tillitstjenester.

Kongen kan gi forskrift med nærmere bestemmelser om og unntak fra lovens virkeområde.

§ 3. Geografisk virkeområde

Loven gjelder fortilbydere av samfunnsviktige tjenester som er etablert i Norgetilbydere av digitale tjenester som har sitt hovedkontor i Norge, eller som har eller skal ha en representant i Norge etter § 12.

tilbydere av samfunnsviktige tjenester som er etablert i Norge

tilbydere av digitale tjenester som har sitt hovedkontor i Norge, eller som har eller skal ha en representant i Norge etter § 12.

Kongen kan gi forskrift om lovens anvendelse for Svalbard, Jan Mayen og bilandene og fastsette særlige regler som er nødvendige av hensyn til de stedlige forholdene.

§ 4. Definisjoner

I denne loven menes mednettverks- og informasjonssystemer:elektronisk kommunikasjonsnett som nevnt i ekomloven § 1-5 nr. 2en enhet eller en gruppe av sammenkoblede eller beslektede enheter som behandler digitale data automatisk ved hjelp av et programdigitale data som lagres, behandles, innhentes eller overføres ved hjelp av elementer som nevnt i bokstav a eller b for at dataene skal kunne driftes, vernes, beskyttes eller vedlikeholdes.sikkerheten i nettverks- og informasjonssystemer: evnen nettverk eller informasjonssystemer har til å tåle, på et gitt tillitsnivå, enhver handling som går ut over tilgjengeligheten, autentisiteten, integriteten eller tilliten til lagrede, overførte eller behandlede data eller tilknyttede tjenester som tilbys eller er tilgjengelige via slike nettverks- og informasjonssystemerhendelse: enhver hendelse med negativ virkning på sikkerheten i nettverks- og informasjonssystemer.

nettverks- og informasjonssystemer:elektronisk kommunikasjonsnett som nevnt i ekomloven § 1-5 nr. 2en enhet eller en gruppe av sammenkoblede eller beslektede enheter som behandler digitale data automatisk ved hjelp av et programdigitale data som lagres, behandles, innhentes eller overføres ved hjelp av elementer som nevnt i bokstav a eller b for at dataene skal kunne driftes, vernes, beskyttes eller vedlikeholdes.

elektronisk kommunikasjonsnett som nevnt i ekomloven § 1-5 nr. 2

en enhet eller en gruppe av sammenkoblede eller beslektede enheter som behandler digitale data automatisk ved hjelp av et program

digitale data som lagres, behandles, innhentes eller overføres ved hjelp av elementer som nevnt i bokstav a eller b for at dataene skal kunne driftes, vernes, beskyttes eller vedlikeholdes.

sikkerheten i nettverks- og informasjonssystemer: evnen nettverk eller informasjonssystemer har til å tåle, på et gitt tillitsnivå, enhver handling som går ut over tilgjengeligheten, autentisiteten, integriteten eller tilliten til lagrede, overførte eller behandlede data eller tilknyttede tjenester som tilbys eller er tilgjengelige via slike nettverks- og informasjonssystemer

hendelse: enhver hendelse med negativ virkning på sikkerheten i nettverks- og informasjonssystemer.

§ 5. Forholdet til andre lover som stiller krav om sikkerhet og varsling

Kravene om sikkerhet og varsling i §§ 7, 8, 10 og 11 gjelder så langt det ikke er fastsatt tilsvarende eller strengere krav i eller i medhold av annen lov.

Kapittel 2. Krav til tilbydere av samfunnsviktige tjenester

§ 6. Tilbydere av samfunnsviktige tjenester

Som tilbyder av en samfunnsviktig tjeneste regnes virksomheter somleverer en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteterer avhengig av nettverks- og informasjonssystemer for å levere tjenesten, ogkan få tjenesteleveransen betydelig forstyrret av en hendelse.

leverer en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter

er avhengig av nettverks- og informasjonssystemer for å levere tjenesten, og

kan få tjenesteleveransen betydelig forstyrret av en hendelse.

Ved vurderingen av om en hendelse kan betydelig forstyrre en tjenesteleveranse, skal det særlig legges vekt påantallet brukere som er avhengig av tjenesteni hvilken grad andre samfunnssektorer som er nevnt i § 2, er avhengig av tjenestenhvilken virkning en hendelse kan ha i form av omfang og varighet for økonomiske og samfunnsmessige aktiviteter eller samfunnssikkerhetenvirksomhetens markedsandelstørrelsen på det geografiske området som kan bli påvirket av en hendelseden berørte virksomhetens betydning for at det er tilstrekkelig tilgang på tjenesten, tatt i betraktning hvilke alternativer som finnessærlige sektorspesifikke forhold.

antallet brukere som er avhengig av tjenesten

i hvilken grad andre samfunnssektorer som er nevnt i § 2, er avhengig av tjenesten

hvilken virkning en hendelse kan ha i form av omfang og varighet for økonomiske og samfunnsmessige aktiviteter eller samfunnssikkerheten

virksomhetens markedsandel

størrelsen på det geografiske området som kan bli påvirket av en hendelse

den berørte virksomhetens betydning for at det er tilstrekkelig tilgang på tjenesten, tatt i betraktning hvilke alternativer som finnes

særlige sektorspesifikke forhold.

Kongen kan gi forskrift om hvilke virksomheter som skal regnes som tilbydere av samfunnsviktige tjenester.

§ 7. Krav om sikkerhet for tilbydere av samfunnsviktige tjenester

En tilbyder av en samfunnsviktig tjeneste skal gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten.

Tilbyderen skal iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak som samlet skal sørge for et sikkerhetsnivå som er tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det blant annet ses hen til den teknologiske utviklingen.

Tilbyderen skal iverksette proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes.

§ 8. Krav om varsling for tilbydere av samfunnsviktige tjenester

En tilbyder av en samfunnsviktig tjeneste skal uten unødig opphold og uten hinder av taushetsplikt varsle det organet Kongen utpeker, om hendelser som virker betydelig inn på tjenesteleveransen. Ved vurderingen av om innvirkningen er betydelig, skal det blant annet legges vekt på antallet brukere som påvirkes, hendelsens varighet og størrelsen på det geografiske området som berøres.

Kapittel 3. Krav til tilbydere av digitale tjenester

§ 9. Tilbydere av digitale tjenester

Som tilbyder av en digital tjeneste regnes virksomheter som tilbyr tjenester som definert i ehandelsloven § 1 andre ledd bokstav a og b i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.

Med nettbasert markedsplass menes en tjeneste som gjør det mulig for forbrukere og næringsdrivende å inngå nettbaserte salgs- eller tjenesteavtaler med næringsdrivende, enten på nettstedet til den nettbaserte markedsplassen eller på nettstedet til en næringsdrivende som bruker datatjenester som leveres av den nettbaserte markedsplassen.

Med nettbasert søkemotor menes en tjeneste som gjør det mulig for brukere å foreta søk på i prinsippet alle nettsteder eller nettsteder på et bestemt språk, på grunnlag av et nøkkelord, en setning eller andre inndata, og som viser lenker hvor det er mulig å finne informasjon om det forespurte innholdet.

Med skytjeneste menes en tjeneste som gir tilgang til en skalerbar og fleksibel samling av delbare databehandlingsressurser.

Kongen kan gi forskrift om hvilke virksomheter som skal regnes som tilbydere av digitale tjenester.

§ 10. Krav om sikkerhet for tilbydere av digitale tjenester

En tilbyder av en digital tjeneste skal gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten.

Tilbyderen skal iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak som samlet skal sørge for et sikkerhetsnivå som er tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det blant annet ses hen til den teknologiske utviklingen og tas hensyn tilsikkerheten i systemer, utstyr og anlegghendelseshåndteringstyring av opprettholdelse av tjenesteleveransenovervåking, revisjon og testinganerkjente internasjonale standarder.

sikkerheten i systemer, utstyr og anlegg

hendelseshåndtering

styring av opprettholdelse av tjenesteleveransen

overvåking, revisjon og testing

anerkjente internasjonale standarder.

Tilbyderen skal iverksette proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes.

§ 11. Krav om varsling for tilbydere av digitale tjenester

En tilbyder av en digital tjeneste skal uten unødig opphold og uten hinder av taushetsplikt varsle det organ Kongen utpeker, om hendelser som virker betydelig inn på tjenesteleveransen. Ved vurderingen av om innvirkningen er betydelig, skal det legges vekt på antall brukere som påvirkes, hendelsens varighet, størrelsen på det geografiske området som berøres, omfanget av funksjonalitetssvikten i tjenesten og omfanget av innvirkningen på økonomisk og samfunnsmessig aktivitet.

§ 12. Plikt til å utpeke en representant i Norge

En tilbyder av digitale tjenester som ikke har sitt hovedkontor i Norge eller en annen EØS-stat, og som tilbyr digitale tjenester i Norge, skal utpeke en representant i Norge, med mindre tilbyderen har utpekt en representant i en annen EØS-stat hvor tjenestene tilbys.

Kapittel 4. Tilsyn og administrative reaksjoner

§ 13. Tilsyn

Kongen utpeker én eller flere tilsynsmyndigheter som skal føre tilsyn med tilbydere som omfattes av loven.

§ 14. Opplysningsplikt og tilgang til lokaler og utstyr

Tilbydere og de som handler på vegne av en tilbyder, har plikt til å gi de opplysningene som tilsynsmyndigheten krever for å utføre sine oppgaver, og gi tilsynsmyndigheten tilgang til virksomhetens lokaler og utstyr og yte nødvendig bistand ved tilsynsmyndighetens undersøkelser.

Første ledd gjelder uten hinder av lovbestemt taushetsplikt.

§ 15. Pålegg om retting

Ved overtredelse av bestemmelser gitt i eller i medhold av denne loven kan tilsynsmyndigheten gi tilbydere pålegg om at forholdet skal bringes i orden. Når det gis pålegg, skal det settes en frist for oppfyllelse.

§ 16. Tvangsmulkt

Tilsynsmyndigheten kan treffe vedtak om tvangsmulkt for å sikre at pålegg etter § 15 blir oppfylt. Tvangsmulkten kan fastsettes som en løpende mulkt eller som et engangsbeløp.

Tilsynsmyndigheten kan i særlige tilfeller frafalle påløpt tvangsmulkt.

§ 17. Overtredelsesgebyr

Tilsynsmyndigheten kan ilegge overtredelsesgebyr dersom en tilbyder eller noen som handler på dennes vegne, forsettlig eller uaktsomt overtrer §§ 7, 8, 10, 11 eller 14.

Dersom den ansvarlige for overtredelsesgebyret er et foretak som inngår i et konsern, hefter foretakets morselskap og morselskapet i det konsern selskapet er en del av, subsidiært for beløpet.

Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt. Fristen avbrytes ved at myndigheten gir forhåndsvarsel om eller fatter vedtak om overtredelsesgebyr.

Kapittel 5. Utfyllende regler mv.

§ 18. Forskrifter

Kongen kan gi forskrift omkrav til sikkerhet og varsling i samsvar med §§ 7, 8, 10 og 11, herunder hva som regnes som tilsvarende krav etter § 5gjennomføring av tilsyn med tilbydere underlagt lovenopplysningsplikt og tilgang til lokaler og utstyr etter § 14ileggelse og utmåling av tvangsmulkt og overtredelsesgebyrat den som forsettlig eller uaktsomt overtrer forskrift gitt i medhold av bokstav a, kan ilegges overtredelsesgebyrgjennomføring av forpliktelser som følger av EØS-avtalen og andre internasjonale avtaler, og som understøtter lovens regler eller formålbehandling av personopplysninger, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, viderebehandling, utlevering og slettingnasjonalt kontaktpunkt for sikkerhet i nettverks- og informasjonssystemer.

krav til sikkerhet og varsling i samsvar med §§ 7, 8, 10 og 11, herunder hva som regnes som tilsvarende krav etter § 5

gjennomføring av tilsyn med tilbydere underlagt loven

opplysningsplikt og tilgang til lokaler og utstyr etter § 14

ileggelse og utmåling av tvangsmulkt og overtredelsesgebyr

at den som forsettlig eller uaktsomt overtrer forskrift gitt i medhold av bokstav a, kan ilegges overtredelsesgebyr

gjennomføring av forpliktelser som følger av EØS-avtalen og andre internasjonale avtaler, og som understøtter lovens regler eller formål

behandling av personopplysninger, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, viderebehandling, utlevering og sletting

nasjonalt kontaktpunkt for sikkerhet i nettverks- og informasjonssystemer.

Kapittel 6. Sikkerhetssertifisering

§ 19. Sikkerhetssertifisering av informasjons- og kommunikasjonsteknologi

Kongen kan gi forskrift om sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser for å gjennomføre forpliktelser etter EØS-avtalen. Dette omfatter ogsåutpeking av sertifiseringsmyndighettilsyn med sertifiseringsorganer som tilbyr sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesserpålegg om retting, tvangsmulkt og overtredelsesgebyr ved overtredelse av krav til sikkerhetssertifisering.

utpeking av sertifiseringsmyndighet

tilsyn med sertifiseringsorganer som tilbyr sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser

pålegg om retting, tvangsmulkt og overtredelsesgebyr ved overtredelse av krav til sikkerhetssertifisering.

Kapittel 7. Sluttbestemmelser

§ 20. Ikrafttredelse

Loven trer i kraft fra den tiden1 Kongen bestemmer. De enkelte bestemmelsene kan settes i kraft til ulik tid.

Lesing av dette dokumentet erstatter ikke den offisielle teksten publisert av Lovdata. Vi påtar oss intet ansvar for eventuelle unøyaktigheter.