1. oktober i fjor trådte det nye sikkerhetsdirektivet i kraft i Norge. For mange virksomheter har dette gått under radaren. Det er ikke et regelverk som automatisk “treffer” med et brev i posten, og mange ledere har derfor en oppfatning av at dette ikke gjelder dem.
Det er en risikabel antakelse.
_______________________________________________________________
Artikkelen er først publisert under "Sodvin informerer" i magasinet Næringsliv april 2026. Skrevet av Tor Erik Aagedal, COO Sodvin
Se artikkelen i Næringsliv
_______________________________________________________________
Direktivet retter seg mot virksomheter innen bestemte sektorer og verdikjeder, men det er i stor grad opp til den enkelte virksomhet å vurdere om man omfattes, direkte eller indirekte. Dette er ikke noe som håndteres av regnskapsfører eller revisor. Ansvaret ligger hos styret og ledelsen. Manglende etterlevelse kan få alvorlige konsekvenser, inkludert betydelige bøter og pålegg fra myndighetene.
Et ansvar som ikke kan delegeres
Direktivet tydeliggjør at ansvaret for digital sikkerhet ligger på øverste nivå i virksomheten. Det er ikke lenger tilstrekkelig å overlate dette til IT-funksjonen. På linje med økonomi og internkontroll må ledelsen forstå risiko, stille krav og følge opp arbeidet.
Det innebærer ikke at ledelsen skal håndtere tekniske detaljer, men at man må ha oversikt over hva som er kritisk for virksomheten. Det være seg systemer, data og leverandører, og hvordan dette beskyttes.
Typiske tegn på manglende kontroll:
- manglende oversikt over kritiske systemer og data
- uklar ansvarsfordeling for sikkerhet
- fravær av rutiner for håndtering av hendelser
- leverandører uten dokumentert sikkerhetsnivå
Når slike forhold er til stede, må arbeidet løftes opp på ledelsesnivå.
Flere virksomheter er berørt enn mange tror
Mange forbinder sikkerhetsdirektivet med store aktører. I praksis treffer det langt bredere, også virksomheter som ikke oppfatter seg selv som kritiske.
Eksempler på virksomheter som kan bli omfattet:
Lokale kraft- og fiberselskaper
Mindre energiselskaper, nettselskaper og bredbåndsleverandører er definert som kritisk infrastruktur. Selv relativt små virksomheter kan omfattes direkte.
Leverandører av digital drift og IT-tjenester
Selskaper som leverer drift av Microsoft 365, nettverk eller sikkerhetstjenester blir ofte en del av leveransekjeden til kritiske virksomheter – og dermed indirekte omfattet.
Industri- og produksjonsbedrifter
Virksomheter som leverer komponenter til bygg, energi, transport eller teknisk infrastruktur kan omfattes dersom leveransene er kritiske.
Entreprenører og tekniske tjenesteleverandører
Selskaper innen elektro, automasjon, vann og avløp eller installasjon arbeider tett på samfunnskritiske systemer.
Næringsmiddelproduksjon og logistikk
Produsenter av matvarer og transport- og distribusjonsselskaper spiller en sentral rolle i forsyningssikkerheten.
Fellesnevneren er ikke størrelse, men betydning. For mange vil kravene først bli tydelige gjennom kunder og kontrakter.
Fra tiltak til styring
En vanlig utfordring er at sikkerhetsarbeid er sporadisk og hendelsesdrevet. Direktivet krever en mer strukturert tilnærming, der sikkerhet inngår i virksomhetsstyringen.
For mange vil det innebære å:
- etablere et styringssystem for sikkerhet
- gjennomføre jevnlige risikovurderinger
- sikre overvåkning og varsling
- stille tydelige krav til leverandører