Krav til vannverk i Digitalsikkerhetsloven

Publisert

02.12.2025

Alle samfunnsviktige tjenester i samfunnet er på en eller annen måte avhengig av digitale tjenester og digital infrastruktur. 1. oktober 2025 trådte loven om digital sikkerhet og forskriften om digital sikkerhet i kraft i Norge. Formålet er å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som virksomheter bruker for å levere enten samfunnsviktige eller digitale tjenester.

Vannforsyningssektoren er en leverandør av samfunnviktige tjenester som er omfattet av digitalsikkerhetsloven.

Samfunnsviktige vannforsyningssystemer er vannverk som behandler minst 2000m³ vann per døgn.

Loven bygger på EUs NIS1-direktiv og knytter Norge tettere til det europeiske beredskaps- og sikkerhetssamarbeidet. Det sikrer også at kravene som stilles til digital sikkerhet, er så like som mulig på tvers av landene i Europa.

Veiledere fra Nasjonal sikkerhetsmyndighet (NSM)

Veileder fra NSM Introduksjon til digitalsikkerhetsloven og -forskriften.pdf (nsm.no)

Veileder fra NSM i digitalsikkerhetsloven og -forskriften.pdf (nsm.no)

Plikter for virksomheter som tilbyr samfunnsviktige tjenester

Som tilbyder av samfunnsviktige tjenester må dere oppfylle kravene i loven:

1. Meld fra om at dere tilbyr samfunnsviktige tjenester. 
2. Etabler et forsvarlig sikkerhetsnivå. 
3. Kartlegg tjenestene, leveransekravene og systemene. 
4. Gjør en risikovurdering. 
5. Lag en plan for håndtering av risiko. 
6. Følg opp samarbeidspartnere og underleverandører. 
7. Lag en beredskapsplan og øv på den. 
8. Varsle om hendelser. Kravene i digitalsikkerhetsloven er minimumskrav. Dere står fritt til å innføre strengere sikkerhetstiltak.

Meld fra om at dere tilbyr samfunnsviktige tjenester

Dere skal melde fra både til NSM og til Mattilsynet (tilsynsmyndigheten for deres sektor) om at dere tilbyr samfunnsviktige tjenester. Melding skal skje så raskt det lar seg gjøre uten en saklig grunn for forsinkelse.

Innmeldingen gir myndighetene en oppdatert oversikt over alle virksomheter som leverer samfunnsviktige tjenester. Oversikten brukes blant annet til beredskapsplanlegging, håndtering av hendelser, planlegging av tilsyn og rapportering til EFTAs overvåkningsorgan (ESA).

• Fyll ut skjema for innmelding av virksomhet underlagt digitalsikkerhetsloven (nsm.no).
• Innmeldingen sendes på et eget skjema til postmottak@nsm.no.
• Skriv «Innmelding etter digitalsikkerhetsloven» i emnefeltet.

Den samme informasjonen skal også sendes til Mattilsynet. Informasjonen kan sendes med samme skjema som til NSM, til postmottak@mattilsynet.no.

Hvis noe i virksomheten eller tjenestene endrer seg, skal dette meldes til både NSM og Mattilsynet. Det kan for eksempel være navnebytte eller flytting, dere tilbyr ny eller slutter å levere samfunnsviktig tjeneste, eller tilbyr tjeneste i et nytt geografisk område.

Informasjon om kravene til innmelding

Innmelding av samfunnsviktige tjenester (nsm.no)

Varsle om hendelser

Dere skal varsle myndighetene om hendelser som virker betydelig inn på leveransen av de samfunnsviktige tjenestene deres, avgrenset til hendelser med negativ innvirkning på sikkerheten i nettverk og informasjonssystemer. Slike hendelser kalles gjerne alvorlige hendelser. Varsling gjør at myndighetene kan følge opp, dele informasjon og rapportere videre.

Slik varsler dere

• Bruk skjemaet: Varsel om alvorlig hendelse etter digitalsikkerhetsloven (nsm.no)
• Skjemaet sendes til Mattilsynet postmottak@mattilsynet.no, med kopi til NSM på postmottak@nsm.no.
• Skriv «Varsel etter digitalsikkerhetsloven» i emnefeltet.

Viktige frister

• første varsel: innen 24 timer etter oppdaget hendelse.
• oppdatering til myndighetene: innen 72 timer etter oppdaget hendelse.
• hendelsesrapport: innen én måned etter sendte innsendt første varsel.

Fristene er absolutte og gjelder også hvis hendelsen skjer hos en samarbeidspartner eller underleverandør.

Informasjon om kravene til varsling

Varsle om hendelser etter digitalsikkerhetsloven (nsm.no)