Krav til virksomheter i helsesektoren etter digitalsikkerhetsloven
1. oktober 2025 trådte loven om digital sikkerhet og forskriften om digital sikkerhet i kraft. Loven krever at virksomheter i helsesektoren kartlegger tjenester og systemer, etablerer et forsvarlig sikkerhetsnivå og varsler myndighetene om hendelser som virker betydelig inn på leveransen av samfunnsviktige tjenester.
Alle samfunnsviktige tjenester i samfunnet er på en eller annen måte avhengig av digitale tjenester og digital infrastruktur. 1. oktober 2025 trådte loven om digital sikkerhet og forskriften om digital sikkerhet i kraft i Norge. Formålet er å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som virksomheter bruker for å levere enten samfunnsviktige eller digitale tjenester. Som tilbyder av samfunnsviktige tjenester må virksomheter oppfylle bestemte krav til sikkerhet og varsling. De konkrete lovkravene er nærmere spesifisert i digitalsikkerhetsforskriften.
I helsesektoren er det identifisert fire virksomheter og aktørgrupper som leverer samfunnsviktige tjenester:
- Helse- og omsorgsdepartementet med underliggende etater, foretak og andre offentlig eide virksomheter som utgjør den nasjonale helseberedskapen
- regionale helseforetak med tilhørende helseforetak som tilbyr spesialisthelsetjenester
- virksomheter som driver sentrale systemer for rekvirering og utlevering av legemidler og andre medisinske produkter
- kommuner med mer enn 50 000 innbyggere eller mer enn 20 000 brukere som er avhengige av kommunale helse- og omsorgstjenester som ikke kan overføres til eller avlastes av andre tjenester
Virksomhetene som omfattes av loven, er pliktig til å registrere både virksomheten sin og tjenesten de leverer hos Nasjonal sikkerhetsmyndighet (NSM) via e-post postmottak@nsm.no, og Helsetilsynet via e-post Postmottak@helsetilsynet.no.
Skjema for innmelding finner du her:
- Skjema for innmelding av virksomhet (nsm.no)
- Skjema for innmelding av samfunnsviktige tjenester (nsm.no)
Hendelser som virker betydelig inn på leveransen av samfunnsviktige tjenester er varslingspliktige. Informasjon om hva som er varslingspliktig, og tidsfrister for varsling finnes på NSM sine nettsider. Fyll ut skjema for varsling om alvorlig hendelse, og send det til Postmottak@helsetilsynet.no og i kopi til NSM på beredskap@nsm.no.
Digitalsikkerhetsloven bygger på EUs NIS1-direktiv og elementer fra NIS2-direktivet, og knytter Norge tettere til det europeiske beredskaps- og sikkerhetssamarbeidet. NIS-direktivene bidrar til at medlemslandene i EU i stor grad underlegges like krav til digital sikkerhet.
Mer informasjon om digitalsikkerhetsloven og -forskriften er tilgjengelig på NSM sine nettsider Helsetilsynet vil utvikle og publisere veiledningsmateriell på et senere tidspunkt.