Qu'est-ce que Digitalsikkerhetsloven ? 🇳🇴 NIS2 en Norvège

Lov om digital sikkerhet (digitalsikkerhetsloven) est laloinationale norvégiennesur la sécurité numériqueet la mise en œuvre par le pays de la NIS2. Elle s'applique en Norvège aux fournisseurs de services essentiels dans des secteurs tels que l'énergie, les transports, la santé, l'approvisionnement en eau, les banques, l'infrastructure des marchés financiers et l'infrastructure numérique, ainsi qu'à certains fournisseurs de services numériques tels que les places de marché en ligne, les moteurs de recherche et les services en nuage.

L'objectif de la loi est d'établir des normes de base en matière de gestion des risques cybernétiques et de notification des incidents afin que les services essentiels puissent continuer à fonctionner. La loi entrera en vigueur le 1er octobre 2025.

Lire aussi : Quels sont les principes de sécurité des TIC du NSM ? Recommandations norvégiennes en matière de cybersécurité

Quelles sont les exigences de digitalsikkerhetsloven ?

À un niveau élevé, la loi définit des obligations claires pour deux groupes : les fournisseurs de services essentiels et les fournisseurs de services numériques.

• Effectuer des évaluations des risques pour le réseau et les systèmes d'information utilisés pour fournir le service.
• Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées et proportionnées au risque, en tenant compte de l'évolution technologique.
• Signaler sans délai excessif à l'autorité nationale désignée tout incident ayant un impact significatif sur la prestation de services.
• Assurer la continuité en prévenant, détectant et réduisant les conséquences des incidents afin que les services puissent être maintenus.
• Pour les fournisseurs de services numériques, couvrir des domaines tels que la sécurité des systèmes et des équipements, la gestion des incidents, la gestion de la continuité des services, la surveillance, l'audit et les essais, et l'utilisation de normes internationales reconnues.
• Désigner un représentant en Norvège si vous offrez des services numériques en Norvège mais que vous êtes établi en dehors de l'EEE.
• Coopérer avec la supervision, fournir des informations et permettre l'accès aux inspections. Le non-respect de ces règles peut donner lieu à des ordonnances, des amendes coercitives et des sanctions administratives.

Comment digitalsikkerhetsloven assure-t-il la sécurité ?

La loi exige une base de sécurité fondée sur les risques et une amélioration continue. Elle pousse les organisations à gérer les incidents, à planifier la continuité, à surveiller, à auditer et à tester, et à s'aligner sur des normes reconnues. Elle confère également aux autorités des pouvoirs de surveillance et la capacité d'ordonner des mesures correctives et d'imposer des sanctions, ce qui favorise un véritable suivi.

Le Digitalsikkerhetsloven offre plusieurs avantages lorsqu'il est mis en œuvre :

• Une structure claire et pratique pour la gestion des cyber-risques et la réponse aux incidents.
• Des interruptions moins nombreuses et plus courtes pour les services dont les clients dépendent.
• Une plus grande assurance pour les partenaires et les régulateurs que des contrôles de sécurité sont en place.
• Alignement plus facile sur les normes internationales déjà utilisées dans les audits et les certifications.

Combien de temps faut-il pour se mettre en conformité avec la directive Digitalsikkerhetsloven ?

Cela dépend de votre maturité actuelle, de votre champ d'application et de vos ressources.

• À partir d'une faible maturité : généralement 9 à 12 mois.
• Si certains contrôles sont en place ou si le travail relatif au GDPR/ISO est effectué : environ 4 à 6 mois.
• Déjà certifié ISO 27001 : de nombreux contrôles sont alignés, mais il faut compter 2 à 4 mois pour combler les lacunes en matière de rapports, de gouvernance et de procédures sectorielles.
• Déjà conforme à la norme NIS2 de l'UE : la plupart des contrôles sont alignés, quelques semaines de travail suffisent.

L'utilisation d'une plateforme spécialisée comme Cyberday peut raccourcir ces délais en vous fournissant des tâches, une documentation et une collecte de preuves prêtes à l'emploi.

FAQ

L'utilisation de l'outil numérique est-elle obligatoire ?

Oui, il s'agit d'une loi norvégienne contraignante pour les entités du champ d'application. Les autorités de surveillance peuvent ordonner des corrections et imposer des sanctions en cas de non-respect de la loi.

Pourquoi le digitalsikkerhetsloven est-il important ?

Elle relève le niveau minimum de cybersécurité dans les secteurs essentiels et les services numériques clés en Norvège. La gestion des risques et le signalement des incidents obligatoires renforcent la résilience des services essentiels et améliorent le contrôle national.

Qui doit se conformer au Digitalsikkerhetsloven ?

Les fournisseurs de services essentiels dans les domaines de l'énergie, des transports, de la santé, de l'approvisionnement en eau, de la banque, de l'infrastructure des marchés financiers et de l'infrastructure numérique, ainsi que les fournisseurs de services numériques proposant des places de marché en ligne, des moteurs de recherche ou des services en nuage en Norvège. Les entités situées en dehors de l'EEE qui proposent de tels services numériques en Norvège doivent désigner un représentant local.

Quand est-ce que digitalsikkerhetsloven est en vigueur ?

La loi entre en vigueur le 1er octobre 2025, les dispositions individuelles pouvant entrer en vigueur à des dates différentes si le gouvernement le décide.

Digitalsikkerhetsloven est-il soutenu dans le cadre du Cyberday?

Oui. Cyberday comprend des tâches, des modèles et la collecte d'éléments de preuve correspondant à digitalsikkerhetsloven.