С 1 октября 2025 года в Норвегии вступает в силу новый закон о цифровой безопасности

1 октября 2025 года Норвегия официально вступила в новую цифровую эру: впервые действует твердое, единое законодательство по цифровой безопасности (digitalsikkerhetsloven) вместе с развернутым подзаконным актом (digitalsikkerhetsforskriften). Эти новшества знаменуют переход от разрозненных стандартов и рекомендаций — к обязательным нормам для компаний и организаций, играющих ключевую роль в жизни общества, экономики и государственных сервисов.

Детальный обзор, кого и как касается закон

Новые нормы распространяются на компании, которые обеспечивают энергию, транспорт, здравоохранение, водоснабжение, банковские и финансовые процессы, цифровую инфраструктуру, облачные сервисы и маркетплейсы, а также — любой бизнес, чьи сервисы признаны критически важными через специальный перечень. Правила действуют и для подрядчиков и субподрядчиков: цепочка поставок теперь полностью подчиняется единым стандартам, если конечная услуга важна для общества.

Всего прописано 28 типов критически важных поставщиков. Например, сюда входят операторы метро, авиаперевозчики, крупные водоканалы, IT-компании, платформы электронных госуслуг, дата-центры, реестры доменов и даже операторы аварийных служб и транспорта (например — управление движением в туннелях).

Есть формальные исключения — например, микробизнесы: компании, где работает менее 50 сотрудников и оборот не превышает 100 млн норвежских крон. Но и такие компании могут быть включены под действие закона индивидуальным распоряжением, если они критичны для инфраструктуры.

Основные изменения и требования

Главный смысл реформы: цифровая безопасность — теперь ответственность не только IT-отделов, а всего высшего руководства организации:

• Оценка рисков, внедрение систем управления и отчетность — на уровне Совета директоров.
• Требуется регулярная и документированная оценка цифровых угроз, уязвимостей, сценариев кризисов и потенциального влияния на общество и экономику.
• Переход на структурированные процессы предотвращения, выявления и устранения инцидентов — каждый инцидент должен анализироваться и докладываться регулятору в течение 24 часов.
• Обязательное сотрудничество с национальными центрами реагирования (например, CSIRT), в том числе по обмену актуальной аналитикой и координации действий во время кибератак.
• Обязательные технические меры — обновление и поддержка ПО, многофакторная аутентификация, сегментация сетей, ограничение внешнего доступа, мониторинг подозрительных активностей, автоматизация анализа инцидентов. Прямая обязанность внедрять и поддерживать указанный минимум для всех задействованных систем, включая инфраструктуру подрядчиков и смежников.
• Физическая защита — контроль доступа к серверным, дата-центрам, обеспечения бесперебойного электропитания и интернет-соединения, специальные регламенты для аварийных ситуаций.
• Постоянное обучение персонала, внутренняя и внешняя коммуникация, наличие системы быстрого оповещения, формирования резервных планов и корректного завершения трудовых договоров с сохранением безопасности данных.

Особое внимание уделено управлению цепочкой поставок: требования касаются не только головной компании, но и всех подрядчиков, производящих или поддерживающих критическую инфраструктуру. Контракты теперь должны содержать условия по цифровой безопасности и регулярному аудиту подрядчиков.

Технологические, организационные и персональные меры

Технологические требования

• Строгая сегментация сетей и выделение доверенных зон; минимальный доступ по принципу «need to know».
• Постоянные апдейты, патчи, запрет использования устаревших программ или устройств.
• Журналы доступа и автоматизированный мониторинг — любой доступ к критическим данным документируется.
• Внедрение автоматизированных SIEM-систем для сбора логов и корреляции событий безопасности.

Организационные требования

• Документированная политика безопасности, аттестация всех процессов, регулярный аудит и пересмотр внутренних процедур.
• План реагирования на инциденты — должен быть актуальным, проверяться не реже одного раза в год, при необходимости — тестироваться на практике (симулированные атаки).

Требования к персоналу

• Обязательное обучение сотрудников вопросам цифровой безопасности один раз в год и после каждой серьёзной атаки или инцидента.
• Назначение ответственных за отдельные направления (DPO, CISO, операционные специалисты).
• Наличие системы проверки при найме, мониторинг поведения сотрудников, управление доступами, ревизия всех учётных записей не реже, чем раз в полгода.

Регулярная отчетность, надзор, проверка соответствия

Все компании, попадающие под действие закона, обязаны хранить и периодически предоставлять органы надзора подробные отчеты:

• Оценки рисков и уязвимостей (ежегодно или по запросу регулятора).
• Документация IT-инфраструктуры, систем безопасности, инцидент-репорты.
• Планы восстановления работоспособности после аварий и атак, оценки эффективности принятых мер.
• Результаты аудитов и внутреннего контроля подрядчиков и партнеров.
• Журналы событий безопасности, подтверждения успешного выполнения тренингов персонала.

Все документы должны быть представлены, если этого потребует орган госнадзора — без этого бизнес может столкнуться с административными и финансовыми санкциями, а также возможными судебными исками.

Штрафы и ответственность

Руководство несёт персональную административную и даже уголовную ответственность за грубые нарушения. Санкции включают крупные штрафы (до 4% оборота компании), приостановку лицензий, публикацию сведений о нарушителях, прямое вмешательство регулятора в управление деятельностью — до включения внешних управляющих.

Государственные органы надзора (например, Норвежское агентство национальной безопасности, NSM) получают новые полномочия по проверке, расследованию и контролю за состоянием цифровой безопасности.

Связь с европейскими и международными нормами

Закон реализует положения евродирективы о сетевой и информационной безопасности (NIS, NIS2), становится частью общего правового пространства европейских рынков. Это обеспечивает совместимость стандартов для норвежских компаний, торгующих и взаимодействующих на международной арене.

Практически: все новые сервисы, открывающиеся в стране, уже должны соответствовать требованиям NIS2 или проходить быструю адаптацию для этой совместимости.

Что делать бизнесу?

• Проверить, попадёт ли фирма под действие новых требований, исходя из перечня и критериев в законе.
• Провести независимый аудит действующих мер цифровой безопасности и соответствия цепочки поставщиков.
• Разработать и задокументировать процедуры реагирования и уведомления о цифровых инцидентах, обновить политики конфиденциальности.
• Обеспечить непрерывное обучение и повышение компетенций сотрудников, внедрить инструменты для мониторинга инфраструктуры и безопасности.
• Обеспечить наличие резервных планов и согласовать действия на случай технологических или киберкризисов.
• Своевременно оповещать и информировать регуляторов обо всех серьёзных происшествиях и обновлениях.

Эксперты рекомендуют выделять отдельный бюджет на кибербезопасность, ввести постоянные внутренние проверки (penetration testing) и следить за новыми нормами в рамках расширяющегося пакета NIS2. Конкурентоспособность бизнеса теперь будет зависеть и от того, насколько быстро и эффективно он сумеет внедрить эти перемены.

Главное — проактивность

Ключевая идея реформы — кибербезопасность должна быть не реакцией на инциденты, а стратегическим приоритетом и неотъемлемой частью управления современными компаниями любых размеров и профиля. Чем раньше бизнес начинает действовать в рамках закона, тем выше будет его устойчивость перед новыми цифровыми угрозами.