Varsle om hendelser etter digitalsikkerhetsloven

Virksomheter som omfattes av digitalsikkerhetsloven plikter å varsle om hendelser. Les mer om hvordan og hvilke tidsfrister som gjelder.
Varsle myndighetene

Virksomheter enten de tilbyr samfunnsviktige tjenester eller digitale tjenester skal varsle myndighetene om hendelser som virker betydelig inn på leveransen. Slike hendelser kalles gjerne alvorlige hendelser. Se eksempler på hendelser dere skal varsle om under.  

Tilbyder skal, uten unødig opphold og uten hinder av taushetsplikt, varsle om hendelser som virker betydelig inn på tjenesteleveransen. Loven avgrenser dette til hendelser med negativ virkning på sikkerheten i nettverk og informasjonssystemer. Årsaken til hendelsen er uten betydning. Den er heller ikke avgrenset til cyberdomenet. 

Fyll ut varslingsskjemaet for varsling om alvorlig hendelse etter digitalsikkerhetsloven på nsm.no og send det til postmottak@nsm.no. Merk e-posten med «varsel digitalsikkerhetsloven». Last ned skjemaet for varsel om alvorlig hendelse etter digitalsikkerhetsloven (pdf, nsm.no).

Varslet skal 

  • angi navn på virksomheten og kontaktinformasjon
  • beskrive hvilken tjeneste som er berørt
  • beskrive hva som har skjedd, mulige årsaker og konsekvenser
  • angi antall berørte brukere
  • beskrive om hendelsen har påvirket andre land
Eksempler på hendelser med "betydelig innvirkning"

En hendelse har en betydelig innvirkning hvis den fører til minst én av følgende situasjoner:

  • Tjenesten er utilgjengelig i mer enn fem millioner brukertimer (brukertimer = samlet antall berørte brukere i EU og EØS i en 60-minuttersperiode).
  • Hendelsen fører til tap av integritet, autentisitet eller konfidensialitet for data eller tjenester som berører mer enn 100 000 brukere i EU og EØS.
  • Hendelsen medfører risiko for offentlig orden, offentlig sikkerhet eller tap av menneskeliv.
  • Hendelsen forårsaker materiell skade for minst én bruker i EU eller EØS på over én million euro.

Varslingsplikten gjelder for hendelser som «virker betydelig inn på tjenesteleveransen». Her gjelder grensen virksomheten selv har satt, og i tillegg skal dere legge vekt på

  • hvor mange brukere som kan bli påvirket
  • hvor lenge hendelsen kan vare
  • hvor stort geografiske område som kan bli berørt
Tidsfrister for tilbydere av samfunnsviktige tjenester

Tilbyder skal varsle innen 24 timer etter at tilbyder fikk kjennskap til hendelsen. Tidsfristen bidrar til at relevante myndigheter raskt blir kjent med hendelser, både for å vurdere om det er behov for tiltak og for å identifisere om hendelsen har betydning i et nasjonalt perspektiv.

Dette er fristene dere må forholde dere til:

  • første varsel: innen 24 timer etter at dere oppdaget hendelsen
  • oppdatering til myndighetene: innen 72 timer etter at dere oppdaget hendelsen
  • hendelsesrapport: innen én måned etter dere sendte det første varselet
  • Fristene er absolutte og gjelder også hvis hendelsen skjer hos en samarbeidspartner eller underleverandør.
Publisert 11.11.2025 - 11:33
Sist oppdatert 19.01.2026 - 15:16
Forrige
Introduksjon
Neste
Innmelding av samfunnsviktige tjenester