Alle begreper

Behandlingsansvarlig er virksomheten (eller personen) som avgjør formålet med og midlene for behandlingen av personopplysninger. Det er den behandlingsansvarlige som har hovedansvaret for at personvernreglene følges, og som de registrerte og Datatilsynet holder ansvarlig ved brudd.

Ansvaret kan ikke avtales bort ved å la en leverandør gjøre selve jobben – du forblir ansvarlig for at behandlingen er lovlig.

En databehandler tar ikke selvstendige beslutninger om hvorfor opplysningene skal behandles – den følger oppdraget fra den behandlingsansvarlige. Typiske databehandlere er skyleverandører, regnskapssystemer, e-postverktøy og IT-driftsleverandører.

Databehandleren har egne plikter etter GDPR: tilstrekkelig sikkerhet, ingen bruk av underleverandører uten godkjenning, og bistand ved innsynskrav og brudd. Forholdet skal alltid reguleres i en databehandleravtale.

Når en databehandler setter ut deler av jobben – for eksempel ved å bruke en underliggende skyplattform til drift – blir denne leverandøren en underdatabehandler. Databehandleren kan ikke ta i bruk en underdatabehandler uten forhåndsgodkjenning fra den behandlingsansvarlige, og må binde underdatabehandleren til de samme pliktene.

Dette skaper en kjede av ansvar: den behandlingsansvarlige skal ha oversikt over hele kjeden, ikke bare sin direkte leverandør.

Når flere aktører i fellesskap avgjør hvorfor og hvordan personopplysninger skal behandles, er de felles behandlingsansvarlige. De må inngå en avtale som tydelig fordeler ansvaret mellom seg – særlig hvem som svarer på de registrertes henvendelser.

De registrerte kan uansett gjøre rettighetene sine gjeldende overfor hvem som helst av partene.

Personvernombudet gir råd, kontrollerer etterlevelse og er kontaktpunkt mot Datatilsynet og de registrerte. Rollen er obligatorisk for offentlige myndigheter og for virksomheter som driver storskala overvåking eller behandler særlige kategorier i stor skala.

Ombudet skal være uavhengig, ikke instrueres i utførelsen av oppgavene, og ikke ha en rolle som skaper interessekonflikt.

Den registrerte er personen i sentrum av personvernet – kunden, den ansatte, brukeren eller pasienten. Det er den registrertes rettigheter (innsyn, retting, sletting m.m.) hele regelverket er bygget for å beskytte.

Bare levende, fysiske personer kan være registrerte; virksomheter og avdøde omfattes ikke.

I Norge er dette Datatilsynet. Tilsynet veileder, behandler klager, gjennomfører tilsyn og kan ilegge overtredelsesgebyr på inntil 20 millioner euro eller 4 % av global årsomsetning. Det er også hit brudd på personopplysningssikkerheten meldes.

Den enkelte har alltid rett til å klage til tilsynsmyndigheten dersom de mener personvernet er krenket.

Begrepet er bredt. Det dekker det åpenbare som navn, fødselsnummer, e-postadresse og bilde – men også indirekte identifikatorer som IP-adresse, lokasjonsdata, enhets-ID og kundenummer, så lenge de kan knyttes til en person direkte eller i kombinasjon med andre opplysninger.

Opplysninger om døde personer eller om virksomheter regnes i utgangspunktet ikke som personopplysninger. Anonymiserte data faller også utenfor – men kun hvis det er reelt umulig å identifisere personen igjen.

Dette omfatter opplysninger om helse, etnisk opprinnelse, religiøs eller politisk overbevisning, fagforeningsmedlemskap, seksuell legning, genetiske data og biometriske data brukt til entydig identifikasjon. Fordi misbruk kan ramme den enkelte spesielt hardt, krever GDPR både et alminnelig behandlingsgrunnlag og et særskilt unntak i artikkel 9 nr. 2.

I praksis betyr det strengere krav til samtykke, sikkerhet og dokumentasjon. Behandling av slike data utløser også oftere krav om personvernkonsekvensvurdering (DPIA).

«Behandling» er et samlebegrep for alt man gjør med personopplysninger: innsamling, registrering, lagring, endring, bruk, utlevering, sammenstilling, sperring og sletting. Også ren lagring uten aktiv bruk regnes som behandling.

Det betyr at GDPR slår inn i det øyeblikket opplysninger samles inn, ikke først når de «brukes».

Profilering bruker personopplysninger til å analysere eller forutsi forhold som arbeidsytelse, økonomi, helse, preferanser, atferd eller bevegelser. Det er lov, men utløser informasjonsplikt og krav om at den registrerte forstår logikken bak.

Profilering som inngår i en helautomatisk avgjørelse med betydelig virkning er underlagt de strengere reglene i artikkel 22.

Når en avgjørelse tas helt uten menneskelig vurdering og får stor betydning for personen, har den registrerte som hovedregel rett til å slippe å være underlagt den. Det finnes unntak (avtale, lov eller uttrykkelig samtykke), men da må det innføres garantier – blant annet rett til menneskelig inngripen og til å bestride avgjørelsen.

Dette er et av de mest aktuelle GDPR-temaene i møte med KI-baserte beslutningssystemer.

Ved pseudonymisering byttes direkte identifikatorer ut med en nøkkel eller kode, mens koblingen mellom kode og person lagres separat og sikret. Dataene er fortsatt personopplysninger og omfattet av GDPR, men risikoen reduseres betydelig.

GDPR fremhever pseudonymisering som et anbefalt sikkerhetstiltak og som et virkemiddel for innebygd personvern.

Til forskjell fra pseudonymisering er anonymisering uopprettelig: det skal ikke være mulig å identifisere personen igjen, verken direkte eller ved å kombinere med andre data. Først da regnes opplysningene ikke lenger som personopplysninger.

Reell anonymisering er vanskelig å oppnå i praksis, fordi rike datasett ofte kan re-identifiseres ved sammenstilling.

Et gyldig samtykke krever en aktiv handling – forhåndsutfylte avkrysningsbokser teller ikke. Samtykket må kunne dokumenteres, og det skal være like enkelt å trekke det tilbake som å gi det. Samtykke er ofte upraktisk som behandlingsgrunnlag nettopp fordi det kan trekkes når som helst.

Hvis det er ubalanse mellom partene – som mellom arbeidsgiver og ansatt – er samtykke sjelden «frivillig» nok til å være gyldig.

Prinsippet sier at innsamlingen skal være adekvat, relevant og begrenset til det nødvendige. Det er fristende å samle inn «alt som kan være nyttig en gang», men det er i strid med GDPR – mer data betyr mer ansvar og større risiko.

Spørsmålet du alltid bør stille er: trenger vi virkelig dette feltet for å oppnå formålet?

Formålet skal være fastsatt, uttrykkelig angitt og legitimt før innsamlingen starter. Opplysninger som er samlet inn til ett formål kan ikke uten videre gjenbrukes til et nytt og uforenlig formål.

Dette beskytter mot «funksjonskryp», der data sakte tas i bruk til stadig nye ting brukeren aldri var med på.

Når formålet er oppfylt, skal opplysningene slettes eller anonymiseres – med mindre annen lovgivning krever lengre oppbevaring (for eksempel bokføringsloven). Virksomheten bør ha en sletterutine med definerte lagringstider for hver type data.

«Vi beholder det for sikkerhets skyld» er ikke et gyldig grunnlag for evig lagring.

Ansvarlighet snur bevisbyrden: det er virksomheten som må vise at den etterlever GDPR, ikke tilsynet som må bevise det motsatte. I praksis betyr det dokumentasjon – behandlingsprotokoll, retningslinjer, risikovurderinger, databehandleravtaler og opplæring.

Uten dokumentasjon hjelper det lite at man «egentlig» gjør ting riktig.

«By design» betyr at personvern tas hensyn til allerede når en løsning utvikles, ikke som et tillegg etterpå. «By default» betyr at brukeren ikke skal måtte aktivt skru på personvernet – det skal være på som utgangspunkt.

Tiltak som dataminimering, pseudonymisering og strenge standardvalg er typiske virkemidler.

All behandling må hvile på minst ett av de seks grunnlagene i artikkel 6: samtykke, oppfyllelse av avtale, rettslig forpliktelse, vitale interesser, allmennhetens interesse eller berettiget interesse. Grunnlaget må være valgt før behandlingen starter, og kan ikke byttes ut underveis for samme formål.

Mange tror «samtykke» alltid er riktig grunnlag, men for et kundeforhold er «oppfyllelse av avtale» som regel et bedre og mer robust grunnlag.

Berettiget interesse krever en interesseavveining i tre trinn: er interessen legitim, er behandlingen nødvendig for den, og veier den tyngre enn personens interesser og forventninger? Avveiningen skal dokumenteres (LIA – legitimate interest assessment).

Grunnlaget kan ikke brukes av offentlige myndigheter i utøvelsen av oppgavene sine, og den registrerte har alltid rett til å protestere.

Når du lar en leverandør behandle personopplysninger for deg, krever GDPR en databehandleravtale. Den skal fastsette formål og varighet, hvilke typer opplysninger som behandles, sikkerhetskrav, bruk av underleverandører, bistand ved innsyn og brudd, samt sletting eller tilbakelevering når oppdraget avsluttes.

En signert avtale er ikke nok i seg selv – innholdet må stemme med hvordan behandlingen faktisk foregår.

Behandlingsprotokollen dokumenterer hva slags opplysninger som behandles, til hvilke formål, hvem de deles med, lagringstider og sikkerhetstiltak. Den er selve grunnmuren i å vise ansvarlighet og som regel det første Datatilsynet ber om.

Plikten gjelder i praksis nesten alle virksomheter, til tross for unntaket for de aller minste.

En DPIA kartlegger hva behandlingen innebærer, vurderer nødvendighet og forholdsmessighet, identifiserer risikoer for de registrerte og fastsetter tiltak for å redusere dem. Den er påkrevd ved blant annet systematisk overvåking, storskala behandling av særlige kategorier, og automatiserte avgjørelser med rettsvirkning.

Vurderingen skal gjøres før behandlingen starter. Hvis risikoen forblir høy etter tiltak, må den behandlingsansvarlige rådføre seg med Datatilsynet før oppstart.

Den registrerte kan be om bekreftelse på om opplysninger behandles, og i så fall få innsyn i blant annet formål, kategorier, mottakere og lagringstid – samt en kopi av selve opplysningene. Svaret skal gis uten ugrunnet opphold og senest innen én måned, og som hovedregel gratis.

Innsynsretten er ofte den første rettigheten en virksomhet møter i praksis, og en god rutine for håndtering er viktig.

Hvis opplysningene en virksomhet har om en person er feil eller mangelfulle, kan personen kreve at de rettes eller suppleres. Virksomheten må også, der det er aktuelt, informere mottakere som har fått de uriktige opplysningene.

Riktige data er ikke bare en rettighet, men også et eget GDPR-prinsipp (riktighet).

Den registrerte kan kreve sletting blant annet når opplysningene ikke lenger er nødvendige, samtykket trekkes tilbake, eller behandlingen er ulovlig. Retten er ikke absolutt – den viker for eksempel der lov krever oppbevaring, eller ved ytrings- og informasjonsfrihet.

For en virksomhet er det viktig å kunne skille mellom det som kan og det som må beholdes.

Retten gjelder opplysninger personen selv har gitt fra seg, der behandlingen bygger på samtykke eller avtale og skjer automatisert. Formålet er å hindre innlåsing hos én leverandør og styrke konkurransen.

Der det er teknisk mulig, kan personen kreve at dataene overføres direkte fra en tjeneste til en annen.

Når behandlingen bygger på berettiget interesse eller allmennhetens interesse, kan den registrerte protestere ut fra sin særlige situasjon, og virksomheten må da stanse med mindre den har tungtveiende grunner. Mot direkte markedsføring er retten absolutt: behandlingen skal stanse umiddelbart.

Virksomheten må informere tydelig om denne retten senest ved første kontakt.

Begrepet er bredere enn «hacking». Det dekker også tapt minnepinne, e-post sendt til feil mottaker, feilkonfigurert tilgang eller utro tjener. Ved et brudd skal den behandlingsansvarlige som hovedregel melde fra til Datatilsynet uten ugrunnet opphold og senest innen 72 timer, med mindre bruddet neppe medfører risiko for de registrerte.

Medfører bruddet sannsynligvis høy risiko for personene, må også de berørte varsles direkte. Alle brudd skal dokumenteres internt – også de som ikke meldes.

Personopplysninger kan bare overføres ut av EØS dersom mottakerlandet gir et tilstrekkelig vernenivå. Grunnlaget kan være en adekvansbeslutning, standard personvernbestemmelser (SCC), bindende virksomhetsregler eller særskilte unntak. Etter Schrems II må man også vurdere om landets myndigheter kan undergrave vernet.

Bruk av amerikanske skytjenester gjør dette til en svært praktisk problemstilling for norske virksomheter.

SCC er ferdig formulerte kontraktsvilkår vedtatt av EU-kommisjonen, som partene tar inn i avtalen uten å endre kjernen. De forplikter mottakeren til å verne opplysningene etter europeisk standard. Etter Schrems II må man i tillegg gjøre en vurdering av om vilkårene faktisk kan etterleves i mottakerlandet, og eventuelt legge til tilleggstiltak.

SCC er det mest brukte grunnlaget når en adekvansbeslutning ikke dekker overføringen.

DPF er EU-kommisjonens beslutning fra 2023 om at USA gir tilstrekkelig vern for personopplysninger som overføres til amerikanske virksomheter som har sertifisert seg under ordningen. Overføring til en DPF-sertifisert mottaker krever da ikke ytterligere grunnlag som SCC.

Ordningen er omstridt og kan utfordres rettslig (en mulig «Schrems III»), så virksomheter bør følge med på utviklingen og vurdere reserveløsninger.

NIS1 fra 2016 var EUs første felles regelverk for cybersikkerhet. Det stilte krav til tilbydere av samfunnsviktige tjenester (som energi, transport, helse og bank) og til enkelte digitale tjenester.

I Norge er NIS1 gjennomført gjennom digitalsikkerhetsloven, som trådte i kraft 1. oktober 2025. Det er altså denne loven – ikke direktivet direkte – du forholder deg til i norsk rett i dag.

NIS2 fra 2022 erstatter NIS1 i EU og utvider regelverket betydelig: flere sektorer omfattes, kravene til risikostyring og hendelsesrapportering skjerpes, og ledelsen får et tydelig personlig ansvar.

NIS2 er foreløpig ikke norsk lov. Direktivet må først tas inn i EØS-avtalen, og per juni 2026 er det ikke fastsatt en endelig ikrafttredelsesdato i Norge. NSM har varslet en ny lov som vil gjennomføre NIS2 og CER, og som vil erstatte digitalsikkerhetsloven.

Digitalsikkerhetsloven (lov 2023-12-20-108) er det gjeldende norske regelverket for digital sikkerhet i samfunnsviktige og digitale tjenester. De overordnede pliktene står i loven, mens de konkrete kravene er fastsatt i forskrift.

Loven gjennomfører NIS1. Når NIS2 og CER en gang tas inn i EØS-avtalen, er det varslet at digitalsikkerhetsloven vil bli erstattet av en ny lov. Inntil da er det denne loven som gjelder.

CER-direktivet handler om fysisk og organisatorisk robusthet hos kritiske enheter, mens NIS2 dekker den digitale siden. De to henger tett sammen og innføres i EU som en pakke.

I Norge er CER, som NIS2, ikke gjennomført ennå. Den varslede nye loven er ventet å gjennomføre begge direktivene samlet.

Norge er ikke EU-medlem, men EØS-medlem. EU-direktiver blir ikke automatisk norsk rett – de må først tas inn i EØS-avtalen og deretter gjennomføres i nasjonal lovgivning.

For NIS2 og CER er denne innlemmelsen ikke fullført per juni 2026. Det er derfor heller ikke satt en endelig dato for når reglene trer i kraft i Norge. Følg med på NSM og regjeringen for oppdatert status.

Dette er kjernen i NIS1 slik den er gjennomført i Norge. Det gjelder tilbydere i sektorer som energi, transport, helse, vannforsyning, bank og finansiell markedsinfrastruktur, samt digital infrastruktur.

Slike tilbydere må oppfylle sikkerhetskravene i § 7 og varsle hendelser etter § 8. Hvem som regnes som tilbyder fastsettes nærmere i forskrift.

Digitale tjenester er en egen, mer avgrenset kategori under NIS1. Den dekker tre tjenestetyper: nettbaserte markedsplasser, søkemotorer og skytjenester.

Disse tilbyderne har noe lempeligere krav enn samfunnsviktige tjenester, men må fortsatt ivareta sikkerhet (§ 10) og varsle vesentlige hendelser (§ 11). Svært små virksomheter er i utgangspunktet unntatt.

NIS2 deler virksomheter i to: vesentlige og viktige. Vesentlige virksomheter er de mest kritiske (typisk store aktører i sektorer som energi, helse, transport, bank og digital infrastruktur) og underlegges proaktivt tilsyn.

Kategorien finnes ikke i dagens digitalsikkerhetslov – den kommer først når NIS2 gjennomføres i norsk rett.

Viktige virksomheter omfattes av de samme grunnleggende kravene som vesentlige, men tilsynet er reaktivt: myndighetene griper inn først ved mistanke om brudd, ikke løpende.

Mange mellomstore virksomheter i de utvidede NIS2-sektorene vil havne i denne kategorien. Skillet får betydning for tilsynsintensitet og gebyrnivå.

NSM koordinerer arbeidet med digital sikkerhet i Norge, drifter det nasjonale responsmiljøet (NCSC/CSIRT) og bistår sektormyndighetene. NSM har også varslet og forberedt den nye loven som skal gjennomføre NIS2 og CER.

Tilsynet med digitalsikkerhetsloven er fordelt på sektormyndigheter, men NSM har en samordnende og rådgivende rolle på tvers.

Tilsynet i Norge er sektorbasert: den myndigheten som ellers regulerer en sektor, fører som regel også tilsyn med digital sikkerhet der. Tilsynet kan gi pålegg og ilegge administrative reaksjoner.

Under NIS2 skjerpes tilsynet, med tydeligere skille mellom proaktivt tilsyn (vesentlige) og reaktivt tilsyn (viktige) og høyere gebyrtak.

Et CSIRT (også kalt CERT) tar imot varsler, analyserer trusler og bistår virksomheter under og etter hendelser. I Norge fyller NSM/NCSC denne rollen nasjonalt.

Både NIS1 og NIS2 forutsetter at hver stat har et velfungerende CSIRT. NIS2 stiller tydeligere krav til samarbeid og informasjonsdeling mellom landenes responsmiljøer.

Loven retter seg mot tjenester der bortfall får store konsekvenser for samfunnet – innen energi, transport, helse, vannforsyning, bank, finansiell markedsinfrastruktur og digital infrastruktur.

Hvilke konkrete tjenester og terskler som gjelder, er presisert i forskrift. Det er leveransen av selve tjenesten, ikke bransjen generelt, som er avgjørende.

Digitale tjenester er presist avgrenset til tre typer: nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. Kategorien er smalere enn samfunnsviktige tjenester.

Under NIS2 utvides og omklassifiseres digital infrastruktur og IKT-tjenester, slik at flere typer leverandører omfattes enn i dag.

NIS2 deler sektorer i «svært kritiske» (vedlegg I) og «andre kritiske» (vedlegg II). I tillegg til NIS1-sektorene kommer blant annet avløp, avfallshåndtering, post- og kurértjenester, næringsmidler, produksjon, kjemikalier, romvirksomhet og offentlig forvaltning.

Denne utvidelsen er en av de største endringene fra NIS1 til NIS2, og er hovedgrunnen til at mange flere norske virksomheter vil bli omfattet når regelverket gjennomføres.

NIS2 bruker en størrelsesregel: virksomheten omfattes vanligvis hvis den har minst 50 ansatte eller mer enn 10 millioner euro i omsetning/balanse. Mindre virksomheter faller i utgangspunktet utenfor.

Det finnes viktige unntak – enkelte aktører omfattes uansett størrelse fordi de er kritiske (for eksempel deler av digital infrastruktur og offentlig forvaltning).

Digitalsikkerhetsloven krever at tilbydere gjennomfører tiltak som står i forhold til risikoen, for å forebygge og håndtere hendelser. Kravene er funksjonelle – de sier hva som skal oppnås, ikke nøyaktig hvordan.

De konkrete kravene utdypes i forskrift. Under NIS2 erstattes og utvides dette av en mer detaljert liste over risikostyringstiltak.

NIS2 artikkel 21 lister konkrete tiltak: risikoanalyse og sikkerhetspolicy, hendelseshåndtering, kontinuitet og sikkerhetskopiering, forsyningskjedesikkerhet, sikkerhet i anskaffelse og utvikling, kryptografi, tilgangskontroll, og opplæring.

Dette er mer presist enn dagens funksjonelle sikkerhetskrav, og innebærer at mange virksomheter må dokumentere tiltakene grundigere enn i dag.

NIS2 løfter cybersikkerhet til styrenivå. Ledelsen må godkjenne risikostyringstiltakene, føre tilsyn med gjennomføringen og gjennomgå opplæring. Ansvaret kan ikke fullt ut delegeres bort.

Dette er en markant endring fra NIS1: ledelsen kan holdes personlig ansvarlig, og manglende oppfølging kan få konsekvenser for den enkelte leder.

NIS2 krever at virksomheter tar hensyn til sårbarheter hos sine direkte leverandører og tjenesteytere, og til kvaliteten på deres sikkerhetsarbeid. Forsyningskjedeangrep er en hovedbegrunnelse for regelen.

I praksis betyr det leverandørkartlegging, sikkerhetskrav i avtaler og løpende oppfølging – noe som ligner sterkt på god tredjeparts-risikostyring etter andre rammeverk.

NIS2 forutsetter at omfattede virksomheter melder seg inn og oppgir nøkkelopplysninger, slik at myndighetene har oversikt over hvem som er underlagt regelverket. Dette gjør tilsyn og varsling mer effektivt.

Hvordan registreringen konkret skal skje i Norge, avklares ved den nasjonale gjennomføringen av NIS2.

Tilbydere av digitale tjenester som tilbyr tjenester i Norge, men ikke er etablert her, kan måtte utpeke en representant i landet. Representanten er kontaktpunkt overfor norske myndigheter.

Regelen sikrer at også grenseoverskridende tjenester kan følges opp av norsk tilsyn.

Digitalsikkerhetsloven åpner for at IKT-produkter, -tjenester og -prosesser kan sertifiseres etter EUs cybersikkerhetssertifiseringsrammeverk. Sertifisering kan gjøre det enklere å dokumentere at sikkerhetskrav er oppfylt.

Sertifisering er i utgangspunktet frivillig, men kan bli stilt som krav i enkelte sammenhenger.

Begrepet dekker mer enn vellykkede angrep: enhver hendelse som går ut over tilgjengelighet, integritet eller konfidensialitet i systemene kan regnes som en sikkerhetshendelse. Definisjonen står i § 4.

Det er konsekvensen for tjenesten som er avgjørende, ikke om det dreier seg om et bevisst angrep, en feil eller et uhell.

Tilbydere av samfunnsviktige tjenester (§ 8) og digitale tjenester (§ 11) skal uten ugrunnet opphold varsle om hendelser som har betydelig innvirkning på leveransen. Formålet er rask respons og læring på tvers.

Under NIS2 blir varslingsreglene mer detaljerte, med konkrete frister og flere trinn i rapporteringen.

Under NIS2 må «vesentlige» hendelser varsles. En hendelse er vesentlig blant annet hvis den har forårsaket eller kan forårsake alvorlige driftsforstyrrelser eller økonomisk tap, eller har rammet andre gjennom betydelig skade.

Terskelen avgjør hva som må rapporteres, og henger sammen med de strenge varslingsfristene i NIS2.

NIS2 innfører en trinnvis varsling: en tidlig forhåndsvarsel innen 24 timer, en mer utfyllende hendelsesmelding innen 72 timer, og en sluttrapport senest innen én måned.

Dette er strengere og mer presist enn dagens norske regler, og krever at virksomheten har en innøvd varslingsrutine før en hendelse inntreffer.

KI-forordningen er verdens første brede regelverk for kunstig intelligens. Den deler KI-systemer inn etter risiko og stiller strengere krav jo høyere risikoen er. I EU trådte den i kraft 1. august 2024 og fases inn gradvis frem mot 2027.

I Norge er forordningen ennå ikke i kraft. Den er EØS-relevant og skal gjennomføres gjennom en egen norsk KI-lov ved inkorporasjon. Loven er ventet å tre i kraft sensommeren 2026. Inntil da viser vi til selve forordningen og til norsk veiledning.

Definisjonen er bevisst teknologinøytral og bred. Et KI-system kjennetegnes ved at det utleder (inferens) fra inndata hvordan det skal produsere utdata som prediksjoner, innhold, anbefalinger eller beslutninger – med en viss autonomi og mulig tilpasningsevne.

Definisjonen avgjør om noe i det hele tatt omfattes av forordningen. Enkel, regelstyrt programvare uten læring eller inferens faller normalt utenfor.

Forordningen sorterer KI i fire nivåer: uakseptabel risiko (forbudt), høy risiko (strenge krav), begrenset risiko (transparensplikt) og minimal risiko (ingen særkrav). Jo større fare for helse, sikkerhet og grunnleggende rettigheter, desto strengere regler.

Tilnærmingen gjør at de fleste hverdagslige KI-systemer treffes lite, mens de mest inngripende reguleres hardt eller forbys.

Som forordning gjelder AI Act direkte i EU, men ikke automatisk i Norge. Den må først tas inn i EØS-avtalen og gjennomføres i norsk rett. Regjeringen har valgt gjennomføring ved inkorporasjon – en henvisning som gjør forordningen til norsk lov.

Et lovutkast var på høring med frist 30. september 2025, og målet er ikrafttredelse sensommeren 2026. Nkom er utpekt som nasjonal koordinerende tilsynsmyndighet, og «KI-Norge» etableres som nasjonal arena.

GPAI-modeller (general-purpose AI) er grunnmodellene bak mange tjenester – for eksempel store språkmodeller. Forordningen stiller egne krav til leverandører av slike modeller, blant annet teknisk dokumentasjon, informasjon til de som bygger videre på modellen, og etterlevelse av opphavsrett i treningsdata.

Modeller som utgjør «systemisk risiko» får strengere krav. GPAI-reglene gjelder i EU fra august 2025.

Øverst i risikopyramiden ligger praksis som er helt forbudt fordi den truer menneskers rettigheter og verdighet. Dette omfatter blant annet sosial skåring, visse former for biometrisk overvåking og manipulerende systemer.

Forbudene er den delen av forordningen som gjelder først – i EU fra 2. februar 2025.

Høyrisiko-systemer er tillatt, men underlagt strenge krav. To hovedgrupper: KI som er en sikkerhetskomponent i et regulert produkt, og KI brukt på utpekte områder i vedlegg III – blant annet ansettelse, utdanning, kredittvurdering, kritisk infrastruktur og rettshåndhevelse.

Disse systemene må blant annet ha risikostyring, datakvalitet, teknisk dokumentasjon, menneskelig tilsyn og samsvarsvurdering før de tas i bruk. Kravene gjelder i EU hovedsakelig fra august 2026.

For systemer med begrenset risiko er hovedkravet åpenhet. Folk skal vite at de snakker med en chatbot, og KI-generert eller -manipulert innhold skal merkes. Hensikten er å hindre villedning.

Utover transparenskravene stilles det ikke de samme tunge pliktene som for høyrisiko.

Mesteparten av KI i bruk i dag – spamfiltre, anbefalingsmotorer for underholdning, KI i dataspill – regnes som minimal risiko. Her stiller forordningen i utgangspunktet ingen særskilte plikter.

Virksomheter oppfordres likevel til frivillig å følge god praksis og etiske retningslinjer.

Leverandøren bærer hovedtyngden av pliktene i forordningen. Det er leverandøren som må sørge for at et høyrisiko-system oppfyller kravene, gjennomføre samsvarsvurdering, utarbeide dokumentasjon og CE-merke systemet.

Merk: også den som vesentlig endrer eller setter sitt eget navn på et eksisterende system, kan bli regnet som leverandør.

Ibruktakeren – tidligere ofte kalt «bruker» i forordningssammenheng – er virksomheten som anvender systemet. For høyrisiko-systemer har ibruktaker egne plikter: følge bruksanvisningen, sikre menneskelig tilsyn, overvåke driften og oppbevare logger.

I noen tilfeller må ibruktaker også gjennomføre en vurdering av konsekvenser for grunnleggende rettigheter.

En importør bringer et KI-system fra en leverandør utenfor EØS inn på markedet, mens en distributør gjør et system tilgjengelig videre i kjeden. Begge må kontrollere at systemet er CE-merket og har nødvendig dokumentasjon.

De fungerer som et kontrolledd: oppdager de at et system ikke er i samsvar, må de avstå fra å gjøre det tilgjengelig og varsle videre.

Forordningen verner ikke bare markedet, men menneskene som rammes av KI. Berørte personer har blant annet rett til informasjon når de er underlagt et høyrisiko-system, og rett til en forklaring på avgjørelser som påvirker dem vesentlig.

Dette henger tett sammen med rettighetene i personvernregelverket (GDPR), særlig ved automatiserte avgjørelser.

Forordningen forbyr at offentlige eller private aktører gir personer en sosial «skår» basert på atferd eller personlige egenskaper, når dette fører til ufordelaktig behandling i sammenhenger uten saklig forbindelse, eller til uforholdsmessig straff.

Forbudet retter seg mot den typen altomfattende borgerskåring som undergraver likebehandling og verdighet.

Sanntids biometrisk fjernidentifikasjon (typisk ansiktsgjenkjenning) i offentlig tilgjengelige rom for rettshåndhevelse er som hovedregel forbudt, med svært snevre unntak (for eksempel søk etter ofre for alvorlig kriminalitet) underlagt strenge vilkår og forhåndsgodkjenning.

Etterfølgende (ikke-sanntids) biometrisk identifikasjon og annen biometrisk bruk er ofte høyrisiko snarere enn forbudt.

Forordningen forbyr KI-systemer som benytter subliminale, manipulerende eller villedende teknikker for å vesentlig forvrenge folks atferd på en måte som påfører dem, eller andre, betydelig skade.

Det avgjørende er at teknikken undergraver evnen til å ta informerte valg og fører til skade.

Det er forbudt å bruke KI som utnytter sårbarheter hos bestemte grupper – for eksempel barn, eldre eller personer i en vanskelig økonomisk situasjon – for å vesentlig vri atferden deres på en skadelig måte.

Bestemmelsen verner særlig de som lettest lar seg påvirke.

Bruk av KI for å gjenkjenne følelser på arbeidsplassen og i utdanningsinstitusjoner er som hovedregel forbudt, med unntak for medisinske eller sikkerhetsmessige formål. Slike systemer regnes som inngripende og lite pålitelige.

Utenfor disse arenaene kan emosjonsgjenkjenning være tillatt, men er da ofte underlagt transparens- eller høyrisikokrav.

Forordningen forbyr KI-systemer som vurderer eller forutsier risikoen for at en person vil begå en straffbar handling, når dette utelukkende bygger på profilering eller personlighetstrekk.

Forbudet skal hindre at folk mistenkeliggjøres på grunnlag av hvem de er, ikke hva de har gjort.

Før et høyrisiko-system bringes på markedet, må det gjennom en samsvarsvurdering som viser at alle kravene er oppfylt. For noen systemer kan leverandøren vurdere selv (intern kontroll); for andre kreves et utpekt teknisk kontrollorgan.

Resultatet er en samsvarserklæring og grunnlaget for CE-merking. Vesentlige endringer kan utløse ny vurdering.

Høyrisiko-systemer må ha et dokumentert risikostyringssystem som løper gjennom hele livsløpet – ikke en engangsøvelse. Det skal kartlegge kjente og forutsigbare risikoer, vurdere dem og iverksette tiltak, og testes opp mot fastsatte formål.

Systemet ligner på risikostyring etter ISO-rammeverk, men er spisset mot helse, sikkerhet og grunnleggende rettigheter.

Trenings-, validerings- og testdata for høyrisiko-systemer må være relevante, representative og så langt som mulig feilfrie og fullstendige. Leverandøren må vurdere mulige skjevheter (bias) som kan føre til diskriminering.

God datastyring er ofte avgjørende for både rettssikkerhet og ytelse, og henger tett sammen med personvernreglene når dataene er personopplysninger.

Leverandøren må utarbeide og holde oppdatert teknisk dokumentasjon som beskriver systemets formål, design, data, ytelse og risikohåndtering. Dokumentasjonen skal være detaljert nok til at myndighetene kan vurdere samsvar.

Den er en forutsetning for samsvarsvurderingen og må kunne fremlegges ved tilsyn.

Høyrisiko-systemer skal utformes slik at mennesker kan forstå, overvåke og om nødvendig overstyre dem. Det inkluderer mulighet til å gripe inn, stanse systemet og unngå blind tillit til resultatene (automatiseringsskjevhet).

Menneskelig tilsyn er et av de viktigste vernene mot at automatiserte avgjørelser får uforholdsmessige konsekvenser.

Når samsvarsvurderingen er bestått, påfører leverandøren CE-merket. Det signaliserer til marked og myndigheter at systemet oppfyller kravene og lovlig kan gjøres tilgjengelig i EØS.

CE-merking kjenner mange fra produktsikkerhet; for KI er det det synlige beviset på gjennomført samsvarsvurdering.

Forordningen oppretter en EU-database hvor leverandører (og enkelte ibruktakere) registrerer høyrisiko-systemer. Registeret skal gi åpenhet og gjøre det mulig for myndigheter og publikum å se hvilke systemer som er i bruk.

Registreringen skjer som hovedregel før systemet bringes på markedet eller tas i bruk.

Leverandører av generativ KI må sørge for at utdata er maskinlesbart merket som kunstig generert. Den som publiserer KI-generert eller -manipulert innhold må også informere om det, særlig når innholdet kan villede.

Formålet er å motvirke desinformasjon og bevare tilliten til informasjon.

En deepfake er realistisk innhold som er kunstig laget eller endret. Den som sprer slikt innhold må som hovedregel opplyse tydelig om at det er kunstig, med visse unntak for åpenbar kunst, satire og lignende.

Merkeplikten er et sentralt transparenskrav rettet mot manipulert media.

Når en person interagerer med et KI-system som en chatbot, skal det være tydelig at motparten er kunstig – med mindre det er åpenbart ut fra sammenhengen. Dette gir folk mulighet til å tilpasse tilliten sin.

Kravet gjelder uavhengig av om systemet ellers er lav- eller høyrisiko.

De mest kapable GPAI-modellene kan utgjøre «systemisk risiko» – for eksempel gjennom storskala påvirkning, misbrukspotensial eller uforutsette evner. Slike modeller får skjerpede krav, blant annet modellvurdering, risikoreduksjon, hendelsesrapportering og cybersikkerhet.

Terskelen knyttes blant annet til modellens beregningskraft og kapabilitet.

AI Office i EU-kommisjonen har en sentral rolle, særlig for GPAI-modeller, og bidrar til ensartet anvendelse av forordningen i hele EU. Det utvikler veiledning, praksiskodekser og koordinerer med nasjonale myndigheter.

For norske virksomheter er AI Office relevant fordi det former hvordan reglene tolkes, selv om den daglige håndhevingen i Norge ligger hos nasjonale myndigheter.

Regjeringen har besluttet at Nasjonal kommunikasjonsmyndighet (Nkom) skal være nasjonal koordinerende tilsynsmyndighet for KI. Sektormyndigheter (som Datatilsynet og Helsedirektoratet) vil ha roller på sine områder.

I tillegg etableres «KI-Norge» som en nasjonal arena for ansvarlig og innovativ KI-bruk. Strukturen trer i kraft sammen med den norske KI-loven.

Forordningen pålegger statene å opprette regulatoriske sandkasser der KI kan utvikles og testes under tilsyn før lansering. Det senker risikoen og terskelen for ansvarlig innovasjon, særlig for mindre aktører.

Norge har allerede erfaring her: Datatilsynets sandkasse for kunstig intelligens har siden 2020 gitt veiledning om personvern i KI-prosjekter.

Forordningen har et trappet gebyrsystem. Brudd på forbudene (uakseptabel risiko) kan gi gebyr på inntil 35 millioner euro eller 7 % av global årsomsetning. Andre brudd har lavere, men fortsatt betydelige, tak.

Nivået understreker at etterlevelse ikke er valgfritt. For norske virksomheter aktiveres gebyrene når den norske KI-loven trer i kraft.

DORA samler og skjerper kravene til IKT-sikkerhet for finansforetak i Europa. Målet er at hele finanssystemet skal tåle, håndtere og komme seg etter IKT-hendelser. Forordningen dekker risikostyring, hendelsesrapportering, testing, tredjepartsrisiko og tilsyn.

DORA trådte i kraft i EU 17. januar 2025 og ble innlemmet i EØS-avtalen kort etter. I Norge er den gjeldende rett gjennom DORA-loven og DORA-forskriften.

DORA er gjennomført i norsk rett ved inkorporasjon: DORA-loven (lov 2025-05-27-18) gjør forordningen til norsk lov gjennom en henvisning, og utfyllende regler ligger i DORA-forskriften. Begge trådte i kraft 1. juli 2025.

Finanstilsynet har deretter tatt inn nivå 2-regelverk (tekniske reguleringsstandarder) i forskriften – senest i januar 2026. Det er altså denne loven og forskriften, sammen med selve forordningen, du forholder deg til i Norge.

DORA gjelder svært bredt: banker, kredittforetak, betalings- og e-pengeforetak, verdipapirforetak, forsikrings- og pensjonsforetak, forvaltningsselskaper, markedsplasser, kredittvurderingsbyråer og flere. Også enkelte IKT-tredjepartsleverandører trekkes inn gjennom tilsynsrammeverket.

Hvor omfattende kravene blir, avhenger av foretakets størrelse og risiko (proporsjonalitet).

DORA skal anvendes forholdsmessig. Et lite foretak med enkel IKT-bruk skal ikke pålegges like omfattende tiltak som en stor, kompleks aktør. Prinsippet går igjen i hele regelverket.

For de minste foretakene finnes et eget forenklet IKT-risikostyringsrammeverk.

IKT-risiko omfatter alt fra cyberangrep og systemfeil til menneskelige feil og leverandørsvikt som kan gå ut over tilgjengelighet, integritet eller konfidensialitet. DORA gjør håndtering av denne risikoen til en kjerneoppgave for finansforetak.

Begrepet er bredt og dekker både tekniske og organisatoriske årsaker.

Hjertet i DORA. Foretaket må ha et dokumentert rammeverk med strategier, retningslinjer, prosedyrer og verktøy for å beskytte alle IKT-ressurser, oppdage trusler, respondere og gjenopprette. Rammeverket skal gjennomgås minst årlig.

Det skal være integrert i foretakets samlede risikostyring og forankret i ledelsen.

DORA legger ansvaret tydelig på ledelsesorganet: det skal godkjenne og følge opp IKT-risikostrategien, sette av ressurser og holde seg oppdatert gjennom opplæring. Ansvaret kan ikke skyves ned i IT-avdelingen.

Dette speiler utviklingen i annet regelverk (som NIS2), der cybersikkerhet løftes til styrenivå.

Visse små foretak kan følge et forenklet IKT-risikostyringsrammeverk med færre formelle krav, som et utslag av proporsjonalitetsprinsippet. De grunnleggende pliktene består, men omfanget er tilpasset.

Finanstilsynet har laget veiledning og informasjonsmateriell om det forenklede rammeverket.

Foretaket må ha planer som sikrer at kritiske funksjoner kan opprettholdes og gjenopprettes raskt etter en hendelse. Det omfatter sikkerhetskopiering, gjenopprettingsprosedyrer og regelmessig testing av planene.

Målet er at en alvorlig hendelse ikke skal sette foretaket – eller finanssystemet – ut av spill.

En IKT-hendelse er en enkelthendelse eller serie hendelser som kompromitterer sikkerheten og påvirker tilgjengelighet, autentisitet, integritet eller konfidensialitet. Begrepet dekker både angrep og driftsfeil.

Hendelser skal håndteres i en strukturert prosess og klassifiseres etter alvorlighet.

DORA fastsetter kriterier for å klassifisere hendelser – blant annet antall berørte kunder, varighet, geografisk spredning, datatap og økonomisk virkning. Klassifiseringen avgjør om en hendelse er «alvorlig» og dermed rapporteringspliktig.

De nærmere tersklene er fastsatt i nivå 2-regelverk (tekniske standarder).

Alvorlige hendelser skal rapporteres til Finanstilsynet i flere trinn: en første melding, en mellomrapport og en endelig rapport, etter fastsatte frister og maler. Hensikten er rask oversikt og læring på tvers av sektoren.

Rapporteringen følger felleseuropeiske maler fastsatt i nivå 2-regelverk.

DORA åpner for frivillig rapportering av vesentlige cybertrusler – altså trusler som kunne ha blitt en alvorlig hendelse. Dette gir myndighetene et tidlig bilde og lar sektoren forberede seg.

Frivillig deling støtter opp under den bredere informasjonsdelingen i regelverket.

Foretak må ha et program for testing av digital operasjonell motstandsdyktighet, tilpasset størrelse og risiko. Grunnleggende tester omfatter blant annet sårbarhetsvurderinger, scenariotester og penetrasjonstesting.

Testing skal skje regelmessig og resultatene skal følges opp med tiltak.

TLPT (threat-led penetration testing) er realistiske angrepstester basert på faktisk trusseletterretning, rettet mot foretakets produksjonssystemer. De mest kritiske foretakene må gjennomføre slik testing med jevne mellomrom, ofte i tråd med TIBER-rammeverket.

TLPT er betydelig mer krevende enn ordinær penetrasjonstesting og involverer tilsynsmyndighetene.

Sårbarhetsvurderinger og -skanninger er blant de grunnleggende testene alle omfattede foretak skal gjennomføre. De avdekker kjente svakheter som kan utnyttes, slik at de kan lukkes før de blir et problem.

Slike vurderinger er mindre omfattende enn TLPT, men skal gjøres jevnlig.

DORA stiller egne krav til styring av risiko knyttet til IKT-leverandører. Foretaket må ha en strategi for tredjepartsrisiko, vurdere leverandører før avtaleinngåelse og følge dem opp gjennom hele avtaleforholdet.

Dette ligner forsyningskjedekravene i NIS2, men er mer detaljert for finanssektoren.

Dette er leverandørene av tjenester som skydrift, programvare, datasentre og databehandling som finansforetak er avhengige av. DORA stiller krav både til foretakenes oppfølging av dem og – for de viktigste – til direkte tilsyn.

Leverandører innenfor samme konsern regnes også med.

DORA fastsetter hva kontrakter med IKT-leverandører som et minimum skal regulere: tjenestebeskrivelse, tilgang og revisjonsrett, sikkerhetskrav, bistand ved hendelser, exit-strategier og – for kritiske funksjoner – ytterligere krav.

Foretaket må gå gjennom og om nødvendig reforhandle eksisterende avtaler for å oppfylle kravene.

Foretak må føre og vedlikeholde et register over alle avtaler om IKT-tjenester, med detaljer om leverandører, tjenester og hvilke som understøtter kritiske funksjoner. Registeret rapporteres til Finanstilsynet etter felles maler.

Registeret er et sentralt verktøy for både foretakets egen oversikt og myndighetenes tilsyn med konsentrasjonsrisiko.

Når store deler av finanssektoren bruker samme skyleverandør eller datasenter, kan svikt hos én leverandør ramme mange samtidig. DORA krever at foretak vurderer slik konsentrasjonsrisiko før og under avtaleforhold.

Konsentrasjonsrisiko er også en hovedgrunn til det direkte tilsynet med kritiske leverandører.

Når en kritisk eller viktig funksjon settes ut, gjelder de strengeste kravene: grundig forhåndsvurdering, detaljerte kontraktsbestemmelser, løpende oppfølging og realistiske exit-planer slik at foretaket kan bytte leverandør uten å miste funksjonen.

Ansvaret for funksjonen forblir hos foretaket, selv om driften er utkontraktert.

De viktigste IKT-leverandørene – typisk store skyaktører – kan utpekes som «kritiske» og blir da underlagt et eget europeisk tilsynsregime, uavhengig av de enkelte finansforetakene som bruker dem.

Dette er nytt: tilsynet retter seg direkte mot leverandøren, ikke bare mot finansforetaket.

For hver kritisk leverandør utpekes en hovedtilsynsfører (Lead Overseer) blant de europeiske tilsynsmyndighetene. Denne kan kreve informasjon, gjennomføre undersøkelser og inspeksjoner og gi anbefalinger om å redusere risiko.

Rammeverket sikrer koordinert oppfølging av leverandører som er felles for mange foretak og land.

Finanstilsynet fører tilsyn med at norske finansforetak etterlever DORA, tar imot hendelsesrapporter og informasjonsregistre, og fastsetter utfyllende forskrifter. Tilsynet har også publisert veiledere og Q&A om regelverket.

For kritiske IKT-leverandører skjer det overordnede tilsynet på europeisk nivå, i samarbeid med nasjonale myndigheter.

DORA oppmuntrer foretak til å dele etterretning om cybertrusler og sårbarheter seg imellom, innenfor betrodde fellesskap. Bedre felles situasjonsforståelse styrker hele sektorens motstandsdyktighet.

Delingen er frivillig og skal skje innenfor rammene av blant annet personvern og konkurranseregler.

Ved manglende etterlevelse kan Finanstilsynet gi pålegg og bruke administrative reaksjoner. DORA krever at statene har effektive, forholdsmessige og avskrekkende sanksjoner, og rammene er tatt inn i norsk rett gjennom DORA-loven og -forskriften.

For kritiske IKT-leverandører kan tilsynsorganet på europeisk nivå ilegge tvangsmulkt.

ISO/IEC 27001 er den anerkjente standarden for å styre informasjonssikkerhet systematisk. Den beskriver hvordan en virksomhet skal etablere, drifte, vedlikeholde og forbedre et ledelsessystem (ISMS) basert på risiko. Gjeldende utgave er fra 2022.

Standarden er frivillig – den er ikke en lov. Men sertifisering brukes ofte for å dokumentere god sikkerhet overfor kunder og myndigheter, og den støtter etterlevelse av blant annet GDPR, NIS2 og DORA.

Et ISMS (Information Security Management System) er kjernen i ISO/IEC 27001. Det er ikke et IT-verktøy, men et styringssystem: en strukturert måte å identifisere risiko på og forvalte tiltak, roller, dokumentasjon og forbedring over tid.

Et velfungerende ISMS gjør sikkerhet til en kontinuerlig, ledelsesforankret prosess fremfor en engangsjobb.

Mens ISO/IEC 27001 stiller kravene til selve ledelsessystemet, gir ISO/IEC 27002 utfyllende veiledning om hvordan hver enkelt kontroll i Tillegg A kan utformes. De to brukes sammen.

2022-utgaven omorganiserte kontrollene til fire temaer og innførte nye kontroller for blant annet trusseletterretning og skytjenester.

Rundt ISO/IEC 27001 finnes en hel familie: 27000 (begreper), 27002 (kontroller), 27005 (risikostyring), 27017/27018 (sky og personvern i sky) med flere. Sammen utgjør de et komplett verktøysett.

Du sertifiseres mot 27001, men trekker på de øvrige for veiledning.

Internasjonale ISO-standarder gjøres til Norsk Standard gjennom Standard Norge. Den norske versjonen heter NS-EN ISO/IEC 27001:2022 og har samme innhold som den internasjonale standarden, tilgjengelig på norsk.

Det er denne du kjøper og refererer til i en norsk sammenheng, men sertifiseringen er internasjonalt anerkjent.

Informasjonssikkerhet handler om å beskytte informasjon uansett form – digitalt, på papir eller i hodene til folk. Målet uttrykkes gjennom tre egenskaper (CIA-triaden), og oppnås gjennom en kombinasjon av tekniske, organisatoriske og menneskelige tiltak.

ISO/IEC 27001 gir en systematisk måte å oppnå og opprettholde dette på.

Konfidensialitet betyr at informasjon bare er tilgjengelig for de som skal ha den; integritet at den er korrekt og uendret; tilgjengelighet at den er der når man trenger den. Et sikkerhetstiltak handler alltid om å beskytte én eller flere av disse.

Triaden er den felles målestokken når man vurderer risiko og velger kontroller.

Virksomheten må definere hvilke deler av organisasjonen, hvilke lokasjoner, systemer og informasjon ISMS-et omfatter. Virkeområdet styrer hva som skal risikovurderes og kontrolleres, og hva en sertifisering gjelder for.

Et for snevert virkeområde kan gjøre sertifiseringen lite verdt; et for bredt kan gjøre arbeidet uoverkommelig.

ISO/IEC 27001 krever at hver identifisert risiko har en eier som kan ta beslutninger om hvordan den skal håndteres, og som godkjenner restrisikoen. Det plasserer ansvaret tydelig.

Risikoeierskap kobler risikoarbeidet til reell beslutningsmyndighet i organisasjonen.

Risikovurderingen er motoren i ISO/IEC 27001. Virksomheten kartlegger hva som kan gå galt, hvor sannsynlig det er og hvor alvorlige konsekvensene blir, og prioriterer deretter. Vurderingen skal være konsistent og gjentakbar.

Resultatet styrer hvilke kontroller som faktisk trengs – sikkerhet skal være risikobasert, ikke synsebasert.

Etter vurderingen velges håndtering: redusere risikoen med kontroller, akseptere den, unngå aktiviteten eller overføre risikoen (f.eks. forsikring). Valgte kontroller knyttes til Tillegg A og dokumenteres i erklæringen om anvendelighet.

Restrisikoen skal godkjennes av risikoeier.

Statement of Applicability (SoA) er et av de viktigste dokumentene i et ISMS. Det lister alle kontrollene i Tillegg A, om de er tatt i bruk eller ikke, begrunnelsen, og statusen for hver. Det knytter risikohåndteringen til konkrete kontroller.

Revisor bruker SoA-en som inngang til å vurdere om virksomheten faktisk gjør det den sier.

For å vurdere risiko konsistent må virksomheten på forhånd bestemme hva som er akseptabelt og hva som krever tiltak. Akseptkriteriene gjør risikobeslutninger etterprøvbare og forankret i ledelsens risikovilje.

Uten klare kriterier blir risikohåndtering vilkårlig.

Tillegg A i ISO/IEC 27001:2022 inneholder 93 kontroller organisert i fire temaer: organisatoriske, personell, fysiske og teknologiske. Kontrollene er ikke en obligatorisk sjekkliste – man velger de som er relevante ut fra risikovurderingen.

Detaljert veiledning til hver kontroll finnes i ISO/IEC 27002.

Den største temagruppen i Tillegg A dekker det organisatoriske: sikkerhetspolicyer, roller og ansvar, leverandørstyring, hendelseshåndtering, klassifisering av informasjon og kontinuitet. Dette er «styringssiden» av sikkerheten.

Mange av disse kontrollene handler om prosess og ansvar snarere enn teknologi.

Mennesker er ofte den største sårbarheten. Personellkontrollene dekker bakgrunnssjekk, taushetsplikt, sikkerhetsopplæring og bevisstgjøring, og håndtering av tilganger ved rollebytte og fratredelse.

Godt sikkerhetsarbeid forutsetter at folk forstår sin rolle i det.

Fysisk sikkerhet er en del av informasjonssikkerhet. Temaet dekker adgangskontroll til bygg og rom, beskyttelse av utstyr, sikker avhending av medier og kontroll med fysiske trusler.

Selv det beste digitale forsvaret hjelper lite hvis noen kan gå rett inn i serverrommet.

Den teknologiske temagruppen dekker det de fleste forbinder med IT-sikkerhet: autentisering og tilgangsstyring, kryptering, sikkerhetskopiering, logging og overvåking, beskyttelse mot skadevare og sårbarhetshåndtering.

Kontrollene skal velges ut fra risiko og samspille med de organisatoriske.

ISO/IEC 27001 krever synlig lederengasjement: ledelsen skal fastsette sikkerhetspolicy, sørge for ressurser, integrere ISMS-et i virksomhetens prosesser og følge opp at det virker. Sikkerhet kan ikke delegeres bort som «noe IT styrer med».

Uten reell ledelsesforankring kollapser et ISMS over tid.

Sikkerhetspolicyen er ledelsens overordnede erklæring: hva virksomheten vil oppnå med informasjonssikkerheten og hvilke prinsipper som gjelder. Den er forankret i toppledelsen og danner paraplyen over mer detaljerte retningslinjer.

Policyen skal være kjent i organisasjonen og gjennomgås jevnlig.

Et ISMS må dokumenteres: policyer, prosedyrer, risikovurdering, SoA, registre og bevis for at aktiviteter er gjennomført. Dokumentasjonen skal være styrt – riktig versjon, tilgjengelig for de som trenger den, beskyttet mot endring.

Ved revisjon er det dokumentasjonen, sammen med praksis, som viser at systemet faktisk virker.

ISO/IEC 27001 krever at virksomheten med jevne mellomrom reviderer sitt eget ISMS for å sjekke at det er i samsvar med både standarden og egne krav, og at det faktisk etterleves. Funn følges opp som avvik.

Internrevisjon er en forutsetning for ledelsens gjennomgang og for en vellykket sertifiseringsrevisjon.

Med jevne mellomrom skal ledelsen gjennomgå ISMS-et: status på risiko, resultater fra revisjoner og målinger, hendelser, og behov for endringer. Gjennomgangen sikrer at systemet utvikler seg i takt med virksomheten og trusselbildet.

Den er et konkret uttrykk for ledelsens forpliktelse og leder til beslutninger om forbedring.

Når noe ikke er i samsvar med standarden eller egne krav, er det et avvik. ISO/IEC 27001 krever at avvik håndteres systematisk: rette feilen, finne rotårsaken og iverksette tiltak som hindrer gjentakelse.

Avvikshåndtering er selve mekanismen som gjør at systemet lærer og blir bedre.

Et ISMS er aldri «ferdig». Gjennom sykluser av planlegging, gjennomføring, kontroll og korrigering (PDCA) skal virksomheten stadig heve sikkerhetsnivået i takt med endringer i risiko, teknologi og organisasjon.

Det er denne forbedringssløyfen som skiller et levende styringssystem fra en perm i hylla.

Sertifisering er en frivillig, men verdifull bekreftelse: et uavhengig sertifiseringsorgan reviderer ISMS-et og utsteder et sertifikat hvis kravene er oppfylt. Sertifikatet er gyldig i en periode (typisk tre år) med årlige oppfølgingsrevisjoner.

For mange virksomheter er sertifisering et konkurransefortrinn og et krav fra kunder.

Et sertifikat er bare så troverdig som den som utsteder det. Sertifiseringsorganet må være akkreditert (i Norge av Norsk akkreditering) etter egne krav, slik at sertifiseringen er upartisk og anerkjent internasjonalt.

Akkrediteringen er det som gjør at et norsk sertifikat anerkjennes i utlandet.

Sertifisering skjer i trinn: trinn 1 (dokumentasjonsgjennomgang og modenhet) og trinn 2 (vurdering av at ISMS-et faktisk etterleves). Deretter følger årlige oppfølgingsrevisjoner og en full resertifisering etter tre år.

Avvik funnet under revisjonen må lukkes før sertifikat utstedes eller beholdes.

I tillegg til at virksomheter sertifiseres, finnes personsertifiseringer. En Lead Implementer er trent i å etablere og drifte et ISMS, mens en Lead Auditor er trent i å revidere det. Disse tilbys av organer som PECB.

Slik kompetanse hos en rådgiver gir trygghet for at arbeidet holder standardens nivå.

Sikkerhetsloven (lov 2018-06-01-24) trådte i kraft 1. januar 2019 og gjelder forebyggende sikkerhet for å beskytte Norges nasjonale sikkerhetsinteresser. Den retter seg mot virksomheter som rår over informasjon, systemer, objekter eller infrastruktur av avgjørende betydning for staten.

NSM (Nasjonal sikkerhetsmyndighet) er fagmyndighet. Loven er gjeldende rett og bygger på risiko og forsvarlig sikkerhetsnivå fremfor detaljerte sjekklister.

Loven gjelder statlige, fylkeskommunale og kommunale organer, og virksomheter som et departement fatter vedtak om fordi de rår over noe avgjørende for en grunnleggende nasjonal funksjon. Den omfatter altså ikke alle – men de som treffes, får omfattende plikter.

Et departement kan fatte vedtak om at en privat virksomhet skal omfattes.

Nasjonale sikkerhetsinteresser er definert i loven og omfatter blant annet Norges suverenitet, territorielle integritet, demokratiske styreform og overordnede sikkerhetspolitiske interesser. Det er disse loven til syvende og sist skal beskytte.

Begrepet er styrende for hva som regnes som grunnleggende nasjonale funksjoner og skjermingsverdige verdier.

GNF er aktiviteter, tjenester eller produksjon som er av en slik betydning at et helt eller delvis bortfall vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser. Departementene identifiserer GNF innenfor sine sektorer.

GNF er navet i loven: det er koblingen til en GNF som avgjør om en verdi er skjermingsverdig og en virksomhet omfattet.

NSM er den sentrale fagmyndigheten: den gir råd og veiledning, fører tilsyn, utvikler regelverk og forvalter ordninger som sikkerhetsklarering. NSM utgir også veiledere og håndbøker til loven.

NSM samarbeider med sektormyndighetene, som har ansvar innenfor sine områder.

Sikkerhetsloven bygger på sektoransvar: hvert departement skal identifisere de grunnleggende nasjonale funksjonene i sin sektor, og fatte vedtak om hvilke virksomheter som skal omfattes av loven.

Dette gjør at ansvaret er fordelt etter fagområde, med NSM som tverrgående fagmyndighet.

Tilsynet er fordelt mellom NSM og sektortilsyn. Tilsynsmyndigheten kan kreve opplysninger, gjennomføre tilsyn og følge opp at virksomhetene har et forsvarlig sikkerhetsnivå.

Tilsynet er risikobasert og retter oppmerksomheten mot de mest kritiske verdiene.

Tilsyn etter sikkerhetsloven skal påse at virksomhetene oppfyller kravene til forebyggende sikkerhet. Det omfatter både dokumentkontroll og stedlig tilsyn, og kan lede til pålegg om utbedring.

Tilsynet er et viktig virkemiddel for å sikre at sikkerhetsnivået faktisk opprettholdes over tid.

Ved manglende etterlevelse kan tilsynsmyndigheten gi pålegg om retting, og det finnes hjemler for tvangsmulkt og straff ved alvorlige brudd. Reaksjonene skal sikre at kravene faktisk oppfylles.

Alvorlige sikkerhetstruende forhold kan også håndteres med mer inngripende tiltak.

Skjermingsverdige verdier er fellesbetegnelsen på det loven beskytter: skjermingsverdig informasjon (kap. 5), informasjonssystemer (kap. 6) og objekter og infrastruktur (kap. 7). En verdi er skjermingsverdig dersom den har betydning for en grunnleggende nasjonal funksjon.

Verdiene klassifiseres ut fra hvor alvorlige konsekvensene av bortfall eller kompromittering vil være.

Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende, går tapt, endres eller blir utilgjengelig. Slik informasjon skal sikkerhetsgraderes og beskyttes deretter.

Beskyttelsen omfatter hele livsløpet – fra produksjon og lagring til deling og avhending.

Objekter og infrastruktur kan utpekes som skjermingsverdige og klassifiseres etter hvor alvorlig et bortfall ville være for en GNF. Eieren må da iverksette beskyttelsestiltak tilpasset klassifiseringen.

Dette dekker både selve anlegget og det som er nødvendig for at det skal fungere.

Skjermingsverdig informasjon graderes i fire nivåer – BEGRENSET, KONFIDENSIELT, HEMMELIG og STRENGT HEMMELIG – ut fra hvor alvorlig skade uautorisert kjennskap kan forårsake. Graderingen styrer hvordan informasjonen skal håndteres og hvem som kan få tilgang.

Jo høyere gradering, desto strengere krav til klarering, lagring og deling.

Kjernen i loven er å forebygge, ikke bare reagere. Virksomheten skal arbeide systematisk og risikobasert for å beskytte sine skjermingsverdige verdier mot blant annet spionasje, sabotasje og terror.

Arbeidet skal være forankret i ledelsen og integrert i virksomhetens styring.

Virksomheter omfattet av loven skal ha et styringssystem for sikkerhet, på linje med et ledelsessystem etter ISO/IEC 27001. Det omfatter risikovurdering, tiltak, roller, dokumentasjon og kontinuerlig forbedring.

Sikkerhetsstyring gjør sikkerheten til en styrt prosess og ikke et sett enkelttiltak.

Loven krever ikke maksimal sikkerhet, men et forsvarlig nivå – tilpasset verdienes betydning og det aktuelle trusselbildet. Det er en funksjonell standard som virksomheten må vurdere konkret.

Hva som er forsvarlig endrer seg med trusselbildet, og nivået må derfor vurderes løpende.

Virksomheten skal jevnlig vurdere risikoen for sine skjermingsverdige verdier – sammenhengen mellom verdi, trussel og sårbarhet. Vurderingen er grunnlaget for hvilke tiltak som er nødvendige for et forsvarlig sikkerhetsnivå.

Risikovurderingen skal oppdateres ved endringer i trusselbilde, verdier eller virksomhet.

Skjermingsverdige informasjonssystemer skal sikres gjennom hele livsløpet, med tiltak for konfidensialitet, integritet og tilgjengelighet. Kravene henger tett sammen med anerkjente rammeverk for IKT-sikkerhet.

NSMs grunnprinsipper for IKT-sikkerhet brukes ofte som praktisk veiledning her.

Personellsikkerhet skal redusere risikoen for at personer med tilgang til skjermingsverdige verdier utgjør en sikkerhetsrisiko. Virkemidlene er blant annet sikkerhetsklarering, autorisasjon og sikkerhetssamtaler.

Det handler om å balansere tillit og kontroll, og om å følge opp gjennom hele ansettelsesforholdet.

Sikkerhetsklarering er en grundig vurdering av en persons sikkerhetsmessige skikkethet, basert på personkontroll. Den gjelder for tilgang til informasjon gradert KONFIDENSIELT, HEMMELIG eller STRENGT HEMMELIG.

Klarering er ikke det samme som tilgang – den må følges av en konkret autorisasjon.

Mens klarering vurderer skikkethet, er autorisasjon den konkrete tildelingen av tilgang ut fra tjenstlig behov. Begge må være på plass – og bare det den enkelte trenger for jobben skal gis (need-to-know).

Autorisasjon kan trekkes tilbake uavhengig av klareringen.

Klareringsmyndigheten gjennomfører personkontroll og fatter vedtak om klarering. Avgjørelsene skal være forsvarlige og kan påklages. Sentralisering av klareringsmyndighet har styrket likebehandlingen.

Myndigheten balanserer hensynet til nasjonal sikkerhet mot den enkeltes rettssikkerhet.

Når en anskaffelse innebærer at en leverandør får tilgang til skjermingsverdig informasjon eller objekter, gjelder særlige krav. Leverandøren må sikkerhetsklareres, og det inngås sikkerhetsavtale som regulerer hvordan verdiene skal beskyttes.

Dette sikrer at sikkerhetsnivået opprettholdes også i leverandørkjeden.

På samme måte som personer klareres, må leverandører som skal håndtere skjermingsverdige verdier klareres som virksomhet. Vurderingen ser blant annet på eierforhold, styring og evne til å ivareta sikkerheten.

Leverandørklarering er et virkemiddel mot risiko i forsyningskjeden.

For å hindre at sikkerhetstruende aktører får kontroll over kritiske virksomheter, må visse erverv av eierandeler meldes og kan stanses av myndighetene. Dette er et stadig viktigere virkemiddel i en spent sikkerhetspolitisk tid.

Kontrollen retter seg mot oppkjøp som kan true nasjonale sikkerhetsinteresser.

Begrepet dekker økonomisk aktivitet – typisk oppkjøp og investeringer – som kan gi uønskede aktører innflytelse over, tilgang til eller mulighet til å skade skjermingsverdige verdier eller grunnleggende nasjonale funksjoner.

Eierskapskontrollen er hovedverktøyet for å håndtere slik risiko.

Ny ekomlov (lov 2024-12-13-76) trådte i kraft 1. januar 2025 og erstattet ekomloven fra 2003. Den regulerer blant annet mobil- og bredbåndstjenester, kommunikasjonstjenester i apper og sosiale medier, og – for første gang – datasentre.

For de fleste virksomheter er det cookie-reglene i § 3-15 som er mest aktuelle, fordi de gjelder nesten alle som har en nettside.

Loven gjelder elektronisk kommunikasjon, nett, tjenester og tilhørende utstyr. Mens de tradisjonelle pliktene retter seg mot tilbydere, gjelder cookie-bestemmelsen i § 3-15 langt bredere – i praksis enhver som lagrer eller leser opplysninger på en brukers utstyr.

Det gjør at ekomloven angår mange flere virksomheter enn man kanskje skulle tro.

En ekomtilbyder leverer for eksempel mobil-, bredbånds- eller meldingstjenester. Tilbydere har særskilte plikter etter loven, blant annet om sikkerhet, robusthet, taushetsplikt og varsling.

Den nye loven utvider tilbyderbegrepet til også å omfatte enkelte nettbaserte kommunikasjonstjenester.

Den nye ekomloven innfører regulering av datasentre, blant annet med registreringsplikt og krav til sikkerhet. Bakgrunnen er datasentrenes økende betydning for digital infrastruktur og beredskap.

Dette er en av nyhetene som skiller den nye loven fra 2003-loven.

Informasjonskapsler («cookies») og lignende teknologi lagrer eller henter informasjon på brukerens enhet. Ekomloven § 3-15 regulerer all slik lagring og tilgang – ikke bare klassiske cookies, men også for eksempel sporingspiksler og lokal lagring.

Reglene er sentrale fordi de gjelder nesten alle nettsteder.

Den store endringen i ny ekomlov: lagring og tilgang krever samtykke som oppfyller GDPR. Det betyr at samtykket må være frivillig, spesifikt, informert og uttvetydig – og like lett å trekke tilbake som å gi. Forhåndskryssede bokser og «fortsatt bruk = samtykke» er ikke lenger nok.

Brukeren skal informeres om hvilke opplysninger som behandles, formålet og hvem som er behandlingsansvarlig, før samtykke gis.

Det finnes et snevert unntak: cookies som er strengt nødvendige for å levere en tjeneste brukeren uttrykkelig har bedt om, krever ikke samtykke. Det gjelder for eksempel handlekurv-funksjon eller innlogging – men ikke analyse og markedsføring.

Unntaket skal tolkes strengt; «nødvendig for oss» er ikke det samme som «nødvendig for brukeren».

Mye sporing skjer gjennom tredjeparts cookies og sporingsteknologi, ofte for markedsføring og profilering. Slik sporing krever samtykke etter ekomloven, og når den behandler personopplysninger, også et behandlingsgrunnlag etter GDPR.

Ekomloven og GDPR spiller her tett sammen.

Ekomloven verner kommunikasjonen mellom brukere: innhold, trafikkdata og lokasjon skal beskyttes mot avlytting og urettmessig tilgang. Dette er en grunnpilar for tillit til elektroniske tjenester.

Vernet henger sammen med tilbydernes taushetsplikt.

Tilbydere og deres ansatte har taushetsplikt om innholdet i kommunikasjonen og om hvem som kommuniserer med hvem. Plikten beskytter brukernes privatliv og er en forutsetning for kommunikasjonsvernet.

Brudd kan få både tilsynsmessige og strafferettslige følger.

Tilbydere må sikre nett og tjenester mot hendelser og opprettholde tilgjengelighet, også i krise. Loven stiller krav til risikohåndtering, beredskap og varsling av sikkerhetshendelser – viktig for samfunnets digitale grunnmur.

Dette overlapper med kravene i digitalsikkerhetsloven for kritisk infrastruktur.

Loven gir sluttbrukere rettigheter knyttet til avtaler, åpenhet om priser og vilkår, nummerportabilitet og leverandørbytte. Formålet er en velfungerende og rettferdig konkurranse til brukernes beste.

Sluttbrukervern er en stor del av ekomreguleringen, ved siden av sikkerhet og personvern.

Nkom fører tilsyn med ekomtilbydere, forvalter frekvenser og nummer, og følger opp krav til sikkerhet, robusthet og sluttbrukervern. For cookie-reglene deler Nkom tilsynsansvaret med Datatilsynet.

Nkom er også utpekt som koordinerende tilsynsmyndighet for KI-forordningen.

Cookie-bestemmelsen håndheves i fellesskap: Datatilsynet har ansvar for samtykkekravet (som bygger på GDPR), mens Nkom har ansvar for de øvrige sidene av § 3-15. Virksomheter må derfor forholde seg til begge.

Det delte ansvaret gjenspeiler at cookie-regelen ligger i skjæringspunktet mellom personvern og ekom.

Ved brudd kan tilsynsmyndighetene gi pålegg om retting og ilegge overtredelsesgebyr og tvangsmulkt. For cookie-brudd kan også personvernregelverkets reaksjoner komme til anvendelse via samtykkekravet.

Nivået skal være tilstrekkelig til at det virker avskrekkende.