Hjem / Ordliste / Tema: Hendelsesrapportering

Hendelsesrapportering på tvers av regelverk

Hva skal varsles, til hvem og når? Her er forskjellen mellom GDPR-avvik, DORA-rapportering, NIS/digitalsikkerhetsloven, sikkerhetsloven, ekomloven og ISO 27001.

Tema-oppslag fra ordlisten. Vil du følge med på NIS2, DORA, AI Act og andre regelverksendringer? Få Regelverksradar, maks én e-post i måneden.

Hendelser er et krysspunkt mellom drift, jus og sikkerhet. Én ransomware-hendelse kan samtidig være et GDPR-brudd, en IKT-relatert hendelse, en varslingspliktig hendelse etter digitalsikkerhetsloven og et internt avvik i ISO 27001. Derfor må virksomheten ha én prosess som raskt avgjør hvilke regelverk som utløses.

Første spørsmål Hvilke verdier, tjenester eller personopplysninger er rammet?
Andre spørsmål Er terskelen for meldeplikt nådd i ett eller flere regelverk?
Tredje spørsmål Hvem må få varsel nå, og hva kan sendes som oppdatering senere?

Sammenligning

Regelverk Hva utløser varsling Frist / rytme Mottaker og formål
GDPRBrudd på personopplysningssikkerheten Brudd som kan medføre risiko for fysiske personers rettigheter og friheter Datatilsynet: uten ugrunnet opphold og normalt senest 72 timer; de berørte varsles ved høy risiko Datatilsynet og eventuelt de berørte, slik at skade kan begrenses
Digitalsikkerhetsloven / NIS2Varsling av hendelser Hendelser som virker betydelig inn på leveransen av samfunnsviktige eller digitale tjenester; NIS2 skjerper terskler og trinn Gjeldende norsk regel: blant annet 24 timer for samfunnsviktige tjenester; NIS2: 24/72 timer og sluttrapport når gjennomført NSM, sektormyndighet eller relevant responsmiljø for situasjonsbilde og oppfølging
DORAAlvorlig IKT-relatert hendelse Alvorlige IKT-hendelser som har negativ innvirkning på kritiske tjenester i finanssektoren Stegvis rapportering med innledende melding, mellomrapport og endelig rapport etter DORA-maler Finanstilsynet via Altinn, for rask oversikt over risiko i finanssektoren
SikkerhetslovenSikkerhetstruende aktivitet Mistanke om eller faktisk sikkerhetstruende aktivitet, alvorlige sikkerhetsbrudd eller forhold som kan skade nasjonale sikkerhetsinteresser Lav terskel for varsel; oppdateringer og endelig rapport ved behov NSM eller sektoransvarlig myndighet, for nasjonalt situasjonsbilde og håndtering
EkomlovenEkomsikkerhet og robusthet Sikkerhetshendelser og bortfall som påvirker elektroniske kommunikasjonsnett eller -tjenester Varsling etter ekomregelverkets krav og sektorpraksis Nkom eller relevant myndighet, for robusthet i den digitale infrastrukturen
ISO 27001Avvik og korrigerende tiltak Interne sikkerhetshendelser, svakheter, avvik fra egne krav eller funn i revisjon Intern frist etter ISMS-prosessen; kan utløse ekstern varsling etter annet regelverk Risikoeier, ledelsen og eventuelt revisor; formålet er læring, rotårsak og forbedring

Praktisk triage de første timene

Start med en enkel beslutningslogg. Noter når hendelsen ble oppdaget, hvem som eier håndteringen, hvilke tjenester som er berørt, om personopplysninger er involvert, om samfunnsviktige eller kritiske tjenester er rammet, og hvilke myndighetsfrister som kan løpe.

Deretter skiller du mellom tre spor: varsling til myndigheter eller berørte, operativ håndtering for å begrense skade, og etterarbeid med rotårsak, korrigerende tiltak og ledelsesrapportering. Alle tre spor bør starte tidlig, men de har ulike eiere og dokumentasjonskrav.

Hva hvert regelverk egentlig vil vite

GDPR: risiko for de berørte

GDPR spør om hendelsen kan skade personer. En teknisk feil er ikke nok i seg selv; vurderingen dreier seg om personopplysninger, risiko for de registrerte, og om de berørte trenger informasjon for å beskytte seg.

DORA: sektorens risikobilde

DORA-rapportering handler om finanssektorens operasjonelle motstandsdyktighet. Foretak må kunne klassifisere IKT-hendelser, rapportere alvorlige hendelser etter maler og oppdatere rapporteringen når bildet endrer seg.

NIS/digitalsikkerhetsloven: samfunnsviktige tjenester

Digitalsikkerhetsloven handler om hendelser som påvirker leveransen av samfunnsviktige eller digitale tjenester. NIS2 er ikke norsk rett per 16. juni 2026, men kommende krav gjør det fornuftig å øve på 24- og 72-timersløpet allerede nå.

Sikkerhetsloven: nasjonale sikkerhetsinteresser

Der sikkerhetsloven gjelder, er terskelen for å varsle lav. Spørsmålet er ikke bare om en IT-tjeneste er nede, men om hendelsen kan skade skjermingsverdige verdier eller nasjonale sikkerhetsinteresser.

ISO 27001: intern læring og bevis

ISO 27001 gjør hendelser og avvik til en del av forbedringssystemet. Det gir ikke alene en myndighetsfrist, men det bør sikre at hendelsen dokumenteres, eies, analyseres og fører til tiltak som faktisk blir lukket.

Relaterte oppslag i ordlisten

Se også Brudd på personopplysningssikkerheten· Hendelse· Varsling av hendelser· Varslingsfrister· Klassifisering av hendelser· Hendelsesrapportering (DORA)· Avvik og korrigerende tiltak
Risikovurdering på tversSamme metode, ulike formål i fem regelverk. Ledelsesansvar på tversHvem som må eie beredskap og varslingsrutiner. Leverandørstyring på tversNår hendelsen starter hos en leverandør. Dokumentasjon på tversLogger, beslutninger og etterarbeid som tåler tilsyn. Testing og beredskapØvelsene som gjør varsling mulig i praksis. Hvilke regler gjelder oss?Kort selvtest for norske virksomheter. Søk i alle begreperAlle 192 begreper på tvers av regelverk.

Status per 16. juni 2026: Digitalsikkerhetsloven og forskriften gjelder i Norge fra 1. oktober 2025. NIS2 er fortsatt ikke gjennomført i norsk rett, men norske virksomheter bør forberede seg på de mer detaljerte varslingskravene.

Primærkilder og veiledning Datatilsynet om avvik· NSM om digitalsikkerhetsloven· Finanstilsynet om DORA-rapportering· NSM om varsling etter sikkerhetsloven
Tilbake til ordlisten