Opplæring bør være risikobasert og rollebasert. En leder trenger beslutningskompetanse, en utvikler trenger krav til innebygd personvern og sikkerhet, en innkjøper trenger leverandørkrav, og en KI-bruker trenger å forstå begrensninger og eskalering.
Sammenligning
| Regelverk | Hvem må forstå hva | Hva bør dokumenteres | Typisk feil |
|---|---|---|---|
| GDPRPersonvern og internkontroll | Ansatte som behandler personopplysninger må forstå formål, rettigheter, sikkerhet, brudd og interne rutiner | Opplæringsplan, målgrupper, innhold, gjennomføring, avvik og oppdateringer ved endringer | Ha rutiner for personvern uten at ansatte kjenner dem eller vet når de skal eskalere |
| ISO 27001Kompetanse og bevissthet | Ledelse, risikoeiere, systemeiere, ansatte og leverandører må forstå relevante sikkerhetskrav | Kompetansekrav, opplæring, bevisstgjøring, rollekrav og kontroll av at tiltakene virker | Gjøre sikkerhetsopplæring generell, uten kobling til rolle, systemtilgang og risiko |
| DORALedelse og IKT-risiko | Ledelsesorgan, IKT, risiko, compliance og leverandøroppfølging må forstå digital operasjonell motstandsdyktighet | Ledelsesopplæring, IKT-risikorammeverk, øvelser, testfunn og oppfølging av tredjepartsrisiko | Gi teknisk opplæring, men ikke trene ledelsen i beslutninger under IKT-hendelser |
| NIS2 / digitalsikkerhetslovenLedelse og sikkerhetstiltak | Ledelse og nøkkelroller må forstå risikostyringstiltak, varslingsplikter, forsyningskjeder og beredskap | Ansvar, sikkerhetstiltak, øving, varslingsrutiner, leverandørkrav og eventuell sertifisering | Lage beredskapsplan uten å øve kontaktpunkter, roller og frister |
| AI ActAI literacy | Leverandører, ibruktakere og personer som bruker KI på virksomhetens vegne må forstå system, risiko og begrensninger | Målgrupper, KI-systemer, opplæring, brukskontekst, menneskelig tilsyn og eskaleringsrutiner | Gi generell KI-opplæring uten å knytte den til de konkrete systemene folk faktisk bruker |
| SikkerhetslovenPersonellsikkerhet og autorisasjon | Personer med tilgang til skjermingsverdige verdier må forstå ansvar, taushet, sikkerhetskultur og rapportering | Autorisasjon, samtaler, sikkerhetsinstruks, opplæring, tilgang og oppfølging av endringer | Se autorisasjon som et skjema, ikke som en løpende kompetanse- og tillitsprosess |
Bygg en rollebasert kompetansematrise
Start med rollene: styre, ledergruppe, systemeier, utvikler, drift, HR, innkjøp, kundeservice, sikkerhet, juridisk og KI-brukere. Sett deretter minimumskrav for hva hver rolle må kunne, hvordan de trenes, og når kompetansen må oppdateres.
Matrisen bør kobles til onboarding, årlig repetisjon, endringer i systemer, hendelser, revisjonsfunn og nye regelkrav. Da blir opplæring en del av styringen, ikke en isolert e-læringsaktivitet.
Relaterte oppslag i ordlisten
Status per 16. juni 2026: Opplærings- og kompetansekrav følger allerede av GDPR, DORA, digitalsikkerhetsloven/-forskriften og sikkerhetsloven for virksomheter som omfattes. AI Act artikkel 4 om AI literacy gjelder i EU og bør inngå i forberedelser for norske virksomheter med KI-systemer i EU/EØS-kontekst.