Revisjon og forbedring handler om å lukke avstanden mellom papir og praksis. Den samme arbeidsflyten kan brukes på personvern, informasjonssikkerhet, DORA, KI og sikkerhetsloven: kontroller, finn avvik, forstå årsak, prioriter tiltak og følg opp effekten.
Sammenligning
| Regelverk | Kontrollform | Hva forbedres | Vanlig svakhet |
|---|---|---|---|
| ISO 27001Internrevisjon og forbedring | Internrevisjon, ledelsens gjennomgang, avvik og kontinuerlig forbedring | ISMS, risikostyring, kontroller, roller, dokumentasjon og måloppnåelse | Revisjon blir sjekkliste, ikke vurdering av om styringssystemet faktisk fungerer |
| GDPRAnsvarlighet og avvik | Egenkontroll, DPIA-oppfølging, bruddgjennomgang, databehandlerkontroll og rettighetsprøver | Behandlingsprotokoll, slettefrister, tilgang, informasjon, databehandleravtaler og bruddhåndtering | Personvernkontroller gjøres bare ved prosjektstart, ikke etter drift, endringer og hendelser |
| DORATesting og tilsyn | Risikobasert testing, tredjepartsoppfølging, hendelseslæring og tilsynsoppfølging | IKT-risikostyring, kontinuitet, leverandørstyring, testprogram og ledelsesrapportering | Testfunn blir tekniske billetter, ikke risikofunn som ledelsen må prioritere |
| NIS2 / digitalsikkerhetslovenSikkerhetstiltak | Egenkontroll av tiltak, hendelseslæring, leverandøroppfølging og myndighetstilsyn | Risikostyring, varslingsrutiner, forsyningskjede, beredskap og dokumentasjon | Tiltakslisten oppdateres, men uten rotårsaksanalyse og måling av effekt |
| AI ActSamsvar og markedskontroll | Samsvarsvurdering, teknisk dokumentasjon, logging, menneskelig tilsyn og markedstilsyn | KI-risikostyring, datastyring, transparens, bruksanvisning og overvåking etter idriftsettelse | Vurdere samsvar før lansering, men ikke følge opp faktisk bruk og feil i drift |
| SikkerhetslovenSikkerhetsoppfølging | Intern sikkerhetsrevisjon, ledelsens periodiske evaluering, IKT-revisjon og tilsyn | Forebyggende sikkerhetsarbeid, informasjonssystemsikkerhet, roller, tiltak og sikkerhetsdokumentasjon | Kontroll av enkelttiltak uten vurdering av helhetlig sikkerhetstilstand |
Bruk én forbedringslogg
Samle funn fra revisjon, hendelser, test, DPIA, leverandøroppfølging, tilsyn og ledelsens gjennomgang i én forbedringslogg. Hvert funn bør ha kravgrunnlag, risiko, rotårsak, tiltak, eier, frist, status og verifikasjon.
Det viktigste er ikke at alle funn lukkes raskt. Det viktigste er at virksomheten kan forklare prioriteringen, håndtere risikoen mens tiltaket pågår, og vise at forbedringen faktisk virket.
Relaterte oppslag i ordlisten
Status per 16. juni 2026: Revisjon og forbedring følger både av styringsstandarder som ISO 27001 og av krav til ansvarlighet, risikostyring, testing og tilsyn i GDPR, DORA, digitalsikkerhetsloven/-forskriften og sikkerhetsloven. AI Act og NIS2 er fortsatt ikke fullt gjennomført i norsk rett, men kontroll- og forbedringslogikken bør bygges inn tidlig.