Risikovurdering er fellesnevneren i moderne personvern- og sikkerhetsregelverk. Men én vurdering kan ikke bare kopieres på tvers: GDPR spør hvem som kan bli skadet, ISO 27001 spør hvilke informasjonsverdier som er utsatt, DORA spør om kritiske finansielle tjenester tåler IKT-hendelser, og sikkerhetsloven spør om nasjonale sikkerhetsinteresser kan rammes.
Sammenligning
| Regelverk | Hva vurderes | Når / hvor ofte | Formål |
|---|---|---|---|
| GDPRDPIA / personvernkonsekvens | Risiko for de registrertes rettigheter og friheter ved høy-risiko behandling av personopplysninger | Før behandlingen starter, og ved vesentlige endringer | Dokumentere forholdsmessighet, nødvendighet og risikoreduserende tiltak |
| ISO 27001ISMS / kontroller | Risiko for konfidensialitet, integritet og tilgjengelighet i informasjon og systemer | Planlagt og gjentakende, minst ved endringer og ledelsens gjennomgang | Velge og begrunne kontroller i SoA |
| DORAIKT-risikostyring | IKT-risiko som kan påvirke kritiske og viktige finansielle funksjoner | Kontinuerlig, som del av IKT-risikostyringsrammeverket | Digital operasjonell motstandsdyktighet og styrt respons ved hendelser |
| NIS2 / digitalsikkerhetslovenRisikobaserte sikkerhetstiltak | Risiko for nettverks- og informasjonssystemer som understøtter samfunnsviktige eller digitale tjenester | Løpende; NIS2 skjerper og konkretiserer kravene når det gjennomføres i Norge | Forhindre, oppdage og håndtere alvorlige digitale hendelser |
| SikkerhetslovenVerdi, trussel og sårbarhet | Risiko for skjermingsverdige verdier og nasjonale sikkerhetsinteresser | Jevnlig og når verdi, trusselbilde eller sårbarheter endrer seg | Etablere og opprettholde et forsvarlig sikkerhetsnivå |
Slik bruker du samme grunnprosess
Den praktiske grunnprosessen kan likevel være felles: finn verdiene, beskriv truslene, vurder sårbarheter, anslå konsekvens og sannsynlighet, velg tiltak, dokumenter aksept eller rest-risiko, og avtal når vurderingen skal oppdateres. Forskjellen ligger i hva vurderingen skal beskytte.
En god ISMS-prosess gir ofte et nyttig rammeverk, men den må suppleres. Behandler dere personopplysninger, trenger dere GDPR-sporet med DPIA. Er dere i finanssektoren, må IKT-risiko kobles til testing, hendelsesrapportering og tredjepartsrisiko. Er verdiene skjermingsverdige, må sikkerhetslovens krav styre.
Hva hvert regelverk legger vekt på
GDPR: risiko for personer
GDPR-risiko handler om mennesker: tap av kontroll, diskriminering, økonomisk tap, omdømmeskade eller andre inngrep i rettigheter. DPIA er derfor ikke en ren sikkerhetsanalyse, men en vurdering av om behandlingen er nødvendig, forholdsmessig og forsvarlig.
ISO 27001: risiko som styringsmotor
I ISO 27001 er risikovurderingen motoren i styringssystemet. Den forklarer hvorfor bestemte Tillegg A-kontroller er valgt, hvorfor andre er utelatt, hvem som eier risikoen og hvordan avvik lukkes.
DORA og NIS: risiko som driftskrav
DORA og digitalsikkerhetsloven gjør risikovurdering mer operasjonelt. Det holder ikke å ha et risikoregister; vurderingen må slå ut i hendelseshåndtering, kontinuitet, leverandøroppfølging, testing og styrte varslingsrutiner.
Sikkerhetsloven: risiko for nasjonale sikkerhetsinteresser
Sikkerhetsloven starter med skjermingsverdige verdier. Risikovurderingen må se verdi, trussel og sårbarhet samlet, og tiltakene må være sterke nok til å beskytte nasjonale sikkerhetsinteresser.
Relaterte oppslag i ordlisten
Status per 16. juni 2026: Digitalsikkerhetsloven gjennomfører NIS1 i Norge fra 1. oktober 2025. NIS2 er fortsatt ikke gjennomført i norsk rett, men er relevant for virksomheter som forbereder seg på kommende krav eller møter krav fra EU-kunder.