Roller er mer enn organisasjonskart. De avgjør hvem som kan ta beslutninger, hvem som har instruksjonsmyndighet, hvem som følger opp leverandører, og hvem som må kunne forklare valgene for revisjon, kunder og tilsyn.
Sammenligning
| Regelverk | Sentrale roller | Hva rollen avgjør | Vanlig feil |
|---|---|---|---|
| GDPRFormål, midler og kontroll | Behandlingsansvarlig, databehandler, felles behandlingsansvar og personvernombud | Hvem som bestemmer formålet, hvem som behandler på instruks, og hvem som skal rådgi og kontrollere | Kalle en leverandør databehandler uten å vurdere om leverandøren egentlig bestemmer egne formål |
| ISO 27001Ledelse og risikoeiere | Toppledelse, risikoeiere, prosesseiere, kontrollansvarlige og internrevisjon | Hvem som eier risiko, hvem som godkjenner tiltak, og hvem som må følge opp avvik og forbedring | Legge alt på sikkerhetsansvarlig uten at linjeledelsen eier risikoen |
| DORAManagement body | Ledelsesorgan, finansforetak, IKT-funksjoner, kontrollfunksjoner og IKT-tjenesteleverandører | Hvem som setter IKT-risikostrategi, godkjenner rammeverk og følger opp tredjepartsrisiko | Se på DORA som et rent IT-prosjekt i stedet for et ledelses- og styringskrav |
| NIS2 / digitalsikkerhetslovenVirksomhet og ledelse | Vesentlige og viktige virksomheter, ledelsesorgan, NSM, sektortilsyn og CSIRT | Om virksomheten omfattes, hvem som skal sikre tiltak, og hvem som skal varsles ved hendelser | Ikke skille mellom omfangsvurdering, ledelsesansvar og operativ beredskap |
| AI ActKI-verdikjede | Leverandør, ibruktaker, importør, distributør og berørt person | Hvem som må dokumentere, samsvarsvurdere, informere, bruke systemet riktig og følge opp risiko | Tro at virksomheten bare er bruker, selv om den tilpasser, integrerer eller tilbyr KI-systemet videre |
| SikkerhetslovenMyndighet og virksomhet | Departement, NSM, sektormyndighet, virksomhetens leder og sikkerhetsorganisasjon | Hvem som beslutter virkeområde, fører tilsyn og sørger for forsvarlig sikkerhetsnivå | Behandle sikkerhetsloven som bare teknisk sikring, uten tydelig myndighets- og lederansvar |
En enkel ansvarsmodell
Bruk fire spørsmål i alle prosjekter: Hvem bestemmer formålet? Hvem utfører behandlingen eller driften? Hvem kontrollerer at kravene følges? Hvem må godkjenne risikoen når tiltak ikke er på plass?
Svarene bør inn i behandlingsprotokoll, risikoregister, leverandøroversikt, beredskapsplan og teknisk dokumentasjon. Da blir rollene konkrete nok til å brukes i hverdagen.
Tre rollefeil som skaper risiko
Rådgiverrollen blir ansvarligrollen
Personvernombud, sikkerhetsrådgiver og compliance kan gi råd og kontrollere, men linjen og ledelsen må eie beslutningene.
Leverandøren får uklare instrukser
Hvis leverandørens rolle er uklar, blir også tilgang, underleverandører, logging, avvik og revisjonsrett uklart.
KI-rollen undervurderes
En virksomhet som bare "bruker" KI kan få flere plikter hvis løsningen tilpasses, integreres i en tjeneste eller tilbys videre.
Relaterte oppslag i ordlisten
Status per 16. juni 2026: Rollekravene i GDPR, DORA, digitalsikkerhetsloven/-forskriften og sikkerhetsloven gjelder i Norge for virksomheter som omfattes. AI Act og NIS2 er fortsatt ikke fullt gjennomført i norsk rett, men rollebegrepene er viktige for virksomheter som forbereder seg eller opererer i EU/EØS-markedet.