Testing og beredskap binder sammen risiko, hendelser, dokumentasjon og ledelse. En moden virksomhet tester ikke bare teknologi, men også beslutningslinjer, leverandørkontakt, kommunikasjon, gjenoppretting og læring etter avvik.
Sammenligning
| Regelverk | Hva som bør testes | Hva beredskap betyr | Vanlig svakhet |
|---|---|---|---|
| DORADigital motstandsdyktighet | Risikobaserte tester, sårbarhetsvurderinger, scenarioøvelser og TLPT der det gjelder | IKT-kontinuitet, respons, gjenoppretting, hendelsesklassifisering og rapportering | Tester tekniske kontroller, men ikke ledelsesbeslutninger, leverandørkontakt og gjenoppretting |
| ISO 27001Revisjon og forbedring | Kontroller, internrevisjon, ledelsens gjennomgang, avvik og korrigerende tiltak | Systematisk forbedring av ISMS basert på måling, hendelser, revisjon og risikoendringer | Internrevisjon blir sjekkliste, ikke test av om styringssystemet faktisk virker |
| NIS2 / digitalsikkerhetslovenSikkerhet og varsling | Tiltak for sikkerhet, hendelsesdeteksjon, leverandøravhengigheter og varslingsrutiner | Evne til å håndtere vesentlige hendelser, varsle riktig og opprettholde samfunnsviktige tjenester | Beredskapsplanen finnes, men roller, kontaktpunkter og frister er ikke øvd |
| GDPRPersonvern og brudd | DPIA-tiltak, tilgangsstyring, innebygd personvern, sletting, innsyn og bruddhåndtering | Evne til å oppdage, vurdere og håndtere brudd på personopplysningssikkerheten innen fristene | Bruddprosessen er skrevet, men ikke øvd med juridisk, IT, kundeservice og ledelse samtidig |
| AI ActKI-risikostyring | Risikostyring, datakvalitet, logging, menneskelig tilsyn, bruksanvisning og samsvarsvurdering | Evne til å stoppe, justere eller eskalere KI-bruk når systemet gir uventede eller skadelige resultater | Test av modellkvalitet uten test av bruksmiljø, menneskelig kontroll og feilrespons |
| SikkerhetslovenForebyggende sikkerhet | Sikkerhetsstyring, informasjonssystemsikkerhet, tilgang, autorisasjon og beskyttelse av skjermingsverdige verdier | Evne til å forebygge, avdekke, håndtere og gjenopprette ved sikkerhetstruende virksomhet | Tester enkeltkontroller, men ikke helheten mellom verdi, trussel, risiko og ledelsesbeslutning |
Bygg ett test- og øvingshjul
Planlegg året med flere testtyper: teknisk kontrolltest, leverandørøvelse, hendelsesscenario, ledelsesøvelse, varslingsøvelse og etterkontroll. Det gir bedre dekning enn én stor årlig øvelse.
Hver test bør ende i samme format: funn, konsekvens, tiltak, eier, frist og kontroll. Da kobles testarbeidet direkte til risikostyring, dokumentasjon og ledelsens oppfølging.
Tre feil som svekker beredskap
Planen øves ikke med riktige personer
Hvis ledelse, kommunikasjon, juridisk, IT og leverandør ikke øver sammen, vet dere ikke om prosessen virker.
Testfunn blir ikke risikofunn
Et teknisk funn bør kobles til risiko, eier, frist og beslutning. Ellers blir det stående i en rapport uten fremdrift.
Leverandørens beredskap antas
Avtalen bør si hvordan leverandøren varsler, deltar i øvelser, deler logger og støtter gjenoppretting.
Relaterte oppslag i ordlisten
Status per 16. juni 2026: DORA, GDPR, digitalsikkerhetsloven/-forskriften og sikkerhetsloven gjelder i Norge for virksomheter som omfattes. ISO 27001 er en frivillig standard. NIS2 og AI Act er fortsatt ikke fullt gjennomført i norsk rett, men kravene til testing, øving og risikostyring er relevante for forberedelser.