GDPR, DORA, ekomloven, sikkerhetsloven, digitalsikkerhetsloven, NIS2 og AI Act har ulike tilsynsmodeller. Likevel er tilsynslogikken lik: virksomheten må vise hva som gjelder, hvem som har ansvar, hvilke vurderinger som er gjort og hvordan avvik følges opp.
Sammenligning
| Regelverk | Tilsynsspor | Hva dere må kunne vise | Mulige reaksjoner |
|---|---|---|---|
| GDPRDatatilsynet | Datatilsynet fører tilsyn med behandling av personopplysninger og håndhever ansvarlighetsplikten | Behandlingsgrunnlag, protokoll, DPIA, databehandleravtaler, sikkerhetstiltak og håndtering av brudd | Pålegg, forbud eller begrensninger, korrigering og overtredelsesgebyr |
| DORAFinanstilsynet | Finanstilsynet følger opp finansforetakets digitale operasjonelle motstandsdyktighet | IKT-risikostyring, hendelseshåndtering, testing, tredjepartsregister og ledelsesoppfølging | Tilsynsmessige tiltak og sanksjoner etter DORA-regimet |
| NIS2 / digitalsikkerhetslovenSektor- og sikkerhetsmyndigheter | NSM og utpekte sektormyndigheter følger opp virksomheter som omfattes | Registrering, risikostyringstiltak, sikkerhetsstyring, beredskap, leverandøroppfølging og varslingsrutiner | Pålegg, oppfølging, tvangsmulkt og gebyr etter relevant norsk gjennomføring |
| EkomlovenNkom og Datatilsynet | Cookie-reglene følges opp av Nkom og Datatilsynet, med ulike deler av bestemmelsen | Hvilke cookies som settes, hvorfor de settes, samtykkeflyt og mulighet til å avvise og trekke tilbake | Pålegg, retting, tvangsmulkt og sanksjoner |
| AI ActMarkedstilsyn og AI Office | Nasjonale myndigheter og EU-nivået følger opp ulike plikter, særlig for høyrisiko-KI og generelle KI-modeller | Risikoklassifisering, teknisk dokumentasjon, samsvarsvurdering, logging, transparens og menneskelig tilsyn | Pålegg, tilbaketrekking, forbud og administrative overtredelsesgebyr |
| SikkerhetslovenNSM og sektortilsyn | Sikkerhetsmyndigheten og eventuelle sektormyndigheter fører tilsyn med forebyggende sikkerhetsarbeid | Sikkerhetsstyring, risikovurderinger, skjermingsverdige verdier, tiltak, autorisasjon og hendelseshåndtering | Pålegg, tvangsmulkt, overtredelsesgebyr eller politianmeldelse |
Forberedelse før tilsyn
Den beste forberedelsen er ikke en mappe kalt "tilsyn". Det er daglig styring som etterlater spor: risikovurderinger som faktisk brukes, avvik som lukkes, leverandører som følges opp og ledelsesbeslutninger som kan forklares.
Når tilsynet kommer, bør dere kunne fortelle historien i riktig rekkefølge: hva som gjelder for virksomheten, hvor risikoen ligger, hvilke tiltak som er valgt, hva som er utsatt, og hvem som eier neste handling.
Tre feil som øker sanksjonsrisiko
Ingen eier av tilsynssporet
Juridisk, sikkerhet, IT og ledelse sitter ofte på hver sin del. Uten én ansvarlig koordinator blir svarene fragmenterte.
Dokumentasjon uten driftsspor
Rutiner og policyer hjelper lite hvis dere ikke kan vise at de er brukt i hendelser, endringer, leverandørvalg og ledelsesrapportering.
Rettetiltak uten frist og kontroll
Et funn må ha eier, frist, status og kontroll. Ellers blir "lukket avvik" bare en merkelapp.
Relaterte oppslag i ordlisten
Status per 16. juni 2026: GDPR, DORA, ekomloven, digitalsikkerhetsloven/-forskriften og sikkerhetsloven gjelder i Norge for virksomheter som omfattes. NIS2 og AI Act er fortsatt ikke fullt gjennomført i norsk rett, men tilsyns- og sanksjonsmodellene er viktige i forberedelsesarbeidet.