Du kjenner dem etter hvert. NIS2. GDPR. DORA. Cyber Resilience Act. AI Act. Cybersäkerhetslagen (den svenske cybersikkerhetslov). Seks regelverk, hvert med sine krav, sine frister og sine tilsynsmyndigheter.
Hver for seg håndterbare. De fleste organisasjoner har startet med noe: en GDPR-kartlegging her, en NIS2-utredning der, kanskje en AI-policy som noen fikk i oppgave å skrive.
Men her er det ingen snakker høyt om: de overlapper alle i nøyaktig de samme kravene.
Seks regelverk, fem felles krav
Risikostyring. Ledelsesinvolvering. Dokumentasjon. Rapportering. Leverandørkontroll.
Fem forventninger som går igjen i hvert regelverk. De fleste organisasjoner håndterer dem i separate spor. Separate ansvarlige. Separate tidsplaner. Dokumentsamlinger som ingen har oversikt over.
Fem krav som alle seks regelverkene deler:
- Systematisk risikostyring. NIS2, GDPR, DORA, CRA og AI Act krever alle at risikoer identifiseres, vurderes og håndteres løpende.
- Dokumentert ledelsesansvar. Ledelse og styre skal godkjenne, overvåke og kunne begrunne sine prioriteringer.
- Hendelsesrapportering. Stramme frister, tydelige eskaleringsveier, dokumenterte prosesser.
- Leverandørkontroll. Tredjepartsvurdering ved anskaffelse og løpende oppfølging.
- Sporbar dokumentasjon. Hvem besluttet hva, når og hvorfor. Den tråden leter revisorer alltid etter.
Resultatet av å håndtere disse i separate spor? Parallelle compliance-initiativer som ingen har helhetsbildet over. Dobbeltarbeid. Motstridende prioriteringer. En ledergruppe som tror at alt er under kontroll, fordi hvert enkelt spor rapporterer grønt.
En SAFEict/HarmonyQ-studie fra februar 2026 viser det samme mønsteret for Nederland og Belgia. Et integrert ledelsessystem reduserer dobbeltarbeidet: de samme kontrollene kan påvises for flere regelverk samtidig. Vår guide om kontrollmapping for multi-framework compliance beskriver fremgangsmåten steg for steg.
Hvorfor dette ikke er et IT-problem
Det er fristende å delegere reguleringshåndteringen til IT-avdelingen. Det er jo “tekniske” regelverk.
Kravbildet peker i en annen retning. NIS2 og Cybersäkerhetslagen fastslår eksplisitt ledelsesansvar. Ledelse og styre skal dokumentere sin involvering. Risikovurderinger skal forankres på ledelsesnivå. Ressursallokering skal kunne begrunnes.
Det kan ikke en IT-sjef løse alene. Det krever at organisasjonens styringsstruktur er tydelig og testet. Hvem beslutter hva, når og på hvilket grunnlag?
Beata Kaminski, cybersikkerhetsekspert med fokus på NIS2-strategi for små og mellomstore virksomheter, oppsummerer det i sin analyse av den danske reguleringsbevegelsen. Den viktigste endringen er ikke teknisk kompleksitet. Det er governance-kompleksitet.
Den observasjonen gjelder hele Norden. Vi har skrevet mer om ledelsens spesifikke ansvar under NIS2.
Sveriges spesifikke situasjon
I Sverige trådte Cybersäkerhetslagen (SFS 2025:1506) i kraft den 15. januar 2026. Den implementerer NIS2-direktivet og innebærer en skjerpelse sammenlignet med tidligere lovgivning.
Cybersäkerhetslagen krever blant annet:
- Systematisk risikostyring basert på en allrisikotilnærming
- Hendelsesrapportering med stramme frister
- Leverandørkontroll som en del av risikostyringen
- Dokumentert ledelsesansvar, der styre og ledelse skal kunne vise sin involvering
Les mer i vår gjennomgang av fem ting du trenger å vite om Cybersäkerhetslagen.
Parallelt nærmer AI Acts frister seg. Organisasjoner som bruker AI-systemer i høyrisikokategorier, må ha governance-strukturer på plass. GDPR-praksis skjerpes kontinuerlig. Og for finanssektoren legger DORA ytterligere krav til digital operasjonell resiliens.
Din organisasjon er berørt. Spørsmålet er om svaret deres er strukturert nok.
Fem tegn på at styringen deres ikke holder
Disse mønstrene dukker opp i organisasjon etter organisasjon. Kjenner du igjen tre eller flere, er det på tide å handle.
Dere har en GDPR-ansvarlig, en NIS2-ansvarlig og noen som "tar AI". Men ingen som ser hvordan kravene henger sammen og kan samordne innsatsene.
I stedet for per virksomhetsprosess. Samme risiko dokumenteres tre ganger i tre systemer, med tre forskjellige vurderinger.
Policyer godkjennes på ledermøtet. Men ingen i rommet kan beskrive hvilke risikoer som begrunnet beslutningene.
Leverandører granskes ved kontraktsinngåelse. Systematisk oppfølging i avtaleperioden mangler.
Hendelseshåndteringen deres er en plan i en perm, ikke en testet prosess. Ingen vet om rapporteringsfristene holder før det virkelig smeller.
Hvert enkelt punkt kan utbedres. Men sammen avslører de noe dypere: fraværet av en felles styringsstruktur. Nettopp det som reguleringsbølgen 2026 tester.
Løsningen: Én styringsstruktur, ikke flere sjekklister
Løsningen på reguleringsoverbelastningen er ikke flere verktøy eller flere konsulenter. Det er å bygge et felles grunnlag som bærer alle regelverk.
- Samle kravene i én struktur NIS2, GDPR, DORA, CRA og AI Act overlapper i kjerneprosessene: risikostyring, leverandørkontroll, hendelseshåndtering, logging og bevisføring. I stedet for separate compliance-prosjekter bør disse mappes mot de samme prosessene, eiendelene og informasjonsstrømmene. Vår [guide til kontrollmapping](/blogg/multi-framework-compliance/) viser hvordan det gjøres.
- Forankre risikovurderinger på ledelsesnivå Ledelsen skal forstå hvilke forretningsbeslutninger risikoene driver. De skal kunne forklare sine prioriteringer. Å godkjenne en risikomatrise og delegere nedover er ikke nok.
- Dokumentere beslutninger systematisk Hvem besluttet hva, når og hvorfor? Det er den gyldne tråden som revisorer og tilsynsmyndigheter leter etter: ubrutt sporbarhet fra virksomhetsprosesser til risikoer til kontroller. Uten den er compliance-dokumentasjon bare teater.
- Kartlegge informasjonsstrømmer Du kan ikke styre det du ikke ser. Hvilke systemer behandler hvilken informasjon? Hvor går data mellom virksomhetsprosesser, IT-systemer og datakilder? Den kartleggingen er grunnlaget for risikovurdering og regeloverholdelse. Start med en [GAP-analyse](/blogg/gap-analys-nis2-guide/) for å identifisere hvor dere står.
- Teste beredskapen før tilsynet gjør det Hendelseshåndtering, leverandøroppfølging, rapporteringsprosesser. Alt må være testet, ikke beskrevet i et dokument som ingen har åpnet siden forrige revisjon. Organisasjoner som kan dokumentere modenhet, står sterkere ved tilsyn. De vinner også anskaffelser lettere og bygger bedre kunderelasjoner.
Fra kostnad til konkurransefortrinn
Det er lett å se reguleringsbølgen som en belastning. Mer papirarbeid. Høyere kostnader.
Men perspektivet holder ikke lenger. Cybersikkerhet og den governance som bærer den, er en konkurranseparameter. Offentlige anskaffelser krever det. Kunder forventer det.
Organisasjoner som bygger en sammenhengende styringsstruktur nå, oppfyller regulatoriske krav og reduserer dobbeltarbeid på samme tid. Den governance-modenheten det gir, synes utad.
De som ikke gjør det, bygger fasader. Fasader holder ikke når det blåser.
Tre spørsmål å ta med til ledergruppen
Start her. Hvis dere ikke kan svare ja på alle tre, er det et tegn på at styringsstrukturen bør gjennomgås.
Behandles cyberrisiko systematisk på ledelsesnivå, eller er det delegert til IT?
Kan dere dokumentere prioriteringene, beslutningene og begrunnelsene deres?
Er ansvar og beslutningsveier testet, eller finnes de bare på papir?
Reguleringsbølgen 2026 kommer samlet. Svaret må være det også.
Vi har tidligere skrevet om hvorfor compliance ikke reduserer risiko uten styring og om GDPR og NIS2-integrasjon. Denne artikkelen bygger videre på de innsiktene.
Slik kan Securapilot hjelpe
- Integrert compliance: NIS2, GDPR, ISO 27001 og DORA i ett system med kontrollmapping
- Felles risikoregister: Ett risikobilde som dekker alle regelverk, med tydelige eiere per risiko
- Hendelsesrapportering: Automatisk tilpasning av rapporteringsprosess per regelverk og frist
- Ledelsesoversikt: Samlet risikobilde for styre og ledelse, på klart språk
- Sporbarhet: Fullstendig beslutnings- og tiltakshistorikk for tilsyn og revisjon
Book en demo og se hvordan en samlet styringsstruktur ser ut i praksis.
Vil du starte med en oversikt? Test vårt gratis compliance-verktøy for å se hvor dere står.
Ofte stilte spørsmål
Trenger vi separate prosesser for hvert regelverk?
Nei. NIS2, GDPR, DORA, CRA og AI Act overlapper i fem kjerneprosesser: risikostyring, hendelseshåndtering, ledelsesansvar, leverandørkontroll og dokumentasjon. En samlet styringsstruktur med kontrollmapping dekker alle seks regelverkene uten dobbeltarbeid.
Hvilket regelverk bør vi starte med hvis vi ikke oppfyller noen?
Start med Cybersäkerhetslagen og NIS2, som allerede gjelder siden januar 2026 og har tydelige sanksjoner. GDPR har gjeldt siden 2018. Disse tre gir et grunnlag som dekker mesteparten av kravene i DORA, CRA og AI Act.
Hva er felles for alle seks regelverkene?
Fem kjernekrav går igjen i samtlige: systematisk risikostyring, dokumentert ledelsesansvar, hendelsesrapportering, leverandørkontroll og sporbar dokumentasjon av beslutninger og tiltak.
Hvordan vet vi om styringsstrukturen vår holder?
Still tre spørsmål: Behandles cyberrisiko systematisk på ledelsesnivå? Kan dere dokumentere beslutninger og begrunnelser? Er ansvar og beslutningsveier testet, ikke bare beskrevet? Hvis svaret på noen av disse er nei, finnes det et gap.
