EU-lovgivning påvirker næsten alle dele af samfundet i Europa fra miljøstandarder, forbrugerbeskyttelse og digitale tjenester til arbejdsliv og sikkerhed. Formålet er at skabe fælles regler, der beskytter borgerne og sikre et mere velfungerende indre marked. Men selvom målet er det samme i alle medlemslande, ser implementeringen af EU-reglerne ret forskellig ud, afhængigt af hvilket land du befinder dig i.
Derfor kan det være svært at få overblik over national lovgivning, når man som organisation opererer i flere EU-lande samtidig. Nye domstoleafgørelser, opdateringer og tilsynsbeslutninger påvirker, hvordan reglerne skal anvendes. Selvom kravene aldrig kan være lavere end EU's minimumsstandard, kan de ofte være strengere.
EU-beslutninger: Direktiv vs. Forordning
Hvordan et land vælger at indføre EU's regler i sin egen lovgivning har stor betydning. Det påvirker både retssikkerheden, altså hvor tydelige og forudsigelige reglerne er, og den demokratiske legitimitet, altså hvor godt beslutnikngerne forankres nationalt.
EU har to hovedtyper af retsakter, som medlemslandene skal følge og implementere: Direktiver og forordninger.
- Et direktiv fastsætter, hvad medlandsenelandene skal opnå, men lader hvert land selv bestemme, hvordan de skal gøre det. For at overholde et direktiv skal hvert land derfor ændre eller indføre sine egne love - en proces, som kaldes implementering.
- En forordning fungerer anderledes. Den gælder direkte og automatisk i alle EU-lande fra dag et, men der er en vis frihed til at tilføje nationale love. Her bliver reglerne mere ens i alle lande.
Hvorfor forskellige love seolvom EU-beslutningen er den samme?
Trods Sverige, Danmark og Norge ofte baserer sig på de samme EU-regler, er implementeringsprocessen forskellig i hvert land. Hovedårsagen er først og fremmest landenes juridiske status. Mens Sverige og Danmark er EU-medlemmer, deltager Norge som ikke-medlem gennem ESS-aftalen, som bare omfatter dele af EU's indre marked.
Når Norge skal følge nye EU-regler, skal de først godkendes af EØS-udvalget, hvor Norge og de andre EFTA-lande (Island og Liechtenstein) deltager. Reglerne implementeres derefter i norsk lovgivning.
Denne proces gør, at det ofte tager længere tid for Norge at indføre EU-regler sammenlignet med Sverige og Danmark. I Sverige og Danmark kan EU-forordninger træde i kraft direkte, og direktiver kan hurtigt implementeres gennem national lovning.
Samtidig giver EØS-systemet Norge lidt mere fleksibilitet. I teorien kan landet vælge ikke at indøre visse regler, selvom dette sjældent sker, da det kan forstyrre handlen med EU.
Forskellene i hastighed, indflydelse og fleksibilitet betyder, at EU-reglerne ikke altid er præcis de samme i de skandinaviske lande på trods af et tæt samarbejde mellem dem.
NIS2-direktivets implementering i Norden
NIS2-direktivet fra EU handler om at styrke cybersikkerheden i vigtige samfundssektorer og digitale tjenester. Det stiller krav til virksomheder og myndigheder om at beskytte sine systemer og rapportere alvorlige hændelser.
Da dette er et direktiv, og fordi Sverige, Danmark og Norge har forskellige tilknytninger til EU, sker implementeringen på lidt forskellige måder i de tre lande.
NIS2-direktivet i dansk lovgivning
I Danmark blev NIS2 implementeret gennem NIS2-loven den 1. juli 2025 med tilhørende forskrifter fra Digitaliseringsstyrelsen og Styrelsen for Samfundssikkerhed og Beredskab. Selvom denne lov dækker en bred vifte af sektorer, er der tilføjet tre sektorspecifikke NIS2-love for finans- (også kaldet DORA), telekommunikations- og energisektoren.
Her har man valgt at gøre tilsynene sektorspecifikke, hvilket betyder at forskellige myndigheder har ansvaret for hver deres sektor. Samtidig har Ministeriet for Samfundssikkerhed og Beredskab det overordnede ansvar for både implementeringen af lovgivningen og for at producere vejledningsmateriale, der understøtter myndighederne og virsomhederne.
NIS2-direktivet i svensk lovgivning
I Sverige bliver NIS2-direktivet implementeret gennem Cybersikkerhedsloven, som forventes at træde i kraft den 15. januar 2026 med tilhørenrde forskrifter fra både Myndigheden for samhällsskader og beredskab (MSB) og den svenske post- och telestyrelsen (PTS).
Ligesom Danmark har Sverig valgt at gøre tilsynene sektorspecifikke, men reglerne i forskrifterne er opdelt i to områder: MSB udarbejder foreskrifterne for alle, med undtagelse af enkelte specifikke regler, som hører ind under PTS' regler, nemlig digital infrastruktur, digitale leverandører, forvaltning af IKT-tjenester, plads samt post- og kurertjenester.
NIS2-direktivet i norsk lovgivning
I Norge bliver NIS1-direktivet først implementeret i norsk lovgivning den 1. oktober 2025 gennem loven om digital sikkerhed med tilhørende bestemmelser, et direktiv som EU vedtog i 2026.
Det betyder, at NIS2-direktivet stadig forventes implementeret i norsk lovgivning, men det skal først indarbejdes i EØS-aftalen. Derfor er der ingen dato for, hvornår NIS2 forventes at træde i kradt i norsk lovgivning.
DORA-forordningens implementering i Norden
DORA (Digital Operational Resilience Act) er en EU-forordning, som har til formål at styrker finansielle aktørers modstandskraft mod IT- og cybersikkerhedsrisici. Forordningen stiller krav om, at banker, forsikringsselskaber og andre finansielle virksomheder skal have robuste systemer, håndtere risici, rapportere hændelser og sikre kontinuitet i virksomheden ved forstyrrelser.
I modsætning til NIS2-direktiver er DORA en forordning og gælder automatisk i alle EU-lande efter den 17. januar 2025. Alligevel har implementeringsprocessen set forskellig ud i Danmark. Sverige og Norge.
Olikt NIS2-direktivet, är DORA en förordning och gäller automatiskt i alla EU länder efter den 17 januari 2025. Däremot har processen för implementeringen sett annorlunda ut mellan Danmark, Sverige och Norge.
DORA-forordningen i dansk lovgivning
I Danmark har det været nødvendigt med nationale lovændringer for at gennemføre DORA i praksis. Regler om tilsyn og sanktioner indføres, og Finanstilsynet har det overordnede ansvar for DORA-compliance inden for den finansielle sektor.
Landet har indført sektorspecifikke regler til den finaniselle sektor som supplement til den bredere NIS2-lov. Finanstilsynet har også iværksat en tematisk undersøgelse for at evaluere, hvordan forsikringsselskaber og pensionskasser implementerer DORA med særligt fokus på IT-risikohåndtering.
DORA-forordningen i svensk lovgivning
I Sverige har man også haft behov for at komplementere DORA med nationale lovændringer, blandt andet for at fastlægge ansvarlige myndigheder, give Finansinspektionen tilsyns- og sanktionsbeføjelser samt regulere gebyrer i henhold til forordningen.
DORA-forordningen i norsk lovgivning
I Norge blev DORA implementeret som en national lovgivning, nemlig Loven om digital operationel modstandsdygtighed i finanssektoren (DORA-loven) den 1. juli 2025. Samtidig blev den eksisterende IKT-regulering for den finansielle sektor ophævet for de virksomheder, der er omfattet af DORA-loven.
Det norske Finanstilsyn ansvarlig for tilsynet med DORA-loven og tilhørende foreskrifter i Norge. Også her har man valgt at indføre supplerende regler, og Finanstilsynet kan udvikle yderligere bestemmelser, herunder for trusselsbaseret penetrationstestning sammen med Norges Bank.
Implementering af GDPR i Norden
GDPR (General Data Protection Regulation) er EU's databeskyttelsesforordning, som har til formål at beskytte personoplysninger og give individer mere kontrol over sin information. Den stiller krav til, hvordan virksomheder og myndigheder indsamler, opbevarer og deler personoplysninger, og den indeholder regler for hændelsesrapportering ved databrud.
Selvom GDPR er en EU-forordning, som gælder direkte i alle medlemslande fra dem 25. maj 2018, fungerer anvendelsen forskellige i de tre lande.
GDPR i dansk lovgivning
I Danmark vedtog man en supplerende lov til GDPR, nemlig Databeskyttelsesloven, som trådte i kraft samtidig med forordningen. Loven indeholder danske tilpasninger såsom regler for behandling af CPR-numre, særlige bestemmelser for den offentlige sektor og mulighed for at begrænse visse rettigheder af hensyn til samfundsinteresser.,
Tilsynsmyndigheden i Danmark er Datatilsynet, som blev ansvarlige for kontrol, vejledning og sanktionsafgørelser. Danmark har også publiceret omfattende praktiske vejledninger til virksomheder og myndigheder.
GDPR i svensk lovgivning
I Sverige indførte man også en supplerende national lov, nemlig Dataskyddslagen (2018:218) for at regulere det, som EU lod stå åbent i forordningen. Det handler blandt andet om aldersgrænse for børns samtykke, regler for behandling af personoplysninger i arbejdslivet og inden for den offentlige sektor samt sanktioner og tilsyn.
Her fik Integritetsskyddsmyndigheten (IMY) rollen som national myndighed med ansvar for at overvåge efterlevelse, give vejledning og træffe beslutninger om administrative bødegebyrer.
GDPR i norsk lovgivning
I Norge blev GDPR indarbejdet gennem særskilt EØS-beslutningsproces. Det skete i juli 2018 . da Norge vedtog Personopplysningsloven, som inkorporerer GDPR i norsk lov. Da Norge ikke er medlem af EU, skulle ændringer af GDPR først godkendes i EØS-udvalget, hvilket betød at de trådte i kraft senere end i EU-landene.
Også i Norge har den nationale lov bestemte regler i forhold til børns samtykke, behandling af personnumre samt behandling til journalistiske, kunstneriske, akademiske og offentlige formål. Tilsynsmyndigheden er den norske databeskyttelsesmyndighed, med tilsvarende opgaver som IMY i Sverige.
Hvorfor lokal tilpasning i GRC er afgørende for compliance
At følge love og regler i flere lande kan hurtigt blive et mareridt uden de rigtige værktøjer. Mange organisationer er fortsat afhængige af Excel, E-mail og manuelle processer for at dokumentere risici, kontroller og politikker. Det fungere ofte i mindre skala, men bliver hurtigt uhåndterligt efterhånden som love ændres og virksomheder vokser. Versioner forsvinder og opdateringer glemmes, ansvarsområder bliver uklare, og sporbarheden mangler.
Men disse manuelle processer og regneark spredt rundt omkring er ikke længere nok nu, hvor mere og mere ansvar lægges på ledelsen, og kravene bliver strengere.
Struktur og skalerbarhed med en moderne GRC-platform
For orgnaiationer, som opererer i flere forskellige EU-lande, kan mange af de ovenstående udfordringer løsning ved at arbejed med en moderne GRC-platform. Her kan man finde en løsning, der er designet til at understøtte lokale krav og dynamiske markeder, hvilket gør det muligt at arbejde struktureret og skalerbart.
Ved at samle compliance-arbejdet på tværs af alle nationale love i en fælles platform for styring, risikostyring og compliance, skabes overblik og struktur. Platformen samler processer, politikker og kontroller, hvor de kan opdateres, struktureres og følges op på. Ved at indbygge GRC by design kan organisationen hurtigere tilpasse sig nye regler, sikre ensartet rapportering og reducere administration.
Dette er især værdifuldt for virksomheder, der opererer på flere markeder. Platformen giver dig:
-
Hurtigere tilpasning til nye regler og retsafgørelser
-
Mindre administration og færre manuelle fejl
-
Bedre sporbarhed og ensartet rapportering
-
Gennemsigtighed mellem lokale enheder og centrale complianceteams
En moderne og lokaliseret GRC-platfom gør det altså muligt at kombinere central styring med lokal compliance. Hver enhed kan arbejde i henhold til sine nationale krav, men stadig bidrage til en fælles, transparent struktur. På denne måde kan organisationen ikke blot opfylde nutidens lovgivningsmæssige krav, men også være bedre rustet til fremtidige ændringer i et stadig mere komplekst compliance-landskab.
LÆS MERE: Derfor bør GRC ikke styres i Excel
