EU-lovgivning påvirker i dag nesten alle sider av samfunnslivet i Europa. Fra miljøstandarder, forbrukerrettigheter og digitale tjenester til arbeidsliv og sikkerhet – felles regler skal sikre både beskyttelse av innbyggerne og et mer velfungerende indre marked. Men selv om målet er det samme i alle land, varierer gjennomføringen av EU-regler mye fra land til land.
Derfor kan det være vanskelig å holde oversikt over nasjonal lovgivning når man som organisasjon opererer i flere EU-land samtidig. Nye domstolsavgjørelser, oppdateringer og tilsynsbeslutninger påvirker hvordan reglene skal anvendes. Selv om kravene aldri kan være lavere enn EUs minimumsstandard, kan de ofte være strengere.
EU-beslutninger: Direktiv vs. Forordning
Hvordan et land velger å innføre EU-regler i sin egen lovgivning har stor betydning. Det påvirker både rettssikkerheten, altså hvor tydelige og forutsigbare reglene er, og den demokratiske legitimiteten, altså hvor godt beslutningene forankres nasjonalt.
EU har to hovedtyper rettsakter som medlemslandene må følge og implementere: direktiver og forordninger.
- Direktiv: Fastsetter hva medlemslandene skal oppnå, men lar hvert land velge hvordan. Det krever derfor at landene vedtar eller endrer egne lover – en nasjonal implementeringsprosess som gir rom for variasjon.
- Forordning: Gjelder direkte i alle EU-land fra ikrafttredelse. Den skal sikre like regler på tvers av Europa, men kan likevel inneholde begrensede muligheter for nasjonale tilpasninger.
Hvorfor forskjellige love selv om EU-beslutningen er den samme?
Selv om Sverige, Danmark og Norge ofte baserer seg på de samme EU-reglene, skiller implementeringsprosessen seg betydelig. Hovedårsaken er landenes juridiske status. Sverige og Danmark er EU-medlemmer, mens Norge deltar som ikke-medlem gjennom EØS-avtalen, som bare omfatter deler av EUs indre marked.
Når Norge skal følge nye EU-regler, må de først godkjennes av EØS-komiteen, hvor Norge og de andre EFTA-landene (Island og Liechtenstein) deltar. Deretter implementeres reglene i norsk lovgivning.
Denne prosessen gjør ofte at det tar lengre tid for Norge å innføre EU-regler sammenlignet med Sverige og Danmark. I Sverige og Danmark kan EU-forordninger tre i kraft direkte, og direktiver kan raskt innføres gjennom nasjonal lovgivning.
Samtidig gir EØS-systemet Norge noe mer fleksibilitet. Landet kan i teorien velge å ikke innføre enkelte regler, selv om dette sjelden skjer, da det kan påvirke handelen med EU.
Forskjeller i tempo, innflytelse og fleksibilitet gjør at EU-regler ikke alltid blir helt like i de skandinaviske landene, til tross for tett samarbeid.
NIS2-direktivets implementering i Norden
EU-direktivet NIS2 handler om å styrke cybersikkerheten i viktige samfunnssektorer og digitale tjenester. Det stiller krav til virksomheter og myndigheter om å beskytte systemene sine og rapportere alvorlige hendelser.
Siden dette er et direktiv, og fordi Sverige, Danmark og Norge har ulike tilknytninger til EU, skjer implementeringen på litt forskjellige måter i hvert land.
NIS2-direktivet i dansk lov
I Danmark ble NIS2 implementert gjennom NIS2-loven 1. juli 2025, med tilhørende forskrifter fra Digitaliseringsstyrelsen og Styrelsen for Samfundssikkerhed og Beredskab. Selv om denne loven omfatter et bredt spekter av sektorer, er det også vedtatt tre sektorspesifikke NIS2-lover for finans- (også kalt DORA), telekommunikasjon- og energisektoren.
Her har man valgt å gjøre tilsynet sektorspesifikt, noe som innebærer at ulike myndigheter har ansvar for hver sin sektor. Samtidig har Ministeriet for Samfundssikkerhed og Beredskab det overordnede ansvaret både for implementeringen av loven og for å utarbeide veiledningsmateriell som skal støtte myndighetene og virksomhetene.
NIS2-direktivet i svensk lov
I Sverige blir NIS2-direktivet implementert gjennom Cybersäkerhetlagen, som etter planen trer i kraft 15. januar 2026, med tilhørende forskrifter fra både Myndigheten för samhällsskydd och beredskap (MSB) og Post- och telestyrelsen (PTS).
I likhet med Danmark har Sverige valgt å gjøre tilsynet sektorspesifikt, men reglene i forskriftene er delt inn i to områder: MSB utarbeider forskrifter for alle, med unntak av enkelte spesifikke forskrifter som hører inn under PTS’ regelverk, nemlig digital infrastruktur, digitale leverandører, forvaltning av IKT-tjenester, romvirksomhet samt post- og budtjenester.
NIS2-direktivet i norsk lov
I Norge ble først NIS1-direktivet innført i norsk lov 1. oktober 2025 gjennom Digitalsikkerhetsloven med tilhørende forskrift – et direktiv som EU vedtok i 2016.
Dette innebærer at NIS2-direktivet fortsatt gjenstår å bli implementert i norsk lov, men først må det innlemmes i EØS-avtalen. Det foreligger derfor ennå ingen dato for når NIS2 ventes å tre i kraft i Norge.
Implementeringen av DORA-forordningen i Norden
DORA (Digital Operational Resilience Act) er en EU-forordning som har som formål å styrke finansielle aktørers motstandsdyktighet mot IKT- og cybersikkerhetsrisiko. Forordningen stiller krav til at banker, forsikringsselskaper og andre finansforetak skal ha robuste systemer, håndtere risiko, rapportere hendelser og sikre kontinuitet i virksomheten ved forstyrrelser.
I motsetning til NIS2-direktivet er DORA en forordning og gjelder automatisk i alle EU-land etter 17. januar 2025. Likevel har prosessen for den praktiske gjennomføringen vært ulik i Danmark, Sverige og Norge.
DORA-forordningen i dansk lov
I Danmark har det vært nødvendig med nasjonale lovendringer for å gjennomføre DORA i praksis. Regler om tilsyn og sanksjonsmuligheter er innført, og Finanstilsynet har fått det overordnede ansvaret for etterlevelsen av DORA innen finanssektoren.
Landet har også innført sektorspesifikke forskrifter innen finanssektoren som utfyller den mer overordnede NIS2-loven. Finanstilsynet har i tillegg startet en temaundersøkelse for å evaluere hvordan forsikringsselskaper og pensjonskasser implementerer DORA, med særlig fokus på IKT-risikostyring.
DORA-forordningen i svensk lov
Også i Sverige har det vært nødvendig å supplere DORA med nasjonale lovendringer, blant annet for å fastsette ansvarlige myndigheter, gi Finansinspektionen tilsyns- og sanksjonsmyndighet samt regulere gebyrer i henhold til forordningen.
DORA-forordningen i norsk lov
I Norge ble DORA gjennomført som nasjonal lovgivning gjennom lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) 1. juli 2025. Samtidig ble den eksisterende IKT-forskriften for finanssektoren opphevet for de foretakene som omfattes av DORA-loven.
Finanstilsynet har ansvaret for tilsynet med DORA-loven og tilhørende forskrifter i Norge. Også her har man valgt å innføre utfyllende regler, og Finanstilsynet kan komme til å utarbeide ytterligere forskrifter, blant annet for trusselbasert penetrasjonstesting i samarbeid med Norges Bank.
Implementering av GDPR i Norden
GDPR (General Data Protection Regulation) er EUs personvernforordning. Målet er å beskytte personopplysninger og gi enkeltpersoner bedre kontroll over egne data. Forordningen stiller krav til hvordan virksomheter og offentlige myndigheter samler inn, lagrer, bruker og deler personopplysninger. Den inneholder også regler for varsling ved datainnbrudd.
Selv om GDPR er en EU-forordning som har vært gjeldende direkte i alle EU-land siden 25. mai 2018, praktiseres den litt ulikt i Danmark, Sverige og Norge.
GDPR i dansk lov
I Danmark vedtok man en supplerende lov til GDPR, kalt Databeskyttelsesloven, som trådte i kraft samtidig med forordningen. Loven inneholder danske tilpasninger, for eksempel regler for bruk av personnummer, egne bestemmelser for offentlig sektor og mulighet til å begrense enkelte rettigheter av hensyn til allmennhetens interesser.
Tilsynsmyndigheten i Danmark er Datatilsynet, som har ansvar for kontroll, veiledning og ileggelse av sanksjoner. Danmark har også publisert omfattende og praktiske veiledere for både virksomheter og offentlige myndigheter.
GDPR i svensk lov
I Sverige ble det også innført en nasjonal tilleggslov, Dataskyddslagen (2018:218), for å regulere det som EU-forordningen åpner for nasjonale tilpasninger på. Dette gjelder blant annet aldersgrense for barns samtykke, regler for behandling av personopplysninger i arbeidslivet og offentlig sektor, samt regler for tilsyn og sanksjoner.
Her er Integritetsskyddsmyndigheten (IMY) nasjonal tilsynsmyndighet. De har ansvar for å følge opp regelverket, gi veiledning og fastsette administrative gebyrer ved brudd.
GDPR i norsk lov
I Norge ble GDPR innført gjennom en egen EØS-prosess. Dette skjedde i juli 2018, da personopplysningsloven ble vedtatt og gjorde GDPR til en del av norsk rett. Siden Norge ikke er medlem av EU, må endringer i GDPR først godkjennes i EØS-komiteen. Derfor trer slike endringer ofte i kraft litt senere i Norge enn i EU-landene.
Også i Norge fastsetter den nasjonale loven egne regler om blant annet barns samtykke, bruk av personnummer og behandling av personopplysninger for journalistiske, kunstneriske, akademiske og offentlige formål. Tilsynsmyndigheten er det norske Datatilsynet, som har tilsvarende oppgaver som IMY i Sverige.
Hvorfor lokal tilpasning i GRC er avgjørende
Å følge lover og regler i flere land kan raskt bli et mareritt uten riktige verktøy. Mange organisasjoner er fortsatt avhengige av Excel, e-post og manuelle prosesser for å dokumentere risikoer, kontroller og retningslinjer. Dette kan fungere i liten skala, men blir fort uoversiktlig når regelverk endres og virksomheten vokser. Versjoner forsvinner, oppdateringer overses, ansvar blir uklart og sporbarheten svekkes.
Disse manuelle prosessene og spredte regnearkene er heller ikke lenger tilstrekkelige når stadig mer ansvar legges på ledelsen og kravene blir strengere.
Struktur og skalerbarhet med en moderne GRC-plattform
For organisasjoner som opererer i flere EU-land, kan mange av disse utfordringene løses ved å bruke en moderne GRC-plattform. En slik løsning er utviklet for å støtte lokale krav og dynamiske markeder, og gjør det mulig å jobbe både strukturert og skalerbart.
Når alt compliance-arbeid knyttet til nasjonale lover samles i én felles plattform for styring, risikohåndtering og etterlevelse, får man bedre oversikt og kontroll. Plattformen samler prosesser, retningslinjer og kontroller på ett sted, hvor de kan oppdateres, struktureres og følges opp. Ved å bygge inn GRC «by design» kan virksomheten raskere tilpasse seg nye regler, sikre konsistent rapportering og redusere administrativt arbeid.
For selskaper som opererer i flere markeder, er dette spesielt verdifullt. Plattformen gir dere:
- Raskere tilpasning til nye regler og rettsavgjørelser
-
Mindre administrasjon og færre manuelle feil
-
Bedre sporbarhet og mer ensartet rapportering
-
Større åpenhet mellom lokale enheter og sentrale compliance-team
En moderne og lokalt tilpasset GRC-plattform gjør det altså mulig å kombinere sentral styring med lokal etterlevelse. Hver enhet kan jobbe etter nasjonale krav, samtidig som de bidrar til en felles, transparent struktur. På denne måten kan organisasjonen ikke bare møte dagens regulatoriske krav, men også stå bedre rustet for fremtidige endringer i et stadig mer komplekst regelverkslandskap.
LES OGSÅ: Derfor bør du ikke styre GRC i Excel
