EU:s lagar påverkar nästan alla delar av vardagen i Europa, allt från miljö och konsumentskydd till digitala frågor och arbetsrätt, för att skapa gemensamma regler som skyddar medborgare och gör den inre marknaden smidig. Men även om målet är detsamma i alla länder, ser genomförandet av EU:s regler ganska olika ut beroende på vilket land man befinner sig.
Därför kan det vara svårt att hänga med i den nationella lagstiftningen när man som organisation verkar i flera EU-länder samtidigt. Nya domstolsbeslut, uppdateringar och tillsynsbeslut påverkar hur reglerna ska tillämpas, och även om kraven aldrig kan aldrig understiga EU:s minimistandard, kan de ofta bli strängare.
EU-beslut: Direktiv vs. Förordning
Hur ett land väljer att införa EU:s regler i sin egen lagstiftning har stor betydelse. Det påverkar både rättssäkerheten, alltså hur tydliga och förutsägbara reglerna är, och den demokratiska legitimiteten, det vill säga hur väl besluten förankras i varje land.
EU har två huvudsakliga typer av rättsakter som medlemsländerna måste följa och implementera: direktiv och förordningar.
- Ett direktiv berättar vad länderna ska uppnå, men låter dem själva bestämma hur de ska göra det. För att följa ett direktiv måste varje land därför ändra eller införa egna lagar – en process som kallas implementering.
- En förordning fungerar annorlunda. Den gäller direkt och automatiskt i alla EU-länder från dag ett, men kan ge viss frihet att tillägga egna nationella lagar. Här blir reglerna mer lika i alla länder.
Varför blir det olika lagar trots samma EU-beslut?
Trots att Sverige, Danmark och Norge ofta utgår från samma EU-regler, ser processen för att införa dem olika ut i varje land. Anledningen är framför allt deras rättsliga status. Medan Sverige och Danmark är EU-medlemmar, deltar Norge som ikke-medlem genom EES-avtalet, som bara omfattar delar av EU:s inre marknad.
När Norge ska följa nya EU-regler måste de nya EU-reglerna först godkännas av den gemensamma EES-kommittén, där Norge och de andra EFTA-länderna (Island och Liechtenstein) deltar. Efter det införs reglerna i Norge genom nationell lagstiftning.
Den här processen gör att det ofta tar längre tid för Norge att införa EU-regler jämfört med Sverige och Danmark. I Sverige och Danmark kan EU-förordningar börja gälla direkt, och direktiv kan snabbt införas genom nationell lag.
Samtidigt ger EES-systemet Norge lite mer flexibilitet. Landet kan i teorin välja att inte införa vissa regler, även om det sällan sker, eftersom det kan störa handeln med EU.
Skillnaderna i hastighet, inflytande och flexibilitet betyder att EU-reglerna inte alltid blir exakt lika i de skandinaviska länderna, trots ett nära samarbete mellan dem.
NIS2-direktivets implementering i Norden
NIS2-direktivet från EU handlar om att stärka cybersäkerheten i viktiga samhällssektorer och digitala tjänster. Det ställer krav på företag och myndigheter att skydda sina system och rapportera allvarliga incidenter.
Eftersom detta är ett direktiv och för att Sverige, Danmark och Norge har olika kopplingar till EU, sker implementeringen på lite olika sätt i de tre länderna.
NIS2-direktivet i dansk lag
I Danmark implementerades NIS2 genom NIS2-loven den 1 juli 2025, med tillhörande föreskrifter från Digitaliseringsstyrelsen och Styrelsen for Samfundssikkerhed og Beredskab. Även om denna lag omfattar ett brett spektrum av sektorer, har det tillkommit tre sektorspecifika NIS2-lagar för finans- (också kallad DORA), telekommunikations- och energisektorn.
Här har man valt att göra tillsynen sektorspecifik, vilket innebär att olika myndigheter ansvarar för var sin sektor. Samtidigt har Ministeriet for Samfundssikkerhed og Beredskab det övergripande ansvaret för både implementeringen av lagen och för att ta fram vägledningsmaterial som stöder myndigheterna och verksamheterna.
NIS2-direktivet i svensk lag
I Sverige blir NIS2-direktivet implementerat genom cybsersäkerhetslagen som väntas träda i kraft den 15 januari 2026 med tillkommande föreskrifter från både Myndigheten för samhällsskydd och beredskap (MSB) och Post- och telestyrelsen (PTS).
Likt Danmark har Sverige valt att göra tillsynen sektorspecifik, men reglerna i föreskrifterna delas upp mellan två områden: MSB skapar föreskrifter för alla, utom några specifika föreskrifter som hör under PTS:s föreskrifter, nämligen digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster, rymden samt post- och budtjänster.
NIS2-direktivet i norsk lag
I Norge infördes först NIS1-direktivet i norsk lag den 1 oktober 2025 genom Digitalsikkerhetsloven med tillhörande föreskrift, ett direktiv som EU antog 2016.
Detta betyder att NIS2-direktivet fortfarande väntas implementeras i norsk lag, men det måste först införlivas i EES-avtalet. Därför finns det ännu inget datum på när NIS2 väntas träda i kraft i norsk lag.
DORA-förordningens implementering i Norden
DORA (Digital Operational Resilience Act) är en EU-förordning som syftar till att stärka finansiella aktörers motståndskraft mot it- och cybersäkerhetsrisker. Förordningen ställer krav på att banker, försäkringsbolag och andra finansiella företag ska ha robusta system, hantera risker, rapportera incidenter och säkerställa kontinuitet i sin verksamhet vid störningar.
Olikt NIS2-direktivet, är DORA en förordning och gäller automatiskt i alla EU länder efter den 17 januari 2025. Däremot har processen för implementeringen sett annorlunda ut mellan Danmark, Sverige och Norge.
DORA-förordningen i dansk lag
I Danmark krävdes det nationella lagändringar för implementera DORA i praktiken. Regler om tillsyn och sanktionsmöjligheter infördes, samt att Finanstilsynet får det övergripande ansvaret för DORA-efterlevnaden inom den finansiella sektorn.
Landet har även infört sektorspecifika föreskrifter inom finanssektorn, som kompletterar den bredare NIS2-lagen. Finanstilsynet har också inlett en temaundersökning för att utvärdera hur försäkringsbolag och pensionsfonder implementerar DORA, särskilt med fokus på IT-riskhantering.
DORA-förordningen i svensk lag
I Sverige har man också behövt komplettera DORA med nationella lagändringar, bland annat för att fastställa ansvariga myndigheter, ge Finansinspektionen tillsyns- och sanktionsbefogenheter samt reglera avgifter enligt förordningen.
DORA-förordningen i norsk lag
I Norge implementerades DORA som en nationell lagstiftning, nämligen Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) den 1 juli 2025. Samtidigt upphävdes den befintliga IKT-föreskriften för finanssektorn för de företag som omfattas av DORA-lagen.
Finanstilsynet ansvarar för tillsynen av DORA-lagen och tillhörande föreskrifter i Norge. Även här har man valt att komma med kompletterande regler och Finanstilsynet kan komma att ta fram ytterligare föreskrifter, bland annat för hotbaserad penetrationstestning tillsammans med Norges Bank.
Implementering av GDPR i Norden
GDPR (General Data Protection Regulation) är EU:s dataskyddsförordning som syftar till att skydda personuppgifter och ge individer mer kontroll över sin information. Den ställer krav på hur företag och myndigheter samlar in, lagrar, använder och delar personuppgifter, och den innehåller regler för incidentrapportering vid dataintrång.
Även om GDPR är en EU-förordning som gäller direkt i alla medlemsländer från den 25 maj 2018, så fungerar tillämpningen lite olika i de tre länderna.
GDPR i dansk lag
I Danmark antog man en kompletterande lag till GDPR, nämligen Databeskyttelsesloven, som trätte i kraft samtidigt som förordningen. Lagen innehåller danska anpassningar som t.ex. regler för behandling av personnummer, särskilda bestämmelser för offentlig sektor och möjligheten att begränsa vissa rättigheter av hänsyn till allmänintresset.
Tillsynsmyndigheten i Danmark är Datatilsynet som blev ansvariga för kontroll, vägledning och sanktionsbeslut. Danmark har även publicerat omfattande praktiska vägledningar för företag och myndigheter.
GDPR i svensk lag
I Sverige infördes det också en kompletterande nationell lag, nämligen Dataskyddslagen (2018:218) för att reglera det som EU lämnade öppet i förordningen. Det handlar t.ex. om åldersgräns för barns samtycke, regler för behandling av personuppgifter i arbetslivet och inom offentlig sektor samt sanktioner och tillsyn.
Här fick Integritetsskyddsmyndigheten (IMY) rollen som nationell tillsynsmyndighet, med ansvar för att övervaka efterlevnaden, ge vägledning och besluta om administrativa sanktionsavgifter.
GDPR i norsk lag
I Norge införlivades GDPR genom en särskild EES-beslutsprocess. Det skedde i juli 2018, då Norge antog Personopplysningsloven, som inkorporerar GDPR i norsk rätt. Eftersom Norge inte är EU-medlem måste ändringar av GDPR först godkännas i EES-kommittén, vilket gör att de ofta börjar gälla lite senare än i EU-länderna.
Även i Norge har den nationella lagen bestämda regler om barns samtycke, behandling av personnummer, samt behandling för journalistiska, konstnärliga, akademiska och offentliga sektorns syften. Tillsynsmyndigheten är det norska Datatilsynet, med motsvarande uppgifter som IMY i Sverige.
Varför lokal anpassning i GRC är avgörande för compliance
Att följa lagar och regler i flera länder kan snabbt bli en mardröm utan rätt verktyg. Många organisationer förlitar sig fortfarande på Excel, e-post och manuella processer för att dokumentera risker, kontroller och policys. Det fungerar ofta i mindre skala, men blir snabbt ohanterligt när lagar förändras och verksamheten växer. Versioner försvinner, uppdateringar missas, ansvar blir otydligt och spårbarheten brister.
Men dessa manuella processer och utspridda kalkylark räcker inte längre nu när mer och mer ansvar sätts på ledningen och kraven blir strängare.
Struktur och skalbarhet med en modern GRC-plattform
För organisationer som verkar över olika EU-länder kan många av ovanstående utmaningar lösas genom att arbeta med en modern GRC-plattform. Här kan man hitta en lösning som är designat för att stödja lokala krav och dynamiska marknader, vilket gör det möjligt att arbeta strukturerat och skalbart.
Att samla compliance-arbetet av alla nationella lagar i en gemensam plattform för styrning, riskhantering och efterlevnad ger överblick och struktur. Plattformen samlar processer, policyer och kontroller, där de kan uppdateras, struktureras och följas upp på. Genom att bygga in GRC by design kan organisationen snabbare anpassa sig till nya regler, säkerställa konsekvent rapportering och minska administrationen.
För företag som verkar på flera marknader blir detta särskilt värdefullt. Plattformen ger er:
- Snabbare anpassning till nya regler och domstolsbeslut
- Mindre administration och färre manuella fel
- Bättre spårbarhet och konsekvent rapportering
- Transparens mellan lokala enheter och centrala compliance-team
En modern och lokaliserad GRC-plattform gör det alltså möjligt att kombinera central styrning med lokal efterlevnad. Där kan varje enhet arbeta enligt sina nationella krav, men fortfarande bidra till en gemensam, transparent struktur. På så sätt kan organisationen inte bara möta dagens regulatoriska krav, utan också stå bättre rustade för framtidens förändringar i ett alltmer komplext efterlevnadslandskap.
LÄS MER: Därför bör GRC inte styras i Excel
