logoRevisjon og Regnskap

Last ned PDF
Teknologi og digitalisering

Digitalsikkerhetsloven skjerper kravene til styring og ansvar

90-94

Et nytt regelverk trer i kraft: Digitalsikkerhetsloven markerer et skifte i hvordan norske virksomheter må arbeide med informasjonssikkerhet. Slik går virksomheter frem for å bli compliant – og hva betyr det i praksis for revisorer?

Senioradvokat
Trine Hammervold

Advokatfirmaet Arntzen Grette

Partner
Christopher Hestnes

Advokatfirmaet Arntzen Grette

Digitalsikkerhetsloven skjerper kravene til styring og ansvar

Digitalsikkerhetsloven og tilhørende forskrift pålegger et stort antall virksomheter i samfunnskritiske sektorer og tilbydere av digitale tjenester å etablere styringssystemer, gjennomføre risikovurderinger og sikre at øverste ledelse tar et tydelig ansvar. For virksomheter betyr dette ikke bare et juridisk krav, men et behov for å etablere konkrete prosesser, rutiner og dokumentasjon som viser faktisk etterlevelse. For revisorer og regnskapsførere betyr dette både nye kontrollpunkter og nye rådgivningsmuligheter.

En ny æra for digital sikkerhet

1. oktober 2025 fikk Norge for første gang en helhetlig lovgivning for digital sikkerhet. Lov nr. 108 av 20. desember 2023 om digital sikkerhet («Digitalsikkerhetsloven»)*Lov nr. 108 av 20. desember 2023 om digital sikkerhet. ble vedtatt i desember 2023, og gjennomfører EUs første NIS-direktiv (EU-direktiv 2016/1148*Europaparlaments- og rådsdirektiv (EU) 2016/1148 (Directive concerning measures for a high common level of security of network and information systems across the Union).) i norsk rett. Sammen med loven trådte også forskrift nr. 1131 av 20. juni 2025 om digital sikkerhet («Digitalsikkerhetsforskriften»)*Forskrift nr. 1131 av 20. juni 2025 om digital sikkerhet (FOR-2025-06-20-1131). i kraft.

Til sammen utgjør loven og forskriften en omfattende regulering av digital sikkerhet for to uavhengige kategorier av virksomheter, både tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester.

Regelverket gjelder blant annet for virksomheter som leverer samfunnsviktige tjenester innen energi, tranport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur*Digitalsikkerhetsloven § 2 første ledd bokstav a., samt digitale tjenesteleverandører*Digitalsikkerhetsloven § 2 første ledd bokstav b. som skytjenester, nettbaserte markedsplasser og søkemotorer*Digitalsikkerhetsloven § 9..

Formålet med regelverket er å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes til å levere samfunnskritiske tjenester og digitale tjenester*Digitalsikkerhetsloven § 1..

Unntak fra lovens og forskriftens virkeområde

Digitalsikkerhetsloven gjelder ikke for virksomheter som er omfattet av lov om elektroniske tillitstjenester (eIDAS-loven)*Digitalsikkerhetsloven § 2 annet ledd.. Dette omfatter aktører som leverer elektronisk identifikasjon og tillitstjenester, som i stedet reguleres av eIDAS-regelverket*eIDAS-forordningen (EU) nr. 910/2014 Artikkel 2 og 3 nr. 4 og 16.. Digitalsikkerhetsforskriften gjør videre unntak for krav til digital sikkerhet og varslingsplikt for små virksomheter som tilbyr digitale tjenester*Digitalsikkerhetsforskriften § 2.. Forutsetningen er at de har færre enn 50 ansatte, og en årlig omsetning eller årlig samlet balanse som ikke overstiger 10 millioner euro.

Hvem er tilbydere av samfunnsviktige tjenester?

En virksomhet regnes som tilbyder av en samfunnsviktig tjeneste når den leverer en tjeneste som er nødvendig for at viktige samfunns- eller økonomiske funksjoner skal fungere. Leveransen er avhengig av nettverks- og informasjons-systemer, og tjenesten kan bli betydelig forstyrret ved en hendelse.*Digitalsikkerhetsloven § 6 første ledd.

Når man vurderer om en hendelse kan forstyrre leveransen betydelig*Digitalsikkerhetsloven § 6 annet ledd., skal det særlig legges vekt på:

  • hvor mange brukere som er avhengige av tjenesten,

  • om andre sektorer (de som nevnt ovenfor) er avhengige av tjenesten,

  • hvilken effekt en hendelse kan få (omfang og varighet) for økonomi, samfunnsliv og samfunnssikkerhet,

  • virksomhetens markedsandel,

  • hvor stort geografisk område som kan bli berørt,

  • hvor viktig virksomheten er for total tilgang på tjenesten, gitt hvilke alternativer som finnes,

  • eventuelle særlige forhold i den aktuelle sektoren.

Pliktene gjelder uavhengig av virksomhetens størrelse og organisering; det avgjørende er tjenestens kritikalitet.

Digitalsikkerhetsforskriften § 1 angir hvem som skal regnes som tilbydere av samfunnsviktige tjenester. I tillegg kan ansvarlig departement eller NSM*Nasjonal Sikkerhetsmyndighet. fatte vedtak om at loven helt eller delvis skal gjelde for andre tilbydere av samfunnsviktige tjenester enn de som er nevnt i § 1.

Meldeplikt for tilbydere av samfunnsviktige tjenester

Utgangspunktet for etterlevelse for tilbydere av samfunnsviktige tjenester er å avklare om virksomheten omfattes av regelverket. Regelverket krever at virksomheter gjennomfører en vurdering av virksomhetens tjenester, og vurderer hvorvidt de omfattes*Digitalsikkerhetsforskriften § 5.. Dersom det er tilfellet, skal de snarest meldes inn til Nasjonal sikkerhetsmyndighet (NSM) og relevant tilsynsmyndighet med opplysninger om virksomhetens navn, organisasjonsnummer og kontaktinformasjon, hvilken tjeneste som tilbys, hvilken samfunnssektor den tilhører, hvilke andre land tjenesten tilbys i, samt hvilket geografisk område som berøres.

Meldekravet gir tilsynsmyndighetene oversikt over hvilke virksomheter som omfattes av regelverket, og danner grunnlag for målrettet tilsyn og koordinering.

Klare krav til styringssystem og ledelsesforankring hos tilbydere av samfunnsviktige tjenester

Digitalsikkerhetsloven krever at virksomheter etablerer styringssystemer for digital sikkerhet og kan dokumentere faktisk etterlevelse.

Foto: Arntzen Grette.

Selve kjernen i det nye regelverket er kravet om at virksomheter som tilbyr samfunnsviktige tjenester, skal etablere og vedlikeholde et styringssystem for digital sikkerhet*Digitalsikkerhetsforskriften § 6.. Systemet skal inngå som en integrert del av den overordnede virksomhetsstyringen, og dokumenteres på en måte som gjør det mulig for tilsynsmyndigheter å etterprøve hvordan sikkerhetsarbeidet er organisert.

Et styringssystem i denne sammenhengen er ikke nødvendigvis et bestemt IT-verktøy, men et sett av dokumenterte prosesser, retningslinjer og roller som sikrer planlegging, gjennomføring, oppfølging og kontinuerlig forbedring av sikkerhetsarbeidet.

Et praktisk styringssystem vil typisk bestå av:

  • en overordnet sikkerhetspolicy vedtatt av ledelsen,

  • definerte roller og ansvar (for eksempel sikkerhetsleder, IKT-ansvarlig, hendelseshåndterings-gruppe),

  • prosedyrer for risikovurdering, endringshåndtering og hendelseshåndtering,

  • rutiner for intern revisjon og ledelsens gjennomgang, og

  • plan for opplæring og kontinuerlig forbedring.

Virksomhetens øverste leder har ansvaret for å sikre at virksomheten opprettholder et forsvarlig sikkerhetsnivå innenfor lovens virkeområde*Digitalsikkerhetsforskriften § 6 fjerde ledd første punktum.. Systemet skal godkjennes av virksomhetens leder, og gjennomgås minst årlig med sikte på å forbedre sikkerhetsarbeidet*Digitalsikkerhetsforskriften § 6 fjerde ledd annet punktum.. For virksomheter som allerede er sertifisert etter ISO 27001, kan eksisterende systemer i stor grad gjenbrukes, men man bør kontrollere at kravene i digitalsikkerhetsloven er uttrykkelig dekket.

Ovennevnte krav innebærer en tydelig forskyvning av ansvaret for digital sikkerhet: fra å være et rent IT-anliggende, til å bli et styre- og ledelsesansvar. Ledelsen må kunne dokumentere både at systemet eksisterer, og at det faktisk brukes i praksis.

Risikovurderinger og tiltak som minimumskrav for tilbydere av samfunnsviktige tjenester

Både loven og forskriften stiller detaljerte krav til risikovurderinger for tilbydere av samfunnsviktige tjenester*Digitalsikkerhetsloven § 7 og digitalsikkerhetsforskriften kapittel 2.. Omfattede virksomheter er pålagt å kartlegge nettverk og informasjonssystemer, og gjennomføre risikovurderinger som er omfattende nok til å identifisere organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak som ivaretar sikkerhetsformålene.

Risikovurderingene skal blant annet beskrive virksomhetens nettverk og systemer, mulige hendelser og sårbarheter, konsekvenser av slike hendelser, samt avhengigheter til andre aktører*Digitalsikkerhetsforskriften § 7 tredje ledd.. I praksis innebærer dette at virksomheten bør:

  • starte med å kartlegge hvilke systemer og tjenester som er kritiske for leveransen,

  • gjennomføre en systematisk risikoanalyse basert på anerkjente metoder (for eksempel veileder i sikkerhetsstyring fra NSM eller ISO 27005),

  • identifisere sannsynlige trusler og sårbarheter, samt vurdere konsekvensene av hendelser, og

  • dokumentere resultatene i et risikoregister eller sikkerhetsplan som danner grunnlaget for videre tiltak.

På grunnlag av disse vurderingene skal virksomheten utarbeide en plan for risikohåndtering og iverksette nødvendige tiltak*Digitalsikkerhetsforskriften § 8.. For mange virksomheter kan det være hensiktsmessig å ta utgangspunkt i eksisterende ISO-standarder som ISO/IEC 27001/27002 for styringssystemer, kombinert med NSMs grunnprinsipper for digital sikkerhet.

De tekniske tiltakene skal som minimum bl.a. omfatte sterk autentisering, styring og kontroll av tilganger, segmentering av nettverk, tiltak for robusthet mot overbelastning og gjenoppretting etter hendelser, samt kontinuerlig overvåking*Digitalsikkerhetsforskriften § 10 annet ledd.. Dette kan for eksempel innebære multifaktorautentisering, etablering av roller og tilgangsstyring i HR- og IT-systemer, segmentering mellom administrativt nett og produksjonsnett, samt regelmessig testing av sikkerhetskopier og gjenopprettingsrutiner.

I tillegg kreves organisatoriske tiltak som skriftlige instrukser og prosedyrer, tiltaksplaner ved endringer i risiko, og sikkerhetstiltak for personell – blant annet knyttet til styring av tilganger ved endringer eller opphør av arbeidsforhold*Digitalsikkerhetsforskriften §§ 9 og 12.. Opplæring og bevisstgjøring er en sentral del av etterlevelsen, og virksomheter bør sørge for at alle ansatte kjenner sine roller, og vet hvordan hendelser skal rapporteres.

For mange virksomheter vil dette bety en profesjonalisering av praksis. Tidligere «taus kunnskap» og uformelle rutiner må dokumenteres, formaliseres og inngå i en helhetlig styringsmodell. Styringssystemet bør bygges gradvis og integreres i eksisterende internkontroll- eller kvalitetsstyringssystemer, slik at digital sikkerhet ikke blir et parallelt spor, men en del av ordinær virksomhetsstyring.

Krav til tilbydere av digitale tjenester

Digitalsikkerhetsloven gjelder også for tilbydere av digitale tjenester*Digitalsikkerhetsloven § 9., uavhengig av om disse digitale tjenestene leveres til, eller benyttes i forbindelse med samfunnsviktige tjenester. Tilbydere av digitale tjenester deles inn i tre kategorier:

  1. tilbydere av skytjenester,

  2. nettbaserte markedsplasser, og

  3. søkemotorer.

Disse virksomhetene omfattes av et eget regelsett i loven*Digitalsikkerhetsloven kapittel 3 og Digitalsikkerhetsforskriften § 15. og i gjennomføringsforordning (EU) 2018/151*Kommisjonsgjennomføringsforordning (EU) 2018/151.. Kravene gjelder for digitale tjenesteleverandører som tilbyr sine tjenester i Norge, uavhengig av om de har hovedsete her eller i en annen EØS-stat. Det betyr at aktører som er etablert utenfor EØS, men som tilbyr tjenester i Norge, også må følge disse kravene*Digitalsikkerhetsloven § 12..

Sikkerhetskrav for tilbydere av digitale tjenester

Risikovurderinger er det bærende utgangspunktet for etterlevelse, og tilbydere av digitale tjenester pålegges å gjennomføre en risikovurdering av nettverks- og informasjonssystemene som benyttes for å levere tjenestene*Digitalsikkerhetsloven § 10 første ledd.. De skal iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak som samlet sikrer et sikkerhetsnivå tilpasset risikoen*Digitalsikkerhetsloven § 10 annet ledd.. Ved vurderingen skal det blant annet ses hen til teknologisk utvikling og tas hensyn til:

  • sikkerheten i systemer, utstyr og anlegg,

  • evne til hendelseshåndtering,

  • styring for å opprettholde tjenesteleveransen,

  • overvåking, revisjon og testing, samt

  • anerkjente internasjonale standarder.

Gjennomføringsforordningen utdyper hva som ligger i disse sikkerhetskravene*Kommisjonsgjennomføringsforordning (EU) 2018/151 Artikkel 2.. De omfatter blant annet:

  • systematisk forvaltning av nettverks- og informasjonssystemer, inkludert kartlegging, styringsretningslinjer, risikoanalyse, livssyklusstyring og eventuell bruk av kryptering,

  • fysisk og miljømessig sikkerhet,

  • forsyningssikkerhet,

  • adgangskontroll,

  • hendelseshåndtering og beredskap, og

  • kontinuitetsplanlegging, overvåking og testing.

Digitale tjenesteleverandører må kunne dokumentere at disse tiltakene er på plass og fungerer, og myndighetene kan kontrollere etterlevelsen*Kommisjonsgjennomføringsforordning (EU) 2018/151 Artikkel 2 nr. 6..

Krav om representant i Norge for tilbydere av digitale tjenester

Som en naturlig oppfølging av disse sikkerhets- og varslingskravene, følger det av loven at en tilbyder av digitale tjenester som ikke har hovedkontor i Norge eller i en annen EØS-stat, men som tilbyr tjenester i Norge, skal utpeke en representant i Norge*Digitalsikkerhetsloven § 12.. Dette gjelder ikke dersom det allerede er utpekt en representant i en annen EØS-stat hvor tjenestene tilbys. Representanten skal fungere som kontaktpunkt overfor myndighetene, og skal bidra til å sikre at tilbyderens forpliktelser etter loven oppfylles.

Fellesbestemmelser for tilbydere av samfunnsviktige og digitale tjenester: Varslingsplikt og rapportering

Varslingsplikten krever at virksomheten raskt får oversikt over hendelser og har tydelige roller og rutiner for hendelseshåndtering.

Foto: Arntzen Grette.

Digitalsikkerhetsloven og tilhørende forskrift innfører for første gang i norsk rett en lovfestet og detaljregulert varslingsplikt ved uønskede sikkerhetsrelaterte hendelser*Digitalsikkerhetsloven §§ 8 og 11.. Plikten gjelder både for tilbydere av samfunnsviktige tjenester og for tilbydere av digitale tjenester. Varslingsplikten er en sentral mekanisme i å realisere regelverkets formål, og skal sikre at myndighetene raskt får oversikt over hendelser som kan ha betydelig innvirkning på kritiske tjenester, slik at man kan iverksette koordinerte mottiltak, og hindre dominoeffekter i sektorer som er gjensidig avhengige.

Når gjelder varslingsplikten?

Plikten til å varsle gjelder når hendelsen «virker betydelig inn på tjenesteleveransen».*Digitalsikkerhetsloven §§ 8 og 11. Loven definerer en «hendelse» som «enhver hendelse med negativ virkning på sikkerheten i nettverks- og informasjonssystemer»*Digitalsikkerhetsloven § 4 første ledd nr. 3.. Det avgjørende er ikke årsaken til hendelsen, den kan skyldes både ondsinnede angrep, som ransomware eller datainnbrudd, og rene tekniske eller menneskelige feil.

Det er virksomheten selv som må foreta denne vurderingen av om varslingsplikten er utløst. Dette stiller krav til at virksomheten har klare interne prosedyrer for klassifisering av hendelser, slik at man unngår både underrapportering (som kan medføre sanksjoner) og overrapportering (som kan overbelaste myndighetenes responssystemer).

Vurderingen*Digitalsikkerhetsloven §§ 8 annet ledd og 11 annet ledd. av om innvirkningen er betydelig, skal blant annet ta hensyn til:

  • antall brukere som påvirkes,

  • hendelsens varighet,

  • størrelsen på det geografiske området som berøres.

For tilbydere av digitale tjenester skal også omfanget av funksjonalitetssvikten og virkningen for økonomisk og samfunnsmessig aktivitet vurderes*Digitalsikkerhetsloven § 11.. I tillegg inneholder gjennomføringsforordningen detaljerte parametere for når en hendelse må anses å virke betydelig inn på tjeneste-leveransen*Kommisjonsgjennomføringsforordning (EU) 2018/151 Artikkel 3.. Denne gjelder kun for hendelser som har rammet tilbydere av digitale tjenester. Forordningen peker på konkrete tilfeller hvor hendelser må anses å ha en betydelig innvirkning på tjenesteleveransen. Dette inkluderer tilfeller hvor en hendelse medfører mer enn fem millioner brukertimer i samlet nedetid, hendelser som berører flere enn 100 000 brukere i EU, hendelser som har forårsaket materiell skade for minst én bruker i EU (og skaden for denne brukeren overstiger 1 000 000 euro), eller hendelser som utgjør en trussel mot offentlig sikkerhet, offentlig orden eller tap av menneskeliv*Kommisjonsgjennomføringsforordning (EU) 2018/151 Artikkel 4..

Frister og innhold i varslingen

Digitalsikkerhetsforskriften fastsetter tre hovedfrister for varsling:

  1. Første varsel skal sendes til tilsynsmyndigheten med kopi til Nasjonalt kontaktpunkt (NSM) senest innen 24 timer etter at hendelsen ble oppdaget*Digitalsikkerhetsforskriften § 17 første ledd.. Dette er et tidlig varsel som primært skal gi myndighetene rask situasjonsforståelse, og behøver ikke inneholde fullstendige opplysninger.

  2. Oppdatering av varselet skal skje innen 72 timer, med mer utfyllende informasjon om opplysningene gitt i det første varselet.*Digitalsikkerhetsforskriften § 17 annet ledd.

  3. Endelig hendelsesrapport skal sendes innen én måned. Denne skal inneholde en oppdatert beskrivelse av hendelsen, en redegjørelse for årsaker og konsekvenser, samt hvilke tiltak som er iverksatt*Digitalsikkerhetsforskriften § 17 tredje ledd..

Det første varsel skal som minimum inneholde:

  • virksomhetens navn og kontaktinformasjon,

  • berørt tjeneste,

  • beskrivelse av hendelsen og mulige årsaker,

  • konsekvenser og antall berørte brukere, og

  • eventuelle virkninger i andre land*Digitalsikkerhetsforskriften § 17 første ledd..

Disse opplysningene skal oppdateres ved etterfølgende varsler. Tilsynsmyndighetene kan underveis kreve status-oppdateringer og andre nødvendige opplysninger for at de skal kunne utføre sine lovpålagte oppgaver*Digitalsikkerhetsforskriften § 17 fjerde ledd..

Organisatoriske og tekniske krav til hendelseshåndtering for tilbydere av samfunnsviktige tjenester

For at tilbydere av samfunnsviktige tjenester bl.a. skal kunne oppfylle varslingsplikten, er det essensielt at de har et beredskapssystem for håndtering av hendelser. Digitalsikkerhetsforskriften krever derfor at tilbydere av samfunnsviktige tjenester skal ha beredskapsplaner, slik at de har evne til å identifisere og klassifisere hendelser, samt iverksette tiltak for å gjenopprette og sikre tilstanden i påvirkede systemer*Digitalsikkerhetsforskriften § 13 første og annet ledd.. Planen skal være dokumentert og må vedlikeholdes. Det skal også gjennomføres øvelser for å teste dem i praksis og utvikle virksomhetens evne til å håndtere hendelser*Digitalsikkerhetsforskriften § 13 tredje ledd..

Responsmiljøene (NSM og eventuelle sektorspesifikke responsmiljøer («CSIRTs»)) skal kunne bruke informasjonen til bl.a. å bygge et helhetlig cyberrisikobilde, iverksette koordinerte tiltak og respondere på hendelser*Digitalsikkerhetsforskriften § 16 femte og sjette ledd. . Dette innebærer at rapportene fra virksomheten må være strukturerte, konsistente og tilstrekkelig detaljerte.

I praksis vil dette kreve at virksomheten har definerte roller for hendelseshåndtering, for eksempel en sikkerhetsleder, en kommunikasjonsansvarlig og en teknisk responsgruppe som vet hva de skal gjøre når en hendelse oppstår. Det må også finnes en klar intern varslingskjede med beslutningspunkter for når saker skal eskaleres til ledelsen, slik at kritiske hendelser blir håndtert på riktig nivå og til rett tid.

Videre bør virksomheten ha forhåndsdefinerte maler for varsling, slik at varsler kan sendes innenfor 24-timersfristen, også under press, og ivareta minimumskrav til innhold. For å kunne oppdage hendelser tidsnok, er det nødvendig med kontinuerlig og egnet overvåking av nettverk og informasjonssystemer, kombinert med rutiner for loggføring og dokumentasjon som gjør det mulig å etterprøve hvordan hendelser er håndtert.

Gebyrer og sanksjoner

Digitalsikkerhetsloven gir tilsynsmyndigheten adgang til å ilegge overtredelsesgebyr ved brudd på pliktene i loven. Overtredelsesgebyr er ment å ivareta både individuelle og allmennpreventive hensyn ved at det også har som formål å hindre fremtidige overtredelser*Prop.109 LS (2022–2023) pkt. 9.5.. Adgang til å ilegge gebyr foreldes fem år etter at overtredelsen er opphørt*Digitalsikkerhetsloven § 17..

Også manglende varsling eller mangelfulle varsler om sikkerhetshendelser kan føre til administrative reaksjoner, inkludert overtredelsesgebyr. I tillegg vil manglende varsling i praksis også kunne få omdømmemessige konsekvenser: Hendelser som blir kjent gjennom media eller tredjeparter uten at myndighetene er informert, vil ofte utløse sterkere tilsynsreaksjoner og mistillit.

For foretak kan gebyret utgjøre opptil 4 % av årlig omsetning forutgående regnskapsår, begrenset oppad til 50 millioner kroner. For offentlige organer og fysiske personer kan gebyrene utgjøre opptil 25 ganger folketrygdens grunnbeløp.*Digitalsikkerhetsforskriften § 24. Digitalsikkerhetsloven åpner nemlig for at overtredelsesgebyr også kan ilegges fysiske personer som opptrer på vegne av en tilbyder, herunder ledelsen, dersom det er nødvendig i det enkelte tilfellet.

Digitalsikkerhetsloven tydeliggjør dermed ledelsens ansvar for god sikkerhetsstyring i virksomheten. Tilsynsmyndigheten kan også gi pålegg om retting, fastsette tvangsmulkt og kreve nødvendige opplysninger og adgang til lokaler*Digitalsikkerhetsloven §§ 14-16 og digitalsikkerhetsforskriften § 23.. I praksis vil dette kunne gi myndighetene langt større innsyn i virksomheters styrings- og sikkerhetssystemer enn tidligere, og det stiller dermed strengere krav til løpende etterlevelse.

Veien videre

Digitalsikkerhetsloven representerer et betydelig skifte i norsk regelverk for digital sikkerhet. For mange virksomheter bør tiden fremover handle om å bygge opp eller formalisere sikkerhetsstyringen, gjennomføre risikovurderinger og etablere rutiner for hendelses-håndtering og varsling. De som lykkes best, er gjerne de som tidlig tar tak i de praktiske spørsmålene: Hvor starter vi, hvordan prioriterer vi, og hvem skal eie prosessen?

Videre bør det nevnes at EU-kommisjonen skal, innen den 17. januar 2026, vurdere om revisorer og revisjonsselskaper bør underlegges styrkede krav til digital operasjonell motstandsdyktighet etter EUs DORA-forordning*Regulation (EU) 2022/2554 on digital operational resilience for the financial sector . Dette er noe bransjen bør følge med på.