Debatt

Europeiske virksomheter drukner i sikkerhetskrav

Den omfattende reguleringen av europeiske virksomheter er egnet til å svekke konkurransekraften på det globale markedet, og små og mellomstore bedrifter er særlig utsatt.

Både leverandører og konsumenter av digitale tjenester befinner seg i en jungel av et stadig voksende og fragmentert regelverk. Det er ikke lenger ett eller to regelsett som gjelder. Det er titalls, skriver Marit Stubø Jorde i advokatfirmaet Alver.
Både leverandører og konsumenter av digitale tjenester befinner seg i en jungel av et stadig voksende og fragmentert regelverk. Det er ikke lenger ett eller to regelsett som gjelder. Det er titalls, skriver Marit Stubø Jorde i advokatfirmaet Alver. Foto: Jan Tore Overstad
Marit Stubø Jorde, senioradvokat i Alver
16. juli 2026 - 12:48

Dette debattinnlegget gir uttrykk for skribentens meninger. Innlegg kan sendes til debatt@digi.no.

Få er uenige i at det er behov for å stille krav til digital sikkerhet. Digitale trusler er reelle, og konsekvensene av sikkerhetshendelser kan være svært alvorlige.

Jeg mener likevel at Europaparlamentet og Rådet de seneste årene har produsert et regelverksmiljø der er blitt en industri i seg selv, uten at det nødvendigvis gir bedre faktisk sikkerhet. Det bør i hvert fall være rom for å kunne diskutere nytten for samfunnet i lys av kostnadene for bedriftene.

Det er ikke bare omfanget av regelverkene som er et problem, men også at forpliktelser i stor grad overlapper. Jeg må ta et par eksempler for å illustrere dette (tilgi meg at detaljene her er for de spesielt innvidde):

  • Hendelsesrapportering ved et sikkerhetsbrudd vil kunne medføre plikt til å varsle flere ulike tilsynsmyndigheter (Datatilsynet, Nasjonal kommunikasjonsmyndighet (Nkom) og Nasjonal sikkerhetsmyndighet (NSM) i tillegg til eventuelle sektorspesifikke tilsyn).
  • En virksomhet vil kunne ha plikt til å gjøre risikovurderinger etter flere ulike regelverk (eksempelvis GDPR, NIS2, DORA, CRA, datasenterforskriften eller sikkerhetsloven) med delvis ulike metodekrav og rapporteringsformater.

Problematisk

Jeg har lyst til å peke på særlig tre konsekvenser av dagens omfattende regulering som jeg ser på som problematiske:

  • SMB-ene er særlig utsatt: Store virksomheter kan bygge compliance-apparater. Små og mellomstore bedrifter (SMB-er), som tross alt utgjør majoriteten i europeisk teknologiøkonomi, bruker en uforholdsmessig stor del av kapasiteten sin på dokumentasjon fremfor å gjennomføre faktiske sikkerhetstiltak.
  • Europeiske virksomheter taper i det globale markedet: Amerikanske og asiatiske hyperscalere opererer uten tilsvarende byrder i sine hjemmemarkeder, noe som svekker europeisk industris evne til å investere i innovasjon og skalering.
  • Rettsteknisk uklarhet og dobbeltregulering: Overlappende hjemler skaper genuin tolkningstvil. Virksomheten har valget mellom å produsere dokumentasjon i tråd med de ulike regelsettene med vanntette skott imellom, eller å foreta en krevende harmoniseringsjobb for å unngå for mye dobbeltregulering og potensielt motstridene dokumentasjon og rutiner.

Harmoniseringsøvelse

For å oppsummere: Europeisk digital sikkerhetsregulering er i seg selv legitim og nødvendig, men inkonsistens, overlapp, mangel på koordinering og altfor omfangsrike regelverk er et problem.

Det er et presserende behov for en forenkling og en systematisk harmoniseringsøvelse hvor særlig sektordirektiver eksplisitt avklarer forholdet til andre direktiver.

Inntil det skjer, bærer aktører som selger eller kjøper digitale tjenester en regulatorisk byrde som er like mye et budsjetteringsproblem som et sikkerhetsproblem.

Slik skal satellittene til Univity se ut når de beveger seg 375 kilometer over jorda fra 2028.
Les også:

Planlegger 3400 satellitter: : Her bygges europeisk Starlink-konkurrent

Kommentarer
Du må være innlogget hos Ifrågasätt for å kommentere. Bruk BankID for automatisk oppretting av brukerkonto. Du kan kommentere under fullt navn eller med kallenavn.