Fem compliance-fallgruver som kan koste virksomheten dyrt

Hvordan håndterer du cybersikkerhet som forretningsrisiko i totalforsvarsåret 2026? I denne episoden av Digitaliseringspådden tar vi det rett fra scenen og inn i studio, sammen med to som lever av å oversette regelverk til praksis: Stian Grønneren, sales- og partner manager i Risma Systems, og Jens Kristian Gjesti, partner, advokat og head of tech and IP i Kvale.

‍

Compliance er egentlig bare det å følge regler. Men i totalforsvarsåret har myndighetene fått klare forventninger til norske virksomheter — og når noe går galt, blir det dokumentert i lange, lærerike avgjørelser. Gjesti har lest dem, og trekker fram fem klassikere som går igjen.

De fem fallgruvene

• Risikovurderingen alle har — helt til noen ber deg legge den fram. Da viser det seg gjerne at den bare fantes mentalt.
• Sikkerhetstiltakene det faktisk finnes mye av, men der det nå dukker opp nye krav man kanskje ikke har tenkt på — AI-basert, automatisert og mer.
• Verdikjedesikkerheten — du må ha kontroll på leverandørkjeden i langt større grad enn før.
• Beredskap og hendelseshåndtering — den gamle covid-planen tar høyde for smitte, men kanskje verken strømbrudd eller russiske hackere.
• Personellsikkerhet — den minst behagelige av dem alle, fordi den handler om menneskene rundt deg.

Hvor mye av dette du faktisk har på stell, og hva som skal til for å lukke gapet, er nettopp det Grønneren og Gjesti bruker episoden på å snakke seg gjennom.

Når den ansatte blir risikoen

Det er den siste fallgruven som virkelig setter samtalen i sving. For hva gjør du når sikkerhetskravene møter norsk arbeidskultur, der arbeidstakeren står sterkt? Hvor langt kan en virksomhet egentlig gå i å bakgrunnssjekke, risikovurdere og overvåke egne ansatte — uten å tråkke for langt inn i privatlivet?

Gjesti peker på et paradoks: den norske tilliten er en av våre største sikkerhetsfordeler, men det er nettopp det som gjør deg sårbar — gjeld, en skilsmisse, spillproblemer — som også kan gjøre deg til en risiko. Balansen mellom åpenhet og kontroll er vanskeligere enn den ser ut.

GDPR var bare oppvarmingen

Husker du sjokket i 2018? Gjesti gjør et poeng av at de virkelig store reaksjonene fortsatt ligger foran oss. Med NIS2 og det nye regelverket på vei kan ansvaret bli personlig — erstatningsansvar for styre og ledelse ved sikkerhetsbrudd. Samtidig brer reguleringen seg fra de få til de mange, og advokatene har allerede oppdaget at sikkerhet, akkurat som personvern, kan handle om svært store verdier som bytter hender.

I episoden snakker de to også om veien fra åpen tillit til «zero trust», om hvordan man får ledelsen og styret reell innsikt å styre etter — og helt til slutt om AI-jussen, der Gjesti mener kompleksiteten sjelden ligger i jussen, men i å forstå hva teknologien faktisk gjør.

‍

Vil du forstå hvilke fem fallgruver som oftest feller norske virksomheter, hvorfor styreansvaret er i ferd med å bli personlig, og hvordan du gjør compliance om til noe ledelsen faktisk kan styre etter — bør du høre hele episoden. Podcasten ledes av Jens Christian Bang.