Er det obligatorisk å ha en informasjonssikkerhetspolicy i Norge?

Personvernforordningen (GDPR) artikkel 32 pålegger behandlingsansvarlige og databehandlere å iverksette «egnede tekniske og organisatoriske tiltak» for å sikre et sikkerhetsnivå som er egnet for risikoen. En skriftlig informasjonssikkerhetspolicy er ikke uttrykkelig nevnt i artikkelen, men er i praksis det primære dokumentasjonsbeviset på at virksomheten har oppfylt sine forpliktelser etter ansvarlighetsprinsippet i artikkel 5 nr. 2. Datatilsynet vil ved tilsyn be om fremleggelse av dokumentasjon på sikkerhetstiltak, og fravær av en skriftlig policy er et sterkt signal om mangelfull etterlevelse. For virksomheter underlagt sektorspesifikk regulering som Normen (helsesektoren), DORA (finanssektoren) eller sikkerhetsloven (2018), er en formalisert informasjonssikkerhetspolicy et eksplisitt krav. Konklusjon: det er ikke et absolutt juridisk krav, men fraværet av en policy innebærer en reell risiko for overtredelsesgebyr fra Datatilsynet.

Hva er NSMs Grunnprinsipper for IKT-sikkerhet?

NSMs Grunnprinsipper for IKT-sikkerhet er Nasjonalt sikkerhetsmyndighets (NSM) anbefalinger for teknisk sikring av IT-systemer i norske virksomheter. Prinsippene er organisert rundt fire aktiviteter: (1) Identifisere og kartlegge — ha oversikt over systemer, nettverk og data; (2) Beskytte og opprettholde — iverksette tiltak for å forhindre angrep, herunder tilgangsstyring, herding av systemer, oppdateringer og opplæring; (3) Oppdage — implementere overvåking og logging for å oppdage sikkerhetshendelser; og (4) Gjenopprette og lære — ha prosedyrer for å gjenopprette systemer og lære av hendelser. Datatilsynet refererer til NSMs grunnprinsipper i sin veiledning om sikkerhetstiltak etter personvernforordningen (GDPR) artikkel 32. En informasjonssikkerhetspolicy som er utviklet i tråd med NSMs grunnprinsipper, vil typisk oppfylle kravene i GDPR artikkel 32. Grunnprinsippene er tilgjengelige gratis på nsm.no.

Hva er kravene til kryptering av personopplysninger i Norge?

Personvernforordningen (GDPR) artikkel 32 nr. 1 bokstav a nevner «pseudonymisering og kryptering av personopplysninger» som eksempler på egnede sikkerhetstiltak. Kryptering er ikke et absolutt krav i alle situasjoner, men er anbefalt der det er hensiktsmessig ut fra risikoen. I praksis forventer Datatilsynet kryptering i transit (TLS 1.2 eller høyere) for all overføring av personopplysninger over nettverk, og kryptering av personopplysninger lagret på mobile enheter, bærbare datamaskiner og ekstern lagring (USB-stasjoner, sky). For lagring av særlige kategorier av personopplysninger etter artikkel 9 (helseopplysninger, biometriske data o.l.) er sterk kryptering (AES-256 eller tilsvarende) av lagret data et minimumskrav. Krypteringsnøkler skal administreres på en sikker måte og lagres separat fra de krypterte dataene.

Hvor ofte bør informasjonssikkerhetspolicyen revideres?

Informasjonssikkerhetspolicyen bør revideres minst en gang i året, uavhengig av om det har skjedd endringer i virksomheten. I tillegg bør policyen revideres ved: vesentlige endringer i IT-infrastruktur (innføring av ny sky-plattform, nytt system med personopplysninger); endringer i behandlingsaktivitetene (nye kategorier av personopplysninger, nye formål); vesentlige endringer i regelverket (nye retningslinjer fra Datatilsynet eller EDPB, nye EU-rettsakter som DORA); sikkerhetshendelser som avdekker svakheter i de eksisterende tiltakene. Revisjonshistorikken — en logg over alle versjoner av policyen med dato og ansvarlig for revisjonen — er viktig dokumentasjon på at virksomheten kontinuerlig vurderer og forbedrer sine sikkerhetstiltak, i tråd med ansvarlighetsprinsippet i personvernforordningen (GDPR) artikkel 5 nr. 2.

Hva gjør vi når vi oppdager et sikkerhetsbrudd?

Etter personvernforordningen (GDPR) artiklene 33 og 34 har behandlingsansvarlig følgende plikter ved brudd på personopplysningssikkerheten: (1) Dokumentere bruddet i avvikshendelsesregisteret etter artikkel 33 nr. 5, uavhengig av om det meldes til Datatilsynet; (2) Vurdere om bruddet sannsynligvis vil innebære en risiko for fysiske personers rettigheter og friheter; (3) Dersom slik risiko er sannsynlig, melde bruddet til Datatilsynet uten ugrunnet opphold og senest innen 72 timer etter å ha blitt kjent med det, etter artikkel 33 nr. 1; (4) Dersom høy risiko er sannsynlig, varsle de berørte registrerte uten ugrunnet opphold etter artikkel 34 nr. 1. Meldingen til Datatilsynet skal inneholde bruddets art, berørte kategorier og anslått antall registrerte og opplysningsposter, sannsynlige konsekvenser, og trufne eller foreslåtte tiltak. Datatilsynets avviksskjema er tilgjengelig på datatilsynet.no. En intern varslingsfrist på 4 til 24 timer som angitt i informasjonssikkerhetspolicyen, er nødvendig for å overholde 72-timers fristen.

Hva er særskilte krav for helsesektoren (Normen)?

Helse- og omsorgssektoren i Norge er underlagt «Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren» (Normen), som er en sektorspesifikk standard som supplerer personvernforordningens (GDPR) krav. Normen er bindende for virksomheter som behandler helseopplysninger og er tilgjengelig på ehelse.no. Normen krever blant annet: skriftlig informasjonssikkerhetspolicy og styringssystem for informasjonssikkerhet; risikovurdering og internkontroll; identifiserte roller og ansvar for informasjonssikkerhet; konkrete tekniske krav til tilgangsstyring, autentisering og kryptering; opplæring av personell; avvikshåndtering og rapportering. For helseinstitusjoner er en informasjonssikkerhetspolicy i samsvar med Normen en forutsetning for å behandle helseopplysninger. Normen oppdateres jevnlig, og virksomheter i helsesektoren bør sjekke siste versjon på ehelse.no.

Hva er DORA og gjelder det norske finansforetak?

Digital Operational Resilience Act (DORA), Europaparlaments- og rådsforordning (EU) 2022/2554, er EU-forordningen om digital operasjonell robusthet for finanssektoren. DORA stiller krav til finansforetak om IKT-risikostyring, testing av IKT-systemer, håndtering av IKT-hendelser, styring av tredjepartsrisiko fra IKT-leverandører, og informasjonsdeling om cybertrusler. DORA trådte i kraft i EU 17. januar 2025. For norske finansforetak vil DORA gjelde gjennom EØS-avtalen etter innlemmelse, noe som forventes å skje i løpet av 2025–2026. Finanstilsynet er tilsynsmyndighet for DORA i Norge. Norske finansforetak bør allerede nå sikre at informasjonssikkerhetspolicyen reflekterer kravene i DORA, herunder IKT-risikostyring, kontinuitetstesting og leverandørstyring. En DORA-tilpasset informasjonssikkerhetspolicy er et viktig forberedelsestiltak.

Informasjonssikkerhet policy Norge

Informasjonssikkerhet policy

Personvernforordningen (GDPR) art. 32; personopplysningsloven (2018); NSM grunnprinsipper

INFORMASJONSSIKKERHETSPOLICY

[Virksomhet Navn]

Organisasjonsnummer: [Virksomhet Orgnr]

Vedtatt: [Vedtaks Dato] | Ansvarlig: [Ansvarlig Leder]

1. FORMÅL OG RETTSLIG GRUNNLAG

Denne informasjonssikkerhetspolicyen fastsetter de tekniske og organisatoriske tiltakene som [Virksomhet Navn] iverksetter for å beskytte informasjonsverdier, herunder personopplysninger, mot uautorisert tilgang, endring, tap og utilgjengelighet. Policyen oppfyller kravene i personvernforordningen (GDPR) artikkel 32, som gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018).

Policyen er utviklet i samsvar med NSMs Grunnprinsipper for IKT-sikkerhet og ISO/IEC 27001 prinsipper for informasjonssikkerhetsstyring, og supplerer virksomhetens behandlingsprotokoll etter personvernforordningen (GDPR) artikkel 30 og databehandleravtaler etter artikkel 28.

2. OMFANG OG ANVENDELSE

Policyen gjelder for alle ansatte, innleide konsulenter, praktikanter og leverandørers personell som har tilgang til [Virksomhet Navn]s informasjonssystemer og data. Systemer og infrastruktur policyen dekker: [Systemer Omfang].

Dataklassifisering: [Virksomhet Navn] benytter følgende klassifiseringsnivåer: [Dataklassifisering]. Alle ansatte er ansvarlige for å klassifisere og behandle informasjon i henhold til det nivået som er angitt. Personopplysninger etter personvernforordningen (GDPR) artikkel 4 nr. 1 behandles alltid som Konfidensiell eller Strengt konfidensiell, avhengig av om det er tale om ordinære opplysninger eller særlige kategorier etter artikkel 9.

3. TILGANGSSTYRING OG AUTENTISERING

Prinsipp for tilgangsstyring: [Tilgangs Prinsipp]. Tilgang til informasjonssystemer og personopplysninger tildeles kun etter begrunnet behov og godkjenning fra systemansvarlig. Tilgang skal tilbakekalles umiddelbart ved fratredelse, rolleskifte eller opphør av behov.

Tofaktorautentisering (2FA): [Tofaktor]. Passord skal ha en minimumslengde på 12 tegn og inneholde en kombinasjon av store og små bokstaver, sifre og spesialtegn. Passord skal ikke deles mellom ansatte, og systemkontoer skal ikke benyttes av flere brukere. Privilegerte kontoer (administratorkontoer) skal ha sterkere autentiseringskrav enn ordinære brukerkontoer.

4. KRYPTERING OG DATABESKYTTELSE

Personopplysninger og konfidensiell informasjon skal krypteres under overføring ved bruk av TLS 1.2 eller høyere. Lagrade personopplysninger på mobile enheter, bærbare datamaskiner og ekstern lagring (USB-stasjoner, skylager) skal krypteres med AES-256 eller tilsvarende sterk kryptering. Krypteringsnøkler skal administreres på en måte som sikrer at kun autoriserte personer har tilgang, og skal lagres separat fra de krypterte dataene.

Sikkerhetskopiering skal gjennomføres jevnlig, og sikkerhetskopier skal krypteres og lagres atskilt fra primærdataene. Gjenopprettingstider og gjenopprettingspunkter (RTO/RPO) skal dokumenteres i en plan for forretningskontinuitet.

5. AVVIKSHÅNDTERING OG HENDELSESRESPONS

Enhver ansatt som oppdager en faktisk eller mulig sikkerhetshendelse, skal umiddelbart varsle: [Avviks Varsel Til]. Den interne varslingsfristen er: [Datatilsyns Frist]. Avvikshåndteringen skal dokumenteres, og dokumentasjonen skal oppbevares i minst fem år.

Ved brudd på personopplysningssikkerheten skal [Virksomhet Navn] vurdere om hendelsen skal meldes til Datatilsynet etter personvernforordningen (GDPR) artikkel 33, med 72-timers frist fra virksomheten ble kjent med bruddet. Hendelser med sannsynlig høy risiko for de registrerte skal videre varsles til de registrerte etter artikkel 34. Avvikshendelsesregisteret skal oppdateres etter personvernforordningen (GDPR) artikkel 33 nr. 5.

6. LEVERANDØRSTYRING OG TREDJEPARTER

Alle leverandører og tredjeparter med tilgang til [Virksomhet Navn]s informasjonssystemer eller personopplysninger skal underlegges en leverandørvurdering før kontrakt inngås. Databehandleravtale etter personvernforordningen (GDPR) artikkel 28 skal inngås med alle leverandører som behandler personopplysninger på virksomhetens vegne. Leverandørers sikkerhetspraksis og etterlevelse av denne policyen skal verifiseres minst en gang i året.

7. OPPLÆRING OG BEVISSTGJØRING

Alle ansatte skal gjennomføre opplæring i informasjonssikkerhet og personvern ved ansettelse og deretter minimum en gang i året. Opplæringen skal dekke gjeldende policy, klassifisering av informasjon, phishing og sosial manipulasjon, håndtering av personopplysninger etter personvernforordningen (GDPR), og rutiner for avviksvarsling. Gjennomføringen skal dokumenteres.

8. REVISJON OG OPPDATERING

Denne informasjonssikkerhetspolicyen skal revideres minst en gang i året og ved vesentlige endringer i virksomhetens IT-infrastruktur, behandlingsaktiviteter eller gjeldende regelverk. Ansvarlig for revisjon: [Ansvarlig Leder]. Revisjonshistorikken skal dokumenteres. Policyen trer i kraft fra [Vedtaks Dato] og erstatter alle tidligere informasjonssikkerhetspolicyer i [Virksomhet Navn].

GODKJENNING

[Virksomhet Navn], organisasjonsnummer [Virksomhet Orgnr].

Underskrift (daglig leder / styreleder): ___________________________ Dato: _____________

Daglig leder

________________

Signature

Vedlikeholdt av Vladislav Sergienko, grunnlegger·Mal sist endret: 2026-06-23·Rapporter en feil

Hva er Informasjonssikkerhet policy Norge?

Informasjonssikkerhetspolicy i Norge er et formelt styringsdokument som fastsetter virksomhetens tekniske og organisatoriske sikkerhetstiltak for å beskytte informasjonsverdier mot uautorisert tilgang, endring, tap og utilgjengelighet. Policyen gjennomfører kravene i personvernforordningen (GDPR) artikkel 32, som gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018).

En informasjonssikkerhetspolicy skiller seg fra en personvernerklæring ved at den er et internt styringsverktøy rettet mot ansatte og leverandører, mens personvernerklæringen er et eksternt informasjonsdokument rettet mot de registrerte. Policyen dokumenterer de tekniske og organisatoriske tiltakene virksomheten har iverksatt for å oppfylle ansvarlighetsprinsippet i personvernforordningen (GDPR) artikkel 5 nr. 2, og er et viktig bevis ved tilsyn fra Datatilsynet.

Personvernforordningen (GDPR) artikkel 32 pålegger behandlingsansvarlig og databehandler å iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet for risikoen. Tiltakene skal blant annet ta hensyn til: (a) pseudonymisering og kryptering av personopplysninger; (b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet for behandlingssystemene; (c) evne til å gjenopprette tilgjengeligheten til personopplysninger innen rimelig tid ved en fysisk eller teknisk hendelse; og (d) en prosess for regelmessig testing, vurdering og evaluering av effektiviteten av tiltakene.

Nasjonalt sikkerhetsmyndighet (NSM) har publisert «Grunnprinsipper for IKT-sikkerhet», som er den norske tilsynsmyndighetens anbefalinger for teknisk sikring av IT-systemer. Grunnprinsippene er delt inn i fire kategorier: identifisere og kartlegge, beskytte og opprettholde, oppdage, og gjenopprette og lære. En informasjonssikkerhetspolicy som er utviklet i tråd med NSMs grunnprinsipper, vil typisk oppfylle kravene i personvernforordningen (GDPR) artikkel 32.

Dataklassifisering er et sentralt element i en informasjonssikkerhetspolicy. Norske virksomheter benytter typisk to til fire klassifiseringsnivåer, for eksempel Offentlig, Intern, Konfidensiell og Strengt konfidensiell. Personopplysninger etter personvernforordningen (GDPR) artikkel 4 nr. 1 behandles alltid som Konfidensiell eller Strengt konfidensiell, avhengig av om det er tale om ordinære personopplysninger eller særlige kategorier etter artikkel 9, som helseopplysninger, genetiske data og biometriske data.

Tilgangsstyring etter minste privilegiumsprinsippet er grunnleggende for informasjonssikkerheten. Ansatte skal kun ha tilgang til de personopplysningene de trenger for å utføre sine arbeidsoppgaver, i samsvar med personvernforordningen (GDPR) artikkel 32 nr. 4 som slår fast at behandling bare skal skje etter instrukser fra behandlingsansvarlig. Tofaktorautentisering (2FA) er en av de mest effektive mekanismene for å forhindre uautorisert tilgang, særlig for systemer med personopplysninger.

Avvikshåndteringen kobler informasjonssikkerhetspolicyen til pliktene etter personvernforordningen (GDPR) artiklene 33 og 34. Behandlingsansvarlig skal melde brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer etter å ha blitt kjent med bruddet etter artikkel 33, og varsle de registrerte ved høy risiko etter artikkel 34. En intern varslingsfrist på 4 til 24 timer er nødvendig for å ha tilstrekkelig tid til å vurdere bruddet og utforme meldingen. forms-legal.com biblioteket tilbyr en separat mal for avviksmelding til Datatilsynet.

Når trenger du Informasjonssikkerhet policy Norge?

Informasjonssikkerhetspolicy i Norge er nødvendig for alle virksomheter som behandler personopplysninger, og særlig i situasjoner der Datatilsynet, kunder eller forretningspartnere etterspør dokumentasjon på sikkerhetstiltak.

GDPR-etterlevelse for behandlingsansvarlige. Alle behandlingsansvarlige er etter personvernforordningen (GDPR) artikkel 32 forpliktet til å iverksette egnede tekniske og organisatoriske tiltak. En informasjonssikkerhetspolicy er den primære dokumentasjonen på at virksomheten har oppfylt denne plikten. Uten en skriftlig policy er det vanskelig å demonstrere etterlevelse overfor Datatilsynet ved tilsyn.

Databehandlere og leverandørkontrakter. Databehandlere er etter personvernforordningen (GDPR) artikkel 32 selvstendig forpliktet til å iverksette egnede sikkerhetstiltak. En informasjonssikkerhetspolicy er et sentralt element i en databehandlers dokumentasjonsgrunnlag, og behandlingsansvarlige vil typisk kreve at leverandøren kan fremlegge en policy som del av leverandørvurderingen og databehandleravtalen.

Sertifisering og standarder. Virksomheter som søker ISO/IEC 27001-sertifisering, ISAE 3402/SOC 2-revisjonsrapport eller annen sikkerhetsrelatert sertifisering, trenger en formalisert informasjonssikkerhetspolicy som en del av sertifiseringsgrunnlaget. Policyen er også et krav i leverandørvurderinger for offentlige anskaffelser og EU-finansierte prosjekter.

Offentlige anskaffelser. Virksomheter som ønsker å levere IT-tjenester eller andre tjenester med tilgang til personopplysninger til det offentlige, møter i praksis krav til dokumentert informasjonssikkerhetspolicy i anbudskonkurranser etter offentlige anskaffelsesregler (anskaffelsesloven av 2016).

Finansforetak og helseinstitusioner. Finansforetak under Finanstilsynets tilsyn er underlagt særskilte krav til informasjonssikkerhet etter CRR/CRD-regelverket og EBA-retningslinjene, som krever en formalisert sikkerhetspolicy. Sykehus, legesentre og helseinstitusjoner er underlagt kravene i normen for informasjonssikkerhet og personvern i helse- og omsorgssektoren («Normen»), som krever en skriftlig informasjonssikkerhetspolicy.

Etter personvern-avvik. Virksomheter som har hatt et brudd på personopplysningssikkerheten som er meldt til Datatilsynet, vil ofte bli bedt om å fremlegge eller utarbeide en informasjonssikkerhetspolicy som del av oppfølgingen av avviket.

Nye ansettelser og onboarding. En informasjonssikkerhetspolicy er et grunnleggende opplæringsdokument som nye ansatte skal gjennomgå som del av sin onboarding. Policyen setter standardene for akseptabel bruk av IT-systemer, klassifisering av informasjon og rapportering av sikkerhetshendelser.

Hva bør Informasjonssikkerhet policy Norge inneholde

En komplett Informasjonssikkerhetspolicy Norge inneholder følgende nøkkelelementer for å oppfylle kravene i personvernforordningen (GDPR) artikkel 32 og NSMs Grunnprinsipper for IKT-sikkerhet.

Formål og rettslig grunnlag. Policyen skal angi formålet med informasjonssikkerhetsarbeidet og det rettslige grunnlaget, herunder personvernforordningen (GDPR) artikkel 32, personopplysningsloven (2018) og eventuell sektorspesifikk lovgivning. Henvisning til NSMs Grunnprinsipper for IKT-sikkerhet og ISO/IEC 27001 viser faglig forankring og gir policyen troverdighet overfor tilsynsmyndigheter og revisorer.

Omfang og dataklassifisering. Policyen skal klarlegge hvilke systemer, ansatte og opplysninger som er dekket, og innføre et konsekvent dataklassifiseringssystem. Klare klassifiseringsnivåer — for eksempel Offentlig, Intern, Konfidensiell og Strengt konfidensiell — er nødvendige for at ansatte skal vite hvilke regler som gjelder for ulike typer informasjon. Personopplysninger skal alltid behandles som Konfidensiell som et minimum.

Tilgangsstyring og autentisering. Minste privilegiumsprinsippet og rollebasert tilgangskontroll begrenser tilgangen til personopplysninger til dem som har et begrunnet behov. Krav til passordstyring (minimumslengde, kompleksitet, rotasjon) og tofaktorautentisering (2FA) for systemer med personopplysninger er sentrale tiltak etter personvernforordningen (GDPR) artikkel 32.

Kryptering og databeskyttelse. Krav til kryptering under overføring (TLS 1.2 eller høyere) og hvile (AES-256 eller tilsvarende) for personopplysninger og konfidensielle data er et minimumskrav. Sikkerhetskopiering med kryptering og atskilt lagring er nødvendig for å ivareta tilgjengeligheten til opplysningene etter personvernforordningen (GDPR) artikkel 32 nr. 1 bokstav c.

Avvikshåndtering og hendelsesrespons. Policyen skal beskrive prosedyren for å oppdage, varsle, undersøke og dokumentere sikkerhetshendelser. En intern varslingsfrist som er kortere enn 72 timer er nødvendig for å overholde meldeplikten til Datatilsynet etter personvernforordningen (GDPR) artikkel 33. forms-legal.com bibliotekets avviksmeldingsmal er et nyttig supplement.

Leverandørstyring. Krav til leverandørvurdering og databehandleravtale for alle leverandører med tilgang til personopplysninger er sentralt. Policyen bør angi prosessen for å vurdere leverandørers sikkerhetspraksis og for å inkorporere sikkerhetskrav i leverandørkontrakter.

Opplæring og bevisstgjøring. Krav til regelmessig opplæring i informasjonssikkerhet og personvern for alle ansatte styrker den menneskelige faktoren i sikkerhetsarbeidet. Phishing, sosial manipulasjon og passordhygiene er temaer som bør dekkes. Gjennomføringen skal dokumenteres.

Revisjon og oppdatering. Policyen skal angis å revideres minst en gang i året og ved vesentlige endringer. Revisjonshistorikken dokumenterer at virksomheten kontinuerlig forbedrer sine sikkerhetstiltak, i tråd med ansvarlighetsprinsippet i personvernforordningen (GDPR) artikkel 5 nr. 2.

Slik fyller du ut Informasjonssikkerhet policy Norge

Å fylle ut en Informasjonssikkerhetspolicy Norge korrekt krever at man følger trinnene nedenfor for å sikre at policyen oppfyller kravene i personvernforordningen (GDPR) artikkel 32 og NSMs Grunnprinsipper for IKT-sikkerhet.

Trinn 1 — Identifiser virksomheten og ansvarlig. Angi virksomhetens fulle navn, organisasjonsnummer og kontaktopplysninger til den personen som har overordnet ansvar for informasjonssikkerheten. Dette bør typisk være daglig leder eller en utpekt informasjonssikkerhetsansvarlig (CISO). Angi datoen policyen trer i kraft.

Trinn 2 — Definer omfang og dataklassifisering. Beskriv hvilke systemer og infrastruktur policyen gjelder for — vær konkret og unngå vage formuleringer som «alle IT-systemer». Velg et dataklassifiseringssystem som passer virksomhetens størrelse og kompleksitet: to nivåer (Intern/Konfidensiell) er tilstrekkelig for de fleste SME-er, mens større virksomheter kan ha behov for fire nivåer.

Trinn 3 — Velg prinsipp for tilgangsstyring. Velg mellom minste privilegium og rollebasert tilgangskontroll, eller en kombinasjon. Minste privilegium er det strengeste prinsippet og anbefales for systemer med personopplysninger etter personvernforordningen (GDPR). Angi kravet til tofaktorautentisering — «påkrevd for alle» gir best sikkerhet, men «påkrevd for sensitive systemer» er en akseptabel kompromissløsning for virksomheter med begrensede IT-ressurser.

Trinn 4 — Angi avvikshåndteringsprosedyren. Angi hvem sikkerhetshendelser skal varsles til (navn, tittel, e-post) og velg en intern varslingsfrist. En frist på 24 timer er standard og anbefales. Husk at den interne fristen må være kortere enn Datatilsynets 72-timers frist etter personvernforordningen (GDPR) artikkel 33 for å gi behandlingsansvarlig tilstrekkelig tid til å vurdere hendelsen.

Trinn 5 — Tilpass krypteringskravene til virksomhetens behov. For virksomheter som behandler ordinære personopplysninger (kontaktdata, kjøpshistorikk), er TLS i transit og kryptering av mobile enheter og ekstern lagring normalt tilstrekkelig. For virksomheter som behandler helseopplysninger, finansdata eller andre særlig sensitive opplysninger, bør krypteringen av lagrede data (AES-256) og nøkkelhåndteringen beskrives mer detaljert.

Trinn 6 — Legg til virksomhetsspesifikke krav. Tilpass policyen til virksomhetens sektor og risikoeksponering. Finansforetak bør inkorporere krav fra Finanstilsynet og DORA-forordningen (Digital Operational Resilience Act). Helseinstitusjoner bør inkorporere kravene i Normen. Offentlige virksomheter bør referere til NSMs Grunnprinsipper og sikkerhetsloven (2018) der relevant.

Trinn 7 — Forankre policyen i ledelsen og kommuniser til ansatte. En informasjonssikkerhetspolicy som ikke er vedtatt av ledelsen og kommunisert til alle ansatte, er lite verdt. Sørg for at policyen signeres av daglig leder eller styret, og at alle ansatte kvitterer for å ha lest og forstått innholdet. Gjennomføringen av opplæring skal dokumenteres.

Trinn 8 — Sett opp et revisjonsystem. Angi en fast dato for den neste revisjonen av policyen (for eksempel ett år etter vedtak) og ansvaret for revisjonen. Oppbevar alle versjoner av policyen med reviseringsdatoer for å dokumentere kontinuerlig forbedring overfor Datatilsynet.

Juridiske krav til Informasjonssikkerhet policy Norge

Informasjonssikkerhetspolicy i Norge er underlagt et regelverk i personvernforordningen (GDPR), personopplysningsloven (2018) og NSMs IKT-sikkerhetsprinsipper som fastsetter kravene til sikkerhetstiltakene.

Sikkerhetskravene i GDPR artikkel 32. Etter personvernforordningen (GDPR) artikkel 32 nr. 1 skal behandlingsansvarlig og databehandler under hensyn til det tekniske nivå, gjennomføringskostnadene, behandlingens art, omfang, sammenheng og formål, samt risikoen for fysiske personers rettigheter og friheter, iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet for risikoen. Bestemmelsen er risikobasert og teknologinøytral — den krever ikke spesifikke teknologier, men resultatene (konfidensialitet, integritet, tilgjengelighet) er bindende.

NSMs Grunnprinsipper for IKT-sikkerhet. Nasjonalt sikkerhetsmyndighet (NSM) har publisert Grunnprinsipper for IKT-sikkerhet, som er de norske myndighetenes anbefalinger for teknisk sikring av IT-systemer. Grunnprinsippene er organisert rundt fire aktiviteter: identifisere og kartlegge, beskytte og opprettholde, oppdage, og gjenopprette og lære. Datatilsynet refererer til NSMs grunnprinsipper i sin veiledning om sikkerhetstiltak, og en policy i tråd med disse prinsippene vil typisk oppfylle kravene i personvernforordningen (GDPR) artikkel 32.

Personopplysningsloven (2018). Personopplysningsloven (2018) gjennomfører personvernforordningens (GDPR) bestemmelser i norsk rett og gir Datatilsynet myndighet til å føre tilsyn med overholdelsen, gi veiledning og ilegge overtredelsesgebyr. Loven har ikke særskilte sikkerhetskrav utover personvernforordningens (GDPR) artikkel 32, men Datatilsynets tilsynspraksis er retningsgivende for hva som forventes av norske virksomheter.

Sikkerhetsloven (2018). Sikkerhetsloven (2018) gjelder for virksomheter som behandler skjermingsverdig informasjon (klassifisert informasjon av nasjonal sikkerhetsverdi). For slike virksomheter stiller sikkerhetsloven strengere krav til informasjonssikkerheten enn personvernforordningen (GDPR), og informasjonssikkerhetspolicyen må tilpasses disse kravene.

Normen for informasjonssikkerhet og personvern i helse- og omsorgssektoren. Helse- og omsorgssektoren i Norge er underlagt «Normen», som er en sektorspesifikk standard for informasjonssikkerhet og personvern. Normen krever en skriftlig informasjonssikkerhetspolicy, og inneholder detaljerte krav til tilgangsstyring, kryptering, avvikshåndtering og leverandørstyring som supplerer kravene i personvernforordningen (GDPR) artikkel 32.

Ansvar og sanksjoner etter GDPR artiklene 82–84. Manglende sikkerhetstiltak eller manglende dokumentasjon på iverksatte tiltak, kan medføre overtredelsesgebyr fra Datatilsynet på inntil 10 millioner euro eller 2 prosent av global omsetning etter personvernforordningen (GDPR) artikkel 83 nr. 4. Datatilsynets vedtak kan påklages til Personvernnemnda. Den registrerte kan kreve erstatning etter artikkel 82. En veldokumentert informasjonssikkerhetspolicy er et sentralt bevis på at virksomheten har oppfylt sine forpliktelser.

Vanlige feil i Informasjonssikkerhet policy Norge

Vanlige feil ved utforming og implementering av Informasjonssikkerhetspolicy i Norge kan undergrave formålet med policyen og medføre brudd på personvernforordningen (GDPR) artikkel 32.

Feil 1 — Policyen er ikke oppdatert. En informasjonssikkerhetspolicy som er fra 2018 og ikke er revidert siden, reflekterer ikke endringene i teknologi, trusselbildet og regelverket. Datatilsynet vil ved tilsyn undersøke om policyen er aktuell. Løsning: sett opp et system for årlig revisjon, og oppdater policyen ved vesentlige endringer i IT-infrastruktur, behandlingsaktiviteter eller regelverk.

Feil 2 — Policyen eksisterer kun på papiret. En policy som ikke er kommunisert til ansatte, ikke etterleves i praksis, og ikke er del av virksomhetens opplæring, gir liten reell sikkerhet. Datatilsynet vil undersøke om sikkerhetstiltakene faktisk er iverksatt, ikke bare om de er beskrevet i et dokument. Løsning: sørg for at policyen er en levende del av virksomhetens kultur, med regelmessig opplæring og dokumentert etterlevelse.

Feil 3 — For generelle og vage sikkerhetskrav. En policy med formuleringer som «vi tar sikkerhet på alvor» eller «vi bruker god sikkerhetspraksis», uten konkrete tiltak, er ikke tilstrekkelig. Personvernforordningen (GDPR) artikkel 32 krever «egnede tekniske og organisatoriske tiltak». Løsning: angi konkrete krav, for eksempel «TLS 1.2 eller høyere for dataoverføring», «AES-256 for lagret data», «12-tegns passord med 2FA».

Feil 4 — Manglende avvikshåndteringsprosedyre. En policy uten klar prosedyre for håndtering av sikkerhetshendelser etterlater ansatte uten veiledning i krisesituasjoner. Løsning: angi hvem som skal varsles, innen hvilken frist, og hvilken informasjon som skal fremskaffes om hendelsen. Koble intern varslingsfrist til Datatilsynets 72-timers frist etter personvernforordningen (GDPR) artikkel 33.

Feil 5 — Ingen leverandørstyring. Mange virksomheter implementerer gode interne sikkerhetstiltak, men mangler prosedyrer for å vurdere og kontrollere leverandørers sikkerhetspraksis. Leverandørers ansatte og systemer er en vanlig kilde til sikkerhetshendelser. Løsning: still krav til leverandørers informasjonssikkerhetspolicy og inngå databehandleravtale med alle leverandører som behandler personopplysninger.

Feil 6 — Tofaktorautentisering ikke implementert. Manglende tofaktorautentisering (2FA) for systemer med personopplysninger er en av de hyppigste og farligste sikkerhetsbristene. Løsning: implementer 2FA for alle systemer med personopplysninger som minimum, og for alle ansattekontoer som best practice.

Feil 7 — Ingen dokumentasjon av opplæring. Å gjennomføre opplæring uten å dokumentere den er en mistet mulighet til å demonstrere etterlevelse. Datatilsynet og ISO/IEC 27001-revisorer vil spørre om dokumentasjon på gjennomført opplæring. Løsning: registrer gjennomført opplæring med deltakerliste, dato og innhold, og oppbevar dokumentasjonen i minst tre år.

Sources & Citations

Statutory citations link to official government sources.

CRREU official

Siter denne siden

Henvis til denne gratis malen i en artikkel, et pensum eller en forskningsnotat:

APA

Forms Legal. (2026). Informasjonssikkerhet policy Norge (Norge) [Legal document template]. Forms Legal. https://forms-legal.com/nb/norge/business/policies/informasjonssikkerhet-policy

MLA

"Informasjonssikkerhet policy Norge (Norge)." Forms Legal, 2026, https://forms-legal.com/nb/norge/business/policies/informasjonssikkerhet-policy.

BibTeX

@misc{formslegal-informasjonssikkerhet-policy,
  author       = {{Forms Legal}},
  title        = {Informasjonssikkerhet policy Norge (Norge)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/nb/norge/business/policies/informasjonssikkerhet-policy}},
  note         = {Free legal document template}
}

Også tilgjengelig for disse jurisdiksjonene:

Portugal

Ofte stilte spørsmål

Mal med lovhenvisninger — Malen ble sist endret juni 2026

Denne malen leveres kun til informasjonsformål og utgjør ikke juridisk rådgivning. Lover varierer mellom jurisdiksjoner og endres over tid. Rådfør deg med en kvalifisert advokat for råd som er spesifikke for din situasjon.Fullstendig ansvarsfraskrivelse

Fant du en feil? Gi oss beskjed