Det er lett å bli nummen av KI-overskrifter, nye trusler og EU-regelverk. Men under støyen skjer det et mer grunnleggende skifte: Risikoen flytter seg ut av virksomheten din og inn i leverandører, plattformer og regelverk du ikke kontrollerer fullt ut.
Her er seks realiteter som faktisk endrer spillereglene. Ikke for å skremme deg, men for å gjøre deg mer presis i valgene du tar.
1) “Lovlig IT” er ikke lenger bare ditt ansvar – men det er heller ikke leverandørens alene
Skytjenester (SaaS) har flyttet mye kontroll til leverandøren: infrastruktur, oppdateringer, standardoppsett og ofte selve sikkerhetsnivået. Det betyr at leverandørvalg i praksis er et juridisk og strategisk risikovalg, ikke bare “IT”.
Samtidig: Mange går i en felle her og tror “da er jeg ferdig”. Nei. Under GDPR er du ofte behandlingsansvarlig uansett, og du kan ikke outsource ansvaret med en hyggelig kontrakt. Du kan outsource drift – men du må fortsatt kunne dokumentere at du har valgt riktig, satt riktige krav, og fulgt opp.
Og ja: EU moderniserer produktansvaret slik at programvare og KI tydelig omfattes av produktansvarsregler. Det øker presset på leverandører til å bygge sikkerhet og oppdateringer inn i produktet fra start.
2) Den vanligste “bakdøra” er ikke en hacker i hovedinngangen – men leverandørkjeden din
Du kan ha orden internt og likevel bli truffet via en partner, underleverandør eller en skyløsning med svake rutiner. NSM peker på at avhengigheter og konsentrasjonsrisiko i leverandørlandskapet er en reell sårbarhet i Norge.
NIS2 løfter dette eksplisitt: sikkerhet i leverandørkjeden er ikke lenger “nice to have”, men et kjernekrav for virksomheter som omfattes.
Og selv om du ikke er direkte omfattet, vil mange SMB-er merke det indirekte: Du blir et krav i andres leverandørkjede.
3) Frykt for cyberangrep bremser faktisk vekst
Dette er den skjulte kostnaden mange undervurderer: ikke bare nedetid og gjenoppretting, men at ledere blir mer forsiktige med å satse.
En norsk SMB-undersøkelse viste at 64% sier frykten for svindel gjør dem mer forsiktige med å vokse.
Når sikkerhet blir en vekstbrems, er det et tegn på at tiltakene enten er for uklare, for komplekse – eller for dyre i forhold til modenhet og behov.
4) Regulering kan beskytte – og samtidig kvele tempo
EU har kastet seg rundt med AI Act, Data Act, DSA og mer. Intensjonen er god: tryggere marked, mer kontroll, færre cowboyer.
Men Draghi-rapporten til EU-kommisjonen advarer ganske tydelig om at selskaper som vil skalere i Europa hindres “på alle trinn” av inkonsistente og restriktive reguleringer.
For Norge, med et næringsliv dominert av små virksomheter, er dette en reell kapasitetsutfordring: regler som krever jurist, sikkerhetssjef og compliance-team – når du har 12 ansatte og en daglig leder som også er salgssjef.
5) En “Logg inn med Facebook”-knapp kan være nok til å skape en ulovlig dataoverføring
Bindl-saken er en skikkelig vekker fordi den treffer noe mange anser som “standard”. EU-domstolen (General Court) pekte på at persondata kunne overføres til Meta i USA ved bruk av Facebook-innlogging på en EU-kommisjonsløsning, uten tilstrekkelige garantier på plass.
Læringen er brutal og enkel: Det er nettstedets/virksomhetens ansvar å ha kontroll på tredjepartsfunksjonalitet – også når brukeren selv velger å trykke.
6) Ansattes bruk av ChatGPT kan være en direkte lekkasje av intern info
Dette er ikke “teori”. Samsung strammet inn etter at sensitiv informasjon ble delt via ChatGPT i arbeidskontekst.
Den viktigste nyansen mange bommer på: Risikoen handler ikke bare om “onde ansatte”. Den handler om flinke folk som vil jobbe raskere – og som ikke har tydelige rammer, gode alternativer eller en enkel “hva kan jeg lime inn hvor?”-regel.
Så hva betyr dette i praksis?
Hvis strategien din fortsatt bygger på at risiko er noe du “fikser internt”, blir du tatt på senga. Den nye normalen er styring av avhengigheter: leverandører, skyplattformer, identiteter, tilgang, tredjepartsskript, og hvordan folk faktisk jobber.
To datapunkter som gjør dette ekstra relevant: Politiets oppklaring på cyberrettet kriminalitet er lav – i en nasjonal gjennomgang ble omtrent 97% av sakene henlagt, og antall anmeldelser er lavt sammenlignet med antatt omfang. Det betyr i praksis at forebygging og robusthet ofte er det eneste som fungerer.
Og på toppen av dette har folk allerede lite kapasitet: Microsofts Work Trend Index peker på et tydelig kapasitetsgap der mange mangler tid/energi, samtidig som produktivitetskravene øker.
En enkel ledersjekk (15 minutter)
-
Vet vi hvilke 10 leverandører vi er mest avhengige av, og hva som skjer hvis én av dem svikter?
-
Har vi krav til MFA, betinget tilgang og admin-roller på plass – og faktisk kontroll på det?
-
Har vi en enkel KI-regel: “hva kan inn” / “hva kan aldri inn”, og et trygt alternativ for ansatte?
-
Har vi oversikt over tredjepartsskript/cookies/innlogginger på nettsider og skjema?
-
Kan vi dokumentere hvorfor vi stoler på leverandørene våre (ikke bare “de er store”)?