Det er lett å bli nummen av KI-overskrifter, nye trusler og EU-regelverk. Men under støyen skjer det et mer grunnleggende skifte: Risikoen flytter seg ut av virksomheten din og inn i leverandører, plattformer og regelverk du ikke kontrollerer fullt ut.
Her er seks realiteter som faktisk endrer spillereglene. Ikke for å skremme deg, men for å gjøre deg mer presis i valgene du tar.
Skytjenester (SaaS) har flyttet mye kontroll til leverandøren: infrastruktur, oppdateringer, standardoppsett og ofte selve sikkerhetsnivået. Det betyr at leverandørvalg i praksis er et juridisk og strategisk risikovalg, ikke bare “IT”.
Samtidig: Mange går i en felle her og tror “da er jeg ferdig”. Nei. Under GDPR er du ofte behandlingsansvarlig uansett, og du kan ikke outsource ansvaret med en hyggelig kontrakt. Du kan outsource drift – men du må fortsatt kunne dokumentere at du har valgt riktig, satt riktige krav, og fulgt opp.
Og ja: EU moderniserer produktansvaret slik at programvare og KI tydelig omfattes av produktansvarsregler. Det øker presset på leverandører til å bygge sikkerhet og oppdateringer inn i produktet fra start.
Du kan ha orden internt og likevel bli truffet via en partner, underleverandør eller en skyløsning med svake rutiner. NSM peker på at avhengigheter og konsentrasjonsrisiko i leverandørlandskapet er en reell sårbarhet i Norge.
NIS2 løfter dette eksplisitt: sikkerhet i leverandørkjeden er ikke lenger “nice to have”, men et kjernekrav for virksomheter som omfattes.
Og selv om du ikke er direkte omfattet, vil mange SMB-er merke det indirekte: Du blir et krav i andres leverandørkjede.
Dette er den skjulte kostnaden mange undervurderer: ikke bare nedetid og gjenoppretting, men at ledere blir mer forsiktige med å satse.
En norsk SMB-undersøkelse viste at 64% sier frykten for svindel gjør dem mer forsiktige med å vokse.
Når sikkerhet blir en vekstbrems, er det et tegn på at tiltakene enten er for uklare, for komplekse – eller for dyre i forhold til modenhet og behov.
EU har kastet seg rundt med AI Act, Data Act, DSA og mer. Intensjonen er god: tryggere marked, mer kontroll, færre cowboyer.
Men Draghi-rapporten til EU-kommisjonen advarer ganske tydelig om at selskaper som vil skalere i Europa hindres “på alle trinn” av inkonsistente og restriktive reguleringer.
For Norge, med et næringsliv dominert av små virksomheter, er dette en reell kapasitetsutfordring: regler som krever jurist, sikkerhetssjef og compliance-team – når du har 12 ansatte og en daglig leder som også er salgssjef.
Bindl-saken er en skikkelig vekker fordi den treffer noe mange anser som “standard”. EU-domstolen (General Court) pekte på at persondata kunne overføres til Meta i USA ved bruk av Facebook-innlogging på en EU-kommisjonsløsning, uten tilstrekkelige garantier på plass.
Læringen er brutal og enkel: Det er nettstedets/virksomhetens ansvar å ha kontroll på tredjepartsfunksjonalitet – også når brukeren selv velger å trykke.
Dette er ikke “teori”. Samsung strammet inn etter at sensitiv informasjon ble delt via ChatGPT i arbeidskontekst.
Den viktigste nyansen mange bommer på: Risikoen handler ikke bare om “onde ansatte”. Den handler om flinke folk som vil jobbe raskere – og som ikke har tydelige rammer, gode alternativer eller en enkel “hva kan jeg lime inn hvor?”-regel.
Hvis strategien din fortsatt bygger på at risiko er noe du “fikser internt”, blir du tatt på senga. Den nye normalen er styring av avhengigheter: leverandører, skyplattformer, identiteter, tilgang, tredjepartsskript, og hvordan folk faktisk jobber.
To datapunkter som gjør dette ekstra relevant: Politiets oppklaring på cyberrettet kriminalitet er lav – i en nasjonal gjennomgang ble omtrent 97% av sakene henlagt, og antall anmeldelser er lavt sammenlignet med antatt omfang. Det betyr i praksis at forebygging og robusthet ofte er det eneste som fungerer.
Og på toppen av dette har folk allerede lite kapasitet: Microsofts Work Trend Index peker på et tydelig kapasitetsgap der mange mangler tid/energi, samtidig som produktivitetskravene øker.
Vet vi hvilke 10 leverandører vi er mest avhengige av, og hva som skjer hvis én av dem svikter?
Har vi krav til MFA, betinget tilgang og admin-roller på plass – og faktisk kontroll på det?
Har vi en enkel KI-regel: “hva kan inn” / “hva kan aldri inn”, og et trygt alternativ for ansatte?
Har vi oversikt over tredjepartsskript/cookies/innlogginger på nettsider og skjema?
Kan vi dokumentere hvorfor vi stoler på leverandørene våre (ikke bare “de er store”)?