Introduksjon

Disse sidene gir anbefalinger til offentlige virksomheter om hvilke styringsaktiviteter de bør ha. Målet er at ledelsen skal kunne ivareta ansvaret sitt.

Offentlige virksomheter og deres ledere har ansvar for å styre risiko for sine oppgaver og tjenester. En del av dette er å styre informasjonssikkerhet og personopplysningsvern. Dette bør være en integrert del av virksomhetsstyringen. 

Disse anbefalingene beskriver aktiviteter som bør gjennomføres systematisk for å styre informasjonssikkerhet og personopplysningsvern på en god måte og ivareta plikter i regelverk.

Virksomheten må jobbe effektivt med dette for alle sine oppgaver og tjenester. Ledelsen bruker styringsaktiviteter, sikkerhetstiltak og personverntiltak for å ivareta dette ansvaret.

Svak styring kan føre til brudd på lovkrav, tap av samfunnsverdier og tillit. God styring legger til rette for etterlevelse av blant annet eForvaltningsforskriftens §15, sikkerhetsloven kap. 6, digitalsikkerhetsloven §7, og artikkel 24 i GDPR.

Disse felles anbefalingene om styringsaktiviteter er gitt av
  • Nasjonal sikkerhetsmyndighet (NSM)
  • Datatilsynet (DT)
  • Kommunesektorens organisasjon (KS)
  • Digitaliseringsdirektoratet (Digdir)
  • Direktoratet for forvaltning og økonomistyring (DFØ)
  • Helsedirektoratet (Hdir)

Anbefalingene er utarbeidet i programmet «Felles sikkerhet i forvaltningen» (digdir.no)

Sammenheng med tilgjengelig veiledning

Det finnes mange offentlige aktører som gir veiledning om informasjonssikkerhet og personvern. 

Anbefalingene sier hva virksomhetene bør gjøre, og hvorfor, men mange vil fortsatt trenge hjelp til hvordan det skal gjøres, og hvem som skal gjøre det. Dette kan for eksempel være i form av metodeveiledning eller praktiske verktøy. 

I dag finnes det mye veiledning, men det kan være vanskelig å få oversikt. Et mål i arbeidet med «Felles sikkerhet i forvaltningen» er at det skal finnes felles anbefalinger om hva offentlige virksomheter bør ha på plass for styre informasjonssikkerhet og personopplysningsvern, og ha et forsvarlig sikkerhetsnivå for sine oppgaver og tjenester. Anbefalingene om styringsaktiviteter er første steg i dette arbeidet. 

Videre skal det bli lettere å se sammenhengen mellom disse anbefalingene og den veiledningen som finnes. Veiledning skal vise til anbefalingene, og veiledningsaktørene bør forklare hvilke deler av det som er anbefalt de veileder om. 

Det gjenstår fortsatt mye arbeid for å rydde og samordne veiledningen på området.

Figur som viser målbildet illustrert som en trekant med fire nivåer, der øverste nivå er regelverk, og nederste nivå er hjelpemidler

Målbildet kan illustreres som en trekant, med fire nivåer:

  1. Krav fra regelverk
  2. Anbefalinger, for eksempel om 
    • styringsaktiviteter 
    • basisnivåer av tiltak
    • felles tiltaksbank med sikkerhets- og personverntiltak
  3. Veiledning knyttet til ulike deler av anbefalingene, for eksempel
    • generell styringsveiledning 
    • veiledning i fremgangsmåter/metoder 
    • veiledning om spesifikke tiltak eller grupper av tiltak 
    • veiledning om særregler i et regelverk
  4. Praktiske hjelpemidler, for eksempel
    • Støtteverktøy
    • Eksempelbank
    • Oversikt over begreper
    • Felles vurderinger
Publisert 10.11.2025 - 09:46
Sist oppdatert 19.01.2026 - 15:17
Neste
Ledelsens styring og oppfølging (LS)