Kompetanse- og kulturutvikling (KK)

Informasjonssikkerhet og personopplysningsvern involverer mange roller og krever ulike typer kompetanse, fra virksomhetsstyring og risikostyring til regelverkforståelse, tiltak og teknisk innsikt.

Virksomhetens leder har ansvaret for at medarbeidere har riktig kompetanse, og at virksomheten har en kultur preget av forståelse for hva som skal oppnås innen informasjonssikkerhet og personopplysningsvern.  

Ledere på alle nivå skal

  • sørge for at risikoeiere får hensiktsmessig grunnopplæring
  • identifisere og følge opp behov for kompetanseheving og kulturutvikling
  • bidra til at øvelser gjennomføres i tilstrekkelig omfang
KK-1 Gi grunnopplæring til risikoeiere

Risikoeiere må ha tilstrekkelig kunnskap for å kunne styre informasjonssikkerhet og personopplysningsvern på sitt ansvarsområde.

Ledelsen skal sørge for at risikoeiere har tilstrekkelig forståelse av

  • hvordan informasjonssikkerhet og personopplysningsvern skal styres
  • hvordan innebygd personvern skal ivaretas
  • hvilke oppgaver de har ansvaret for

Risikoeierne må få hensiktsmessig opplæring i de oppgavene de har ansvaret for gjennomføringen av. De bør få informasjon om hvor de kan få hjelp og støtte i arbeidet.

Gir evne til
  • å ha godt informerte risikoeiere som kan arbeide effektivt med risikostyring 
  • å tilpasse seg endringer i eksterne og interne rammebetingelser
KK-2 Identifisere og følge opp behov

Ledere på alle nivå skal systematisk identifisere og følge opp behov for kompetanse- og kulturutvikling innen informasjonssikkerhet og personopplysningsvern. Både individuelle og organisatoriske behov skal følges opp.

Behovene bør identifiseres gjennom ulike aktiviteter, inkludert

  • risikovurderinger
  • revisjoner, evalueringer og kartlegginger
  • virksomhetsledelsens gjennomgang
  • erfaring fra øvinger eller hendelseshåndtering
  • plikter pålagt i lov eller avtale

Tiltak som skal dekke identifiserte behov, skal være tilpasset målgruppen.

Gir evne til
  • at ledere og medarbeidere har forståelse for hva som skal oppnås, og har vilje og evne til å få det til
  • forståelse for den enkeltes rolle i styring av informasjonssikkerhet og personopplysningsvern
  • effektiv bruk av ressurser til kompetanse- og kulturutvikling, ved at tiltak iverksettes der det er størst behov
KK-3 Øvelser

Ledere på alle nivå skal sørge for at øvelser blir prioritert og gjennomført. 
Øvelser skal gjennomføres i tilstrekkelig omfang minst årlig for å

  • øke kompetansen og kunnskapen til de ansatte, og gi dem trening i å samarbeide både i virksomheten og med andre relevante aktører 
  • avdekke behov for kompetanse- og kulturutvikling
  • avdekke eventuelle ressursbehov 

Omfang og innretning av øvelsene skal være tilpasset virksomheten og området det øves innenfor. Øvelser skal evalueres og følges opp i etterkant, for å sørge for god læring og å identifisere behov for forbedring. 

Gir evne til
  • god beredskap som sikrer effektiv håndtering av hendelser
  • å ha ansatte som er forberedt på å håndtere reelle hendelser 
  • å samarbeide om håndtering av hendelser internt og med eksterne aktører
  • å forbedre arbeidet gjennom praktisk erfaring, og ha en kultur preget av kontinuerlig læring
Publisert 10.11.2025 - 09:46
Sist oppdatert 19.01.2026 - 15:24
Forrige
Overvåking og hendelseshåndtering (OH)
Neste
Anskaffelser og leverandørstyring (AL)