Risiko og Nordisk samarbeid

Av Sara Habberstad, advokat, VP Legal & Compliance i LINK Mobility Group. Hovedredaktør for Lov & Data.

I begynnelsen av november gikk Nordisk konferanse for rettsinformatikk av stabelen. For 40. gang samlet nordiske jurister og teknologer med interesse for de etter hvert mange møtepunktene mellom jus og teknologi seg for å dele kunnskap og erfaring. Gode diskusjoner og samtaler mellom deltakerne er en viktig del, og et av temaene som var gjenstand for livlig diskusjon, var risikobasert lovgivning.

På «vårt» område har risikobasert lovgivning blitt den nye normen, der tydelige krav eller forbud er erstattet med større fleksibilitet, der målet er å tilpasse tiltak til den risiko som faktisk gjelder den aktuelle virksomheten.

Det er lett å se fordelene ved et risikobasert system; spesifikke regler som skjærer alle virksomheter over en kam er forutsigbare, men også trege og lite egnet til å møte rask teknologisk utvikling og et økende trusselbilde. At den enkelte virksomhet derfor best selv kan vurdere hvilken risiko som er av størst betydning for dem, gir mening. At en offentlig tilbyder av helsetjenester har et annet risikobilde enn en lokal blikkenslager eller en internasjonal produksjonsbedrift er åpenbart.

GDPR, Digitalsikkerhetsloven, DORA-loven, KI-forordningen og NIS2 er alle eksempler på risikobasert lovgivning der kravene til den enkelte virksomhet varierer med den risiko som er relevant for dem. Modellen gir en mulighet for fleksibilitet og pragmatisme som er en klar fordel i dagens verden der man ønsker innovasjon og fremskritt på mange områder. Imidlertid er det også lett å peke på utfordringer; risikovurderingen krever ikke bare innsikt i lovens krav, det krever også dyp kompetanse på fagområdet og virksomheten man arbeider innenfor, og det krever jevnlig oppfølging. Risikovurdering i seg selv er ikke minst også et fag som i langt større grad enn tidligere er noe de fleste jurister må forholde seg til i det daglige.

Forventningen til tilsynene er ikke lenger å føre tilsyn med oppfyllelse av en fastsatt liste med tekniske krav. Tilsyn må utvikle metoder for tilsyn som er effektive, rettferdige og proporsjonale, og som i like stor grad som tiltak og gjennomføring tar for seg selve risikovurderingen som er gjennomført, og vurderingen av den i lys av virksomheten.

Forventningene til virksomheter er ikke lenger å etterleve tydelige krav, men å gjennomføre kompetente risikovurderinger som gir et fornuftig grunnlag for de tiltak virksomheten skal iverksette for å overholde regelverket. Det er ikke lenger nok å kjenne rettsreglene i seg selv; man må også forstå sannsynlighet, konsekvens, og trusselaktører i eget marked.

Kravene som stilles til selve risikovurderingen vil i seg selv kunne være omfattende, om man må kunne spørre om alle omfattede virksomheter vil være i stand til å ta del i den fleksibiliteten som lovgivningen åpner for. Offentlige og private virksomheter har i dag et stort behov for kompetanse for å kartlegge risiko, for å sikre at tiltak som implementeres er gode nok, og ikke for omfattende. Målet er at risikoen til syvende og sist er akseptabel, uten at hindringene oppleves for store.

Deling av kompetanse i Norden er nettopp det du også tar del i nå når du sitter med en utgave av Lov & Data foran deg.

Risikobasert lovgivning har reist, og kommer til å reise, en rekke problemstillinger i tiden som kommer;

Vil større krav til investering i tverrfaglig kompetanse og dokumentasjon skape større ulikhet mellom virksomheter?
Vil standarder for risikovurdering utover de vi kjenner i dag utformes?
Vil tilsynsmyndighetenes tilsyn med risikovurderinger føre til nye metoder for tilsyn?
Vil domstolenes vurderinger påvirke standarder og metoder?

I likhet med alle de problemstillinger vi møter på vårt område, er den beste veien mot god mulig håndtering og forståelse nettopp samarbeid, dialog og deling av kompetanse, som vi fikk ta del i sammen med nordiske kolleger sist uke.

Deling av kompetanse i Norden er nettopp det du også tar del i nå når du sitter med en utgave av Lov & Data foran deg. Et knippe av problemstillinger ligger klar for å gi et innblikk i det som beveger seg på området i våre Nordiske land.