Logg inn
Fagstoff

Strengere sikkerhetskrav til datasentre fra 1. juli 2026

Getty Images 2251784920

Fra 1. juli 2026 skjerpes datasenterforskriften. Operatørene må da holde oppdatert kundeinformasjon, kunne utlevere opplysninger til myndighetene på kort varsel, og ha en representant fysisk til stede i Norge. Brudd kan gi gebyrer på inntil fem prosent av omsetningen.

Datasenterforskriften trådte i kraft 1. januar 2025. Fra 1. juli 2026 skjerpes sikkerhetskravene ytterligere, for å styrke nasjonal sikkerhet og kriminalitetsbekjempelse ettersom datasentre får en stadig viktigere rolle i samfunnets digitale infrastruktur. For operatørene innebærer dette nye plikter – og risiko for betydelige overtredelsesgebyrer ved brudd.

De sentrale nye pliktene

  • Oppdatert kundeinformasjon: Datasenteroperatører skal til enhver tid ha oppdatert informasjon om egne kunder, herunder navn, telefonnummer, eventuelt organisasjonsnummer og kontaktopplysninger, samt hvor kundenes fysiske utstyr er plassert i datasenteret.
  • Plikt til å utlevere informasjon: For å forebygge, avverge og stanse lovbrudd, og for å ivareta nasjonal sikkerhet, får operatørene plikt til å utlevere kundeinformasjon til Nkom, NSM, PST og politi- og påtalemyndighet, på nærmere angitte vilkår og innen fastsatte responstider – også utenfor arbeidstid.
  • Krav om representant i Norge: Operatørene må ha en representant som er fysisk til stede i Norge og har nødvendig fullmakt og kunnskap til å følge opp henvendelser fra myndighetene. Ved registrering hos Nkom må de også oppgi hvem som eier bygget datasenteret er lokalisert i.

Overtredelsesgebyrer

Nkom kan ilegge overtredelsesgebyr ved forsettlige eller uaktsomme brudd på de nye pliktene, blant annet knyttet til kundeinformasjon, utlevering av opplysninger, representasjonskravet og frister. Gebyret kan rettes mot foretaket eller mot personer som handler på dets vegne, og kan for foretak utgjøre inntil fem prosent av årsomsetningen.

Hva bør berørte aktører gjøre nå?

Datasenteroperatører og andre berørte aktører bør sikre etterlevelse av de nye kravene før de trer i kraft. Vi anbefaler blant annet å gjennomgå registrerings- og kunderutiner for å sikre tilstrekkelig oversikt over kundeinformasjon, og å avklare hvem som skal være fysisk representant i Norge, herunder hvem som eier bygget datasenteret er lokalisert i.

I tillegg bør kundeavtaler og interne rutiner gjennomgås og oppdateres ved behov, og det bør etableres rutiner for å håndtere eventuelle utleveringspålegg innenfor forskriftens frister.

Mer informasjon finnes på regjeringen.no. Har du spørsmål om hva de nye kravene betyr for din virksomhet? Ta gjerne kontakt med vårt datasenter-team.

Kontaktpersoner