Teknologifaggruppen i Føyen har hatt et spennende og innholdsrikt år sammen med våre kunder. Vi benytter anledningen til å belyse noen av hendelsene fra året som har vært og gir et frempek på hva vi kan forvente oss i det kommende året.
Vi har bistått en rekke ulike kunder innenfor mange ulike sektorer som helse, bank og finans, transport, teknologi, datasenter, generell industri, offentlig sektor, ecommerce, underholdning og sport. Vi har veiledet virksomheter i B2B og B2C-markedet med tradisjonelle forhandlinger og kontraktsinngåelser til mer komplekse digitale prosjekter.
I år har vi sett en økning i tvistesaker, spesielt knyttet til store og krevende implementeringsprosjekter. Samtidig har en betydelig del av tiden gått med til å bistå kunder med å kartlegge og sikre etterlevelse av nye EU-regelverk som skal eller er innført i norsk rett. En sentral juridisk utvikling har vært det økte fokus og nye regelverk knyttet til cybersikkerhet og AI, samt utviklingen av regelverk innen teknologi, telekom og plattformansvar.
Nedenfor følger en oversikt over noen av de viktigste endringene og oppdateringene i lovverket som har blitt aktualisert det siste året. Vi presenterer også våre forventninger og prognoser for de juridiske trendene som vil prege 2026.
NASJONAL BEREDSKAP OG SIKKERHET
Styrke motstandskraften mot digitale angrep i kritisk infrastruktur (NIS og DORA)
Året 2025 har vært preget av fokus på styrking av Norges digitale forsvar ved gjennomføring av flere EU-direktiver.
Digitalsikkerhetsloven
Digitalsikkerhetsloven trådte i kraft 1. oktober 2025 og innfører grunnleggende krav til digital sikkerhet i virksomheter i 28 angitte områder innenfor kritiske sektorene som energi, helse, transport, vannforsyning, bank og finanstjenester og digital infrastruktur. Loven omfatter også digitale tjenester som nettbaserte markedsplasser, søkemotorer og skytjenester som oppfyller visse terskelkrav.
Loven innfører en registreringsplikt, krav til etablering av et styringssystem for sikkerhet, krav til rutiner for hendelsesvarsling- og håndtering og leverandørrisikostyring. Konkrete krav er angitt i forskriften og for tilbydere av digitale tjenester i EUs gjennomføringsforordning EU 2018/151. Les hva vi har skrevet om digitalsikkerhetsloven her.
Eller hør mer om temaet i podcasten vi har vært med på her.
DORA-loven i finanssektoren
I sommer trådte EUs Digital Operational Resilience Act, i kraft i norsk rett ved ikrafttredelsen av DORA-loven, som er et sektorspesifikt regelverk for bank- og finanssektoren. DORA er mer detaljert enn digitalsikkerhetsloven og omfatter finansforetak og deres IKT-leverandører.
Loven skal styrke bank- og finanssektorens motstandsdyktighet mot digitale hendelser og sikre finansiell stabilitet. Loven omfatter krav til styring av IKT-risiko, hendelseshåndtering, krav til testing, styring av leverandørrisiko og krav til informasjonsdeling.
DORA-loven har et større fokus på leveransesikkerhet/forretningskontinuitet og kontraktsoppfølging i verdikjeden. Les hva vi har skrevet om DORA-loven her.
Frempek til 2026 – NIS2 og CER
I 2026 kan vi muligens forvente at NIS2-direktivet og CER-direktivet blir sendt på høring. Regelverkene er hovedsakelig mer av det samme som NIS1. Mens NIS2 primært utvider virkeområdet til å gjelde flere sektorer (som matforsyning, avfallshåndtering, post og pakkeleveranser, produksjon og distribusjon av kjemikaler, romfart, offentlig forvaltning og meste av digital infrastruktur), vil CER-direktivet (Critical Entities Resilicene) komplementere dette med større fokus på fysisk og operasjonell sikkerhet og robusthet med hensyn til alle trusler, inkludert naturkatastrofer, hybridtrusler og terrorhandlinger. Med NIS2 vil bøtenivået og sanksjonsregimet også strammes til, så her er det viktig å være ute i god tid.
Nye krav til ekom og datasentre
Den nye ekomloven og datasenterforskriften kom samtidig som året 2025 startet. Ekomloven har blant annet fått et større nedslagsfelt og omfatter nå også internettbaserte meldingstjenester (Whatsapp og Messenger). Samtidig har virkeområdet blitt utvidet til å gjelde for datasenteroperatører og ytterligere krav er spesifisert i datasenterforskriften.
Loven skjerper kravene til samtykke ved bruk av informasjonskapsler tilsvarende GDPR-samtykke for at cookies og annen sporingsteknologi lovlig kan benyttes. Dette betyr at sluttbruker aktivt må klikke «ja takk» til statistiske, funksjonelle og markedsføringscookies. Les mer om de nye reglene for sporingsteknologi i vår oppsummering av personvernåret 2025 her.
Den nye datasenterforskriften innfører for første gang detaljerte sikkerhetsregler for datasenterdrift i Norge. Operatører over gitte terskelkrav får registreringsplikt hos NKOM og må etablere formelle styringssystemer for sikkerhet. Forskriften gir også NKOM vid adgang til å pålegge datasentre å opprettholde nasjonal autonomi i krisesituasjoner, inkludert krav om drift og vedlikehold med personell i Norge. Les mer om hva som kreves her, her og her.
MARKEDSREGULERING, KI OG PLATTFORMANSVAR
Flere av EUs viktigste digitale forordninger har preget høringsbildet i 2025.
Status regulering av kunstig intelligens (KI-loven/AI Act)
Implementeringen av EUs risikobaserte AI Act i norsk rett har vært på høring. KI-loven pålegger aktører i hele verdikjeden forpliktelser basert på AI-systemets risikoklassifisering. Jo høyere risiko systemet utgjør, desto strengere er kravene til risikostyring, datahåndtering, dokumentasjon og menneskelig tilsyn. Det pågår også arbeid i EU med å forenkle og utsette tidsfrister for de strengeste kravene, i påvente av utarbeidelse av standarder og retningslinjer.
Hør mer om temaet i podcasten vi har vært med på her.
Endringer i kringkastingsloven
Den 1. mai 2025 trådte endringer i kringkastingsloven i kraft. Endringene skyldes i hovedsak implementering av AMT-direktivet fra EU, som inneholder en rekke oppdateringer av reglene som gjelder for audiovisuelle medietjenester og helt nye regler for videodelingsplattformer.
De viktigste endringene innebærer en plikt for audiovisuelle medietjenester, inklusive videodelingstjenester, til å registrere seg hos Medietilsynet. Tidligere var det kun kringkastere som ikke var konsesjonspliktige som hadde plikt til å registrere seg. Endringene innebærer også en oppmykning av reglene om produktplassering og sponsing. Den tidligere hovedregelen om at produktplassering er forbudt snus nå på hodet, slik at produktplassering som hovedregel er lov med enkelte unntak. Sponsoridentifikasjon kan også vises for en utvidet tidsperiode. I tillegg inneholder endringene regulering av videodelingstjenester, det vil si tjenester for brukeropplastet innhold hvor tilbyderen ikke har redaksjonell kontroll. Videodelingstjenester må nå iverksette hensiktsmessige tiltak for å beskytte barn og unge, samt følge reglene for sponsing og produktplassering.
Avslutningsvis i lovgivningsprosessen ble det innført en plikt for strømmetjenester til å investere i norsk innhold. Disse reglene har ikke trådt i kraft ennå.
Markedsetterforskningsverktøy – et halvt år etter ikrafttredelse
Det nye markedsetterforskningsverktøyet i konkurranseloven trådte i kraft 1. juli 2025. Lovendringen ga Konkurransetilsynet utvidet kompetanse til å etterforske markeder hvor det foreligger “forhold” som tilser at konkurransen er eller står i fare for å bli “vesentlig begrenset”. Lovendringen ga også tilsynet mulighet til å pålegge avhjelpende tiltak under visse vilkår. Til tross for at det knyttet seg kritikk til foretakenes forutberegnelighet i forkant av lovendringen, har Konkurransetilsynet ikke iverksatt noen markedsetterforskninger enda. Føyen har tidligere skrevet om dette her.
Forslag til ny konkurranselov
Konkurranselovutvalget kom den 1. desember 2025 med en helhetlig gjennomgang av konkurranseloven. Utredningen viderefører i stor grad dagens materielle konkurranseregler og håndhevingsmodell, men det foreslås flere endringer for å styrke effektiviteten og rettssikkerheten til partene. Blant annet foreslås det endringer i reglene om foretakssammenslutninger, nye regler om privat håndheving som skal gjøre det enklere å kreve erstatning, og endringer i regler om sanksjoner for brudd på konkurranseloven. Forslagene sendes nå på høring, med høringsfrist 27. mars 2026.
Digital Services Act (“DSA”) på høring
Implementeringen av EUs Digital Services Act (“DSA”) har vært på høring. DSA retter seg mot store tilbydere av internettplattformer som Instagram, Facebook, Youtube, Tiktok og andre sosiale medier. Reglene skal forebygge ulovlige og skadelige aktiviteter på internett og motvirke spredning av desinformasjon. Blant annet forbys adferdsbasert og målrettet reklame mot mindreårige, atferdsbasert og målrettet reklame basert på sensitive personopplysninger og reklame med manipulativt design. DSA inneholder også regler som skal gjøre det lettere å gjenkjenne reklame og melde fra om ulovlig innhold. For de største plattformene stilles det også krav om risikovurderinger knyttet til spredning av ulovlig innhold og grunnleggende rettigheter som personvern, ytringsfrihet, informasjonsfrihet og pressefrihet.
Regjeringen har foreslått at forordningen gjennomføres i en ny lov om digitale tjenester. Loven inkluderer DSA i sin helhet, som er vanlig praksis for implementering av forordninger. I tillegg inneholder den noen nasjonale tilpasninger knyttet til ansvarlige myndigheter, opplysningsplikt, tilsyn, kontroll og sanksjoner.
EU-kommisjonen har ilagt Elon Musk sin tjeneste X (tidligere Twitter) en bot på 120 millioner euro for brudd på DSA, på grunn av villende bruk av den blå verifiseringslogoen, manglende åpenhet i annonseringsarkivet og unnlatt tilgang til offentlig data fra forskere. X er gitt 60-dagersfrist til å rette bruddet knyttet til verifiseringslogoen og 90 arbeidsdager til å fremlegge planer for å rette de andre bruddene.
Nye EU-regler om politisk reklame
EU har vedtatt en ny forordning som skal sikre åpenhet rundt politisk reklame, og dette regelverket er forventet å bli implementert i norsk rett. Reglene treffer bredt og omfatter ikke bare politiske partier, men hele verdikjeden inkludert markedsføringsbyråer, påvirkere og annonseplattformer. Definisjonen av politisk reklame er vid og dekker budskap fra politiske aktører, men også kampanjer designet for å påvirke valg eller lovgivningsprosesser, som for eksempel lokale vedtak om byutvikling. Aktørene pålegges omfattende plikter om tydelig merking, åpenhet om hvem som betaler, og tilgjengeliggjøring i offentlige registre.
Særlig inngripende er de nye kravene til målrettet reklame, som i praksis gjør det svært vanskelig å bruke moderne annonseteknologi til politiske budskap. Forordningen krever at personopplysningene må hentes direkte fra brukeren selv og at det må gis samtykke til politisk markedsføring i samsvar med kravene i GDPR. Det blir spennende å se hvordan forordningen implementeres i norsk rett, sett hen til reklame med et rent politisk budskap ikke anses som markedsføring etter dagens markedsføringslov. Reglene om målrettet reklame synes også å passe dårlig med ytringsfrihet og demokratihensyn, i alle fall etter vår norske praksis og norske holdninger for dette.
Forenkling av digitale regelverket?
Det har lenge vært sagt at “the US innovate, and the EU regulate”. Dette forsøker EU å gjøre noe med ved å foreslå forenklinger i det regulatoriske landskapet knyttet til teknologi. Denne lovgivningspakken omtales som EU Digital Omnibus (EU 2024/1689). Forslaget har til formål å forenkle, avklare og sammenstille EUs digitale regelverk for å lette den administrative byrden, men også å gjøre EU mer konkurransedyktig. Forslagene gjelder regler knyttet til personvern, data, AI, informasjonssikkerhet og plattformansvar.
Det foreslås blant annet at det etableres ett felles knutepunkt for rapportering av sikkerhetshendelser etter de ulike regelverkene GDPR, NIS, DORA, og CER-direktivet.
I stedet for tre ulike regelverk knyttet til bruk og deling av data, er det tenkt at Open Data Directive Free Flow of Non-Personal Data Regulation og Data Governance Act skal slås sammen til et regelverk. Det er også foreslått å samkjøre reglene knyttet til plattformansvar ved å oppheve Platform-to-Business-forordningen. Det er videre foreslått endringer i personvernregelverket både knyttet til definisjonen av personopplysninger i tråd med nyere praksis, cookiesregler og større adgang til å bruke personopplysninger til å trene AI-modeller. Les mer om oppsummeringen av personvernåret 2025 her.
Det skal bli enklere å dele og gjenbruke data i EU
Data Act har tredd i kraft i EU i år. Forbrukere og næringsvirksomheter skal få mer kontroll over egne data som genereres ved bruk av produkter og tjenester. Data Act skal bidra til økt gjenbruk av data og mer rettferdig distribuering av data mellom aktørene i verdikjeden. Les mer om hva vi har skrevet om Data Act her.
FORBRUKERVERN OG ETISK MARKEDSFØRING
Digital trygghet
EU-kommisjonen har bedt om innspill til Digital Fairness Act som skal som beskytte mot uetiske praksis rundt dark patterns, markedsføring av påvirkere, avhengighetsskapende digital design og profilering.
Skjerpet praksis mot grønnvasking
I 2025 har Forbrukertilsynet i samarbeid med europeiske myndigheter slått hardt ned på grønnvasking i flybransjen. Etter Forbrukertilsynets oppfatning er bruk av vage begreper som «bærekraftig», «grønt» eller «miljøvennlig» ulovlig for markedsføring av flyreiser. Dette er fordi flyvning har en dokumentert negativ miljøeffekt, og slike generelle påstander kan ikke dokumenteres. Forbrukertilsynet anser det også som villedende å markedsføre produkter som «klimanøytrale» basert på klimakompensasjon, da dette ikke fjerner den faktiske miljøbelastningen. Flyselskapene har nå måttet endre sin praksis for å unngå bøter.
Den skjerpede praksisen sender et tydelig signal til alle virksomheter også utenfor flybransjen om at kravene til nøyaktighet og dokumentasjon i miljømarkedsføring er absolutte og tolkes strengt. Det betyr at slik markedsføring må være konkret, verifiserbar og unngå å skape et feilaktig helhetsinntrykk hos forbrukeren. Når næringsdrivende bruker påstander om klimakompensasjon i markedsføringen, må de ha solide og vitenskapelige beviser for at påstandene om klimakompensasjon er riktige. Feiltrinn på dette området innebærer en reell risiko for både sanksjoner fra Forbrukertilsynet og alvorlig omdømmetap. Les mer hva vi har skrevet om grønnvasking her.
Nytt forbud mot markedsføring av usunn mat og drikke rettet mot barn
Forbudet mot å markedsføre “usunn mat” “særlig rettet mot barn” trådte i kraft i april 2025, men først med reell virkning fra 25. oktober 2025. Barn er alle under 18 år. Markedsføring er enhver handling som kan skape oppmerksomhet om et usunt produkt eller et varemerke eller butikk som primært er kjent for usunn mat. Usunn mat er etter forskriften eksempelvis sjokolade, godteri, brus (inkludert sukkerfri brus), kaker, snacks, is, men også juice, yoghurt, melkeprodukter og frokostblandinger tilsatt sukker eller søtningsstoff, eller med sukker/søtningsstoff/fett/salt over definerte grenseverdier. Hurtigmat fra gatekjøkken og mat ferdig til oppvarming solgt i butikk, vil være omfattet gitt innhold over slike grenseverdier.
“Markedsføring” er blant annet annonsering på nett, i avis, eller i butikk. Tilbud, kampanjer og sponsing av arrangementer er også eksempler på markedsføring. Det er derimot ikke forbudt å selge usunn mat, heller ikke til barn.
Forbudet gjelder markedsføring “særlig rettet mot barn”. Hvor grensen for dette går, er ikke fullt ut avklart per i dag da reglene til dels er skjønnsmessig. Foreløpig finnes heller ikke praksis fra tilsynsmyndigheten Helsedirektoratet. Grovt forklart vil tiltak som gjør markedsføringen særlig interessant eller oppmerksomhetsskapende hos barn, kunne være forbudt. Eksempler er animerte figurer i reklame eller plassering av usunn mat sammen med andre produkter for barn i en butikk. Bruk av påvirkere eller kjendiser som er særlig populær hos barn kan være problematisk. Det samme gjelder bruk av sosiale medier som brukes mye av barn, som ifølge Helsedirektoratet er TikTok, Snapchat og Instagram. Bruk av konsepter som jul, påske og sommerferie går an, men her må man være forsiktig.
Det er alltid forbudt å dele ut usunn mat til barn, gratis, inkludert ved sponsing av den aller mest usunne maten. Dette har, som vi har sett i media, laget vanskeligheter for tradisjonelle julearrangementer hvor næringsdrivende ikke lenger kan gi bort bruks og godtepose til en ideell aktørs julegrantenning. Konkurranser som markedsfører usunn mat og der barn kan delta, er også alltid forbudt.
Samtidig er det tillatt å sponse arrangementer (unntatt å gi bort den mest usunne maten som spons). Emballasjen for usunne produkter er også helt unntatt forbudet. Eksempelvis er det stadig tillatt for frokostblandinger med mye sukker å bruke tegnede barnevennlige figurer på emballasjen.
Vi i Føyen har jobbet veldig mye det siste halve året med rådgivning om forbudets rekkevidde. Noen av grensene er uklare også for oss. Vi vet foreløpig heller ikke hvor strenge tilsynsmyndigheten Helsedirektoratet vil være, hverken med tolkning eller sanksjoner. Her har vi samtidig velbegrunnede meninger og antakelser basert på all informasjon som per i dag er tilgjengelig. Det er jo også en utfordring at hva som appellerer særlig til eldre barn på eksempelvis 16-17 år, kan være noe ganske annet enn hva som appellerer til barn på 8-10 år.
I forlengelse av dette nevner vi også at det fra nyttår blir forbudt å selge energidrikk til barn under 16 år. Retailere og nettbutikker må ifølge reglene innføre et alderskontrollregime ved salg i tråd med hva som kreves for salg av alkohol og tobakk.
Grensen mellom markedsføring og personvern
EU-domstolen avsa en avgjørelse i år, C-654-23 Inteligo Media SA, som avklarte forhold rundt direktemarkedsføring under artikkel 13 i ePrivacy direktivet. Bestemmelsen samsvarer i stor grad med markedsføringsloven § 15.
Saken gjaldt en rumensk nettside som sendte daglige nyhetsbrev til brukere som hadde registrert seg med en gratiskonto. Denne kontoen ga tilgang til et begrenset antall artikler, men ga også mulighet til å betale for å få full tilgang til alle artiklene deres. EU-domstolen konkluderte med at nyhetsbrevene var direktemarkedsføring i tilknytning til salg av et produkt eller en tjeneste, selv om brukerkontoen var gratis, ettersom den fungerte som en inngang til et bedre betalingsalternativ.
EU-domstolen presiserte også at der det finnes et gyldig unntak for direktemarkedsføring i ePrivacy direktiv artikkel 13 (2), var det ikke nødvendig å vurdere gyldig grunnlag etter GDPR artikkel 6. Det var tilstrekkelig å vise at vilkårene i ePrivacy direktivet var oppfylt.
PROGNOSER FOR 2026
Vi tror at det vil bli økt regulatorisk fokus rundt cybersikkerhet: Den faktiske etterlevelsen av NIS og DORA vil få stort fokus. Vi forventer at tilsynsmyndighetene i økende grad vil kreve at virksomheter kan dokumentere effektive styringssystemer for IKT-risiko og leverandøroppfølging. Vi venter også spent på norsk status vedrørende EUs NIS2, CER-direktivet og CRA (Cyber Resilience Act).
KI-loven: Høringsrunden for KI-loven vil avsluttes, og vi forventer at virksomheter i større utstrekning vil kartlegge i hvilken grad de er omfattet. I tillegg tror vi utvikler eller bruker av høyrisiko-KI-systemer (spesielt innen helse, finans og kritisk infrastruktur) vil starte å forberede seg på å etterleve kravene.
DSA-håndhevelse: DSA vil bli en sentral del av plattformvirksomheters risikoanalyse. Vi forventer økt fokus på krav til åpenhet, annonsering og innholdsmoderering.
Nye lover på høring: Vi venter på norsk høring av Digital Markets Act som omhandler plattformansvar, krav til åpenhet og skal motvirke skadelig adferd på nett, Data Act som gjelder deling og bruk av data, Cyber Resilience Act som gjelder informasjonssikkerhetskrav i digitale produkter m.m.
Vi ønsker alle våre kunder en riktig god jul og et godt nytt år, hilsen alle oss i teknologifaggruppen.
