Gå til innhold
NetNordic Norway
salg.no@netnordic.com +47 67 247 365 Webshop Community
Support Under Attack?
Oppdatert 27 mar, 2026
Publisert 27 mar, 2026
Cloud NetNordic Artikkel

NIS2, Schrems II og VMware: Tre grunner til at cloud-arkitekturen din må gjennomgås i 2026

For mange norske virksomheter er VMware-situasjonen blitt et regulatorisk spørsmål, ikke bare et lisenssspørsmål. Her er tre konkrete regelverksmessige grunner til at infrastrukturvalget i 2026 ikke kan tas uten å inkludere compliance-perspektivet.

Infrastrukturvalg er blitt et styreromsspørsmål

Fram til nylig var valget av virtualiseringsplattform et teknisk spørsmål som IT-avdelingen løste. Broadcom-oppkjøpet av VMware endret det. Nå er det et kostnadsstrategisk og regulatorisk spørsmål som involverer CFO, CISO og i mange tilfeller styret.

Det skyldes delvis prisøkningene — men i like stor grad det regulatoriske trykket som har bygget seg opp parallelt. Tre regelverk møter VMware-situasjonen i 2026 på en måte som krever at compliance tas med i vurderingen fra dag én:

1. NIS2 og leverandørrisikostyring

EUs NIS2-direktiv, som er under implementering i Norge gjennom revisjon av Digitalsikkerhetsloven, stiller eksplisitte krav til how virksomheter styrer risikoen i forsyningskjeden — inkludert IT-leverandører.

Kravet er formulert som «appropriate technical and organisational measures» for å håndtere risikoer knyttet til nettverks- og informasjonssystemer. I praksis betyr det at virksomheter underlagt NIS2 bør kunne dokumentere:

  • Hvem som drifter kritiske systemer på deres vegne
  • Hvilken kontroll de har over data og prosessering
  • Hvilken exit-strategi som finnes hvis leverandøren endrer betingelser

Broadcom som leverandør oppfyller ikke nødvendigvis disse dokumentasjonskravene uten aktive grep fra kundens side. En managed hybrid cloud-løsning hos en norsk aktør kan derimot gi både kontrakt og teknisk arkitektur som understøtter NIS2-kravene direkte.

Les også: Cloud – kontroll, compliance og kontinuitet

NIS2-STATUS FOR NORGE

  • NIS2-direktivet trådte i kraft i EU i oktober 2024
  • Norge er i implementeringsprosess — Digitalsikkerhetsloven revideres
  • NSM har utgitt veiledning om risikostyring i forsyningskjeden
  • Sektorer som energi, helse, transport og finans er allerede underlagt strenge krav
  • Tilsyn og sanksjoner forventes å bli tydeligere fra 2025–2026

2. Schrems II og datasuverenitet

EU-domstolens Schrems II-avgjørelse fra 2020 slo fast at overføring av personopplysninger til USA krever særskilte garantier utover det Privacy Shield-avtalen ga. Selv med EU-US Data Privacy Framework, vedtatt i 2023, er det juridisk usikkerhet knyttet til overføringer til amerikanske selskaper.

Broadcom er et amerikansk selskap. VMware Cloud Foundation kan innebære prosessering og lagring av data på infrastruktur kontrollert av et selskap underlagt amerikansk lov — inkludert CLOUD Act, som gir amerikanske myndigheter mulighet til å kreve tilgang til data hos amerikanske selskaper uavhengig av geografisk plassering.

For virksomheter som behandler personopplysninger om kunder, pasienter eller ansatte — og det er de fleste — er dette ikke en akademisk diskusjon. Det er et spørsmål om GDPR-samsvar og behandlingsgrunnlag.

Datasuverenitet handler ikke om å være paranoid. Det handler om å vite hvor dataene dine er, under hvilke lover de er lagret, og hva som skjer med dem hvis leverandøren din skifter eier — igjen.

Sitat Terje Kjernsmoen, NetNordic

Norsk jurisdiksjon som løsning

En managed hybrid cloud-løsning driftet fra norske datasentre, av et norsk selskap, underlagt norsk og europeisk lovgivning, eliminerer store deler av Schrems II-problematikken. Data forblir i EØS, behandlingen er underlagt GDPR, og det finnes ingen CLOUD Act-eksponering.

3. DORA og krav til operasjonell motstandsdyktighet

Digital Operational Resilience Act (DORA) gjelder finanssektoren — banker, forsikringsselskaper, verdipapirforetak og deres tjenesteleverandører — og er fullt gjeldende fra januar 2025.

DORA stiller blant annet krav om:

  • Exit-strategi fra kritiske tredjepartsleverandører: Virksomheter skal dokumentere at de kan avslutte et leverandørforhold uten uakseptabel driftsforstyrrelse
  • Konsentrasjonsrisiko: Avhengighet av en enkelt leverandør for kritisk infrastruktur er en eksplisitt risikofaktor som skal adresseres
  • Testede gjenopprettingsplaner: Ikke bare planer på papir, men dokumenterte og testede prosedyrer

For finansselskaper som i dag har VMware som bærebjelke i infrastrukturen — og som nå ser at Broadcom ensidig kan endre betingelsene — er dette ikke bare et prisproblem. Det er et DORA-problem.

Hva betyr dette i praksis for din virksomhet?

De tre regelverkene peker i samme retning: Virksomheter trenger bedre kontroll over infrastrukturen sin, klarere exit-veier fra leverandøravhengigheter og data som forblir under kjent jurisdiksjon.

En cloud-strategi-gjennomgang i 2026 bør derfor ikke bare adressere pris og teknologi — den bør eksplisitt inkludere:

  • Kartlegging av hvilke data som prosesseres av hvilke leverandører, og under hvilken jurisdiksjon
  • Vurdering av Broadcom som kritisk tredjepartsleverandør under NIS2/DORA
  • Dokumentasjon av exit-strategi fra nåværende VMware-avtale
  • Vurdering av alternativers jurisdiksjons- og compliance-profil

NetNordics tilnærming: Vi drifter hybrid cloud fra norske datasentre, under norsk og europeisk lovgivning, med tydelige databehandleravtaler. Alle kunder kan dokumentere databehandlingssted, jurisdiksjon og exit-prosedyre. Det er designet for NIS2 og GDPR — ikke som en ettertanke, men som grunnleggende arkitekturkrav.

Tre spørsmål du som compliance-ansvarlig bør stille nå

Uansett om en eventuell endring er nær eller fjern, er det tre spørsmål du bør ha svar på:

  • Er Broadcom/VMware vurdert som kritisk tredjepartsleverandør i vår leverandørkartlegging — med tilhørende risikovurdering?
  • Finnes det en dokumentert exit-strategi fra VMware, og er den testet?
  • Vet vi med sikkerhet under hvilken jurisdiksjon dataene våre lagres og prosesseres?

Dersom svaret på ett eller flere av disse er usikkert, er det et compliance-gap som bør adresseres — uavhengig av hva virksomheten til slutt bestemmer seg for å gjøre med VMware.

Book din cloud strategy review med compliance-fokus

Vi gjennomgår din cloud-arkitektur med eksplisitt fokus på NIS2, Schrems II og datasuverenitet. Du får et klart bilde av hvilke compliance-gap som finnes i dag, og hvilke tiltak som adresserer dem.

Forfatter

Terje Kjernsmoen

Business Develop Manager

Kontakt Oss

Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!

Siste innhold

Vendor lock-in: Hva koster det deg å forlate VMware — og vet du svaret?
Cloud
Artikkel
mar 27, 2026

Vendor lock-in: Hva koster det deg å forlate VMware — og vet du svaret?

Hva koster VMware deg egentlig i 2026?
Cloud
Artikkel
mar 27, 2026

Hva koster VMware deg egentlig i 2026?

Broadcom kjøpte VMware — nå må norske virksomheter velge
Cloud
Artikkel
mar 27, 2026

Broadcom kjøpte VMware — nå må norske virksomheter velge

Vårt nyhetsbrev

Få de aller siste nyhetene og oppdateringene rett i innboksen din.