Fra 1. juli 2026 gjelder nye plikter for alle som driver datasenter i Norge. Endringene høres først ut som noe bare de store aktørene trenger å bry seg om – men de handler i praksis om hvilken informasjon som lagres om deg som kunde, og hvem den kan utleveres til. Skal du velge hosting eller flytte nettstedet ditt til en norsk leverandør, er dette verdt å forstå før du signerer. Her er hva forskriften faktisk krever, og hvilke spørsmål du bør stille.
Hva datasenterforskriften krever fra 1. juli 2026
Grunnlaget er datasenterforskriften (FOR-2024-12-18-3313), som fra sommeren 2026 er utvidet gjennom en endringsforskrift vedtatt 22. juni 2026 med hjemmel i ekomloven. Reglene er fastsatt av Digitaliserings- og forvaltningsdepartementet, og er begrunnet i nasjonal sikkerhet og kriminalitetsbekjempelse. Kort fortalt pålegges datasenteroperatører to hovedplikter: å holde oppdatert oversikt over kundene sine til enhver tid, og å kunne utlevere denne informasjonen til myndighetene på forespørsel – også utenfor vanlig arbeidstid.
Informasjonen operatøren skal ha kontroll på, omfatter blant annet kundens navn, organisasjonsnummer og kontaktopplysninger. For kunder som har fysisk utstyr plassert i datasenteret, skal operatøren også vite hvor utstyret står. Myndighetene som kan be om innsyn, er Nkom, NSM, PST og politi- og påtalemyndighet. Ved forsettlig eller uaktsomt brudd på pliktene kan operatøren ilegges overtredelsesgebyr.
Viktig presisering: utlevering på forespørsel, ikke overvåking
Her er det lett å trekke feil konklusjon, så la oss være presise. Forskriften pålegger ikke datasentrene å rapportere om kundene sine løpende, og den gir ikke myndighetene en åpen linje inn i det som kjører på serverne dine. Plikten er mer avgrenset enn som så: operatøren skal ha oppdatert kundeinformasjon, og skal kunne utlevere den på konkret forespørsel fra de nevnte myndighetene, med en beredskap som gjør at forespørsler kan besvares også utenfor arbeidstid. Det er altså snakk om identitets- og kontaktopplysninger på forespørsel – ikke innholdet i dataene dine, og ikke proaktiv overvåking.
Denne distinksjonen er verdt å ta med seg, for den kommer garantert til å dukke opp i markedsføring fra leverandører på begge sider: noen vil overselge det som et personvernproblem, andre vil underkommunisere at pliktene finnes. Realiteten ligger i midten – et krav om sporbarhet på hvem som er kunde, innført for å kunne etterforske alvorlig kriminalitet og trusler mot nasjonal sikkerhet.
Hva lagres om deg som kunde
For en vanlig småbedrift som kjøper webhotell eller leier en server, er det konkrete spørsmålet: hva vet leverandøren om meg, og stemmer det? Etter de nye reglene skal en seriøs norsk operatør kunne svare tydelig på nettopp dette. Du bør forvente at de har korrekt firmanavn, organisasjonsnummer og en oppdatert kontaktperson – og at de kan fortelle deg hvilke opplysninger de lagrer, og hvorfor. Dette er også en anledning for deg: utdaterte kundeopplysninger er en vanlig kilde til trøbbel, fra fakturaer som havner feil til at du mister tilgang fordi en gammel kontaktadresse ikke lenger virker.
Nkom får oversikt – og det kan du bruke
Som en del av regimet fører Nkom et register over datasenteroperatører i Norge, og har utarbeidet veiledning for bransjen. For deg som kunde er det faktisk et nyttig verktøy. En leverandør som er registrert og opptrer ryddig etter de nye kravene, signaliserer en viss profesjonalitet og etterrettelighet. Motsatt: en «hostingleverandør» som ikke kan gjøre rede for hvor serverne fysisk står, eller hvem som egentlig driver datasenteret bak, er en større usikkerhet enn før – nettopp fordi seriøse aktører nå har et tydelig regelverk å vise til.
Hvorfor strammer myndighetene inn nå?
Bakteppet er en bransje i sterk vekst. Norge har blitt et attraktivt land for datasentre, med rikelig og relativt rimelig fornybar kraft, kjølig klima og stabil infrastruktur. Når stadig mer kritisk virksomhet – fra offentlige tjenester til bedrifters nettbutikker og fagsystemer – flytter inn i disse anleggene, blir det også et spørsmål om nasjonal sikkerhet og beredskap hvem som eier og driver dem, og hvem som egentlig står bak kundene. Datasenterforskriften er myndighetenes svar: et ønske om oversikt og sporbarhet i en sektor som lenge vokste raskere enn regelverket. For deg som kunde er den underliggende logikken verdt å merke seg – seriøs drift og etterrettelighet er i ferd med å bli et krav, ikke bare et konkurransefortrinn.
Hva dette betyr når du velger hosting
De nye pliktene endrer ikke prisen på et webhotell, men de gir deg noen ekstra holdepunkter når du skal skille de seriøse fra de tilfeldige. Poenget er ikke å bli ekspert på forskriften, men å bruke den som en anledning til å stille noen enkle, avslørende spørsmål. Vi har skrevet mer generelt om hva som kjennetegner et godt valg i hva er god hosting i 2026, og om sikkerhetssiden i sikker hosting med SSL, backup og GDPR.
Sjekkliste: spørsmål til hostingleverandøren
- Hvor står serverne fysisk? En plassering i Norge eller EØS gjør både forskriften og GDPR enklere å forholde seg til.
- Er datasenteret registrert hos Nkom etter det nye regelverket, og hvem er operatør?
- Hvilke opplysninger lagrer dere om meg som kunde, og hvordan holder dere dem oppdatert?
- Hvordan varsles jeg dersom opplysninger om meg utleveres til myndighetene, i den grad loven tillater det?
- Hva skjer med dataene mine hvis jeg avslutter avtalen, og hvor raskt slettes de?
- Har dere en databehandleravtale som beskriver ansvar og rutiner?
Datasenterforskriften er til sjuende og sist et sunnhetstegn: en bransje som lenge var underregulert, får nå tydeligere krav til etterrettelighet. For deg som driver en liten bedrift, er den praktiske gevinsten ikke juridisk, men kommersiell – den gir deg et bedre grunnlag for å velge en leverandør som vet hvor dataene dine er, hvem som har ansvaret, og som kan svare ryddig når du spør. Det er egenskaper du uansett vil ha i den du overlater nettstedet ditt til.