Tilbaketrekking av amerikanske cyberavtaler signaliserer bedriftsrisiko

By Danny Bradbury • 12. mars 2026 • 5 minutters lesetid

Nylige tiltak fra den amerikanske administrasjonen gjør multilateral cybersikkerhetskoordinering mellom den amerikanske regjeringen og andre mindre usikker i fremtiden. Hva betyr dette for styrer som sliter med å få orden på cybersikkerhets- og samsvarsrisiko?

I januar, Trump-administrasjonen trakk USA ut av 66 internasjonale organisasjoner. Disse inkluderte tre med klare mandater for cybersikkerhet: Global Forum on Cyber Expertise, Freedom Online Coalition og European Centre of Excellence for Countering Hybrid Threats.

Disse gruppene bidrar til å koordinere cyberpolitikk, dele ekspertise og støtte hendelsesrespons på tvers av landegrenser. To av dem var initiativer USA bidro til å etablere. Å la dem stå igjen signaliserer en mer innadvendt cybersikkerhetsholdning og reiser spørsmål om hvor mye internasjonalt samarbeid vil fortsette å underbygge cyberstyring.

Dette er ikke administrasjonens første trekk som påvirker cybersamarbeid. Tidligere avgjørelser så bemanningsreduksjoner hos CISA og endringer i noen av dens operative prioriteringer, som uunngåelig påvirker dens evne til internasjonalt engasjement.

For bedrifter som opererer i USA, Storbritannia og Europa, handler problemet mindre om en individuell avgjørelse og mer om hva den signaliserer: et gradvis skifte mot et mer fragmentert, regionalt drevet cybersikkerhetsmiljø.

Utfordringen med koordinert hendelsesrespons

Multilaterale rammeverk danner bindevevet for etterretningsdeling mellom nasjonale cybersikkerhetsmyndigheter. Denne infrastrukturen blir spesielt viktig under store hendelser som krysser landegrenser.

Når kriser rammer, håndterer nasjonale CERT-er og cybersikkerhetsbyråer den innenlandske responsen. Men komplekse cyberhendelser påvirker ofte flere jurisdiksjoner samtidig, noe som krever koordinering på regionalt eller internasjonalt nivå.

Avtaler som f.eks. ENISA–CISA-samarbeidsavtale signert sent i 2023 ble utformet for å styrke den transatlantiske koordineringen under større hendelser. Med det geopolitiske miljøet i endring er det mindre sikkert hvor lenge disse ordningene vil vare.

Store cyberhendelser belaster allerede de enkelte statenes responskapasitet. Grenseoverskridende hendelser er avhengige av samarbeid mellom nasjonale myndigheter og regionale institusjoner.

Britiske og EU-organisasjoner vil sannsynligvis ta på seg en større andel av denne koordineringsrollen. EUs cyberplan, som ble vedtatt i juni i fjor, forbedrer krisekoordineringen på både politisk og teknisk nivå. ENISA har allerede et mandat til å støtte og koordinere responser på betydelige hendelser på tvers av landegrenser.

I Storbritannia administrerer NCSC tverrfaglig koordinering for større cyberhendelser og kan samarbeide direkte med berørte organisasjoner om respons og kommunikasjon.

Infrastrukturen for internasjonalt samarbeid eksisterer fortsatt. Spørsmålet er om det skaleres effektivt i et mer regionalt fragmentert miljø, spesielt hvis amerikansk deltakelse i multilateral koordinering blir mindre sentral.

Forvent regulatorisk avvik

Denne fragmenteringen gjelder også regulering. Cyberreguleringer i USA, Storbritannia og EU har aldri vært helt samstemte. Men etter hvert som geopolitiske prioriteringer avviker, kan også forventningene til regulatoriske endringer avvike.

Multilaterale fora bidro tidligere til å utjevne disse forskjellene ved å skape rom for koordinering. Uten denne samordningen vil regelverket sannsynligvis drive ytterligere fra hverandre, spesielt rundt tidsfrister for varsling av hendelser, terskler for varsling av brudd og hva som regnes som «vesentlig».

EU har beveget seg lengst mot obligatorisk, tverrsektoriell regulering. NIS 2 dekker 18 kritiske sektorer og pålegger 24-timers tidlig varsling og 72-timers hendelsesvarsling, med bøter på opptil 10 millioner euro eller 2 % av den globale omsetningen.

Det amerikanske regulatoriske miljøet utvikler seg i en annen retning. Trump-administrasjonens tilnærming er i stor grad deregulerende. SECs regler for offentliggjøring av cybersikkerhet møter politisk motstand, Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) har blitt utsatt, og det finnes ingen føderal personvernlov.

For multinasjonale organisasjoner er resultatet et mer komplisert samsvarslandskap.

Selskaper må kanskje bygge parallelle samsvarsprogrammer for å dekke flere jurisdiksjoner eller akseptere større eksponering for lokal håndhevingsrisiko. Organisasjoner som opererer i USA, Storbritannia og EU må navigere i stadig mer ulike regulatoriske forventninger.

Forsyningskjede og tredjepartsrisiko

Tredjeparts risikostyring var allerede en pågående utfordring, men jo mindre nasjonalstatene samarbeider om beste praksis og beskyttelse, desto mer komplekst blir det.

EUs lov om cyberrobusthet vil kreve programvareliste (SBOM) for alle produkter med digitale elementer som selges i EU. Loven om digital operasjonell robusthet (DORA) legger til et nytt lag ved å gi EUs regulatorer direkte tilsyn med kritiske IKT-leverandører, inkludert amerikanske skyselskaper som betjener EUs finansinstitusjoner.

Den foreslåtte EU-lov om cybersikkerhet nr. 2 går lenger og innfører sikkerhetsrammeverk for forsyningskjeden som spesifikt retter seg mot risikoen fra leverandører i tredjeland.

Samtidig er den amerikanske tilnærmingen snevrere, og anvender SBOM-er primært på føderale anskaffelser under EO 14028. Storbritannia har ingen tilsvarende lovgivning.

Resultatet er tre store markeder som opererer under stadig mer ulike forventninger til produktsikkerhet.

Et amerikansk selskap som selger programvare til Europa står overfor samsvarsforpliktelser på produktnivå som dets nasjonale regulatoriske miljø ikke forbereder det på. Uten sterke internasjonale koordineringsmekanismer må bedriftene selv håndtere denne kompleksiteten.

Hvorfor dette gjør ISO 27001 mer verdifull

Alt dette betyr at bedriftenes strategier må oppdateres. De smarte pengene satser på rammeverk som ikke er jurisdiksjonsavhengige. ISO 27001 virker plutselig fremsynt, fordi den gjelder på tvers av landegrenser. Fem kontroller i 2022-versjonen tar spesifikt for seg tredjepartssikkerhet, noe som gjenspeiler den økende betydningen av leverandørsikring.

Kanskje enda viktigere er det at regulatorer fra Singapore til Stockholm anerkjenner det. Selv om det ikke erstatter jurisdiksjonsspesifikke samsvarskrav, gir det et konsistent grunnlag organisasjoner kan bruke for å administrere sikkerhet på tvers av flere regulatoriske miljøer.

I et fragmentert styringslandskap blir denne konsistensen strategisk nyttig.

En risiko på styrenivå, ikke bare en diplomatisk en

For styrer representerer kanskje ikke tilbaketrekningen fra internasjonale rammeverk for cybersamarbeid en umiddelbar operasjonell trussel. Men det peker på et strukturelt skifte i hvordan global styring av cybersikkerhet utvikler seg.

Cybersamarbeid mellom myndigheter har lenge bidratt til å redusere regulatoriske avvik, forbedre krisekoordinering og skape felles forventninger rundt sikkerhetspraksis.

Etter hvert som disse mekanismene svekkes eller utvikler seg, står bedriftene overfor et større ansvar for å opprettholde robusthet, interoperabilitet og sikring av forsyningskjeden.

Global cybersikkerhet kollapser ikke når én stor aktør trekker seg tilbake fra multilateralt engasjement. Men det blir mer komplekst.

Og for organisasjoner som opererer i USA, Storbritannia og Europa, er kompleksitet risiko, en risiko som i økende grad må håndteres internt i bedriften i stedet for å antas å være stabilisert gjennom internasjonal koordinering.