Identifisering av myndighetskrav 2026

Identifisering av myndighetskrav for virksomheter (2026)

Identifisering av myndighetskrav er det første skrittet i enhver internkontroll: hvilke lover og forskrifter gjelder akkurat vår virksomhet? Med over 2 000 norske myndighetskrav fordelt på lover, forskrifter og forvaltningspraksis er svaret sjelden åpenbart. Feilen ligger som regel ikke i å bryte et kjent krav, men i å overse et krav man ikke visste gjaldt.

Myndighetskrav-Identifikator™ PRO er et juridisk strukturert verktøy for identifisering av myndighetskrav som kobler virksomhetens bransje og aktiviteter til de gjeldende kravene, og leverer en arkivklar rapport som dokumenterer hva virksomheten har vurdert som relevant — og hvorfor. Bygget for internkontrollansvarlige, daglige ledere, kvalitetsledere, kommune-administrasjon, advokater og konsulenter som leverer kartlegginger til klient.

Compliance-verktøy · Internkontrollforskriften § 5

Bestill Myndighetskrav-Identifikator™ PRO

2 000+ norske krav · 3-lags filtrering · Bransje- og aktivitetstilpasset · Arkivklar PDF-rapport + JSON-eksport
Zero-server arkitektur — alle data forblir lokalt på din maskin.

Engangslisens

9 990 kr

eks. mva

12 488 kr inkl. mva

Årlig lisens — Anbefalt

29 990 kr

eks. mva · per år

37 488 kr inkl. mva

⚖️ Juridisk defensibel rapport

📋 2 000+ krav strukturert

🟢 Zero-server / lokal lagring

📄 Arkivklar PDF + JSON

💾 Autosave underveis

Fakturering: Etter fullført bestilling utsteder Internkontroll AS faktura til oppgitt e-postadresse. Betalingsfrist 14 dager. Du får tilgangskode umiddelbart, slik at du kan starte med en gang.

📦 Velg lisenstype

Engangslisens

9 990 kr eks. mva

Komplett verktøy, ubegrenset bruk. Kravgrunnlag pr. lanseringsdato.

Årlig lisens

29 990 kr eks. mva / år

Alt i engangs + kvartalsvise oppdateringer av kravgrunnlag, varsel om regelverksendringer, prioritert support.

👤 Kontaktperson

Fullt navn *

Påkrevd

E-postadresse *

Påkrevd – gyldig e-postadresse

Stilling

Telefon

🏢 Virksomhet og fakturering

Virksomhetens navn *

Påkrevd

Organisasjonsnummer *

Påkrevd – 9 siffer

Faktureringsadresse *

Påkrevd

E-post for faktura *

Påkrevd – gyldig e-postadresse

Eventuell fakturareferanse / PO-nummer

⚖️ Bindende bestillingsbekreftelse

Jeg bekrefter at jeg bestiller «Myndighetskrav-Identifikator™ PRO – Engangslisens» fra Internkontroll AS til en pris av kr 9 990,– eks. mva (kr 12 488 inkl. mva), og at jeg er klar over at dette er en bindende bestilling som vil bli fakturert. Jeg bekrefter at opplysningene jeg har oppgitt er korrekte og at faktura utstedt på grunnlag av denne bestillingen er rettmessig. Jeg har lest og aksepterer personvernerklæringen til Internkontroll AS.

Du må bekrefte alle tre punktene for å fullføre bestillingen.

🔒 Sikker overføring

📄 Faktura sendes på e-post

⚡ Umiddelbar tilgangskode

🏛️ Org.nr. 933 241 475

✅

Bestilling registrert!

Takk for din bestilling. Faktura på sendes til innen kort tid.

Viktig: Notér tilgangskoden nedenfor – du trenger den første gang du åpner verktøyet.

Bestillingsreferanse:

Din tilgangskode

Skriv inn denne koden første gang du åpner verktøyet.
Koden lagres automatisk – du slipper å taste den inn igjen.

Start verktøyet nå →

Nøkkelfakta om identifisering av myndighetskrav

Antall norske myndighetskrav: over 2 000 i lover, forskrifter og forvaltningspraksis
Universalkrav som gjelder de fleste virksomheter: ca. 350–500 (regnskapsloven, bokføringsloven, skatteforvaltningsloven, arbeidsmiljøloven, ferieloven, internkontrollforskriften, personopplysningsloven m.fl.)
Bransjespesifikke krav: 200–500 per bransje, sterk variasjon
Aktivitetstriggede krav: typisk 50–300 avhengig av virksomhetens drift
Hjemmel for identifiseringsplikten: internkontrollforskriften § 5 første ledd nr. 1 — "oversikt over hvilke krav i helse-, miljø- og sikkerhetslovgivningen som gjelder for virksomheten"
Tilsvarende plikt under personopplysningsloven: GDPR artikkel 30 — protokoll over behandlingsaktiviteter
Anbefalt revisjonsfrekvens: årlig gjennomgang, oppdatert ved vesentlige endringer i drift
Typisk tidsforbruk med strukturert verktøy: 30–60 minutter førstegangs, 10–15 minutter ved revisjon

Kort fortalt

Hva er identifisering av myndighetskrav? Det strukturerte arbeidet med å fastslå hvilke konkrete lover, forskrifter og myndighetskrav som gjelder akkurat din virksomhet — basert på bransje, drift og aktiviteter. Dokumentert identifisering er det første kravet i internkontrollforskriften § 5.

Hvorfor er det vanskelig? Norge har over 2 000 myndighetskrav. Universalkravene er kjente. Det er bransje- og aktivitetstriggede krav som glipper — fordi de er spredt over hundretalls forskrifter, ofte med navn som ikke forteller hvem de gjelder for.

Hva er forskjellen på vårt verktøy og andre løsninger?

Strukturert kravgrunnlag. 2 000+ krav er kategorisert, tagget med bransje og aktivitet, og koblet til Internkontrollportalens IS-modell. Andre leverandører har sjekklister, vi har en matrise.
Juridisk defensibel rapport. Hvert krav som er bekreftet eller fjernet får begrunnelse og kilde. Rapporten dokumenterer hva som ble vurdert, av hvem, når — i et format som står seg overfor tilsyn og styre.
Alternativet er ofte advokat- eller konsulent-leveranse til 50 000–150 000 kr. Vårt verktøy gjør identifisering av myndighetskrav på under én time, med samme juridiske forankring, til en brøkdel av prisen.
Zero-server Alle data lagres lokalt i din nettleser. Klientdata forlater aldri din maskin. Det betyr at advokater og kommuner kan bruke verktøyet uten å bryte taushetsplikt eller dataoverføringsavtaler.

Hvem er det laget for? Compliance-ansvarlige og kvalitetsledere i mellomstore virksomheter, kommune-administrasjon, advokater og rådgivere som leverer kartlegginger til klient, og daglige ledere som vil ha kontroll på det juridiske grunnlaget for egen drift.

Hva er identifisering av myndighetskrav?

Identifisering av myndighetskrav er den systematiske kartleggingen av hvilke lover, forskrifter, vedtak og forvaltningspraksis som gjelder en bestemt virksomhet. Det er det første og mest grunnleggende skrittet i ethvert internkontrollsystem: før man kan etterleve krav, må man vite hvilke krav som gjelder. Plikten følger eksplisitt av internkontrollforskriften § 5 første ledd nr. 1, som krever at virksomheten har "oversikt over hvilke krav i helse-, miljø- og sikkerhetslovgivningen som gjelder for virksomheten".

Identifiseringen skiller seg fra etterlevelsesvurderingen (samsvarsvurderingen), som kommer etter. Først må man fastslå hva som gjelder; deretter kan man vurdere om virksomheten etterlever det. De fleste virksomheter har en intuitiv forståelse av hvilke krav som er aktuelle — arbeidsmiljøloven, regnskapsloven, kanskje en bransjeforskrift eller to. Problemet oppstår når man tror identifiseringen er ferdig på dette nivået: det er det den ikke er.

Hvor mange myndighetskrav finnes det?

Norge har over 2 000 myndighetskrav som potensielt kan gjelde en virksomhet. Det inkluderer alminnelige lover som arbeidsmiljøloven og personopplysningsloven, samt et stort antall forskrifter — fra eierseksjonsforskriften til forskrift om håndtering av eksplosjonsfarlig stoff. Det inkluderer også forvaltningspraksis: rundskriv fra Arbeidstilsynet, tolkningsuttalelser fra Skatteetaten, retningslinjer fra Datatilsynet. Identifisering av myndighetskrav handler altså ikke bare om å lese Lovdata — det handler om å treffe det relevante regelverket på det riktige nivået.

Av de 2 000+ kravene gjelder en betydelig del — typisk 300–500 — for de aller fleste virksomheter med ansatte og regnskapsplikt. Dette er universalkravene: aksjeloven, regnskapsloven, bokføringsloven, skatteforvaltningsloven, arbeidsmiljøloven, ferieloven, folketrygdloven, internkontrollforskriften, personopplysningsloven og markedsføringsloven, samt sentrale forskrifter under hver. Den resterende delen er bransje- eller aktivitetstrigget: krav som bare gjelder visse typer drift, lokaler, eksponeringer eller kundetyper.

Hvorfor er strukturert identifisering vanskelig uten verktøy?

Den klassiske feilen ved identifisering av myndighetskrav er ikke å bryte et kjent krav, men å overse et krav man ikke visste gjaldt. Det er tre årsaker til at strukturert identifisering er vanskelig. Den klassiske feilen ved identifisering av myndighetskrav er ikke å bryte et kjent krav, men å overse et krav man ikke visste gjaldt. Det er tre årsaker til at strukturert identifisering er vanskelig:

For det første: spredningen. Et bygg- og anleggsfirma må forholde seg til ikke bare byggherreforskriften og byggesaksforskriften, men også produktkontrolloven, forskrift om arbeidsplasser og arbeidslokaler, forskrift om utførelse av arbeid, forskrift om asbest, og — avhengig av hva som faktisk gjøres — forskrift om håndtering av eksplosjonsfarlig stoff. Disse kravene står ikke samlet noe sted.

For det andre: aktivitetsavhengigheten. Mange forskrifter trigges av spesifikke aktiviteter snarere enn bransje. Hvis virksomheten lagrer brannfarlig væske over en viss mengde, gjelder forskrift om håndtering av farlig stoff. Hvis virksomheten har lærlinger eller arbeidstakere under 18 år, gjelder egne beskyttelsesregler i arbeidsmiljøloven kapittel 11. Hvis virksomheten driver eksport eller import, kommer toll- og eksportkontroll-regelverket inn. Identifiseringen blir derfor en kombinasjon av bransje- og aktivitets-vurdering.

For det tredje: bevisbyrden. Når et tilsyn kommer eller en sak eskalerer til klage eller søksmål, er det virksomheten som må vise at den har identifisert relevante krav. Dette stiller krav til dokumentasjon: hvilke krav ble vurdert, hvilke ble inkludert eller utelukket, og med hvilken begrunnelse. En udokumentert identifisering har lav verdi som forsvar.

Klar til å gjennomføre identifiseringen strukturert?

Myndighetskrav-Identifikator™ PRO leder deg gjennom alle tre lagene — universalkrav, bransje, aktivitet — og produserer en arkivklar PDF-rapport på 30–60 minutter.

Bestill verktøyet →

Tre-lags-modellen for identifisering av myndighetskrav

En strukturert identifisering av myndighetskrav bør følge en tre-lags-modell som dramatisk reduserer kompleksiteten uten å tape juridisk presisjon. Modellen ligger til grunn for Myndighetskrav-Identifikator™ PRO, men kan også brukes manuelt som metodisk rammeverk.

Lag 1: Universalkrav. Det settet med krav som gjelder de aller fleste virksomheter med ansatte og regnskapsplikt. Dette laget er kjent stoff og kan med høy presisjon listes opp på forhånd. Det består av ca. 350–500 krav fordelt på de ti–tolv sentrale lovene og deres viktigste forskrifter. Universalkravene auto-inkluderes — brukeren skal ikke kunne velge dem bort, kun bekrefte at de er gjennomgått.

Lag 2: Bransjefilter. Hver bransje har et eget basissett av krav som er sterkt knyttet til bransjens karakter. Bygg- og anlegg har byggherreforskrift, asbestforskrift og forskrift om utførelse av arbeid. Helse og omsorg har helsepersonelloven, pasientjournalloven og spesialisthelsetjenesteloven. Finansbransjen har finansforetaksloven, hvitvaskingsloven og MiFID. Virksomheten velger primærbransje, eventuelt to sekundærbransjer for blandede modeller (typisk konsulent + småhandel, eller produksjon + transport).

Lag 3: Aktivitetstriggere. Det siste laget er en serie spesifikke ja/nei-spørsmål om virksomhetens aktiviteter. Hvert "ja" trigger et bestemt sett av krav som ellers ikke ville vært inkludert. Eksempler på triggere: "Vi har lokaler vi eier eller leier" (bygg- og brannregelverk), "Vi behandler sensitive personopplysninger" (utvidet GDPR-regulering), "Vi har ansatte under 18 år" (særskilte beskyttelsesregler), "Vi håndterer farlige stoffer eller kjemikalier" (kjemikaliesikkerhet og REACH), "Vi er omfattet av hvitvaskingsloven" (kundekontroll og rapporteringsplikt).

Etter de tre lagene har virksomheten typisk fått foreslått 400–900 konkrete krav — fra de 2 000+ i grunnlaget. Det er en tallrik liste, men en håndterbar tallrik liste, og hvert foreslått krav har sporbar begrunnelse: hvorfor det er foreslått (universal / bransje X / trigger Y).

Hva inneholder den juridisk defensible rapporten?

Verdien av en strukturert identifisering av myndighetskrav ligger i den rapporten som blir resultatet. En rapport som ikke kan vises til revisor, styre eller tilsyn er en intern notat — ikke et juridisk dokument. Myndighetskrav-Identifikator™ PRO produserer en arkivklar PDF-rapport som inneholder:

Formål og metode. Hva identifiseringen tar sikte på, hvilken metode som er brukt, og hvilken versjon av kravgrunnlaget som ligger til grunn (datert).
Beskrivelse av virksomheten. Bransjevalg, eventuelle sekundærbransjer, og svar på aktivitetstriggerne — slik at en leser kan reprodusere identifiseringen.
Identifiserte myndighetskrav, gruppert per kategori. For hvert krav: lov eller forskrift, hvordan kravet ble identifisert (universal / bransje X / trigger Y), virksomhetens vurdering (bekreftet / fjernet med begrunnelse), eventuell ansvarlig rolle, og fritekstkommentar.
Begrunnelse for fjernede krav. Hvis algoritmen foreslo et krav som virksomheten har vurdert som ikke aktuelt, skal en begrunnelse foreligge ("Vi har dispensasjon fra Datatilsynet, vedtak X-2024-03-15" eller "Gjelder ikke på grunn av størrelse, jf. terskel i § 4"). Dette skiller en defensibel identifisering fra en sjekkliste.
Avgrensninger og forutsetninger. Tydelige forbehold om at endelig vurdering av relevans og etterlevelse er virksomhetens ansvar, og at identifiseringen er basert på opplysningene virksomheten har gitt.
Dato og ansvarlig rolle. Hvem i virksomheten som er ansvarlig for identifiseringen, og når den ble gjennomført.

I tillegg får virksomheten en JSON-sikkerhetskopi som kan flyttes mellom enheter, deles med revisor eller importeres ved senere revisjon. Verktøyet logger også full beslutningshistorikk for hvert krav.

Hvorfor zero-server-arkitektur for et compliance-verktøy?

Myndighetskrav-Identifikator™ PRO er bygget som et zero-server- verktøy for identifisering av myndighetskrav: alle data brukeren legger inn lagres lokalt i nettleserens internlager (localStorage), og ingenting sendes til våre servere. Vi kan ikke se hva som er lagt inn, ikke selge data videre, og ikke miste dem i et datainnbrudd. Dette er en strategisk arkitektur for et compliance-verktøy av tre grunner.

For advokater og rådgivere betyr det at klientdata aldri forlater advokatens maskin. Det fjerner spørsmålet om databehandleravtaler, taushetsplikt-overføring og GDPR-overføringsgrunnlag — fordi det ikke er noen overføring. For en advokat som vurderer å kjøpe verktøyet for å gjennomføre kartlegginger for klienter, er dette ofte det avgjørende argumentet.

For kommuner og offentlig sektor betyr det at sensitive opplysninger om kommunens egen drift, inkludert eventuelle dispensasjoner, avvik eller områder under tilsyn, holdes innenfor kommunens egne enheter. Det forenkler både risikovurderingen og anskaffelses-godkjenningen vesentlig.

For mellomstore private virksomheter betyr det enkelhet: ingen brukerregistrering, ingen passord, ingen sky-konto, ingen ny databehandleravtale å signere. Verktøyet er bare en HTML-fil som kjører i nettleseren. Brukeren tar sin egen sikkerhetskopi (JSON-eksport) når den selv vil.

Hva er ulempen? Backup-ansvaret ligger hos brukeren. Hvis brukerens nettleser tømmes, eller virksomheten bytter PC, må JSON-sikkerhetskopien lastes inn på nytt. Verktøyet minner aktivt brukeren om å ta eksport (gul varsel etter 14 dager, rød varsel etter 30). Det er en avveining vi har gjort bevisst: vi mener at full kontroll over egne data er mer verdt enn skylagring for denne målgruppen.

Klar til å starte?

Bestill engangslisens for 9 990 kr eks. mva, eller årlig lisens med kvartalsvise oppdateringer for 29 990 kr eks. mva per år. Lisensnøkkel sendes på e-post innen 1 virkedag etter betaling.

Til bestilling →

Identifisering av myndighetskrav er fundament for alle øvrige internkontroll-elementer: risikovurdering, avvikssystem, mål og handlingsplan. Uten en strukturert identifisering av myndighetskrav blir alle nedstrøms vurderinger usikre — fordi man da arbeider med en uavklart forutsetning om hva som faktisk gjelder. Identifisering av myndighetskrav er også et eksempel på myndighetskrav-begrepet i praktisk anvendelse.

Ofte stilte spørsmål om identifisering av myndighetskrav

Hvorfor er identifisering av myndighetskrav et eget steg i internkontroll?

Identifisering er det første kravet i internkontrollforskriften § 5: virksomheten skal ha "oversikt over hvilke krav i helse-, miljø- og sikkerhetslovgivningen som gjelder for virksomheten". Uten identifisering vet man ikke hva man skal etterleve, og dermed faller alle øvrige internkontroll-elementer — risikovurdering, avvikshåndtering, mål og handlingsplan — i grus. Identifiseringen er fundamentet.

Hva er forskjellen på identifisering og samsvarsvurdering?

Identifisering fastslår hvilke myndighetskrav som gjelder. Samsvarsvurdering (etterlevelse) fastslår om virksomheten oppfyller de identifiserte kravene. De er to ulike disipliner med ulike verktøy. Identifisering må alltid komme først — det er meningsløst å vurdere etterlevelse av krav man ikke har identifisert.

Hvor mange myndighetskrav gjelder en typisk norsk virksomhet?

Det varierer sterkt med bransje og drift, men typiske intervaller er: en liten konsulentbedrift (5 ansatte) har ca. 350 relevante krav, en mellomstor entreprenør (60 ansatte) har ca. 700, en mellomstor kommune har ca. 900, og en stor industriell aktør har ca. 800. Den nedre grensen er sjelden lavere enn 300, fordi universalkravene alene utgjør så mange.

Er identifisering bare for HMS-krav, eller alle myndighetskrav?

Internkontrollforskriften nevner eksplisitt HMS-lovgivningen, men i praksis er det like viktig å identifisere personvernkrav (GDPR/personopplysningsloven), regnskaps- og skatteplikter, bransjespesifikke konsesjonskrav, anskaffelsesregelverk og forbrukerregelverk. Myndighetskrav-Identifikator™ PRO dekker bredden — ikke bare HMS — fordi virkeligheten er at compliance er totalverdiet av alle myndighetskrav som gjelder.

Hva er en aktivitetstrigger?

En aktivitetstrigger er et ja/nei-spørsmål om en konkret aktivitet i virksomheten som utløser et bestemt sett av tilleggskrav. Eksempel: "Vi behandler sensitive personopplysninger" utløser utvidede krav under personopplysningsloven og særlovgivning som helsepersonelloven. "Vi håndterer farlige stoffer eller kjemikalier" utløser kjemikalieforskrifter og REACH. Triggere fanger opp krav som ikke følger av bransje alene, men av spesifikk drift.

Hvor ofte må identifiseringen oppdateres?

Anbefalingen er årlig gjennomgang og oppdatering ved vesentlige endringer i drift — for eksempel ny aktivitet, ny bransjekobling, nytt lokale, ny ansattegruppe. Bruk av årlig lisens (29 990 kr eks. mva per år) gir også kvartalsvise oppdateringer av selve kravgrunnlaget, slik at nye eller endrede forskrifter automatisk speiles i verktøyet.

Hvordan skiller dette seg fra en gratis sjekkliste på nett?

Gratis sjekklister er typisk korte (50–150 punkter), generiske og uten dokumenterbar metode. Myndighetskrav-Identifikator™ PRO bruker et tagget kravgrunnlag på 2 000+ poster, en tre-lags filtreringsmodell som er reproduserbar, og produserer en juridisk defensibel rapport med begrunnelse per krav. En sjekkliste sier "har du tenkt på dette?" — vårt verktøy sier "her er de 700 kravene som gjelder dere, hvorfor de gjelder, og hva dere har vurdert om hvert av dem".

Er rapporten gyldig som dokumentasjon overfor tilsyn?

Tilsynsmyndigheter forholder seg ikke til en bestemt mal eller leverandør — det de etterspør er en dokumentert, gjennomarbeidet identifisering med klar metodikk og sporbare begrunnelser. Vår rapport oppfyller disse kravene: hvert inkludert krav har angitt grunn (universal / bransje X / trigger Y), hvert fjernet krav har skriftlig begrunnelse, dato og ansvarlig rolle er angitt, og avgrensninger er tydelige. Endelig vurdering av tilstrekkelighet ligger likevel hos den aktuelle tilsynsmyndigheten.

Lagres dataene mine i deres sky?

Nei. Myndighetskrav-Identifikator™ PRO er et zero-server-verktøy. Alt brukeren legger inn lagres lokalt i nettleserens internlager (localStorage) på brukerens egen maskin. Verken Internkontroll AS, hosting-leverandøren eller noen tredjepart har tilgang til dataene. Brukeren tar selv sikkerhetskopier ved å eksportere JSON-fil. Det betyr også at det er brukerens ansvar å lagre eksporten et trygt sted.

Hva får jeg ved kjøp av lisens?

Du får en lisensnøkkel som låser opp verktøyet på den maskinen og det domenet du registrerer. Med engangslisens (9 990 kr eks. mva) får du ubegrenset bruk av kravgrunnlaget slik det er på lanseringsdato. Med årlig lisens (29 990 kr eks. mva per år) får du i tillegg kvartalsvise oppdateringer av kravgrunnlaget, varsel om regelverksendringer, og prioritert support. Begge versjoner gir arkivklar PDF-rapport og JSON-eksport.

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™

Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →

Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss

Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →

Identifisering av myndighetskrav — illustrasjon av strukturert kartlegging av norske lover og forskrifter for virksomheter — Identifisering av myndighetskrav følger en tre-lags-modell: universalkrav, bransjefilter og aktivitetstriggere. Resultatet er en juridisk defensibel kartlegging av virksomhetens regelverksgrunnlag.

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →