top of page
Søk

Når meldingskommunikasjon blir kritisk: hvorfor compliance og SLA betyr mer enn noen gang

Regulatorisk landskap for SMS og RCS i Norge

Meldingskommunikasjon er ikke lenger bare en støttekanal - det har blitt kritisk infrastruktur. Når SMS og RCS brukes til varsler, autentisering og betaling, øker også kravene til compliance, leveringssikkerhet og tydelig ansvar.


I denne artikkelen ser vi nærmere på hvordan regelverk, SLA og ansvarsdeling faktisk påvirker meldingsløsninger i praksis – og hvorfor dette har blitt et viktigere beslutningskriterium enn noen gang.


Automatisering endrer risikobildet


Utviklingen innen meldingskommunikasjon går i én tydelig retning:


  • Flere meldinger sendes automatisk

  • Færre mennesker er involvert i hvert steg

  • Systemer er avhengige av at meldinger faktisk når frem


For virksomheter som bruker SMS og RCS til varsler, autentisering eller betaling, kan en forsinkelse eller et bortfall få reelle konsekvenser. Det kan handle om manglende informasjon til sluttbruker, tapte inntekter eller i verste fall brudd på lovpålagte plikter. Når meldinger blir en integrert del av kjerneprosessene, holder det ikke lenger å tenke «best effort».

Regelverket som berører meldingskommunikasjon i dag


Meldingskommunikasjon reguleres ikke av ett enkelt regelverk, men av flere som til sammen setter rammene for hvordan løsninger skal utformes og driftes i praksis.


GDPR og Ekomloven – en streng dobbeltregulering


GDPR regulerer behandling av personopplysninger, men i meldingssektoren utfylles dette av Ekomloven. Dette innebærer:

  • Metadata og trafikkdata: Informasjon om hvem som sender til hvem, tidspunkt og lokasjon har et særskilt sterkt vern. Ekomloven pålegger ofte strengere sletteplikter for trafikkdata enn de generelle prinsippene i GDPR.

  • Konfidensialitet: Kravet til sikring av kommunikasjonsvernet er absolutt.

  • Rollefordeling: Det kreves tydelige databehandleravtaler som spesifiserer hvordan data håndteres i alle ledd, fra virksomhet til operatør.


Ny ekomlov (fra 1. januar 2025)


Den nye ekomloven har skjerpet kravene til sikkerhet og robusthet i norske nett. For virksomheter betyr dette at leverandører nå har et større ansvar for å hindre misbruk (som SMS-spoofing) og sikre at kritisk trafikk prioriteres korrekt i infrastrukturen.


Markedsføringsloven – når SMS brukes til markedsføring


Når SMS brukes til markedsføring, gjelder egne regler. Hovedregelen er at det kreves forhåndssamtykke, og grensen mellom tjenestemeldinger og markedsføring kan i praksis være lav. Dette stiller krav både til hvordan virksomheter bruker kanalen, og til hvordan meldingsløsninger støtter samtykke, kontroll og enkel utmelding (opt-out) for sluttbrukeren.


Offentlig sektor: strengere rammer


Virksomheter i offentlig sektor møter ofte:

  • strengere dokumentasjonskrav

  • tydeligere forventninger til leveringssikkerhet

  • mer formaliserte ansvarsforhold


Her er det sjelden rom for uklare roller eller uavklarte avhengigheter i leverandørkjeden.


Digitalsikkerhetsloven (NIS1) – og NIS2 i Norge


I Norge trådte digitalsikkerhetsloven i kraft 1. oktober 2025. Loven gjennomfører det opprinnelige NIS-direktivet (NIS1) og stiller krav til digital sikkerhet for virksomheter med særlig betydning for samfunnet.


NIS2 er per i dag ikke innført i norsk rett, men norske myndigheter utreder hvordan direktivet skal gjennomføres gjennom EØS-avtalen. Samtidig ser vi allerede at forventningene fra kunder og offentlige aktører beveger seg i retning av NIS2-prinsippene, særlig når det gjelder risikostyring og leverandørkjeder.


Når meldingsdialog også er betaling


Når meldingskommunikasjon brukes til betaling, trer et eget regulatorisk rammeverk i kraft. SMS-betaling er ikke bare kommunikasjon – det er finans.

Dette innebærer blant annet:


  • tilsyn fra Finanstilsynet

  • krav til e-penge- eller betalingskonsesjon i henhold til PSD2/PSD3

  • etterlevelse av finansielt regelverk, inkludert kommende krav gjennom DORA (Digital Operational Resilience Act), som stiller krav til at finansielle systemer er robuste mot digitale trusler


I Norge håndteres dette gjennom Strex, som har nødvendige konsesjoner og regulatorisk ansvar innen betalingsområdet, og som er alene om dette rammeverket i det norske markedet. For virksomheter betyr dette at meldings- og betalingsdialog må vurderes samlet, men med tydelig ansvarsdeling mellom kommunikasjon og finans.


Hvem har egentlig ansvaret?


Meldingskommunikasjon er et samspill mellom flere parter:


  • Kunden Eier bruken av løsningen og formålet med kommunikasjonen. Har ansvar for innhold, samtykker, evt universell utforming (UU) og korrekt bruk.


  • Plattformleverandøren Leverer teknologi, integrasjoner og styring av meldingsflyt. Har ansvar for hvordan løsningen er bygget, overvåket og driftet.


  • Operatørene Sørger for transport i mobilnettene innenfor sine tekniske rammer.


  • Underleverandører Kan være involvert i ruting, internasjonal levering eller betaling i meldingsdialog.

  • Betalingsaktør (f.eks Strex) Har det regulatoriske ansvaret dersom meldingen innebærer en finansiell transaksjon


God compliance handler ikke om at én aktør «tar alt ansvar», men om at ansvarsdelingen er tydelig, dokumentert og forstått.


Ansvarsdeling i en SMS/RCS verdikjede

Hva er en realistisk SLA for SMS og RCS?


En Service Level Agreement (SLA) bør beskrive hva som faktisk kan garanteres i en kompleks kjede.


  • Det som kan garanteres: Plattformens oppetid, responstid ved feil, overvåking 24/7 og varsling ved avvik.

  • Det som ikke kan garanteres fullt ut: 100% levering til alle mottakere til enhver tid (pga. forhold som manglende dekning hos mottaker, fulle innbokser eller feil på mottakerens enhet).

En moderne SLA handler derfor om transparens og forutsigbarhet – at du som kunde vet nøyaktig hva som skjer dersom noe feiler.


Sjekkliste: 7 spørsmål du bør stille før du velger SMS- og RCS-leverandør


  1. Hvem har det faktiske ansvaret dersom meldinger ikke når frem?

  2. Hva dekker SLA-en – og hva dekker den ikke?

  3. Hvordan håndteres persondata og metadata i meldingsflyten?

  4. Støtter løsningen kravene til universell utforming (UU), for eksempel ved bruk av rike medier i RCS?

  5. Hvordan dokumenteres etterlevelse av regelverk over tid?

  6. Hvordan håndteres hendelser og avvik?

  7. Hvordan forbereder leverandøren seg på økte regulatoriske krav, inkludert digitalsikkerhetsloven, NIS2 og DORA?


Hva skjer fremover?


Utviklingen peker i én tydelig retning:


  • mer dokumentasjon

  • større krav til kontroll i leverandørkjeden

  • mindre rom for «best effort»-kommunikasjon


Meldingskommunikasjon behandles i økende grad som kritisk infrastruktur. For virksomheter betyr dette at valg av meldingsleverandør ikke bare handler om pris eller funksjonalitet, men om modenhet, regelverksforståelse og evne til å ta ansvar i praksis.


Begrepsforklaringer:


GDPR – EUs personvernregelverk for behandling av personopplysninger, inkludert meldingsinnhold og metadata.

Ekomregelverket / ekomloven – norsk telekomlovgivning som regulerer elektronisk kommunikasjon, sikkerhet og tilgjengelighet.

UU (Universell utforming) Lovpålagt krav om at digitale løsninger skal kunne brukes av alle, uavhengig av funksjonsevne

SLA – avtalt tjenestenivå for tilgjengelighet, responstid og oppfølging.

Digitalsikkerhetsloven (NIS1) – norsk lov i kraft fra 1. oktober 2025 som stiller krav til digital sikkerhet.

NIS2 – kommende EU-direktiv med strengere krav til cybersikkerhet og leverandørkjeder.

DORA – EU-regelverk for operasjonell robusthet i finansielle tjenester.

Kommentarer

bottom of page