For the complete documentation index, see /llms.txt. Markdown version of this page: /insights/compliance/soc-2-for-norske-smb-som-selger-til-usa.md.
EN / NB Kontakt oss →
EN / NB

Rådgivning

MDR / SOC

Sårbarhetshåndtering

Identitet

Compliance

AI-sikkerhet

CrowdStrike

Aikido

Tenable

Idira (CyberArk)

Innsikt

Serier

Hendelser og ressurser

Om oss

Selskapsinfo

Kontakt

Partnere

Compliance ↗

SOC 2 compliance for norske SMB-er som selger til USA

SOC 2 kan vinne dere en amerikansk avtale, eller koste seks sifre dere ikke trengte. Slik ser dere forskjellen, og slik passer det med ISO 27001.

5 min lesetid Av Maximilian Sharoyan
SOC 2, FM CyberSecurity forsidegrafikk

Dere kan bruke seks sifre på en SOC 2-rapport dere ikke trenger, eller miste den ene amerikanske avtalen som krevde den. De fleste små norske foretak bommer på dette, og de bommer i begge retninger.

SOC 2 er en amerikansk revisjonsrapport om hvor godt et selskap beskytter kundedata. Et lisensiert regnskapsfirma går gjennom kontrollene deres og skriver en uttalelse. Det er ingen lov. Ingen norsk tilsynsmyndighet ber om den. Den finnes fordi amerikanske kjøpere ber om den før de signerer.

Gjennom årets avgrensningssamtaler møter jeg stadig to varianter av samme foretak. Den ene har kjøpt et helt SOC 2-program etter råd fra en konsulent, uten en amerikansk kunde i sikte. Den andre har en signeringsklar amerikansk kontrakt som står fast i innkjøpsavdelingen, fordi kjøperen vil ha en SOC 2-rapport foretaket ikke har. Begge brukte penger i feil rekkefølge.

SOC 2, FM CyberSecurity

Risikoen går begge veier

Både å overinvestere og å underinvestere koster ekte penger. Behandle derfor SOC 2 som en salgsbeslutning, ikke som et sikkerhetsmerke.

Kjøper dere SOC 2 uten en amerikansk kjøper, sitter dere med en årlig kostnad for en rapport ingen leser. Offentlig veiledning fra revisjons- og automatiseringsleverandører i 2026 anslår at et engasjement for et lite selskap lander et sted rundt noen hundre tusen kroner når dere legger sammen revisorhonorar, verktøy og intern tid, og beløpet kommer igjen hvert år (SOC2Auditors, 2026). Bruker dere det uten at noen kjøper ber om det, er det en kostnad uten avkastning.

Hopper dere over den når et amerikansk storselskap trenger den, stopper avtalen opp. Amerikanske innkjøpsavdelinger er bygget rundt SOC 2. Sikkerhetsfolkene deres vet hvordan de skal lese rapporten, og leverandørskjemaene deres ber om den ved navn (Secureframe, 2026). Ingen rapport, ingen signatur, uansett hvor god sikkerheten deres er i praksis.

Hva markedet ber om

Amerikanske kjøpere ber gjerne om SOC 2. Norske og andre europeiske kjøpere ber gjerne om ISO 27001. Sertifiseringen følger kundens hjemmemarked, ikke sikkerhetsnivået deres.

ISO 27001 er den internasjonale standarden for et styringssystem for informasjonssikkerhet. Et sertifiseringsorgan reviderer dere og utsteder et sertifikat resten av verden kjenner igjen. Det er beviset de fleste norske og europeiske kjøpere godtar, og EU-regler som NIS2 presser etterspørselen videre opp i europeiske leverandørkjeder (Privalex, 2026).

SOC 2 er den amerikanske normen, mest innenfor teknologi, programvare levert over nett og finansielle tjenester. Skillet er geografisk. Sitter kundene deres i Oslo, Stockholm og München, vil de ha ISO-sertifikatet. Peker vekstplanen deres mot New York og San Francisco, kommer dere til å møte SOC 2-forespørsler (HST Solutions, 2026).

Den gode nyheten for et foretak som gjør begge deler: de to rammeverkene deler det meste av kontrollene. Bransjeveiledning i 2026 anslår overlappet til rundt 70 prosent, så når det første er på plass, koster det andre noen ukers fokusert arbeid framfor å begynne på nytt fra null (Truvo, 2026). Dere skriver tilgangspolicyen og hendelsesplanen én gang, og begge rapportene hviler på de samme bevisene.

Ett skille til er verdt å kjenne. SOC 2 kommer i to dybder. En Type 1-rapport sjekker kontrollene deres på én enkelt dag. En Type 2-rapport sjekker at de fungerte riktig over flere måneder, og det er den de fleste amerikanske kjøpere vil ha. Vi går grundig gjennom hva den forskjellen betyr i artikkelen vår om hva SOC 2 Type 2 er og hvorfor amerikanske kunder ber om den, så vi gjentar ikke detaljene her.

Beslutningen styret må ta

Styret har ett valg å ta: satse på SOC 2 nå, vente, eller starte med ISO 27001 og legge til SOC 2 først når en amerikansk avtale krever det.

For de fleste små norske foretak er den tredje veien den rimeligste. Start med ISO 27001, fordi hjemmemarkedet kjenner den igjen. Etabler kontrollene og bevisene skikkelig. Når en amerikansk avtale dukker opp og kjøperen ber om SOC 2, er dere allerede det meste av veien dit, og avstanden er et kort tillegg framfor å begynne på nytt.

Sats på SOC 2 først bare når dere har en navngitt amerikansk mulighet, eller en tydelig strøm av amerikanske muligheter, som ber om den. En signeringsklar kontrakt som venter på rapporten, er øyeblikket investeringen betaler seg. Et vagt håp om å selge til USA en gang er det ikke.

Uansett hvilken vei dere går, skriver ikke FM CyberSecurity SOC 2-uttalelsen. Et lisensiert regnskapsfirma utsteder den rapporten. Vi er ikke revisor. Det vi gjør, er forberedelsesarbeidet og overlappsplanleggingen: vi stiller de eksisterende kontrollene deres opp mot begge rammeverkene, slik at dere bare lager beviset én gang og slipper å betale dobbelt for det samme papirarbeidet.

Se FM CyberSecuritys referanser og partnersertifiseringer på partnersiden vår. Eller avtal en 30-minutters samtale på styrenivå om hvorvidt SOC 2, ISO 27001, eller begge passer salgsplanen deres.

FAQ

Trenger vi SOC 2 eller ISO 27001?

Det kommer an på hvor kjøperne deres er. Amerikanske storkunder ber som regel om SOC 2. Norske og andre europeiske kunder ber som regel om ISO 27001 (HST Solutions, 2026). Velg sertifiseringen markedet deres ber om, ikke den som høres mest imponerende ut.

Kan ett prosjekt dekke både SOC 2 og ISO 27001?

I stor grad, ja. Rammeverkene deler rundt 70 prosent av kontrollene, så det meste av policyene og bevisene teller mot begge (Truvo, 2026). Planlegg dem sammen, så bygger dere de felles delene én gang i stedet for to.

Hva koster SOC 2 for et lite foretak?

Offentlig leverandørveiledning fra 2026 anslår at et SOC 2-program for et lite selskap lander et sted rundt noen hundre tusen kroner når dere regner med revisorhonorar, verktøy og intern tid, og det kommer igjen hvert år (SOC2Auditors, 2026). Tallet deres avhenger av omfanget og hvor klare kontrollene allerede er, så behandle det som et planleggingstall, ikke et tilbud.

Trenger en norsk SMB noen gang SOC 2 ved lov?

Nei. SOC 2 er markedsdrevet, ikke et lovkrav i Norge. Ingen norsk eller europeisk regel pålegger den. Dere trenger den når en kundes kontrakt eller innkjøpsprosess ber om den, altså et salgskrav og ikke et juridisk krav.

Bør vi starte med ISO 27001 og legge til SOC 2 senere?

For de fleste små norske foretak som selger hjemme først, ja. Start med ISO-sertifikatet markedet deres kjenner igjen, etabler kontrollene skikkelig, og legg så til SOC 2 som et kort tillegg når en ekte amerikansk avtale krever det. Overlappet i kontroller gjør det andre rammeverket til et tillegg, ikke en ny start.

Mer om Compliance

5. juni 2026 · Compliance
Hva EUs Cyber Resilience Act er, og hvem den omfatter

CRA er en EU-lov som knytter cybersikkerhetskrav til CE-merket, så et produkt med digitale elementer ikke kan selges i EU uten å oppfylle dem.

3. juni 2026 · Compliance
Hva ISO 27001 Lead Implementer-sertifisering betyr for prosjektet ditt

En Lead Implementer bygger styringssystemet deres, en Lead Auditor reviderer det. Ansetter dere feil rolle, stopper sertifiseringsprosjektet opp.

11. mai 2026 · Compliance
SOC 2 compliance for norske SMB-er som selger til USA

SOC 2 kan vinne dere en amerikansk avtale, eller koste seks sifre dere ikke trengte. Slik ser dere forskjellen, og slik passer det med ISO 27001.

← Tilbake til all innsikt
Spørsmål eller forespørsel? [email protected] Kontakt oss →