Åpenhetsloven har vært i kraft siden juli 2022. De fleste selskaper som omfattes vet at den finnes. Færre oppfyller alle tre kjernekravene på en måte som tåler kontroll fra Forbrukertilsynet eller en offentlig informasjonsforespørsel.

Her er hva mellomstore selskaper må forstå — og handle på.

Hvem Åpenhetsloven gjelder for

Loven gjelder større norske selskaper og utenlandske selskaper som opererer i Norge og oppfyller minst to av følgende kriterier:

Kriterium

Terskel

Årlig omsetning

Over NOK 70 millioner

Balansesum

Over NOK 35 millioner

Antall ansatte

Over 50 årsverk

Hvis dere oppfyller to av tre kriterier — og det gjør de fleste mellomstore selskaper — gjelder loven fullt ut.

Leverandørkjeden er der risikoen ofte undervurderes.
Loven gjelder ikke bare egen virksomhet, men hele leverandørkjeden og forretningsforbindelser — leverandører, underleverandører og partnere hvor det er risiko for brudd på menneskerettigheter eller anstendige arbeidsforhold.

Hva loven faktisk krever

Åpenhetsloven etablerer tre hovedforpliktelser — alle knyttet til styringsprosesser hos finans- og compliance-ledelse.

1. Gjennomføre aktsomhetsvurderinger

Dere må kontinuerlig gjennomføre risikobaserte vurderinger i leverandørkjeden — identifisere, forebygge og redusere negativ påvirkning på menneskerettigheter og arbeidsforhold.

Dette følger OECDs retningslinjer og krever:

• Dokumentert metode  

• Risikoprioritering  

• Leverandørvurderinger  

• Oppfølging og tiltak  

Dette er ikke et engangsarbeid — det må oppdateres løpende.

2. Publisere en årlig redegjørelse innen 30. juni

Hvert år må dere publisere en offentlig redegjørelse på nettsiden som beskriver:

• Metode  

• Vesentlige risikoer  

• Tiltak som er gjort  

• Resultater av tiltakene  

Dette er en formell offentlig rapport. Den leses av myndigheter, journalister, kunder og investorer.
En generell tekst publisert i siste liten er ikke tilstrekkelig — og beskytter ikke omdømmet.

3. Svare på informasjonsforespørsler innen tre uker

Alle — journalister, NGO-er, kunder — kan sende forespørsler om deres arbeid.

Dere må svare innen tre uker med konkret informasjon om:

• Prosesser  

• Funn  

• Tiltak  

Dette er der de fleste selskaper er minst forberedt.
Hvis dokumentasjonen er spredt i e-post og Excel, blir det svært vanskelig å svare godt — og et dårlig svar blir en offentlig hendelse.

Hva loven krever fra ledelsen

Som NIS2 og EU AI Act plasserer Åpenhetsloven ansvaret på toppnivå.

• Metodikk må godkjennes  

• Beslutninger må tas på ledelsesnivå  

• Årsrapport må signeres  

Styringslaget består av tre hovedområder:

Godkjenninger (sign-offs)

• Metodikk godkjent av styre/ledelse  

• Risikoprioritering med ansvarlige eiere  

• Årlig redegjørelse godkjent før publisering  

• Tiltaksplaner signert  

Dokumentasjon (disclosures)

• Årlig redegjørelse innen 30. juni  

• Svar på forespørsler innen tre uker  

• Intern rapportering til styret  

Må være oppdatert og tilgjengelig — ikke laget på nytt hvert år.

Informasjonsforespørsler

• Offentlige forespørsler  

• Leverandørspørreskjemaer  

• Dokumentasjon fra leverandørkjeden  

Rask og presis respons avgjør om dette håndteres profesjonelt eller blir en omdømmekrise.

Hva sanksjonene kan bli

Forbrukertilsynet håndhever loven og kan ilegge:

• Pålegg om retting — offentliggjøres og påvirker omdømme  

• Tvangsmulkt — løpende bøter ved manglende etterlevelse  

• Offentlige vedtak — synlige for kunder, investorer og presse  

For de fleste selskaper er ikke den største risikoen bøter — men en offentlig forespørsel dere ikke klarer å svare på.

Hvor lang tid compliance tar

Fase

Manuell tilnærming

Med automatisering

Kartlegging og risikovurdering

6–10 uker

2–3 uker

Leverandørvurderinger

4–8 uker

1–2 uker

Rapport og godkjenning

4–6 uker

1–2 uker

Rammeverk for forespørsler

3–4 uker

1 uke

Totalt

5–7 måneder

6–8 uker

Fristen 30. juni kommer hvert år.
Selskaper som jobber prosjektbasert stresser hver vår.
Selskaper som jobber kontinuerlig leverer kvalitet — og er alltid klare.

Hva det koster

• Med automatiseringsverktøy: €5 000–12 000 første år  

• Tradisjonell konsulentmodell: €15 000–40 000  

• Årlig oppfølging: €4 000–8 000  

Åpenhetsloven er en kontinuerlig forpliktelse — vurderinger må oppdateres, og forespørsler kan komme når som helst.

For selskaper som allerede jobber med ISO 27001, NIS2 eller ESG, overlapper prosessene betydelig.
Dette gjør det billigere å håndtere flere rammeverk sammen.

CTA

Vil du ha sjekkliste for godkjenninger, rammeverk for leverandørvurdering og mal for svar på informasjonsforespørsler?

[Last ned: Åpenhetsloven for mellomstore selskaper — hva ledelsen må vite →]

‍