EUCS-cloudcertificering som revisionsbevis i 2026

Lyset fra projektoren i bestyrelseslokalet ramte Amelias ansigt, mens hun stirrede på en slide med titlen “2026 Compliance Horizon”. Som CISO i en hurtigt voksende fintechvirksomhed havde hun tre akronymer på skærmen og ét tilbagevendende driftsproblem bag dem alle: NIS2, DORA og GDPR pegede alle tilbage på de samme cloudplatforme.

DORA-revisoren ønskede revisionsbevis for styring af IKT-tredjepartsrisiko for de cloudtjenester, der hostede betalingsapplikationer. Den kompetente NIS2-myndighed havde klassificeret virksomheden som en vigtig enhed og spurgte, hvordan forsyningskædesikkerhed blev styret. Databeskyttelsesrådgiveren forberedte en GDPR-gennemgang med fokus på databehandlersikkerhed, dataresidens og beredskab ved brud. Indkøb videresendte derefter en kort e-mail fra en udbyder af cloudanalyse:

“Vi forbereder EUCS-certificering. Kan dette erstatte jeres leverandørsikkerhedsgennemgang?”

For en travl CISO, complianceansvarlig eller grundlægger er det fristende svar ja. En europæisk cybersikkerhedscertificering for cloud lyder som præcis det bevisgrundlag, der bør reducere spørgeskemaer, berolige revisorer og tilfredsstille kunder.

Det mere præcise svar er: EUCS-cloudcertificering kan blive stærkt assurance-bevis for cloududbydere, men kun når det kortlægges til organisationens egen ISO/IEC 27001:2022-risikovurdering, anvendelighedserklæring, leverandørregister, register over cloudtjenester, kontraktlige kontroller, hændelsesprocedurer og registreringer, der dokumenterer ansvarlighed efter GDPR.

Den sondring er vigtig. NIS2 gør forsyningskædesikkerhed og digital infrastrukturrobusthed til et tilsynsemne. DORA fastholder finansielle enheders ansvar for IKT-tredjepartsrisiko, også når cloudtjenester er outsourcet. GDPR kræver, at dataansvarlige og databehandlere kan dokumentere ansvarlig, lovlig og sikker behandling. ISO/IEC 27001:2022 kræver et afgrænset, risikobaseret ledelsessystem, der tager højde for juridiske, regulatoriske, kontraktlige og tredjepartsrelaterede afhængigheder.

EUCS fjerner ikke disse forpligtelser. Det giver jer et struktureret bevisgrundlag, der kan vurderes, normaliseres, udfordres og genbruges.

Clarysecs tilgang er enkel: behandl EUCS som et værdifuldt input til leverandørassurance, ikke som en genvej til efterlevelse. I Zenith Controls: vejledningen til tværgående compliance starter cloudassurance-klyngen med ISO/IEC 27002:2022-kontrol 5.23, informationssikkerhed ved brug af cloudtjenester, og kobler den til 5.20, håndtering af informationssikkerhed i leverandøraftaler, og 5.22, overvågning, gennemgang og ændringsstyring af leverandørtjenester. Disse tre kontroller udgør rygraden i en forsvarlig gennemgang af EUCS-bevis.

Hvorfor cloudassurance er under pres fra NIS2, DORA og GDPR

I 2026 er cloudassurance ikke længere blot en indkøbsproces. Det er et emne for bestyrelsen, tilsynsmyndigheder og revision.

NIS2-direktivet, direktiv (EU) 2022/2555, udvider cybersikkerhedsforpligtelserne for væsentlige og vigtige enheder. Anvendelsesområdet omfatter mange sektorer, der er stærkt afhængige af cloud computing, og landskabet for digital infrastruktur omfatter udbydere af cloud computing-tjenester, datacentertjenester, content delivery networks, tillidstjenester, DNS-tjenester og TLD-navneregistre. Managed service providers og managed security service providers er også i fokus.

Article 21 kræver passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger, herunder risikoanalyse, hændelseshåndtering, forretningskontinuitet, forsyningskædesikkerhed, sikker anskaffelse og udvikling, sårbarhedshåndtering, vurdering af effektivitet, cyberhygiejne, kryptografi, adgangsstyring, styring af aktiver og autentifikation. Article 23 fastsætter trinvise forventninger til hændelsesrapportering, herunder tidlig varsling inden for 24 timer og hændelsesunderretning inden for 72 timer, med forbehold for direktivet og national implementering. Article 24 giver medlemsstaterne mulighed for under visse omstændigheder at kræve anvendelse af IKT-produkter, -tjenester eller -processer, der er certificeret efter europæiske cybersikkerhedscertificeringsordninger. Article 25 tilskynder til anvendelse af relevante europæiske og internationale standarder.

DORA, forordning (EU) 2022/2554, er endnu mere direkte for finansielle enheder. Fra 17. januar 2025 kræver den, at finansielle organisationer styrer IKT-risiko, rapporterer større IKT-relaterede hændelser, tester digital operationel robusthed og styrer IKT-tredjepartsrisiko. For enheder inden for dens anvendelsesområde fungerer DORA som den sektorspecifikke EU-retsakt for tilsvarende cybersikkerhedsforpligtelser, der overlapper med nationale NIS2-regler.

DORA tillader ikke outsourcing af ansvarlighed. Articles 28 to 30 kræver, at finansielle enheder udfører due diligence, vurderer koncentrationsrisiko, vedligeholder registre over kontraktlige aftaler, medtager obligatoriske kontraktlige sikkerhedsforanstaltninger, bevarer revisions- og adgangsrettigheder, sikrer hændelsesbistand, samarbejder med kompetente myndigheder og opretholder exitstrategier for IKT-tjenester, der understøtter kritiske eller vigtige funktioner.

GDPR, forordning (EU) 2016/679, tilføjer ansvarligheds- og databeskyttelseslaget. Article 5 kræver, at dataansvarlige overholder databeskyttelsesprincipperne og kan dokumentere overholdelse. Article 28 regulerer databehandlerforhold og kræver tilstrækkelige garantier fra databehandlere. Article 32 kræver passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerhed.

Resultatet er et konvergensproblem. Én cloududbyder kan være en kritisk IKT-tredjepart efter DORA, en direkte leverandør i en NIS2-forsyningskæde og en databehandler eller underdatabehandler efter GDPR. Hvis assurance håndteres gennem afkoblede spørgeskemaer, certificerings-PDF’er og kontraktmapper, bliver hver revision en rekonstruktionsøvelse.

EUCS kan reducere dette kaos, men kun når det indarbejdes i en styret bevismodel.

Hvad EUCS kan dokumentere, og hvad det ikke kan

EU Cybersecurity Certification Scheme for Cloud Services, normalt omtalt som EUCS, er udformet til at levere en europæisk cloudassurance-mekanisme under den bredere EU-ramme for cybersikkerhedscertificering. Den praktiske værdi ligger ikke i mærkningen alene. Værdien ligger i det underliggende certifikatomfang, assurance-niveau, vurderede tjenester, regioner, juridiske enheder, vurderingsafgrænsninger, gyldighedsperiode og overvågningsmodel.

Det rigtige spørgsmål om cloudassurance er ikke blot: “Har denne udbyder EUCS?” Det er:

• Hvilke konkrete cloudtjenester er omfattet?
• Hvilke regioner, datalokationer og juridiske enheder er omfattet?
• Hvilket assurance-niveau gælder?
• Hvilken vurderingsmetode blev anvendt?
• Hvilke antagelser om delt ansvar forbliver hos kunden?
• Hvilket bevismateriale kan udleveres til kunder, tilsynsmyndigheder og revisorer?
• Hvordan påvirker certifikatet revisionsrettigheder, hændelsesunderretning, gennemsigtighed om underleverandører og exitplanlægning?

Et cloudcertifikat dækker sjældent jeres konfiguration. Hvis organisationen deaktiverer MFA, eksponerer storage, tildeler for omfattende administrative rettigheder, undlader at logge privilegeret adgang eller fejlkonfigurerer regioner, redder udbyderens certificering ikke revisionen.

Derfor hører EUCS hjemme i en bevismatrix, ikke på en piedestal. Det kan understøtte assurance på udbydersiden, men organisationen skal fortsat dokumentere sine egne styrings-, konfigurations-, kontrakt- og overvågningskontroller.

Zenith Blueprint: en revisors 30-trins køreplan gør dette tydeligt i risikostyringsfasen, trin 13, planlægning af risikobehandling og anvendelighedserklæring:

SoA’en er i praksis et brobyggende dokument: den forbinder jeres risikovurdering/-behandling med de faktiske kontroller, I har. Når den udfyldes, kontrollerer I samtidig, om I har overset kontroller.

Det er den rette måde at forstå EUCS på. Certifikatet er leverandørbevis. Jeres anvendelighedserklæring forklarer, hvorfor relaterede kontroller er relevante, hvordan organisationen har implementeret sin del af det delte ansvar, hvilket leverandørbevis der er accepteret, og hvilke restrisici der består.

ISO 27001-rygraden for EUCS-bevis

ISO/IEC 27001:2022 giver EUCS et sted at høre hjemme. Standardens klausuler kræver, at organisationer forstår interne og eksterne forhold, identificerer interessenter og krav, definerer ISMS-omfang, tildeler ledelsesansvar, vurderer risici, udvælger kontroller, vedligeholder en anvendelighedserklæring og arbejder med løbende forbedring.

For cloudassurance bør EUCS som minimum indgå i seks ISMS-artefakter.

Clarysecs politikbibliotek omsætter disse krav til operationel disciplin.

SMV-versionen af Politik for brug af cloudtjenester - SMV, afsnittet Styringskrav, klausul 5.2, fastsætter en baseline for godkendte cloudtjenester:

Godkendte cloudtjenester skal opfylde følgende baselinekriterier: 5.2.1 Udbyderen har et stærkt omdømme for tilgængelighed og sikkerhed 5.2.2 Multifaktorautentifikation (MFA) understøttes og kan aktiveres 5.2.3 Dataresidens og praksis for databeskyttelse overholder gældende retlige krav (f.eks. GDPR) 5.2.4 Tjenesten leverer sikker adgangsstyring, logning og databeskyttelsesfunktioner

Et EUCS-certifikat kan understøtte 5.2.1 og dele af 5.2.3 og 5.2.4. Det dokumenterer ikke, at jeres tenant har MFA aktiveret, logning konfigureret, dataresidens håndhævet eller administrativ adgang gennemgået.

For større organisationer hæver Enterprise-versionen af Politik for brug af cloudtjenester, afsnittet Styringskrav, klausul 5.2, barren:

Al brug af cloudtjenester skal gennemgå risikobaseret due diligence før aktivering, herunder vurdering af udbyderen, validering af juridisk efterlevelse og gennemgang af kontrolvalidering.

Denne sætning er den politiske position, enhver EUCS-gennemgang skal følge: udbydervurdering, validering af juridisk efterlevelse og kontrolvalidering, ikke blind accept.

Kortlægning af EUCS til ISO 27001, NIS2, DORA og GDPR

EUCS bliver revisionsklar, når certifikatets fakta kortlægges til forpligtelser. En CISO bør etablere en cloudassurance-matrix for tværgående compliance, som omsætter leverandørbevis til genanvendeligt kontrolbevis.

Denne tabel er ikke kun til efterlevelsesdokumentation. Den er broen mellem en udbyders assurance og organisationens egen ansvarlighed.

NIS2 spørger, om enheden har truffet passende og forholdsmæssige foranstaltninger. DORA spørger, om den finansielle enhed styrer IKT-tredjepartsrisiko gennem due diligence, kontrakter, overvågning og exitplanlægning. GDPR spørger, om behandling af personoplysninger er lovlig, sikker og dokumenterbar. ISO/IEC 27001:2022 spørger, om alt dette er integreret i et risikobaseret ledelsessystem.

Praktisk eksempel: gennemgang af EUCS for en udbyder af cloudanalyse

Vend tilbage til Amelias fintechvirksomhed, Northstar Pay. Virksomheden vil onboarde en cloudanalyseplatform til svigdetektion og rapportering af transaktionstendenser. Udbyderen fremlægger et EUCS-certifikat og hævder, at det bør opfylde sikkerhedsgennemgangen.

Clarysec ville strukturere bevisgennemgangen i seks trin.

Trin 1: Opdatér registeret over cloudtjenester

SMV-versionen af Politik for brug af cloudtjenester - SMV, afsnittet Styringskrav, klausul 5.3, kræver et register, der registrerer cloudtjenestens navn, formål, ansvarlig ejer, datatyper, land eller region, adgangstilladelser, administratorkonti, kontraktdetaljer, fornyelsesdatoer og supportkontakter.

For virksomheder starter Politik for brug af cloudtjenester, afsnittet Styringskrav, klausul 5.1, med ejerskab:

Organisationen skal vedligeholde et centraliseret register over cloudtjenester, ejet af CISO, der indeholder:

Northstar Pay registrerer tjenesten før godkendelse, ikke efter idriftsættelse i produktionsmiljøet.

Trin 2: Validér certifikatomfanget

Teamet verificerer, om EUCS-certifikatet dækker den konkrete analysetjeneste, implementeringsmodel, region og juridiske enhed, som Northstar Pay vil anvende. Hvis certifikatet dækker infrastrukturtjenester, men udelukker analysemodulet, er bevisværdien begrænset.

Det er her, mange revisioner fejler. Udbyderen siger “certificeret”, men kunden kan ikke dokumentere, at certifikatet gælder for den tjeneste, der behandler regulerede data.

Trin 3: Kortlæg EUCS til risikobehandling og SoA

Ved brug af Zenith Blueprint, trin 13, kortlægger Northstar Pay certifikatet til risikoregisteret og anvendelighedserklæringen.

SoA’en registrerer derefter ISO/IEC 27002:2022-kontrollerne 5.20, 5.22 og 5.23 som relevante, fordi organisationen anvender cloudtjenester til reguleret behandling og vigtige analysearbejdsgange.

Trin 4: Bekræft kontraktklausuler og revisionsrettigheder

SMV-versionen af Politik for tredjeparts- og leverandørsikkerhed - SMV, afsnittet Styringskrav, klausul 5.3, kræver obligatoriske kontraktklausuler:

Kontrakter skal indeholde obligatoriske klausuler, der dækker: 5.3.1 Fortrolighed og fortrolighedsaftale 5.3.2 Informationssikkerhedsforpligtelser 5.3.3 Frister for underretning ved brud på persondatasikkerheden (f.eks. inden for 24-72 timer) 5.3.4 Revisionsrettigheder eller adgang til efterlevelsesbevis 5.3.5 Begrænsninger i yderligere underleverandørforhold uden godkendelse 5.3.6 Ophørsvilkår, herunder sikker returnering eller destruktion af data

EUCS-bevis og kontraktlige rettigheder tjener forskellige formål. Certifikatet understøtter assurance. Kontrakten skaber håndhævelighed.

Enterprise-versionen af Politik for tredjeparts- og leverandørsikkerhed, afsnittet Krav til implementering af politikken, klausul 6.1.2.2, medtager udtrykkeligt:

Gennemgang af revisionsrapporter (f.eks. SOC 2, ISO 27001, ISAE 3402)

EUCS hører hjemme i denne bevisfamilie sammen med andre assurance-rapporter. Det må ikke erstatte kontraktgennemgang, revisionsrettigheder, hændelsesbistand eller exitstrategiklausuler, som DORA kræver.

Trin 5: Håndhæv dataresidens for regulerede data

Politik for brug af cloudtjenester, afsnittet Krav til implementering af politikken, klausul 6.6.2, angiver:

Krav til dataresidens skal håndhæves kontraktligt (f.eks. lagring udelukkende i EU for GDPR-regulerede data).

For ansvarlighed efter GDPR er et certifikat, der beskriver regionale kontroller, nyttigt. Det er stadig ikke nok. Northstar Pay har brug for databehandleraftalen, kontraktlig tekst om lagring udelukkende i EU, bevis for tenant-konfiguration og en metode til at overvåge ændringer.

Hvis analyseplatformen giver administratorer mulighed for at vælge regioner, bør revisionsfilen indeholde konfigurationsskærmbilleder, eksporterede indstillinger eller andre registreringer, der viser den godkendte EU-region.

Trin 6: Planlæg årlige og hændelsesbaserede gennemgange

SMV-versionen af Politik for tredjeparts- og leverandørsikkerhed - SMV, afsnittet Krav til implementering af politikken, klausul 6.3.1, kræver årlig gennemgang af kritiske leverandører eller højrisikoleverandører for at verificere sikre adgangsmetoder, gyldige sikkerhedscertificeringer eller opdateret kontrolbevis, hændelseshistorik og kontraktlig efterlevelse.

Gennemgangen skal også udløses, når udbyderen ændrer underleverandører, regioner, tjenester, identitetsarkitektur, krypteringsmodel, hændelseshistorik eller certifikatstatus. Assurance-bevis ældes, og leverandørrisiko er ikke statisk.

Clarysecs EUCS-bevispakke

En moden EUCS-assurancepakke indeholder mere end certifikat-PDF’en. Clarysec strukturerer bevismaterialet i syv afsnit.

Politik for juridisk og regulatorisk efterlevelse, afsnittet Krav til implementering af politikken, klausul 6.2.1, indfanger det operationelle princip:

Alle juridiske og regulatoriske forpligtelser skal kortlægges til specifikke politikker, kontroller og ejere i ledelsessystemet for informationssikkerhed (ISMS).

Det er forskellen mellem at indsamle certifikater og at opbygge en forsvarlig driftsmodel for efterlevelse.

Bevis for hændelser og robusthed: hvor EUCS ikke er nok

NIS2 og DORA gør begge hændelsesberedskab og robusthed til en væsentlig test af cloudstyring.

En cloududbyders EUCS-certifikat kan vise, at udbyderen har kontroller for hændelsesstyring. Organisationen skal stadig vide, hvem der modtager underretninger, hvordan alarmer triageres, hvordan bevis bevares, hvordan påvirkning af personoplysninger vurderes, og hvem der kommunikerer med tilsynsmyndigheder, kunder og intern ledelse.

For NIS2 skal udbyderens underretningsvilkår understøtte forpligtelser til tidlig varsling og hændelsesunderretning. For DORA skal cloudhændelser indgå i processer for klassificering, eskalering, rapportering og kundekommunikation ved IKT-relaterede hændelser. For GDPR skal arbejdsgangen for brud understøtte vurdering af, om der er sket et brud på persondatasikkerheden, og om underretning til tilsynsmyndigheden eller berørte personer er påkrævet.

NIST CSF 2.0 er nyttig som integrationssprog her. Funktionerne GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND og RECOVER hjælper organisationer med at omsætte juridiske forpligtelser og tekniske kontroller til operationelle resultater. Resultaterne for forsyningskæden kræver, at leverandører er kendte, prioriterede, kontraktligt styrede, overvågede, inddraget i hændelsesplanlægning og håndteret ved ophør. Resultaterne for respons og genopretning omfatter triage, eskalering, koordinering med tredjeparter, underretning af interessenter, gennemførelse af genopretning og verifikation af genetablering.

Certifikatet lægges i filen. Hændelsesproceduren dokumenterer beredskabet.

Hvordan revisorer vil teste EUCS-bevis

Forskellige revisorer vurderer cloudassurance fra forskellige vinkler. En tværgående bevismodel for compliance forhindrer, at de samme fakta skal samles på ny ved hver gennemgang.

Zenith Blueprint, fasen Kontroller i praksis, trin 23, advarer om, at cloudkontroller granskes nøje:

Denne kontrol granskes ofte nøje. Revisorer vil spørge:

✓ “Hvilke cloudtjenester bruger I?” ✓ “Hvem har godkendt dem?” ✓ “Hvordan sikrer I, at data er beskyttet?”

Disse spørgsmål er kernen i EUCS-assurance. Et certifikat kan hjælpe med at besvare, hvordan beskyttelse på udbydersiden er dokumenteret, men det kan ikke besvare, hvilke tjenester der anvendes, eller hvem der har godkendt dem, medmindre jeres register over cloudtjenester og godkendelsesarbejdsgang er ajour.

Almindelige fejl i EUCS-assurance, der bør undgås

Den første fejl er at behandle EUCS som et universelt fripas. Det er afgrænset bevismateriale. Hvis certifikatet ikke dækker den købte tjeneste, region, implementeringsmodel eller juridiske enhed, kan assurance-værdien være begrænset.

Den anden fejl er at forveksle leverandørkontroller med kundekontroller. Leverandørcertificering dokumenterer ikke tenant-MFA, RBAC, logning, krypteringsindstillinger, backups, gennemgang af administrativ adgang eller overvågning.

Den tredje fejl er at overse DORA-kontraktkrav. Finansielle enheder skal have skriftlige rettigheder og forpligtelser, herunder tjenestebeskrivelser, datalokationer, informationssikkerhedskrav, adgangs- og revisionsrettigheder, serviceniveauer, hændelsesbistand, samarbejde med myndigheder, ophørsrettigheder og exitstrategier for kritiske eller vigtige funktioner.

Den fjerde fejl er at ignorere GDPR-bevis. Tekst om dataresidens, gennemsigtighed om underdatabehandlere, håndtering af brud, lovlig behandling og registreringer, der dokumenterer ansvarlighed, er fortsat nødvendige. EUCS kan understøtte Article 32-sikkerhedsbevis, men det fastlægger ikke jeres behandlingsgrundlag, behandlingsformål eller opbevaringsregler.

Den femte fejl er at undlade at overvåge certifikatstatus. Hvis certificeringen udløber, omfanget ændres, overvågningskonstateringer opstår, eller udbyderen ændrer arkitektur, skal leverandørrisikogennemgangen registrere ændringen.

Praktisk EUCS-gennemgangstjekliste for 2026

Brug denne tjekliste, før EUCS accepteres som assurance-bevis for en cloududbyder:

• Bekræft certificeringsordning, assurance-niveau, certifikatindehaver og gyldighedsperiode.
• Bekræft de konkrete tjenester, regioner, implementeringsmodeller og juridiske enheder, der er omfattet.
• Sammenhold certifikatomfanget med posten i jeres register over cloudtjenester.
• Kortlæg beviset til ISO/IEC 27002:2022-kontrollerne 5.20, 5.22 og 5.23.
• Opdatér risikoregisteret og SoA med certifikatbevis og restrisiko.
• Validér kundesidekontroller, især identitet, MFA, logning, kryptering, backups og administratoradgang.
• Bekræft klausuler om dataresidens, underdatabehandlere, underretning ved brud, revisionsbevis og ophør.
• Kobl underretningsveje for hændelser til tidsfristerne i NIS2, DORA og GDPR.
• Gennemgå koncentrationsrisiko og exitstrategi for kritiske eller vigtige tjenester.
• Planlæg årlig gennemgang og hændelsesbaseret fornyet vurdering.

Få EUCS-bevis til at fungere i jeres ISMS

EUCS-cloudcertificering kan væsentligt forbedre assurance for cloududbydere i 2026. Den kan reducere spørgeskematræthed, styrke due diligence af leverandører og understøtte bevis for ISO 27001, NIS2, DORA og GDPR. Men den bliver kun forsvarlig, når den kortlægges ind i organisationens styringssystem.

Clarysec hjælper organisationer med at omsætte cloudcertificeringsbevis til revisionsklare efterlevelsesaktiviteter gennem Zenith Blueprint, Zenith Controls, Politik for brug af cloudtjenester, Politik for brug af cloudtjenester - SMV, Politik for tredjeparts- og leverandørsikkerhed - SMV, Politik for tredjeparts- og leverandørsikkerhed og Politik for juridisk og regulatorisk efterlevelse.

Hvis jeres køreplan for 2026 omfatter EUCS, NIS2-parathed, DORA IKT-tredjepartsrisiko, GDPR-cloudbehandling eller ISO/IEC 27001:2022-certificering, så begynd med én praktisk handling: opbyg jeres register over cloudtjenester, vedhæft leverandørens assurance-bevis, og kortlæg hver kritisk cloudtjeneste til risici, kontrakter, kontroller og ejere. Det er her, cloudassurance bliver forsvarlig.