ISO 27001 som kontrolfundament for NIS2- og DORA-bevismateriale
Mandag morgens sammenstød mellem efterlevelseskrav
Kl. 08:12 mandag modtager Maria, CISO hos en europæisk betalingsformidler, tre beskeder, der ved første øjekast ikke hænger sammen.
Den interne revisionsansvarlige beder om bevismateriale for, at ISO 27001:2022 Anvendelseserklæringen er ajourført. Den juridiske afdeling videresender et spørgeskema fra en bankpartner om DORA-tilsyn med IKT-tredjepartsrisiko. Driftsdirektøren spørger, om den samme hændelsesplaybook kan understøtte NIS2-forventninger til underretning for en nyopkøbt forretningsenhed i EU.
Kl. 09:00 er whiteboardet på Marias kontor dækket af akronymer: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. Hendes organisation har kontroller. Den har adgangsstyring, sikkerhedskopier, leverandørspørgeskemaer, kryptering, hændelseshåndtering, politikgodkendelser, ledelsens gennemgang og registreringer af gennemført træning. Det, den mangler, er ét samlet revisionsklart bevisgrundlag, der forklarer, hvorfor kontrollerne findes, hvilke risici de behandler, hvilke reguleringer de understøtter, hvem der ejer dem, og hvor dokumentationen findes.
Problemet bliver stadig mere almindeligt i Europa. NIS2 skærper kravene til cybersikkerhedsrisikostyring, styring, hændelseshåndtering og robusthed i forsyningskæden. DORA tilføjer detaljerede krav til IKT-risikostyring, robusthedstest, hændelsesrapportering og tilsyn med IKT-tredjeparter for finansielle enheder. GDPR kræver fortsat ansvarlighed, behandlingssikkerhed, styring af databehandlere og vurdering af brud på persondatasikkerheden.
Den forkerte reaktion er at opbygge tre parallelle efterlevelsesprogrammer. Det skaber dublerede kontroller, inkonsistent bevismateriale og overbelastede teams.
Den stærkere reaktion er at bruge ISO 27001:2022 som kontrolfundament. Ikke som et certifikat på væggen, men som det operationelle ledelsessystem for risiko, politikker, leverandørstyring, hændelseshåndtering, efterlevelseskortlægning og revisionsbevismateriale.
Clarysecs praktiske model er enkel: Brug ISO 27001:2022 ISMS som det organiserende system, brug Anvendelseserklæringen som bindeled, brug politikker som bindende driftsregler, og brug Zenith Controls: Vejledningen til tværgående efterlevelse som kompas for tværgående efterlevelse. Byg én gang, kortlæg omhyggeligt, og dokumentér løbende.
Hvorfor ISO 27001:2022 fungerer som efterlevelsesfundament
NIS2 og DORA har forskellige anvendelsesområder, retlige mekanismer og tilsynsmodeller. NIS2 gælder for væsentlige og vigtige enheder på tværs af sektorer. DORA gælder for finansielle enheder og fastsætter detaljerede krav til digital operationel robusthed. GDPR fokuserer på behandling af personoplysninger og ansvarlighed.
Alligevel overlapper de operationelle spørgsmål bag disse rammeværker:
- Styres cybersikkerhed gennem politikker godkendt af ledelsen?
- Identificeres, vurderes og behandles informationssikkerheds- og IKT-risici?
- Vælges kontroller på grundlag af risiko, forretningskontekst og retlige forpligtelser?
- Styres leverandører gennem due diligence, kontrakter, overvågning og exit-kontroller?
- Kan medarbejdere tidligt genkende og rapportere sikkerhedshændelser?
- Kan hændelser triageres, eskaleres, undersøges og vurderes med henblik på regulatorisk underretning?
- Kan organisationen hurtigt fremskaffe bevismateriale under en revision, kundegennemgang eller tilsynsforespørgsel?
ISO 27001:2022 giver ledelsen et ledelsessystem til at besvare disse spørgsmål konsekvent. ISO/IEC 27007:2022 behandler Anvendelseserklæringen som en liste over valgte informationssikkerhedskontroller, der kan revideres, herunder kontroller fra ISO 27001:2022 Annex A, andre standarder eller organisationsspecifikke foranstaltninger, med dokumenteret begrundelse for medtagelse eller udeladelse. ISO/IEC 27006-1:2024 understreger, at SoA og den relaterede ISMS-dokumentation udgør et centralt bevisgrundlag for at vise, hvilke kontroller der kræves, hvordan ansvar er tildelt, og hvordan politikker er implementeret og kommunikeret.
Det gør SoA til langt mere end et regneark. Den bliver kontrolaftalen mellem risiko, efterlevelse, drift, jura, indkøb, revision og bestyrelse.
Clarysecs [P01] Informationssikkerhedspolitik forankrer dette styringskrav:
Organisationen skal implementere og vedligeholde et ledelsessystem for informationssikkerhed (ISMS) i overensstemmelse med ISO/IEC 27001:2022 klausul 4 til 10.
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.1.1.
Det er vigtigt, fordi anmodninger om bevismateriale efter NIS2 og DORA sjældent kommer i ISO-sprog. En tilsynsmyndighed, kunde eller bestyrelseskomité kan bede om dokumentation for cybersikkerhedsrisikostyring, IKT-styring, tilsyn med tredjepartsafhængigheder, hændelseseskalering eller test af operationel robusthed. ISO 27001:2022 ISMS giver disse svar en struktur.
SoA er bindeleddet, ikke en papirøvelse
I Zenith Blueprint: Revisorens 30-trins køreplan, risikostyringsfasen, trin 13, beskriver Clarysec SoA som den centrale sporbarhedsmekanisme mellem risikobehandling og implementerede kontroller:
SoA er reelt et bindeledsdokument: den forbinder din risikovurdering og risikobehandling med de faktiske kontroller, du har.
Den sætning er kernen i tværgående efterlevelse. En kontrol uden sporbarhed bliver et løsrevet artefakt. En kontrol, der er knyttet til en risiko, retlig forpligtelse, politik, ejer, bevisregistrering og testresultat, bliver revisionsklar.
Trin 13 anbefaler også at tilføje kontrolreferencer til risikoscenarier, f.eks. at knytte et scenarie om brud på en kundedatabase til adgangsstyring, kryptografi, sårbarhedsstyring, hændelseshåndtering og leverandørkontroller. Det anbefales også at angive, når kontroller understøtter eksterne krav som GDPR, NIS2 eller DORA.
Clarysecs [P06] Politik for risikostyring gør denne driftsregel eksplicit:
Kontrolbeslutninger, der følger af risikobehandlingsprocessen, skal afspejles i SoA.
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.5.1.
For mindre organisationer anvender Politik for risikostyring - SMV samme logik:
Den sikrer, at risikostyring er en aktiv del af planlægning, projektgennemførelse, leverandørvalg og hændelseshåndtering i overensstemmelse med ISO 27001, ISO 31000 og gældende regulatoriske krav.
Fra afsnittet “Formål”, politikklausul 1.2.
Hvis en DORA-risikobehandling vedrørende tredjepart, en NIS2-foranstaltning til hændelseshåndtering eller et GDPR-sikkerhedskrav til databehandlere ikke afspejles i SoA eller et relateret efterlevelsesregister, kan organisationen stadig udføre arbejdet. Men den vil have svært ved at dokumentere arbejdet sammenhængende.
En praktisk ISO 27001:2022-krydsreference for NIS2 og DORA
Følgende krydsreference er ikke juridisk rådgivning. Den er en praktisk model for bevismateriale for CISO’er, complianceansvarlige, interne revisorer og forretningsansvarlige, der skal tilpasse ISO 27001:2022-bevismateriale til NIS2- og DORA-forventninger.
ENISA har i samarbejde med Europa-Kommissionen og NIS Cooperation Group udarbejdet vejledende krydsreferencevejledning, der hjælper med at tilpasse EU-krav til cybersikkerhed til internationale og nationale standarder, herunder ISO 27001. Denne vejledning er ikke juridisk bindende og skal suppleres med nationale myndighedsinstruktioner, sektorregler og juridisk gennemgang. Den understøtter dog en forsvarlig kortlægningsmetode.
| Efterlevelsesspørgsmål | ISO 27001:2022-fundament for bevismateriale | NIS2-relevans | DORA-relevans | Clarysec-bevismateriale |
|---|---|---|---|---|
| Styres cybersikkerhed gennem politikker godkendt af ledelsen? | Informationssikkerhedspolitik, ISMS-omfang, roller, registreringer fra ledelsens gennemgang, SoA | Forventninger til cybersikkerhedsrisikostyring og styring | IKT-styring og rammeværk for IKT-risikostyring | Informationssikkerhedspolitik, SoA, pakke til ledelsens gennemgang |
| Vurderes og behandles risici? | Risikoregister, risikobehandlingsplan, SoA-begrundelser, godkendelser af restrisiko | Risikobaserede cybersikkerhedsforanstaltninger efter Article 21 | Identifikation, beskyttelse, forebyggelse, detektion, respons og genopretning vedrørende IKT-risici | Risikoregister, risikobehandlingsplan, SoA_Builder.xlsx |
| Er leverandører underlagt kontrol? | Leverandørpolitik, due diligence-registreringer, kontrakter, revisionsrettigheder, klausuler om underretning om brud | Cybersikkerhed i forsyningskæden efter Article 21(2)(d) | IKT-tredjepartsrisikostyring efter Articles 28 to 30 | Politik for tredjeparts- og leverandørsikkerhed, leverandørregister |
| Detekteres, eskaleres og rapporteres hændelser? | Hændelseshåndteringsplan, rapporteringskanal, triageregistreringer, tabletop-tests, erfaringer | Håndtering og rapportering af væsentlige hændelser efter Article 23 | Styring og rapportering af IKT-relaterede hændelser efter Articles 17 to 19 | Politik for hændelseshåndtering, hændelsessager, øvelsesrapport |
| Er bevismateriale centraliseret og egnet til revision? | Internt revisionsprogram, repository for revisionsbevismateriale, efterlevelsesregister, korrigerende handlinger | Beredskab til at fremlægge bevismateriale for tilsyn | Beredskab til regulatoriske og tilsynsmæssige inspektioner | Politik for revision og overvågning af efterlevelse, central revisionsmappe |
Krydsreferencen fungerer, fordi den ikke opretter dublerede kontroller for hver regulering. Den bruger ISO 27001:2022 som kontrolfundament og tilføjer regulatoriske tags, ejerskab og forventninger til bevismateriale.
Tre ISO 27001:2022-kontroller, der frigør fundamentet
Flere kontroller er relevante for NIS2 og DORA, men tre ISO/IEC 27002:2022-kontroller bliver ofte rygraden i modellen for bevismateriale: 5.1, 5.19 og 5.24. En fjerde kontrol, 6.8, afgør ofte, om hændelsesrapportering fungerer i praksis.
| ISO/IEC 27002:2022-kontrol | Hvorfor den er vigtig | Værdi for tværgående efterlevelse |
|---|---|---|
| 5.1 Politikker for informationssikkerhed | Etablerer sikkerhedsretning og ansvarlighed godkendt af ledelsen | Understøtter NIS2-styring, DORA IKT-styring, GDPR-ansvarlighed og ISO 27001-politikbevismateriale |
| 5.19 Informationssikkerhed i leverandørrelationer | Definerer forventninger til leverandørsikkerhed på tværs af onboarding, overvågning og relationsstyring | Understøtter NIS2-cybersikkerhed i forsyningskæden, DORA IKT-tredjepartsrisiko og GDPR-tilsyn med databehandlere |
| 5.24 Planlægning og forberedelse af styring af informationssikkerhedshændelser | Etablerer rammeværket for hændelsesstyring, roller, eskalationsveje og beredskabsaktiviteter | Understøtter NIS2-hændelseshåndtering, DORA-rapportering af IKT-relaterede hændelser og GDPR-vurdering af brud |
| 6.8 Rapportering af informationssikkerhedshændelser | Sikrer, at personale hurtigt kan rapportere mistænkte hændelser via klare kanaler | Understøtter tidlig detektion, eskalering, underretningsvurdering og kvaliteten af hændelsesbevismateriale |
I Zenith Controls beskrives ISO/IEC 27002:2022-kontrol 5.1, Politikker for informationssikkerhed, som en forebyggende kontrol, der understøtter fortrolighed, integritet og tilgængelighed, med styring og politikstyring som centrale operationelle kapabiliteter. Krydsreferencen forklarer, at GDPR Articles 5(2), 24 og 32 kræver ansvarlighed, ansvar og behandlingssikkerhed. Den kortlægger også samme kontrol til NIS2-forventninger til cybersikkerhedsrisikostyring og styring samt til DORA-krav til IKT-styring og rammeværk for risikostyring.
Derfor er informationssikkerhedspolitikken ikke bare endnu en politik. En NIS2-assessor kan læse den som styringsbevismateriale. En DORA-tilsynsførende kan læse den som bevismateriale for rammeværket for IKT-risikostyring. En GDPR-gennemgangsansvarlig kan læse den som bevismateriale for ansvarlighed. En ISO 27001:2022-revisor kan læse den som en del af ISMS-politikstrukturen.
Kontrol 5.19, Informationssikkerhed i leverandørrelationer, er stedet, hvor indkøb, jura, sikkerhed, databeskyttelse og robusthed mødes. Zenith Controls kortlægger den til GDPR-forpligtelser for databehandlere, NIS2-cybersikkerhed i forsyningskæden og DORA IKT-tredjepartsrisikostyring. For DORA bliver bevismaterialet endnu stærkere, når det understøttes af kontrollerne 5.20, Håndtering af informationssikkerhed i leverandøraftaler, 5.21, Styring af informationssikkerhed i IKT-forsyningskæden, og 5.23, Informationssikkerhed ved brug af cloudtjenester.
Kontrol 5.24, Planlægning og forberedelse af styring af informationssikkerhedshændelser, er den operationelle motor for hændelsesberedskab. Zenith Controls kortlægger den til NIS2-hændelseshåndtering og underretning, GDPR-underretning om brud på persondatasikkerheden og DORA-styring og rapportering af IKT-relaterede hændelser. Bevismaterialet er ikke kun en hændelseshåndteringspolitik. Det omfatter rapporteringskanaler, triagekriterier, eskaleringsregistreringer, juridiske underretningsvurderinger, tabletop-øvelser, hændelsessager og erfaringer.
Kontrol 6.8, Rapportering af informationssikkerhedshændelser, lukker hullet mellem den skriftlige plan og menneskelig adfærd. Hvis personalet ikke ved, hvordan mistanke om phishing, datalækage, leverandørnedbrud eller mistænkelig systemaktivitet rapporteres, kan organisationen miste kritisk tid, før juridiske eller regulatoriske rapporteringsvurderinger overhovedet begynder.
Én leverandørhændelse, én koordineret beviskæde
Forestil dig, at en cloudanalyseudbyder, som Marias betalingsformidler bruger, opdager uautoriseret adgang til en supportportal. Udbyderen hoster pseudonymiserede kundebrugsdata og understøtter en forretningskritisk rapporteringsarbejdsgang. Hændelsen kan påvirke personoplysninger, reguleret IKT-robusthed og tjenestetilgængelighed.
Et fragmenteret efterlevelsesprogram åbner tre separate arbejdsstrømme: en GDPR-vurdering af brud, en DORA-gennemgang af IKT-hændelsen og en ISO 27001-leverandørsag. Hvert team beder om tilsvarende bevismateriale i forskellige formater. Indkøb leder efter kontrakten. Jura spørger, om udbyderen er databehandler. Sikkerhed spørger, om hændelsen opfylder rapporteringstærskler. Compliancefunktionen starter et nyt regneark.
Et modent ISO 27001:2022-fundament åbner én koordineret beviskæde.
Først logges hændelsen under hændelseshåndteringsprocessen. Rapportøren bruger en defineret kanal, sikkerhedsteamet triagerer hændelsen, og jura vurderer underretningsforpligtelser. Clarysecs [P30] Politik for hændelseshåndtering kræver, at hændelser med regulerede data vurderes af Jura og databeskyttelsesrådgiveren (DPO’en):
Hvis en hændelse medfører bekræftet eller sandsynlig eksponering af personoplysninger eller andre regulerede data, skal Jura og DPO’en vurdere anvendeligheden af:
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.4.1.
For mindre organisationer placerer Politik for hændelseshåndtering - SMV samme praktiske beslutningspunkt:
Hvor kundedata er involveret, skal direktøren vurdere retlige underretningsforpligtelser baseret på anvendeligheden af GDPR, NIS2 eller DORA.
Fra afsnittet “Risikobehandling og undtagelser”, politikklausul 7.4.1.
Dernæst gennemgås leverandørrelationen. Var udbyderen klassificeret som kritisk? Indeholder kontrakten forpligtelser til underretning om brud, revisionsrettigheder, databeskyttelsesansvar, forventninger til servicekontinuitet og exit-bestemmelser? Clarysecs Politik for tredjeparts- og leverandørsikkerhed fastsætter denne forventning:
Indarbejd standardiserede sikkerhedskrav i alle leverandørkontrakter, herunder forpligtelser til underretning om brud, revisionsrettigheder og databeskyttelsesansvar.
Fra afsnittet “Mål”, politikklausul 3.2.
For SMV’er gør Politik for tredjeparts- og leverandørsikkerhed - SMV formålet med tværgående efterlevelse eksplicit:
Understøt efterlevelse af ISO/IEC 27001:2022, GDPR, NIS2 og DORA-forpligtelser relateret til leverandørstyring.
Fra afsnittet “Mål”, politikklausul 3.6.
For det tredje opdateres risikoregisteret, behandlingsplanen og SoA, hvis hændelsen afdækker et hul. Måske mangler leverandørkontrakten en specifik regulatorisk underretningsfrist. Måske er overvågningsfrekvensen for leverandører for lav for en kritisk IKT-udbyder. Måske skelner hændelseshåndteringsplanen ikke klart mellem kriterier for brud på persondatasikkerheden og kriterier for IKT-driftsafbrydelse.
Pointen er ikke at skabe et nyt efterlevelsesunivers. Pointen er at opdatere én integreret beviskæde, så de samme registreringer kan besvare flere revisionsspørgsmål.
Gør SoA til et NIS2- og DORA-beviskort
En standard-SoA besvarer ofte ISO-spørgsmål godt: hvilke kontroller der er anvendelige, hvorfor de er valgt, og om de er implementeret. For at gøre den til et praktisk NIS2- og DORA-beviskort skal den beriges med regulatoriske og operationelle bevisfelter.
Åbn SoA_Builder.xlsx fra Audit Ready Toolkit, som der henvises til i Zenith Blueprint, fasen Revision, gennemgang og forbedring, trin 24. Trin 24 forklarer, at revisorer ofte vil udtage en kontrol fra SoA som stikprøve og spørge, hvorfor den er implementeret. Begrundelseskolonnen og den tilknyttede risiko eller det tilknyttede krav bør besvare spørgsmålet.
Tilføj disse kolonner:
| Ny SoA-kolonne | Formål | Eksempelpost |
|---|---|---|
| Regulatorisk driver | Viser, om kontrollen understøtter NIS2, DORA, GDPR, kundekontrakter eller robusthed | NIS2, DORA, GDPR |
| Kortlagt risiko-ID | Knytter kontrollen til risikoregisteret | R-017 Leverandørnedbrud, der påvirker reguleret rapportering |
| Ejer af bevismateriale | Identificerer, hvem der vedligeholder dokumentationen | Leder af sikkerhedsdrift |
| Primært bevismateriale | Definerer det artefakt, revisorer først bør gennemgå | Hændelseshåndteringsplan og log over hændelsessager |
| Operationelt bevismateriale | Viser, at kontrollen fungerer over tid | Tabletop-øvelsesrapport, test af leverandørunderretning om brud |
| Revisionsstatus | Sporer beredskab | Testet, åbent hul, korrigerende handling forfalden |
Anvend det derefter på det centrale kontrolsæt.
| ISO/IEC 27002:2022-kontrol | Regulatorisk driver | Primært bevismateriale | Operationelt bevismateriale | Revisors konklusion |
|---|---|---|---|---|
| 5.1 Politikker for informationssikkerhed | NIS2, DORA, GDPR | Godkendt informationssikkerhedspolitik, ISMS-omfang, rolletildelinger | Registrering af politikgennemgang, træningsbekræftelse, referater fra ledelsens gennemgang | Styring findes, ledelsen har godkendt retningen, og ansvarlighed er dokumenteret |
| 5.19 Informationssikkerhed i leverandørrelationer | NIS2, DORA, GDPR | Leverandørpolitik, leverandørregister, leverandørklassificering | Due diligence-gennemgange, kritikalitetsvurderinger, kontraktgennemgange, bevismateriale for revisionsret | Tredjepartsrisiko styres på tværs af onboarding, kontraktindgåelse, overvågning og exit |
| 5.20 Håndtering af informationssikkerhed i leverandøraftaler | NIS2, DORA, GDPR | Standardkontraktklausuler, sikkerhedsbilag, databehandlingsvilkår | Kontraktstikprøver, godkendelser af klausulundtagelser, juridiske gennemgangsregistreringer | Sikkerhedskrav er indarbejdet i leverandøraftaler |
| 5.23 Informationssikkerhed ved brug af cloudtjenester | DORA, NIS2, GDPR | Cloud-sikkerhedsstandard, cloudrisikovurdering, arkitekturgodkendelse | Gennemgang af cloudleverandør, gennemgang af koncentrationsrisiko, test af cloudhændelse | Risiko ved cloudtjenester identificeres, styres, overvåges og testes |
| 5.24 Planlægning og forberedelse af styring af informationssikkerhedshændelser | NIS2, DORA, GDPR | Politik for hændelseshåndtering, eskalationsmatrix, beslutningstræ for underretning | Hændelsessager, tabletop-rapporter, erfaringer, underretningsvurderinger | Hændelser kan detekteres, triageres, eskaleres og vurderes med henblik på regulatorisk rapportering |
| 6.8 Rapportering af informationssikkerhedshændelser | NIS2, DORA, GDPR | Rapporteringskanal, awarenessmateriale, procedure for hændelsesrapportering | Phishing-rapporter, hotline-logfiler, simuleringsregistreringer, medarbejderinterviews | Personale ved, hvordan mistænkte sikkerhedshændelser rapporteres hurtigt |
Kør derefter en prøve på sporbarheden. Vælg én leverandørhændelse fra det seneste år, og følg den fra hændelsessag til leverandørkontrakt, fra leverandørklassificering til risikoregister, fra risikobehandling til SoA og fra SoA til ledelsens gennemgang.
Hvis kæden bryder, er det ikke et nederlag. Det er en præcis korrigerende handling, før en revisor, kunde, tilsynsmyndighed eller bestyrelseskomité finder hullet.
Centraliseret bevismateriale er den oversete accelerator
Mange organisationer har tilstrækkelige kontroller, men svag fremskaffelse af bevismateriale. Dokumentationen er spredt på e-mail, helpdesk-sagsstyringssystemer, SharePoint-mapper, kontraktrepositorier, HR-platforme, GRC-værktøjer og leverandørportaler. I revisionssæsonen bruger compliancefunktionen uger på at jagte skærmbilleder.
Det er ikke revisionsberedskab. Det er revisionsgenopretning.
Clarysecs [P33S] Politik for revision og overvågning af efterlevelse - SMV fastslår:
Alt bevismateriale skal opbevares i en central revisionsmappe.
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.2.1.
En central revisionsmappe betyder ikke en ukontrolleret rodebunke. Det betyder et struktureret repository, der er tilpasset ISMS, SoA, risikoregisteret, revisionsplanen og efterlevelsesregisteret.
| Mappe | Indhold | Anvendelse til tværgående efterlevelse |
|---|---|---|
| 01 Styring | ISMS-omfang, informationssikkerhedspolitik, rolletildelinger, referater fra ledelsens gennemgang | NIS2-styring, DORA IKT-styring, GDPR-ansvarlighed |
| 02 Risiko og SoA | Risikoregister, risikobehandlingsplan, SoA, godkendelser af restrisiko | NIS2-risikostyring, DORA IKT-risikostyring |
| 03 Leverandører | Leverandørregister, due diligence, kontrakter, kritikalitetsvurderinger, gennemgangsregistreringer | NIS2-forsyningskæde, DORA IKT-tredjepartsrisiko, GDPR-databehandlere |
| 04 Hændelser | Hændelsessager, vurderinger af brud, underretningsbeslutninger, tabletop-øvelser | NIS2-rapportering, DORA-hændelsesstyring, GDPR-underretning om brud |
| 05 Revision og forbedring | Interne revisionsrapporter, korrigerende handlinger, stikprøver af bevismateriale, ledelsesopfølgning | ISO 27001:2022-revisionsberedskab, tilsynsberedskab |
Clarysecs Politik for juridisk og regulatorisk efterlevelse - SMV adresserer kortlægningsproblemet direkte:
Hvor en regulering gælder på tværs af flere områder (f.eks. gælder GDPR for opbevaring, sikkerhed og databeskyttelse), skal dette tydeligt kortlægges i efterlevelsesregisteret og træningsmaterialet.
Fra afsnittet “Styringskrav”, politikklausul 5.2.2.
Det er præcis sådan, ISO 27001:2022 bliver kontrolfundamentet for NIS2 og DORA. Man baserer sig ikke på tavs viden. Man kortlægger reguleringer på tværs af processer, politikker, kontroller, bevismateriale og træning.
Hændelsesrapportering starter med mennesker, ikke portaler
En almindelig revisionssvaghed opstår, når hændelseshåndteringsplanen ser stærk ud, men medarbejderne ikke ved, hvornår eller hvordan de skal rapportere. Det er farligt for NIS2, DORA og GDPR, fordi regulatoriske vurderingsfrister afhænger af detektion, eskalering og klassificering.
I Zenith Blueprint, fasen Kontroller i praksis, trin 16, fremhæver Clarysec personeldrevet hændelsesrapportering under ISO/IEC 27002:2022-kontrol 6.8. Vejledningen fastslår, at hændelseshåndtering begynder med mennesker. Organisationer bør etablere en klar, enkel og tilgængelig rapporteringskanal, f.eks. en overvåget e-mailadresse, en intern portal, en hotline eller en helpdesk-kategori. Den anbefaler også awareness-træning, en rapporteringskultur uden skyldplacering, fortrolighed, lav rapporteringstærskel og periodiske simuleringer.
Effekten på tværgående efterlevelse er direkte. Zenith Blueprint knytter denne rapporteringskapacitet hos personalet til GDPR Article 33, NIS2 Article 23 og DORA Article 17. Hvis medarbejdere tøver med at rapportere mistænkelig aktivitet, kan organisationen miste kritisk tid, før juridiske, sikkerhedsmæssige eller regulatoriske teams kan vurdere underretningspligter.
En praktisk kontroltest er enkel:
- Spørg fem medarbejdere, hvordan de rapporterer en mistænkt phishing-e-mail.
- Kontrollér, om rapporteringskanalen overvåges.
- Bekræft, om helpdesk-sagsstyringssystemet har en kategori for sikkerhedshændelser.
- Gennemgå den seneste simulering eller tabletop-øvelse.
- Verificér, at erfaringer blev gennemgået i ledelsens gennemgang.
Hvis et svar er uklart, skal hændelsesinstruksen, træningsmaterialet, rapporteringskanalen og SoA-referencen til bevismateriale opdateres.
Hvordan forskellige revisorer gennemgår det samme fundament
Bevismateriale til tværgående efterlevelse skal kunne holde til forskellige revisionsperspektiver. Den samme kontrol kan blive testet forskelligt afhængigt af gennemgangens mandat.
| Revisionsperspektiv | Sandsynligt spørgsmål | Forventet bevismateriale | Typisk svigt |
|---|---|---|---|
| ISO 27001:2022-revisor | Hvorfor er denne kontrol anvendelig, og fungerer den som beskrevet? | SoA-begrundelse, kobling til risikobehandling, politik, driftsregistreringer, interne revisionsresultater | Kontrollen findes, men SoA-begrundelsen er uklar eller forældet |
| NIS2-orienteret assessor | Kan I dokumentere risikobaserede cybersikkerhedsforanstaltninger og hændelseskoordinering? | Risikoregister, styringspolitik, hændelsesplan, rapporteringsarbejdsgang, bevismateriale for leverandørrisiko | NIS2-kortlægningen findes i præsentationsmateriale, men ikke i operationelt bevismateriale |
| DORA-orienteret tilsynsførende | Kan I dokumentere IKT-risikostyring, hændelsesklassificering, test og tredjepartstilsyn? | IKT-risikoregister, leverandørkritikalitet, hændelsesklassificering, robusthedstest, kontraktklausuler | Leverandørregistreringer skelner ikke mellem kritiske IKT-udbydere og almindelige leverandører |
| GDPR-orienteret gennemgang | Kan I dokumentere ansvarlighed, behandlingssikkerhed, databehandlerkontroller og vurdering af brud? | Databeskyttelseskortlægning, databehandlerklausuler, registreringer af brudvurderinger, bevismateriale for adgang og kryptering | Sikkerhedskontroller er implementeret, men ikke knyttet til risici for personoplysninger |
| NIST-orienteret revisor | Kan I vise styring, identifikation af risiko, beskyttelse, detektion, respons og genopretning? | Politikstyring, aktiv- og risikoregistreringer, detektionslogfiler, hændelses- og genopretningsbevismateriale | Teknisk bevismateriale findes, men styringsejerskabet er svagt |
| COBIT 2019- eller ISACA-lignende revisor | Er styringsmål, ansvar, performanceovervågning og assurance-aktiviteter defineret? | RACI, kontrolejerskab, ledelsesrapportering, revisionsplan, målinger, korrigerende handlinger | Kontrollerne er tekniske, men styres ikke gennem målbar ansvarlighed |
Her tilfører Zenith Controls værdi ud over en simpel kortlægningstabel. Den hjælper med at omsætte ISO/IEC 27002:2022-kontroller til revisionsrelevante perspektiver, herunder kontrolattributter, regulatoriske relationer og forventninger til bevismateriale. For kontrol 5.1 understøtter attributterne styring, politikstyring, ansvarlighed og sikkerhedsmål. For kontrol 5.24 understøtter attributterne respons- og genopretningsbegreber, hændelsesberedskab og korrigerende handling. For kontrol 5.19 forbinder attributterne for leverandørrelationer styring, økosystemrisiko, beskyttelse og tredjepartstilsyn.
Hvad bestyrelsen bør se
Bestyrelsen har ikke brug for hver eneste SoA-linje. Den har brug for den fortælling, SoA giver.
En stærk bestyrelsespakke for tilpasning til ISO 27001:2022, NIS2 og DORA bør indeholde:
- ISMS-omfang og omfattede forretningstjenester.
- Væsentligste informationssikkerheds- og IKT-risici.
- Oversigt over anvendelige kontroller efter domæne.
- Status for kortlægning til NIS2, DORA og GDPR.
- Kritiske leverandører og koncentrationsrisici.
- Metrikker for hændelsesrapportering og resultater fra tabletop-øvelser.
- Åbne korrigerende handlinger og forfaldne risikobehandlinger.
- Beslutninger, der kræves om risikoaccept, budget, ejerskab og ressourcer.
Det gør efterlevelse til styringsbevismateriale. Det flugter også med formålet med kontrol 5.1 i Zenith Controls, hvor politikker for informationssikkerhed understøtter retning på ledelsesniveau, ansvarlighed og sikkerhedsmål.
Almindelige fejl, der bør undgås
Den første fejl er at antage, at ISO 27001:2022-certificering automatisk dokumenterer efterlevelse af NIS2 eller DORA. Det gør den ikke. ISO 27001:2022 giver et stærkt ledelsessystem og kontrolfundament, men der er stadig brug for regulatorisk afgrænsning, juridisk analyse, sektorspecifik fortolkning, underretningsarbejdsgange og kendskab til nationale myndigheders forventninger.
Den anden fejl er at behandle SoA som statisk. SoA skal udvikle sig, når nye leverandører, systemer, hændelser, reguleringer, tjenester eller risici opstår. Zenith Blueprint, trin 24, anbefaler at krydsverificere SoA mod risikoregisteret og behandlingsplanen og sikre, at hver valgt kontrol har en begrundelse baseret på kortlagt risiko, retligt krav eller forretningsbehov.
Den tredje fejl er at kortlægge for overordnet. Et slide, der siger “ISO 27001 kortlægges til DORA”, er ikke revisionsbevismateriale. En specifik SoA-post, der kobler leverandørrelationssikkerhed til en kritisk IKT-leverandørrisiko, kontraktklausul, leverandørgennemgangsregistrering og DORA-forventning til tredjepartstilsyn, er langt stærkere.
Den fjerde fejl er ikke at centralisere bevismateriale. Hvis den complianceansvarlige bruger to uger på at indsamle skærmbilleder før hver revision, har organisationen et fremskaffelsesproblem.
Den femte fejl er at ignorere personrelaterede kontroller. Hændelsesrapportering, leverandøronboarding, gennemgang af adgangsrettigheder, politikaccept og eskalering afhænger alle af menneskelig adfærd. En poleret proces, som ingen følger, kollapser under revisionsstikprøver.
Clarysecs driftsmodel for tværgående efterlevelse
Clarysecs metode forbinder efterlevelsesfortællingen fra strategi til bevismateriale:
- I Zenith Blueprint, risikostyringsfasen, trin 13, kortlægger du kontroller til risici og opbygger SoA som bindeledsdokumentet.
- I Zenith Blueprint, risikostyringsfasen, trin 14, krydshenviser du GDPR-, NIS2- og DORA-krav til politikker og kontroller.
- I Zenith Blueprint, fasen Kontroller i praksis, trin 16, operationaliserer du personeldrevet hændelsesrapportering, så eskalering starter tidligt.
- I Zenith Blueprint, fasen Revision, gennemgang og forbedring, trin 24, færdiggør og tester du SoA, krydsverificerer den mod risikobehandlingsplanen og forbereder den som et af de første dokumenter, en revisor vil anmode om.
Metoden understøttes af Clarysecs politikker, der omsætter principper til driftsregler: informationssikkerhedsstyring, risikobehandling, leverandørsikkerhed, hændelseshåndtering, juridisk og regulatorisk kortlægning samt opbevaring af bevismateriale.
Resultatet er ikke kun ISO 27001:2022-beredskab. Det er et genanvendeligt system til efterlevelsesbevismateriale for NIS2, DORA, GDPR, kundedokumentation, intern revision og bestyrelsestilsyn.
Næste skridt: byg én gang, dokumentér mange gange
Hvis din organisation står over for NIS2, DORA, GDPR, kunderevisioner eller pres for ISO 27001:2022-certificering, så start med fundamentet.
- Gennemgå din SoA, og tilføj kolonner for regulatoriske drivere for NIS2, DORA og GDPR.
- Krydstjek SoA mod dit risikoregister og din risikobehandlingsplan.
- Kortlæg kritiske leverandører til leverandørsikkerhedskontroller, kontraktklausuler og overvågningsbevismateriale.
- Test din arbejdsgang for hændelsesrapportering med en tabletop-øvelse.
- Centralisér revisionsbevismateriale efter kontrol, regulering, ejer og teststatus.
- Brug Zenith Controls til at omsætte ISO/IEC 27002:2022-kontroller til bevismateriale for tværgående efterlevelse.
- Brug Zenith Blueprint til at gå fra risikobehandling til revisionsklar SoA-validering.
- Implementér Clarysecs politiksæt, herunder Informationssikkerhedspolitik, Politik for risikostyring, Politik for tredjeparts- og leverandørsikkerhed og Politik for hændelseshåndtering, for at accelerere implementeringen.
Den hurtigste vej er ikke flere afkoblede tjeklister. Det er ét integreret ISMS, én sporbar SoA, én centraliseret bevismodel og én operationel rytme for tværgående efterlevelse.
Clarysec kan hjælpe dig med at gøre ISO 27001:2022 fra et certificeringsprojekt til et praktisk kontrolfundament for NIS2 og DORA. Download Zenith Blueprint, udforsk Zenith Controls, eller book en Clarysec-vurdering for at opbygge en revisionsklar bevismodel, før den næste tilsynsmyndighed, kunde eller bestyrelseskomité beder om dokumentation.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
