ISO 27001:2022: træningsdokumentation til NIS2 og DORA
Klokken er 09:12 en tirsdag morgen i februar 2026. En finansanalytiker i en hurtigt voksende FinTech-virksomhed modtager en e-mail, der ser ud til at komme fra CFO’en, med anmodning om en hastende gennemgang af en leverandørbetalingsfil. Vedhæftningen åbner en overbevisende Microsoft-login-side. Analytikeren tøver, husker sidste måneds phishing-simulering og modul om betalingssvig og rapporterer e-mailen via sikkerhedsportalen i stedet for at indtaste legitimationsoplysninger.
For CISO’en er den ene beslutning en kontrol, der virker i praksis.
For auditoren er historien ikke nok.
Anmodningen om revisionsbevis kommer en uge senere: “Fremlæg dokumentation for et omfattende, rollebaseret program for informationssikkerhedsbevidsthed og træning, herunder effektivitetsmålinger og registreringer, der dokumenterer dækning for alt personale, herunder ledelsen.”
Den sætning ændrer samtalen. Et regneark med “Gennemført” ud for 97 procent af medarbejderne er ikke længere tilstrækkeligt. Auditoren vil spørge, hvem der trænede analytikeren, hvornår træningen blev tildelt, om den var obligatorisk, om den var rollebaseret, om finansfunktionen fik yderligere awareness om betalingssvig, om nye medarbejdere og kontrahenter var omfattet, om ledelsen godkendte programmet, om træningen blev ændret efter den seneste phishing-kampagne, og om registreringer af gennemført træning blev opbevaret.
I 2026 ligger dokumentation for træning i informationssikkerhedsbevidsthed i krydsfeltet mellem ISO/IEC 27001:2022, NIS2, DORA, GDPR og NIST CSF 2.0. Det er ikke længere en årlig HR-øvelse. Det er ledelsesstyring, risikobehandling, hændelsesberedskab, juridisk ansvarlighed og revisionsbevis.
Clarysec behandler sikkerhedsbevidsthed som et operationelt dokumentationssystem, ikke som et slide deck. Zenith Blueprint: En auditors 30-trins køreplan Zenith Blueprint, Zenith Controls: Vejledning til tværgående compliance Zenith Controls, Politik for informationssikkerhedsbevidsthed og træning - SME Politik for informationssikkerhedsbevidsthed og træning - SME og Politik for informationssikkerhedsbevidsthed og træning Politik for informationssikkerhedsbevidsthed og træning forbinder rollebaseret træning med ISMS, regulatoriske forpligtelser, hændelseshåndtering, leverandøradgang og ledelsens gennemgang.
Hvorfor generisk træning i informationssikkerhedsbevidsthed fejler i 2026
Det regulatoriske skifte er tydeligt. NIS2 gør cybersikkerhed til et ledelsesansvar for væsentlige og vigtige enheder. Article 20 kræver, at ledelsesorganer godkender cybersikkerhedsrisikostyringsforanstaltninger, fører tilsyn med implementeringen og modtager træning. Article 21 omfatter grundlæggende cyberhygiejne og cybersikkerhedstræning som en del af den krævede baseline for risikostyring. For cloududbydere, datacenterudbydere, managed service providers, managed security service providers, DNS-udbydere, TLD-registre, online markedspladser og søgemaskiner er træning blevet et ledelsesanliggende.
DORA hæver barren for finansielle enheder og IKT-udbydere, der betjener den finansielle sektor. DORA finder anvendelse fra 17. januar 2025 og kræver, at finansielle enheder opretholder en intern styrings- og kontrolramme for styring af IKT-risiko. Ledelsesorganer skal føre tilsyn med IKT-risiko, budgetter, revisioner, tredjepartsaftaler, forretningskontinuitet, respons- og genopretningsplaner samt digital operationel robusthed. DORA Articles 17 to 19 kræver også, at IKT-relaterede hændelser detekteres, klassificeres, eskaleres, kommunikeres og rapporteres. Træning er det, der gør disse procedurer anvendelige under pres.
ISO/IEC 27001:2022 giver organisationer rygraden i ledelsessystemet. Klausul 4 til 10 dækker kontekst, interessenter, lederskab, risikovurdering, risikobehandling, kompetence, bevidsthed, dokumenteret information, præstationsevaluering og forbedring. Standarden kan skaleres på tværs af sektorer og størrelser, og derfor bruger Clarysec den som driftsmodel for integreret tilpasning til ISO, NIS2, DORA, GDPR og NIST ISO/IEC 27001:2022.
GDPR tilføjer ansvarlighedslaget. Organisationer skal dokumentere, at personoplysninger behandles lovligt, rimeligt, sikkert og med passende tekniske og organisatoriske foranstaltninger. Medarbejdere, der håndterer personoplysninger, administrerer systemer, bygger software, supporterer kunder eller undersøger hændelser, har behov for træning i databeskyttelse og eskalering ved brud.
NIST CSF 2.0 understøtter samme retning. GOVERN-funktionen forbinder retlige, regulatoriske, kontraktlige, privatlivs- og interessentkrav med roller, ansvar, politikker, ressourcer, tilsyn og virksomhedens risikostyring. NIST CSF Profiles hjælper også med at omsætte træningsforpligtelser til forbedringsplaner for nuværende og ønsket tilstand.
Resultatet er enkelt: Revisionsklar træning i informationssikkerhedsbevidsthed skal dokumentere, at medarbejdere kender deres ansvar, at træningen er tilpasset rolle og risiko, og at revisionsbeviset er tilstrækkeligt fuldstændigt for auditorer, tilsynsmyndigheder, kunder og ledelsen.
Revisionsproblemet: “Vi har trænet alle” er ikke revisionsbevis
Mange organisationer fejler ikke audits, fordi de ikke har gennemført træning, men fordi de ikke kan dokumentere, at træningen blev designet, tildelt, gennemført, gennemgået og forbedret.
En svag dokumentationspakke omfatter typisk én årlig PDF, et gennemførelsesregneark uden datoer, ingen onboardingbeviser, ingen dækning af kontrahenter, ingen træning af privilegerede brugere, ingen ledelsestræning, ingen rollebaserede moduler for udviklere eller finans, ingen kobling til risikovurderingen og intet bevis for, at træningen blev opdateret efter hændelser eller regulatoriske ændringer.
Auditorer ønsker ikke en motivationsplakat. De ønsker en sammenhængende revisionsbeviskæde.
Clarysecs SME-politik gør denne forventning eksplicit. Politik for informationssikkerhedsbevidsthed og træning - SME, Mål, klausul 3.3, kræver, at organisationer:
“Etablerer dokumenterede registreringer af gennemførelse for at dokumentere efterlevelse af retlige, kontraktlige og revisionsmæssige krav.”
Den samme SME-politik gør træning til opbevaret dokumenteret information. Krav til implementering af politikken, klausul 6.3.2, fastslår:
“Et centralt regneark eller Human Resource Information System skal opbevare disse registreringer i mindst tre år.”
For enterprise-miljøer fastsætter Politik for informationssikkerhedsbevidsthed og træning, Formål, klausul 1.2, en mere struktureret forventning:
“Denne politik understøtter ISO/IEC 27001 Clause 7.3 og Annex A Control 6.3 ved at kræve en struktureret, risikoinformeret ramme for bevidstgørelse og uddannelse, der er tilpasset organisationens roller og fremspirende trusler.”
Den formulering er vigtig: struktureret, risikoinformeret, rolletilpasset og trusselsbevidst. Det er forskellen mellem awareness-teater og dokumenterbar kompetence.
Start med roller, ikke kurser
Den mest almindelige fejl er at købe indhold, før ansvar er defineret. I et integreret complianceprogram er det rigtige første spørgsmål ikke “Hvilken træningsplatform skal vi bruge?” Det rigtige spørgsmål er “Hvilke roller opretter, styrer, godkender, behandler, sikrer eller genopretter informationsaktiver?”
ISO/IEC 27001:2022 Clause 5.3 kræver tildeling og kommunikation af ansvar og beføjelser for informationssikkerhedsroller. Clause 7.2 kræver kompetence hos personer, der udfører arbejde under organisationens kontrol, baseret på uddannelse, træning eller erfaring. Clause 7.3 kræver bevidsthed om informationssikkerhedspolitikken, bidrag til ISMS-effektivitet og konsekvenser af afvigelser.
I Zenith Blueprint, ISMS-grundlag og lederskab, Step 5: Kommunikation, bevidsthed og kompetence, omsætter Clarysec dette til implementeringssprog:
“Identificér krævede kompetencer: Fastlæg, hvilken viden og hvilke færdigheder der er nødvendige for forskellige roller i dit ISMS.”
Blueprint giver praktiske eksempler: IT-medarbejdere kan have behov for sikker serverkonfiguration, udviklere har behov for sikker kodning, HR har behov for sikker håndtering af personoplysninger, og generelt personale har behov for phishing-awareness. Den fremhæver også registreringer:
“Vedligehold registreringer af kompetence: Clause 7.2 forventer, at du opbevarer dokumenteret information som bevis for kompetence.”
Det betyder, at træningsprogrammet skal starte med en rolle-til-risiko-matrix.
| Rollegruppe | Træningsfokus | Revisionsbevis, der skal opbevares | Complianceværdi |
|---|---|---|---|
| Alle medarbejdere | Phishing, adgangskodehygiejne, MFA, acceptabel brug, enhedssikkerhed, rapportering af hændelser | Gennemførelsesrapport, quizscore, bekræftelse af politik, indholdsversion | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022-kontrol 6.3, NIS2 Article 21 |
| Topledere og bestyrelse | Styring af cyberrisici, pligter efter NIS2 Article 20, DORA-tilsyn, risikovillighed, krisebeslutninger | Deltagerregistrering, bestyrelsesmateriale, referater, programgodkendelse | NIS2 Article 20, DORA Article 5, ISO/IEC 27001:2022-ledelsesbevis |
| Udviklere | Sikker kodning, OWASP Top 10, sikker SDLC, API-sikkerhed, håndtering af sårbarheder, håndtering af hemmeligheder | Modulgennemførelse, laboratorieresultater, tjekliste for sikker kodning, afhjælpningsdokumentation | ISO/IEC 27002:2022-kontroller 8.25 and 8.28, DORA-forventninger til IKT-risiko |
| IT- og systemadministratorer | Styring af privilegeret adgang (PAM), logning, sårbarhedsstyring, backupgendannelse, ændringsstyring, baselinehærdning | Registrering af gennemførelse, kobling til adgangsgennemgang, deltagelse i tabletop-øvelse | ISO/IEC 27002:2022-kontroller 8.8 and 8.13, DORA-robusthedsberedskab |
| HR | Fortrolighed, onboarding og offboarding, disciplinær proces, håndtering af særlige kategorier af oplysninger | HR-træningsregistrering, onboarding-tjekliste, bekræftelse af politik | GDPR-ansvarlighed, ISO/IEC 27002:2022 personrelaterede kontroller |
| Finans | Betalingssvig, leverandørspoofing, funktionsadskillelse, eskalering af mistænkelige anmodninger | Gennemførelse af målrettet modul, resultater fra phishing-simulering | Reduktion af svigrisiko, hændelsesberedskab efter NIS2 og DORA |
| Kundesupport | Identitetsverifikation, sikker håndtering af tickets, beskyttelse af personoplysninger, eskalationsveje | Gennemførelse af rollemodul, stikprøve fra ticketgennemgang, privatlivsbekræftelse | GDPR-ansvarlighed for databehandlere, kundedokumentation |
| Hændelsesrespondere | Klassificering, eskalering, bevaring af beviser, regulatoriske underretningsfrister, læring efter hændelser | Øvelsesregistrering, scenarierapport, rolletildeling, handlingssporing | NIS2 Article 23, DORA Articles 17 to 19, ISO/IEC 27002:2022-hændelseskontroller |
| Kontrahenter med systemadgang | Acceptabel brug, rapporteringskanal, datahåndtering, adgangsbetingelser | Kontrahentbekræftelse, onboardingregistrering, kobling til adgangsgodkendelse | Leverandørdokumentation, adgangsstyring, kontraktlig efterlevelse |
Denne matrix er ikke blot en træningsplan. Den er et compliancekort, der viser, hvorfor forskellige målgrupper modtager forskellig træning.
Forbind træning med kontrolkæden
I Zenith Controls kategoriseres ISO/IEC 27002:2022-kontrol 6.3, bevidsthed om informationssikkerhed, uddannelse og træning, som en forebyggende kontrol, der understøtter fortrolighed, integritet og tilgængelighed (CIA). Dens cybersikkerhedskoncept er Protect, dens operationelle kapabilitet er Human Resource Security, og dens sikkerhedsdomæner er Governance og Ecosystem.
Fortolkningen af tværgående compliance i Zenith Controls er direkte:
“Control 6.3 adresserer NIS2’s krav om sikkerhedstræning og bevidsthed ved at implementere et struktureret awareness-program, der dækker cyberhygiejne, fremspirende trusler og medarbejderansvar.”
Den samme mapping forbinder ISO/IEC 27002:2022-kontrol 6.3 med GDPR-forventninger til medarbejdere, der håndterer personoplysninger, DORA IKT-sikkerhedstræning tilpasset roller og NIST SP 800-53 Rev.5 AT-2, AT-3 og AT-4 for literacy training and awareness, rollebaseret træning og træningsregistreringer.
Det centrale punkt er, at kontrol 6.3 ikke står alene. Zenith Controls knytter den til ISO/IEC 27002:2022-kontrol 5.2, roller og ansvar for informationssikkerhed, fordi roller definerer, hvem der har behov for hvilken træning. Den knytter den til kontrol 6.8, rapportering af informationssikkerhedshændelser, fordi medarbejdere ikke kan rapportere det, de ikke kan genkende. Den knytter den også til kontrol 5.36, overholdelse af politikker, regler og standarder for informationssikkerhed, fordi efterlevelse afhænger af, at medarbejdere kender reglerne.
Det skaber en praktisk kontrolkæde:
- Definér ansvar.
- Tildel grundlæggende og rollebaseret træning.
- Dokumentér gennemførelse.
- Test forståelse.
- Overvåg efterlevelse.
- Luk mangler.
- Før læring tilbage til risikobehandling og ledelsens gennemgang.
Dette er vigtigt for NIS2, fordi Article 21 kræver risikoanalyse, politikker, håndtering af hændelser, forretningskontinuitet, sikkerhed i forsyningskæden, sikker anskaffelse og vedligeholdelse, vurdering af kontroleffektivitet, cyberhygiejne og træning, kryptografi, HR-sikkerhed, adgangsstyring, styring af aktiver samt MFA eller sikker autentifikation, hvor det er relevant.
Det er vigtigt for DORA, fordi styring, hændelsesstyring, respons og genopretning, tredjepartsrisiko og robusthedstest kun fungerer, hvis medarbejdere ved, hvad de skal gøre, før hændelsen sker.
Opbyg den revisionsklare dokumentationspakke
En moden dokumentationspakke indeholder mere end deltagerlogfiler. Den viser styring, design, levering, gennemførelse, effektivitet og forbedring. Clarysec anbefaler en struktur med seks mapper.
| Dokumentationsmappe | Indhold | Hvorfor det er vigtigt |
|---|---|---|
| 01 Styring | Godkendt politik, træningsmål, ledelsesgodkendelse, budget, årsplan | Viser ledelsens forpligtelse og tilsyn |
| 02 Rollekortlægning | Rollefortegnelse, kompetencematrix, regler for træningstildeling, omfang for kontrahenter | Dokumenterer risikobaseret og rollebaseret design |
| 03 Træningsindhold | Kursusmateriale, LMS-moduler, phishing-skabeloner, sikkerhedsbulletiner, versionshistorik | Viser, hvad medarbejdere faktisk blev undervist i |
| 04 Registreringer af gennemførelse | LMS-eksporter, HRIS-registreringer, deltagerlogfiler, quizresultater, bekræftelser | Dokumenterer deltagelse og opbevaret dokumenteret information |
| 05 Revisionsbevis for effektivitet | Metrikker fra phishing-simuleringer, interviewresultater, tendenser i hændelsesrapportering, resultater fra tabletop-øvelser | Viser, om træning ændrede adfærd |
| 06 Forbedring | Korrigerende handlinger, opdaterede moduler, læring efter hændelser, input til ledelsens gennemgang | Viser løbende forbedring |
Clarysecs enterprise-politik kræver onboarding, årlig genopfriskningstræning og rollebaserede moduler. Politik for informationssikkerhedsbevidsthed og træning, Styringskrav, klausul 5.1.1.2, fastslår:
“Medtag onboarding, årlig genopfriskningstræning og rollebaserede træningsmoduler”
Den samme politik placerer ejerskabet for revisionsbevis. Styringskrav, klausul 5.3.1 and 5.3.1.1, fastslår:
“CISO eller delegeret stedfortræder skal vedligeholde:”
“Registreringer af gennemførelse for hver bruger”
For SMV’er tilføjer SME-politikken en pragmatisk kadence. Politik for informationssikkerhedsbevidsthed og træning - SME, Krav til implementering af politikken, klausul 6.1.1, fastslår:
“Materialer skal være praktiske, rolletilpassede og opdateres årligt.”
Den dækker også træning udløst af ændringer. Klausul 6.5.1 fastslår:
“Når jobroller ændres, eller systemer introduceres, kan målrettet awareness-træning være påkrævet (f.eks. sikker fildeling, nye krav til databeskyttelse og dataminimering).”
Den klausul er særlig vigtig i 2026, fordi cloudmigrering, AI-værktøjer, nye betalingsintegrationer, nye databehandlere og ændringer i regulatorisk rapportering kan ændre risiko hurtigere end en årlig cyklus.
En redningsplan på én uge før revisionen
Forestil dig en SaaS- eller FinTech-udbyder med 180 medarbejdere, der forbereder sig på ISO/IEC 27001:2022-overvågningsaudit, DORA-kundedue diligence, GDPR-ansvarlighedsgennemgang og NIS2-drevne kundespørgsmål. CISO’en har én uge til at omsætte generiske gennemførelsesregistreringer til en forsvarlig dokumentationspakke.
Dag 1: Bekræft omfang og forpligtelser
Brug ISO/IEC 27001:2022 Clause 4.1 to 4.4 til at bekræfte kontekst, interessenter og ISMS-omfang. Indsaml kunders kontraktlige forpligtelser, GDPR-forpligtelser som dataansvarlig eller databehandler, NIS2-forventninger fra kritiske kunder og DORA-relaterede anmodninger om leverandør-due diligence for IKT.
Omsæt derefter disse forpligtelser til træningsbehov. GDPR kræver, at personale, der håndterer personoplysninger, forstår fortrolighed, minimering, opbevaring og eskalering ved brud. NIS2 kræver cyberhygiejne, medarbejdertræning og ledelsestilsyn. DORA-drevne kunder vil forvente revisionsbevis for, at teams, der understøtter kritiske tjenester, forstår hændelseseskalering, robusthed, adgangsstyring, backup og genopretning samt koordinering med tredjeparter.
Dag 2: Opbyg den rollebaserede matrix
Brug vejledningen i Zenith Blueprint og mappings i Zenith Controls for ISO/IEC 27002:2022-kontroller 5.2 and 6.3. Medtag medarbejdere, kontrahenter, privilegerede brugere, udviklere, supportteams, HR, finans, topledere og hændelsesrespondere.
Knyt hver rolle til systemer og risici. Udviklere får sikker kodning og håndtering af sårbarheder. Supportteams får identitetsverifikation og sikker håndtering af tickets. Finans får betalingssvig og verifikation af leverandørændringer. Topledere får styring, juridisk ansvarlighed, risikovillighed og krisebeslutningstagning.
Dag 3: Tilpas politik og tildelinger
Adoptér eller opdatér den relevante Clarysec-politik. Brug SME-politikken til en letvægtsdriftsmodel eller enterprise-politikken til stærkere styring og ejerskab af revisionsbevis. Bekræft, at politikken omfatter onboarding, årlige genopfriskninger, rollebaserede moduler, opbevaring af revisionsbevis, dækning af kontrahenter og træning udløst af ændringer.
Publicér politikken, indhent bekræftelser, og knyt træningsmoduler til jobfamilier i HRIS eller LMS.
Dag 4: Gennemfør målrettet træning
Træn ikke alle i alt. Træn alle i grundlæggende kontroller, og tildel derefter rollespecifikke moduler.
Grundmodulet skal dække phishing og social engineering, adgangskodehygiejne og MFA, acceptabel brug, sikker håndtering af oplysninger, kanaler for rapportering af sikkerhedshændelser, rapportering af mistede enheder og grundlæggende databeskyttelse.
Rollespecifikke moduler skal dække sikker SDLC for udviklere, privilegeret adgang og backupgendannelse for IT, medarbejderdata for HR, betalingssvig for finans, hændelsesklassificering for respondere samt NIS2- og DORA-styring for topledere.
Dag 5: Eksportér og validér revisionsbevis
Opret dokumentationspakken med seks mapper. Eksportér gennemførelsesrapporter, quizscorer, kursusversionsnumre, politikbekræftelser og træningsplaner. Identificér manglende gennemførelser, og opret korrigerende handlinger.
Test derefter forståelse gennem interviews. Spørg medarbejdere fra forskellige afdelinger:
- Hvilken sikkerhedstræning har du gennemført?
- Hvordan rapporterer du en mistænkelig e-mail?
- Hvad vil du gøre, hvis du mister en laptop?
- Hvor kan du finde informationssikkerhedspolitikken?
- Hvilke personoplysninger håndterer du i din rolle?
Registrér resultaterne som en intern revisionsstikprøve. Auditorer bruger ofte interviews til at verificere, om awareness er forstået og indarbejdet, ikke blot leveret.
Dag 6: Knyt træning til hændelseshåndtering
Brug træning i hændelsesrapportering som bro til ISO/IEC 27002:2022-kontrol 6.8, NIS2 Article 23 og DORA Articles 17 to 19.
NIS2 Article 23 kræver trinvis rapportering for væsentlige hændelser, herunder tidlig varsling inden for 24 timer efter kendskab, underretning inden for 72 timer og en endelig rapport inden for én måned. DORA kræver, at større IKT-relaterede hændelser klassificeres, eskaleres, kommunikeres og rapporteres gennem den krævede rapporteringslivscyklus.
Medarbejdere behøver ikke at kunne juridiske frister udenad, men de skal rapportere mistænkte hændelser hurtigt nok til, at organisationen kan overholde dem.
I Zenith Blueprint, Controls in Action, Step 16: People Controls II, fastslår Clarysec:
“Et effektivt hændelseshåndteringssystem begynder ikke med værktøjer, men med mennesker.”
Det er ikke blød vejledning. Det er operationel robusthed.
Dag 7: Forbered revisionsfortællingen
Den endelige revisionsfortælling skal være kort og understøttet af revisionsbevis:
“Vi identificerede træningsbehov baseret på ISMS-roller, retlige og kontraktlige forpligtelser, resultater af risikovurderinger og systemadgang. Vi tildelte grundlæggende og rollebaserede moduler via LMS. Vi opbevarede registreringer af gennemført træning, quizscorer, indholdsversioner og bekræftelser. Vi testede effektivitet gennem phishing-simuleringer, interviews og metrikker for hændelsesrapportering. Manglende gennemførelse spores som korrigerende handling. Ledelsen gennemgår programmet årligt og efter væsentlige ændringer.”
Understøttet af revisionsbevis kan den fortælling modstå spørgsmål ved ISO/IEC 27001:2022-audit, NIS2-styringskontrol, DORA-kundedue diligence, GDPR-ansvarlighedsgennemgang og NIST-lignende kontrolvurdering.
Mapping på tværs af krav for træning i informationssikkerhedsbevidsthed
Sikkerhedsbevidsthed fejlklassificeres ofte som en HR-opgave. I praksis er det en tværgående compliancekontrol, der berører styring, risikostyring, databeskyttelse, hændelseshåndtering, leverandørdokumentation og robusthed.
| Rammeværk eller regulering | Træningsrelevans | Clarysec-implementeringspunkt |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetence, bevidsthed, lederskab, rolletildeling, dokumenteret information, overvågning, intern revision og forbedring | Zenith Blueprint Step 5 og Step 15, politikklausuler om onboarding, årlige genopfriskninger, rollebaseret træning og revisionsbevis |
| ISO/IEC 27002:2022 | Kontrol 6.3 bevidsthed, uddannelse og træning, knyttet til 5.2 roller, 6.8 hændelsesrapportering og 5.36 overvågning af efterlevelse | Zenith Controls mapper attributter, relaterede kontroller, revisionsforventninger og tilpasning på tværs af rammeværker |
| NIS2 | Ledelsestræning, cybersikkerhedstræning for medarbejdere, cyberhygiejne, hændelsesberedskab og ledelsesmæssig ansvarlighed | Bestyrelsesmodul, medarbejderbaseline, modul for hændelsesrapportering, revisionsbevis for ledelsesgodkendelse |
| DORA | IKT-styring, ledelsestilsyn, læring og udvikling, hændelseseskalering, robusthedstest og tredjepartsforventninger | Træning af topledere, IKT-rollemoduler, træning af hændelsesrespondere, leverandørvendt dokumentationspakke |
| GDPR | Ansvarlighed, behandlingssikkerhed, bevidsthed om databeskyttelsesroller, genkendelse af brud og håndtering af personoplysninger | Træning i databeskyttelse for HR, support, salg, udvikling og hændelsesteams |
| NIST CSF 2.0 | GOVERN-funktion, roller, politikker, retlige forpligtelser, tilsyn, profiler og forbedringsplanlægning | Aktuel og ønsket træningsprofil, mangellog og prioriteret handlingsplan |
| NIST SP 800-53 Rev.5 | Awareness-træning, rollebaseret træning og træningsregistreringer | Mapping til AT-2, AT-3 og AT-4 gennem Zenith Controls |
| COBIT 2019-informeret assurance | Styringsmål, ansvarlighed, kapabilitet, performancemetrikker og ledelsesrapportering | Trænings-KPI’er, rolleejerskab, ledelsens gennemgang og lukning af korrigerende handlinger |
NIST CSF 2.0 er især nyttig for organisationer, der skal forklare modenhed til interessenter uden ISO-baggrund. Metoden med Organizational Profiles understøtter planlægning af nuværende og ønsket tilstand. For eksempel kan en Current Profile angive, at grundlæggende awareness findes, men at udviklertræning i sikker kodning er ufuldstændig. En Target Profile kan kræve, at alle udviklere gennemfører træning i sikker kodning, offentliggørelse af sårbarheder og håndtering af hemmeligheder inden Q3.
Hvordan auditorer og tilsynsmyndigheder tester træningsbevis
Forskellige reviewere stiller forskellige spørgsmål, men de tester alle den samme realitet: Ved organisationen, hvad medarbejderne skal gøre, og kan den dokumentere, at medarbejderne er forberedt på at gøre det?
En ISO/IEC 27001:2022-auditor vil koble træningsbevis til Clause 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 og 10.2 samt Annex A-kontroller. Forvent spørgsmål om, hvordan kompetencekrav blev fastlagt, hvordan medarbejdere kender informationssikkerhedspolitikken, hvordan nye medarbejdere og kontrahenter trænes, hvordan manglende gennemførelse håndteres, hvordan rollebaseret træning kobles til risikovurderingen og Anvendelseserklæringen, og hvordan effektivitet evalueres.
Zenith Controls bemærker, at auditorer, der bruger ISO/IEC 19011:2018, vil gennemgå pensum, tidsplaner, materialer, deltagerregistreringer, gennemførelsesbeviser og underviserkompetence. Den bemærker også, at ISO/IEC 27007:2020-auditorer kan bruge interviews til at vurdere, om medarbejdere ved, hvordan de rapporterer hændelser, og kan huske centrale træningsbudskaber.
En NIS2-fokuseret gennemgang vil se længere end gennemførelsesrater. Den vil spørge, om ledelsesorganet godkendte og førte tilsyn med cybersikkerhedsrisikostyringsforanstaltninger, om ledelsen modtog træning, om medarbejdernes træning i cyberhygiejne er regelmæssig, og om hændelsesrapportering er forstået. Article 21 kræver også procedurer til vurdering af effektiviteten af cybersikkerhedsrisikostyringsforanstaltninger, så phishing-metrikker, tendenser i hændelsesrapportering og revisionskonstateringer bliver revisionsbevis for kontroleffektivitet.
En DORA-gennemgang, især fra en finansiel kunde, der vurderer en IKT-udbyder, vil fokusere på operationel robusthed. Forvent spørgsmål om personale, der understøtter kritiske finansielle tjenester, træningsregistreringer for teams, der styrer betalingssystemer, ledelsestræning i IKT-tredjepartsrisiko, hændelsesklassificering efter DORA Article 18 og træning af kontrahenter med adgang til kundemiljøer.
En GDPR-gennemgang vil fokusere på ansvarlighed. Organisationen skal vise, at personale, der håndterer personoplysninger, forstår lovlig behandling, fortrolighed, minimering, opbevaring, sikker håndtering og eskalering ved brud. For SaaS-, FinTech- og managed service providers er træningsbevis en del af at dokumentere, at databeskyttelseskrav er indlejret i den operationelle adfærd.
Metrikker, der dokumenterer kontroleffektivitet
Gennemførelse er nødvendig, men ikke tilstrækkelig. Et stærkere dashboard for 2026 viser, om træning har forbedret adfærd.
| Metrik | Hvad den viser | Revisionsfortolkning |
|---|---|---|
| Gennemførelse pr. rolle | Om tildelte målgrupper har gennemført krævede moduler | Grundlæggende efterlevelse og dækning |
| Gennemførelse for nyansatte inden for mål | Om onboardingkontroller fungerer | Modenhed i HR og adgangsstyring |
| Gennemførelse af træning for privilegerede brugere | Om højrisikobrugere er forberedt | Risikobaseret prioritering |
| Klik- og rapporteringsrate ved phishing-simulering | Om adfærd forbedres | Awareness-effektivitet |
| Hændelsesrapporter fra medarbejdere | Om medarbejdere genkender og rapporterer hændelser | Kobling til hændelsesberedskab |
| Tid fra mistænkelig e-mail til rapportering | Om rapportering understøtter regulatoriske frister | NIS2- og DORA-beredskab |
| Gentagen manglende gennemførelse | Om håndhævelse og eskalering fungerer | Overvågning af efterlevelse |
| Træningsopdateringer efter hændelser eller ændringer | Om læring efter hændelser driver forbedring | Løbende forbedring |
Disse metrikker understøtter ISO/IEC 27001:2022 Clause 9.1 om overvågning og måling, Clause 9.2 om intern revision, Clause 10.1 om løbende forbedring og Clause 10.2 om afvigelser og korrigerende handlinger. ISO/IEC 27002:2022-kontrol 5.36 understreger, at overholdelse af politikker, regler og standarder skal overvåges, evalueres og afhjælpes.
Almindelige konstateringer, Clarysec ser ved audits
De samme svagheder går igen.
Organisationer træner medarbejdere, men glemmer topledere. Under NIS2 og DORA er ledelsestræning en del af styring, ikke en modenhedsbonus.
Organisationer leverer årlig træning, men ignorerer rolleændringer. En supporttekniker, der flytter til DevOps, har behov for træning i privilegeret adgang, logning, backup og hændelseseskalering.
Organisationer medtager medarbejdere, men glemmer kontrahenter. Zenith Blueprint Step 15 anbefaler at udvide træningen til kontrahenter eller tredjeparter, der har adgang til systemer eller data.
Organisationer underviser i hændelsesrapportering, men skaber frygt. Hvis medarbejdere tror, de bliver straffet for at klikke på et phishing-link, kan de vælge at tie. Zenith Blueprint Step 16 fremhæver enkle rapporteringskanaler, rapportering understøttet af awareness og en kultur uden skyldplacering.
Organisationer kan ikke dokumentere versionering af indhold. Hvis en auditor spørger, hvad medarbejdere gennemførte i marts, er den aktuelle præsentation på SharePoint ikke nok. Opbevar den version, der blev leveret.
Organisationer undlader at koble træning til risikobehandling. Hvis ransomware, betalingssvig, fejlkonfigurationer i cloud eller datalækage er en toprisiko, skal træningsplanen vise målrettet behandling for de relevante roller.
Hvor Clarysec passer ind
Clarysec hjælper organisationer med at opbygge ét dokumenterbart program i stedet for fem adskilte compliancespor.
Politik for informationssikkerhedsbevidsthed og træning - SME giver mindre organisationer en praktisk baseline: rollebaserede forventninger, dokumenterede registreringer, årlige opdateringer, træning udløst af ændringer og opbevaring i mindst tre år.
Enterprise-versionen af Politik for informationssikkerhedsbevidsthed og træning giver større organisationer stærkere styring: struktureret risikoinformeret awareness, onboarding, årlige genopfriskninger, rollebaserede moduler, CISO-ejerskab af registreringer og beredskab til regulatoriske inspektioner under GDPR, DORA og NIS2.
Zenith Blueprint fortæller implementeringsteams, hvad de skal gøre i rækkefølge. Step 5 bygger kompetence og bevidsthed ind i ISMS-grundlaget. Step 15 operationaliserer ISO/IEC 27002:2022-kontrol 6.3 med årlig træning, rollespecifikke moduler, onboarding, phishing-simuleringer, dokumentation for deltagelse, målrettede bulletiner, kontrahenttræning og adfærdsforstærkning. Step 16 forbinder awareness med personeldrevet hændelsesrapportering.
Zenith Controls giver compliance-teams krydsreferencen. Den forbinder ISO/IEC 27002:2022-kontrol 6.3 med roller, hændelsesrapportering, overvågning af efterlevelse, ISO/IEC 27005:2024-risici relateret til menneskelige faktorer, GDPR-træningsforventninger, NIS2 Article 21, DORA IKT-træning, NIST-awareness-kontroller og revisionsmetodikker. Den forbinder også kontrol 5.2 med ledelsesansvar og kontrol 5.36 med overvågning af efterlevelse og korrigerende handlinger.
Tilsammen gør disse ressourcer det muligt for en CISO ikke kun at forklare, hvilken træning der blev gennemført, men hvorfor den blev gennemført, hvem der krævede den, hvilken risiko den behandlede, hvordan den blev dokumenteret, og hvordan den forbedres.
Gør dokumentation for sikkerhedstræning revisionsklar nu
Hvis din nuværende dokumentation er et regneark, et slide deck og et håb om, at medarbejdere husker rapporteringsmailen, er det nu, den skal modnes.
Start med fire handlinger i denne uge:
- Opret en rollebaseret træningsmatrix knyttet til ISMS-ansvar, systemadgang og regulatoriske forpligtelser.
- Adoptér eller opdatér din Clarysec-awareness-politik med Politik for informationssikkerhedsbevidsthed og træning - SME eller Politik for informationssikkerhedsbevidsthed og træning.
- Opbyg dokumentationspakken med seks mapper for styring, rollekortlægning, indhold, gennemførelse, effektivitet og forbedring.
- Brug Zenith Blueprint og Zenith Controls til at mappe træningsbevis til revisionsforventninger for ISO/IEC 27001:2022, NIS2, DORA, GDPR og NIST.
Sikkerhedsbevidsthed er værdifuld, når den ændrer adfærd. Compliancebevis er værdifuldt, når det dokumenterer denne adfærd konsekvent.
Clarysec hjælper dig med at opbygge begge dele.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
