⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
DA EN BG CS DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

NIS2-bestyrelsesansvar: ISO 27001-bevismateriale

Igor Petreski
14 min read
#Risikostyring #Revision #ISMS #Hændelseshåndtering #Forretningskontinuitet #Leverandørstyring
Diagram over NIS2-bestyrelsesansvar og ISO 27001-styringsbevismateriale

E-mailen landede i Marias indbakke kl. 08:15 en mandag morgen. Som CISO hos en hurtigt voksende europæisk udbyder af cloudtjenester var hun vant til hastende beskeder, men denne føltes anderledes.

CFO’en havde videresendt et kundespørgeskema om sikkerhed til CEO’en, bestyrelsessekretæren og Maria. Emnelinjen var kort: “NIS2-bevismateriale for ledelsesorganets ansvarlighed kræves før fornyelse.”

Kunden bad ikke om endnu en rapport fra en penetrationstest. De ville vide, om bestyrelsen havde godkendt foranstaltninger til styring af cybersikkerhedsrisici, hvordan implementeringen blev overvåget, om topledere havde modtaget uddannelse i cyberrisici, hvordan væsentlige hændelser blev eskaleret, og hvordan leverandørrisici blev gennemgået på ledelsesniveau. CEO’en tilføjede én linje: “Maria, hvad er vores eksponering, og hvordan dokumenterer vi due diligence? Bestyrelsen har brug for dette i næste uge.”

Det er dét øjeblik, hvor NIS2 bliver konkret for mange SaaS-, cloud-, MSP-, MSSP-, datacenter-, fintech- og digitale infrastrukturudbydere. Directive (EU) 2022/2555 behandler ikke cybersikkerhed som et teknisk afdelingsproblem. Direktivet gør cyberrisiko til et spørgsmål om ledelsesorganets ansvarlighed.

NIS2 Article 20 kræver, at ledelsesorganer i væsentlige og vigtige enheder godkender foranstaltninger til styring af cybersikkerhedsrisici, fører tilsyn med implementeringen og gennemfører uddannelse. Artiklen giver også medlemsstaterne mulighed for at fastsætte ansvar ved overtrædelser. Article 21 definerer derefter den praktiske baseline: risikoanalyse, sikkerhedspolitikker, hændelseshåndtering, forretningskontinuitet, sikkerhed i forsyningskæden, sikker anskaffelse og udvikling, vurdering af effektivitet, cyberhygiejne, uddannelse, kryptografi, HR-sikkerhed, adgangsstyring, aktivstyringspolitik og autentifikation.

For organisationer, der allerede bruger ISO/IEC 27001:2022, er strukturen velkendt. Forskellen er målgruppen og bevisbyrden. Spørgsmålet er ikke længere kun: “Har vi sikkerhedskontroller?” Det er: “Kan bestyrelsen dokumentere, at den har godkendt, forstået, finansieret, gennemgået, udfordret og forbedret disse kontroller?”

Det er her, ISO/IEC 27001:2022 bliver et styringssystem, der kan forsvares. Clarysecs tilgang er at bruge ISO/IEC 27001:2022 som det bevismæssige fundament, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint som implementeringsvejen, Clarysec-politikker som bestyrelsesklare artefakter og Zenith Controls: The Cross-Compliance Guide Zenith Controls som kortlægningsvejledning på tværs af rammeværker for NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 og revisionsforventninger.

Hvorfor NIS2-bestyrelsesansvar ændrer samtalen om cybersikkerhed

NIS2 beder ikke direktører om at blive firewallingeniører. Direktivet beder dem om at udøve styring. Den forskel er afgørende.

En CISO kan fremvise sårbarhedsrapporter, MFA-dækning, dashboards for endpoint-beskyttelse og vurderinger af cloud-sikkerhedstilstand. Det er nyttige driftsmæssige signaler, men de dokumenterer ikke automatisk ledelsesorganets tilsyn. En tilsynsmyndighed, en storkunde, en certificeringsrevisor eller en vurderingspart fra den finansielle sektor vil lede efter en kæde af styringsbevismateriale:

  1. Organisationen har vurderet, om NIS2 finder anvendelse, og dokumenteret grundlaget.
  2. Bestyrelsen eller øverste ledelse har godkendt rammeværket for styring af cybersikkerhedsrisici.
  3. Risikovillighed og tolerancetærskler er defineret.
  4. Høje cyberrisici er eskaleret og gennemgået.
  5. Beslutninger om risikobehandling er godkendt, herunder accepteret restrisiko.
  6. Procedurer for rapportering af hændelser afspejler 24-timers-, 72-timers- og slutrapporteringsforpligtelser, hvor det er relevant.
  7. Leverandør- og cloudafhængigheder er kortlagt og underlagt styring.
  8. Ledelsens evaluering omfatter revisionskonstateringer, hændelsestendenser, metrikker og forbedringstiltag.
  9. Topledere har modtaget uddannelse, der svarer til deres ansvarlighed.
  10. Beslutninger, undtagelser og eskaleringer er sporbare.

Det er her, mange gamle sikkerhedsplaybooks ikke slår til. At købe et “NIS2-kompatibelt” værktøj dokumenterer ikke bestyrelsestilsyn. At underskrive en politik og arkivere den viser ikke implementering. At delegere cybersikkerhed fuldt ud til CISO’en opfylder ikke ledelsesorganets tilsynspligt.

ISO/IEC 27001:2022 løser dette problem, fordi standarden rammesætter informationssikkerhed som et strategisk, risikobaseret ledelsessystem integreret i organisationens processer. Standardens punkter om kontekst, interessenter, retlige forpligtelser, omfang, lederskab, risikovurdering, risikobehandling, operationel styring, præstationsevaluering, intern revision, ledelsens evaluering og løbende forbedring skaber den struktur, en bestyrelse har brug for til due diligence.

Zenith Blueprint gør dette praktisk i fasen ISMS Foundation & Leadership, Step 3:

“Clause 5.1 handler om lederskab og forpligtelse. ISO 27001 kræver, at øverste ledelse demonstrerer lederskab ved at godkende ISMS, stille ressourcer til rådighed, fremme bevidsthed, sikre at roller er tildelt, integrere ISMS i forretningsprocesser og understøtte løbende forbedring.”

Det er den driftsmodel, der ligger bag NIS2 Article 20. Bestyrelsen behøver ikke godkende hver teknisk sag, men den skal godkende styringsmodellen, forstå væsentlige risici, sikre ressourcer og føre tilsyn med implementeringen.

Den bestyrelsespakke med bevismateriale, som NIS2 reelt kræver

En almindelig fejl er at behandle NIS2-bevismateriale som et juridisk notat plus en mappe med politikker. Det tilfredsstiller sjældent en seriøs vurderingspart. Bestyrelsesansvar kræver dokumentation for aktiv styring, ikke passiv dokumentation.

En stærk NIS2-bestyrelsespakke med bevismateriale bør forbinde retlige forpligtelser med bestyrelsesbeslutninger, kontroller og evalueringscyklusser.

BevisartefaktSpørgsmål om bestyrelsens ansvarlighed, der besvaresISO/IEC 27001:2022-ankerClarysec-kilde
NIS2-anvendelighedsvurderingEr vi væsentlige, vigtige, indirekte eksponeret eller uden for omfang?Punkt 4.1 til 4.4Zenith Blueprint, Step 1 and Step 2
ISMS-omfang og afhængighedskortHvilke tjenester, lokationer, leverandører, grænseflader og processer er omfattet af styring?Punkt 4.1 til 4.4Zenith Blueprint, ISMS Foundation phase
CyberrisikoregisterHvad er vores højeste cyberrisici, og hvem ejer dem?Punkt 6.1.1 og 6.1.2Politik for risikostyring
Risikobehandlingsplan og SoAHvilke kontroller er valgt, hvorfor, og hvem har godkendt restrisiko?Punkt 6.1.3Zenith Blueprint, Step 13
Bestyrelsesreferater og beslutningslogHar ledelsen godkendt, udfordret og ført tilsyn med foranstaltningerne?Punkt 5.1, 5.3, 9.3Politik for styringsroller og ansvarsområder
Procedure for hændelseseskalering og rapporteringKan vi opfylde NIS2’s trinvise rapporteringsfrister?Punkt 8.1, 9.1, Bilag A-kontroller for hændelserVærktøjssæt til hændelseshåndtering og ledelsens evaluering
Dashboard for leverandørrisiciEr kritiske leverandører og cloudafhængigheder underlagt styring?Punkt 8.1 og Bilag A-kontroller for leverandørerZenith Controls cross-mapping
Registrering af lederuddannelseHar medlemmer af ledelsesorganet gennemført passende uddannelse?Punkt 7.2 og awareness-kontrollerPolitik for bevidsthed om informationssikkerhed og uddannelse
Output fra intern revision og ledelsens evalueringKontrolleres og forbedres implementeringen uafhængigt?Punkt 9.2, 9.3, 10.1Politik for revision og overvågning af efterlevelse - SMV

Styrken i denne pakke er sporbarhed. Hvert artefakt besvarer et styringsspørgsmål og peger på en ISO/IEC 27001:2022-mekanisme. Det giver CISO’en, CEO’en og bestyrelsen en dokumenterbar fortælling: Cybersikkerhed er ikke en samling værktøjer, men et styret system.

Fra politikker til ansvarlighed på bestyrelsesniveau

I åbningsscenariet kan Marias CEO være fristet til at svare kunden med et ISO-certifikat og nogle få politikker. Det er ikke nok til NIS2-ansvarlighed for ledelsesorganet. Organisationen har brug for bevismateriale for, at ansvar er tildelt, beslutninger er registreret, og risici eskaleres objektivt.

Clarysec-politikker er udformet til at skabe denne sporbarhed.

For mindre organisationer fastslår Informationssikkerhedspolitik-sme Informationssikkerhedspolitik - SMV, punkt 4.1.1, at øverste ledelse:

“Bevarer det overordnede ansvar for informationssikkerhed.”

Denne sætning er vigtig. Den forhindrer et almindeligt antimønster, hvor grundlæggere, CEO’er eller ledelsesteams uformelt delegerer hele sikkerhedsansvaret til IT uden selv at bevare meningsfuldt tilsyn.

For større organisationer fastslår Politik for risikostyring Politik for risikostyring, punkt 4.1.1, at ledelsen:

“Godkender risikostyringsrammen og definerer acceptabel risikovillighed og tolerancetærskler.”

Det er bestyrelsesklart bevismateriale for NIS2 Article 20. En erklæring om risikovillighed, tolerancetærskler og en formel risikobemyndigelsesmodel viser, hvordan godkendelse og eskalering fungerer i praksis.

Samme politiks punkt 5.6 tilføjer:

“Risikobemyndigelsesmatrixen skal klart definere tærskler for eskalering til øverste ledelse eller bestyrelsen.”

Dette er et af de vigtigste artefakter for NIS2-styring. Uden eskaleringstærskler ser bestyrelsen kun det, nogen vælger at eskalere. Med tærskler flyttes høj restrisiko, uløste kritiske sårbarheder, væsentlig leverandørkoncentration, større hændelser, revisionskonstateringer og undtagelser over tolerance automatisk ind i ledelsestilsyn.

Politik for styringsroller og ansvarsområder Politik for styringsroller og ansvarsområder styrker beviskæden:

“Styring skal understøtte integration med andre discipliner (f.eks. risiko, jura, IT, HR), og ISMS-beslutninger skal kunne spores til deres kilde (f.eks. revisionsoptegnelser, evalueringslogfiler, mødereferater).”

For SMV’er fastslår Politik for styringsroller og ansvarsområder-sme Politik for styringsroller og ansvarsområder - SMV:

“Alle væsentlige sikkerhedsbeslutninger, undtagelser og eskaleringer skal registreres og være sporbare.”

Disse klausuler omsætter bestyrelsestilsyn fra en samtale til et revisionsspor.

ISO/IEC 27001:2022-beviskæden for NIS2 Article 20

En bestyrelse kan operationalisere NIS2 Article 20 gennem en klar ISO/IEC 27001:2022-beviskæde.

Først etableres kontekst og omfang. ISO/IEC 27001:2022 kræver, at organisationen fastlægger interne og eksterne forhold, interessenter, juridiske, regulatoriske og kontraktlige krav, ISMS-grænser, grænseflader, afhængigheder og interagerende processer. For en SaaS- eller cloududbyder bør ISMS-omfanget eksplicit identificere EU-tjenester, cloudmiljøer, supportaktiviteter, kritiske leverandører, regulerede kundesegmenter og NIS2-eksponering.

For det andet skal lederskab dokumenteres. ISO/IEC 27001:2022 kræver, at øverste ledelse tilpasser sikkerhedsmål til den strategiske retning, integrerer ISMS-krav i forretningsprocesser, stiller ressourcer til rådighed, kommunikerer vigtigheden, tildeler ansvar og fremmer løbende forbedring. For NIS2 bliver dette bevismateriale for, at ledelsesorganet har godkendt og ført tilsyn med foranstaltninger til styring af cybersikkerhedsrisici.

For det tredje gennemføres gentagelig risikovurdering og risikobehandling. ISO/IEC 27001:2022 kræver risikokriterier, risikoidentifikation, risikoejere, analyse af sandsynlighed og konsekvens, behandlingsmuligheder, kontroludvælgelse, sammenligning med Bilag A, en anvendelseserklæring, en risikobehandlingsplan og godkendelse af restrisiko.

Zenith Blueprint, Risk Management phase, Step 13, gør godkendelsespunktet eksplicit:

“Ledelsens godkendelse: Beslutninger om risikobehandling og SoA bør gennemgås og godkendes af øverste ledelse. Ledelsen bør briefes om væsentlige risici og foreslåede behandlinger, risici foreslået til accept samt de kontroller, der planlægges implementeret.”

For NIS2 bør denne briefing ikke være en engangsaktivitet. Bestyrelsespakken bør vise aktuelle toprisici, udvikling, fremdrift i behandling, accepteret restrisiko, forsinkede handlinger, kritisk leverandøreksponering, hændelsestemaer og centrale effektivitetsmålinger.

For det fjerde drives kontrollerne, og bevismateriale opbevares. ISO/IEC 27001:2022 punkt 8.1 kræver operationel planlægning og styring. Bilag A-kontroller understøtter leverandørsikkerhed, cloudstyring, hændelseshåndtering, forretningskontinuitet, sårbarhedsstyring, backups, logning, overvågning, sikker udvikling, applikationssikkerhed, arkitektur, test, outsourcing, funktionsadskillelse og ændringsstyring.

For det femte evalueres og forbedres systemet. Intern revision, måling, ledelsens evaluering, korrigerende handling og løbende forbedring gør et kontrolkatalog til et styret system.

Virksomhedens Informationssikkerhedspolitik Informationssikkerhedspolitik indarbejder denne forventning om ledelsens evaluering:

“Ledelsens evalueringsaktiviteter (i henhold til ISO/IEC 27001 Clause 9.3) skal gennemføres mindst årligt og skal omfatte:”

Værdien er ikke kun, at et møde finder sted. Værdien er, at evalueringen skaber bevismateriale: input, beslutninger, handlinger, ejere, frister og opfølgning.

Politik for revision og overvågning af efterlevelse-sme Politik for revision og overvågning af efterlevelse - SMV, punkt 5.4.3, lukker sløjfen:

“Revisionskonstateringer og statusopdateringer skal indgå i processen for ISMS-ledelsens evaluering.”

Det er forskellen mellem “vi har haft en revision” og “ledelsen gennemgik revisionsresultaterne og besluttede afhjælpning.”

Kortlægning på tværs af efterlevelse: NIS2, DORA, GDPR, NIST CSF 2.0 og COBIT 2019

NIS2 kommer sjældent alene. En cloududbyder kan behandle personoplysninger under GDPR. En fintech-kunde kan stille DORA-drevne leverandørkrav. En amerikansk storkunde kan bede om tilpasning til NIST CSF 2.0. Et revisionsudvalg i bestyrelsen kan tale COBIT 2019.

Svaret er ikke at bygge separate compliance-mapper. Svaret er at bruge ISO/IEC 27001:2022 som det centrale bevissystem.

Zenith Controls hjælper teams med at konsolidere ved at kortlægge ISO/IEC 27002:2022 control 5.4, ledelsesansvar, på tværs af standarder, reguleringer og revisionsmetoder.

I Zenith Controls klassificerer posten for ISO/IEC 27002:2022 control 5.4 “Ledelsesansvar” kontroltypen som “Forebyggende”, knytter den til fortrolighed, integritet og tilgængelighed og placerer den under en operationel kapabilitet med fokus på styring.

Det er vigtigt, fordi NIS2 Article 20 er forebyggende styring. Ledelsens godkendelse og tilsyn reducerer sandsynligheden for, at cyberrisiko bliver usynlig, underfinansieret eller ustyret.

Zenith Controls knytter også ledelsesansvar til relaterede ISO/IEC 27002:2022-kontroller: 5.1 Politikker for informationssikkerhed, 5.2 Roller og ansvar for informationssikkerhed, 5.35 Uafhængig gennemgang af informationssikkerhed, 5.36 Overholdelse af politikker, regler og standarder for informationssikkerhed og 5.8 Sikkerhed i projektledelse. Bestyrelsesansvar kan ikke stå alene. Det kræver politikker, roller, assurance, overvågning af efterlevelse og integration på projektniveau.

Den bredere krydskortlægning er særligt nyttig til ledelsesrapportering.

KravtemaNIS2DORAGDPRNIST CSF 2.0COBIT 2019Clarysecs fokus for bevismateriale
Ledelsens ansvarlighedArticle 20-godkendelse, tilsyn, uddannelse, ansvarArticles 5 and 6 ansvar for ledelsesorganet og rammeværk for styring af IKT-risikoArticle 5(2) ansvarlighed og Article 24 ansvarGOVERN, især GV.RR, GV.RM og GV.OVEDM03 risikooptimeringBestyrelsesreferater, rollecharters, uddannelsesregistreringer
Foranstaltninger til risikostyringArticle 21 tekniske, operationelle og organisatoriske foranstaltningerRammeværk for IKT-risikostyringArticle 32 behandlingssikkerhedGOVERN, IDENTIFY, PROTECTAPO13 managed securityRisikoregister, behandlingsplan, SoA
Rapportering af hændelserArticle 23 tidlig advarsel, hændelsesunderretning, slutrapportArticles 17 to 20 rapportering af større IKT-relaterede hændelserArticles 33 and 34 underretning om brud på persondatasikkerheden, hvor relevantRESPOND og RECOVERDSS02 managed service requests and incidentsEskaleringsmatrix, playbooks, simuleringer
LeverandørstyringArticle 21(2)(d) sikkerhed i forsyningskædenArticles 28 to 30 IKT-tredjepartsrisikoDatabehandler- og sikkerhedsforpligtelserGV.SC risikostyring for cybersikkerhed i forsyningskædenAPO10 managed vendorsLeverandørregister, due diligence, kontraktkontroller
Effektivitet og assuranceArticle 21(2)(f) politikker og procedurer til vurdering af effektivitetArticle 6 gennemgang af rammeværk for IKT-risikostyring og revisionsforventningerArticle 32(1)(d) regelmæssig test og evalueringGV.OV tilsyn, ID.RA risikovurdering, DE.CM løbende overvågningMEA01 og MEA03 overvågning og efterlevelseIntern revision, ledelsens evaluering, korrigerende handlinger

DORA fortjener særlig opmærksomhed. NIS2 Article 4 anerkender, at sektorspecifikke EU-retsakter kan fortrænge overlappende NIS2-bestemmelser, hvor tilsvarende foranstaltninger til styring af cybersikkerhedsrisici eller hændelsesunderretning finder anvendelse. DORA er det centrale eksempel for finansielle enheder. Den gælder fra 17. januar 2025 og skaber et ensartet rammeværk for IKT-risikostyring, hændelsesrapportering, robusthedstest, tredjepartsrisikostyring og tilsyn for finansielle tjenester.

En SaaS- eller cloududbyder er muligvis ikke direkte reguleret som en bank, men DORA kan stadig komme ind via kundekontrakter. Finansielle enheder skal styre IKT-tredjepartsrisici, føre registre over IKT-tjenestekontrakter, udføre due diligence, vurdere koncentrationsrisiko, medtage revisions- og inspektionsrettigheder, definere ophørsrettigheder og opretholde exitstrategier. Det betyder, at udbydere, der betjener finansielle kunder, bør forvente anmodninger om bevismateriale, der minder meget om NIS2-spørgsmål om bestyrelsesstyring.

GDPR tilføjer ansvarlighed for personoplysninger. Article 5(2) kræver, at dataansvarlige er ansvarlige for og kan dokumentere efterlevelse. Article 32 kræver behandlingssikkerhed, herunder regelmæssig test, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger. Hvor personoplysninger er berørt, skal arbejdsgange for hændelser integrere GDPR-vurdering af brud med NIS2-eskalering af væsentlige hændelser.

NIST CSF 2.0 tilføjer et ledelsesvenligt sprog gennem GOVERN-funktionen. Den lægger vægt på organisationens kontekst, risikostyringsstrategi, roller og ansvar, politik, tilsyn og risikostyring i forsyningskæden. COBIT 2019 tilføjer et styringssprog, der er velkendt for revisionsudvalg, især gennem EDM03 for risikooptimering og MEA-mål for overvågning og assurance.

Et 90-dages NIS2-sprint for bestyrelsesbevismateriale

Et praktisk bevissprint kan hjælpe organisationer med at komme hurtigt frem uden at skabe parallel bureaukrati.

Dag 1 til 30: Etabler ansvarlighed

Start med et NIS2-ansvarlighedsregister, der registrerer:

  • Analyse af enhedsklassificering, herunder begrundelse for væsentlig, vigtig, indirekte eksponering eller uden for omfang.
  • Tjenester i omfang, såsom SaaS, cloud, managed services, datacenter, DNS, tillidstjenester eller kommunikationsrelaterede tjenester.
  • EU-medlemsstater, hvor tjenester leveres.
  • Berørte kundesektorer, især finansielle tjenester, sundhed, transport, energi, offentlig forvaltning og digital infrastruktur.
  • Gældende forpligtelser, herunder NIS2 Article 20, Article 21 og Article 23.
  • Relaterede forpligtelser fra DORA, GDPR, kundekontrakter og cyberforsikring.
  • Ledelsesejer og frekvens for rapportering til bestyrelsen.

Knyt dette til ISO/IEC 27001:2022-kontekst, interessenter, register over forpligtelser og ISMS-omfang. Opdater derefter risikobemyndigelsesmatrixen ved brug af kravet i Politik for risikostyring om, at eskaleringstærskler skal defineres for øverste ledelse eller bestyrelsen.

Nyttige eskaleringstriggere omfatter restrisiko over risikovillighed, ikke-accepterede kritiske sårbarheder efter SLA, leverandørkoncentrationsrisiko, uløste væsentlige revisionskonstateringer, hændelser der kan udløse NIS2-rapportering, undtagelser fra MFA-, backup-, lognings-, krypterings- eller hændelseshåndteringskrav samt væsentlige ændringer i cloudarkitektur.

Dag 31 til 60: Godkend risikobehandling

Brug Zenith Blueprint Step 13 til at udarbejde en bestyrelsespakke til beslutning om risikobehandlingsplanen og anvendelseserklæringen. Pakken bør omfatte:

  • Top 10 cyberrisici.
  • Foreslået behandlingsmulighed for hver risiko.
  • Valgte kontrolgrupper.
  • Restrisiko efter behandling.
  • Risici foreslået til accept.
  • Påkrævede budget- eller ressourcebeslutninger.
  • Afhængigheder af leverandører, jura, HR, produkt og IT.
  • Anmodet ledelsesbeslutning.

Outputtet bør være en underskrevet eller referatført godkendelse. Et præsentationsmateriale alene er ikke nok.

Kortlæg også NIS2 Article 21-foranstaltninger til ISO/IEC 27001:2022-punkter og Bilag A-kontroller. Det gør det muligt for organisationen at vise, at NIS2 håndteres gennem ISMS frem for gennem en løsrevet tjekliste.

Dag 61 til 90: Test hændelsesrapportering og gennemgå bevismateriale

NIS2 Article 23 kræver trinvis rapportering for væsentlige hændelser: tidlig advarsel inden for 24 timer, hændelsesunderretning inden for 72 timer, mellemliggende opdateringer hvor det kræves eller anmodes om, og en slutrapport senest én måned efter underretningen.

Gennemfør en tabletop-øvelse med bestyrelsessponsor, CEO, CISO, jura, kommunikation, kundesucces og drift. Brug et realistisk scenarie, f.eks. en fejlkonfiguration i cloud, der eksponerer kundemetadata, forstyrrer tjenestetilgængeligheden og påvirker en reguleret kunde.

Test, hvem der beslutter, om hændelsen kan være væsentlig, hvem der kontakter juridisk rådgiver, hvem der underretter kompetente myndigheder eller CSIRT, hvor det kræves, hvem der godkender kundekommunikation, hvordan bevismateriale bevares, hvordan GDPR-forpligtelser ved brud vurderes parallelt, og hvordan bestyrelsen opdateres i løbet af de første 24 timer.

Afhold derefter en formel ledelsesevaluering. Zenith Blueprint, Audit, Review & Improvement phase, Step 28, forklarer hvorfor:

“Ledelsens gennemgang er ikke blot en præsentation; den handler om at træffe beslutninger.”

Denne evaluering bør omfatte revisionskonstateringer, fremdrift i risikobehandling, hændelsesberedskab, leverandørrisici, metrikker, beslutninger, tildelte handlinger og opfølgningsansvarlige.

Ledelsens evaluering, der faktisk fungerer

Mange ledelsesevalueringer fejler, fordi de er struktureret som statusopdateringer. En NIS2-klar ledelsesevaluering bør være et beslutningsmøde.

Dagsordenen bør omfatte:

  1. Ændringer i NIS2, DORA, GDPR, kontraktlige krav og kundekrav.
  2. Ændringer i forretningskontekst, tjenester, opkøb, leverandører, cloudarkitektur og regulerede kundesegmenter.
  3. Status for de væsentligste informationssikkerhedsrisici og restrisiko i forhold til risikovillighed.
  4. Fremdrift i risikobehandlingsplanen og forsinkede handlinger.
  5. Hændelsestendenser, væsentlige hændelser, nærved-hændelser og rapporteringsberedskab.
  6. Leverandør- og IKT-afhængighedsrisici, herunder koncentrations- og exitforhold.
  7. Resultater fra interne revisioner, eksterne revisioner, kundevurderinger og penetrationstest.
  8. Gennemført sikkerhedsbevidsthed og lederuddannelse.
  9. Metrikker for adgangsstyring, sårbarhedsstyring, backups, logning, overvågning, sikker udvikling og kontinuitetstest.
  10. Nødvendige beslutninger, herunder risikoaccept, budget, bemanding, politikundtagelser, leverandørafhjælpning og kontrolforbedringer.

Lederuddannelse er særlig vigtig. NIS2 Article 20 kræver, at medlemmer af ledelsesorganet gennemfører uddannelse. Politik for bevidsthed om informationssikkerhed og uddannelse Politik for bevidsthed om informationssikkerhed og uddannelse, punkt 5.1.2.4, omfatter eksplicit emner for lederuddannelse:

“Topledere (f.eks. styring, risikoaccept, retlige forpligtelser)”

Cyberuddannelse for topledere bør fokusere på beslutningsrettigheder, ansvar, eskalering, risikovillighed, krisestyring, rapportering af hændelser og regulatoriske forpligtelser. Den bør ikke begrænses til phishing awareness.

Hvordan revisorer og kunder vil teste bestyrelsestilsyn

Forskellige vurderingsparter bruger forskelligt sprog, men de tester det samme underliggende spørgsmål: Er cybersikkerhed underlagt styring?

Zenith Controls er værdifuld, fordi den omfatter kortlægning til revisionsmetodikker. For ledelsesansvar refererer den til ISO/IEC 19011:2018 revisionsprincipper og gennemførelse, ISO/IEC 27007:2020 ISMS-revisionspraksis, ISO/IEC 27001:2022 punkt 5.1, COBIT 2019 EDM01 og EDM03, ISACA ITAF Section 1401 samt NIST SP 800-53A PM-1 og PM-2. For uafhængig gennemgang kortlægger den til ISO/IEC 27001:2022 punkt 9.2 and 9.3, ISO/IEC 27007 revisionsplanlægning og praksis for bevismateriale, ISACA ITAF Section 2400 og NIST-vurderingsmetoder. For overholdelse af politikker kortlægger den til ISO/IEC 27001:2022 punkt 9.1, 9.2 and 10.1, ISO/IEC 19011 indsamling af bevismateriale, COBIT 2019 MEA01 og NIST-vurdering af løbende overvågning.

RevisorperspektivHvad de vil spørge omForventet bevismaterialeAlmindelig fejl
ISO/IEC 27001:2022-revisorHvordan demonstrerer øverste ledelse lederskab, godkender risikobehandling og gennemgår ISMS-præstation?Politikgodkendelser, risikoregister, SoA-godkendelse, referater fra ledelsens evaluering, output fra intern revisionLedelsens evaluering findes, men uden beslutninger eller handlingssporing
NIS2-fokuseret vurderingspartHar ledelsesorganet godkendt cybersikkerhedsforanstaltninger og ført tilsyn med implementeringen?Bestyrelsesreferater, eskaleringsmatrix, registreringer af lederuddannelse, Article 21-baselinekortlægningSikkerhedsforanstaltninger er kun godkendt af CISO’en uden sporbarhed til bestyrelsen
NIST CSF 2.0-vurderingspartEr governance-resultater, risikovillighed, roller, ressourcer, tilsyn og forsyningskæderisiko integreret i enterprise risk management?Aktuelle og målprofiler, gap-plan, ledelsesrapportering, metrikkerNIST bruges som tjekliste uden styringsejerskab
COBIT 2019- eller ISACA-revisorEvaluerer, styrer og overvåger governance cyberrisikostyring?Governancecharters, risikovillighed, ledelsesrapportering, assurance-resultaterBestyrelsen modtager tekniske metrikker uden kontekst for risikobeslutninger
DORA-kunde eller vurderingspart fra den finansielle sektorEr IKT-risici, hændelser, robusthed og tredjepartsafhængigheder styret og dokumenteret?Kort over IKT-afhængigheder, leverandørregister, due diligence, revisionsrettigheder, hændelseslivscyklusLeverandørrisiko er kun spørgeskemabaseret uden analyse af koncentration eller exit
GDPR-revisor eller privacy-vurderingspartKan organisationen dokumentere sikkerhed og ansvarlighed for behandling af personoplysninger?Datakort, model for behandlingsgrundlag, proces for vurdering af brud, sikkerhedskontrollerBevismateriale for privatliv og sikkerhed er adskilt og inkonsistent

Læren er enkel. Bestyrelsesansvar dokumenteres ikke ved fremmøde alene. Det dokumenteres gennem informerede beslutninger, dokumenterede godkendelser, risikobaseret prioritering, ressourceallokering og opfølgning.

Almindelige faldgruber, der bryder beviskæden

De organisationer, der kæmper med NIS2-ansvarlighed for ledelsesorganet, falder typisk i forudsigelige mønstre.

For det første forveksler de teknisk drift af kontroller med styring. MFA-dækning, SIEM-alarmer, EDR-udrulning og succesrater for backup betyder noget, men bestyrelsen har brug for risikokontekst, behandlingsbeslutninger og assurance for, at kontrollerne virker.

For det andet godkender de politikker, men ikke risikobehandling. En underskrevet sikkerhedspolitik dokumenterer ikke, at bestyrelsen har godkendt proportionale cybersikkerhedsforanstaltninger. Risikobehandlingsplanen og SoA er stærkere bevismateriale, fordi de forbinder risici, kontroller, restrisiko og ledelsesgodkendelse.

For det tredje mangler de eskaleringstærskler. Uden en risikobemyndigelsesmatrix afhænger eskalering af personer. NIS2-styring kræver objektive triggere.

For det fjerde adskiller de hændelseshåndtering fra regulatorisk rapportering. Rapporteringsarbejdsgange for NIS2, DORA og GDPR skal integreres før en krise.

For det femte ignorerer de leverandørstyring. NIS2 Article 21 omfatter sikkerhed i forsyningskæden og hensyn til leverandørsårbarheder. DORA-drevne kunder kan forvente dybere IKT-tredjepartsstyring, herunder due diligence, revisionsrettigheder, koncentrationsrisiko, ophørsrettigheder og exitstrategier.

For det sjette uddanner de ikke topledere. Cyberuddannelse for topledere er ikke frivillig vinduespynt under NIS2. Det er en del af governancebeviskæden.

Sådan ser et godt resultat ud

Efter 90 dage bør en troværdig NIS2-mappe med bestyrelsesbevismateriale indeholde:

  • Anvendelighedsvurdering.
  • ISMS-omfang og register over forpligtelser.
  • Erklæring om ledelsesforpligtelse.
  • Risikovillighed og tolerancetærskler.
  • Risikobemyndigelsesmatrix.
  • Cyberrisikoregister.
  • Risikobehandlingsplan.
  • Anvendelseserklæring.
  • Bestyrelsesreferater med godkendelser.
  • Registreringer af lederuddannelse.
  • Rapport fra tabletop-øvelse om hændelser.
  • Dashboard for leverandørrisici.
  • Intern revisionsrapport.
  • Referater fra ledelsens evaluering og handlingssporing.

Denne mappe besvarer det kundespørgeskema, Maria modtog mandag morgen. Endnu vigtigere hjælper den bestyrelsen med at styre cyberrisiko, før en hændelse, revision eller tilsynsmyndighed tester organisationen offentligt.

Gør NIS2-bestyrelsesansvar til revisionsklart styringsgrundlag

NIS2 har ændret samtalen om cybersikkerhed. Ledelsesorganer skal godkende foranstaltninger til styring af cybersikkerhedsrisici, føre tilsyn med implementeringen og gennemføre uddannelse. Article 21 kræver et integreret sæt tekniske, operationelle og organisatoriske foranstaltninger. Article 23 komprimerer rapportering af hændelser til en trinvis tidslinje, der kræver forberedelse før krisen.

ISO/IEC 27001:2022 giver jer ledelsessystemet. Clarysec giver jer implementeringsvejen, politiksproget, kortlægninger på tværs af efterlevelse og modellen for revisionsbevismateriale.

Hvis jeres bestyrelse spørger: “Hvad skal vi godkende, og hvordan dokumenterer vi tilsyn?”, så start med tre handlinger:

  1. Brug Zenith Blueprint Step 3, Step 13 og Step 28 til at strukturere ledelsesforpligtelse, godkendelse af risikobehandling og ledelsens evaluering.
  2. Brug Clarysec-politikker som Politik for risikostyring, Politik for styringsroller og ansvarsområder, Informationssikkerhedspolitik og SMV-ækvivalenter til at formalisere ansvarlighed og sporbarhed.
  3. Brug Zenith Controls til at kortlægge NIS2-bestyrelsestilsyn til ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 og revisionsmetodiske forventninger.

Clarysec kan hjælpe jer med at opbygge bestyrelsespakken, opdatere ISMS-beviskæden, forberede ledelsens evaluering og omsætte NIS2-ansvarlighed til en gentagelig styringsproces for cyberrisici, som revisorer, kunder og topledere kan forstå. Download de relevante Clarysec-værktøjssæt, eller anmod om en vurdering for at omsætte bestyrelsesansvar til revisionsklart bevismateriale.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

DORA TLPT-bevismateriale med ISO 27001-kontroller

DORA TLPT-bevismateriale med ISO 27001-kontroller

En praktisk vejledning til finansielle enheder, der skal forbinde DORA TLPT, robusthedstest, ISO 27001-kontroller, leverandørdokumentation, genopretningsbevis og bestyrelsesrapportering i én revisionsklar beviskæde.