Kvantitativ cyberrisikovurdering for NIS2 og DORA
Bestyrelsesmødet, hvor “høj risiko” ikke længere var nok
Klokken er 08:15 en tirsdag. CISO’en i en hurtigt voksende fintech-virksomhed står uden for bestyrelseslokalet med tre versioner af den samme fortælling om cyberrisiko.
Den første version er velkendt: ransomware er “Høj”, cloudnedbrud er “Høj”, kompromittering af leverandør er “Mellem”, og misbrug af privilegeret adgang er “Høj”. Den er forsvarlig, afstemt med det aktuelle risikoregister og næsten ubrugelig for den beslutning, bestyrelsen skal træffe.
Den anden version er en teknisk køreplan: implementér immutable backups, styrk identitetskontrollerne, finansier robusthedstest, styrk leverandørovervågningen og udvid logdækningen. Det er fornuftigt, men CFO’en stiller spørgsmålet, der ændrer mødet: “Hvilket af disse tiltag reducerer mest forretningsrisiko pr. euro?”
Den tredje version ændrer samtalen.
Et 12-timers nedbrud på betalingsorkestreringsplatformen estimeres til €620.000 i samlet driftsmæssig, kontraktlig og omsætningsmæssig påvirkning. Den aktuelle årlige eksponering estimeres til €186.000. En robusthedspakke til €74.000 kan reducere det forventede årlige tab til cirka €62.000. Den resterende eksponering ligger stadig over toleranceniveauet, fordi tjenesten understøtter en kritisk eller vigtig funktion, eksponeringen ved kundeunderretning fortsat er væsentlig, og tredjepartsafhængigheden er høj.
Nu diskuterer bestyrelsen ikke farver. Den diskuterer finansiel eksponering, risikotolerance, regulatorisk ansvarlighed og investeringsprioriteter.
Det er kvantitativ cyberrisikovurdering i 2026. Det er ikke matematisk teater. Det er ikke en påstand om, at cyberhændelser kan forudsiges med perfekt præcision. Det er den disciplinerede oversættelse af “dette er rødt” til “dette er den plausible finansielle eksponering, dette er konfidensniveauet, dette er den regulatoriske konsekvens, dette er behandlingsbeslutningen, og dette er revisionssporet.”
For CISO’er, complianceansvarlige, revisorer og virksomhedsejere er dette skifte i praksis ved at blive obligatorisk. ISO/IEC 27001:2022 kræver en dokumenteret, konsistent og sammenlignelig proces for risikovurdering og risikobehandling. NIS2 flytter cybersikkerhedsrisiko ind i ledelsesorganets godkendelse, tilsyn, træning og ansvar. DORA gør styring af IKT-risiko, robusthedstest, klassificering af hændelser, tredjepartsrisiko og ledelsesmæssig ansvarlighed centrale for finansielle enheder. NIST CSF 2.0 giver ledelsen et styringssprog for risikovillighed, prioritering og tilsyn. GDPR tilføjer ansvarlighed, når personoplysninger er involveret.
Problemet er ikke, at organisationer mangler risikoregistre. Problemet er, at mange risikoregistre ikke kan forklare penge, prioriteter, bestyrelsesansvar eller revisionsbevis.
Clarysecs tilgang lukker dette hul ved at kombinere Zenith Blueprint: En revisors 30-trins køreplan Zenith Blueprint, Clarysec-politikker og Zenith Controls: Vejledningen til tværgående compliance Zenith Controls i én praktisk model for bevismateriale: kvantificér det væsentlige, kortlæg det til kontroller, vis hvem der har accepteret det, og dokumentér, at behandlingen virkede.
Hvorfor kvalitative risikoregistre ikke længere er nok
Kvalitativ risikovurdering er fortsat vigtig. En klar matrix for sandsynlighed og konsekvens hjælper teams med at prioritere, når datagrundlaget er ufuldstændigt, især på tværs af et bredt ISMS-omfang. Problemet opstår, når organisationen stopper dér.
En bestyrelse kan forstå, at en risiko er “Høj”, men den kan ikke uden videre sammenligne tre “Høj”-risici, der konkurrerer om det samme budget. Er den højeste prioritet ransomware-scenariet, cloudnedbruddet, leverandørens koncentrationsrisiko eller svagheden i privilegeret adgang? Svaret afhænger af finansiel eksponering, regulatorisk alvor, kundepåvirkning, kontraktlige forpligtelser, tjenestens kritikalitet og restrisiko efter behandling.
Derfor fungerer kvantitativ cyberrisikovurdering bedst som en hybridmodel. Kvantificér ikke enhver mindre problemstilling. Brug kvalitativ scoring på tværs af hele registret, og tilføj derefter finansiel analyse for de risici, der kræver ledelsesbeslutninger, investeringsgodkendelse, kontraktlige tiltag, risikooverførsel eller bestyrelsestilsyn.
Clarysecs Enterprise Politik for risikostyring Politik for risikostyring understøtter dette eksplicit. I afsnittet “Krav til implementering af politikken”, klausul 6.2.3, står der:
“Både kvalitative og kvantitative metoder kan anvendes afhængigt af risikokategorien og tilgængeligheden af oplysninger.”
Denne klausul er vigtig, fordi den forebygger en almindelig fejl: falsk præcision. Modne organisationer tvinger ikke finansiel modellering ned over enhver lille risiko. De anvender den dér, hvor beslutningen kræver det.
For SMV’er kan fundamentet forblive enkelt. Clarysecs SME Politik for risikostyring Politik for risikostyring - SMV, afsnittet “Styringskrav”, klausul 5.1.2, fastslår:
“Hver risikoindførsel skal omfatte: beskrivelse, sandsynlighed, konsekvens, score, ejer og behandlingsplan.”
Forbedringen består ikke i at erstatte denne struktur. Forbedringen består i at berige de vigtigste indførsler med finansielle estimater, især hvor nedetid, regulerede tjenester, personoplysninger, cloudafhængighed, IKT-outsourcing eller kritiske kundetilsagn er involveret.
Styringsskiftet: Cyberrisiko er nu et bestyrelsesartefakt
Kvantificering af cyberrisiko er ikke kun en finansøvelse. Det er styringsbevismateriale.
Efter ISO/IEC 27001:2022 skal organisationen fastlægge kontekst, interessenter, juridiske og kontraktlige krav, omfang, grænseflader og afhængigheder. Den skal definere en proces for informationssikkerhedsrisikovurdering, der giver konsistente, gyldige og sammenlignelige resultater. Den skal identificere risici for fortrolighed, integritet og tilgængelighed, identificere risikoejere, vurdere konsekvenser og sandsynlighed, fastlægge risikoniveauer og prioritere risici. Den skal derefter vælge behandlingsmuligheder, fastlægge kontroller, sammenholde dem med Annex A, udarbejde en Statement of Applicability, indhente risikoejerens godkendelse og opbevare dokumenteret information.
Det betyder, at risikoregistret ikke er et privat regneark for sikkerhedsteamet. Det er en ISMS-registrering, der forbinder ledelse, kontroludvælgelse, behandlingsansvar og ledelsens gennemgang.
NIS2 hæver forventningen yderligere. Ledelsesorganer i væsentlige og vigtige enheder skal godkende risikostyringsforanstaltninger for cybersikkerhed, føre tilsyn med implementeringen og modtage træning, så de kan forstå risici og vurdere cybersikkerhedspraksis. NIS2 Article 21 kræver passende og proportionale tekniske, driftsmæssige og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger, risikoeksponering, enhedens størrelse, sandsynlighed, alvorlighed samt samfundsmæssig og økonomisk påvirkning.
Netop formuleringen “samfundsmæssig og økonomisk påvirkning” er dér, hvor finansiel kvantificering af cyberrisiko bliver stærk. En udbyder, der understøtter cloud, datacentre, DNS, tillidstjenester, managed services, managed security services, digital infrastruktur, online markedspladser eller andre omfattede sektorer, kan få behov for at vise ikke blot, at kontroller findes, men hvorfor de er proportionale med eksponeringen.
For finansielle enheder finder DORA anvendelse fra 17. januar 2025 og bliver det sektorspecifikke regime for digital operationel robusthed. Det omfatter styring af IKT-risiko, rapportering af væsentlige IKT-relaterede hændelser, test af digital operationel robusthed, deling af cybertrusselsinformation, IKT-tredjepartsrisiko og tilsyn med kritiske IKT-tredjepartsudbydere. For finansielle enheder, der også identificeres efter national gennemførelse af NIS2, fungerer DORA som den sektorspecifikke EU-retsakt for relevante forhold vedrørende styring af IKT-risiko og hændelsesrapportering.
I praksis har en fintech-virksomhed ikke brug for fem afkoblede risikorammeværker. Den har brug for én integreret risikomodel, der viser, hvilket regime der gælder, hvilke afhængigheder der findes, hvilken finansiel eksponering der er plausibel, og hvordan ledelsen har godkendt og overvåget behandlingen.
GDPR tilføjer endnu et lag. Hvis personoplysninger er involveret, kan en cyberhændelse blive et brud på persondatasikkerheden og ikke blot en driftsmæssig hændelse. Risikomodellen bør identificere behandlingskontekst, rolle som dataansvarlig eller databehandler, datakategorier, særlige kategorier af oplysninger hvor relevant, sikkerhedsforanstaltninger, logik for vurdering af brud og implikationer for underretning.
Fra heatmap til euro: Den praktiske hybridmodel
Det rigtige spørgsmål er ikke: “Skal vi erstatte kvalitativ risikovurdering?” Det rigtige spørgsmål er: “Hvilke risici fortjener finansiel kvantificering?”
Zenith Blueprint, risikostyringsfasen, trin 12, “Metoder til risikovurdering: Kvalitativ og kvantitativ”, giver et pragmatisk svar:
“Kvantitativ risikovurdering forsøger at estimere risiko i numeriske termer (f.eks. forventet årligt tab i valuta). Dette omfatter ofte:
✓ Indsamling af historiske hændelsesdata (f.eks. hvor ofte et brud forekommer, og hvad gennemsnitsomkostningen er). ✓ Brug af modeller som Annualized Loss Expectancy (ALE = Single Loss Impact × Annual Rate of Occurrence) eller frameworks som FAIR (Factor Analysis of Information Risk) til mere kompleks analyse.”
Det samme trin advarer om, at ren kvantitativ analyse kan være vanskelig for SMV’er, fordi historiske data kan være begrænsede, og processen kan være ressourcekrævende. Det praktiske svar er en let kvantitativ analyse for de væsentligste risici.
| Element | Praktisk betydning | Eksempel |
|---|---|---|
| Single Loss Impact | Estimeret konsekvens, hvis scenariet indtræffer én gang | €620.000 for et 12-timers nedbrud på betalingsplatformen |
| Annual Rate of Occurrence | Estimeret hyppighed pr. år | 0,3, svarende til cirka én gang hvert 3,3. år |
| Annualized Loss Expectancy | Single Loss Impact multipliceret med Annual Rate of Occurrence | €186.000 i forventet årlig eksponering |
| Treatment Cost | Omkostning ved kontrolpakke | €74.000 til reserveordning, overvågning og test |
| Residual Annualized Loss | Estimeret årlig eksponering efter behandling | €62.000 |
| Decision | Behandle, overføre, undgå eller acceptere | Behandl og gennemgå restrisiko ved ledelsens gennemgang |
Tallene behøver ikke være perfekte. De skal være forklaret. Antagelser om konsekvens kan omfatte omsætningstab, SLA-kreditter, kundekompensation, hændelseshåndtering, juridisk rådgivning, forensisk bistand, overarbejde, kundesupport, indsats til regulatorisk underretning, kundeafgang og omdømmemæssig påvirkning. Antagelser om hyppighed kan komme fra interne hændelser, leverandørrapporter om nedbrud, trusselsintelligens, sektorerfaring, sårbarhedseksponering, revisionskonstateringer og kontrolmodenhed.
Zenith Blueprint, risikostyringsfasen, trin 10, “Etablering af risikokriterier og konsekvensmatrix”, forklarer, hvorfor modellen skal kalibreres:
“Når konsekvens defineres, er det klogt at relatere niveauerne til jeres specifikke forretningsmæssige skala. For eksempel: ‘Stor finansiel påvirkning = tab > $100k’ (tilpas til jeres kontekst). Overvej også regulatorisk påvirkning: for eksempel kan et brud på persondatasikkerheden automatisk være ‘Stor’ eller ‘Alvorlig’ på grund af GDPR-bøder og underretningskrav, selv hvis det direkte finansielle tab er uklart.”
Det er broen mellem kvalitativ og kvantitativ risiko. “Stor” bliver først meningsfuld, når organisationen definerer, hvad stor betyder i finansielle, driftsmæssige, juridiske og kundemæssige termer.
Gennemarbejdet eksempel: Kvantificering af risiko for cloudnedbrud hos leverandør
Forestil dig en SaaS-udbyder, der betjener kunder i den finansielle sektor. Den afhænger af en cloududbyder, en administreret databaseplatform, en betalingsgateway og en tjeneste til kundeunderretning. Teamet vælger ét scenarie til kvantitativ analyse:
“Længerevarende nedbrud på administreret databaseplatform medfører driftsafbrydelse i kundevendt tjeneste og forsinket transaktionsbehandling.”
Trin 1: Definér risikoscenarie og ejer
SMV Politik for risikostyring kræver beskrivelse, sandsynlighed, konsekvens, score, ejer og behandlingsplan. Enterprise Politik for risikostyring, afsnittet “Styringskrav”, klausul 5.2.2, tilføjer, at registret:
“Omfatter risikoejere, konsekvens- og sandsynlighedsscorer, behandlingsplaner, frister og kontrolreferencer”
Ejeren er ikke “IT”. Den ansvarlige ejer er serviceejeren, understøttet af CISO, CTO, complianceansvarlig, leverandøransvarlig og finansfunktionen.
Trin 2: Estimér finansiel eksponering
Teamet estimerer:
- €35.000 pr. time i tabt transaktionsomsætning og SLA-kreditter
- €8.000 pr. time i support-, eskalerings- og hændelseshåndteringsomkostninger
- €60.000 i omkostninger til afhjælpning over for kunder og kommunikation
- €120.000 i potentiel kundeafgang eller kommerciel påvirkning
- 10 timer som et plausibelt alvorligt nedbrud baseret på leverandørhistorik og arkitekturgennemgang
Single Loss Impact er:
10 × (€35.000 + €8.000) + €60.000 + €120.000 = €610.000
Aktuel sandsynlighed estimeres til 0,25 pr. år. Annualized Loss Expectancy er:
€610.000 × 0,25 = €152.500
Den foreslåede behandlingspakke omfatter multi-region-reservearkitektur, testet gendannelse fra backup, gennemgang af leverandør-SLA, syntetisk overvågning, en tabletop-øvelse og opdatering af exit-plan. Omkostningen i første år er €82.000 med €34.000 i tilbagevendende omkostninger.
Efter behandling estimeres restrisikoens sandsynlighed til 0,10 pr. år og den resterende enkeltstående tabspåvirkning til €350.000 på grund af hurtigere gendannelse. Residual ALE er:
€350.000 × 0,10 = €35.000
Reduktionen i forventet årlig eksponering i første år er cirka €117.500, før regulatorisk robusthed, kundetillid og kontraktlige fordele medregnes.
Trin 3: Vælg behandling og dokumentér begrundelsen
Risikobehandling er ikke altid ren afbødning. Clarysecs SMV Politik for risikostyring, afsnittet “Krav til implementering af politikken”, klausul 6.1.3, fastslår:
“Overførsel: Brug kontrakter, serviceniveauaftaler eller forsikring til at overføre risiko eksternt.”
For dette scenarie vælger organisationen en blandet behandling: reducere risikoen gennem teknisk robusthed, overføre en del gennem SLA og kontraktlige retsmidler og acceptere restrisiko med ledelsesgodkendelse.
Trin 4: Kortlæg behandling til Statement of Applicability
Enterprise Politik for risikostyring, afsnittet “Tilpasning til Statement of Applicability (SoA)”, klausul 6.5.1, fastslår:
“Kontrolbeslutninger, der følger af risikobehandlingsprocessen, skal afspejles i SoA.”
Det er her, den finansielle model bliver revisionsklar. Leverandørnedbrudsscenariet knyttes til ISO/IEC 27001:2022 Annex A-kontroller for leverandører, cloud, kontinuitet, hændelser og driftsafbrydelser. Det knyttes også til NIS2-sikkerhed i forsyningskæden og forretningskontinuitet, DORA IKT-tredjepartsrisiko og robusthedstest, GDPR-sikkerhed og vurdering af brud, hvis personoplysninger påvirkes, samt NIST CSF-resultater for styring, forsyningskæde, respons og genopretning.
Zenith Blueprint, risikostyringsfasen, trin 13, “Planlægning af risikobehandling og Statement of Applicability”, forklarer sporbarheden:
“SoA er i praksis et brodokument: det forbinder jeres risikovurdering/-behandling med de faktiske kontroller, I har. Når det udfyldes, kontrollerer I samtidig, om I har overset nogen kontroller.”
En stærk SoA-begrundelse kan lyde: “Relevant, fordi nedbrud på administreret database påvirker kritisk kundeservice, IKT-tredjepartsafhængighed, kontraktlige forpligtelser over for kunder, kontinuitetstilsagn og potentiel tilgængelighed af personoplysninger. Kontroller er valgt for at reducere en kvantificeret årlig eksponering på €152.500 og understøtte ledelsesgodkendt restrisiko.”
Trin 5: Eskalér baseret på tærskler
Enterprise Politik for risikostyring, afsnittet “Styringskrav”, klausul 5.6, kræver:
“Risikobemyndigelsesmatrixen skal klart definere tærskler for eskalering til øverste ledelse eller bestyrelsen.”
En årlig eksponering på €152.500 kan overstige den lokale ledelses toleranceniveau. En risiko med lavere værdi kan stadig kræve eskalering, hvis den påvirker en kritisk eller vigtig funktion, udløser DORA-forventninger, involverer personoplysninger, truer kundetilsagn eller skaber ansvarlighed for ledelsesorganet efter NIS2.
Kortlægning på tværs af compliance: Én kvantificeret risiko, mange forpligtelser
En kvantificeret cyberrisiko bør ikke kopieres ind i fem separate compliance-regneark. Den bør blive ét risikoobjekt med flere compliance-visninger.
| Compliance-vinkel | Hvad den kvantificerede risiko skal vise | Bevisartefakt |
|---|---|---|
| ISO/IEC 27001:2022 | Risikokriterier, ejer, sandsynlighed, konsekvens, behandling, accept af restrisiko, SoA-kortlægning og driftsbevismateriale | Risikoregister, behandlingsplan, SoA, ledelsens gennemgang, revisionsoptegnelser |
| NIS2 | Passende og proportionale foranstaltninger, ledelsesorganets godkendelse og tilsyn, hændelses- og kontinuitetshensyn, foranstaltninger i forsyningskæden | Bestyrelsesmateriale, træningsregistreringer, godkendelser af risikobehandling, hændelsesworkflow |
| DORA | Styring af IKT-risiko, kritiske eller vigtige funktioner, IKT-tredjepartsafhængigheder, test, klassificering af hændelser og robusthedsstrategi | IKT-risikostyringsramme, informationsregister, testresultater, hændelsesklassificering, exit-plan |
| GDPR | Omfang af personoplysninger, sikkerhedsforanstaltninger, implikationer ved brud, ansvarlighed som dataansvarlig eller databehandler, kontekst for lovlig behandling | RoPA-sammenhæng, DPIA hvor relevant, vurdering af brud, sikkerhedsbevismateriale |
| NIST CSF 2.0 | Risikovillighed, standardiseret prioritering, styring, leverandørrisiko, detektion, respons- og genopretningsresultater | Current og Target Profiles, handlingsplan, POA&M, registreringer for leverandørrisiko |
| COBIT 2019 | Styringsmål, overvågning af performance, risikooptimering, ressourcebeslutninger og sikkerhedserklæringer | Styringsrapportering, metrikker for kontroludførelse, erklæringsrapporter |
NIS2 Article 21 er særligt relevant, fordi den omfatter risikoanalyse, sikkerhedspolitikker, hændelseshåndtering, forretningskontinuitet, backup, genopretning efter alvorlige hændelser, krisestyring, sikkerhed i forsyningskæden, sikker udvikling, håndtering af sårbarheder, effektivitetsvurdering, cyberhygiejne, træning, kryptografi, HR-sikkerhed, adgangsstyring, styring af aktiver og autentifikation.
DORA skaber tilsvarende disciplin for finansielle enheder, men med sektorspecifikt fokus. DORA kræver en intern styrings- og kontrolramme for IKT-risiko, hvor ledelsesorganet har det endelige ansvar. Der forventes godkendelse og tilsyn med IKT-politikker, roller, strategi for digital operationel robusthed, IKT-risikotolerance, kontinuitets- og responsplaner, revisionsplaner, budgetter, træning, IKT-tredjepartspolitikker og rapporteringskanaler.
DORA giver også kvantitativ risikovurdering en direkte operationel trigger: klassificering af hændelser. Væsentlige IKT-relaterede hændelser skal klassificeres efter kriterier som berørte kunder, modparter og transaktioner, varighed, nedetid, geografisk udbredelse, datatab, der påvirker tilgængelighed, autenticitet, integritet eller fortrolighed, kritikaliteten af berørte tjenester og økonomisk påvirkning. Hvis risikomodellen allerede estimerer nedetid, kundepåvirkning, datapåvirkning og økonomisk tab, understøtter den hændelsesklassificering, når en reel hændelse opstår.
Kontrolkortlægningen, der gør bestyrelsesansvar revisionsklart
I Zenith Controls kortlægger Clarysec ISO/IEC 27002:2022 kontrol 5.4, “Ledelsesansvar”, som et styringsanker for ansvarlighed inden for informationssikkerhed. Vejledningen behandler den som forebyggende, understøttende for fortrolighed, integritet og tilgængelighed, afstemt med cybersikkerhedskonceptet “Identify”, med styring som operationel kapabilitet og styring plus økosystem som sikkerhedsdomæner.
Det er væsentligt, fordi finansiel cybereksponering hører hjemme i ledelsens beslutningstagning. Zenith Controls knytter ISO/IEC 27002:2022 kontrol 5.4 til flere understøttende kontroller:
| ISO/IEC 27002:2022-kontrolrelation | Hvorfor det er vigtigt for kvantificeret risiko |
|---|---|
| 5.2 Roller og ansvar for informationssikkerhed | Risikoejere, kontrolansvarlige og eskaleringsbeføjelser skal være defineret |
| 5.1 Politikker for informationssikkerhed | Kvantificerede risikobeslutninger skal være afstemt med godkendte politikforpligtelser |
| 5.35 Uafhængig gennemgang af informationssikkerhed | Uafhængig gennemgang giver ledelsen objektivt bevismateriale om risikobehandling |
| 5.36 Overholdelse af politikker, regler og standarder for informationssikkerhed | Complianceovervågning viser, om behandlinger fungerer efter hensigten |
| 5.8 Informationssikkerhed i projektledelse | Nye produkter og ændringer skal tidligt inkludere cyberrisiko og finansiel eksponering |
Zenith Controls kortlægger også ledelsesansvar til ISO/IEC 27001:2022 klausuler 5.1, 5.2 og 9.3, hvilket forbinder lederskab, politik og ledelsens gennemgang. Derudover kortlægges til ISO/IEC 27014:2020 klausuler 6 og 7, som fokuserer på styringsrammer og processer for evaluering, styring, overvågning og kommunikation af informationssikkerhed.
Beviskæden er enkel:
- Ledelsen fastlægger risikovillighed, toleranceniveauer og eskaleringstærskler.
- Risikoejere kvantificerer de væsentligste cyberrisici.
- Kontroller vælges og afspejles i SoA.
- Behandlingstiltag udføres og overvåges.
- Uafhængig gennemgang og complianceovervågning tester effektiviteten.
- Ledelsens gennemgang vurderer performance, hændelser, revisionsresultater, ressourcer og forbedringstiltag.
- Bestyrelsen modtager finansiel eksponering, restrisiko og bevismateriale for ansvarlighed i forretningsmæssige termer.
Clarysecs SME Politik for risikostyring, afsnittet “Roller og ansvar”, klausul 4.1.1, understreger denne styringsrolle:
“Fastlægger organisationens risikovillighed og godkender ramme for risikostyring.”
For en SMV kan dette være direktøren eller ejeren. For en reguleret finansiel enhed kan det være ledelsesorganet. Ansvarlighedsprincippet er det samme.
Hvordan revisorer og tilsynsmyndigheder vil teste jeres tal
Kvantitativ cyberrisikovurdering vil ikke blive revideret som perfekt aktuarvidenskab. Den vil blive revideret for metode, konsistens, sporbarhed, styring og bevismateriale.
| Revisor- eller vurderingsvinkel | Hvad de vil teste | Hvilket bevismateriale de forventer |
|---|---|---|
| ISO/IEC 27001:2022 | Klausul 6.1.2 risikovurdering, klausul 6.1.3 risikobehandling, SoA-beslutninger, risikoejergodkendelse og klausul 9.3 ledelsens gennemgang | Risikokriterier, register, behandlingsplan, SoA, godkendelser, referater fra ledelsens gennemgang |
| NIS2-kompetent myndighed | Ledelsesorganets godkendelse og tilsyn, Article 21-foranstaltninger, proportionalitet, hændelsesberedskab og træning | Bestyrelsespakker, træningsregistreringer, risikogodkendelser, hændelsesprocedurer, kontinuitetsbevismateriale |
| DORA-tilsynsmyndighed eller intern revisor | IKT-risikostyringsramme, IKT-risikotolerance, kritiske eller vigtige funktioner, test, hændelsesklassificering og IKT-tredjepartsrisiko | IKT-risikoregister, robusthedsstrategi, informationsregister, testresultater, exit-planer |
| NIST CSF 2.0-vurderingspart | GOVERN-resultater, herunder GV.RM-02 risikovillighed og tolerance samt GV.RM-06 standardiseret prioritering | Current Profile, Target Profile, handlingsplan, kobling til virksomhedens risikostyring |
| COBIT 2019-vurderingspart | Styring af enterprise IT, risikooptimering, beslutningsrettigheder, ressourceallokering og sikkerhedserklæring | Styringsrapportering, performance-metrikker, erklæringsrapporter |
Clarysec Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme - SMV, afsnittet “Styringskrav”, klausul 5.4.3, gør revisionssløjfen eksplicit:
“Revisionskonstateringer og statusopdateringer skal indgå i processen for ISMS-ledelsens gennemgang.”
Det er kritisk. Hvis risikomodellen estimerer €500.000 i eksponering, men intern revision konstaterer, at gendannelsestesten mislykkedes, skal restrisikoen ændres. Hvis leverandørens exit-plan ikke er testet, bør organisationen ikke acceptere restrisiko, som om kontrollen var moden. Hvis DORA-test identificerer et kritisk hul, skal konstateringen føde ind i behandling, budget og ledelsens gennemgang.
Zenith Blueprint, fasen for revision, gennemgang og forbedring, trin 28, “Ledelsens gennemgang”, understøtter dette ved at anbefale input til ledelsens gennemgang, f.eks. ændringer i interne og eksterne forhold, regulatoriske krav, revisionsresultater, overvågning og måling, mål, hændelser, afvigelser, forbedringsmuligheder og ressourcebehov. I et program for kvantificeret cyberrisiko bør materialet til ledelsens gennemgang omfatte de største finansielle eksponeringer, udvikling siden seneste gennemgang, behandlingsfremdrift, forfaldne handlinger, restrisiko over toleranceniveau og påkrævede beslutninger.
Opbygning af en bestyrelsesklar cyberrisikopakke
En bestyrelsesklar cyberrisikopakke bør ikke drukne bestyrelsesmedlemmer i sårbarhedsantal, FAIR-variable eller kontrol-ID’er. Den skal omsætte cyberrisiko til beslutninger.
For hver væsentlig kvantificeret risiko skal følgende medtages:
- Scenarienavn og berørt forretningstjeneste
- Tjenestens eller funktionens kritikalitet
- Markeringer for personoplysninger, reguleret tjeneste og leverandørafhængighed
- Aktuelt estimat for Single Loss Impact
- Aktuelt estimat for Annual Rate of Occurrence
- Aktuel Annualized Loss Expectancy
- Antagelser og konfidensniveau
- Aktuelle kontroller og kendte huller
- Behandlingsmuligheder og omkostning
- Forventet resteksponering efter behandling
- Relevans for ISO/IEC 27001:2022, NIS2, DORA og GDPR
- Risikoejer og påkrævet beslutning
- SoA- og politikreferencer
- Frist og dato for gennemgang
En forenklet bestyrelsesvisning kan se således ud:
| Risikoscenarie | Aktuel ALE | Behandlingsomkostning | Residual ALE | Regulatorisk driver | Beslutning |
|---|---|---|---|---|---|
| Nedbrud på administreret database, der påvirker transaktionsbehandling | €152.500 | €82.000 | €35.000 | DORA IKT-risiko, ISO-risikobehandling, leverandørkontinuitet | Godkend behandling |
| Ransomware, der påvirker kundedataplatform | €372.000 | €100.000 | €95.000 | GDPR-risiko for brud, NIS2-hændelseshåndtering, ISO-hændelseskontroller | Godkend EDR og immutable backups |
| Kompromittering af privilegeret adgang i cloud-administrationskonsol | €260.000 | €58.000 | €72.000 | ISO adgangsstyring, NIS2-autentifikation, DORA-dataintegritet | Godkend løft af MFA og PAM |
| Koncentrationsrisiko hos kritisk SaaS-udbyder | €190.000 | €45.000 | €95.000 | DORA-tredjepartsrisiko, NIS2-forsyningskæde, ISO-leverandørkontroller | Godkend test af exit-plan |
Tallene er estimater, men styringsværdien er reel. Bestyrelsen kan sammenligne prioriteter. CISO’en kan begrunde investeringer. Finansfunktionen kan validere antagelser. Compliance kan knytte beslutninger til forpligtelser. Revisorer kan følge revisionssporet.
Almindelige fejl ved kvantificering af cyberrisiko
Den første fejl er falsk præcision. En model, der hævder et tab på €487.239,17 uden klare antagelser, er mindre troværdig end et interval med dokumenteret grundlag. Brug intervaller, hvor det er relevant, og gennemgå antagelser efter hændelser, revisioner, leverandørændringer og større arkitekturbeslutninger.
Den anden fejl er kun at medregne tekniske omkostninger. En større cyberhændelse kan omfatte omsætningstab, kundekompensation, driftsforstyrrelse, regulatorisk rapportering, juridisk rådgivning, forensisk bistand, kommunikationsomkostninger, kontraktlige bodsbetalinger, kundeafgang, ledelsestid og omdømmemæssig påvirkning.
Den tredje fejl er at ignorere regulatorisk alvor. Et brud på persondatasikkerheden kan være væsentligt, selv når det direkte driftstab forekommer begrænset. En DORA-hændelse kan være signifikant på grund af tjenestekritikalitet, nedetid, datatab eller berørte kunder. En NIS2-hændelse kan være væsentlig, fordi den medfører alvorlige driftsforstyrrelser, finansielt tab eller betydelig skade for andre.
Den fjerde fejl er ikke at opdatere SoA. Hvis behandlingsbeslutninger vælger leverandørovervågning, cloud-exit-planlægning, indsamling af bevismateriale for hændelser, IKT-beredskab for forretningskontinuitet eller kontroller for driftsafbrydelser, skal SoA afspejle de relevante kontroller og implementeringsstatus.
Den femte fejl er at udelade finansfunktionen. Kvantitativ cyberrisikovurdering er stærkest, når sikkerhed, finans, jura, drift, produkt og compliance er enige om konsekvensantagelserne. CISO’en bør ikke opfinde tal for omsætningstab alene.
Den sjette fejl er at behandle forsikring som fuld risikooverførsel. Forsikring kan reducere den finansielle påvirkning, men den fjerner ikke regulatorisk ansvarlighed, driftsafbrydelser, skade på kundetillid eller ledelsesansvar.
Hvor Clarysec passer ind
Clarysec hjælper organisationer med at opbygge et cyberrisikoprogram, der er praktisk nok til SMV’er og stringent nok til regulerede miljøer.
Zenith Blueprint guider organisationen fra omfang og kontekst gennem risikokriterier, kvalitativ og kvantitativ vurdering, planlægning af behandling, SoA-sporbarhed, revision, ledelsens gennemgang og forbedring. Zenith Controls hjælper med at kortlægge kontrolforventninger i ISO/IEC 27001:2022 og ISO/IEC 27002:2022 til andre frameworks, revisioner og styringsforpligtelser. Clarysec-politikker leverer det sprog, som revisorer forventer, herunder risikovillighed, bemyndigelsesmatricer, behandlingsmuligheder, compliance-registre, SoA-tilpasning og integration med ledelsens gennemgang.
SMV Politik for juridisk og regulatorisk compliance Politik for juridisk og regulatorisk compliance - SMV, afsnittet “Styringskrav”, klausul 5.1.1, starter med en enkel forpligtelse:
“Den daglige leder skal vedligeholde et enkelt, struktureret compliance-register, der oplister:”
Dette enkle register er vigtigt. Juridiske, regulatoriske og kontraktlige forpligtelser skal være synlige i ISMS’et. For kvantitativ risiko betyder det, at NIS2, DORA, GDPR, kundekontrakter, SLA’er, outsourcingforpligtelser, rapporteringsforpligtelser ved hændelser og revisionsforpligtelser former konsekvens, behandlingsprioritet og eskalering.
Enterprise Politik for risikostyring, afsnittet “Referencestandarder og rammeværker”, klausul 11.9.1, afspejler også direkte DORA-lignende styring:
“Article 5: Kræver en dokumenteret ramme for styring af IKT-risiko, fuldt dækket af denne politiks struktur, herunder SoA-kortlægning og KRI’er.”
Det er Clarysec-modellen i én sætning: dokumenteret styring af IKT-risiko, kortlagt til kontroller, målt gennem indikatorer, gennemgået af ledelsen og dokumenteret til revision.
Næste skridt: Gør jeres cyberrisikoregister for 2026 finansielt forsvarligt
Hvis jeres nuværende cyberrisikoregister stadig siger “Høj” uden at forklare finansiel eksponering, behandlingsøkonomi eller regulatorisk påvirkning, så start med fem handlinger i dette kvartal:
- Vælg jeres 5 til 10 vigtigste cyberrisikoscenarier efter forretningsmæssig påvirkning.
- Definér finansielle konsekvenstærskler for Mindre, Moderat, Stor og Alvorlig.
- Estimér Single Loss Impact, Annual Rate of Occurrence og Annualized Loss Expectancy for hvert væsentligt scenarie.
- Kortlæg hver behandlingsbeslutning til ISO/IEC 27001:2022-kontroller, SoA, NIS2- eller DORA-forpligtelser hvor relevant, GDPR-implikationer og NIST CSF-styringsresultater.
- Præsentér restrisiko, behandlingsomkostning og eskaleringstærskler ved ledelsens gennemgang.
Clarysec kan hjælpe jer med at omsætte dette til et gentageligt system for bevismateriale ved brug af Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, Enterprise Politik for risikostyring Politik for risikostyring, SMV Politik for risikostyring Politik for risikostyring - SMV og understøttende skabeloner til revision og compliance.
Målet er ikke at gøre cyberrisiko perfekt forudsigelig. Målet er at gøre den forklarlig, sammenlignelig, finansielt meningsfuld og revisionsklar.
Download Clarysecs skabeloner til risiko- og compliancepolitikker, udforsk Zenith Blueprint, eller book en Clarysec-vurdering for at omsætte jeres cyberrisikoregister for 2026 til bestyrelsesklart bevismateriale for ISO/IEC 27001:2022, NIS2, DORA og GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
