Deling af trusselsintelligens med ISO 27001 i 2026

Kl. 07:40 en tirsdag morgen modtager Maria, CISO i en hurtigt voksende europæisk betalingsplatform, en bulletin med høj tillid fra en ISAC for finansielle tjenester. En kampagne for tyveri af legitimationsoplysninger er rettet mod betalingsudbydere, der bruger en bestemt integration til en identitetsudbyder. Sikkerhedsmeddelelsen indeholder command-and-control-domæner, mistænkelige OAuth-applikationsnavne, user-agent-strenge, observerede taktikker og en anbefaling om at rotere secrets for berørte tenants.
Inden for få minutter begynder forretningen at stille de spørgsmål, der definerer deling af cybertrusselsintelligens i 2026.
SOC vil straks indlæse indikatorerne i SIEM. Juridisk afdeling spørger, om virksomheden må dele sin egen telemetri tilbage til ISAC’en. DPO’en spørger, om IP-adresser, brugernavne, uddrag af tickets, autentifikationslogfiler eller endpoint-oplysninger indeholder personoplysninger. COO vil vide, om kunderne skal advares. CEO, netop hjemvendt fra NIS2-ledelsestræning, videresender alarmen med to ord: “Vores plan?”
Derefter stiller den complianceansvarlige det vigtigste spørgsmål: “Hvis tilsynsmyndigheden spørger næste måned, kan vi så dokumentere, at vores deling af cybertrusselsintelligens var lovlig, godkendt, nyttig og kontrolleret?”
Det er den nye virkelighed. DORA er gået fra implementeringsfrist til tilsynsmæssig kontrol. NIS2 er gået fra beredskabsprojekter til operationelt samarbejde. GDPR gælder stadig, også når dataene er sikkerhedstelemetri. Deling af trusselsintelligens er ikke længere en uformel Slack-udveksling mellem sikkerhedsteams. Det er en styret aktivitet, der omfatter fortrolighed, minimering af personoplysninger, godkendelser af videregivelse, registreringer, tilsynsforventninger og revisionsbevis.
For CISO’er, complianceansvarlige, revisorer og forretningsejere er spørgsmålet ikke, om man skal deltage i ordninger for deling af cybertrusselsintelligens. Det reelle spørgsmål er, hvordan man deler hurtigt nok til at hjælpe forsvarerne, samtidig med at man forebygger ulovlig videregivelse, brud på kunders fortrolighed, konkurrencemæssig lækage, ukontrolleret offentliggørelse af sårbarheder og mangelfuldt revisionsbevis.
ISO/IEC 27001:2022 er den styringsmæssige rygrad, der gør dette muligt. Ikke som et certifikat på væggen, men som et ledelsessystem, der omsætter deling af cybertrusselsintelligens til en gentagelig, forsvarlig og GDPR-sikker driftsmodel.
Hvorfor deling af cybertrusselsintelligens ændrede sig i 2026
Den første bølge af forberedelser til DORA og NIS2 fokuserede på omfang, frister for rapportering af hændelser, IKT-tredjepartsrisiko, bestyrelsesansvar og gapanalyser. Det arbejde var nødvendigt, men tilsynsmyndigheder og kunder stiller nu mere operationelle spørgsmål:
- Hvilke ISAC’er, CERT’er, CSIRT’er, leverandørfora eller betroede fællesskaber deltager I i?
- Hvem er bemyndiget til at repræsentere organisationen eksternt?
- Hvordan beslutter I, hvad der må deles?
- Hvordan forhindrer I, at personoplysninger, klienthemmeligheder, sårbarhedsoplysninger og følsom arkitektur videregives?
- Hvordan omsættes input fra trusselsintelligens til overvågningsregler, patchprioriteter, risikoregistre, hændelsesplaybooks, leverandørgennemgange og robusthedstest?
- Hvor er revisionsbeviset?
DORA er særligt direkte for finansielle enheder. Forordningen behandler digital operationel robusthed som et bestyrelsesforankret system til styring af IKT-risiko, ikke som en IT-tjekliste. DORA har fundet anvendelse siden 17. januar 2025, så i 2026 bliver mange finansielle enheder vurderet på, om deres processer fungerer i praksis.
DORA Article 45 tillader deling af oplysninger og intelligens om cybertrusler mellem finansielle enheder, når formålet er at styrke digital operationel robusthed. Delingen bør ske i betroede fællesskaber og under ordninger, der beskytter følsomme forretningsoplysninger, personoplysninger, fortrolighed, intellektuelle ejendomsrettigheder og konkurrenceretlige grænser. Sagt enkelt betyder DORA ikke “del alt”. Det betyder “del sikkert, bevidst og under kontrollerede betingelser”.
NIS2 skaber et tilsvarende pres uden for den finansielle sektor. Direktivet gælder for mange væsentlige og vigtige enheder på tværs af sektorer med høj kritikalitet og andre kritiske sektorer, herunder digital infrastruktur, udbydere af administrerede tjenester, udbydere af administrerede sikkerhedstjenester, udbydere af cloud computing-tjenester, datacenterudbydere, onlinemarkedspladser, søgemaskiner, sociale netværksplatforme, banker og finansielle markedsinfrastrukturer. NIS2 Article 20 gør ledelsesorganer ansvarlige for at godkende cybersikkerhedsrisikostyringsforanstaltninger, føre tilsyn med implementeringen og modtage træning. Article 21 kræver passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger, herunder risikoanalyse, hændelseshåndtering, forretningskontinuitet, forsyningskædesikkerhed, sårbarhedshåndtering, effektivitetsvurdering, cyberhygiejne, træning, kryptografi, HR-sikkerhed, adgangsstyring, politik for styring af aktiver, MFA og sikker kommunikation. Article 23 kræver trinvis rapportering af væsentlige hændelser, herunder en tidlig varsling inden for 24 timer, en hændelsesunderretning inden for 72 timer og en slutrapport senest én måned efter hændelsesunderretningen.
GDPR tilføjer databeskyttelsesbegrænsningen. Personoplysninger omfatter enhver oplysning om en identificeret eller identificerbar fysisk person. Sikkerhedslogfiler, IP-adresser, brugernavne, e-mailadresser, endpoint-navne, autentifikationshændelser, supporttickets, malwareprøver, skærmbilleder og svigundersøgelsesnoter kan alle være personoplysninger. GDPR kræver lovlig, rimelig, gennemsigtig, formålsbegrænset, dataminimeret, korrekt, opbevaringsbegrænset og sikker behandling. GDPR kræver også ansvarlighed, hvilket betyder, at organisationen skal kunne dokumentere efterlevelse.
Resultatet er en styringsmæssig udfordring. Deling af trusselsintelligens skal være hurtig nok til at forbedre forsvaret, kontrolleret nok til at tilfredsstille tilsynsmyndighederne og disciplineret nok til at undgå brud på databeskyttelse og fortrolighed.
ISO 27001 som efterlevelsesknudepunkt for deling af trusselsintelligens
ISO/IEC 27001:2022 er velegnet til denne udfordring, fordi standarden starter med kontekst, interessenter, omfang, risiko, lederskab, operationel styring, overvågning, intern revision, ledelsens gennemgang og løbende forbedring.
Klausul 4.1 til 4.4 kræver, at organisationer forstår interne og eksterne forhold, identificerer interessenter og deres krav, definerer ISMS-omfang og vedligeholder ledelsessystemet. For en DORA- eller NIS2-organisation kan interessenter omfatte kompetente myndigheder, CSIRT’er, kunder, IKT-udbydere, ISAC’er, sektorgrupper, databehandlere, dataansvarlige, forsikringsselskaber, intern revision og bestyrelsen.
Klausul 5.1 til 5.3 kræver ledelsesforpligtelse, politisk retning, ansvarlighed, ressourcer og tildelte ansvarsområder. Det er vigtigt, fordi deling af trusselsintelligens fejler, når den overlades til uformelt teknisk skøn. Hvis SOC-analytikeren, juridisk rådgiver, DPO, CISO, kommunikationsansvarlig og forretningsejer alle anvender forskellige antagelser, vil organisationen enten dele for meget, gå i stå eller reagere for sent.
Klausul 6.1.1 til 6.1.3 omsætter det tilsynsmæssige spørgsmål til risikovurdering, risikobehandling, kontroludvælgelse, beslutninger om anvendelighedserklæring (SoA), behandlingsplaner og accept af restrisiko. Typiske risici ved deling af trusselsintelligens omfatter:
- Personoplysninger deles uden behandlingsgrundlag eller dataminimering.
- Kunders fortrolige oplysninger videregives i et forum.
- Sårbarhedsoplysninger offentliggøres, før der findes en afhjælpning.
- Indikatorer modtages, men omsættes aldrig til drift.
- ISAC-deltagelse afspejles ikke i hændelseshåndtering, logning, sårbarhedsstyring eller leverandørrisiko.
- Manglende bevis for, hvem der godkendte videregivelsen og hvorfor.
- Konkurrenceretlig risiko ved deling af kommercielt følsomme markedsoplysninger.
- Uensartet kommunikation til myndigheder og kunder under en væsentlig hændelse.
Klausul 8.1 kræver derefter, at planlagte processer implementeres og styres med dokumenterede oplysninger, der er tilstrækkelige til at vise, at processerne fungerede som planlagt. Klausul 9 og 10 kræver overvågning, måling, intern revision, ledelsens gennemgang, håndtering af afvigelser, korrigerende handling og løbende forbedring. Kort sagt omsætter ISO/IEC 27001:2022 deling af cybertrusselsintelligens til en revisionsbar driftsmodel.
De to ISO-kontroller, der får deling til at fungere
Clarysecs Zenith Blueprint: En revisors 30-trins køreplan Zenith Blueprint behandler dette emne som en del af fasen Controls in Action, trin 22: organisatoriske kontroller. To ISO/IEC 27002:2022-kontroller er centrale: 5.6, Kontakt med særlige interessegrupper, og 5.7, Trusselsintelligens.
Zenith Blueprint gør det klart, at ISAC-deltagelse ikke er symbolsk netværk:
Deltagelse i sådanne grupper er ikke en symbolsk gestus. Det er en strategisk investering i intelligens, samarbejde og fælles robusthed.
For kontrol 5.6 kan særlige interessegrupper omfatte nationale eller sektorspecifikke netværk for cybertrusselsintelligens, ISAC’er, regulatoriske fora, leverandørers sikkerhedsmeddelelsesgrupper, open source-fællesskaber og akademiske arbejdsgrupper. Men ekstern deling skal være tilsigtet, lovlig og godkendt. Zenith Blueprint tilføjer modenhedsforventningen:
Modne ISMS-implementeringer behandler SIG-deltagelse som en styret aktivitet, ikke som en uformel fordel.
Det betyder, at organisationen skal føre et register over grupper og fora, den deltager i, udpege officielle deltagere, indsamle referater eller sammendrag og integrere indsigter i interne gennemgange eller kontrolopdateringer.
Kontrol 5.7 omsætter ekstern information til handling. Zenith Blueprint anfører:
En organisation kan ikke forsvare sig mod det, den ikke forstår.
Den advarer også mod at forveksle patchfeeds med trusselsintelligens. Reel intelligens omfatter trusselsaktørprofilering, taktikker, teknikker og procedurer, kompromitteringsindikatorer (IOC’er), sektorspecifikke advarsler, sårbarhedskontekst og strategisk forretningspåvirkning. Nyttig intelligens kombinerer intern overvågning, eksterne partnerskaber, CERT- eller ISAC-relationer, kommercielle feeds og open source-kilder, men kun når nogen gennemgår, prioriterer og omsætter den til handling.
Clarysecs Zenith Controls: Vejledningen til tværgående compliance Zenith Controls forstærker værdien på tværs af rammeværker. Den mapper kontrol 5.6 som forebyggende og korrigerende, der understøtter fortrolighed, integritet og tilgængelighed, med styring som den primære operationelle kapacitet. Den knytter 5.6 til 5.7 Trusselsintelligens, 5.5 Kontakt med myndigheder, 5.31 juridiske, lovgivningsmæssige, regulatoriske og kontraktlige krav og 8.8 Styring af tekniske sårbarheder. Den mapper 5.7 som forebyggende, opdagende og korrigerende, knyttet til Identify, Detect og Respond, med operationel kapacitet inden for trussels- og sårbarhedsstyring.
Budskabet er enkelt: Et modent program for deling af cybertrusselsintelligens har to halvdele. Først kontrollerede relationer. Dernæst kontrolleret brug af det, der modtages og deles.
En praktisk driftsmodel for styret deling
En forsvarlig driftsmodel for 2026 skal besvare seks spørgsmål, før den første indikator deles.
| Styringsspørgsmål | Praktisk svar | Bevismateriale, som revisorer forventer |
|---|---|---|
| Hvem må deltage? | Navngivne roller, godkendte fora, alternative kontakter, bemyndigelsesgrænser | SIG- og ISAC-register, udpegningsregistreringer, rollebeskrivelser |
| Hvad må modtages? | Trusselsrapporter, IOC’er, TTP’er, sårbarhedsmeddelelser, sektoralarmer | Modtagelseslog, kildeklassificering, håndteringsregler |
| Hvad må deles? | Saniterede indikatorer, ikke-attribuerbare mønstre, godkendte sikkerhedsmeddelelser, fakta klar til myndighedsbrug | Registrering af godkendelse af videregivelse, vurdering af dataminimering, juridisk eller DPO-godkendelse |
| Hvordan bruges intelligens? | SIEM-regler, EDR-blokeringer, prioritering af sårbarheder, opdateringer af risikoregister, ændringer i playbooks | Ændringstickets, detektionsregler, risikoopdateringer, mødereferater |
| Hvordan beskyttes privatliv? | Dataminimering, pseudonymisering, redigering, kontrol af behandlingsgrundlag, opbevaringsgrænser | DPIA eller privatlivsvurdering, delingsskabelon, opbevaringslog |
| Hvordan gennemgås effektivitet? | Metrikker, tabletop-øvelser, revisionskonstateringer, ledelsens gennemgang | KPI’er, erfaringer fra hændelser, intern revisionsrapport, korrigerende handlinger |
Clarysec implementerer typisk dette som en let, men formel arbejdsgang:
- Modtag og klassificér intelligensen.
- Validér relevansen for aktiver, leverandører, tjenester, geografier og kunder.
- Omsæt intelligensen til handling, f.eks. overvågningsregler, sårbarhedstickets, brugeradvarsler, leverandørforespørgsler eller risikoopdateringer.
- Beslut, om udgående deling er nødvendig, lovlig, sikker og tilladt efter medlemsreglerne.
- Anvend redigering, aggregering, pseudonymisering eller anonymisering.
- Indhent krævede godkendelser.
- Del gennem en godkendt kanal.
- Registrér, hvad der blev delt, med hvem, hvorfor, hvornår og under hvis bemyndigelse.
- Gennemgå resultater og opdatér kontroller.
Dette forebygger de to klassiske fejl: Sikkerhedsteamet modtager nyttig intelligens, men intet ændres, eller sikkerhedsteamet deler nyttig intelligens, men skaber juridisk, kontraktlig eller databeskyttelsesmæssig eksponering.
DORA Article 45: kontrolleret deling uden tab af fortrolighed
For finansielle enheder skal DORA Article 45 omsættes til en intern standard for deling af cybertrusselsintelligens. En praktisk fortolkning omfatter fem betingelser.
For det første skal formålet være robusthed. Deling skal hjælpe med at forebygge, opdage, reagere på eller komme sig efter cybertrusler. Den må ikke glide over i prissætning, kundelister, markedsstrategi eller kommercielt følsom intelligens.
For det andet skal fællesskabet være betroet. Det betyder klare medlemsregler, fortrolighedsforpligtelser, sikre kanaler, adgangsstyring og begrænsninger for videredistribution. ISO/IEC 27010:2015 understøtter sikker informationsudveksling i tillidsfællesskaber, herunder fortrolighedsregler, gensidighed og betroede kommunikationskanaler. ISO/IEC 27032:2023 understøtter deling af cybersikkerhedsoplysninger og situationsforståelse. ISO/IEC 27035-2:2023 knytter informationsdeling til planlægning af hændelseshåndtering, herunder deltagelse i CERT’er og branchegrupper.
For det tredje skal følsomme oplysninger beskyttes. Dette omfatter forretningshemmeligheder, arkitekturdiagrammer, sårbarhedsoplysninger, legitimationsoplysninger, kundeidentifikatorer og personoplysninger. Clarysecs SMV Politik for dataklassificering og mærkning Politik for dataklassificering og mærkning - SMV fastslår:
Ekstern deling skal udtrykkeligt godkendes og logføres.
Denne sætning er kontrolprincippet bag en DORA Article 45-arbejdsgang. Organisationen skal vide, hvilken klassificering der gælder, hvem der godkendte videregivelsen, og hvor registreringen opbevares.
For det fjerde skal personoplysninger minimeres. Virksomhedens Databeskyttelses- og privatlivspolitik Databeskyttelses- og privatlivspolitik fastslår:
Kun data, der er nødvendige for et specifikt, legitimt forretningsformål, må indsamles og behandles.
SMV-ækvivalenten, Databeskyttelses- og privatlivspolitik - SMV Databeskyttelses- og privatlivspolitik - SMV, fastslår:
Kun det minimum af personoplysninger, der er nødvendigt, må indsamles og opbevares
Dette er vigtigt, fordi trusselsintelligens ofte frister teams til at kopiere rå logfiler til eksterne kanaler. I stedet skal de kun dele det, modtageren har brug for, f.eks. et ondsindet domæne, en hash, et tidsstempelinterval, et generelt mønster eller en pseudonymiseret sagsreference.
For det femte skal organisationen opbevare bevismateriale. DORA bygger på dokumenteret styring af IKT-risiko, hændelsesklassificering, rapportering, test, tredjepartsstyring og ledelsesansvar. Hvis deling påvirker hændelseshåndtering, et robusthedstestscenarie eller en beslutning om leverandørrisiko, skal det være synligt i ISMS-registreringerne.
NIS2-samarbejde: fra juridisk omfang til operationelle relationer
NIS2 udvider samtalen ud over finansielle enheder. Direktivet finder anvendelse baseret på sektor, størrelse og kritikalitet og kan også gælde uanset størrelse for visse enheder, f.eks. tillidstjenesteudbydere, DNS-tjenesteudbydere, TLD-registre, kritiske enheder og udbydere af domænenavnsregistreringstjenester.
For deling af trusselsintelligens er den vigtigste læring styring. Article 20 gør ledelsesorganer ansvarlige for at godkende og føre tilsyn med cybersikkerhedsrisikostyringsforanstaltninger. Article 21 kræver passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger. Article 23 kræver trinvis rapportering af væsentlige hændelser.
Deling af trusselsintelligens berører alle disse områder. Hvis en ISAC-meddelelse indikerer, at en leverandørs administrerede tjeneste udnyttes, bliver Article 21-forventninger til forsyningskæden relevante. Hvis intelligens indikerer en igangværende væsentlig hændelse, kan Article 23-rapportering og arbejdsgange for kundekommunikation blive udløst. Hvis en væsentlig cybertrussel kan påvirke tjenestemodtagere, har organisationen brug for en kontrolleret advarselsproces.
Zenith Blueprint behandler dette i fasen ISMS Foundation and Leadership, trin 5, Communication, Awareness, and Competence. Den anbefaler planlægning af ekstern kommunikation, der identificerer kunder, tilsynsmyndigheder, partnere og offentligheden, og derefter definerer, hvad der kommunikeres, hvornår, af hvem og med hvilken godkendelse. Den giver det praktiske eksempel på en procedure for hændelseskommunikation, hvor CISO udarbejder en meddelelse, juridisk afdeling gennemgår den, og CEO godkender den før afsendelse.
SMV Politik for hændelseshåndtering Politik for hændelseshåndtering - SMV fastslår:
Direktøren (GM) er ansvarlig for at godkende alle beslutninger om eskalering af hændelser, regulatoriske underretninger og ekstern kommunikation.
For større organisationer fastlægger virksomhedens Politik for hændelseshåndtering Politik for hændelseshåndtering baseline for bevismateriale:
Alle hændelser skal registreres i system til styring af sikkerhedshændelser (SIMS), herunder:
Når trusselsintelligens bliver til en hændelse, kundeadvarsel, regulatorisk underretning eller ekstern sikkerhedsmeddelelse, må den ikke kun leve i indbakker og chat-tråde. Den hører hjemme i systemet til hændelsesstyring med klassificering, handlinger, godkendelser, bevismateriale og erfaringer.
GDPR-sikker videregivelse: del intelligens, ikke unødvendige personoplysninger
GDPR tillader sikkerhedsdrift, men skaber ikke en frizone for ukontrolleret deling af telemetri. Mange artefakter i trusselsintelligens kan indeholde personoplysninger:
- IP-adresser knyttet til brugeraktivitet.
- E-mailadresser anvendt i phishingforsøg.
- Brugernavne, enhedsnavne, endpoint-ID’er eller kunde-tenant-ID’er.
- Autentifikationslogfiler.
- Supporttickets.
- Skærmbilleder.
- Noter fra svigundersøgelser.
- Malwareprøver, der indeholder dokumenter eller personlige filer.
- Sårbarhedsrapporter, der omfatter eksponering af kundedata.
I Clarysecs model passerer hver beslutning om udgående deling gennem et filter for databeskyttelse og fortrolighed.
| Filter | Beslutningsspørgsmål | Typisk kontrolhandling |
|---|---|---|
| Formål | Er deling nødvendig for cyberforsvar, lovpligtig rapportering eller koordineret afhjælpning? | Registrér formålet i delingsloggen |
| Behandlingsgrundlag | Findes der et dokumenteret behandlingsgrundlag eller en retlig forpligtelse? | Tilføj juridisk eller DPO-gennemgang for personoplysninger |
| Dataminimering | Kan samme resultat opnås med færre felter? | Fjern brugernavne, e-mails, ticketnoter og kundenavne |
| Pseudonymisering | Kan identifikatorer erstattes med sags-ID’er eller tokens? | Opbevar mapping internt med begrænset adgang |
| Fortrolighed | Afslører indholdet arkitektur, sårbarhedsoplysninger eller klienthemmeligheder? | Klassificér som fortroligt eller højt fortroligt, og begræns delingen |
| Opbevaring | Hvor længe skal den delte registrering og godkendelsesbeviset opbevares? | Anvend opbevaringsregel og gennemgang af sletning |
I Zenith Controls mappes ISO/IEC 27002:2022-kontrol 5.34, Privatliv og beskyttelse af PII, som forebyggende og forbundet med klassificering, aktivfortegnelse, datamaskering, cloudsikkerhed, informationsoverførsel, adgangsstyring, identitetsstyring og projekt- eller ændringsgennemgang. Den mappes også til GDPR Articles 25 og 32 gennem databeskyttelse gennem design, behandlingssikkerhed, kryptering, pseudonymisering, adgangsstyring og dokumenterbar styring. Understøttende standarder omfatter ISO/IEC 27701:2021 for ledelse af privatlivsinformation, ISO/IEC 27018:2019 for beskyttelse af PII i offentlige cloudprocessormiljøer og ISO/IEC 29100:2011 for privatlivsprincipper.
Ved deling af trusselsintelligens skal DPO’en og sikkerhedsteamet ikke mødes for første gang under en krise. De skal forhåndsgodkende mønstre, skabeloner, redigeringsregler og eskalationstærskler.
Praktisk eksempel: en ISAC-alarm bliver til evidensbaseret robusthed
Vend tilbage til Marias betalingsplatform. ISAC-meddelelsen indeholder ondsindede domæner, mistænkelige OAuth-applikationsnavne, user-agent-strenge og en note om, at flere medlemmer har observeret forsøg på kontoovertagelse mod brugere i finansdrift. Virksomheden finder også tre mistænkelige loginforsøg i sine egne logfiler.
Sådan ville Clarysec operationalisere responsen ved hjælp af ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls og policyværktøjssættet.
| Trin | Handling | Ejer | Bevismateriale eller kontrollink |
|---|---|---|---|
| 1. Log modtagelse | Registrér kilde, dato, tillid, aktiver, berørt teknologi og håndteringsbegrænsninger | SOC-analytiker | Modtagelseslog for trusselsintelligens, ISO/IEC 27002:2022-kontrol 5.7 |
| 2. Klassificér | Mærk meddelelsen Fortrolig eller Højt fortrolig, hvis den indeholder følsomme medlemsoplysninger | Sikkerhedsansvarlig | Dataklassificeringsregistrering, regel om godkendelse af ekstern deling |
| 3. Validér relevans | Kontrollér produktionsbrug af identitetsintegrationen, eksponerede brugere, OAuth-tildelinger, DNS, proxy, EDR og SIEM-logfiler | SOC og platformsteam | Triage-noter, overvågningsbevis, sårbarhedsgennemgang |
| 4. Omsæt til handling | Tilføj detektioner, gennemgå tildelinger, roter secrets om nødvendigt, forespørg leverandør, opdater risikoregister | SOC, engineering, risikoejer | SIEM-regeltickets, ændringsregistreringer, leverandøreskalering |
| 5. Gennemgå udgående deling | Reducér rå fund til et tidsvindue, et mønster, et ondsindet domæne og en berørt rolletype | CISO, juridisk afdeling, DPO | Godkendelse af videregivelse, vurdering af dataminimering |
| 6. Del sikkert | Send kun godkendt intelligens gennem ISAC’ens krypterede kanal | CISO eller delegeret | Delingslog, kanalregistrering, godkendelsestidsstempel |
| 7. Forbedr | Rapportér metrikker og erfaringer ved ISMS-gennemgang | CISO og GRC | Referater fra ledelsens gennemgang, korrigerende handlinger |
Den udgående meddelelse indeholder oprindeligt tidsstempler, kilde-IP-adresser, målbrugernavne, kunde-tenant-ID’er og skærmbilleder. Efter DPO- og juridisk gennemgang reduceres den til:
- Tidsvindue i UTC.
- Angrebsmønster.
- Observeret ondsindet domæne.
- Generel berørt rolletype, f.eks. brugere i finansdrift.
- Ingen brugernavne.
- Ingen kunde-tenant-ID’er.
- Ingen skærmbilleder.
- Ingen kundenavne.
- Ingen rå logfiler, medmindre de anmodes via en kontrolleret kanal.
Hvis aktiviteten bliver til en hændelse, tager kontrollerne i Politik for hændelseshåndtering over. Hvis der indsamles efterforskningsartefakter, gælder Politik for indsamling af bevismateriale og digital efterforskning - SMV Politik for indsamling af bevismateriale og digital efterforskning - SMV:
Hvert digitalt bevis skal logføres med:
Politikken fortsætter internt med krav til metadata for bevismateriale, men revisionsprincippet er klart: Ethvert artefakt, der bruges til undersøgelse, deling, regulatorisk rapportering eller kundekommunikation, skal være sporbar.
Offentliggørelse af sårbarheder er ikke det samme som deling af trusselsintelligens
En almindelig fejl er at behandle offentliggørelse af sårbarheder, hændelsesunderretning og deling af trusselsintelligens som den samme proces. De overlapper, men de er ikke identiske.
Deling af trusselsintelligens kan omfatte indikatorer, taktikker, sektoradvarsler, modstanderadfærd, afhjælpninger eller observerede forsøg. Koordineret offentliggørelse af sårbarheder omfatter en specifik svaghed i et produkt eller en tjeneste, ofte med en rapportør, en tidsplan for rettelse, en sikkerhedsmeddelelse og en beslutning om offentliggørelse. Hændelsesunderretning omfatter regulatorisk eller kontraktlig rapportering om en begivenhed, der påvirker tjenester, data eller kunder.
Clarysec adskiller disse arbejdsgange, men holder dem forbundet gennem ISMS. Virksomhedens Politik for koordineret offentliggørelse af sårbarheder Politik for koordineret offentliggørelse af sårbarheder fastslår:
Koordinering og offentliggørelse: Organisationen skal koordinere offentlig offentliggørelse med rapportøren. Som udgangspunkt må ingen sårbarhedsoplysninger offentliggøres, før en rettelse eller afhjælpning er tilgængelig eller i det mindste under udarbejdelse. For kritiske forhold, hvor en rettelse ikke kan leveres hurtigt, kan organisationen udsende en sikkerhedsmeddelelse med vejledning om midlertidige løsninger for at advare brugere, i samråd med relevante myndigheder hvor det kræves. Rapportøren forventes at afstå fra offentlig offentliggørelse, indtil organisationen giver godkendelse eller offentliggør en sikkerhedsmeddelelse. Som hovedregel tilstræber organisationen at offentliggøre en sikkerhedsmeddelelse inden for 90 dage efter modtagelse af rapporten eller inden for en anden gensidigt aftalt frist, i overensstemmelse med branchepraksis, herunder kreditering af rapportøren, hvor samtykke er givet.
Den samme politik fastslår også:
Fortrolighed: Indtil offentliggørelse skal alle oplysninger om en rapporteret sårbarhed behandles som Højt fortrolige. Oplysninger må kun deles internt efter need-to-know-princippet med personale, der skal validere eller afhjælpe forholdet. Rapportørens identitet skal holdes fortrolig, hvor det er anmodet. Al kommunikation med rapportøren bør krypteres, herunder ved brug af organisationens PGP-nøgle, for at beskytte følsomme sårbarhedsoplysninger.
Dette er afgørende for DORA Article 45 og NIS2-samarbejde. Et betroet fællesskab kan være det rette sted at dele afhjælpninger eller indikatorer på højt niveau, men ikke nødvendigvis exploitoplysninger, kundespecifikke data eller oplysninger om upatchede sårbarheder.
Ekstern kommunikation kræver samme disciplin. Virksomhedens Politik for sociale medier og ekstern kommunikation Politik for sociale medier og ekstern kommunikation tildeler ansvar for gennemgang af indhold for at sikre efterlevelelse af love om fortrolighed, insideroplysninger, intellektuelle ejendomsrettigheder og ærekrænkelse. Det er vigtigt, når en teknisk sikkerhedsmeddelelse bliver til en offentlig udtalelse, kundemeddelelse, websiteopdatering eller meddelelse rettet mod tilsynsmyndigheder.
Kortlægning på tværs af rammeværker: én arbejdsgang, mange forpligtelser
En stærk arbejdsgang for deling af cybertrusselsintelligens skal opfylde flere rammeværker uden at skabe dobbeltprocesser.
| Rammeværk | Hvad det forventer | Hvordan Clarysec mapper det |
|---|---|---|
| ISO/IEC 27001:2022 | Kontekst, lederskab, risikobehandling, operationel styring, dokumenteret bevismateriale, overvågning, revision, løbende forbedring | ISMS-omfang, risikoregister, anvendelighedserklæring (SoA), kommunikationsplan, intern revision, ledelsens gennemgang |
| ISO/IEC 27002:2022-kontroller 5.6 og 5.7 | Styret kontakt med særlige interessegrupper og handlingsorienteret trusselsintelligens | SIG-register, modtagelse af trusler, analysearbejdsgang, detektionsopdateringer, delingsgodkendelser |
| DORA Article 45 | Betroet deling af cybertrusselsintelligens, der beskytter fortrolighed, personoplysninger, forretningshemmeligheder, intellektuelle ejendomsrettigheder og konkurrenceretlige grænser | Godkendte fællesskaber, betingelser for videregivelse, juridisk og DPO-gennemgang, sikre kanaler, logfiler for bevismateriale |
| NIS2 Articles 20, 21 og 23 | Bestyrelsestilsyn, cybersikkerhedsrisikostyringsforanstaltninger, samarbejde, hændelseshåndtering, forsyningskædesikkerhed, sårbarhedshåndtering, trinvis rapportering | Bestyrelsesrapportering, hændelseskommunikation, leverandøreskalering, CSIRT-kontaktliste, trusselsstyrede risikoopdateringer |
| GDPR Articles 5, 6, 25 og 32 | Lovlig, minimeret, formålsbegrænset, sikker og ansvarlig behandling af personoplysninger | Privatlivsfilter, redigering, pseudonymisering, opbevaringsregler, DPO-gennemgang, delingslog |
| NIST CSF 2.0 | GOVERN-, IDENTIFY-, PROTECT-, DETECT-, RESPOND- og RECOVER-resultater med retlige forpligtelser og kommunikationskanaler | Organisationsprofil, nuværende og ønsket tilstand, forbedringer af detektion og respons, ekstern interessentkommunikation |
| COBIT 2019 | Overvåg eksterne krav, styr sikkerhedstrusler, evaluer kontroleffektivitet, styr privatliv | Overvågning af efterlevelse, trusselsmetrikker, styringsrapportering, tilpasning til privatlivsprogram |
NIST CSF 2.0 er nyttig som et neutralt organiserende lag, fordi GOVERN-funktionen adresserer interessenter, retlige forpligtelser, afhængigheder, risikovillighed, roller, politikker og tilsyn. DETECT- og RESPOND-funktionerne forventer overvågning, integration af trusselsintelligens, erklæring af hændelser, bevaring af bevismateriale, underretning og ekstern kommunikation.
COBIT 2019 tilføjer ledelsesansvar. Praksisser som DSS05.04 Manage security threats, APO12 Manage risk, MEA03 Managed compliance with external requirements og APO13 Managed security hjælper revisorer med at teste, om intelligens forbedrer kontroludførelse og styringsrapportering.
Hvordan revisorer vil teste jeres delingsprogram
En ISO/IEC 27001:2022-revisor starter med ledelsessystemet. Revisoren vil spørge, hvordan juridiske, regulatoriske, kontraktlige og interessentrelaterede krav er identificeret efter klausul 4.1 og 4.2. Revisoren vil kontrollere, om deling af trusselsintelligens er omfattet af scope, om risici er vurderet, om kontrollerne 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 og 8.16 er inkluderet eller begrundet i anvendelighedserklæringen (SoA), og om bevismateriale viser, at processen fungerede som planlagt.
En DORA-fokuseret revisor eller tilsynsmyndighed vil lede efter styring, bestyrelsesansvar, integration i IKT-risiko, hændelsesklassificering, robusthedstest, tredjepartsimplikationer og betingelserne i Article 45. De vil spørge, om deltagelse i informationsdelingsordninger er dokumenteret, om følsomme oplysninger og personoplysninger beskyttes, om intelligens opdaterer styringsrammen for IKT-risiko, og om den påvirker testscenarier.
En NIS2-orienteret reviewer vil fokusere på bestyrelsestilsyn, Article 21-foranstaltninger, hændelseshåndtering, leverandørafhængigheder, sårbarhedshåndtering, kommunikation med kunder eller tjenestemodtagere og samarbejde med CSIRT’er eller kompetente myndigheder. De vil teste, om trusselsintelligens er forbundet med vurdering af væsentlige hændelser og trinvis rapportering.
En databeskyttelsesrevisor vil fokusere på GDPR-principper. Revisoren vil spørge, om delte data var personoplysninger, hvilket behandlingsgrundlag der fandt anvendelse, om dataminimering blev udført, om pseudonymisering eller redigering var mulig, om opbevaring var kontrolleret, og om organisationen kan dokumentere ansvarlighed.
Godt bevismateriale omfatter:
- Godkendt ISAC- eller SIG-register.
- Navngivne deltagere og stedfortrædere.
- Medlemsvilkår og fortrolighedsforpligtelser.
- Modtagelseslog for trusselsintelligens.
- Triage- og relevansvurderinger.
- Tickets for detektionsteknik.
- Ændringer i prioritering af sårbarheder.
- Eskaleringer af leverandørrisiko.
- Registreringer af godkendelser af videregivelse.
- DPO- eller privatlivsvurderingsnoter.
- Redigerede udgående meddelelser.
- Hændelsesregistreringer i SIMS.
- Chain of custody-logfiler for bevismateriale.
- Referater fra ledelsens gennemgang.
- Interne revisionskonstateringer og korrigerende handlinger.
Almindelige faldgruber, som Clarysec ser i praksis
Den mest almindelige fejl er uformel deltagelse. En sikkerhedsingeniør tilmelder sig et privat forum, modtager nyttig intelligens og deler interne observationer uden formel godkendelse. Intentionen er god, men revisionssporet er svagt, og fortrolighedsrisikoen er høj.
Den anden fejl er passivt forbrug. Organisationen abonnerer på feeds, deltager i ISAC-møder og videresender sikkerhedsmeddelelser, men ingen kan vise, hvordan intelligensen ændrede kontroller. Trusselsintelligens skal opdatere detektionslogik, patchprioriteter, playbooks, risikoregistre, leverandørgennemgange, awareness-kampagner eller robusthedstest.
Den tredje fejl er deling af rå logfiler. Teams sender skærmbilleder, SIEM-eksporter, e-mailheaders eller packet captures eksternt uden dataminimering. Det kan eksponere personoplysninger, kundeidentifikatorer, interne hostnames, tokens eller fortrolig arkitektur.
Den fjerde fejl er at forveksle public relations med reguleret kommunikation. Et LinkedIn-opslag om en angrebstendens er ikke det samme som en kundeadvarsel, regulatorisk underretning, CSIRT-opdatering eller koordineret sikkerhedsmeddelelse. Clarysec adskiller disse kanaler, tildeler godkendelsesansvarlige og kræver registreringer.
Den femte fejl er at ignorere leverandører. Mange intelligensalarmer vedrører tredjepartssoftware, cloudplatforme, udbydere af administrerede tjenester eller identitetsintegrationer. Under DORA, NIS2, NIST CSF, COBIT 2019 og ISO/IEC 27002:2022-leverandørkontroller skal trusselsintelligens føde ind i styring af leverandørrisiko.
Byg jeres pakke til deling af trusselsintelligens i 2026
De fleste organisationer har ikke brug for et tungt selvstændigt bureaukrati. De har brug for en kompakt styringspakke, der virker under en reel hændelse. Clarysec anbefaler:
- Procedure for deling af trusselsintelligens.
- Register over godkendte delingsfællesskaber.
- Formular til modtagelse og triage af trusselsintelligens.
- Formular til godkendelse af udgående videregivelse.
- Tjekliste for vurdering af privatliv og fortrolighed.
- Matrix for ekstern kommunikation.
- Skabelon for ISAC-mødereferat.
- Regler for sammenhæng mellem bevismateriale og hændelser.
- Metrikdashboard.
- Testplan for intern revision.
Proceduren skal henvise til ISO/IEC 27001:2022-klausuler om risikostyring, kommunikation, operationel styring, evaluering af performance, intern revision og løbende forbedring. Den skal mappes til ISO/IEC 27002:2022-kontrollerne 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 og relevante leverandørkontroller. Den skal også henvise til DORA Article 45, NIS2-samarbejde og forpligtelser vedrørende hændelseskommunikation samt GDPR-principper.
Vigtigst af alt skal den kunne bruges under pres. Hvis processen kræver et møde med 12 personer, før et ondsindet domæne kan deles med en betroet ISAC, vil den fejle. Hvis den tillader, at rå kundelogfiler indsættes i en fællesskabsportal, vil den også fejle. Målet er kontrolleret hastighed.
Gør deling af trusselsintelligens til evidensbaseret robusthed
Deling af cybertrusselsintelligens i 2026 er ikke blot et modenhedsmærke for sikkerhed. For finansielle enheder er det knyttet til DORA Article 45 og digital operationel robusthed. For væsentlige og vigtige enheder understøtter det NIS2-samarbejde, hændelseshåndtering, sårbarhedsrespons, leverandørsikkerhed og advarsler til tjenestemodtagere. For enhver organisation, der behandler EU-personoplysninger, skal det være GDPR-sikkert gennem design.
Clarysec hjælper organisationer med at opbygge denne driftsmodel uden at forsinke forsvarerne. Vi forbinder Zenith Blueprint Zenith Blueprint, policyværktøjssættet og Zenith Controls Zenith Controls til en fungerende ISMS-proces: godkendte fællesskaber, klare roller, GDPR-sikker videregivelse, hændelseskobling, bevisregistreringer, revisionsberedskab og kortlægning på tværs af rammeværker.
Hvis jeres organisation deltager i en ISAC, modtager cybermeddelelser, deler indikatorer med peers, rapporterer til myndigheder eller håndterer offentliggørelse af sårbarheder, er tiden inde til at formalisere arbejdsgangen. Start med en times gennemgang af jeres nuværende delingsordninger, og map dem derefter til ISO/IEC 27001:2022, DORA Article 45, NIS2 og GDPR.
Clarysec kan hjælpe jer med at opbygge det register, de politikklausuler, godkendelsesskabeloner, den model for revisionsbevismateriale og den rapporteringspakke til ledelsen, der skal til for at gøre deling af cybertrusselsintelligens hurtig, lovlig og forsvarlig.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council