⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
SV EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL
NIS2 DORA GDPR NIST COBIT 2019

Internrevision enligt ISO 27001 för NIS2 och DORA

Igor Petreski
15 min read
#Revision #ISMS #Riskhantering #Incidentrespons #Leverantörshantering #Verksamhetskontinuitet #Loggning och övervakning
Internrevisionsprogram enligt ISO 27001 kartlagt mot underlag för NIS2 och DORA

Det är årets första möte i revisionskommittén 2026. Sarah, informationssäkerhetschef på FinSecure, en snabbt växande SaaS- och FinTech-leverantör, har femton minuter på agendan. Styrelsen har fem frågor.

Är vi redo för vår uppföljande revision enligt ISO/IEC 27001:2022? Omfattas vi av NIS2 som leverantör av hanterade tjänster? Påverkar DORA oss eftersom vi stödjer kunder i finanssektorn? Kan vi visa att incidentrapportering, leverantörsgranskning och verksamhetskontinuitet fungerar i praktiken? Och varför hittade förra kvartalets åtkomstgranskning fortfarande konton som borde ha avvecklats?

Sarah har underlag, men det är utspritt. Utvecklingsteamet har exporter från sårbarhetsskanningar. Inköp har leverantörsfrågeformulär. Juridik har avtalsklausuler. Den regelefterlevnadsansvariga har en GDPR-uppföljning. SOC har incidentärenden. Inget är uppenbart fel, men inget ger heller en sammanhållen bild av organisationens säkerhetsförsäkran.

Det är här ett internrevisionsprogram enligt ISO 27001 antingen blir en strategisk motor för revisionsunderlag eller förblir en årlig brandkårsutryckning.

För organisationer som påverkas av NIS2 och DORA kan internrevision inte längre vara en ceremoniell checklista. Den måste vara ett riskbaserat system för säkerhetsförsäkran som bekräftar om ISMS-omfattningen är korrekt, om kontrollerna fungerar i praktiken, om regulatoriska krav är mappade, om iakttagelser klassificeras konsekvent och om korrigerande åtgärder når ledningens genomgång. Under 2026 kommer de starkaste programmen inte bara att fråga: ”Gjorde vi en revision?” De kommer att fråga: ”Kan vi månad för månad visa att cybersäkerhetsstyrning, IKT-resiliens, leverantörssäkerhet och incidentberedskap fungerar?”

Det är den metod som Clarysec bygger in i Zenith Blueprint: en revisors färdplan i 30 steg, Zenith Controls: guiden för kartläggning över flera regelverk och Clarysecs policysvit. Målet är inte att skapa separata ISO-, NIS2- och DORA-projekt. Målet är att förstärka ISMS så att ett revisionsprogram producerar återanvändbart underlag för flera krav på säkerhetsförsäkran.

Varför internrevisionsprogrammen för 2026 behöver förändras

NIS2 och DORA har flyttat revisionsdialogen från dokumentation till styrd resiliens.

NIS2 gäller för många medelstora och stora organisationer i kritiska och viktiga sektorer, inklusive digital infrastruktur, leverantörer av molntjänster, datacenterleverantörer, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster, onlinemarknadsplatser, sökmotorer online och plattformar för sociala nätverk. Medlemsstaterna började tillämpa nationella åtgärder från oktober 2024, och 2026 arbetar många organisationer under det första hela året med mogna NIS2-förväntningar.

DORA gäller från den 17 januari 2025 för ett brett spektrum av finansiella entiteter, inklusive kreditinstitut, betalningsinstitut, institut för elektroniska pengar, värdepappersföretag, leverantörer av kryptotillgångstjänster, försäkrings- och återförsäkringsföretag, leverantörer av gräsrotsfinansieringstjänster och relevanta IKT-tredjepartsleverantörer. DORA är det sektorsspecifika regelverket för digital operativ resiliens för omfattade finansiella entiteter. IKT-leverantörer som betjänar finansiella entiteter kan också påverkas av DORA genom avtal, revisionsrätt, deltagande i testning, incidentstöd, kontroller av underleverantörer och exitkrav.

Båda regelverken höjer kraven på ansvarsskyldighet. NIS2 Article 20 kräver att ledningsorgan godkänner och utövar tillsyn över riskhanteringsåtgärder för cybersäkerhet samt får utbildning i cybersäkerhet. DORA Article 5 gör ledningsorganet ytterst ansvarigt för IKT-risk, inklusive godkännande och tillsyn av strategin för digital operativ resiliens, IKT-policyer, kontinuitetsarrangemang och tredjepartsrisk.

ISO 27001 passar väl i denna miljö eftersom det är ett ledningssystem. Det kräver att organisationen förstår sitt sammanhang, definierar intressenter och krav, fastställer ISMS-omfattningen, bedömer och behandlar risker, övervakar prestanda, genomför internrevisioner och driver ständig förbättring. Poängen är inte att tvinga in NIS2 och DORA i en ISO-formad modell. Poängen är att använda ISO 27001 som operativt system för repeterbar säkerhetsförsäkran.

Börja med omfattningen: revidera systemet som styrelsen förlitar sig på

Ett svagt internrevisionsprogram börjar med en vag omfattning som ”informationssäkerhet”. Ett starkt program börjar med verksamhetens och regelverkens gränsdragning.

ISO 27001 kräver att ISMS-omfattningen beaktar interna och externa frågor, intressentkrav samt gränssnitt eller beroenden till andra organisationer. Det är viktigt eftersom skyldigheter enligt NIS2 och DORA ofta finns i organisationens gränsytor: molnplattformar, outsourcade SOC-leverantörer, Managed Detection and Response (MDR), betalningssystem, fintech-API:er, behandling av kunddata, säkerhetskopieringstjänster och partner för incidenteskalering.

Clarysecs Policy för revision och övervakning av regelefterlevnad för små och medelstora företag fastställer styrningens basnivå:

Den verkställande chefen (GM) ska godkänna en årlig revisionsplan.

Från avsnittet ”Styrningskrav”, policyklausul 5.1.1.

För större miljöer höjer Clarysecs Policy för revision och övervakning av regelefterlevnad förväntan:

En riskbaserad revisionsplan ska tas fram och godkännas årligen, med beaktande av:

Från avsnittet ”Styrningskrav”, policyklausul 5.2.

Omfattning är därför inte enbart en revisors preferens. Det är ett av ledningen godkänt åtagande om säkerhetsförsäkran.

Ett internrevisionsprogram enligt ISO 27001 för 2026 som stödjer NIS2 och DORA bör omfatta:

  • ISMS-klausuler och processer, inklusive sammanhang, ledarskap, riskhantering, mål, stöd, drift, utvärdering av prestanda och förbättring.
  • Relevanta kontrollområden i ISO/IEC 27001:2022 Annex A, inklusive leverantörsrelationer, incidenthantering, verksamhetskontinuitet, rättsliga skyldigheter, integritetsskydd, loggning, övervakning, sårbarhetshantering, åtkomstkontroll, kryptografi, säker utveckling, ändringshantering och molnstyrning.
  • Regulatoriska överlagringar, inklusive NIS2 Articles 20, 21 och 23, DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 och 28 to 30, samt GDPR-krav på säkerhet och ansvarsskyldighet.
  • Nyckeltjänster och verksamhetsprocesser, särskilt kritiska eller viktiga funktioner, samhällsviktiga tjänster, kundvända plattformar och system som stödjer reglerade kunder.
  • Tredjepartsberoenden, inklusive IKT-leverantörer, molnleverantörer, outsourcad utveckling, SOC, MSSP, personuppgiftsbiträden och kritiska underleverantörer.
  • Processer som genererar underlag, inklusive riskbedömningar, åtkomstgranskningar, åtgärdande av sårbarheter, incidentövningar, återställningstester av säkerhetskopior, leverantörsgranskningar, kontinuitetstester och ledningens genomgång.

Zenith Blueprint förstärker detta i fasen Revision, granskning och förbättring, steg 25, Internrevisionsprogram:

Besluta om omfattningen för ditt internrevisionsprogram. I slutändan behöver du under ett år täcka alla relevanta ISMS-processer och kontroller.

Från fasen Revision, granskning och förbättring, steg 25: Internrevisionsprogram.

Du behöver inte revidera allt varje månad. Men under årscykeln bör du täcka alla relevanta ISMS-processer och kontroller, med tätare arbete inom högriskområden och reglerade områden.

Bygg revisionsuniversumet kring kontrollteman i NIS2 och DORA

NIS2 Article 21 kräver lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder. Basnivån omfattar riskanalys, säkerhetspolicyer, incidenthantering, verksamhetskontinuitet, hantering av säkerhetskopiering, katastrofåterställning, krishantering, säkerhet i leveranskedjan, säker anskaffning och utveckling, sårbarhetshantering, bedömning av effektivitet, cyberhygien, utbildning, kryptografi, HR-säkerhet, åtkomstkontroll, tillgångshantering, MFA eller kontinuerlig autentisering där det är lämpligt, samt säker kommunikation.

DORA har en liknande operativ livscykel. Regelverket kräver att finansiella entiteter identifierar och klassificerar IKT-stödda verksamhetsfunktioner, informationstillgångar, IKT-tillgångar, beroenden och tredjepartsförbindelser. Det kräver också skydd, detektering, incidentklassificering, respons, återhämtning, säkerhetskopiering, återställning, testning, erfarenhetsåterföring efter incident, kommunikation och riskhantering för IKT-tredjepart.

Ett samlat revisionsuniversum förhindrar det vanliga misstaget att revidera ISO 27001 separat från NIS2 och DORA.

RevisionsområdeISO 27001-revisionsankareRelevans för NIS2 och DORATypiskt underlag
Styrning och rättsliga skyldigheterSammanhang, ledarskap, riskbehandling, rättsliga och avtalsmässiga kravStyrelsetillsyn enligt NIS2, ledningsorganets ansvar enligt DORA, ansvarsskyldighet enligt GDPRRättsregister, intressentregister, ISMS-omfattning, riskaptit, styrelseprotokoll, ledningens genomgång
Riskbedömning och riskbehandlingRiskbedömning, tillämpbarhetsförklaring, riskbehandlingsplanLämpliga och proportionerliga åtgärder enligt NIS2, ramverk för IKT-riskhantering enligt DORARiskregister, riskkriterier, godkännanden av riskbehandling, acceptans av kvarstående risk
Tillgångs- och beroendeförteckningTillgångshantering, styrning av molntjänster, leverantörstjänsterIKT-tillgångar och sammankopplingar enligt DORA, system för tjänsteleverans enligt NIS2CMDB, dataflödeskartor, leverantörsregister, molnförteckning, kritikalitetsklassificering
Åtkomstkontroll och identitetHR-säkerhet, åtkomsthantering, MFA, privilegierad åtkomstÅtkomstkontroll och MFA enligt NIS2, principen om minsta privilegium och stark autentisering enligt DORAÄrenden för nyanställningar, interna förflyttningar och avslut, åtkomstgranskningar, MFA-rapporter, loggar för privilegierade konton
Loggning, övervakning och detekteringLoggning, övervakning, händelsebedömningAnomalidetektering och incidentklassificering enligt DORA, incidentberedskap enligt NIS2SIEM-larm, detekteringsregler, poster från incidenttriage, övervakningspaneler
IncidenthanteringIncidentplanering, respons, bevisinsamling, erfarenhetsåterföringRapporteringsarbetsflöde enligt NIS2, IKT-incidentlivscykel enligt DORAIncidentlogg, allvarlighetsmatris, aviseringsmallar, rotorsaksrapporter, övningsprotokoll
Verksamhetskontinuitet och återställningIKT-beredskap, säkerhetskopior, säkerhet vid störningarSäkerhetskopiering och krishantering enligt NIS2, kontinuitet och återställning enligt DORABIA, kontinuitetsplaner, tester av säkerhetskopior, RTO- och RPO-uppgifter, test av kriskommunikation
Leverantörsrisk och IKT-tredjepartsriskLeverantörsavtal, IKT-leveranskedja, molnanskaffning och exitSäkerhet i leveranskedjan enligt NIS2, IKT-tredjepartsregister och avtalsklausuler enligt DORALeverantörsgranskning, avtal, revisionsrätt, exitplaner, analys av koncentrationsrisk
Säker utveckling och sårbarheterSäker anskaffning, utveckling, ändring, sårbarhetshanteringSårbarhetshantering enligt NIS2, patchning och testning enligt DORASårbarhetsskanningar, SLA:er för åtgärdande, ändringsärenden, kodgranskning, penetrationstestrapporter
Övervakning av efterlevnad och korrigerande åtgärderÖvervakning, internrevision, avvikelse och korrigerande åtgärdKorrigerande åtgärder enligt NIS2, revision och uppföljning av åtgärdande enligt DORARevisionsrapporter, CAPA-register, KPI-panel, åtgärder från ledningens genomgång

Denna struktur gör varje revisionsområde till ett gemensamt objekt för säkerhetsförsäkran. Internrevisorn testar ISO 27001-kravet och dokumenterar sedan om samma underlag också stödjer förväntningar enligt NIS2, DORA, GDPR, NIST CSF och COBIT 2019.

Planera året utifrån risk, inte pappersarbete

Zenith Blueprint ger teamen en praktisk sekvens för att omsätta revision i förbättring:

  • Steg 25, Internrevisionsprogram: planera omfattning, frekvens, oberoende och riskbaserade prioriteringar.
  • Steg 26, Genomförande av revision: samla in objektiva revisionsbevis genom intervjuer, dokumentgranskning, observation och urval.
  • Steg 27, Revisionsiakttagelser, analys och rotorsak: klassificera iakttagelser och identifiera rotorsak.
  • Steg 28, Ledningens genomgång: för in revisionsresultat, incidenter, avvikelser, mål, risker och resursbehov i ledningens genomgång.
  • Steg 29, Ständig förbättring: bygg korrigerande åtgärder som eliminerar orsaker, inte bara symtom.

Zenith Blueprint är tydlig om oberoende:

Helst bör internrevisorn inte revidera sitt eget arbete.

Från fasen Revision, granskning och förbättring, steg 25: Internrevisionsprogram.

För ett mindre SaaS- eller fintech-bolag kan detta innebära att en chef från en annan funktion reviderar säkerhetsprocesser, att kontrollägare roteras eller att en extern konsult används. Det viktiga är att dokumentera kompetens och oberoende, särskilt när underlag för NIS2 och DORA senare kan granskas av kunder, tillsynsmyndigheter, tillsynsorgan eller externa revisorer.

Policy för revision och övervakning av regelefterlevnad för små och medelstora företag definierar också den minsta revisionsstrukturen:

Varje revision ska ha en definierad omfattning, mål, ansvarig personal och erforderligt underlag.

Från avsnittet ”Styrningskrav”, policyklausul 5.2.3.

En praktisk kvartalsstruktur för en snabbväxande SaaS- eller IKT-leverantör kan vara:

KvartalPrimärt revisionsfokusRegulatorisk betoningHuvudsakliga resultat
Q1Incidenthantering och rapporteringNIS2 Article 23, DORA Articles 17 to 19Incidentrevisionsrapport, test av aviseringsarbetsflöde, granskning av allvarlighetsmatris
Q2Riskhantering för IKT-tredjepartNIS2 Article 21, DORA Articles 28 to 30Leverantörsurval, avtalsgranskning, underlag för leverantörsgranskning, granskning av exitplanering
Q3Verksamhetskontinuitet och resiliensprovningNIS2 Article 21, DORA Articles 11, 12, 24 to 27Underlag från återställning av säkerhetskopior, kontinuitetsövning, åtgärdande från resiliensprovning
Q4Styrning, risk och regelefterlevnadNIS2 Article 20, DORA Articles 5 och 6, ISO 27001 Clauses 5, 9 och 10Paket för ledningens genomgång, CAPA-status, beslut om kvarstående risk, revisionsplan för nästa år

Detta ersätter inte månatlig insamling av underlag. Det ger året en tydlig rytm för säkerhetsförsäkran.

Urval: hur mycket underlag räcker?

Urval är den punkt där många internrevisioner antingen blir för ytliga eller för kostsamma. I reglerade IKT-miljöer måste urvalet vara riskbaserat, förklarbart och dokumenterat.

Zenith Blueprint, steg 26, anger den praktiska principen:

Ta stickprov och gör stickprovskontroller: Du kan inte kontrollera allt, så använd urval.

Från fasen Revision, granskning och förbättring, steg 26: Genomförande av revision.

Clarysecs företagspolicy gör detta granskningsbart:

Dokumentation av urvalsstrategi, revisionsomfattning och begränsningar

Från avsnittet ”Styrningskrav”, policyklausul 5.5.3.

För NIS2 och DORA bör urvalet beakta kritikalitet, risk, leverantörens betydelse, tidsperiod, incidenthistorik, geografi och om den testade processen stödjer kritiska eller viktiga funktioner.

KontrollområdePopulationFöreslaget urvalRiskbaserad justering
ÅtkomsttilldelningAlla nya användarkonton under kvartalet10 konton eller 10 procent, beroende på vilket som är störstInkludera alla privilegierade konton och administratörer för kritiska applikationer
Borttagning av åtkomst för avgångna användareAlla avslutade användare under kvartalet100 procent för privilegierade användare, 10 standardanvändareUtöka urvalet om HR- eller IAM-integrationen har ändrats
LeverantörsgranskningAktiva IKT-leverantörerAlla kritiska leverantörer, 5 leverantörer med medelhög risk, 3 lågriskleverantörerInkludera leverantörer som stödjer finansiella kunder eller samhällsviktiga tjänster
Åtgärdande av sårbarheterKritiska och höga iakttagelser som stängts under kvartalet15 ärenden över flera systemInkludera internetexponerade system och återkommande undantag
IncidenthanteringAlla säkerhetsincidenter under kvartaletAlla större incidenter, 5 mindre incidenter, 3 exempel på falskt positiva triageringarInkludera incidenter med personuppgifter, kundpåverkan eller gränsöverskridande relevans
Återställning av säkerhetskopiorTester av säkerhetskopior som genomförts under kvartaletAlla tester av kritiska system, 3 icke-kritiska systemInkludera system som stödjer kritiska eller viktiga funktioner
ÄndringshanteringProduktionsändringar under kvartalet15 ändringar, inklusive akuta ändringarInkludera ändringar som påverkar autentisering, loggning, kryptering eller kunddata
SäkerhetsutbildningAnställda och uppdragstagare aktiva under perioden20 användare från flera avdelningarInkludera medlemmar i ledningsorgan och privilegierade tekniska roller

För DORA-påverkade miljöer kräver testunderlag särskild uppmärksamhet. DORA kräver testning av digital operativ resiliens för finansiella entiteter, med mer avancerad testning i form av hotstyrd penetrationstestning för utvalda entiteter minst vart tredje år. Ditt revisionsurval bör inte bara omfatta testrapporter, utan även underlag som visar att iakttagelser har prioriterats, åtgärdats och testats om.

Praktiskt revisionsexempel: IKT-tredjepartsrisk

Leverantörssäkerhet är ofta det snabbaste sättet att synliggöra gap mellan dokumentation och operativ verklighet. DORA Articles 28 to 30 kräver riskhantering för IKT-tredjepart, avtalsinnehåll och informationsregister. NIS2 Article 21 kräver säkerhet i leveranskedjan som beaktar sårbarheter och arbetssätt hos direkta leverantörer.

För en Q2-revision väljer Sarah fem kritiska leverantörer, tre nya leverantörer som introducerats under de senaste sex månaderna och två leverantörer med nyligen förnyade avtal. Revisorn intervjuar inköp, juridik, tjänsteägare och säkerhetskontrollägare.

DORA- eller NIS2-kravKontrollankare i ISO 27001:2022RevisionsfrågaUnderlag att samla in
DORA Article 28, IKT-tredjepartsregisterA.5.19 Informationssäkerhet i leverantörsrelationerFinns ett fullständigt och aktuellt register över avtal med IKT-tredjepartsleverantörer?Aktuellt leverantörsregister och poster för utvalda kritiska leverantörer
DORA Article 28, riskbedömning före avtalA.5.19 Informationssäkerhet i leverantörsrelationerGenomfördes leverantörsgranskning innan leverantörsavtal tecknades eller förnyades?Rapporter från leverantörsgranskning, riskbedömningar och godkännandeposter
DORA Article 30, avtalsinnehållA.5.20 Hantering av informationssäkerhet i leverantörsavtalInnehåller avtalen säkerhetsåtgärder, revisionsrätt, incidentstöd och stöd vid uppsägning där det krävs?Avtal, tillägg, säkerhetsbilagor och anteckningar från juridisk granskning
NIS2 Article 21, säkerhet i leveranskedjanA.5.21 Hantering av informationssäkerhet i IKT-leveranskedjanÄr leverantörernas säkerhetspraxis, underleverantörsled och tjänsteberoenden förstådda?Leverantörsfrågeformulär, redovisning av underleverantörer och beroendekartor
Löpande leverantörsövervakningA.5.22 Övervakning, granskning och ändringshantering av leverantörstjänsterGranskas leverantörernas prestation och säkerhet över tid?QBR-protokoll, SLA-rapporter, revisionsrapporter och årliga granskningsprotokoll

Tabellen gör mer än att styra insamlingen av underlag. Den visar att organisationen har översatt regulatorisk text till ISO-anpassade revisionskriterier och konkret underlag.

Iakttagelser: skriv dem så att ledningen kan agera

En revisionsiakttagelse ska inte låta som ett vagt klagomål. Den ska vara tillräckligt strukturerad för att ledningen ska förstå risken, tilldela ägarskap och godkänna korrigerande åtgärd.

Policy för revision och övervakning av regelefterlevnad för små och medelstora företag anger:

Alla revisionsiakttagelser ska dokumenteras med riskklassning och föreslagna åtgärder.

Från avsnittet ”Styrningskrav”, policyklausul 5.4.1.

Företagsversionen av Policy för revision och övervakning av regelefterlevnad lägger till disciplinen för korrigerande åtgärder:

Alla iakttagelser ska resultera i en dokumenterad CAPA som omfattar:

Från avsnittet ”Krav för genomförande av policyn”, policyklausul 6.2.1.

I Zenith Blueprint rekommenderar steg 27 att iakttagelser kategoriseras som större avvikelser, mindre avvikelser eller observationer, och att rotorsaksanalys därefter genomförs. En större avvikelse indikerar en allvarlig brist eller ett systematiskt fel. En mindre avvikelse är ett isolerat avsteg i en i övrigt överensstämmande process. En observation är en förbättringsmöjlighet.

En stark iakttagelse omfattar:

  • Krav eller kontrollförväntan.
  • Observerat förhållande.
  • Provtaget underlag.
  • Risk och verksamhetspåverkan.
  • Regulatorisk relevans.
  • Klassificering och riskklassning.
  • Rotorsak.
  • Ägare av korrigerande åtgärd och förfallodatum.

Exempel på iakttagelse:

Iakttagelse NC-2026-07, mindre avvikelse, försenad leverantörssäkerhetsgranskning

Krav: Säkerhetsgranskningar av kritiska IKT-leverantörer ska genomföras minst årligen och stödja ISO 27001-kontroller för leverantörer, NIS2-förväntningar på leveranskedjan och DORA-krav avseende IKT-tredjepartsrisk.

Förhållande: Två av tolv kritiska IKT-leverantörer hade inte slutförda säkerhetsgranskningar för 2026 vid föreskrivet datum.

Underlag: Export från leverantörsregister daterad 15 juni 2026, uppföljningsregister för leverantörsgranskningar, intervju med upphandlingsansvarig och två saknade granskningsposter.

Risk: Försenad leverantörsgranskning kan förhindra tidig identifiering av sårbarheter, ändringar i underleverantörsled, brister i incidentstöd eller avtalsrelaterad bristande efterlevnad som påverkar kritiska tjänster.

Rotorsak: Inköp aviserades inte automatiskt när datum för leverantörsgranskning närmade sig, och ägarskap för DORA-relaterat leverantörsunderlag var inte tilldelat.

Korrigerande åtgärd: Konfigurera automatiserade granskningspåminnelser, tilldela namngivna kontrollägare för alla kritiska IKT-leverantörer, slutför försenade granskningar senast den 31 juli 2026 och genomför kvartalsvisa stickprovskontroller.

För rotorsaksanalys är tekniken ”5 varför” användbar. Om en bedömning före avtal missades kanske den verkliga orsaken inte är ett individuellt misstag. Det kan vara att inköpsarbetsflödet tillät IKT-avtal med lågt värde att passera utan säkerhetsgranskning, trots att förväntningar enligt DORA och NIS2 gäller baserat på risk och beroende, inte enbart kostnad.

Underlagskalendern för 2026

En underlagskalender för 2026 gör internrevision till en operativ rytm. Den fördelar generering av underlag över året och undviker stressen vid årets slut.

Clarysecs Informationssäkerhetspolicy förväntar styrningsgranskning av:

Granskning av säkerhetsnyckeltal (KPI:er), incidenter, revisionsiakttagelser och riskstatus

Från avsnittet ”Styrningskrav”, policyklausul 5.3.2.

Underlag samlas inte in enbart för revisorer. Det används som grund för beslut om risk, budget, resurser, leverantörer, verktyg, utbildning och korrigerande åtgärder.

MånadFokus för revision och underlagViktiga underlagsresultat
JanuariBekräfta regulatorisk omfattning, ISMS-omfattning och revisionsplan för 2026Godkänd revisionsplan, granskning av ISMS-omfattning, bedömning av tillämplighet för NIS2 och DORA, uppdatering av rättsregister
FebruariStyrning, riskaptit och utbildning för ledningsorganStyrelseprotokoll, utbildningsloggar, riskkriterier, uppdaterat riskregister
MarsFörteckning över tillgångar, data och beroendenCMDB-export, dataflödeskartor, lista över kritiska tjänster, karta över sammankopplingar med IKT-leverantörer
AprilRevision av åtkomstkontroll och MFAPoster från åtkomstgranskning, urval av privilegierad åtkomst, rapport om MFA-täckning, testning av åtkomst för avslutade användare
MajSårbarheter, patchning och säker ändringshanteringSårbarhetsmätetal, underlag för åtgärdande, urval av ändringsärenden, godkännanden av undantag
JuniStyrning av leverantörer och molntjänsterUrval från leverantörsgranskning, granskning av avtalsklausuler, revisionsrätt, exitplaner, anteckningar om koncentrationsrisk
JuliÖvning i incidenthantering och rapporteringIncidentsimulering, klassificering av allvarlighetsgrad, test av NIS2-rapporteringsarbetsflöde, test av DORA-incidenteskalering
AugustiLoggning, övervakning och detekteringSIEM-användningsfall, trimning av larm, övervakningstäckning, eskaleringsurval
SeptemberSäkerhetskopiering, återställning och verksamhetskontinuitetPoster från test av säkerhetskopior, RTO- och RPO-underlag, kontinuitetsövning, test av kriskommunikation
OktoberSäker utveckling och applikationssäkerhetSDLC-underlag, urval av kodgranskning, säkerhetstestresultat, granskning av outsourcad utveckling
NovemberFullständig intern ISMS-revision och granskning över flera regelverkInternrevisionsrapport, register över iakttagelser, NIS2- och DORA-mappning, underlag för ansvarsskyldighet enligt GDPR
DecemberLedningens genomgång och stängning av korrigerande åtgärderProtokoll från ledningens genomgång, CAPA-status, acceptans av kvarstående risk, underlag till revisionsplan för 2027

Denna kalender ger revisionskommittén en framåtblickande plan för säkerhetsförsäkran och ger kontrollägare tid att skapa underlag genom normal drift.

ISO 27002:2022-ryggraden: 5.31, 5.35 och 5.36

Zenith Controls är Clarysecs guide för kartläggning över flera regelverk. Den mappar kontrollområden i ISO/IEC 27001:2022 och ISO/IEC 27002:2022 till andra standarder, regelverk, revisionsförväntningar och underlagsmönster. Den är särskilt användbar för att koppla samman intern granskning, rättsliga skyldigheter och efterlevnad av policyer.

Tre kontrollområden i ISO/IEC 27002:2022 utgör ryggraden i ett samlat internrevisionsprogram:

ISO 27002:2022-område som lyfts fram i Zenith ControlsRevisionsfrågaVärde för NIS2 och DORA
5.31 Rättsliga, lagstadgade, regulatoriska och avtalsmässiga kravVet vi vilka skyldigheter som gäller och har vi mappat dem till kontroller och underlag?Stödjer tillämplighet för NIS2, IKT-skyldigheter enligt DORA, kundavtal och ansvarsskyldighet enligt GDPR
5.35 Oberoende granskning av informationssäkerhetÄr granskningar objektiva, planerade, kompetenta och åtgärdade?Stödjer säkerhetsförsäkran för cybersäkerhetsåtgärder, testning av IKT-resiliens och ledningens tillsyn
5.36 Efterlevnad av policyer, regler och standarder för informationssäkerhetFöljs interna regler i praktiken och övervakas de kontinuerligt?Stödjer tillämpning av policyer, cyberhygien, åtkomstkontroll, incidentberedskap och korrigerande åtgärder

Kontroll 5.35 är hörnstenen i säkerhetsförsäkran eftersom den validerar om ISMS granskas oberoende. Kontroll 5.36 bekräftar att policyer inte bara är godkända, utan faktiskt följs. Kontroll 5.31 kopplar ISMS till rättsliga, regulatoriska och avtalsmässiga skyldigheter, inklusive NIS2, DORA, GDPR och kunders säkerhetskrav.

Kartläggning över flera regelverk: en revision, många perspektiv på säkerhetsförsäkran

Ett moget arbetsdokument för internrevision bör uttryckligen visa hur ett underlagsobjekt stödjer flera förväntningar på säkerhetsförsäkran.

RevisionsunderlagSäkerhetsförsäkran enligt ISO 27001Relevans för NIS2Relevans för DORARelevans för GDPR, NIST och COBIT
Rätts- och regulatoriskt registerSammanhang och krav på regelefterlevnadOmfattning, entitetsstatus, drivkrafter enligt Article 21Sektorsspecifika skyldigheter avseende IKT-resiliensAnsvarsskyldighet enligt GDPR, NIST CSF GOVERN, extern efterlevnad enligt COBIT
Riskregister och riskbehandlingsplanRiskbedömning, riskbehandling, tillämpbarhetsförklaringLämpliga och proportionerliga åtgärderRamverk och tolerans för IKT-riskhanteringRiskhantering enligt NIST, riskoptimering enligt COBIT
Rapport från skrivbordsövning för incidentIncidentberedskap och erfarenhetsåterföringBeredskap i rapporteringsarbetsflödeKlassificering, eskalering, rapportering och rotorsakBeredskap för personuppgiftsincident enligt GDPR, NIST CSF RESPOND, hanterade incidenter enligt COBIT
LeverantörsgranskningsfilLeverantörsrelation och IKT-leveranskedjaLeverantörers sårbarheter och arbetssättIKT-tredjepartsregister, leverantörsgranskning, exitplaneringNIST C-SCRM, leverantörsstyrning enligt COBIT
Återställningstest av säkerhetskopiorIKT-beredskap och kontinuitetSäkerhetskopiering, katastrofåterställning, krishanteringÅterställningsmål, återställning och integritetskontrollerTillgänglighet enligt GDPR, NIST CSF RECOVER, kontinuitet enligt COBIT
ÅtkomstgranskningÅtkomstkontroll och HR-säkerhetFörväntningar på åtkomstkontroll och MFAPrincipen om minsta privilegium och stark autentiseringRiktighet och konfidentialitet enligt GDPR, NIST CSF PROTECT

Detta gör att informationssäkerhetschefen kan säga till styrelsen: ”Vår incidentrevision i juli tog fram underlag för ISO 27001, NIS2, DORA-kundförsäkran, beredskap för personuppgiftsincidenter enligt GDPR, responsresultat enligt NIST CSF och incidentstyrning enligt COBIT.”

Ledningens genomgång: där revision blir ansvarsskyldighet

Internrevision har begränsat värde om iakttagelser inte når ledningen. Ledningens genomgång enligt ISO 27001 ger mekanismen, och NIS2 och DORA gör styrningsförväntan uttrycklig.

Policy för revision och övervakning av regelefterlevnad för små och medelstora företag kräver:

Revisionsiakttagelser och statusuppdateringar ska inkluderas i processen för ledningens genomgång av ISMS.

Från avsnittet ”Styrningskrav”, policyklausul 5.4.3.

Den anger också:

GM ska godkänna en plan för korrigerande åtgärder och följa upp dess genomförande.

Från avsnittet ”Styrningskrav”, policyklausul 5.4.2.

Ledningens genomgång bör besvara:

  • Återspeglas skyldigheter enligt NIS2, DORA, GDPR och avtal fortfarande korrekt i ISMS-omfattningen?
  • Revideras högriskkontroller tillräckligt ofta?
  • Vilka iakttagelser indikerar systematiska säkerhetssvagheter snarare än isolerade fel?
  • Är korrigerande åtgärder försenade?
  • Accepterar riskägare kvarstående risk medvetet?
  • Är leverantörer, incidentrapportering, kontinuitet och testning tillräckligt resurssatta?
  • Tyder revisionstrender på behov av ändringar i policy, verktyg, budget eller utbildning?

Om dessa svar inte dokumenteras kan organisationen ha underlag för aktivitet, men inte underlag för styrning.

Vanliga fallgropar att undvika under 2026

Det vanligaste misslyckandet är att behandla internrevision enligt ISO 27001 som något separat från regulatorisk säkerhetsförsäkran. Det skapar dubbelarbete och blinda fläckar.

Andra fallgropar är:

  • Omfattningen utesluter kritiska leverantörer, molnplattformar eller outsourcade SOC-tjänster.
  • Tillämpligheten för NIS2 eller DORA är inte dokumenterad i rättsregistret.
  • Revisionsplanen är inte godkänd av ledningen.
  • Urval genomförs men dokumenteras inte.
  • Internrevisorer granskar sitt eget arbete utan riskreducerande åtgärder.
  • Iakttagelser beskriver symtom men inte rotorsaker.
  • Korrigerande åtgärder uppdaterar dokument men åtgärdar inte processer.
  • Ledningens genomgång tar emot revisionsresultat men fattar inga beslut.
  • Incidentövningar testar teknisk respons men inte regulatorisk avisering.
  • Leverantörsrevisioner granskar frågeformulär men inte avtal, exitplaner eller koncentrationsrisk.
  • Underlag för säkerhetskopiering visar lyckade jobb men inte återställningens integritet.
  • Åtkomstgranskningar genomförs men undantag följs inte upp till stängning.

Varje fallgrop kan bli en mindre eller större avvikelse beroende på allvarlighetsgrad och systemisk påverkan. Ännu viktigare är att varje brist försvagar organisationens förmåga att visa resiliens enligt NIS2, DORA och vid kundgranskning.

Gör din revisionsplan för 2026 till en motor för underlag

Om ditt internrevisionsprogram fortfarande är en enskild årlig aktivitet är det dags att utforma det på nytt.

Börja med en ledningsgodkänd revisionsplan. Definiera ISMS-omfattningen kring faktiska tjänster, reglerade skyldigheter och tredjepartsberoenden. Bygg ett riskbaserat revisionsuniversum. Dokumentera urval. Klassificera iakttagelser konsekvent. Använd rotorsaksanalys. Följ upp CAPA. För in resultaten i ledningens genomgång. Upprätthåll en månatlig underlagskalender.

Clarysec kan hjälpa dig att komma framåt snabbare med:

Välj ett högriskområde, till exempel incidentrapportering eller styrning av IKT-leverantörer, och genomför en fokuserad internrevision med Clarysecs struktur för omfattning, urval och iakttagelser. Inom en cykel vet du om ditt underlag är redo för revision, om dina kontroller fungerar och om ditt ledningsorgan har den information som krävs för att styra cyberrisk.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Kontaktregister för NIS2 och DORA som ISO 27001-underlag

Kontaktregister för NIS2 och DORA som ISO 27001-underlag

Ett register över regulatoriska kontakter är inte längre administrativ ordning och reda. För NIS2, DORA, GDPR och ISO/IEC 27001:2022 är det ett operativt underlag som visar att organisationen kan underrätta rätt myndighet, tillsynsmyndighet, leverantör eller befattningshavare innan tidsfristen löper ut.

NIS2 2024/2690: ISO 27001-kartläggning för molnleverantörer

NIS2 2024/2690: ISO 27001-kartläggning för molnleverantörer

En sammanhållen kontrollkartläggning från NIS2:s genomförandeförordning 2024/2690 till ISO/IEC 27001:2022 för molnleverantörer, MSP:er, MSSP:er och datacenterleverantörer. Innehåller Clarysec-policyklausuler, revisionsbevis, anpassning till DORA och GDPR samt en praktisk färdplan för genomförande.