ISO 27001:2022-underlag för utbildning i säkerhetsmedvetenhet för NIS2 och DORA
Klockan är 09:12 en tisdagsmorgon i februari 2026. En finansanalytiker på ett snabbt växande fintech-bolag får ett e-postmeddelande som ser ut att komma från CFO och ber om en brådskande granskning av en fil med leverantörsbetalningar. Bilagan öppnar en övertygande Microsoft-inloggningssida. Analytikern tvekar, minns förra månadens phishing-simulering och modul om betalningsbedrägerier och rapporterar e-postmeddelandet via säkerhetsportalen i stället för att ange sina inloggningsuppgifter.
För CISO är det en enskild kontroll som fungerar i praktiken.
För revisorn räcker berättelsen inte.
Begäran om underlag kommer en vecka senare: ”Tillhandahåll underlag för ett heltäckande, rollbaserat program för informationssäkerhetsmedvetenhet och utbildning, inklusive effektivitetsmått och register som visar täckning för all personal, inklusive ledning.”
Den meningen förändrar samtalet. Ett kalkylblad där det står ”Genomfört” bredvid 97 procent av de anställda är inte längre tillräckligt. Revisorn kommer att fråga vem som utbildade analytikern, när utbildningen tilldelades, om den var obligatorisk, om den var rollbaserad, om finansfunktionen fick ytterligare medvetenhet om betalningsbedrägerier, om nyanställda och uppdragstagare omfattades, om ledningen godkände programmet, om utbildningen ändrades efter den senaste phishingkampanjen och om register över genomförande bevarades.
År 2026 ligger underlag för utbildning i säkerhetsmedvetenhet i skärningspunkten mellan ISO/IEC 27001:2022, NIS2, DORA, GDPR och NIST CSF 2.0. Det är inte längre en årlig HR-övning. Det är styrelsestyrning, riskbehandling, incidentberedskap, rättslig ansvarsskyldighet och revisionsbevis.
Clarysec behandlar säkerhetsmedvetenhet som ett operativt system för underlag, inte som presentationsmaterial. Zenith Blueprint: En revisors 30-stegs färdplan Zenith Blueprint, Zenith Controls: Guide för korsvis regelefterlevnad Zenith Controls, Informationssäkerhetsmedvetenhets- och utbildningspolicy – SME Informationssäkerhetsmedvetenhets- och utbildningspolicy – SME och Informationssäkerhetsmedvetenhets- och utbildningspolicy Informationssäkerhetsmedvetenhets- och utbildningspolicy kopplar rollbaserad utbildning till ISMS, regulatoriska skyldigheter, incidentrespons, leverantörsåtkomst och ledningens genomgång.
Varför generisk utbildning i säkerhetsmedvetenhet brister 2026
Den regulatoriska förändringen är tydlig. NIS2 gör cybersäkerhet till en ledningsfråga för väsentliga och viktiga entiteter. Article 20 kräver att ledningsorgan godkänner åtgärder för cybersäkerhetsriskhantering, övervakar genomförandet och genomgår utbildning. Article 21 inkluderar grundläggande cyberhygien och cybersäkerhetsutbildning som en del av den riskhanteringsbaslinje som krävs. För molnleverantörer, datacenterleverantörer, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster, DNS-leverantörer, TLD-register, onlinemarknadsplatser och sökmotorer har utbildning blivit en fråga på styrelsenivå.
DORA höjer kraven för finansiella entiteter och IKT-leverantörer som betjänar finanssektorn. Förordningen gäller från den 17 januari 2025 och kräver att finansiella entiteter upprätthåller ett internt ramverk för styrning och kontroll av IKT-riskhantering. Ledningsorgan ska övervaka IKT-risker, budgetar, revisioner, tredjepartsarrangemang, verksamhetskontinuitet, respons- och återställningsplaner samt digital operativ resiliens. DORA Articles 17 to 19 kräver även att IKT-relaterade incidenter detekteras, klassificeras, eskaleras, kommuniceras och rapporteras. Utbildning är det som gör dessa rutiner genomförbara under press.
ISO/IEC 27001:2022 ger organisationer ledningssystemets ryggrad. Clauses 4 to 10 omfattar kontext, intressenter, ledarskap, riskbedömning, riskbehandling, kompetens, medvetenhet, dokumenterad information, utvärdering av prestanda och förbättring. Standarden är skalbar över sektorer och organisationsstorlekar, vilket är anledningen till att Clarysec använder den som operativ modell för integrerad anpassning till ISO, NIS2, DORA, GDPR och NIST ISO/IEC 27001:2022.
GDPR tillför lagret för ansvarsskyldighet. Organisationer måste visa att personuppgifter behandlas lagligt, korrekt, säkert och med lämpliga tekniska och organisatoriska åtgärder. Anställda som hanterar personuppgifter, administrerar system, bygger programvara, stödjer kunder eller utreder incidenter behöver utbildning i integritetsskydd och incidenteskalering.
NIST CSF 2.0 förstärker samma riktning. Funktionen GOVERN kopplar rättsliga, regulatoriska, avtalsmässiga, integritetsrelaterade och intressentbaserade krav till roller, ansvar, policyer, resurser, tillsyn och riskhantering på organisationsnivå. NIST CSF Profiles hjälper även till att översätta utbildningsskyldigheter till förbättringsplaner för nuläge och målläge.
Slutsatsen är enkel: revisionsklar utbildning i säkerhetsmedvetenhet måste visa att människor känner till sina ansvar, att utbildningen är anpassad till roll och risk och att underlaget är tillräckligt komplett för revisorer, tillsynsmyndigheter, kunder och ledning.
Revisionsproblemet: ”vi utbildade alla” är inte underlag
Många organisationer får avvikelser i revisioner inte för att de inte har genomfört någon utbildning, utan för att de inte kan visa att utbildningen har utformats, tilldelats, genomförts, granskats och förbättrats.
Ett svagt underlagspaket innehåller vanligtvis en årlig PDF, ett kalkylblad över genomförande utan datum, inget introduktionsunderlag, ingen täckning för uppdragstagare, ingen utbildning för privilegierade användare, ingen ledningsutbildning, inga rollbaserade moduler för utvecklare eller finans, ingen koppling till riskbedömning och inget bevis på att utbildningen uppdaterades efter incidenter eller regulatoriska förändringar.
Revisorer vill inte ha en motivationsaffisch. De vill ha en beviskedja.
Clarysecs SME-policy gör den förväntningen tydlig. Informationssäkerhetsmedvetenhets- och utbildningspolicy – SME, Mål, clause 3.3, kräver att organisationer:
”Upprättar dokumenterade register över genomförande för att visa efterlevnad av rättsliga krav, avtalskrav och revisionskrav.”
Samma SME-policy gör utbildning till bevarad dokumenterad information. Krav för genomförande av policyn, clause 6.3.2, anger:
”Ett centralt kalkylblad eller personalinformationssystem ska bevara dessa register i minst tre år.”
För företagsmiljöer anger Informationssäkerhetsmedvetenhets- och utbildningspolicy, Syfte, clause 1.2, en mer strukturerad förväntan:
”Denna policy stödjer ISO/IEC 27001 Clause 7.3 och Annex A Control 6.3 genom att kräva ett strukturerat, riskbaserat ramverk för medvetenhet och utbildning som är anpassat till organisationens roller och föränderliga hot.”
Den formuleringen är viktig: strukturerad, riskbaserad, rollanpassad och hotmedveten. Det är skillnaden mellan medvetenhetsteater och försvarbar kompetens.
Börja med roller, inte kurser
Det vanligaste misstaget är att köpa innehåll innan ansvar har definierats. I ett integrerat efterlevnadsprogram är den första rätta frågan inte ”Vilken utbildningsplattform ska vi använda?” Den rätta frågan är ”Vilka roller skapar, hanterar, godkänner, behandlar, skyddar eller återställer informationstillgångar?”
ISO/IEC 27001:2022 Clause 5.3 kräver tilldelning och kommunikation av ansvar och befogenheter för informationssäkerhetsroller. Clause 7.2 kräver kompetens för personer som utför arbete under organisationens kontroll, baserat på utbildning, träning eller erfarenhet. Clause 7.3 kräver medvetenhet om informationssäkerhetspolicyn, bidrag till ISMS-effektivitet och konsekvenser av avvikelse.
I Zenith Blueprint, ISMS-grund och ledarskap, Step 5: Kommunikation, medvetenhet och kompetens, översätter Clarysec detta till genomförandespråk:
”Identifiera nödvändiga kompetenser: Fastställ vilken kunskap och vilka färdigheter som krävs för olika roller i ert ISMS.”
Blueprint ger praktiska exempel: IT-personal kan behöva säker serverkonfiguration, utvecklare behöver säker kodning, HR behöver säker hantering av personuppgifter och allmän personal behöver phishingmedvetenhet. Den betonar även register:
”Bevara kompetensregister: Clause 7.2 förväntar sig att ni bevarar dokumenterad information som bevis på kompetens.”
Det innebär att utbildningsprogrammet bör börja med en roll-till-risk-matris.
| Rollgrupp | Utbildningsfokus | Underlag att bevara | Efterlevnadsvärde |
|---|---|---|---|
| Alla anställda | Phishing, lösenordshygien, MFA, godtagbar användning, enhetssäkerhet, incidentrapportering | Rapport över genomförande, resultat från kunskapstest, policybekräftelse, innehållsversion | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022 control 6.3, NIS2 Article 21 |
| Ledande befattningshavare och styrelse | Styrning av cyberrisker, skyldigheter enligt NIS2 Article 20, tillsyn enligt DORA, riskaptit, beslut vid kris | Närvaroregister, styrelseunderlag, protokoll, programgodkännande | NIS2 Article 20, DORA Article 5, ledarskapsunderlag enligt ISO/IEC 27001:2022 |
| Utvecklare | Säker kodning, OWASP Top 10, säker SDLC, API-säkerhet, sårbarhetshantering, verktyg för hemlighetshantering | Genomförd modul, labbresultat, checklista för säker kodningspraxis, underlag för åtgärdande | ISO/IEC 27002:2022 controls 8.25 och 8.28, DORA-förväntningar på IKT-risk |
| IT- och systemadministratörer | Privilegierad åtkomsthantering, loggning, sårbarhetshantering, återställning av säkerhetskopior, ändringsstyrning, enhetshärdning | Register över genomförande, koppling till åtkomstgranskning, deltagande i skrivbordsövningar | ISO/IEC 27002:2022 controls 8.8 och 8.13, resiliensberedskap enligt DORA |
| HR | Konfidentialitet, introduktion och avslut av anställning eller uppdrag, disciplinära förfaranden, hantering av särskilda kategorier av personuppgifter | HR-utbildningsregister, introduktionschecklista, policybekräftelse | GDPR-ansvarsskyldighet, personalsäkerhetsåtgärder enligt ISO/IEC 27002:2022 |
| Finans | Betalningsbedrägerier, leverantörsimitation, funktionsuppdelning, eskalering av misstänkta förfrågningar | Genomförande av riktad modul, resultat från phishing-simuleringar | Reducering av bedrägeririsk, incidentberedskap enligt NIS2 och DORA |
| Kundsupport | Verifiering av digital identitet, säker ärendehantering, dataskydd, eskaleringsvägar | Genomförande av rollmodul, stickprov från ärendegranskning, integritetsbekräftelse | Ansvarsskyldighet för personuppgiftsbiträde enligt GDPR, kundförsäkran |
| Incidenthanterare | Klassificering, eskalering, bevarande av bevismaterial, tidslinjer för regulatorisk avisering, erfarenhetsåterföring | Övningsregister, scenariorapport, rolltilldelning, åtgärdsuppföljning | NIS2 Article 23, DORA Articles 17 to 19, incidentkontroller enligt ISO/IEC 27002:2022 |
| Uppdragstagare med systemåtkomst | Godtagbar användning, rapporteringskanal, datahantering, åtkomstvillkor | Bekräftelse från uppdragstagare, introduktionsregister, koppling till åtkomstgodkännande | Leverantörssäkerhet, behörighetsstyrning, avtalad efterlevnad |
Denna matris är inte bara ett utbildningsschema. Den är en efterlevnadskarta som visar varför olika populationer får olika utbildning.
Koppla utbildning till kontrollkedjan
I Zenith Controls kategoriseras ISO/IEC 27002:2022 control 6.3, Informationssäkerhetsmedvetenhet, utbildning och träning, som en förebyggande kontroll som stödjer konfidentialitet, riktighet och tillgänglighet. Dess cybersäkerhetskoncept är Protect, dess operativa förmåga är Human Resource Security och dess säkerhetsområden är Governance och Ecosystem.
Den korsvisa efterlevnadstolkningen i Zenith Controls är direkt:
”Control 6.3 hanterar NIS2:s krav på säkerhetsutbildning och medvetenhet genom att införa ett strukturerat medvetenhetsprogram som omfattar cyberhygien, framväxande hot och personalens ansvar.”
Samma mappning kopplar ISO/IEC 27002:2022 control 6.3 till GDPR-förväntningar för anställda som hanterar personuppgifter, DORA:s rollanpassade IKT-säkerhetsutbildning samt NIST SP 800-53 Rev.5 AT-2, AT-3 och AT-4 för grundläggande utbildning och medvetenhet, rollbaserad utbildning och utbildningsloggar.
Huvudpoängen är att control 6.3 inte står ensam. Zenith Controls kopplar den till ISO/IEC 27002:2022 control 5.2, Informationssäkerhetsroller och ansvar, eftersom roller definierar vem som behöver vilken utbildning. Den kopplas till control 6.8, Rapportering av informationssäkerhetshändelser, eftersom anställda inte kan rapportera det de inte kan känna igen. Den kopplas också till control 5.36, Efterlevnad av policyer, regler och standarder för informationssäkerhet, eftersom efterlevnad kräver att människor känner till reglerna.
Det skapar en praktisk kontrollkedja:
- Definiera ansvar.
- Tilldela baslinjeutbildning och rollbaserad utbildning.
- Visa genomförande.
- Testa förståelse.
- Övervaka efterlevnad.
- Åtgärda luckor.
- Föra in erfarenheter i riskbehandling och ledningens genomgång.
Detta är viktigt för NIS2 eftersom Article 21 kräver riskanalys, policyer, incidenthantering, verksamhetskontinuitet, säkerhet i leveranskedjan, säker anskaffning och underhåll, bedömning av kontrolleffektivitet, cyberhygien och utbildning, kryptografi, HR-säkerhet, åtkomstkontroll, policy för tillgångshantering samt MFA eller säker autentisering där det är lämpligt.
Det är viktigt för DORA eftersom styrning, incidenthantering, respons och återställning, tredjepartsrisk och resiliensprovning endast fungerar om människor vet vad de ska göra innan incidenten inträffar.
Bygg det revisionsklara underlagspaketet
Ett moget underlagspaket innehåller mer än närvarologgar. Det visar styrning, utformning, genomförande, slutförande, effektivitet och förbättring. Clarysec rekommenderar en struktur med sex mappar.
| Underlagsmapp | Innehåll | Varför det är viktigt |
|---|---|---|
| 01 Styrning | Godkänd policy, utbildningsmål, ledningsgodkännande, budget, årsplan | Visar ledarskapets åtagande och tillsyn |
| 02 Rollmappning | Rollförteckning, kompetensmatris, regler för utbildningstilldelning, omfattning för uppdragstagare | Visar riskbaserad och rollbaserad utformning |
| 03 Utbildningsinnehåll | Kurspresentationer, LMS-moduler, phishingmallar, säkerhetsbulletiner, versionshistorik | Visar vad personalen faktiskt fick lära sig |
| 04 Register över genomförande | LMS-exporter, HRIS-register, närvarologgar, resultat från kunskapstester, bekräftelser | Visar deltagande och bevarad dokumenterad information |
| 05 Underlag för effektivitet | Mätetal från phishing-simuleringar, intervjuresultat, trender i incidentrapportering, resultat från skrivbordsövningar | Visar om utbildningen förändrade beteende |
| 06 Förbättring | Korrigerande åtgärder, uppdaterade moduler, erfarenhetsåterföring, indata till ledningens genomgång | Visar ständig förbättring |
Clarysecs företagspolicy kräver introduktion, årlig repetitionsutbildning och rollbaserade moduler. Informationssäkerhetsmedvetenhets- och utbildningspolicy, Styrningskrav, clause 5.1.1.2, anger:
”Inkludera introduktion, årlig repetitionsutbildning och rollbaserade utbildningsmoduler”
Samma policy tilldelar ägarskap för underlag. Styrningskrav, clauses 5.3.1 och 5.3.1.1, anger:
”CISO eller utsedd delegat ska upprätthålla:”
”Register över genomförande för varje användare”
För SME lägger SME-policyn till en pragmatisk kadens. Informationssäkerhetsmedvetenhets- och utbildningspolicy – SME, Krav för genomförande av policyn, clause 6.1.1, anger:
”Material ska vara praktiskt, rollanpassat och uppdateras årligen.”
Den omfattar även utbildning som utlöses av förändringar. Clause 6.5.1 anger:
”När befattningsroller ändras eller system införs kan riktad medvetenhetsutbildning krävas (t.ex. säker fildelning, nya krav på dataskydd och uppgiftsminimering).”
Den klausulen är särskilt viktig 2026 eftersom molnmigrering, AI-verktyg, nya betalningsintegrationer, nya personuppgiftsbiträden och ändrade regulatoriska rapporteringskrav kan förändra risk snabbare än en årlig cykel.
En räddningsplan på en vecka före revisionen
Tänk dig en SaaS- eller fintech-leverantör med 180 personer som förbereder sig för ISO/IEC 27001:2022-uppföljningsrevision, DORA-relaterad leverantörsgranskning från kunder, GDPR-ansvarsskyldighetsgranskning och NIS2-drivna kundfrågor. CISO har en vecka på sig att omvandla generiska register över genomförande till ett försvarbart underlagspaket.
Dag 1: Bekräfta omfattning och skyldigheter
Använd ISO/IEC 27001:2022 Clauses 4.1 to 4.4 för att bekräfta kontext, intressenter och ISMS-omfattning. Fånga upp avtalsåtaganden gentemot kunder, skyldigheter som personuppgiftsansvarig eller personuppgiftsbiträde enligt GDPR, NIS2-förväntningar från kritiska kunder och DORA-relaterade begäranden om IKT-leverantörsgranskning.
Översätt sedan dessa skyldigheter till utbildningsbehov. GDPR kräver att personal som hanterar personuppgifter förstår konfidentialitet, minimering, bevarande och eskalering av personuppgiftsincidenter. NIS2 kräver cyberhygien, utbildning av anställda och ledningstillsyn. DORA-drivna kunder förväntar sig underlag som visar att team som stödjer kritiska tjänster förstår incidenteskalering, resiliens, åtkomstkontroll, säkerhetskopiering och återställning samt tredjepartssamordning.
Dag 2: Bygg den rollbaserade matrisen
Använd vägledningen i Zenith Blueprint och mappningarna i Zenith Controls för ISO/IEC 27002:2022 controls 5.2 och 6.3. Inkludera anställda, uppdragstagare, privilegierade användare, utvecklare, supportteam, HR, finans, ledande befattningshavare och incidenthanterare.
Koppla varje roll till system och risker. Utvecklare får säker kodning och sårbarhetshantering. Supportteam får verifiering av digital identitet och säker ärendehantering. Finans får betalningsbedrägerier och verifiering av leverantörsändringar. Ledande befattningshavare får styrning, rättslig ansvarsskyldighet, riskaptit och beslutsfattande vid kris.
Dag 3: Anpassa policy och tilldelningar
Anta eller uppdatera lämplig Clarysec-policy. Använd SME-policyn för en lättviktig operativ modell eller företagspolicyn för starkare styrning och ägarskap för underlag. Bekräfta att policyn omfattar introduktion, årliga repetitionsutbildningar, rollbaserade moduler, bevarande av underlag, täckning för uppdragstagare och utbildning som utlöses av förändringar.
Publicera policyn, samla in bekräftelser och koppla utbildningsmoduler till jobbfamiljer i HRIS eller LMS.
Dag 4: Genomför riktad utbildning
Utbilda inte alla i allt. Utbilda alla i baslinjekontroller och tilldela därefter rollspecifika moduler.
Baslinjemodulen bör omfatta phishing och social manipulation, lösenordshygien och MFA, godtagbar användning, säker hantering av information, rapporteringskanaler för incidenter, rapportering av förlorade enheter och grunderna i dataskydd.
Rollspecifika moduler bör omfatta säker SDLC för utvecklare, privilegierad åtkomsthantering och återställning av säkerhetskopior för IT, anställdas data för HR, betalningsbedrägerier för finans, incidentklassificering för incidenthanterare samt NIS2- och DORA-styrning för ledande befattningshavare.
Dag 5: Exportera och validera underlag
Skapa underlagspaketet med sex mappar. Exportera rapporter över genomförande, resultat från kunskapstester, versionsnummer för kurser, policybekräftelser och utbildningsscheman. Identifiera ej genomförda utbildningar och öppna korrigerande åtgärder.
Testa därefter förståelsen genom intervjuer. Fråga anställda från olika avdelningar:
- Vilken säkerhetsutbildning har du genomfört?
- Hur rapporterar du ett misstänkt e-postmeddelande?
- Vad skulle du göra om du tappade bort en bärbar dator?
- Var hittar du informationssäkerhetspolicyn?
- Vilka personuppgifter hanterar du i din roll?
Dokumentera resultaten som ett stickprov inom internrevision. Revisorer använder ofta intervjuer för att verifiera om medvetenheten har tagits till sig, inte bara levererats.
Dag 6: Koppla utbildning till incidentrespons
Använd utbildning i incidentrapportering som brygga till ISO/IEC 27002:2022 control 6.8, NIS2 Article 23 och DORA Articles 17 to 19.
NIS2 Article 23 kräver stegvis rapportering av betydande incidenter, inklusive tidig varning inom 24 timmar efter kännedom, avisering inom 72 timmar och en slutrapport inom en månad. DORA kräver att större IKT-relaterade incidenter klassificeras, eskaleras, kommuniceras och rapporteras genom den rapporteringslivscykel som krävs.
Anställda behöver inte memorera rättsliga tidsfrister, men de måste rapportera misstänkta incidenter tillräckligt snabbt för att organisationen ska kunna uppfylla dem.
I Zenith Blueprint, Controls in Action, Step 16: People Controls II, anger Clarysec:
”Ett effektivt incidentrespons-system börjar inte med verktyg, utan med människor.”
Det är inte mjuk vägledning. Det är operativ resiliens.
Dag 7: Förbered revisionsberättelsen
Den slutliga revisionsberättelsen bör vara kort och underbyggd av underlag:
”Vi identifierade utbildningsbehov baserat på ISMS-roller, rättsliga och avtalsmässiga skyldigheter, resultat från riskbedömning och systemåtkomst. Vi tilldelade baslinjemoduler och rollbaserade moduler via LMS. Vi bevarade register över genomförande, resultat från kunskapstester, innehållsversioner och bekräftelser. Vi testade effektivitet genom phishing-simuleringar, intervjuer och mätetal för incidentrapportering. Ej genomförd utbildning följs upp som korrigerande åtgärd. Ledningen granskar programmet årligen och efter väsentliga förändringar.”
Med stöd av underlag kan den berättelsen stå emot frågor vid ISO/IEC 27001:2022-revision, NIS2-styrningsgranskning, DORA-leverantörsgranskning från kunder, GDPR-ansvarsskyldighetsgranskning och NIST-baserad kontrollbedömning.
Korsvis efterlevnadsmappning för utbildning i säkerhetsmedvetenhet
Säkerhetsmedvetenhet felklassificeras ofta som en HR-uppgift. I praktiken är det en kontroll för korsvis regelefterlevnad som berör styrning, riskhantering, integritetsskydd, incidentrespons, leverantörsförsäkran och resiliens.
| Ramverk eller regelverk | Utbildningens relevans | Clarysecs genomförandepunkt |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetens, medvetenhet, ledarskap, rolltilldelning, dokumenterad information, övervakning, internrevision och förbättring | Zenith Blueprint Step 5 och Step 15, policyklausuler om introduktion, årliga repetitionsutbildningar, rollbaserad utbildning och underlag |
| ISO/IEC 27002:2022 | Control 6.3 medvetenhet, utbildning och träning, kopplad till 5.2 roller, 6.8 rapportering av händelser och 5.36 övervakning av efterlevnad | Zenith Controls mappar attribut, relaterade kontroller, revisionsförväntningar och anpassning mellan ramverk |
| NIS2 | Ledningsutbildning, cybersäkerhetsutbildning för anställda, cyberhygien, incidentberedskap och ansvarsskyldighet i styrning | Styrelsemodul, baslinje för anställda, modul för incidentrapportering, underlag för ledningsgodkännande |
| DORA | IKT-styrning, ledningstillsyn, lärande och utveckling, incidenteskalering, resiliensprovning och tredjepartsförväntningar | Ledningsutbildning, IKT-rollmoduler, utbildning för incidenthanterare, leverantörsinriktat underlagspaket |
| GDPR | Ansvarsskyldighet, säker behandling, medvetenhet om integritetsroller, identifiering av personuppgiftsincidenter och hantering av personuppgifter | Integritetsutbildning för HR, support, sälj, utveckling och incidentteam |
| NIST CSF 2.0 | GOVERN-funktionen, roller, policyer, rättsliga skyldigheter, tillsyn, profiler och förbättringsplanering | Utbildningsprofil för nuläge och målläge, gap-register och prioriterad åtgärdsplan |
| NIST SP 800-53 Rev.5 | Medvetenhetsutbildning, rollbaserad utbildning och utbildningsloggar | Mappning till AT-2, AT-3 och AT-4 genom Zenith Controls |
| COBIT 2019-baserad säkerhetsförsäkran | Styrningsmål, ansvarsskyldighet, förmåga, prestandamått och ledningsrapportering | Utbildnings-KPI:er, rollägarskap, ledningens genomgång och stängning av korrigerande åtgärder |
NIST CSF 2.0 är särskilt användbart för organisationer som behöver förklara mognad för intressenter utanför ISO. Metoden med Organizational Profiles stödjer planering av nuläge och målläge. En Current Profile kan till exempel ange att baslinjemedvetenhet finns, men att utbildning i säker kodning för utvecklare är ofullständig. En Target Profile kan kräva att alla utvecklare genomför utbildning i säker kodning, samordnad sårbarhetsrapportering och verktyg för hemlighetshantering senast Q3.
Hur revisorer och tillsynsmyndigheter testar utbildningsunderlag
Olika granskare ställer olika frågor, men alla testar samma sanning: vet organisationen vad människor måste göra, och kan den visa att människor är förberedda på att göra det?
En ISO/IEC 27001:2022-revisor kopplar utbildningsunderlag till Clauses 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 och 10.2 samt Annex A-kontroller. Förvänta dig frågor om hur kompetenskrav fastställdes, hur anställda känner till informationssäkerhetspolicyn, hur nyanställda och uppdragstagare utbildas, hur ej genomförd utbildning hanteras, hur rollbaserad utbildning kopplas till riskbedömning och Statement of Applicability samt hur effektivitet utvärderas.
Zenith Controls noterar att revisorer som använder ISO/IEC 19011:2018 kommer att granska läroplan, scheman, material, närvaroregister, intyg om genomförande och utbildarens kompetens. Den noterar också att ISO/IEC 27007:2020-revisorer kan använda intervjuer för att fastställa om anställda vet hur de rapporterar incidenter och minns centrala utbildningsbudskap.
En NIS2-fokuserad granskning ser bortom genomförandegrad. Den frågar om ledningsorganet godkände och övervakade åtgärder för cybersäkerhetsriskhantering, om ledningen fick utbildning, om personalens cyberhygienutbildning är regelbunden och om incidentrapportering förstås. Article 21 kräver även rutiner för att bedöma effektiviteten i åtgärder för cybersäkerhetsriskhantering, vilket gör phishingmått, trender i incidentrapportering och revisionsiakttagelser till underlag för kontrolleffektivitet.
En DORA-granskning, särskilt från en finansiell kund som bedömer en IKT-leverantör, fokuserar på operativ resiliens. Förvänta dig frågor om personal som stödjer kritiska finansiella tjänster, utbildningsloggar för team som hanterar betalningssystem, ledningsutbildning om IKT-tredjepartsrisk, incidentklassificering enligt DORA Article 18 och utbildning för uppdragstagare med åtkomst till kundmiljöer.
En GDPR-granskning fokuserar på ansvarsskyldighet. Organisationen måste visa att personal som hanterar personuppgifter förstår behandling med rättslig grund, konfidentialitet, minimering, bevarande, säker hantering och eskalering av personuppgiftsincidenter. För SaaS-, fintech- och leverantörer av hanterade tjänster är utbildningsunderlag en del av att visa att integritetskrav är inbyggda i operativt beteende.
Mätetal som visar kontrolleffektivitet
Genomförande är nödvändigt, men det räcker inte. En starkare kontrollpanel för 2026 visar om utbildningen förbättrade beteende.
| Mätetal | Vad det visar | Revisionstolkning |
|---|---|---|
| Genomförande per roll | Om tilldelade populationer har genomfört obligatoriska moduler | Grundläggande efterlevnad och täckning |
| Genomförande för nyanställda inom måltid | Om introduktionskontroller fungerar | Mognad inom HR och behörighetsstyrning |
| Genomförande av utbildning för privilegierade användare | Om högriskanvändare är förberedda | Riskbaserad prioritering |
| Klick- och rapporteringsgrad i phishing-simulering | Om beteendet förbättras | Effektivitet i medvetenhet |
| Incidentrapporter från anställda | Om människor känner igen och rapporterar händelser | Koppling till incidentberedskap |
| Tid från misstänkt e-postmeddelande till rapport | Om rapportering stödjer regulatoriska tidsfrister | Beredskap enligt NIS2 och DORA |
| Upprepad utebliven genomförandegrad | Om tillämpning och eskalering fungerar | Övervakning av efterlevnad |
| Utbildningsuppdateringar efter incidenter eller förändringar | Om erfarenhetsåterföring driver förbättring | Ständig förbättring |
Dessa mätetal stödjer ISO/IEC 27001:2022 Clause 9.1 för övervakning och mätning, Clause 9.2 för internrevision, Clause 10.1 för ständig förbättring och Clause 10.2 för avvikelse och korrigerande åtgärd. ISO/IEC 27002:2022 control 5.36 förstärker att efterlevnad av policyer, regler och standarder måste övervakas, utvärderas och åtgärdas.
Vanliga iakttagelser som Clarysec ser i revisioner
Samma svagheter återkommer gång på gång.
Organisationer utbildar anställda men glömmer ledande befattningshavare. Enligt NIS2 och DORA är ledningsutbildning en del av styrning, inte en mognadsbonus.
Organisationer genomför årlig utbildning men ignorerar rolländringar. En supporttekniker som går över till DevOps behöver utbildning i privilegierad åtkomst, loggning, säkerhetskopiering och incidenteskalering.
Organisationer inkluderar anställda men glömmer uppdragstagare. Zenith Blueprint Step 15 rekommenderar att utbildning utökas till uppdragstagare eller tredje parter som har åtkomst till system eller data.
Organisationer lär ut incidentrapportering men skapar rädsla. Om personal tror att de kommer att straffas för att klicka på en phishinglänk kan de välja att tiga. Zenith Blueprint Step 16 betonar enkla rapporteringskanaler, rapportering som stöds av medvetenhet och en skuldfri kultur.
Organisationer kan inte visa innehållsversionering. Om en revisor frågar vad anställda genomförde i mars räcker inte den aktuella presentationen på SharePoint. Bevara den version som levererades.
Organisationer misslyckas med att koppla utbildning till riskbehandling. Om ransomware, betalningsbedrägerier, felkonfiguration i moln eller dataläckage är en topprisk ska utbildningsplanen visa riktad behandling för relevanta roller.
Var Clarysec passar in
Clarysec hjälper organisationer att bygga ett försvarbart program i stället för fem frikopplade efterlevnadsspår.
Informationssäkerhetsmedvetenhets- och utbildningspolicy – SME ger mindre organisationer en praktisk baslinje: rollbaserade förväntningar, dokumenterade register, årliga uppdateringar, förändringsutlöst utbildning och bevarande i minst tre år.
Företagsversionen Informationssäkerhetsmedvetenhets- och utbildningspolicy ger större organisationer starkare styrning: strukturerad riskbaserad medvetenhet, introduktion, årliga repetitionsutbildningar, rollbaserade moduler, CISO-ägarskap för register och beredskap för regulatoriska inspektioner enligt GDPR, DORA och NIS2.
Zenith Blueprint visar genomförandeteam vad de ska göra i rätt ordning. Step 5 bygger in kompetens och medvetenhet i ISMS-grunden. Step 15 operationaliserar ISO/IEC 27002:2022 control 6.3 med årlig utbildning, rollspecifika moduler, introduktion, phishing-simuleringar, deltagarunderlag, riktade bulletiner, utbildning för uppdragstagare och beteendeförstärkning. Step 16 kopplar medvetenhet till personaldriven incidentrapportering.
Zenith Controls ger regelefterlevnadsteamet korsmappningen. Den kopplar ISO/IEC 27002:2022 control 6.3 till roller, rapportering av händelser, övervakning av efterlevnad, risker kopplade till mänskliga faktorer enligt ISO/IEC 27005:2024, GDPR-utbildningsförväntningar, NIS2 Article 21, DORA IKT-utbildning, NIST-kontroller för medvetenhet och revisionsmetodiker. Den kopplar även control 5.2 till styrningsansvar och control 5.36 till övervakning av efterlevnad och korrigerande åtgärd.
Tillsammans gör dessa resurser det möjligt för en CISO att förklara inte bara vilken utbildning som genomfördes, utan varför den genomfördes, vem som krävde den, vilken risk den behandlade, hur den underbyggdes och hur den förbättras.
Gör underlag för säkerhetsutbildning revisionsklart nu
Om ert nuvarande underlag är ett kalkylblad, en presentation och en förhoppning om att anställda minns rapporteringsadressen, är det dags att höja mognaden.
Börja med fyra åtgärder denna vecka:
- Skapa en rollbaserad utbildningsmatris kopplad till ISMS-ansvar, systemåtkomst och regulatoriska skyldigheter.
- Anta eller uppdatera er Clarysec-policy för medvetenhet med Informationssäkerhetsmedvetenhets- och utbildningspolicy – SME eller Informationssäkerhetsmedvetenhets- och utbildningspolicy.
- Bygg underlagspaketet med sex mappar för styrning, rollmappning, innehåll, genomförande, effektivitet och förbättring.
- Använd Zenith Blueprint och Zenith Controls för att mappa utbildningsunderlag mot revisionsförväntningar enligt ISO/IEC 27001:2022, NIS2, DORA, GDPR och NIST.
Säkerhetsmedvetenhet är värdefull när den förändrar beteende. Efterlevnadsunderlag är värdefullt när det visar att beteendet är konsekvent.
Clarysec hjälper er att bygga båda.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
