Styrning av ransomware-betalningar för NIS2 och DORA
Klockan är 03:17 en vardagsmorgon 2026. Maria, CISO för en snabbt växande fintech-plattform, kallas in till ett krismöte efter ett meddelande från den ansvariga SOC-analytikern: omfattande kryptering är bekräftad, centrala tjänster ligger nere och en ransomware-grupp uppger att den har stulit 2 TB kunddata.
VD:n ansluter först till samtalet. Därefter ansluter juridik, dataskydd, ekonomi, kommunikation, cyberförsäkringsgivaren, en leverantör av forensisk analys och molndriftsteamet. En portal på darknet visar en nedräkning på 48 timmar och ett sjusiffrigt krav i kryptovaluta.
VD:n ställer frågan som varje CISO fruktar.
”Kan vi betala, och vem får fatta beslutet?”
Fel svar är att behandla detta som en förhandlingsfråga. Rätt svar är att behandla det som en styrningsfråga.
År 2026 är styrning av beslut om ransomware-betalningar inte längre ett internt, tekniskt krisbeslut. Det kan granskas av tillsynsmyndigheter, revisorer, försäkringsgivare, kunder, brottsbekämpande myndigheter, aktieägare och styrelsen. Ett betalningsbeslut berör sanktionsrisk, bedömning av personuppgiftsincident, villkor i cyberförsäkring, avtalsförpliktelser, kriskommunikation, bevarande av bevismaterial, stegvis rapportering enligt NIS2, incidentklassificering enligt DORA, anmälan enligt GDPR och förbättringar efter incidenten.
Därför rekommenderar Clarysec att kunder bygger in styrning av beslut om ransomware-betalningar i sitt ISMS innan incidenten inträffar. ISO/IEC 27001:2022 ger strukturen för ledningssystemet. ISO/IEC 27002:2022-kontrollerna ger den operativa modellen. Zenith Blueprint: en revisors 30-stegs färdplan och Zenith Controls: vägledning för tvärgående efterlevnad hjälper till att omsätta strukturen i praktiskt, granskningsbart bevismaterial.
En ransomware-åtgärdsplan som endast säger ”underrätta juridik” räcker inte. Organisationen måste veta vem som får godkänna förhandling, hur sanktionskontroll ska utföras, när försäkringsgivaren måste godkänna, hur klassificering enligt GDPR, NIS2 och DORA ska dokumenteras och hur bevismaterial ska skyddas medan återställningsteam arbetar under press.
Varför ad hoc-beslut om ransomware-betalningar misslyckas
Ett beslut om ransomware-betalning beskrivs ofta som binärt: betala eller inte betala. I praktiken har beslutet minst sex lager:
- Är händelsen bekräftad, begränsad och korrekt klassificerad?
- Påverkas personuppgifter, reglerade data eller leverans av kritiska tjänster?
- Har organisationen rättsligt stöd för att kommunicera eller genomföra transaktioner med hotaktören?
- Kräver cyberförsäkringen förhandsanmälan, godkända leverantörer, samtycke eller särskilt bevismaterial?
- Skulle betalning minska verksamhetspåverkan, eller skulle den öka rättslig, finansiell och anseenderelaterad risk?
- Vem har befogenhet att fatta beslut, och hur dokumenteras beslutet?
Under en pågående incident drar frikopplade team ofta åt olika håll. CFO kan se lösensumman som en verksamhetskostnad jämfört med ökande avbrottstid. Juridik ser sanktioner, finansiell brottslighet och regulatorisk exponering. Dataskyddsombudet bedömer om krypterade eller exfiltrerade data utgör en anmälningspliktig personuppgiftsincident. Regelefterlevnadsfunktionen bevakar rapporteringsfrister enligt NIS2 och DORA. CISO försöker bevara bevismaterial samtidigt som tjänster återställs. VD vill ha en rekommendation innan angriparens timer löper ut.
Utan en formell beslutsprocess kan den starkaste rösten i rummet bli styrningsmodell. Det är precis den situation som modern cybersäkerhetsreglering är avsedd att förhindra.
NIS2 gör cybersäkerhet till ett ledningsansvar. Article 20 behandlar ledningsorganets styrning och ansvar, medan Article 21 kräver riskhanteringsåtgärder som omfattar incidenthantering, verksamhetskontinuitet, hantering av säkerhetskopiering, krishantering, säkerhet i leveranskedjan, åtkomstkontroll, tillgångshantering, MFA och bedömning av effektivitet. Article 23 skapar stegvis rapportering för betydande incidenter, inklusive tidig varning inom 24 timmar, underrättelse inom 72 timmar och slutrapport inom en månad där det är tillämpligt.
För finansiella entiteter är DORA det sektorsspecifika regelverket för digital operativ resiliens. Article 5 lägger ansvaret för IKT-riskhantering på ledningsorganet. Articles 17, 18 och 19 behandlar hantering, klassificering och rapportering av allvarliga IKT-relaterade incidenter. DORA kräver också respons- och återställningsförmåga, säkerhetskopiering och återställning, erfarenhetsåterföring efter incident, testning och IKT-tredjepartsriskhantering.
GDPR lägger till en separat men överlappande bedömning. Om ransomware orsakar oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter måste den personuppgiftsansvarige bedöma om en personuppgiftsincident har inträffat. Om anmälan krävs är tidsfristen till tillsynsmyndigheten normalt 72 timmar från kännedom. Om det finns hög risk för enskilda kan även kommunikation till berörda personer krävas.
Slutsatsen är enkel: lösensummefrågan ska inte ställas för första gången i krisrummet.
ISO 27001:2022-kontroller som förankrar betalningsstyrning
Ett ISO/IEC 27001:2022 ISMS är inte en checklista för revisorer. Det är ett ledningssystem för riskbaserat beslutsfattande. Styrning av ransomware-betalningar hör hemma i det systemet eftersom den kombinerar riskbedömning, riskbehandling, roller, rättsliga skyldigheter, incidentrespons, kontinuitet, leverantörshantering och ständig förbättring.
De mest relevanta kontrollerna i ISO 27001:2022 bilaga A bildar en sammanhängande kontrollkedja.
| Kontrollområde i ISO 27001:2022 | Varför det är viktigt vid styrning av ransomware-betalningar |
|---|---|
| A.5.24 Planering och förberedelse för hantering av informationssäkerhetsincidenter | Definierar ramverk för incidenthantering, eskaleringsmodell, kommunikation och beredskap innan utpressningen börjar. |
| A.5.25 Bedömning och beslut om informationssäkerhetshändelser | Fastställer hur händelser blir incidenter, hur allvarlighetsgrad bestäms och när eskalering till ledningen utlöses. |
| A.5.26 Respons på informationssäkerhetsincidenter | Styr begränsning, eliminering, samordning av återställning och operativt genomförande av beslut. |
| A.5.27 Lärande från informationssäkerhetsincidenter | Säkerställer att resultat av lösensummebeslut, nära-händelser, återkoppling från försäkringsgivare och iakttagelser från tillsynsmyndigheter förbättrar framtida kontroller. |
| A.5.28 Insamling av bevismaterial | Bevarar loggar, avbildningar, korrespondens, prover av skadlig kod och beslutsunderlag på ett rättsligt tillförlitligt sätt. |
| A.5.29 Informationssäkerhet vid avbrott | Håller säkerhetskontroller fungerande medan verksamheten arbetar i degraderat läge. |
| A.5.30 IKT-beredskap för verksamhetskontinuitet | Kopplar säkerhetskopior, återställningsprioriteringar, omkoppling och kontinuitetsplaner till incidentens beslutsprocess. |
| A.5.31 Rättsliga, lagstadgade, regulatoriska och avtalsmässiga krav | Fångar upp sanktionskontroll, regulatorisk rapportering, kundförpliktelser, försäkringsgivarens krav och juridiskt godkännande. |
| A.5.34 Integritet och skydd av PII | Driver bedömning av personuppgiftsincident enligt GDPR och dataskyddskonsekvensbedömning under utpressning. |
| A.6.3 Kontakt med myndigheter | Stödjer planerad kommunikation med tillsynsmyndigheter, CSIRT:er, brottsbekämpande myndigheter och behöriga myndigheter. |
| A.8.13 Säkerhetskopiering av information | Avgör om betalning är operativt relevant genom att visa tillgängliga återställningsalternativ. |
| A.8.15 Loggning och A.8.16 övervakningsaktiviteter | Tillhandahåller bevisunderlag för omfattning, tidslinje, påverkan och angriparaktivitet. |
I Zenith Controls klassificerar avsnittet för A.5.24, planering och förberedelse för hantering av informationssäkerhetsincidenter, kontrollen som korrigerande, kopplad till konfidentialitet, riktighet och tillgänglighet samt anpassad till koncepten Respond och Recover. Det kopplar också A.5.24 till händelsebedömning enligt A.5.25, lärande från incidenter enligt A.5.27, loggning enligt A.8.15, övervakning enligt A.8.16, säkerhet under avbrott enligt A.5.29, kontinuitet och kontakt med myndigheter.
Detta är viktigt eftersom styrning av ransomware-betalningar är en kedja. Om organisationen inte kan detektera och klassificera händelsen kan den inte fatta beslut. Om den inte kan bevara bevismaterial kan den inte försvara beslutet. Om rättsliga skyldigheter inte är mappade kan förhandling eller betalning vara olaglig. Om återställningsalternativ inte är testade kan ledningen pressas till ett beslut baserat på rädsla i stället för fakta.
Zenith Controls beskriver sambandet mellan förberedelse och beslutsfattande tydligt:
“5.25 är beslutspunkten som avgör när en händelse passerar tröskeln och blir en säkerhetsincident, vilket utlöser de åtgärder som anges i 5.26. En snabb och korrekt händelsebedömning säkerställer att incidentresponsen varken fördröjs eller styrs fel.”
Samma vägledning kopplar A.5.31, rättsliga, lagstadgade, regulatoriska och avtalsmässiga krav, till integritet, bevarande av dokumentation, oberoende granskning och efterlevnad av interna policyer. För ransomware är A.5.31 den plats där sanktionskontroll, försäkringsskyldigheter, kontakt med brottsbekämpande myndigheter, kundavtal, dataskyddsskyldigheter och sektorsspecifik regulatorisk rapportering samlas i ett register över efterlevnadskrav.
Clarysecs fem beslutsgrindar för styrning av ransomware-betalningar
Clarysecs modell delar upp styrning av beslut om ransomware-betalningar i fem beslutsgrindar. Syftet är inte att göra betalning enklare. Syftet är att göra varje beslut, inklusive beslut att inte betala, evidensbaserat, juridiskt granskat, behörigt beslutat och granskningsbart.
| Beslutsgrind | Nyckelfråga | Obligatoriskt underlag | Typisk ägare |
|---|---|---|---|
| Beslutsgrind 1: incidentdeklaration | Har en ransomware- eller utpressningsincident deklarerats enligt definierade kriterier? | SIEM-larm, telemetridata från slutpunkter, lösensummekrav, påverkade tillgångar, initial registrering av allvarlighetsgrad | Incidentledare eller CISO |
| Beslutsgrind 2: juridisk och regulatorisk triage | Omfattar incidenten personuppgifter, reglerade tjänster, sanktionsrisk, avtalsenlig underrättelse eller sektorsrapportering? | Mappning mot juridiskt register, bedömning av personuppgiftsincident enligt GDPR, klassificering enligt NIS2 eller DORA, anteckningar från juridisk rådgivare | Juridik, regelefterlevnad, dataskyddsombud |
| Beslutsgrind 3: återställningsbarhet | Kan organisationen återställa säkert utan betalning inom tolerabla konsekvensgränser? | Integritetskontroller av säkerhetskopior, RTO/RPO-status, konsekvensanalys för verksamheten (BIA), resultat från återställningstester | IT, kontinuitets- och katastrofåterställningsansvarig |
| Beslutsgrind 4: granskning av betalningsrisk | Är eventuell förhandling eller betalning rättsligt tillåten, godkänd av försäkringsgivare, sanktionskontrollerad och styrelsebeslutad? | Registrering av sanktionskontroll, försäkringsgivarens samtycke, dokumentation av samråd med brottsbekämpande myndigheter, finansiellt godkännande, riskacceptans | Verkställande ledning eller styrelse |
| Beslutsgrind 5: avslut och förbättring | Har beslut, kommunikation, rotorsak och erfarenhetsåterföring dokumenterats? | Incidentrapport, beviskedja, kommunikationslogg, plan för kontrollförbättring | CISO, ISMS-ansvarig, internrevision |
Modellen använder ISO 27001-logik för riskbehandling. En ransomware-betalning är inte en säkerhetskontroll. Den är som mest ett krisalternativ som övervägs inom ramen för riskbehandling och återställning. Före en incident bör organisationen redan ha beslutat hur ransomware-risker behandlas: reducera genom kontroller, överföra delar av den finansiella exponeringen genom försäkring, undvika oacceptabla beroenden till äldre system eller uttryckligen acceptera kvarstående risk där det är motiverat.
I riskhanteringsfasen, steg 13, planering av riskbehandling och tillämpbarhetsförklaring, instruerar Zenith Blueprint organisationer att fastställa behandlingsalternativ för varje risk och dokumentera dem i riskregistret. Den varnar för att överföring, till exempel cyberförsäkring, inte tar bort behovet av kontroller eftersom överföring ofta hanterar finansiell konsekvens snarare än sannolikhet. Den anger också:
“Acceptans måste vara uttrycklig och godkänd av ledningen, särskilt för risker på medelnivå. Höga risker accepteras sällan om de inte verkligen är oundvikliga och godkända på högsta nivå.”
Den formuleringen är direkt relevant för styrning av ransomware-betalningar. Om styrelsen ombeds acceptera kvarstående risk med att vägra betalning, eller den rättsliga och anseenderelaterade risken med att godkänna förhandling, ska acceptansen vara uttrycklig, dokumenterad och godkänd av rätt beslutsnivå.
Clarysecs Riskhanteringspolicy förstärker samma punkt:
“Beslut om riskbehandling ska följa de fördefinierade alternativen”
Från klausul 5.5.
Ett beslut om lösensumma är därför inte en genväg runt riskhantering. Det ska hanteras som ett formellt, dokumenterat beslut om riskbehandling enligt definierad befogenhet.
Policybefogenhet: vem får besluta under press?
Många ransomware-misslyckanden är styrningsbrister förklädda till tekniska fel. Någon kontaktar angriparen utanför godkänd kanal. Någon utlovar betalning före försäkringsgivarens godkännande. Någon återställer system och skriver över forensiskt bevismaterial. Någon informerar kunder för tidigt, för sent eller med felaktiga fakta.
Clarysecs policyer är utformade för att ta bort den oklarheten.
För små och medelstora företag anger Policy för styrningsroller och ansvar – SME en enkel regel:
“Alla betydande säkerhetsbeslut, undantag och eskaleringar ska dokumenteras och vara spårbara.”
Från avsnittet “Styrningskrav”, policyklausul 5.5.
SME-versionen av Policy för incidenthantering – SME tilldelar eskaleringsbefogenhet:
“Den verkställande chefen (GM) ansvarar för att godkänna alla beslut om incidenteskalering, regulatoriska underrättelser och extern kommunikation.”
Från avsnittet “Styrningskrav”, policyklausul 5.1.1.
Den kopplar också incidenter som rör kunddata till regulatoriska skyldigheter:
“När kunddata berörs ska den verkställande chefen bedöma rättsliga underrättelseskyldigheter utifrån tillämpligheten av GDPR, NIS2 eller DORA.”
Från avsnittet “Riskbehandling och undantag”, policyklausul 7.4.1.
För större organisationer kräver den organisationsövergripande Policy för styrningsroller och ansvar omedelbar eskalering där rättslig exponering eller rapporteringspliktiga personuppgiftsincidenter kan föreligga:
“Juridisk/regulatorisk eskalering: Incidenter som innebär potentiell rättslig exponering eller rapporteringspliktiga personuppgiftsincidenter ska omedelbart eskaleras till juridik- och regelefterlevnadsansvarig samt verkställande ledning.”
Från avsnittet “Krav för genomförande av policyn”, policyklausul 6.4.3.
Den organisationsövergripande Policy för incidenthantering definierar ledningsbefogenhet vid allvarliga incidenter. Klausul 4.6.1 anger att den verkställande ledningens roll är att:
“Fatta strategiska beslut under incidenter med hög allvarlighetsgrad, inklusive godkännande av underrättelser och offentlig kommunikation.”
I ransomware-sammanhang behandlar Clarysec diskussion om betalning, godkännande av förhandling, kundunderrättelse, regulatoriskt uttalande och offentlig kommunikation som strategiska beslut, inte tekniska åtgärder.
En praktisk styrningsregel följer: CISO kan rekommendera, incidentteamet kan bedöma, juridik kan ge råd, ekonomi kan validera betalningsmekanik, försäkringsgivaren kan samtycka eller neka täckning, men verkställande ledning eller styrelse ska äga beslutet enligt fördefinierad befogenhet.
Sanktionssäker eskalering före varje förhandling
En sanktionssäker ransomware-process börjar med ett förbud: ingen anställd, uppdragstagare, leverantör, mäklare, förhandlare eller incidenthanterare får förhandla, utlova, facilitera eller överföra värde till en hotaktör utan godkänd juridisk granskning.
Den juridiska kontrollpunkten ska inträffa före varje aktiv kontakt med angriparen, inte efter att en plånboksadress dyker upp. Processen bör omfatta:
- Juridisk rådgivare involveras före all kommunikation utöver passiv insamling av bevismaterial.
- Identifiering av hotaktör med hjälp av forensiska data, hotinformation och uppgifter från brottsbekämpande myndigheter där sådana finns.
- Sanktions- och motpartskontroll av gruppnamn, alias, plånboksadresser, infrastruktur, mellanhänder och betalningskanaler.
- Samråd med brottsbekämpande myndigheter övervägs och dokumenteras.
- Cyberförsäkringsgivaren underrättas enligt försäkringsvillkor före utnämning av leverantörer eller inledning av förhandlingar.
- Dataskyddsombud eller dataskyddsansvarig involveras om personuppgifter kan beröras.
- CFO eller ekonomiansvarig bekräftar betalningskontroller, funktionsuppdelning, bedrägerikontroller och krav på styrelsegodkännande.
- Ledningsbeslut dokumenteras med övervägda alternativ, inklusive återställning, begränsning, tjänsteavstängning, kundkommunikation och vägran att betala.
- Bevismaterial bevaras för angriparkommunikation, indikatorer, plånboksuppgifter, beslutsmöten, godkännanden och extern rådgivning.
För ransomware bör det juridiska registret minst omfatta följande källor till skyldigheter.
| Källa till skyldighet | Påverkan på betalningsstyrning |
|---|---|
| Sanktioner och krav avseende finansiell brottslighet | Ingen förhandling eller betalning utan juridisk kontroll och dokumenterat godkännande. |
| Cyberförsäkringsavtal | Underrättelse till försäkringsgivare, godkända leverantörer, förhandssamtycke, krav på bevismaterial och täckningsvillkor. |
| GDPR | Bedömning av personuppgiftsincident, anmälan till tillsynsmyndighet, kommunikation till registrerade och ansvarsskyldighetsunderlag. |
| NIS2 | Klassificering av betydande incident, tidig varning inom 24 timmar, underrättelse inom 72 timmar och slutrapport efter en månad där det är tillämpligt. |
| DORA | Klassificering av allvarlig IKT-relaterad incident, rapportering till behörig myndighet, kundkommunikation och rotorsaksanalys efter incident. |
| Kundavtal | Underrättelse om säkerhetsincident, servicenivååtaganden, revisionsrätt och skyldigheter för kundkommunikation. |
| Förväntningar från brottsbekämpande myndigheter | Bevarande av bevismaterial, hantering av angriparkommunikation och samordningsunderlag. |
Organisationer bör också definiera vem som får stoppa ett betalningsbeslut. Juridik, regelefterlevnad, dataskyddsombud, sanktionsjurist eller styrelsen bör ha uttrycklig befogenhet att pausa förhandling eller betalning om kontroller är ofullständiga, bevismaterial är otillförlitligt, försäkringsvillkor inte är uppfyllda eller åtgärden kan bryta mot lag eller avtal.
Bevarande av bevismaterial: förstör inte bevis när tjänster återställs
Ransomware-team skyndar naturligt att återställa verksamheten. Men om återställning förstör loggar, ögonblicksbilder, lösensummekrav, prover av skadlig kod, minnesavbildningar eller angriparmeddelanden kan organisationen förlora möjligheten att visa vad som hände.
I fasen Controls in Action, steg 23, organisatoriska kontroller, anger Zenith Blueprint att organisationer ska validera och testa incidenthanteringsförmåga genom att definiera rapporteringspliktiga säkerhetshändelser, dokumentera beslutsfattande och bevara forensiskt bevismaterial. Den instruerar team att:
“Fånga och logga alla beslut, roller och kommunikationer (5.26), och uppdatera planen med lärdomar (5.27). Bekräfta att rutiner finns för att bevara forensiskt bevismaterial (5.28), inklusive ögonblicksbilder av loggar, säkerhetskopior och säker isolering av påverkade system.”
Samma steg förklarar A.5.28 på ett språk som varje styrelse bör förstå:
“vad ni kan bevisa är lika viktigt som vad som faktiskt hände”
Clarysecs organisationsövergripande Policy för bevisinsamling och forensik förstärker att bevismaterial ska förbli spårbart:
“En beviskedjelogg ska följa allt fysiskt eller digitalt bevismaterial från inhämtningstidpunkten till arkivering eller överlämning och ska dokumentera:”
Från avsnittet “Styrningskrav”, policyklausul 5.6.
För små och medelstora företag är Policy för bevisinsamling och forensik – SME avsiktligt praktisk:
“En forensisk kopia eller export ska alltid skapas; det ursprungliga bevismaterialet får aldrig redigeras direkt.”
Från avsnittet “Krav för genomförande av policyn”, policyklausul 6.1.1.
Den kräver också juridiskt samråd där HR-, juridisk eller kundpåverkan kan förekomma:
“Om incidenten innebär potentiell påverkan på HR, juridik eller kunder ska den verkställande chefen samråda med juridisk rådgivare innan verkställighet eller eskalering fortsätter.”
Från avsnittet “Styrningskrav”, policyklausul 5.4.2.
Ett praktiskt bevispaket bör öppnas under beslutsgrind 2. Skapa en begränsad mapp för incidentens bevismaterial. Exportera SIEM-tidslinjer, EDR-detekteringar, revisionsloggar från molnmiljö, inloggningsloggar från identitetsleverantör, status för säkerhetskopieringsjobb, lösensummekrav, skärmdumpar, angriparmeddelanden, plånboksadresser, filprover, referenser till juridisk rådgivning, korrespondens med försäkringsgivare och mötesbeslut. Utse en informationsansvarig. Registrera hashvärden där det är lämpligt. Låt inte administratörer rensa upp påverkade system före forensisk inhämtning om det inte krävs för personsäkerhet, skydd av kritisk tjänst eller ledningsgodkänd begränsning.
Ett klassificeringsunderlag för NIS2, DORA och GDPR
En ransomware-incident kan utlösa flera tidsfrister. Utmaningen är inte bara att känna till tidsfristerna. Den är att veta när organisationen fick kännedom, vad den visste vid den tidpunkten och hur klassificeringsbeslut fattades.
NIS2 Article 23 kräver att väsentliga och viktiga entiteter utan onödigt dröjsmål underrättar CSIRT eller behörig myndighet om betydande incidenter. Betydelse är kopplad till allvarlig driftsstörning, finansiell förlust eller betydande materiell eller immateriell skada för andra. Den stegvisa modellen omfattar tidig varning inom 24 timmar, underrättelse inom 72 timmar, mellanliggande uppdateringar om sådana begärs och en slutrapport inom en månad från incidentunderrättelsen där det är tillämpligt.
DORA kräver att finansiella entiteter definierar och inför hantering av IKT-relaterade incidenter, registrerar incidenter och betydande cyberhot, klassificerar incidenter med kriterier såsom berörda kunder, varaktighet, geografisk spridning, dataförlust, kritikalitet och ekonomisk påverkan samt rapporterar allvarliga IKT-relaterade incidenter till behöriga myndigheter genom initiala, mellanliggande och slutliga rapporter.
GDPR ställer en annan men överlappande fråga: orsakade incidenten en personuppgiftsincident? Om ja, är den sannolik att medföra risk för enskilda? Om anmälningströskeln uppnås ska anmälan till tillsynsmyndighet bedömas mot 72-timmarsfristen. Om hög risk föreligger kan även kommunikation till enskilda behövas.
Clarysec rekommenderar att ett samlat klassificeringsunderlag för ransomware används, med separata avsnitt för varje regelverk.
| Klassificeringsområde | Exempel på ransomware-fråga | Utdata |
|---|---|---|
| Operativ påverkan | Är kritiska tjänster störda eller sannolikt på väg att störas? | Underlag för betydelse enligt NIS2 och kritikalitet enligt DORA |
| Finansiell påverkan | Har incidenten orsakat eller kan den orsaka väsentlig finansiell förlust? | Underlag för allvarlighetsgrad enligt NIS2 och DORA |
| Kundpåverkan | Påverkas tjänstemottagare, kunder, motparter eller transaktioner? | Underlag för NIS2, DORA och avtalsenlig underrättelse |
| Personuppgifter | Har personuppgifter åtkommits, exfiltrerats, ändrats, förstörts eller gjorts otillgängliga? | Underlag för bedömning av personuppgiftsincident enligt GDPR |
| Datakänslighet | Innehåller berörda data särskilda kategorier av uppgifter, autentiseringsuppgifter, finansiella data, identitetshandlingar eller barns uppgifter? | Underlag för risk- och kommunikationsbedömning enligt GDPR |
| Gränsöverskridande påverkan | Påverkas flera medlemsstater, jurisdiktioner, kunder eller tjänsteplatser? | Underlag för rapportering enligt NIS2 och DORA |
| Tillförlitlighet i underlag | Vilka fakta är bekräftade, misstänkta eller okända? | Grund för stegvis rapportering och uppdateringar |
Detta arbetssätt passar ISO 27001-klausulerna om riskbedömning, riskbehandling och dokumenterad information. Det ligger också i linje med NIST CSF 2.0. Funktionen GOVERN i NIST CSF 2.0 förväntar sig att organisationer förstår intressenter, rättsliga och regulatoriska skyldigheter, riskaptit, roller, policy, tillsyn och tredjepartsrisk. Dess resultat för detektering, respons och återställning stödjer incidentdeklaration, analys, samordning av respons, underrättelse till intressenter, genomförande av återställning och validering av återställning.
För finansiella entiteter kan DORA fungera som det sektorsspecifika cybersäkerhetsregelverket för överlappande NIS2-skyldigheter, men det tar inte bort behovet av att förstå NIS2-tillämplighet för koncernenheter, IKT-leverantörer, hanterade tjänster eller molnberoenden. Det praktiska svaret är inte att underhålla separata åtgärdsplaner. Det är att använda en gemensam ISMS-baserad evidensmodell som mappas mot alla relevanta skyldigheter.
Cyberförsäkring och leverantörssamordning är styrningskontroller
Cyberförsäkring kan vara värdefull, men den är inte en ransomware-strategi. Den är en mekanism för risköverföring med villkor. Under en ransomware-händelse kan försäkringsgivaren kräva omedelbar underrättelse, användning av panelbyråer, förhandsgodkännande för förhandling, bevarande av bevismaterial, bevis på brister i säkerhetskopiering, bevis på rimliga kontroller och juridisk granskning före varje övervägande av betalning.
DORA gör IKT-tredjepartsrisk till ett centralt efterlevnadsområde. NIS2 Article 21 kräver också säkerhet i leveranskedjan och beaktande av leverantörers sårbarheter och cybersäkerhetspraxis. ISO 27001 stödjer samma logik genom leverantörs- och molnkontroller såsom A.5.19 till A.5.23, samt incident-, kontinuitets- och juridiska kontroller.
Zenith Controls kopplar incidentförberedelser till externa partner, inklusive forensiska företag, juridik, PR och kontakt med myndigheter. Ur revisionsperspektiv kan avsaknad av föridentifierade externa partner ses som en brist i beredskap eftersom den kan försena responsen under en verklig incident.
För styrning av ransomware-betalningar rekommenderar Clarysec att följande förhandlas i förväg:
- Beredskapsavtal för forensik eller villkor för snabb respons.
- Tillgänglighet hos extern juridisk rådgivare för personuppgiftsincidenter, sanktioner och strategi för advokatsekretess.
- Underrättelseväg till cyberförsäkringsgivare och lista över godkända leverantörer.
- Eskaleringsväg till molnleverantör för ögonblicksbilder, loggar, isolering och återställning.
- Samarbetsrutiner för incidenter med MSSP eller MDR.
- Granskningsprocess för PR och kriskommunikation.
- Bank- eller ekonomigodkännanden för eventuell extraordinär betalning.
- Kontaktprotokoll för brottsbekämpande myndigheter.
Detta mappas väl mot leveranskedjeresultat i NIST CSF 2.0, inklusive leverantörsroller och ansvar, leverantörsgranskning, avtalskrav för cybersäkerhet, samordning av leverantörsincidenter och aktiviteter efter avslut.
En praktisk åtgärdsplan för eskalering av ransomware-betalningar
De fem beslutsgrindarna kan översättas till en operativ åtgärdsplan. Varje steg bör vara dokumenterat, ägt och övat.
| Fas | Nyckelåtgärd | Ansvarig roll | Viktiga ISO 27001:2022-kontroller | Bevismaterial eller utdata |
|---|---|---|---|---|
| 1. Triage och deklaration | Bedöm händelsen mot kriterier, deklarera en betydande eller allvarlig incident, aktivera responsteamet | SOC-ansvarig, incidentledare | A.5.24, A.5.25 | Incidentärende, deklarationslogg, initial lägesrapport |
| 2. Konsekvensanalys för verksamheten (BIA) | Kvantifiera operativ påverkan, uppskatta RTO/RPO-läge, fastställ data- och tjänstekritikalitet | Verksamhetsägare, CISO, kontinuitets- och katastrofåterställningsansvarig | A.5.29, A.5.30, A.8.13 | Konsekvensanalys för verksamheten (BIA), iakttagelser från integritetskontroll av säkerhetskopior |
| 3. Bevarande av bevismaterial | Exportera loggar, bevara system, säkra bevismaterial och upprätthåll beviskedja | Forensikansvarig, incidentresponsteam | A.5.28, A.8.15, A.8.16 | Forensiska avbildningar, loggexporter, registrering av beviskedja |
| 4. Juridisk kontroll och sanktionskontroll | Involvera juridisk rådgivare, identifiera hotaktör, kontrollera sanktioner, bedöm rapporteringsskyldigheter | Juridikansvarig, dataskyddsombud, regelefterlevnad, extern juridisk rådgivare | A.5.31, A.5.34, A.6.3 | Juridiskt utlåtande, registrering av sanktionskontroll, rapporteringsunderlag |
| 5. Samordning med försäkringsgivare och leverantörer | Underrätta försäkringsgivare, bekräfta godkända leverantörer, samordna moln, MSSP och forensiskt stöd | CISO, juridik, leverantörsansvarig | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Försäkringsgivarens samtycke, leverantörsärenden, logg över leverantörsåtgärder |
| 6. Beslutsunderlag till ledningen | Presentera alternativ, risker, juridisk bedömning, återställningsbarhet, kommunikationspåverkan och försäkringsgivarens ståndpunkt | Incidentledare, CISO, juridik, CFO | A.5.1, A.5.2, A.5.26, A.5.31 | Beslutsunderlag för ransomware |
| 7. Godkänn och dokumentera | Behörig ledningsnivå beslutar om att förhandla, avstå, betala eller genomföra alternativa åtgärder | VD, verkställande ledning, styrelse | A.5.2, A.5.3, A.5.26, A.5.31 | Signerat beslutsunderlag, riskacceptans, åtgärdslogg |
| 8. Avslut och förbättring | Genomför rotorsaksanalys, erfarenhetsåterföring och uppdatering av kontroller | ISMS-ansvarig, CISO, internrevision | A.5.27, ISO 27001 clause 10.2 | Rapport över erfarenhetsåterföring, plan för korrigerande åtgärder, uppdaterade ISMS-poster |
Målet är inte att garantera ett bekvämt beslut. Det kanske inte finns något bekvämt beslut. Målet är att säkerställa att beslutet är behörigt, evidensbaserat, juridiskt informerat och försvarbart.
Den 90 minuter långa skrivbordsövningen som visar beredskap
Det enklaste sättet att testa styrning av ransomware-betalningar är inte en teknisk red team-övning. Det är en beslutsinriktad skrivbordsövning.
Använd Zenith Blueprint, fasen Controls in Action, steg 23, för att validera incidenthanteringsförmåga. Välj ett ransomware-scenario och genomför en tidsatt övning. Målet är inte att på förhand besluta att organisationen skulle betala eller aldrig betala. Målet är att visa att organisationen kan nå ett styrt beslut.
Scenario: en kunddatabas i molnmiljö är krypterad, angriparen påstår exfiltration, säkerhetskopior finns men har ännu inte integritetstestats, försäkringsgivaren har inte underrättats och angriparen lämnar en plånboksadress med 48 timmars tidsfrist.
Checklista för övningen:
- Deklarera incidenten och utse incidentledare.
- Öppna beslutsloggen för ransomware.
- Klassificera händelsen med A.5.25-kriterier.
- Identifiera påverkade tillgångar och verksamhetstjänster.
- Fastställ om personuppgifter berörs.
- Utlös arbetsflöden för bedömning enligt GDPR, NIS2, DORA och avtal.
- Underrätta juridik, dataskyddsombud, verkställande ledning, försäkringsgivare och forensisk leverantör.
- Bevara bevismaterial före destruktiva återställningsåtgärder.
- Kontrollera säkerhetskopiornas integritet och återställningsalternativ.
- Genomför sanktionskontroll före varje förhandling.
- Dokumentera om samråd med brottsbekämpande myndigheter krävs.
- Ta fram standardsvar för kunder och tillsynsmyndigheter.
- Presentera beslutsalternativ för behörig ledningsnivå.
- Dokumentera beslut, motivering, avvikande uppfattningar, godkännanden och nästa åtgärder.
- Schemalägg efterincidentgranskning och kontrollförbättringsåtgärder.
Resultatet bör vara ett komplett bevispaket: deltagarlista, tidslinje, klassificeringsunderlag, beslutslogg, kommunikationsutkast, juridiska åtgärdspunkter, åtgärdspunkter för försäkringsgivare, resultat från säkerhetskopiering och erfarenhetsåterföring. Det paketet är mycket värdefullt vid revision eftersom det visar att styrningen fungerar före en verklig kris.
Hur revisorer och tillsynsmyndigheter kommer att testa processen
Revisorer med olika bakgrund kommer att granska samma ransomware-process genom olika perspektiv.
| Revisorsperspektiv | Vad de kommer att begära | Hur bra bevismaterial ser ut |
|---|---|---|
| ISO 27001:2022-revisor | Är incidentplanering, händelsebedömning, respons, bevismaterial, rättsliga krav och erfarenhetsåterföring styrda? | Incidenthanteringsplan, SoA-mappning, riskregister, underlag från skrivbordsövningar, bevisrutin, beslutsloggar, resultat från ledningens genomgång |
| ISMS-revisor enligt ISO/IEC 27007-stil | Förstår personer sina roller och kan dokumentationen visa att processen fungerar? | Intervjuer med CISO, juridik, dataskyddsombud, SOC och ledning samt stickprov på incidentärenden och eskaleringsposter |
| NIST-anpassad granskare | Är styrning, detektering, respons, kommunikation och återställningsresultat integrerade? | CSF-profil, riskregister, övervakningsregler, kriterier för incidentdeklaration, intressentkommunikation, validering av återställning |
| COBIT 2019- eller ISACA-revisor | Finns ledningsägarskap, processkontroll, tillräckligt bevismaterial och ständig förbättring? | RACI, processmätetal, rapportering av regelefterlevnad, efterincidentgranskning, uppföljning av korrigerande åtgärder |
| DORA-inriktad revisor | Klassificeras, eskaleras, rapporteras, återställs och förbättras IKT-incidenter enligt IKT-riskramverket? | Kriterier för incidentklassificering, rapportering till ledningsorgan, bevismaterial för kundkommunikation, rotorsaksanalys, resiliensprovning |
| GDPR-/dataskyddsrevisor | Var bedömningen av personuppgiftsincident skyndsam, riskbaserad och dokumenterad? | Formulär för incidentbedömning, medverkan av dataskyddsombud, beslut om tillsynsmyndighet, motivering för kommunikation till registrerade, poster om behandlingssammanhang |
Zenith Controls tillhandahåller detaljerad revisionsmetodik för A.5.24, A.5.25 och A.5.31. För A.5.24 granskar revisorer incidenthanteringsplanen, allvarlighetsklassificeringar, roller, kontaktlistor, instruktioner för regulatorisk rapportering, övningar och upplägg med externa partner. För A.5.25 granskar de om kriterier för händelseklassificering finns, om poster från larmhantering visar utrednings- och eskaleringsbeslut, om SIEM och hotinformation används och om dataskyddsombud eller juridiska team involveras när personuppgifter kan påverkas. För A.5.31 letar revisorer efter juridiska register, efterlevnadsmappning, underlag för granskning, täckning i internrevision och rapportering till högsta ledningen.
Revisionsrisken är inte bara att en organisation betalade eller vägrade betala. Revisionsrisken är att ingen kan visa hur beslutet fattades.
Från utpressning till kontrollförbättring
Ransomware-styrning slutar inte när systemen är återställda. ISO 27001 förväntar sig ständig förbättring. A.5.27 lärande från informationssäkerhetsincidenter är central för den förväntningen. DORA kräver rotorsaksanalys och ytterligare kontroller. Slutrapportering enligt NIS2 förväntar sig riskbegränsande åtgärder och sannolik rotorsak där det är tillämpligt. Ansvarsskyldighet enligt GDPR förväntar sig dokumentation av beslut och skyddsåtgärder.
Varje efterincidentgranskning efter ransomware bör besvara:
- Identifierades rapporteringsfristerna korrekt?
- Fungerade beslutsbefogenheten som avsett?
- Skedde juridisk granskning och sanktionskontroll tillräckligt tidigt?
- Hjälpte eller fördröjde samordningen med försäkringsgivaren responsen?
- Var säkerhetskopiorna fullständiga, separerade, återställningsbara och testade?
- Var loggarna tillräckliga för att bedöma åtkomst och exfiltration?
- Svarade leverantörer enligt avtal?
- Var kundkommunikation korrekt och skyndsam?
- Fick ledningen rätt information vid rätt tidpunkt?
- Vilka kontroller, policyer, avtal eller utbildningar måste ändras?
Svaren bör uppdatera riskregistret, Statement of Applicability, incidenthanteringsplanen, strategin för säkerhetskopiering, leverantörsavtalen, kommunikationsplanen och utbildningsprogrammet.
I fasen ISMS Foundation and Leadership, steg 5, betonar Zenith Blueprint planering av extern kommunikation, inklusive att identifiera kunder, tillsynsmyndigheter, partner och allmänheten, fastställa vad och när som ska kommuniceras samt definiera vem som kommunicerar. För ransomware blir det steget bryggan mellan teknisk respons och bevarande av förtroende.
Bygg beslutsunderlaget före lösensummekravet
Den bästa tidpunkten att styra ett beslut om lösensumma är innan angriparen sätter tidsfristen.
Om er ransomware-åtgärdsplan inte definierar beslutsbefogenhet, juridisk granskning, sanktionskontroll, försäkringsgodkännande, bevarande av bevismaterial, klassificering enligt NIS2 och DORA, bedömning av personuppgiftsincident enligt GDPR och dokumentation på styrelsenivå har organisationen en styrningslucka som väntar på en kris.
Clarysec hjälper organisationer att bygga in denna förmåga i ISMS med hjälp av:
- Zenith Blueprint: en revisors 30-stegs färdplan för stegvis införande av ISO 27001, riskbehandling, kommunikationsplanering och validering av incidentförmåga.
- Zenith Controls: vägledning för tvärgående efterlevnad för mappning av ISO 27001-kontroller mot NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 och revisionsbevis.
- Clarysecs policyer för större organisationer och små och medelstora företag, inklusive Policy för incidenthantering, Policy för incidenthantering – SME, Policy för bevisinsamling och forensik, Policy för bevisinsamling och forensik – SME, Policy för styrningsroller och ansvar, Policy för styrningsroller och ansvar – SME och Riskhanteringspolicy.
- Praktiska mallar för ransomware-skrivbordsövningar, beslutsloggar, juridiska eskaleringsmatriser, bevispaket och rapporteringsunderlag för tvärgående efterlevnad.
Vänta inte till samtalet klockan 03:00 för att upptäcka vem som får fatta beslut. Granska er incidenthanteringsplan mot Clarysecs fem beslutsgrindar, genomför en 90 minuter lång skrivbordsövning om ransomware-betalning och bygg ett sanktionssäkert, revisionsredo beslutsunderlag som håller för granskning av tillsynsmyndigheter, försäkringsgivare och den egna styrelsen.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council