Säker fjärråtkomst och VPN-styrning för NIS2 och DORA
Klockan 07:42 en måndagsmorgon får Maria, informationssäkerhetschef hos en snabbt växande fintech-SaaS-leverantör, tre meddelanden innan kaffet.
Det första kommer från SOC: ett VPN-konto som tillhör en supportingenjör har autentiserats från ett land där företaget inte har någon personal. Det andra kommer från säljorganisationen: en kund inom finansiella tjänster vill ha underlag som visar att all privilegierad fjärråtkomst skyddas med MFA, loggas, segmenteras och granskas enligt DORA-anpassade kontroller för IKT-risk. Det tredje kommer från juridikfunktionen: samma händelse kan omfatta åtkomst till personuppgifter, och därför vill dataskyddsombudet förstå om underlaget för GDPR Article 32 är tillräckligt komplett för att visa lämpliga tekniska och organisatoriska åtgärder.
Inget har exploderat ännu. Ingen ransomware-notis. Ingen bekräftad exfiltration. Inget kundavbrott.
Men Maria känner till den obekväma sanningen. Om styrningen av fjärråtkomst är svag blir varje samtal om regelefterlevnad defensivt. En VPN-inloggning blir en NIS2-fråga om cyberhygien. Ett uppdragstagarkonto blir en DORA-fråga om IKT-tredjepartsrisk. En fjärrskrivbordssession in i en kundmiljö blir en GDPR-fråga om säkerhet i behandlingen. En saknad logg blir en revisionsiakttagelse.
Den externa revisionsrapporten som redan ligger på hennes skrivbord gör situationen värre. Revisorerna hittade inte en sofistikerad zero-day-attack. De hittade delade uppdragstagarkonton, inkonsekvent flerfaktorsautentisering, äldre VPN-grupper, ohanterade undantag och gigabyte av loggar som var för brusiga för att stödja en utredning. Det var teknisk skuld omvandlad till regulatorisk exponering.
Under 2026 är säker fjärråtkomst och VPN-styrning inte en avgränsad nätverkssäkerhetsfråga. Det är ett kontrollsystem på styrelsenivå som kopplar samman identitet, slutpunktssäkerhet, leverantörsåtkomst, sårbarhetshantering, loggning, incidentrespons, ansvarsskyldighet för dataskydd och operativ resiliens.
Problemet med fjärråtkomst har förändrats
För några år sedan innebar styrning av fjärråtkomst ofta ett enkelt svar: ”vi har VPN”. Det svaret håller inte längre vid seriös granskning.
En modern miljö för fjärråtkomst kan omfatta organisationens VPN-koncentratorer, Zero Trust Network Access-gateways, PAM-hoppvärdar, bastionvärdar för molnadministration, infrastruktur för fjärrskrivbord, leverantörers underhållstunnlar, åtkomst för leverantörer av hanterade tjänster, nödåtkomstkonton, SaaS-administrationsportaler, utvecklares åtkomst till produktion, mobila enheter, hemnätverk, publika Wi‑Fi-nätverk och BYOD-undantag.
Varje åtkomstväg kan bli en regulatorisk bevispunkt.
NIS2 Article 21 förväntar sig lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder. Dessa omfattar riskanalys och policyer för informationssystemens säkerhet, incidenthantering, verksamhetskontinuitet, säkerhet i leveranskedjan, säker anskaffning och säkert underhåll, sårbarhetshantering, policyer för att bedöma cybersäkerhetens effektivitet, cyberhygien, cybersäkerhetsutbildning, kryptografi och kryptering där det är relevant, HR-säkerhet, åtkomstkontrollpolicyer, policy för tillgångshantering, flerfaktorsautentisering eller kontinuerlig autentisering där det är lämpligt, säker kommunikation och säker nödkommunikation.
DORA kräver att finansiella entiteter upprätthåller dokumenterade ramverk för IKT-riskhantering, processer för IKT-incidenter, testning av digital operativ resiliens och styrning av IKT-tredjepartsrisk. DORA Article 5 lägger ansvaret på ledningsorganet att definiera, godkänna, övervaka och fortsatt ansvara för IKT-riskhanteringen. Article 28 kräver att IKT-tredjepartsrisk hanteras som en integrerad del av detta ramverk.
GDPR Article 32 kräver lämpliga tekniska och organisatoriska åtgärder för säkerhet i behandlingen, inklusive konfidentialitet, riktighet, tillgänglighet, resiliens, återställningsförmåga, testning och förmågan att visa att personuppgifter skyddas mot obehörig åtkomst, förlust, ändring eller röjande.
Informationssäkerhetschefens problem är inte om VPN fungerar. Den verkliga frågan är om organisationen kan visa att fjärråtkomst styrs, riskbedöms, godkänns, härdas, övervakas, granskas, testas och integreras i incidentresponsen.
Det är där ISO/IEC 27001:2022 blir användbar. Den behandlar inte VPN som en fristående appliance. Den placerar fjärråtkomst i ISMS: omfattning, intressenter, riskbedömning, kontrollval, operativ planering, leverantörshantering, internrevision, ledningens genomgång och ständig förbättring.
Börja med ISMS-omfattningen, inte brandväggsregeln
När Clarysec granskar styrning av fjärråtkomst börjar vi inte med att be om en skärmbild av VPN-konfigurationen. Vi börjar med ISMS-gränsen.
ISO/IEC 27001:2022 kräver att organisationen definierar sitt sammanhang, sina intressenter, sina krav och sin ISMS-omfattning, inklusive gränssnitt och beroenden med andra organisationer. För fjärråtkomst måste omfattningen uttryckligen omfatta de personer, system, leverantörer och nätverkstjänster som möjliggör distansarbete.
En SaaS- eller fintech-organisation bör identifiera:
- Anställda som får fjärråtkomst till produktionssystem
- Uppdragstagare och utvecklare med rättigheter för fjärradministration
- MSP:er, MSSP:er och andra leverantörer med operativ åtkomst
- Kundsupportpersonal som får åtkomst till kunddata
- Ekonomi-, HR- och juridikanvändare som får fjärråtkomst till personuppgifter
- Molnkonsoler och API:er för fjärrhantering
- VPN, ZTNA, identitetsleverantör och plattformar för enhetshantering
- Loggar, SIEM-integrationer och lagringsplatser för bevarande
- Undantag för fjärråtkomst och rutiner för nödåtkomst
- Leverantörshanterade perimeterenheter och verktyg för fjärrsupport
Detta är mer än god dokumentationshygien. NIS2-omfattningen kan föra in molnleverantörer, datacenter, MSP:er, MSSP:er, leverantörer av elektroniska kommunikationstjänster, leverantörer av digital infrastruktur och leverantörer av IKT-tjänstehantering i omfattningen, beroende på storlek, sektor och utpekande. DORA gäller finansiella entiteter och fungerar som den sektorspecifika IKT-riskregimen för dessa entiteter. GDPR kan gälla organisationer inom och utanför EU när behandlingen avser personer i EU, etableringar i EU, tjänster som erbjuds personer i unionen eller övervakning av beteende.
Om din ISMS-omfattning bortser från tredjepartsåtkomst på distans, fjärradministration, VPN-infrastruktur eller leverantörshanterad konnektivitet kan kontrolluppsättningen vara ofullständig redan innan revisorn börjar göra stickprov.
Bygg en kontrollstack för fjärråtkomst
Ett starkt program för fjärråtkomst bör byggas som en kontrollstack, inte som en enskild policy. I Clarysecs införandearbete omfattar de centrala kontrollerna i ISO/IEC 27002:2022 normalt:
- 6.7 Distansarbete
- 5.15 Åtkomstkontroll
- 5.16 Identitetshantering
- 5.17 Autentiseringsinformation
- 5.18 Åtkomsträttigheter
- 8.5 Säker autentisering
- 8.1 Slutanvändarenheter
- 8.8 Hantering av tekniska sårbarheter
- 8.9 Konfigurationshantering
- 8.15 Loggning
- 8.16 Övervakningsaktiviteter
- 8.20 Nätverkssäkerhet
- 8.22 Segregation av nätverk
- 5.19 Informationssäkerhet i leverantörsrelationer
- 5.20 Hantering av informationssäkerhet i leverantörsavtal
- 5.21 Hantering av informationssäkerhet i IKT-leveranskedjan
- 5.22 Övervakning, granskning och ändringshantering av leverantörstjänster
- 5.23 Informationssäkerhet vid användning av molntjänster
- 5.24 Planering och förberedelse för hantering av informationssäkerhetsincidenter
- 5.26 Respons på informationssäkerhetsincidenter
- 5.28 Insamling av bevismaterial
- 5.30 IKT-beredskap för verksamhetskontinuitet
Zenith Controls: vägledning för tvärgående efterlevnad mappar Distansarbete 6.7 som en förebyggande kontroll som stödjer konfidentialitet, riktighet och tillgänglighet, med operativa kopplingar till policy för tillgångshantering, informationsskydd, fysisk säkerhet samt system- och nätverkssäkerhet. Den kopplar också Distansarbete till Säkerhet för tillgångar utanför organisationens lokaler 7.9, Slutanvändarenheter 8.1, Informationssäkerhetsmedvetenhet, utbildning och träning 6.3, Informationsöverföring 5.14, Nätverkssäkerhet 8.20, Segregation av nätverk 8.22, rent skrivbord och tom skärm 7.7 samt IKT-beredskap för verksamhetskontinuitet 5.30.
Den relationen är viktig. Ett VPN-krav utan enhetshantering skyddar inte mot en stulen bärbar dator. MFA utan loggning stödjer inte utredning. Leverantörsåtkomst utan segmentering ökar spridningsradien. Distansarbete utan incidentrapportering fördröjer begränsning.
| Risk med fjärråtkomst | Fokus för ISO/IEC 27002:2022-kontroll | Underlag som revisorer förväntar sig |
|---|---|---|
| Stulna inloggningsuppgifter används via VPN | 8.5 Säker autentisering, 5.15 Åtkomstkontroll, 5.17 Autentiseringsinformation | MFA-konfiguration, regler för villkorad åtkomst, larm för misslyckade inloggningar, autentiseringsloggar |
| Tidigare uppdragstagare behåller åtkomst | 5.18 Åtkomsträttigheter, 5.16 Identitetshantering, leverantörskontroller 5.19 till 5.23 | register över anställning, rolländring och avslut, ärenden för leverantörsavslut, underlag från åtkomstgranskning |
| Komprometterad bärbar dator ansluter på distans | 8.1 Slutanvändarenheter, 6.7 Distansarbete, 8.8 Hantering av tekniska sårbarheter | MDM-efterlevnad, EDR-status, underlag för kryptering, patchrapporter |
| VPN-perimeterenhet är opatchad | 8.8 Hantering av tekniska sårbarheter, 8.9 Konfigurationshantering, 8.20 Nätverkssäkerhet | tillgångspost, skanningsresultat, patch-SLA, godkännande av undantag |
| Leverantör använder delat fjärrkonto | 5.15 Åtkomstkontroll, 5.16 Identitetshantering, 8.5 Säker autentisering | unika användar-ID:n, namngivna leverantörskonton, MFA-loggar, avtalskrav |
| Misstänkt fjärrsession kan inte rekonstrueras | 8.15 Loggning, 8.16 Övervakningsaktiviteter, 5.24 Planering och förberedelse för hantering av informationssäkerhetsincidenter | VPN-loggar, käll-IP-adresser, sessionslängd, SIEM-larm, incidenttidslinje |
Kontrollstacken förändrar samtalet. I stället för att diskutera om ”VPN är compliant” skapar organisationen en spårbar modell: risk med fjärråtkomst, ISO-kontroll, policykrav, tekniskt genomförande, underlagsägare och granskningsintervall.
Omvandla policyavsikt till revisionsunderlag
Revisorer accepterar sällan ”vi brukar använda MFA” som underlag. De söker formellt godkända krav, införda kontroller och poster som visar att kontrollerna fungerar.
Clarysecs policyverktygslåda ger teamen precis språk som de kan anta och anpassa. Nätverkssäkerhetspolicy – SME anger i klausul 5.5.1:
”VPN-åtkomst ska kräva flerfaktorsautentisering (MFA) och begränsas till utsedd personal”
Samma SME-policy gör loggning till ett bevarandekrav i klausul 6.3.3:
”Åtkomst via VPN ska loggas, och sessionslängder och käll-IP-adresser ska bevaras i minst 6 månader”
För beteende vid distansarbete anger Policy för distansarbete – SME i klausul 5.2.3:
”Publika Wi‑Fi-nätverk får endast användas när en säker tunnel (VPN) är aktiv.”
För företagsmiljöer är Policy för distansarbete ännu tydligare. Klausul 5.2.1.1 kräver att personal:
”Använder företagsgodkänd VPN eller infrastruktur för fjärrskrivbord”
Klausul 5.2.1.2 kräver att organisationer:
”Kräver flerfaktorsautentisering (MFA) för alla inloggningsförsök”
Nätverkssäkerhetspolicy anpassar den tekniska baslinjen genom klausul 6.3.1:
”All fjärråtkomst ska vara krypterad, till exempel via IPsec eller SSL VPN, och kräva flerfaktorsautentisering (MFA).”
Åtkomstkontrollpolicy anger i klausul 5.6.1:
”Åtkomsthändelser ska loggas och bevaras i enlighet med loggnings- och övervakningspolicyn.”
För leverantörer kräver policy för leverantörssäkerhet och tredjepartssäkerhet i klausul 6.3.2:
”All tredjepartsåtkomst ska loggas och övervakas och, där det är möjligt, segmenteras via bastionvärdar, VPN:er eller Zero Trust-gateways.”
Policy för sårbarhets- och patchhantering – SME anger i klausul 6.5.1:
”System som behandlar personuppgifter, tillhandahåller fjärråtkomst eller är externt exponerade ska prioriteras för skanning och uppdateringar”
Dessa klausuler blir kraftfulla när de kopplas till operativt underlag. Policyn säger att MFA krävs. Identitetsleverantören visar att kravet genomdrivs. VPN-loggen visar användning. SIEM-larmet visar övervakning. Åtkomstgranskningen visar fortsatt verksamhetsbehov. Sårbarhetsrapporten visar att tjänsten för fjärråtkomst prioriteras. Incidentåtgärdsplanen visar beredskap för respons.
Det är skillnaden mellan att ha en policy och att driva en kontroll.
De fem frågor varje CISO bör kunna besvara
Clarysecs modell för styrning av fjärråtkomst bygger på fem frågor som fungerar för ISO 27001-revisioner, NIS2-beredskap, DORA-granskningar av IKT-risk och underlagspaket för GDPR Article 32.
1. Vem får ansluta på distans?
Fjärråtkomst ska begränsas till behöriga användare, roller och leverantörer. ISO/IEC 27002:2022 Åtkomstkontroll 5.15, Identitetshantering 5.16 och Åtkomsträttigheter 5.18 definierar styrningsgrunden.
Zenith Controls mappar Åtkomstkontroll 5.15 som en förebyggande kontroll med fokus på identitets- och åtkomsthantering. Den kopplar kontrollen till Identitetshantering, Åtkomsträttigheter, Autentiseringsinformation, Slutanvändarenheter, Säker autentisering och efterlevnad av policyer. I praktiken är en åtkomstpolicy trovärdig endast om identiteter är unika, livscykelhanterade, autentiserade och granskade.
En bra post över fjärråtkomst bör besvara:
- Vilken person eller leverantör har åtkomst?
- Vilka system kan de nå?
- Vilken roll eller vilket avtal motiverar åtkomsten?
- Vem godkände den?
- Genomdrivs MFA?
- När granskades åtkomsten senast?
- När löper tillfällig åtkomst ut?
- Vilken loggkälla visar användning?
Detta stödjer även resultaten i NIST Cybersecurity Framework 2.0 PR.AA för identitetshantering, autentisering, auktorisering, principen om minsta privilegium och funktionsuppdelning.
2. Vilken enhets- och nätverksstatus krävs?
Fjärråtkomst bör bero på enhetens tillit, inte bara användarens inloggningsuppgifter. Ett giltigt lösenord och ett MFA-godkännande från en ohanterad, infekterad eller opatchad enhet innebär fortfarande hög risk.
Zenith Blueprint: revisorns 30-stegsplan förklarar detta i fasen Kontroller i praktiken, steg 16, personkontroller II:
”Distansarbetare ska åläggas att endast använda företagsgodkända enheter som konfigurerats av IT med heldiskkryptering, aktivt slutpunktsskydd, automatisk patchning och framtvingade tidsgränser för skärmlås.”
Samma steg betonar att fjärråtkomst bör gå via företags-VPN, helst skyddad med MFA, och att BYOD bör förbjudas eller tillåtas endast under strikta villkor, såsom MDM-registrering, containerisering och fjärradering.
Det är här Slutanvändarenheter 8.1, Distansarbete 6.7, Hantering av tekniska sårbarheter 8.8, Konfigurationshantering 8.9 och Nätverkssäkerhet 8.20 möts.
För GDPR Article 32 är enhetsstatus viktig eftersom fjärrslutpunkter ingår i de tekniska och organisatoriska åtgärder som skyddar personuppgifter. För DORA stödjer enhetsstatus IKT-riskhantering och operativ resiliens. För NIS2 stödjer den cyberhygien, åtkomstkontroll, policy för tillgångshantering och sårbarhetshantering.
3. Hur skyddas sessionen?
En säker fjärråtkomstsession bör använda krypterad transport, stark autentisering, segmentering och kontrollerade administrativa vägar.
Zenith Blueprint, fasen Riskhantering, steg 14, riskbehandlingspolicyer och regulatoriska korsreferenser, anger förväntningen för fjärråtkomst:
”All fjärråtkomst till interna system ska använda säker VPN eller motsvarande krypterad anslutning. Flerfaktorsautentisering (MFA) krävs för fjärrinloggning till organisationens nätverk.”
Steg 20, kontroller 8.18 till 8.26, instruerar organisationer att validera säkerheten i nätverkstjänster genom att lista alla interna och externa nätverkstjänster, såsom DNS, VPN, SMTP, DHCP och API-gateways, bekräfta säkra protokoll, granska åtkomstkontroller och kontrollera säkerhetsklausuler för tredje part när tjänster hanteras externt.
En VPN är inte bara en enhet. Den är en nätverkstjänst med protokollval, åtkomstbegränsningar, certifikat, brandväggsvägar, tredjepartsberoenden, patchningskrav och loggar.
4. Hur övervakas och utreds åtkomst?
Styrning av fjärråtkomst måste omfatta loggning och övervakning. NIS2 Article 23 anger stegvisa rapporteringsförväntningar för betydande incidenter, inklusive tidig varning inom 24 timmar, incidentanmälan inom 72 timmar och slutrapport inom en månad. DORA kräver att finansiella entiteter detekterar, hanterar, klassificerar, eskalerar och rapporterar större IKT-relaterade incidenter, inklusive rotorsaksanalys och kommunikation när kunders finansiella intressen påverkas. GDPR:s incidentanalys beror på förståelsen av om personuppgifter har åtkommits, ändrats, röjts, gått förlorade eller på annat sätt komprometterats.
Utan loggar för fjärråtkomst kan organisationen inte med tillförsikt besvara tillsynsmyndighetens första fråga: vad hände?
Stark loggning bör fånga användaridentitet, autentiseringsresultat, käll-IP, geolokalisering där det är lämpligt, enhetsidentitet, måltjänst, privilegierad åtgärd, sessionslängd, misslyckade försök, administrativa ändringar och korrelation med slutpunkts- och identitetshändelser.
5. Hur hanteras undantag och sårbarheter?
Infrastruktur för fjärråtkomst är högt värderad. VPN-gateways, ZTNA-enheter, identitetsleverantörer, bastionvärdar och fjärrskrivbordstjänster bör höra till de mest aktivt hanterade tillgångarna i sårbarhetsprogrammet.
En mogen undantagsprocess bör omfatta tillgångsägare, berörd fjärråtkomsttjänst, sårbarhetens allvarlighetsgrad, exploaterbarhet, dataexponering, tillfälliga kompenserande kontroller, godkännande från riskägare, utgångsdatum, underlag från omtestning samt koppling till riskregister och riskbehandlingsplan.
För ISO/IEC 27001:2022 stödjer detta riskbehandling, operativ styrning och ständig förbättring. För DORA stödjer det IKT-riskhantering, testning och åtgärdande. För NIS2 stödjer det sårbarhetshantering och korrigerande åtgärder utan onödigt dröjsmål. För GDPR hjälper det till att visa att säkerhet i behandlingen var riskbaserad snarare än ad hoc.
Leverantörers fjärråtkomst är den dolda revisionsfällan
Många brister i fjärråtkomst beror inte på anställda. De beror på bristande leverantörsstyrning.
En MSP har ett gammalt VPN-konto. En programvaruleverantör använder delade inloggningsuppgifter. En supportpartner ansluter via fjärrskrivbord för att felsöka ett problem som påverkar kunder. En molnleverantör hanterar gatewayen för fjärråtkomst. En uppdragstagare behåller åtkomst efter projektavslut.
DORA är särskilt strikt här. Article 28 kräver att finansiella entiteter hanterar IKT-tredjepartsrisk som en del av ramverket för IKT-riskhantering och förblir fullt ansvariga även när IKT-tjänster outsourcas. Den förväntar sig register över IKT-avtalsarrangemang, leverantörsgranskning, informationssäkerhetsstandarder, revisions- och inspektionsrättigheter, rätt att säga upp avtalet, analys av koncentrationsrisk och exitstrategier för kritiska eller viktiga funktioner. Article 30 anger avtalsbestämmelser såsom dataskydd, servicenivåer, platser för behandling, åtkomst till och återställning av data, stöd vid incidenter, samarbete med myndigheter, säkerhetsåtgärder, revisionsrätt och exitstöd.
NIS2 Article 21 omfattar också säkerhet i leveranskedjan och relationer med leverantörer och tjänsteleverantörer, med uppmärksamhet på leverantörsspecifika sårbarheter och leverantörers cybersäkerhetspraxis.
NIST CSF 2.0 GV.SC ger en praktisk driftsmodell: riskstrategi för leveranskedjan, roller, leverantörskritikalitet, avtalskrav, leverantörsgranskning, övervakning, deltagande vid incidenter och aktiviteter efter avslutad relation.
För Clarysecs kunder är den praktiska regeln enkel: tredjepartsåtkomst på distans ska behandlas som privilegierad åtkomst om inte motsatsen kan visas. Den ska vara namngiven, godkänd, tidsbegränsad, MFA-skyddad, loggad, övervakad och segmenterad.
Tvärgående efterlevnadsmappning: ett kontrollsystem, många skyldigheter
Styrning av fjärråtkomst är ett av de tydligaste exemplen på tvärgående efterlevnad. Samma underlag kan uppfylla flera skyldigheter om det utformas korrekt.
| Drivkraft för regelefterlevnad | Förväntning på fjärråtkomst | Underlag att upprätthålla |
|---|---|---|
| ISO/IEC 27001:2022 | Riskbaserat kontrollval, behörighetsstyrning, leverantörskontroll, operativt underlag och ständig förbättring | Riskbedömning, tillämplighetsförklaring, policyer, åtkomstgranskning, loggar, internrevisionsiakttagelser |
| NIS2 | Cyberhygien, åtkomstkontroll, policy för tillgångshantering, MFA där det är lämpligt, incidenthantering, verksamhetskontinuitet och säkerhet i leveranskedjan | MFA-poster, utbildning i cyberhygien, kontroller för leverantörsåtkomst, incidentrapporter, korrigerande åtgärder |
| DORA | IKT-riskstyrning, stark autentisering, incidentlivscykel, resilienstestning, IKT-tredjepartsrisk och ledningsorganets ansvarsskyldighet | IKT-riskregister, testning av fjärråtkomst, incidentklassificeringar, leverantörsregister, exitplaner, revisionsrätt |
| GDPR Article 32 | Lämplig säkerhet i behandlingen, konfidentialitet, riktighet, tillgänglighet, resiliens, testning och ansvarsskyldighet | Åtkomstloggar, underlag för kryptering, genomdrivande av MFA, poster från incidentbedömning, testresultat |
| NIST CSF 2.0 | Resultat för Govern, Identify, Protect, Detect, Respond och Recover | Current och Target Profiles, tillgångsförteckning, PR.AA-identitetskontroller, DE.CM-övervakning, RS.AN-analys |
| COBIT 2019 och ISACA assurance | Styrningsmål, ledningspraxis, kontrolldesign och operativ effektivitet | RACI, processägarskap, mätetal för kontrollprestanda, revisionsspår, uppföljning av åtgärdande |
En mer detaljerad ISO-kontrollmappning visar varför styrning av fjärråtkomst har så stort värde för efterlevnad.
| ISO/IEC 27002:2022-kontroll | NIS2-anpassning | DORA-anpassning | Underlag enligt GDPR Article 32 |
|---|---|---|---|
| 6.7 Distansarbete | Stödjer Article 21 om cyberhygien, åtkomstkontroll och säkra arbetsrutiner | Stödjer IKT-policyer och rutiner för distansarbete och operativ resiliens | Visar organisatoriska åtgärder för personal som behandlar personuppgifter utanför kontoret |
| 8.5 Säker autentisering | Stödjer Article 21(2)(j) om flerfaktorsautentisering eller kontinuerlig autentisering där det är lämpligt | Stödjer förväntningar på stark autentisering inom IKT-skydds- och förebyggande åtgärder | Visar en teknisk åtgärd för att minska obehörig åtkomst till personuppgifter |
| 8.20 Nätverkssäkerhet | Stödjer säker kommunikation, kryptering och skydd av nätverkstjänster | Stödjer skydd mot intrång, missbruk och obehörig IKT-åtkomst | Visar skydd av data under överföring och kontrollerade nätverksvägar |
| 8.22 Segregation av nätverk | Stödjer begränsning av påverkan och tillämpning av åtkomstkontrollgränser | Stödjer resiliens och begränsning för kritiska eller viktiga funktioner | Minskar exponering av personuppgifter genom att begränsa åtkomliga system |
| Leverantörskontroller 5.19 till 5.23 | Stödjer Article 21(2)(d) om säkerhet i leveranskedjan | Stödjer Articles 28 and 30 om IKT-tredjepartsrisk och avtalsstyrning | Stödjer personuppgiftsbiträdens och leverantörers ansvarsskyldighet för säker åtkomst |
| 8.15 Loggning och 8.16 Övervakningsaktiviteter | Stödjer incidenthantering och effektivitetsbedömning | Stödjer detektering, klassificering, eskalering och rapportering av IKT-incidenter | Stödjer incidentbedömning och forensisk bevisning |
| 8.8 Hantering av tekniska sårbarheter | Stödjer säkert underhåll och sårbarhetshantering | Stödjer IKT-riskreducering, testning och åtgärdande | Visar riskbaserat skydd av system som behandlar personuppgifter |
NIS2 inför även uttryckligt ledningsansvar. Article 20 kräver att ledningsorgan i väsentliga och viktiga entiteter godkänner riskhanteringsåtgärder för cybersäkerhet, övervakar genomförandet och genomgår utbildning. DORA Article 5 kräver på motsvarande sätt att ledningsorganet för finansiella entiteter definierar, godkänner, övervakar och förblir ansvarigt för arrangemangen för IKT-riskhantering.
Styrelsen behöver inte godkänna varje brandväggsregel. Men den bör godkänna riskläget för fjärråtkomst: MFA obligatoriskt, leverantörsåtkomst loggad, privilegierad åtkomst segmenterad, infrastruktur för fjärråtkomst patchad inom definierade tidsramar, undantag tidsbegränsade och cyberincidenter eskalerade genom överenskomna kanaler.
En 90-minuters underlagssprint för fjärråtkomst
Ett praktiskt sätt att synliggöra luckor är att bygga ett miniunderlag kring en åtkomstväg. Välj ett exempel, till exempel ”VPN-åtkomst för supportingenjörer i produktion”, och genomför därefter följande sprint.
| Minut | Aktivitet | Resultat |
|---|---|---|
| 0 till 10 | Definiera åtkomstvägen | En mening som beskriver vem som ansluter, varifrån, till vad och varför |
| 10 till 25 | Mappa tillämpliga policyer | Klausuler från Policy för distansarbete, Nätverkssäkerhetspolicy, Åtkomstkontrollpolicy och policy för leverantörssäkerhet där det är relevant |
| 25 till 40 | Fånga tekniskt genomdrivande | Skärmbilder eller exporter som visar MFA, kryptering, gruppmedlemskap och villkorad åtkomst |
| 40 till 55 | Fånga loggar | Senaste lyckade inloggning, misslyckad inloggning, käll-IP, sessionslängd och exempel på SIEM-larm |
| 55 till 70 | Granska sårbarheter och enhetsstatus | Patchstatus för VPN-tillgång, rapport om slutpunktsefterlevnad och öppna undantag |
| 70 till 80 | Kontrollera underlag från åtkomstgranskning | Senaste åtkomstgranskning, borttagna användare, godkända undantag och ägarens godkännande |
| 80 till 90 | Skapa revisionsnarrativ | Ensidesförklaring som mappar risk, kontroll, policy, genomförande och underlag |
Målet är inte pappersarbete. Målet är att koppla policy till bevis. Om underlagspaketet inte kan färdigställas för en åtkomstväg har organisationen hittat en verklig styrningslucka innan revisorn eller tillsynsmyndigheten hittar den.
Övningen passar också NIST CSF 2.0 Profile-metoden: avgränsa profilen, samla policyer och krav, dokumentera nuvarande och önskade resultat, analysera luckor, skapa en prioriterad åtgärdsplan och genomföra förbättringar.
Hur revisorer testar fjärråtkomst
En revision av fjärråtkomst kan upplevas olika beroende på revisorns bakgrund. Zenith Controls hjälper organisationer att förbereda sig eftersom den mappar kontrollrelationer i ISO/IEC 27002:2022 till ett tvärgående efterlevnadsperspektiv i stället för en enskild checklista.
| Revisorsperspektiv | Sannolik fråga | Starkt svar |
|---|---|---|
| ISO 27001 | Varför valde ni dessa kontroller för fjärråtkomst? | Riskbedömning, SoA-motivering, riskbehandlingsplan och policymappning |
| NIST CSF 2.0 | Vilket är ert nuvarande och önskade läge? | Profil, gap-analys, prioriterad åtgärdsplan och genomförda förbättringar |
| COBIT 2019 | Vem är ansvarig för styrning av fjärråtkomst? | RACI, processägare, ledningens genomgång och kontrollmätetal |
| DORA | Hur hanterar ni IKT-tredjepartsåtkomst på distans? | leverantörsregister, leverantörsgranskning, avtalsklausuler, revisionsrätt och exitplan |
| GDPR | Kan ni visa att åtkomst till personuppgifter var kontrollerad? | MFA, principen om minsta privilegium, loggar, åtkomstgranskning och poster från incidentbedömning |
En revisionsklar organisation jagar inte skärmbilder i sista stund. Den upprätthåller ett levande underlagssystem.
Vanliga iakttagelser under 2026
I granskningar ser Clarysec återkommande samma problem med fjärråtkomst:
- MFA är aktiverat för anställda men inte för leverantörer, nödkonton eller äldre VPN-profiler
- Loggar för fjärråtkomst finns men bevaras inte tillräckligt länge, är inte centraliserade eller är inte kopplade till identiteter
- Slutpunktsefterlevnad hanteras separat från VPN-åtkomst, vilket innebär att ohanterade enheter fortfarande kan ansluta
- Åtkomstgranskning fokuserar på verksamhetsapplikationer men bortser från VPN-grupper, bastionbehörigheter och molnadministratörsroller
- Infrastruktur för fjärråtkomst saknas i prioriteringslistan för sårbarheter
- Leverantörsåtkomst godkänns informellt och återspeglas inte i avtal
- Undantag saknar utgångsdatum, kompenserande kontroll eller godkännande från riskägare
- Nödåtkomstkonton testas, övervakas eller granskas inte
- Privilegierade sessioner är inte segmenterade från allmän fjärråtkomsttrafik
- Åtgärdsplaner för incidentrespons omfattar inte insamling av bevismaterial för fjärråtkomst
Dessa iakttagelser kan förebyggas. De uppstår vanligtvis genom fragmenterat ägarskap. Nätverksteam äger VPN. IAM äger MFA. IT äger enheter. Upphandling äger leverantörsavtal. Juridik äger villkor för personuppgiftsbehandling. SOC äger larm. Regelefterlevnad äger revisionsunderlag.
ISMS måste koppla samman dem.
Målbilden för säker fjärråtkomst
En mogen styrningsmodell för säker fjärråtkomst och VPN bör omfatta följande operativa arbetssätt:
- Upprätthåll en förteckning över alla metoder för fjärråtkomst, inklusive VPN, ZTNA, RDP, bastionvärdar, SaaS-administrationsportaler och leverantörstunnlar
- Kräv MFA för all fjärråtkomst, inklusive leverantörer, administratörer och nödkonton
- Genomdriv enhetsefterlevnad före åtkomst där det är tekniskt möjligt
- Använd segmentering, bastionvärdar eller Zero Trust-gateways för privilegierad åtkomst och tredjepartsåtkomst
- Logga käll-IP, användaridentitet, autentiseringsresultat, målsystem och sessionslängd
- Bevara loggar enligt policy, regulatoriska krav och utredningsbehov
- Prioritera fjärråtkomstsystem för sårbarhetsskanning och patchning
- Granska åtkomsträttigheter periodiskt och vid rolländring, avslut eller ändring av leverantörsavtal
- Tidsbegränsa nödåtkomst, tillfällig åtkomst och leverantörsåtkomst
- Inkludera fjärråtkomst i incidentrespons, incidentbedömning och krisövningar
- Testa fjärråtkomstresiliens och alternativa åtkomstvägar för säkerhetskopiering där det krävs för kontinuitet
- Integrera leverantörers fjärråtkomst i avtal, leverantörsgranskning, övervakning och exitplanering
- Rapportera riskmätetal för fjärråtkomst till ledningen
För Maria blir detta en praktisk åtgärdsplan. Under de första två veckorna använder hon Zenith Blueprint för att uppdatera styrningsdokument, anpassa policyer till NIS2- och DORA-krav och inhämta ledningens godkännande. Under följande månad genomdriver hennes IT- och säkerhetsteam MFA över alla fjärråtkomstprofiler, segmenterar uppdragstagares åtkomst, finjusterar loggning och prioriterar VPN- och ZTNA-system för åtgärdande av sårbarheter. Löpande genomför hon kvartalsvisa åtkomstgranskningar, testar insamling av incidentunderlag och rapporterar riskmätetal till styrelsen.
Resultatet är inte bara en renare VPN-konfiguration. Det är ett kontrollsystem för fjärråtkomst som tål revision, stödjer incidentrespons och minskar verklig operativ risk.
Bygg ditt underlagspaket för fjärråtkomst före nästa incident
VPN-larmet på måndagsmorgonen behöver inte bli en kris. Men det bör bli ett styrningstest.
Kan ni identifiera användaren? Kan ni visa MFA? Kan ni bekräfta enhetsstatus? Kan ni rekonstruera sessionen? Kan ni avgöra om personuppgifter var åtkomliga? Kan ni visa att kontot var godkänt och granskat? Kan ni visa att VPN-enheten var patchad? Kan ni visa att leverantörsåtkomst är loggad och segmenterad? Kan ledningen se risken?
Om svaret är ”inte ännu” kan Clarysec hjälpa till.
Börja med Zenith Blueprint: revisorns 30-stegsplan för att strukturera er införandeplan för ISO/IEC 27001:2022, särskilt steg 14 för riskbehandlingspolicyer, steg 16 för kontroller för distansarbete, steg 19 för säker autentisering och steg 20 för säkerhet i nätverkstjänster. Använd Zenith Controls: vägledning för tvärgående efterlevnad för att mappa Distansarbete, Åtkomstkontroll, Säker autentisering, leverantörskontroller, loggning och nätverkssäkerhet till relaterade kontroller i ISO/IEC 27002:2022 och underlag för tvärgående efterlevnad.
Operationalisera därefter kraven med Clarysec-policyer såsom Policy för distansarbete, Nätverkssäkerhetspolicy, Åtkomstkontrollpolicy, policy för leverantörssäkerhet och tredjepartssäkerhet och SME-anpassade motsvarigheter.
Nästa revision bör inte vara första gången ert underlag för fjärråtkomst sammanställs. Bygg det nu, testa det nu och gör styrning av säker fjärråtkomst till en av de starkaste delarna av ert program för regelefterlevnad. Kontakta Clarysec för en granskning av styrning av fjärråtkomst, ladda ned policymallarna eller boka en demo för att se hur era nuvarande kontroller mappar mot ISO 27001, NIS2, DORA och GDPR Article 32.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
