Zero Trust Architecture 2026: revisionsklart underlag

Zero Trust-revisionen på måndagsmorgonen som ingen hade planerat
Klockan 08:12 en måndag får informationssäkerhetschefen på ett europeiskt SaaS-fintechbolag tre meddelanden inom fem minuter.
Det första kommer från en bankkund: ”Vänligen tillhandahåll ert underlagspaket för Zero Trust Architecture inför vår årliga IKT-tredjepartsgranskning.”
Det andra kommer från juridik: ”Vi kan komma att klassificeras som en viktig entitet enligt NIS2 i en medlemsstat, och vissa kunder frågar om DORA förs vidare till oss som IKT-tjänsteleverantör.”
Det tredje kommer från utvecklingschefen: ”Vi har MFA, SSO, EDR, Kubernetes-nätverkspolicyer och SIEM-larm. Är det Zero Trust?”
Det är här många organisationer fastnar. De har säkerhetsverktyg, men saknar en operativ efterlevnadsmodell för Zero Trust. De kan visa skärmbilder från MFA, men kan inte förklara hur identitet, enhetsstatus, principen om minsta privilegium, segmentering, övervakning, incidentrapportering, dataskyddsåtgärder och leverantörsberoenden hänger ihop. De kan visa kontroller, men inte spårbarhet.
År 2026 behöver Zero Trust Architecture enligt NIST SP 800-207 vara mer än ”never trust, always verify”. För informationssäkerhetschefer, chefer för regelefterlevnad, revisorer och verksamhetsägare är den praktiska frågan skarpare:
Hur omvandlar vi Zero Trust till underlag som uppfyller ISO/IEC 27001:2022, NIS2:s förväntningar på cyberhygien, DORA:s IKT-riskhantering, GDPR Article 32 om säkerhet i samband med behandling, kunders leverantörsgranskningar och styrelsens tillsyn?
Svaret är inte ännu ett verktyg. Det är en riskbaserad underlagsmodell som kopplar samman policy, kontroller, tekniskt genomförande, övervakning och ledningens ansvarsskyldighet.
Zero Trust 2026: från säkerhetsstrategi till efterlevnadsunderlag
NIST SP 800-207 definierar Zero Trust som en uppsättning principer för att utforma och driva säkra system där tillit aldrig är implicit. Åtkomst beviljas baserat på identitet, kontext, policy, tillgångsstatus och kontinuerlig utvärdering.
De sju NIST-principerna för Zero Trust är särskilt användbara eftersom de omvandlar en vag säkerhetsslogan till något som kan mappas, testas och revideras:
- Alla datakällor och datorresurser betraktas som resurser.
- All kommunikation säkras oavsett nätverksplats.
- Åtkomst till enskilda verksamhetsresurser beviljas per session.
- Åtkomst till resurser bestäms av dynamisk policy, inklusive attribut för identitet, enhet, applikation och beteende.
- Organisationen övervakar och mäter integritet och säkerhetsläge för alla ägda och associerade tillgångar.
- All autentisering och auktorisering av resurser är dynamisk och tillämpas strikt innan åtkomst tillåts.
- Organisationen samlar in information om tillgångar, infrastruktur och kommunikation och använder den för att förbättra säkerhetsläget.
För en modern SaaS-leverantör, digital bank, managed service provider eller cloud-native-plattform omsätts dessa principer i praktiska kontrollområden:
- Identitet verifieras och styrs.
- Enheter bedöms innan åtkomst beviljas.
- Privilegierad åtkomst minimeras och granskas.
- Nätverksvägar segmenteras och styrs.
- Applikationer, API:er och datalager tillämpar auktorisering.
- Loggar och telemetri stödjer kontinuerlig övervakning.
- Incidenter utlöser begränsning, rapportering och återhämtning.
- Underlag visar att kontrollerna fungerar i drift, inte bara att de är utformade.
Det är på den sista punkten regelefterlevnad kommer in.
ISO/IEC 27001:2022 kräver att organisationer definierar kontext, intressenter, tillämpliga rättsliga och avtalsmässiga krav, omfattning, gränssnitt och beroenden. Standarden kräver också riskbedömning, riskbehandling, en tillämpbarhetsförklaring, ledningens ansvarsskyldighet, internrevision, ledningens genomgång och ständig förbättring.
Zero Trust passar naturligt in i den strukturen när det behandlas som ett kontrollsystem. Det ska inte ligga utanför ISMS som ett tekniskt initiativ. Det ska ingå i riskbedömning, kontrollurval, policystyrning, leverantörshantering, integritetsskydd, incidentrespons och rapportering till styrelsen.
Det regulatoriska trycket bakom Zero Trust-underlag
Trycket på Zero Trust-underlag kommer vanligtvis från överlappande skyldigheter snarare än från en enda standard.
NIS2 kan omfatta offentliga eller privata entiteter i sektorer enligt Annex I eller Annex II som uppfyller tröskelvärden för storlek och verksamhet, och kan även omfatta vissa mindre men kritiska entiteter. Annex I omfattar leverantörer av molntjänster, datacenterleverantörer, leverantörer av innehållsleveransnätverk, leverantörer av betrodda tjänster, hanterade tjänsteleverantörer, hanterade säkerhetstjänsteleverantörer samt banker och entiteter inom finansmarknadsinfrastruktur. Annex II omfattar digitala leverantörer såsom digitala marknadsplatser, sökmotorer och sociala nätverksplattformar.
NIS2 Article 20 gör cybersäkerhet till ett ansvar för ledningsorganet. Styrelsen ska godkänna åtgärder för hantering av cybersäkerhetsrisker, övervaka genomförandet och få utbildning i cybersäkerhet. Article 21 kräver lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder som omfattar riskanalys, incidenthantering, verksamhetskontinuitet, säkerhet i leveranskedjan, säker utveckling, hantering av sårbarheter, effektivitetsbedömning, cyberhygien, utbildning, kryptografi, personalsäkerhet, åtkomstkontroll, tillgångshantering och, där det är lämpligt, MFA eller kontinuerlig autentisering. Article 23 inför etappvis rapportering av betydande incidenter, inklusive tidig varning inom 24 timmar, anmälan inom 72 timmar och slutrapportering.
DORA gäller från den 17 januari 2025 och skapar ett enhetligt regelverk för digital operativ resiliens för finansiella entiteter. Det omfattar IKT-riskhantering, rapportering av större IKT-relaterade incidenter, testning av operativ resiliens, delning av hotinformation och IKT-tredjepartsrisk. DORA Articles 5 och 6 kräver styrning och ett dokumenterat ramverk för IKT-riskhantering. Article 9 behandlar skydd och förebyggande, inklusive policyer, procedurer, protokoll och verktyg för att skydda IKT-system. Article 17 kräver en process för hantering av IKT-relaterade incidenter.
GDPR gäller behandling inom ramen för en etablering i EU och även personuppgiftsansvariga eller personuppgiftsbiträden utanför EU som erbjuder varor eller tjänster till personer i EU eller övervakar deras beteende. GDPR Article 5 kräver ansvarsskyldighet. Article 32 kräver lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Article 33 kräver anmälan av personuppgiftsincident till tillsynsmyndigheten utan onödigt dröjsmål och, om möjligt, inom 72 timmar efter att organisationen fått kännedom om incidenten.
En underlagsmodell för Zero Trust hjälper eftersom samma kontroll kan stödja flera ramverk. MFA kan stödja ISO/IEC 27001:2022 åtkomstkontroll, NIS2:s autentiseringsåtgärder, DORA:s skyddskrav och GDPR:s säkerhet i samband med behandling. Men bara om organisationen kan visa omfattning, ägarskap, genomförande, övervakning och granskning.
Mappning av NIST:s Zero Trust-principer till ISO/IEC 27001:2022-kontroller
Kontrollerna i ISO/IEC 27001:2022 bilaga A, med stöd av införandevägledning i ISO/IEC 27002:2022, ger det revisionsspråk som de flesta organisationer behöver. Tabellen nedan översätter NIST:s Zero Trust-principer till ISO-kontrollområden som revisorer känner igen.
| NIST SP 800-207 Zero Trust-princip | Central Zero Trust-princip | Relevanta ISO/IEC 27001:2022 bilaga A-kontroller |
|---|---|---|
| Alla datakällor och datorresurser är resurser | Identifiering av tillgångar och data | A.5.9 Förteckning över information och andra associerade tillgångar, A.5.10 Godtagbar användning av information och andra associerade tillgångar, A.5.12 Klassificering av information |
| All kommunikation säkras oavsett nätverksplats | Säker kommunikation och krypterade kanaler | A.8.20 Nätverkssäkerhet, A.8.22 Segregering av nätverk, A.8.24 Användning av kryptografi |
| Åtkomst beviljas per session | Sessionsbaserad autentisering och auktorisering | A.5.17 Autentiseringsinformation, A.8.5 Säker autentisering |
| Åtkomst bestäms av dynamisk policy | Kontextmedveten åtkomst enligt principen om minsta privilegium | A.5.15 Åtkomstkontroll, A.5.18 Åtkomsträttigheter, A.8.3 Begränsning av informationsåtkomst |
| Tillgångars integritet och säkerhetsläge övervakas | Verifiering av endpoint- och arbetslaststatus | A.8.1 Användares endpoint-enheter, A.8.8 Hantering av tekniska sårbarheter |
| Autentisering och auktorisering är dynamiska och tillämpas strikt | Identitetslivscykel och hantering av privilegierad åtkomst | A.5.16 Identitetshantering, A.8.2 Privilegierade åtkomsträttigheter, A.8.5 Säker autentisering |
| Information samlas in för att förbättra säkerhetsläget | Kontinuerlig övervakning, loggning och förbättring | A.8.15 Loggning, A.8.16 Övervakningsaktiviteter, A.8.23 Webbfiltrering |
Denna mappning är inte bara en teknisk designövning. Den blir strukturen för riskregister, tillämpbarhetsförklaring, underlagspaket och agenda för ledningens genomgång.
Ett riskscenario som ”komprometterat utvecklarkonto ändrar produktionskod och får åtkomst till kunddata” bör till exempel mappas till identitetshantering, MFA, privilegierad åtkomst, nätverkssegregering, loggning, övervakning, säker utveckling, ändringshantering och incidentrespons. Detta enskilda scenario kan stödja ISO/IEC 27001:2022, NIS2 Article 21, DORA IKT-riskhantering och GDPR Article 32.
Clarysecs kontrollstack för Zero Trust
Clarysec bygger Zero Trust runt fem underlagsområden: identitet, enhet, nätverk, applikation och data, med övervakning och styrning över alla fem.
Grunden är åtkomstkontroll och identitetshantering. I Zenith Controls: The Cross-Compliance Guide klassificeras ISO/IEC 27002:2022 kontroll 5.15, Åtkomstkontroll, som en förebyggande kontroll som stödjer konfidentialitet, riktighet och tillgänglighet, anpassad till cybersäkerhetskonceptet Protect och förmågan identitets- och åtkomsthantering. Kontroll 5.16, Identitetshantering, är också förebyggande och kopplas till samma CIA-egenskaper och IAM-förmåga. Kontroll 8.16, Övervakningsaktiviteter, klassificeras som upptäckande och korrigerande och stödjer Detect och Respond genom hantering av informationssäkerhetshändelser.
Den kombinationen är viktig. Zero Trust är inte enbart åtkomstkontroll. Det är åtkomstkontroll plus identitetslivscykel plus enhetsstatus plus nätverkssegregering plus övervakning plus respons.
Clarysecs policyklausuler omvandlar modellen till bindande styrning.
Från Enterprise Access Control Policy, avsnittet Mål, klausul 3.4:
Att stödja Zero Trust-principer genom att neka åtkomst som standard om den inte uttryckligen har godkänts och motiverats.
Från Enterprise User Account and Privilege Management Policy, avsnittet Krav för genomförande av policyn, klausul 6.2.1:
Alla användare ska tilldelas den lägsta åtkomstnivå som krävs för att utföra sina arbetsuppgifter.
Från Enterprise Network Security Policy, avsnittet Styrningskrav, klausul 5.2:
All trafik mellan zoner ska styras av brandväggar eller mjukvarudefinierade perimeterlösningar, med uttryckliga konfigurationer enligt principen om standardmässigt nekande.
Från Enterprise Logging and Monitoring Policy, avsnittet Mål, klausul 3.4:
Etablera centraliserade system för loggning och larmning (t.ex. SIEM) för att aggregera, korrelera och eskalera misstänkt aktivitet nära realtid.
Från Enterprise Information Security Policy, avsnittet Krav för genomförande av policyn, klausul 6.6.1:
Alla införda kontroller ska vara granskningsbara, stödjas av dokumenterade rutiner och av bevarat underlag som visar kontrollernas drift.
För små och medelstora företag kan samma styrningsavsikt genomföras med lättare policydokumentation. User Account and Privilege Management Policy - SME, avsnittet Mål, klausul 3.2 anger:
Tillämpa principen om minsta privilegium och säkerställa att användare endast beviljas den lägsta åtkomstnivå som krävs för att utföra sina arbetsuppgifter.
Access Control Policy - SME, avsnittet Styrningskrav, klausul 5.4.3 tillägger:
Privilegierade konton ska använda flerfaktorsautentisering (MFA) där det stöds.
Network Security Policy - SME, avsnittet Krav för genomförande av policyn, klausul 6.2.3 anger:
Trafik mellan segment ska filtreras, och åtkomst mellan segment ska följa principen om minsta privilegium.
Logging and Monitoring Policy - SME, avsnittet Syfte, klausul 1.3 förklarar:
Loggning och övervakning stödjer hotdetektering, regelefterlevnad, incidentrapportering och incidenthantering samt forensisk analys.
För integritetsdriven Zero Trust anger Data Protection and Privacy Policy - SME, avsnittet Styrningskrav, klausul 5.3.2:
Användares åtkomst till personuppgifter ska begränsas till roller med ett dokumenterat verksamhetsbehov.
Dessa klausuler skapar revisionsankare. En revisor kan testa om åtkomst nekas som standard, om privilegier minimeras, om trafik mellan zoner styrs, om loggar centraliseras och om underlag bevaras.
Zero Trust-underlagskarta över flera ramverk
En stark underlagsmodell för Zero Trust ska undvika fragmenterade skärmbilder. Underlaget ska visa styrning, design, genomförande, övervakning och granskning.
| Zero Trust-förmåga | Underlag för ISO/IEC 27001:2022 och ISO/IEC 27002:2022 | NIS2-underlag | DORA-underlag | GDPR-underlag |
|---|---|---|---|---|
| Identitetsverifiering och livscykel | ISMS-omfattning, riskregister, SoA-poster för A.5.15 och A.5.16, poster för nyanställningar, interna förflyttningar och avslut | Article 21-åtgärder för personalsäkerhet, åtkomstkontroll och tillgångshantering | Styrning av IKT-tillgångar och användaråtkomst inom IKT-riskramverket | Åtkomst begränsad till behöriga roller, ansvarsskyldighetsunderlag för personuppgiftsansvarig |
| MFA och kontinuerlig autentisering | Åtkomstkontrollpolicy, rutin för privilegierad åtkomst, rapporter om MFA-krav | Article 21-åtgärder för MFA eller kontinuerlig autentisering där det är lämpligt | Kontroller som stödjer säker åtkomst till IKT-system och kritiska funktioner | Article 32-underlag för säkerhet i samband med behandling avseende åtkomst till personuppgifter |
| Enhetsstatus och endpoint-tillit | Tillgångsförteckning, baskonfiguration för endpoints, EDR-täckning, godkännanden av undantag | Cyberhygien, hantering av sårbarheter och policyer för säkra system | IKT-tillgångsförteckning, resiliensprovning, övervakning av IKT-system | Skydd mot obehörig eller olaglig behandling från komprometterade endpoints |
| Nätverkssegmentering och mikrosegmentering | Nätverksdiagram, brandväggsregler, resultat från segmenteringstester, ändringsposter | Åtgärder för att förebygga eller minimera incidentpåverkan och stödja verksamhetskontinuitet | Referensarkitektur, påverkanstolerans, testning av kritiska system | Dataisolering, minimering av incidentomfattning |
| Principen om minsta privilegium för applikationer och API:er | RBAC- eller ABAC-matriser, moln-IAM-policyer, tokenomfattningar, API-åtkomstgranskningar | Säker anskaffning, utveckling och underhåll, hantering av sårbarheter | Kartläggning av IKT-stödda funktioner och beroendedokumentation | Ändamålsbegränsning, åtkomst till personuppgifter baserad på verksamhetsbehov |
| Kontinuerlig övervakning och detektering | SIEM-användningsfall, larmtriage, övervakningsrutin, incidentregister | Incidenthantering och beredskap för rapportering av betydande incidenter | Incidentklassificering, ledningseskalering och rapporteringslivscykel | Detektering av personuppgiftsincidenter och underlag för ansvarsskyldighet |
| Leverantörs- och molntillit | Leverantörsavtal, exitplan för moln, leverantörsövervakning, mappning av delat ansvar | Säkerhet i leveranskedjan för direkta leverantörer och tjänsteleverantörer | Strategi för IKT-tredjepartsrisk, register över IKT-avtal, revisionsrätt och exitplaner | Leverantörsgranskning av personuppgiftsbiträden, avtalsmässiga skyddsåtgärder och säkerhetskontroller |
Denna tabell är kärnan i ett styrelseanpassat Zero Trust-program. Den visar hur en och samma kontrollmiljö kan stödja flera försäkranskrav utan att skapa separata underlagspaket för varje ramverk.
Använd Zenith Blueprint för att skapa spårbarhet
Clarysecs Zenith Blueprint: An Auditor’s 30-Step Roadmap är utformad för att hindra Zero Trust från att bli en odokumenterad teknisk filosofi. I riskhanteringsfasen, steg 13, riskbehandlingsplanering och tillämpbarhetsförklaring, förklaras:
SoA är i praktiken ett bryggdokument: det kopplar din riskbedömning/riskbehandling till de
faktiska kontroller du har. Genom att färdigställa det dubbelkontrollerar du också om du har missat några kontroller.
Samma steg rekommenderar att kontroller mappas till risker, att bilaga A-kontrollreferenser läggs till i riskbehandlingsposter och att korsreferenser görs till regelverk som GDPR, NIS2 eller DORA när kontroller införs för att uppfylla dessa skyldigheter.
För Zero Trust är detta den saknade länken. Om en revisor frågar varför ni införde villkorsstyrd åtkomst ska svaret inte vara ”för att Zero Trust säger det”. Ett bättre svar är:
- Riskscenariot är obehörig åtkomst till kunddata via komprometterade autentiseringsuppgifter.
- Riskägaren är CTO eller utvecklingschefen.
- Riskbehandlingen omfattar SSO, MFA, villkorsstyrd åtkomst, validering av endpoint-status, principen om minsta privilegium, segmentering och övervakning.
- SoA mappar riskbehandlingen till åtkomstkontroll, identitetshantering, loggning, övervakning, kryptografi, hantering av sårbarheter och hantering av molntjänster.
- Samma riskbehandling stödjer NIS2 Article 21, DORA IKT-riskhantering och GDPR Article 32.
- Underlaget omfattar policyklausuler, åtkomstgranskningar, SIEM-larm, EDR-statusrapporter, brandväggsregler, IAM-exporter, incidentövningar och protokoll från ledningens genomgång.
Det är så Zero Trust Architecture blir revisionsklar.
Endpoint-tillit, API:er och nätverkssegregering i praktiken
Zero Trust misslyckas ofta därför att organisationer fokuserar på identitet men bortser från enhet, arbetslast, data och nätverkskontext.
Zenith Blueprint steg 19, Tekniska kontroller I, förklarar kravet på endpoint-status tydligt:
Åtkomst till information via endpoints ska vara kontextmedveten. Uppfyller enheten till exempel
lägsta säkerhetskrav innan den får åtkomst till organisationens resurser? Har den nyligen klarat
en skanning mot skadlig kod? Ansluter den från en ovanlig plats eller ett ovanligt nätverk? Integrerat med Zero
Trust-principer kan endpoint-status matas in i villkorsstyrd åtkomst och neka inträde tills
enheten visar att den är säker.
Detta gör enheten till en del av auktoriseringsbeslutet. Ett giltigt lösenord från en ohanterad bärbar dator ska inte behandlas på samma sätt som en giltig inloggning från en efterlevande, krypterad och övervakad endpoint som tillhör organisationen.
Samma steg betonar att åtkomstbegränsningar gäller applikationer, tjänster och API:er, inte bara användare:
Åtkomstbegränsningar ska också tillämpas på applikationer, tjänster och API:er, inte bara på personer.
En mikrotjänst kan till exempel bara behöva läsåtkomst till en databastabell, inte fullständiga CRUD-
rättigheter. Ett säkerhetskopieringsverktyg kan bara behöva åtkomst till specifika lagringsbucketar, inte alla tenantresurser.
Den vägledningen är avgörande för cloud-native-miljöer. API-omfattningar, tjänstekonton, arbetslastidentiteter, Kubernetes-roller och moln-IAM-policyer ska alla följa principen om minsta privilegium. Mänsklig åtkomst är bara en del av kontrollytan.
Steg 20 i Zenith Blueprint behandlar segregering av nätverk:
Segregering är en av de äldsta och mest effektiva principerna inom cybersäkerhet: begränsa
spridningen, minska risken och inneslut skadan. Kontroll 8.22 fokuserar på nätverks-
segregering, det vill säga att separera system, tjänster och användare mellan olika logiska eller
fysiska zoner för att förhindra obehörig åtkomst och begränsa lateral förflyttning vid
kompromettering.
Detta är kritiskt för resiliens enligt DORA och NIS2. Ett Zero Trust-nätverk ska utgå från att ett konto, en arbetslast eller en endpoint kan komprometteras. Segmentering förhindrar att en lokal händelse blir en systemisk incident.
Ett 10-dagars underlagspaket för Zero Trust
Föreställ dig ett SaaS-fintechbolag som tillhandahåller bedrägerianalys till banker. Bolaget behandlar personuppgifter, använder molninfrastruktur, förlitar sig på hanterad Kubernetes, integrerar med kunders API:er och använder en tredjepartsidentitetsleverantör. En kund begär Zero Trust-underlag, och bolaget har tio arbetsdagar.
En praktisk Clarysec-underlagssprint skulle se ut så här.
| Tidslinje | Åtgärd | Underlag |
|---|---|---|
| Dag 1 till 2 | Definiera Zero Trust-omfattning över produktionskonton i moln, identitetsleverantör, CI/CD, administratörsarbetsstationer, kund-API-gateway, datalager, SIEM, EDR och kritiska leverantörer | Omfattningsbeskrivning, beroendekarta, gränsdiagram |
| Dag 3 | Bygg spårbarhet från risk till kontroll med Zenith Blueprint steg 13 | Poster i riskregister, riskbehandlingsplan, SoA-mappningar |
| Dag 4 till 5 | Tillämpa policyklausuler för enterprise eller SME och dokumentera undantag | Godkända policyer, undantagsregister, poster över riskacceptans |
| Dag 6 till 7 | Samla in tekniskt underlag | MFA-rapporter, policyer för villkorsstyrd åtkomst, PAM-poster, endpoint-paneler, brandväggsregler, Kubernetes-nätverkspolicyer, IAM-exporter, SIEM-användningsfall |
| Dag 8 | Lägg till underlag för integritet och dataskydd | Roll-till-data-matris, register över behandlingsaktiviteter, krypteringsunderlag, bevaranderegler, rutin för eskalering av personuppgiftsincident |
| Dag 9 | Lägg till NIS2- och DORA-överlägg | Article 21-mappning, beredskap för incidentrapportering, karta över IKT-funktioner, leverantörsregister, underlag för exitplan |
| Dag 10 | Skapa sammanfattning för ledning och styrelse | Styrelseanpassad beskrivning, sammanfattning av kvarstående risk, förbättringsplan |
Målet är inte att låtsas att organisationen har uppnått perfekt Zero Trust på tio dagar. Målet är att skapa en försvarbar underlagskedja för de viktigaste riskerna och visa att programmet är styrt, mätbart och föremål för förbättring.
Hur olika revisorer kommer att testa Zero Trust
Ett vanligt misstag är att förbereda en teknisk berättelse och anta att varje revisor kommer att ställa samma frågor. Det kommer de inte att göra.
En ISO/IEC 27001:2022-revisor kommer att leta efter ledningssystemet. Revisorn kommer att fråga om Zero Trust-risker ingår i riskbedömningen, om riskbehandlingar är godkända, om SoA är komplett, om policyer är styrda dokument, om åtkomstgranskningar genomförs, om internrevisioner testar kontrollerna och om ledningens genomgång följer upp prestation.
En DORA-granskare kommer att fråga om Zero Trust-kontrollerna ingår i det dokumenterade ramverket för IKT-riskhantering. Granskaren förväntar sig förteckningar över tillgångar och beroenden, kartläggning av kritiska eller viktiga funktioner, incidentklassificering, eskalering till styrelse, testning, avtalskrav för tredje part, revisionsrätt, exitstrategier och uppföljning av avhjälpande åtgärder.
En NIS2-bedömare kommer att fokusera på ledningsorganets ansvarsskyldighet, cybersäkerhetsriskhanteringsåtgärder enligt Article 21 och beredskap för incidentrapportering enligt Article 23. Bedömaren kommer också att förvänta sig underlag som visar att säkerhet i leveranskedjan, verksamhetskontinuitet, hantering av sårbarheter, åtkomstkontroll och cyberhygien hanteras.
En GDPR-granskare eller integritetsrevisor kommer att fråga om åtkomst till personuppgifter är nödvändig, dokumenterad, begränsad, övervakad och förenlig med behandlingsändamålen. Granskaren kommer att granska roller som personuppgiftsansvarig och personuppgiftsbiträde, detektering av personuppgiftsincidenter, rollbaserad åtkomst, kryptering, pseudonymisering där det är lämpligt, bevarande och ansvarsskyldighet.
| Revisorsperspektiv | Sannolik fråga | Underlag som besvarar frågan |
|---|---|---|
| ISO/IEC 27001:2022-revisor | Är Zero Trust riskbaserat, godkänt och återspeglat i SoA? | Riskregister, SoA, riskbehandlingsplan, policygodkännanden, protokoll från ledningens genomgång |
| NIST CSF-bedömare | Är styrning, identitet, skydd, detektering, respons och återhämtning integrerade? | CSF-profil, gapplan, IAM-kontroller, användningsfall för loggning, åtgärdsplaner för respons, återställningstester |
| DORA-granskare | Stödjer Zero Trust IKT-riskhantering och resiliens för kritiska funktioner? | IKT-tillgångsförteckning, beroendekarta, testprogram, incidentklassificering, leverantörsregister |
| GDPR-/integritetsrevisor | Är åtkomst till personuppgifter begränsad och bevisligen skyddad? | Roll-till-data-matris, åtkomstgranskningar, krypteringsunderlag, rutiner för personuppgiftsincidenter, register över behandlingsaktiviteter |
| COBIT 2019/ISACA-revisor | Är ansvar, mätetal och kontrollprestanda styrda? | RACI, KPI:er, undantagsregister, revisionsiakttagelser, åtgärdsspårare |
Samma kontroll kan besvara flera frågor, men bara om underlaget är organiserat.
Leverantörs-, moln- och IKT-tredjepartsrisk
Zero Trust stannar inte vid brandväggen, och i molnmiljöer finns det kanske ingen traditionell brandväggsgräns alls. Identitetsleverantörer, molnplattformar, CI/CD-verktyg, leverantörer av Managed Detection and Response (MDR), betalningsprocessorer, API-gateways och outsourcade utvecklingsteam blir alla en del av tillitsväven.
NIS2 Article 21 omfattar uttryckligen säkerhet i leveranskedjan för direkta leverantörer och tjänsteleverantörer, inklusive leverantörssårbarheter, resiliens i produkter och tjänster, leverantörers cybersäkerhetspraxis och rutiner för säker utveckling.
DORA kräver att IKT-tredjepartsrisk hanteras som en del av ramverket för IKT-riskhantering, med ett register över IKT-tjänsteavtal, leverantörsgranskning före avtal, bedömning av kritikalitet, koncentrationsrisk, avtalsmässiga säkerhetskrav, incidentstöd, samverkan med myndigheter, revisionsrätt, rätt att säga upp avtalet, exitstrategier och övergångsplaner.
För Zero Trust är den praktiska regeln enkel: lita inte på en leverantörsanslutning bara för att den är avtalsmässig. Kräv tekniska kontroller och underlag.
En kund-API-integration ska ha begränsade tokenomfattningar, hastighetsbegränsning, övervakning, rotation, ägarskap och återkallelse. En hanterad tjänsteleverantör ska använda MFA, personliga användarkonton med namngiven användare, principen om minsta privilegium, sessionsloggning och tidsbegränsad åtkomst. En relation med en molnleverantör ska ha mappning av delat ansvar, krypteringskonfiguration, logglagring, testning av säkerhetskopiering och exitplanering.
Det är därför leverantörs- och molnunderlag hör hemma i Zero Trust-modellen och inte i en separat upphandlingsmapp.
Mätetal som visar att Zero Trust fungerar i drift
Styrelser och revisorer vill inte bara ha arkitekturdiagram. De vill ha underlag från drift och trender för förbättring.
Användbara Zero Trust-mätetal omfattar:
- Andel privilegierade konton som skyddas med MFA.
- Andel användare som omfattas av villkorsstyrd åtkomst.
- Antal stående privilegierade konton jämfört med just-in-time-konton.
- Antal försenade åtkomstgranskningar.
- Andel endpoints som uppfyller krav på enhetsstatus.
- EDR-täckning över kritiska tillgångar.
- Antal nekade åtkomstförsök på grund av enhets- eller platsrisk.
- Genomsnittlig tid till detektering av misstänkt privilegierad aktivitet.
- Genomsnittlig tid till återkallelse av åtkomst efter avslut.
- Andel brandväggsregler mellan zoner som granskats under det senaste kvartalet.
- Antal kritiska leverantörer med aktuellt säkerhetsunderlag.
- Antal Zero Trust-undantag som passerat åtgärdsdatum.
- Andel kritiska applikationer som skickar loggar till SIEM.
- Resultat från incidentsimuleringar av komprometterade autentiseringsuppgifter.
Dessa mätetal stödjer ständig förbättring enligt ISO/IEC 27001:2022, NIS2:s effektivitetsbedömning, DORA:s förväntningar på testning och åtgärdande samt GDPR:s ansvarsskyldighet.
Vanliga brister i Zero Trust-underlag
De vanligaste bristerna beror inte på avsaknad av verktyg. De beror på svag spårbarhet.
För det första inför organisationer MFA men kan inte visa att privilegierade konton omfattas fullt ut. Tjänstekonton, break-glass-konton och lokala administratörskonton ligger ofta utanför kontrollen.
För det andra genomförs åtkomstgranskningar manuellt men kopplas inte till verksamhetsroller, datakänslighet eller riskägare. Underlaget visar att någon klickade ”granskat”, inte att onödig åtkomst togs bort.
För det tredje finns nätverkssegmentering i diagram men inte i testade regler. Revisorer kommer att fråga om åtkomst mellan segment nekas som standard och om undantag är godkända.
För det fjärde samlas loggar in men är inte handlingsbara. En SIEM utan definierade användningsfall, larmtriage och responsrutiner visar inte kontinuerlig övervakning.
För det femte är leverantörsåtkomst ohanterad. Leverantörer kan använda delade konton, bestående VPN-åtkomst eller breda molnroller utan sessionsövervakning.
För det sjätte separeras integritetsunderlag från säkerhetsunderlag. GDPR kräver bevisbart skydd av personuppgifter, vilket innebär att identitets- och åtkomstkontroller måste kopplas till datakategorier och behandlingsändamål.
Slutligen är undantag odokumenterade. Zero Trust kan hantera undantag om de är riskbedömda, godkända, tidsbegränsade och övervakade. Det kan inte hantera osynliga undantag.
Bygg ditt Zero Trust-underlagspaket med Clarysec
Zero Trust Architecture 2026 är inte en slogan. Det är en operativ efterlevnadsmodell som kopplar samman identitet, enheter, applikationer, nätverkssegmentering, principen om minsta privilegium, kontinuerlig övervakning, leverantörskontroll och dataskyddsåtgärder i ett system som kan revideras.
Om du förbereder dig för ISO/IEC 27001:2022-certifiering, svarar på NIS2-förfrågningar från kunder, anpassar dig till DORA:s IKT-riskhantering eller ska visa säkerhet i samband med behandling enligt GDPR Article 32, börja med spårbarhet.
Använd Zenith Blueprint: An Auditor’s 30-Step Roadmap för att mappa Zero Trust-risker till ditt riskregister, din riskbehandlingsplan och SoA. Använd Zenith Controls: The Cross-Compliance Guide för att anpassa åtkomstkontroll, identitetshantering och övervakning till förväntningar över flera ramverk. Använd Clarysecs policybibliotek, inklusive Enterprise Access Control Policy, Enterprise User Account and Privilege Management Policy, Enterprise Network Security Policy, Enterprise Logging and Monitoring Policy, Enterprise Information Security Policy och Data Protection and Privacy Policy - SME, för att omvandla arkitektur till bindande styrning.
Ditt nästa praktiska steg är att välja ett högriskscenario, till exempel komprometterad privilegierad åtkomst till kunddata, och bygga en komplett Zero Trust-underlagskedja runt det. Om du kan visa detta scenario från början till slut har du grunden för ett skalbart, reviderbart och regulatoriskt redo Zero Trust-program.
Ladda ner Clarysecs policypaket eller boka ett strategisamtal för att se hur Zenith Blueprint och Zenith Controls kan omvandla Zero Trust från en revisionsrisk till en efterlevnadsfördel.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


