Den goda nyheten: Du har ett försprång
Om din organisation redan är ISO 27001-certifierad har du kommit en bra bit på väg mot NIS2-efterlevnad. Uppskattningsvis 70-80% av de tekniska och organisatoriska kraven överlappar.
Men här kommer verkligheten: Det räcker inte.
NIS2 ställer krav som går utöver vad ISO 27001 täcker. Och även om överlappningen är stor, finns det specifika gap som måste fyllas för att uppnå full compliance.
Praktisk insikt: Se NIS2 som ett tillägg till din ISMS, inte en ersättning. Din befintliga struktur är grunden. Nu handlar det om att komplettera med de specifika NIS2-kraven.
Var ISO 27001 och NIS2 möts
Här är områdena där din ISO 27001-implementation redan ger dig täckning:
Stark överlappning finns inom:
- Riskhantering: Båda kräver systematisk identifiering och behandling av risker
- Säkerhetspolicyer: Dokumenterade policyer och procedurer
- Åtkomstkontroll: Hantering av behörigheter och identiteter
- Kryptografi: Skydd av data i transit och vila
- Driftsäkerhet: Backup, loggning, övervakning
- Incidenthantering: Processer för att upptäcka och hantera incidenter
- Affärskontinuitet: Planer för att upprätthålla verksamheten
- Fysisk säkerhet: Skydd av lokaler och utrustning
De tre största gapen
1. Incidentrapportering: tidskraven saknas
Incidenter ska hanteras systematiskt och dokumenteras. Lärdomar ska dras. Men det finns inga specifika tidskrav för rapportering till myndigheter.
Betydande incidenter måste rapporteras till CSIRT inom 24 timmar (tidig varning), 72 timmar (incidentmeddelande) och 1 månad (slutrapport). Tidsramarna är absoluta.
Vad du behöver göra:
- Definiera vad som utgör en “betydande incident” enligt NIS2
- Etablera kontaktvägar till CSIRT och tillsynsmyndigheter
- Skapa mallar för de tre rapporttyperna
- Öva på att producera rapporter under tidspress
2. Ledningens ansvar: det blir personligt
Ledningen ska visa engagemang och säkerställa resurser. Men ansvaret stannar på organisationsnivå.
Ledningen (styrelse, VD) måste personligen godkänna cybersäkerhetsåtgärder, genomgå utbildning och kan hållas individuellt ansvariga vid överträdelser.
Vad du behöver göra:
- Dokumentera att ledningen aktivt godkänner säkerhetspolicyer
- Genomföra cybersäkerhetsutbildning för styrelse och ledningsgrupp
- Skapa tydlig rapportering från CISO/säkerhetsansvarig till ledningen
- Formalisera ledningens övervakning av säkerhetsarbetet
3. Leverantörskedjans säkerhet: mer konkret
Leverantörsrelationer ska hanteras säkert (A.5.19-A.5.22). Krav ska ställas i avtal och leverantörer ska övervakas.
Explicita krav på riskbedömning av leveranskedjan, inklusive säkerhetskvalitet hos leverantörer, deras utvecklingsprocesser och sårbarhetshantering.
Vad du behöver göra:
- Kartlägg kritiska leverantörer och deras betydelse för er verksamhet
- Genomför säkerhetsbedömningar av nycklelleverantörer
- Uppdatera avtal med specifika NIS2-relaterade säkerhetskrav
- Etablera löpande uppföljning och incidenthantering i kedjan
Mappning: ISO 27001 kontroller till NIS2
Här är en översikt över hur ISO 27001:2022 kontrollerna mappar mot NIS2-kraven:
| NIS2-krav | ISO 27001:2022 kontroller | Gap att fylla |
|---|---|---|
| Riskhantering | A.5.1-A.5.4 | Minimal |
| Incidenthantering | A.5.24-A.5.28 | Tidskrav 24/72h |
| Affärskontinuitet | A.5.29-A.5.30 | Minimal |
| Leverantörssäkerhet | A.5.19-A.5.23 | Djupare bedömning |
| Åtkomstkontroll | A.5.15-A.5.18, A.8.* | Minimal |
| Kryptografi | A.8.24 | Minimal |
| Personalutbildning | A.6.3 | Ledningsutbildning |
| Sårbarhetshant. | A.8.8 | Minimal |
Steg-för-steg: Från ISO 27001 till NIS2
- GAP-analys Kartlägg exakt var era nuvarande kontroller inte räcker till för NIS2. Fokusera på incidentrapportering, ledningsansvar och leverantörskrav.
- Uppdatera dokumentationen Komplettera era befintliga policyer och procedurer med NIS2-specifika krav. Skapa nya dokument där det behövs (t.ex. incidentrapportmallar).
- Utbilda ledningen Genomför specifik utbildning för styrelse och ledning om NIS2-kraven och deras personliga ansvar. Dokumentera genomförandet.
- Etablera rapporteringskanaler Sätt upp kontaktvägar till CSIRT (Cert-SE vid MCF) och er sektorsmyndighet. Testa att rapporteringen fungerar.
- Fördjupa leverantörsarbetet Genomför säkerhetsbedömningar av kritiska leverantörer. Uppdatera avtal och etablera löpande uppföljning.
- Öva incidenthantering Genomför övningar med fokus på NIS2:s tidskrav. Kan ni producera en tidig varning inom 24 timmar, inklusive helger och nätter?
Tidsbesparingen är verklig
Organisationer med befintlig ISO 27001-certifiering har typiskt dessa fördelar:
Redan på plats:
- Etablerad ISMS-struktur och processer
- Dokumenterade policyer och procedurer
- Riskhanteringsramverk
- Incidenthanteringsprocesser (behöver tidskrav)
- Säkerhetskultur och medvetenhet
- Internrevisionsprocess
Typisk tidsbesparing: 6-12 månader jämfört med att börja från noll
Så kan Securapilot hjälpa
Med Securapilot får du verktyg som stödjer både ISO 27001 och NIS2 i samma plattform:
- GAP-analys: Identifiera exakt vad som saknas för NIS2
- Riskhantering: ISO 27005-baserad, täcker båda ramverken
- Incidenthantering: Inbyggda tidskrav och rapportmallar för NIS2
- Leverantörshantering: Bedömning och uppföljning
- Kontrollmappning: Se hur era ISO 27001-kontroller mappar mot NIS2
Boka en demo och se hur vi kan hjälpa er gå från ISO 27001 till full NIS2-efterlevnad.
Vanliga frågor
Räcker ISO 27001 för NIS2-compliance?
Nej, ISO 27001 täcker cirka 70-80% av NIS2-kraven. Du får ett mycket bra försprång, men behöver komplettera med specifika NIS2-krav som incidentrapportering inom 24 timmar, explicita ledningsansvar och sektorspecifika krav.
Är det värt att ha båda ISO 27001 och NIS2?
Absolut. ISO 27001 ger en strukturerad ISMS som underlättar NIS2-efterlevnad. Certifieringen visar också för kunder och partners att ni tar säkerhet på allvar. Många organisationer ser ISO 27001 som grunden och NIS2 som ett tillägg.
Vilka är de största gapen mellan ISO 27001 och NIS2?
De tre största gapen är: 1) Incidentrapportering inom 24 timmar (ISO 27001 har inget specifikt tidskrav), 2) Ledningens personliga ansvar och utbildningskrav, 3) Krav på leverantörskedjans säkerhet som är mer explicita i NIS2.
Hur lång tid tar det att gå från ISO 27001 till NIS2-compliance?
Med en befintlig ISO 27001-certifiering kan ni typiskt uppnå NIS2-compliance på 3-6 månader, jämfört med 12-18 månader utan befintlig ISMS. Tidsbesparingen kommer från att processer, dokumentation och kultur redan finns på plats.
