Utmaningen: Flera ramverk, begränsade resurser
Din organisation behöver följa ISO 27001 för kundernas skull. NIS2 gäller eftersom ni klassificeras som väsentlig verksamhet. GDPR är lag. Och nu frågar den amerikanska kunden om SOC 2.
Varje ramverk har sina kontroller, sin terminologi, sina dokumentationskrav. Att hantera dem separat betyder dubbelarbete, inkonsekvent dokumentation och utbrändhet.
Lösningen: Kontrollmappning: att identifiera vad som överlappar och implementera gemensamma kontroller en gång.
Överlappning mellan ramverk
Hur mycket överlappar?
| Ramverk A | Ramverk B | Överlappning |
|---|---|---|
| ISO 27001 | NIS2 | ~70% |
| ISO 27001 | SOC 2 | ~60% |
| ISO 27001 | GDPR | ~50% |
| NIS2 | GDPR | ~40% (incidentrapportering, säkerhetsåtgärder) |
| SOC 2 | ISO 27001 | ~60% |
Implikation: Om du implementerat ISO 27001 har du redan majoriteten av andra ramverk på plats. Det som saknas är ramverksspecifika tillägg.
Vad är kontrollmappning?
Kontrollmappning innebär att koppla kontroller från ett ramverk till motsvarande kontroller i andra ramverk. Det visar vilka krav som täcks av samma åtgärd.
Exempel: Åtkomstkontroll
| Ramverk | Kontroll/Krav | Krav i korthet |
|---|---|---|
| ISO 27001 | A.5.15-A.5.18 | Åtkomstkontrollspolicy, åtkomsthantering |
| NIS2 | Art. 21.2i | Åtkomstkontroll och tillgångshantering |
| GDPR | Art. 32.1b | Förmåga att säkerställa konfidentialitet |
| SOC 2 | CC6.1-CC6.8 | Logical and physical access controls |
Slutsats: En välimplementerad åtkomstkontroll-policy med tillhörande processer uppfyller alla fyra ramverken. Dokumentera en gång, mappa till alla.
Mappningsprocess
- Lista alla tillämpliga ramverk Vilka ramverk måste ni följa? Regulatoriska (NIS2, GDPR), kundkrav (ISO 27001, SOC 2), branschspecifika? Skapa en komplett lista.
- Inventera unika krav per ramverk Lista alla kontroller/krav från varje ramverk. ISO 27001 har 93 kontroller i Annex A. NIS2 har 10 områden i Artikel 21. GDPR har specifika artiklar. Detta blir er totala kontrolluniversum.
- Identifiera gemensamma kontroller Gå igenom och gruppera kontroller som adresserar samma område. Åtkomstkontroll? Gruppera alla ramverks krav på åtkomstkontroll. Incidenthantering? Samma sak.
- Skapa master control framework Bygg ett internt ramverk med konsoliderade kontroller. Varje kontroll täcker krav från flera ramverk. Detta blir er källa till sanning.
- Implementera och dokumentera Implementera kontrollerna en gång, men dokumentera vilka ramverkskrav varje kontroll uppfyller. En policy, flera mappningar.
- Bevisa för flera ramverk Vid revision eller audit visar ni samma evidens men mappad till respektive ramverk. Revisorn får vad de behöver, ni slipper dubbelarbete.
Exempel: ISO 27001 → NIS2 mappning
Hur ISO 27001 Annex A mappar mot NIS2 Artikel 21:
| NIS2 Artikel 21 | ISO 27001 Annex A |
|---|---|
| a) Riskanalys och säkerhetspolicy | A.5.1-A.5.4 (Policies), A.5.7 (Hotinformation) |
| b) Incidenthantering | A.5.24-A.5.28 (Incidenthantering) |
| c) Affärskontinuitet | A.5.29-A.5.30 (Kontinuitet), A.8.13-A.8.14 (Backup) |
| d) Leveranskedjesäkerhet | A.5.19-A.5.23 (Leverantörsrelationer) |
| e) Säkerhet vid anskaffning | A.5.8 (Projekt), A.8.25-A.8.34 (Utveckling) |
| f) Utvärdering av åtgärder | A.5.35-A.5.36 (Granskning) |
| g) Cyberhygien och utbildning | A.6.3 (Medvetenhet), A.6.6 (Distansarbete) |
| h) Kryptografi | A.8.24 (Kryptografi) |
| i) Personalresurser och åtkomst | A.6.1-A.6.2 (Screening), A.5.15-A.5.18 (Åtkomst) |
| j) Multifaktorautentisering | A.8.5 (Autentisering) |
Resultat: ISO 27001-certifierad organisation har ~70-80% av NIS2 på plats. Gap-analys identifierar resten.
Vad överlappar INTE?
24 timmar för initial varning är specifikt för NIS2. ISO 27001 kräver inte specifika tidsramar.
Register över behandlingsaktiviteter (Art. 30) är GDPR-specifikt. Överlapp med tillgångsregister men inte identiskt.
Availability och Processing Integrity har specifika kriterier som går utöver ISO 27001.
Explicit krav på att ledning genomgår säkerhetsutbildning. Mer specifikt än ISO 27001.
Master control framework i praktiken
Struktur för en konsoliderad kontroll:
KONTROLL: Åtkomstkontroll
─────────────────────────
Beskrivning:
Systematisk hantering av användarbehörigheter baserat på
principen om minsta behörighet.
Policy: P-AC-001 Åtkomstkontrollspolicy
Processer:
- Onboarding/offboarding
- Behörighetsgranskningar (kvartalsvis)
- Privilegierad åtkomst
Mappning:
├── ISO 27001: A.5.15, A.5.16, A.5.17, A.5.18
├── NIS2: Artikel 21.2i
├── GDPR: Artikel 32.1b
└── SOC 2: CC6.1, CC6.2, CC6.3
Evidens:
- Åtkomstkontrollspolicy (dokument)
- Behörighetsgranskningsrapporter (kvartalsvis)
- AD-konfiguration (screenshot/export)
- Offboarding-checklist (exempel)
Fördelar: En kontroll, en implementering, en evidensinsamling, men bevis för fyra ramverk.
Effektivitetsvinster
Konkreta besparingar:
| Aktivitet | Utan mappning | Med mappning | Besparing |
|---|---|---|---|
| Policyskapande | 4 versioner | 1 version + mappning | 75% |
| Evidensinsamling | 4 insamlingar | 1 insamling | 75% |
| Revisionsförberedelse | 4 paket | 1 paket + mappningsmatriser | 60% |
| Löpande underhåll | 4 uppdateringar | 1 uppdatering | 75% |
| Gap-analyser | 4 separata | 1 konsoliderad | 60% |
Total uppskattad tidsbesparing: 40-60% för organisationer med 3+ ramverk.
Fallgropar att undvika
Alla ramverk är inte identiska. En mappning ska visa överlapp, men också tydliggöra skillnader och tillägg som krävs.
Ramverk uppdateras. ISO 27001:2022 är annorlunda än 2013. Mappningen måste underhållas vid förändringar.
Samma kontroll kan behöva olika nivå beroende på ramverk. "Kryptering" kan betyda olika saker i olika sammanhang.
GRC-verktyg med inbyggd mappning är bra, men du måste förstå logiken. Verktyget ska stödja, inte ersätta, din förståelse.
Praktiska tips
Börja med det du har
Om ni redan har ISO 27001, använd det som bas och mappa andra ramverk mot det. Ni behöver inte bygga nytt från grunden.
Dokumentera skillnader tydligt
I varje mappning, notera vad som är unikt för respektive ramverk. “NIS2 kräver dessutom X” är viktig information.
Involvera rätt personer
Juridik för GDPR-tolkning, IT-säkerhet för tekniska kontroller, verksamheten för processförståelse. Multi-framework kräver tvärfunktionellt arbete.
Automatisera där möjligt
GRC-system med inbyggd kontrollmappning sparar enormt mycket tid. Manuell mappning i Excel fungerar, men skalar dåligt.
Vanlig mappningsresa
Typisk progression för svensk organisation:
År 1: GDPR-anpassning (2018)
- Grundläggande dataskydd
- Register över behandlingar
- Samtycke och rättigheter
År 2-3: ISO 27001-certifiering
- Ledningssystem för informationssäkerhet
- 93 kontroller i Annex A
- Extern revision och certifikat
År 4: NIS2-anpassning (2024-2025)
- Gap-analys mot ISO 27001
- Tillägg: incidentrapportering, ledningsansvar
- Mappning mot befintliga kontroller
År 5+: SOC 2 / branschspecifika
- Kunddriven expansion
- Mappning mot befintlig bas
- Effektivt med master control framework
Så kan Securapilot hjälpa
Securapilot är byggt för multi-framework compliance:
- Inbyggd kontrollmappning: Se överlapp mellan ramverk
- Master control framework: En kontroll, flera mappningar
- Evidensdelning: Samma bevis för flera ramverk
- Gap-analys: Identifiera vad som saknas per ramverk
- Rapportering: Compliance-status per ramverk i ett dashboard
Boka en demo och se hur vi förenklar multi-framework compliance.
Vanliga frågor
Måste jag följa flera ramverk?
Det beror på bransch, geografi och kunder. Många svenska organisationer behöver minst NIS2 (lag), GDPR (lag), och ISO 27001 (kundkrav). B2B SaaS adderar ofta SOC 2.
Vilket ramverk ska jag börja med?
Börja med det som har störst drivkraft, ofta ett kundkrav eller regulatoriskt krav. ISO 27001 ger bred grund. NIS2/GDPR är juridiskt bindande.
Vad är en 'master control framework'?
Ett internt ramverk som konsoliderar alla kontroller från era tillämpliga ramverk. Ni implementerar kontroller en gång och mappar sedan bevis till respektive ramverk.
Hur undviker jag dubbelarbete?
Genom att identifiera gemensamma kontroller och länka dem. En åtkomstkontroll-policy uppfyller krav i ISO 27001, NIS2, GDPR och SOC 2. Dokumentera det så.
