Utmaningen: Flera ramverk, begränsade resurser
Din organisation behöver följa ISO 27001 för kundernas skull. NIS2 gäller eftersom ni klassas som väsentlig verksamhet. GDPR är lag. Och nu frågar den amerikanska kunden om SOC 2.
Varje ramverk har sina kontroller, sin terminologi och sina dokumentationskrav. Hanterar du dem separat innebär det dubbelarbete, inkonsekvent dokumentation och utbrändhet.
Lösningen: Kontrollmappning: att identifiera vad som överlappar och implementera gemensamma kontroller en gång.
Överlappning mellan ramverk
Hur mycket överlappar?
| Ramverk A | Ramverk B | Överlappning |
|---|---|---|
| ISO 27001 | NIS2 | ~70% |
| ISO 27001 | SOC 2 | ~60% |
| ISO 27001 | GDPR | ~50% |
| NIS2 | GDPR | ~40 procent (incidentrapportering, säkerhetsåtgärder) |
| SOC 2 | ISO 27001 | ~60% |
Vad betyder det? Om du har infört ISO 27001 har du redan majoriteten av andra ramverk på plats. Det som saknas är ramverksspecifika tillägg.
Vad är kontrollmappning?
Kontrollmappning innebär att du kopplar kontroller från ett ramverk till motsvarande kontroller i andra ramverk. Det visar vilka krav som täcks av samma åtgärd.
Exempel: Åtkomstkontroll
| Ramverk | Kontroll/Krav | Krav i korthet |
|---|---|---|
| ISO 27001 | A.5.15-A.5.18 | Åtkomstkontrollspolicy, åtkomsthantering |
| NIS2 | Art. 21.2i | Åtkomstkontroll och tillgångshantering |
| GDPR | Art. 32.1b | Förmåga att säkerställa konfidentialitet |
| SOC 2 | CC6.1-CC6.8 | Logical and physical access controls |
Slutsats: En väl genomförd åtkomstkontroll-policy med tillhörande processer uppfyller alla fyra ramverken. Dokumentera en gång, mappa till alla.
Mappningsprocess
- Lista alla tillämpliga ramverk Vilka ramverk måste ni följa? Regulatoriska (NIS2, GDPR), kundkrav (ISO 27001, SOC 2), branschspecifika? Skapa en komplett lista.
- Inventera unika krav per ramverk Lista alla kontroller och krav från varje ramverk. ISO 27001 har 93 kontroller i Annex A. NIS2 har 10 områden i Artikel 21. GDPR har specifika artiklar. Tillsammans blir detta ert totala kontrolluniversum.
- Identifiera gemensamma kontroller Gå igenom och gruppera kontroller som täcker samma område. Åtkomstkontroll? Gruppera alla ramverks krav på åtkomstkontroll. Incidenthantering? Samma sak.
- Skapa master control framework Bygg ett internt ramverk med samlade kontroller. Varje kontroll täcker krav från flera ramverk. Detta blir er enda referenspunkt.
- Implementera och dokumentera Inför kontrollerna en gång, men dokumentera vilka ramverkskrav varje kontroll uppfyller. En policy, flera mappningar.
- Bevisa för flera ramverk Vid revision visar ni samma bevis, men mappade till respektive ramverk. Revisorn får vad hen behöver och ni slipper dubbelarbete.
Exempel: ISO 27001 → NIS2 mappning
Hur ISO 27001 Annex A mappar mot NIS2 Artikel 21:
| NIS2 Artikel 21 | ISO 27001 Annex A |
|---|---|
| a) Riskanalys och säkerhetspolicy | A.5.1-A.5.4 (Policies), A.5.7 (Hotinformation) |
| b) Incidenthantering | A.5.24-A.5.28 (Incidenthantering) |
| c) Affärskontinuitet | A.5.29-A.5.30 (Kontinuitet), A.8.13-A.8.14 (Backup) |
| d) Leveranskedjesäkerhet | A.5.19-A.5.23 (Leverantörsrelationer) |
| e) Säkerhet vid anskaffning | A.5.8 (Projekt), A.8.25-A.8.34 (Utveckling) |
| f) Utvärdering av åtgärder | A.5.35-A.5.36 (Granskning) |
| g) Cyberhygien och utbildning | A.6.3 (Medvetenhet), A.6.6 (Distansarbete) |
| h) Kryptografi | A.8.24 (Kryptografi) |
| i) Personalresurser och åtkomst | A.6.1-A.6.2 (Screening), A.5.15-A.5.18 (Åtkomst) |
| j) Multifaktorautentisering | A.8.5 (Autentisering) |
Resultat: En ISO 27001-certifierad organisation har ~70-80 procent av NIS2 på plats. En gap-analys visar vad som återstår.
Vad överlappar INTE?
24 timmar för initial varning är specifikt för NIS2. ISO 27001 kräver inte specifika tidsramar.
Register över behandlingsaktiviteter (Art. 30) är GDPR-specifikt. Överlapp med tillgångsregister men inte identiskt.
Availability och Processing Integrity har specifika kriterier som går utöver ISO 27001.
Explicit krav på att ledning genomgår säkerhetsutbildning. Mer specifikt än ISO 27001.
Master control framework i praktiken
Struktur för en konsoliderad kontroll:
KONTROLL: Åtkomstkontroll
─────────────────────────
Beskrivning:
Systematisk hantering av användarbehörigheter baserat på
principen om minsta behörighet.
Policy: P-AC-001 Åtkomstkontrollspolicy
Processer:
- Onboarding/offboarding
- Behörighetsgranskningar (kvartalsvis)
- Privilegierad åtkomst
Mappning:
├── ISO 27001: A.5.15, A.5.16, A.5.17, A.5.18
├── NIS2: Artikel 21.2i
├── GDPR: Artikel 32.1b
└── SOC 2: CC6.1, CC6.2, CC6.3
Evidens:
- Åtkomstkontrollspolicy (dokument)
- Behörighetsgranskningsrapporter (kvartalsvis)
- AD-konfiguration (screenshot/export)
- Offboarding-checklist (exempel)
Fördelar: En kontroll, en implementering, en evidensinsamling, men bevis för fyra ramverk.
Effektivitetsvinster
Konkreta besparingar:
| Aktivitet | Utan mappning | Med mappning | Besparing |
|---|---|---|---|
| Policyskapande | 4 versioner | 1 version + mappning | 75% |
| Evidensinsamling | 4 insamlingar | 1 insamling | 75% |
| Revisionsförberedelse | 4 paket | 1 paket + mappningsmatriser | 60% |
| Löpande underhåll | 4 uppdateringar | 1 uppdatering | 75% |
| Gap-analyser | 4 separata | 1 konsoliderad | 60% |
Total uppskattad tidsbesparing: 40-60% för organisationer med 3+ ramverk.
Fallgropar att undvika
Alla ramverk är inte identiska. En mappning ska visa överlapp, men också tydliggöra skillnader och tillägg som du behöver göra.
Ramverk uppdateras. ISO 27001:2022 skiljer sig från 2013. Du måste underhålla mappningen vid förändringar.
Samma kontroll kan behöva olika nivå beroende på ramverk. "Kryptering" kan betyda olika saker i olika sammanhang.
GRC-verktyg med inbyggd mappning är bra, men du måste förstå logiken bakom. Verktyget ska stödja din förståelse, inte ersätta den.
Praktiska tips
Börja med det du har
Om ni redan har ISO 27001, använd det som bas och mappa andra ramverk mot det. Ni behöver inte bygga nytt från grunden.
Dokumentera skillnader tydligt
I varje mappning, notera vad som är unikt för respektive ramverk. “NIS2 kräver dessutom X” är viktig information.
Involvera rätt personer
Juridik för GDPR-tolkning, IT-säkerhet för tekniska kontroller, verksamheten för processförståelse. Arbete med flera ramverk kräver tvärfunktionellt samarbete.
Automatisera där möjligt
GRC-system med inbyggd kontrollmappning sparar enormt mycket tid. Manuell mappning i Excel fungerar, men fungerar sämre i takt med att ni växer.
Vanlig mappningsresa
Typisk progression för svensk organisation:
År 1: GDPR-anpassning (2018)
- Grundläggande dataskydd
- Register över behandlingar
- Samtycke och rättigheter
År 2-3: ISO 27001-certifiering
- Ledningssystem för informationssäkerhet
- 93 kontroller i Annex A
- Extern revision och certifikat
År 4: NIS2-anpassning (2024-2025)
- Gap-analys mot ISO 27001
- Tillägg: incidentrapportering, ledningsansvar
- Mappning mot befintliga kontroller
År 5+: SOC 2 / branschspecifika
- Kunddriven expansion
- Mappning mot befintlig bas
- Effektivt med master control framework
Så kan Securapilot hjälpa
Securapilot är byggt för efterlevnad av flera ramverk:
- Inbyggd kontrollmappning: Se överlapp mellan ramverk
- Master control framework: En kontroll, flera mappningar
- Evidensdelning: Samma bevis för flera ramverk
- Gap-analys: Identifiera vad som saknas per ramverk
- Rapportering: Efterlevnadsstatus per ramverk i en översikt
Boka en demo och se hur vi förenklar arbetet med flera ramverk.
Vanliga frågor
Måste jag följa flera ramverk?
Det beror på bransch, geografi och kunder. Många svenska organisationer behöver minst NIS2 (lag), GDPR (lag), och ISO 27001 (kundkrav). B2B SaaS adderar ofta SOC 2.
Vilket ramverk ska jag börja med?
Börja med det som har störst drivkraft, ofta ett kundkrav eller regulatoriskt krav. ISO 27001 ger bred grund. NIS2/GDPR är juridiskt bindande.
Vad är en 'master control framework'?
Ett internt ramverk som konsoliderar alla kontroller från era tillämpliga ramverk. Ni implementerar kontroller en gång och mappar sedan bevis till respektive ramverk.
Hur undviker jag dubbelarbete?
Genom att identifiera gemensamma kontroller och länka dem. En åtkomstkontroll-policy uppfyller krav i ISO 27001, NIS2, GDPR och SOC 2. Dokumentera det så.
