Två världar, olika regler
Om din organisation verkar internationellt, särskilt med kunder i både Europa och USA, har du sannolikt stött på både NIS2 och SOC 2. De har olika ursprung, olika fokus och olika mekanismer, men båda handlar om att bygga förtroende genom påvisbar säkerhet.
Kortversion: NIS2 är lag. SOC 2 är marknadskrav. Du kan behöva båda.
Grundläggande jämförelse
| Aspekt | NIS2 | SOC 2 |
|---|---|---|
| Ursprung | EU-direktiv (2022/2555) | AICPA (USA) |
| Typ | Lagstadgat | Frivilligt (marknadsdrivet) |
| Geografiskt fokus | EU/EES | Främst USA, global användning |
| Målgrupp | Organisationer i kritiska sektorer | Tjänsteleverantörer (främst SaaS, moln) |
| Fokus | Cybersäkerhet i samhällsviktig verksamhet | Kunddata hos tjänsteleverantörer |
| Verifiering | Myndighetstillsyn | Oberoende revisorsattest |
| Certifikat | Nej (compliance-status) | Ja (Type I eller Type II rapport) |
| Giltighetstid | Löpande | Type II gäller 12 månader |
NIS2 i korthet
Vad det är: EU-direktiv för cybersäkerhet implementerat i svensk lag som Cybersäkerhetslagen.
Vem det gäller: Organisationer i 18 definierade sektorer med minst 50 anställda eller 50M kr omsättning.
Vad som krävs:
- Systematisk riskhantering
- Incidentrapportering inom 24 timmar
- Ledningens ansvar och utbildning
- Säkerhet i leveranskedjan
- Tekniska och organisatoriska åtgärder
Konsekvens vid bristande efterlevnad: Böter upp till 10M€ eller 2% av global omsättning.
SOC 2 i korthet
Vad det är: Ramverk utvecklat av AICPA (American Institute of CPAs) för tjänsteleverantörer som hanterar kunddata.
Vem det gäller: Primärt SaaS-leverantörer, molntjänster, datacenter och andra tjänsteföretag.
Trust Service Criteria:
- Security: Skydd mot obehörig åtkomst
- Availability: Systemtillgänglighet
- Processing Integrity: Korrekt databehandling
- Confidentiality: Skydd av konfidentiell information
- Privacy: Hantering av personuppgifter
Type I vs Type II:
- Type I: Design av kontroller vid en tidpunkt
- Type II: Effektivitet av kontroller över tid (6-12 månader)
Nyckelskillnader
NIS2: Lag, du måste uppfylla det om du omfattas.
SOC 2: Frivilligt, men kunder kan kräva det.
NIS2: 24 timmar till CSIRT, detaljerade krav.
SOC 2: Inga specifika tidskrav till myndigheter.
NIS2: Explicit personligt ansvar för ledning.
SOC 2: Fokus på organisationskontroller.
NIS2: Myndighetstillsyn när de beslutar.
SOC 2: Årlig revision av oberoende revisor.
När behöver du båda?
Scenario 1: Europeiskt företag med amerikanska kunder
Du omfattas av NIS2 om du verkar i en berörd sektor. Dina amerikanska kunder kräver SOC 2-rapport som del av sin vendor due diligence. Lösning: Implementera båda, med ISO 27001 som gemensam grund.
Scenario 2: Amerikansk SaaS-leverantör med EU-kunder
Du har SOC 2 Type II. Dina EU-kunder omfattas av NIS2 och ställer krav på dig som leverantör. Du behöver visa compliance mot NIS2:s leverantörskrav, även om du inte direkt omfattas.
Scenario 3: Global organisation
Du har dotterbolag i både EU och USA. EU-verksamheten omfattas av NIS2, USA-verksamheten behöver SOC 2 för kunder. Båda behövs.
ISO 27001 som brygga
Varför ISO 27001 hjälper:
ISO 27001 är en internationellt erkänd standard som ger struktur för ett ledningssystem för informationssäkerhet (ISMS). Den:
- Täcker 70-80% av NIS2-kraven
- Accepteras ofta som del av SOC 2-underlag
- Erkänns globalt
- Ger struktur för kontinuerlig förbättring
Strategi: Bygg på ISO 27001, addera NIS2-specifika krav (incidentrapportering, ledningsansvar) och komplettera med SOC 2-revision vid behov.
Mappning: Var överlappar de?
| Område | NIS2 | SOC 2 | ISO 27001 |
|---|---|---|---|
| Riskhantering | ✓ | ✓ | ✓ |
| Åtkomstkontroll | ✓ | ✓ | ✓ |
| Incidenthantering | ✓ (24h) | ✓ | ✓ |
| Kryptering | ✓ | ✓ | ✓ |
| Leverantörssäkerhet | ✓ | ✓ | ✓ |
| Affärskontinuitet | ✓ | ✓ | ✓ |
| Personalsäkerhet | ✓ | ✓ | ✓ |
| Ledningsansvar | ✓✓ | ✓ | ✓ |
| Myndighetsrapportering | ✓✓ | - | - |
Praktiska rekommendationer
- Kartlägg vad som gäller för dig Omfattas du av NIS2? Har du kunder som kräver SOC 2? Börja med att förstå kraven som faktiskt gäller.
- Bygg på ISO 27001 Om du inte redan har en strukturerad ISMS, överväg ISO 27001 som grund. Det ger struktur som stödjer båda.
- Addera specifika krav Lägg till NIS2-specifika krav (24h-rapportering, ledningsansvar) och förbered för SOC 2-revision om det behövs.
- Planera revisionen SOC 2 Type II kräver extern revisor och 6-12 månaders observationsperiod. Planera i tid.
- Underhåll kontinuerligt Båda kräver löpande underhåll. Bygg processer för att hålla compliance levande.
Så kan Securapilot hjälpa
Securapilot stödjer compliance för både NIS2 och SOC 2:
- NIS2-modul: Full täckning av Cybersäkerhetslagens krav
- Kontrollramverk: Mappning mot SOC 2 Trust Service Criteria
- Revisionsförberedelse: Dokumentation för externa revisorer
- Gap-analys: Identifiera vad som saknas
- Integrerad approach: Ett system för båda ramverken
Boka en demo och se hur vi kan stödja er internationella compliance.
Vanliga frågor
Behöver jag både NIS2 och SOC 2?
Det beror på din verksamhet. Om du verkar inom EU och omfattas av NIS2 måste du uppfylla det. Om du har amerikanska kunder som kräver SOC 2 behöver du även det. Många organisationer har båda.
Kan SOC 2-compliance ersätta NIS2?
Nej, SOC 2 är inte juridiskt bindande och täcker inte alla NIS2-krav, särskilt incidentrapportering till myndigheter och ledningsansvar. Du kan inte uppfylla NIS2 genom att ha SOC 2.
Vilket är lättare att uppnå?
Det beror på utgångsläget. SOC 2 kräver revision av extern revisor. NIS2 kräver dokumenterad compliance som kan granskas av myndigheter. Båda kräver substantiellt arbete.
Hur hänger ISO 27001 ihop med dessa?
ISO 27001 är en internationell standard som erkänns både i EU och USA. En ISO 27001-certifiering täcker stora delar av både NIS2 och SOC 2-kraven och fungerar som en bra grund för båda.
