Den gode nyhed: Du har et forspring
Hvis din organisation allerede er ISO 27001-certificeret, er du kommet et godt stykke vej mod NIS2-efterlevelse. Anslået 70-80% af de tekniske og organisatoriske krav overlapper.
Men her kommer virkeligheden: Det er ikke nok.
NIS2 stiller krav som går udover hvad ISO 27001 dækker. Og selvom overlappet er stort, findes der specifikke huller som skal lukkes for at opnå fuld compliance.
Praktisk indsigt: Se NIS2 som et supplement til dit ISMS, ikke en erstatning. Din eksisterende struktur er fundamentet — nu handler det om at supplere med de specifikke NIS2-krav.
Hvor ISO 27001 og NIS2 mødes
Her er områderne hvor din ISO 27001-implementering allerede giver dig dækning:
Stærkt overlap findes inden for:
- Risikostyring — Begge kræver systematisk identificering og behandling af risici
- Sikkerhedspolitikker — Dokumenterede politikker og procedurer
- Adgangskontrol — Håndtering af rettigheder og identiteter
- Kryptografi — Beskyttelse af data i transit og hvile
- Driftssikkerhed — Backup, logning, overvågning
- Incidenthåndtering — Processer til at opdage og håndtere incidenter
- Forretningskontinuitet — Planer for at opretholde virksomheden
- Fysisk sikkerhed — Beskyttelse af lokaler og udstyr
De tre største huller
1. Incidentrapportering — tidskravene mangler
Incidenter skal håndteres systematisk og dokumenteres. Lærdommer skal trækkes. Men der findes ingen specifikke tidskrav for rapportering til myndigheder.
Betydelige incidenter skal rapporteres til CFCS inden for 24 timer (tidlig advarsel), 72 timer (incidentmeddelelse) og 1 måned (slutrapport). Tidsrammerne er absolutte.
Hvad du skal gøre:
- Definér hvad der udgør en “betydelig incident” ifølge NIS2
- Etablér kontaktveje til CFCS og relevante tilsynsmyndigheder
- Opret skabeloner til de tre rapporttyper
- Øv at producere rapporter under tidspres
2. Ledelsens ansvar — det bliver personligt
Ledelsen skal vise engagement og sikre ressourcer. Men ansvaret stopper på organisationsniveau.
Ledelsen (bestyrelse, direktør) skal personligt godkende cybersikkerhedsforanstaltninger, gennemgå uddannelse og kan holdes individuelt ansvarlige ved overtrædelser.
Hvad du skal gøre:
- Dokumentér at ledelsen aktivt godkender sikkerhedspolitikker
- Gennemfør cybersikkerhedsuddannelse for bestyrelse og ledelsesgruppe
- Opret tydelig rapportering fra CISO/sikkerhedsansvarlig til ledelsen
- Formaliser ledelsens overvågning af sikkerhedsarbejdet
3. Leverandørkædens sikkerhed — mere konkret
Leverandørrelationer skal håndteres sikkert (A.5.19-A.5.22). Krav skal stilles i kontrakter og leverandører skal overvåges.
Eksplicitte krav til risikovurdering af leverandørkæden, inklusiv sikkerhedskvalitet hos leverandører, deres udviklingsprocesser og sårbarhedshåndtering.
Hvad du skal gøre:
- Kortlæg kritiske leverandører og deres betydning for jeres virksomhed
- Gennemfør sikkerhedsvurderinger af nøgleleverandører
- Opdatér kontrakter med specifikke NIS2-relaterede sikkerhedskrav
- Etablér løbende opfølgning og incidenthåndtering i kæden
Mapping: ISO 27001 kontroller til NIS2
Her er et overblik over hvordan ISO 27001:2022 kontrollerne mapper mod NIS2-kravene:
| NIS2-krav | ISO 27001:2022 kontroller | Hul at fylde |
|---|---|---|
| Risikostyring | A.5.1-A.5.4 | Minimal |
| Incidenthåndtering | A.5.24-A.5.28 | Tidskrav 24/72t |
| Forretningskontinuitet | A.5.29-A.5.30 | Minimal |
| Leverandørsikkerhed | A.5.19-A.5.23 | Dybere vurdering |
| Adgangskontrol | A.5.15-A.5.18, A.8.* | Minimal |
| Kryptografi | A.8.24 | Minimal |
| Personaleuddannelse | A.6.3 | Ledelsesuddannelse |
| Sårbarhedshåndtering | A.8.8 | Minimal |
Trin-for-trin: Fra ISO 27001 til NIS2
- GAP-analyse Kortlæg præcis hvor jeres nuværende kontroller ikke rækker til NIS2. Fokusér på incidentrapportering, ledelsesansvar og leverandørkrav.
- Opdatér dokumentationen Supplér jeres eksisterende politikker og procedurer med NIS2-specifikke krav. Opret nye dokumenter hvor det er nødvendigt (f.eks. incidentrapportskabeloner).
- Uddann ledelsen Gennemfør specifik uddannelse for bestyrelse og ledelse om NIS2-kravene og deres personlige ansvar. Dokumentér gennemførelsen.
- Etablér rapporteringskanaler Opsæt kontaktveje til CFCS og jeres sektormyndighed. Test at rapporteringen fungerer.
- Forbyg leverandørarbejdet Gennemfør sikkerhedsvurderinger af kritiske leverandører. Opdatér kontrakter og etablér løbende opfølgning.
- Øv incidenthåndtering Gennemfør øvelser med fokus på NIS2's tidskrav. Kan I producere en tidlig advarsel inden for 24 timer, inklusiv weekender og nat?
Tidsbesparelsen er reel
Organisationer med eksisterende ISO 27001-certificering har typisk disse fordele:
Allerede på plads:
- Etableret ISMS-struktur og processer
- Dokumenterede politikker og procedurer
- Risikostyringsramme
- Incidenthåndteringsprocesser (kræver tidskrav)
- Sikkerhedskultur og bevidsthed
- Intern revisionsproces
Typisk tidsbesparelse: 6-12 måneder sammenlignet med at starte fra nul
Sådan kan Securapilot hjælpe
Med Securapilot får du værktøjer der støtter både ISO 27001 og NIS2 i samme platform:
- GAP-analyse — Identificér præcis hvad der mangler til NIS2
- Risikostyring — ISO 27005-baseret, dækker begge rammer
- Incidenthåndtering — Indbyggede tidskrav og rapportskabeloner til NIS2
- Leverandørhåndtering — Vurdering og opfølgning
- Kontrol-mapping — Se hvordan jeres ISO 27001-kontroller mapper mod NIS2
Book en demo og se hvordan vi kan hjælpe jer gå fra ISO 27001 til fuld NIS2-efterlevelse.
Ofte stillede spørgsmål
Er ISO 27001 nok til NIS2-compliance?
Nej, ISO 27001 dækker cirka 70-80% af NIS2-kravene. Du får et meget godt forspring, men skal supplere med specifikke NIS2-krav som incidentrapportering inden for 24 timer, eksplicitte ledelsesansvar og sektorspecifikke krav.
Er det værd at have både ISO 27001 og NIS2?
Absolut. ISO 27001 giver et struktureret ISMS som letter NIS2-efterlevelsen. Certificeringen viser også overfor kunder og partnere, at I tager sikkerhed alvorligt. Mange organisationer ser ISO 27001 som grundlaget og NIS2 som et supplement.
Hvad er de største huller mellem ISO 27001 og NIS2?
De tre største huller er: 1) Incidentrapportering inden for 24 timer (ISO 27001 har intet specifikt tidskrav), 2) Ledelsens personlige ansvar og uddannelseskrav, 3) Krav til leverandørkædens sikkerhed som er mere eksplicitte i NIS2.
Hvor lang tid tager det at gå fra ISO 27001 til NIS2-compliance?
Med en eksisterende ISO 27001-certificering kan I typisk opnå NIS2-compliance på 3-6 måneder, sammenlignet med 12-18 måneder uden eksisterende ISMS. Tidsbesparelsen kommer fra at processer, dokumentation og kultur allerede er på plads.
