Udfordringen: Flere rammeverker, begrænsede ressourcer
Jeres organisation skal følge ISO 27001 for kundernes skyld. NIS2 gælder fordi I klassificeres som væsentlig virksomhed. GDPR er lov. Og nu spørger den amerikanske kunde om SOC 2.
Hvert rammeværk har sine kontroller, sin terminologi, sine dokumentationskrav. At håndtere dem separat betyder dobbeltarbejde, inkonsistent dokumentation og udbrændthed.
Løsningen: Kontrolmapping — at identificere hvad der overlapper og implementere fælles kontroller én gang.
Overlap mellem rammeverker
Hvor meget overlapper?
| Rammeværk A | Rammeværk B | Overlap |
|---|---|---|
| ISO 27001 | NIS2 | ~70% |
| ISO 27001 | SOC 2 | ~60% |
| ISO 27001 | GDPR | ~50% |
| NIS2 | GDPR | ~40% (hændelsesrapportering, sikkerhedsforanstaltninger) |
| SOC 2 | ISO 27001 | ~60% |
Implikation: Hvis du har implementeret ISO 27001 har du allerede majoriteten af andre rammeverker på plads. Det der mangler er rammeværkspecifikke tilføjelser.
Hvad er kontrolmapping?
Kontrolmapping indebærer at koble kontroller fra ét rammeværk til tilsvarende kontroller i andre rammeverker. Det viser hvilke krav der dækkes af samme tiltag.
Eksempel: Adgangskontrol
| Rammeværk | Kontrol/Krav | Krav i korthed |
|---|---|---|
| ISO 27001 | A.5.15-A.5.18 | Adgangskontrolpolitik, adgangsstyring |
| NIS2 | Art. 21.2i | Adgangskontrol og aktivstyring |
| GDPR | Art. 32.1b | Evne til at sikre fortrolighed |
| SOC 2 | CC6.1-CC6.8 | Logical and physical access controls |
Konklusion: En velimplementeret adgangskontrol-politik med tilhørende processer opfylder alle fire rammeverker. Dokumenter én gang, map til alle.
Mappingproces
- List alle relevante rammeverker Hvilke rammeverker skal I følge? Regulatoriske (NIS2, GDPR), kundekrav (ISO 27001, SOC 2), branchespecifikke? Opret en komplet liste.
- Inventariser unikke krav per rammeværk List alle kontroller/krav fra hvert rammeværk. ISO 27001 har 93 kontroller i Annex A. NIS2 har 10 områder i Artikel 21. GDPR har specifikke artikler. Dette bliver jeres totale kontrolunivers.
- Identificer fælles kontroller Gennemgå og gruppér kontroller der adresserer samme område. Adgangskontrol? Gruppér alle rammeværkers krav til adgangskontrol. Hændelseshåndtering? Samme ting.
- Opret master control framework Byg et internt rammeværk med konsoliderede kontroller. Hver kontrol dækker krav fra flere rammeverker. Dette bliver jeres kilde til sandhed.
- Implementer og dokumenter Implementer kontrollerne én gang — men dokumenter hvilke rammeværkskrav hver kontrol opfylder. Én politik, flere mappings.
- Bevis for flere rammeverker Ved revision eller audit viser I samme evidens men mappet til respektive rammeværk. Revisoren får hvad de har brug for, I slipper for dobbeltarbejde.
Eksempel: ISO 27001 → NIS2 mapping
Hvordan ISO 27001 Annex A mapper mod NIS2 Artikel 21:
| NIS2 Artikel 21 | ISO 27001 Annex A |
|---|---|
| a) Risikoanalyse og sikkerhedspolitik | A.5.1-A.5.4 (Politikker), A.5.7 (Trusselsinformation) |
| b) Hændelseshåndtering | A.5.24-A.5.28 (Hændelseshåndtering) |
| c) Forretningskontinuitet | A.5.29-A.5.30 (Kontinuitet), A.8.13-A.8.14 (Backup) |
| d) Leverandørkædesikkerhed | A.5.19-A.5.23 (Leverandørforhold) |
| e) Sikkerhed ved indkøb | A.5.8 (Projekt), A.8.25-A.8.34 (Udvikling) |
| f) Evaluering af foranstaltninger | A.5.35-A.5.36 (Gennemgang) |
| g) Cyberhygiejne og uddannelse | A.6.3 (Bevidsthed), A.6.6 (Fjernarbejde) |
| h) Kryptografi | A.8.24 (Kryptografi) |
| i) Personalressourcer og adgang | A.6.1-A.6.2 (Screening), A.5.15-A.5.18 (Adgang) |
| j) Multifaktor-autentificering | A.8.5 (Autentificering) |
Resultat: ISO 27001-certificeret organisation har ~70-80% af NIS2 på plads. Gap-analyse identificerer resten.
Hvad overlapper IKKE?
24 timer for indledende varsel er specifikt for NIS2. ISO 27001 kræver ikke specifikke tidsrammer.
Register over behandlingsaktiviteter (Art. 30) er GDPR-specifikt. Overlap med aktivregister men ikke identisk.
Availability og Processing Integrity har specifikke kriterier der går udover ISO 27001.
Eksplicit krav om at ledelsen gennemgår sikkerhedsuddannelse. Mere specifikt end ISO 27001.
Master control framework i praksis
Struktur for en konsolideret kontrol:
KONTROL: Adgangskontrol
─────────────────────────
Beskrivelse:
Systematisk håndtering af brugerrettigheder baseret på
princippet om mindste rettighed.
Politik: P-AC-001 Adgangskontrolpolitik
Processer:
- Onboarding/offboarding
- Rettighedsgennemgange (kvartalsvis)
- Privilegeret adgang
Mapping:
├── ISO 27001: A.5.15, A.5.16, A.5.17, A.5.18
├── NIS2: Artikel 21.2i
├── GDPR: Artikel 32.1b
└── SOC 2: CC6.1, CC6.2, CC6.3
Evidens:
- Adgangskontrolpolitik (dokument)
- Rettighedsgennemgangsrapporter (kvartalsvis)
- AD-konfiguration (screenshot/export)
- Offboarding-tjekliste (eksempel)
Fordele: Én kontrol, én implementering, én evidensindsamling — men bevis for fire rammeverker.
Effektivitetsgevinster
Konkrete besparelser:
| Aktivitet | Uden mapping | Med mapping | Besparelse |
|---|---|---|---|
| Politikudvikling | 4 versioner | 1 version + mapping | 75% |
| Evidensindsamling | 4 indsamlinger | 1 indsamling | 75% |
| Revisionsforberedelse | 4 pakker | 1 pakke + mappingmatricer | 60% |
| Løbende vedligeholdelse | 4 opdateringer | 1 opdatering | 75% |
| Gap-analyser | 4 separate | 1 konsolideret | 60% |
Total estimeret tidsbesparelse: 40-60% for organisationer med 3+ rammeverker.
Faldgruber at undgå
Alle rammeverker er ikke identiske. En mapping skal vise overlap — men også tydeliggøre forskelle og tilføjelser der kræves.
Rammeverker opdateres. ISO 27001:2022 er anderledes end 2013. Mappingen skal vedligeholdes ved ændringer.
Samme kontrol kan have brug for forskelligt niveau afhængigt af rammeværk. "Kryptering" kan betyde forskellige ting i forskellige sammenhænge.
GRC-værktøjer med indbygget mapping er gode — men du skal forstå logikken. Værktøjet skal støtte, ikke erstatte, din forståelse.
Praktiske tips
Start med det du har
Hvis I allerede har ISO 27001, brug det som base og map andre rammeverker mod det. I behøver ikke bygge nyt fra bunden.
Dokumenter forskelle tydeligt
I hver mapping, noter hvad der er unikt for respektive rammeværk. “NIS2 kræver desuden X” er vigtig information.
Involver de rette personer
Juridisk for GDPR-fortolkning, IT-sikkerhed for tekniske kontroller, virksomheden for procesforståelse. Multi-framework kræver tværfunktionelt arbejde.
Automatiser hvor muligt
GRC-systemer med indbygget kontrolmapping sparer enormt meget tid. Manuel mapping i Excel fungerer — men skalerer dårligt.
Almindelig mappingrejse
Typisk progression for dansk organisation:
År 1: GDPR-tilpasning (2018)
- Grundlæggende databeskyttelse
- Register over behandlinger
- Samtykke og rettigheder
År 2-3: ISO 27001-certificering
- Ledelsessystem for informationssikkerhed
- 93 kontroller i Annex A
- Ekstern revision og certifikat
År 4: NIS2-tilpasning (2024-2025)
- Gap-analyse mod ISO 27001
- Tilføjelser: hændelsesrapportering, ledelsesansvar
- Mapping mod eksisterende kontroller
År 5+: SOC 2 / branchespecifikke
- Kundedrevet udvidelse
- Mapping mod eksisterende base
- Effektivt med master control framework
Sådan kan Securapilot hjælpe
Securapilot er bygget til multi-framework compliance:
- Indbygget kontrolmapping — Se overlap mellem rammeverker
- Master control framework — Én kontrol, flere mappings
- Evidensdeling — Samme bevis for flere rammeverker
- Gap-analyse — Identificer hvad der mangler per rammeværk
- Rapportering — Compliance-status per rammeværk i ét dashboard
Book en demo og se hvordan vi forenkler multi-framework compliance.
Ofte stillede spørgsmål
Skal jeg følge flere rammeverker?
Det afhænger af branche, geografi og kunder. Mange danske organisationer skal mindst følge NIS2 (lov), GDPR (lov), og ISO 27001 (kundekrav). B2B SaaS tilføjer ofte SOC 2.
Hvilket rammeværk skal jeg starte med?
Start med det der har størst drivkraft — ofte et kundekrav eller regulatorisk krav. ISO 27001 giver et bredt fundament. NIS2/GDPR er juridisk bindende.
Hvad er et 'master control framework'?
Et internt rammeværk der konsoliderer alle kontroller fra jeres relevante rammeverker. I implementerer kontroller én gang og mapper derefter evidens til det respektive rammeværk.
Hvordan undgår jeg dobbeltarbejde?
Ved at identificere fælles kontroller og linke dem. En adgangskontrol-politik opfylder krav i ISO 27001, NIS2, GDPR og SOC 2 — dokumenter det sådan.
