To verdener, forskellige regler
Hvis din organisation opererer internationalt, særligt med kunder i både Europa og USA, har du sandsynligvis mødt både NIS2 og SOC 2. De har forskellige oprindelser, forskellige fokusområder og forskellige mekanismer — men begge handler om at opbygge tillid gennem påviselig sikkerhed.
Kort version: NIS2 er lov. SOC 2 er markedskrav. Du kan have brug for begge.
Grundlæggende sammenligning
| Aspekt | NIS2 | SOC 2 |
|---|---|---|
| Oprindelse | EU-direktiv (2022/2555) | AICPA (USA) |
| Type | Lovpligtigt | Frivilligt (markedsdrevet) |
| Geografisk fokus | EU/EØS | Primært USA, global anvendelse |
| Målgruppe | Organisationer i kritiske sektorer | Tjenesteudbydere (primært SaaS, cloud) |
| Fokus | Cybersikkerhed i samfundskritisk virksomhed | Kundedata hos tjenesteudbydere |
| Verificering | Myndighedstilsyn | Uafhængig revisorattest |
| Certifikat | Nej (compliance-status) | Ja (Type I eller Type II rapport) |
| Gyldighedsperiode | Løbende | Type II gælder 12 måneder |
NIS2 i korthed
Hvad det er: EU-direktiv for cybersikkerhed implementeret i dansk lov som Lov om net- og informationssikkerhed (NIS2-loven).
Hvem det gælder: Organisationer i 18 definerede sektorer med mindst 50 ansatte eller 50M kr omsætning.
Hvad der kræves:
- Systematisk risikostyring
- Incidentrapportering inden for 24 timer
- Ledelsens ansvar og uddannelse
- Sikkerhed i leverandørkæden
- Tekniske og organisatoriske foranstaltninger
Konsekvens ved manglende overholdelse: Bøder op til 10M€ eller 2% af global omsætning.
SOC 2 i korthed
Hvad det er: Framework udviklet af AICPA (American Institute of CPAs) for tjenesteudbydere der håndterer kundedata.
Hvem det gælder: Primært SaaS-leverandører, cloud-tjenester, datacentre og andre servicevirksomheder.
Trust Service Criteria:
- Security — Beskyttelse mod uautoriseret adgang
- Availability — Systemtilgængelighed
- Processing Integrity — Korrekt databehandling
- Confidentiality — Beskyttelse af fortrolige oplysninger
- Privacy — Håndtering af personoplysninger
Type I vs Type II:
- Type I: Design af kontroller på et tidspunkt
- Type II: Effektivitet af kontroller over tid (6-12 måneder)
Nøgleforskelle
NIS2: Lov — du skal opfylde det hvis du er omfattet.
SOC 2: Frivilligt — men kunder kan kræve det.
NIS2: 24 timer til CFCS, detaljerede krav.
SOC 2: Ingen specifikke tidskrav til myndigheder.
NIS2: Eksplicit personligt ansvar for ledelse.
SOC 2: Fokus på organisationskontroller.
NIS2: Myndighedstilsyn når CFCS beslutter det.
SOC 2: Årlig revision af uafhængig revisor.
Hvornår har du brug for begge?
Scenarie 1: Dansk virksomhed med amerikanske kunder
Du er omfattet af NIS2 hvis du opererer i en berørt sektor. Dine amerikanske kunder kræver SOC 2-rapport som del af deres vendor due diligence. Løsning: Implementer begge, med ISO 27001 som fælles fundament.
Scenarie 2: Amerikansk SaaS-leverandør med EU-kunder
Du har SOC 2 Type II. Dine EU-kunder er omfattet af NIS2 og stiller krav til dig som leverandør. Du skal kunne vise compliance med NIS2’s leverandørkrav, selvom du ikke direkte er omfattet.
Scenarie 3: Global organisation
Du har datterselskaber i både EU og USA. EU-virksomheden er omfattet af NIS2, USA-virksomheden har brug for SOC 2 for kunder. Begge er nødvendige.
ISO 27001 som bro
Hvorfor ISO 27001 hjælper:
ISO 27001 er en internationalt anerkendt standard der giver struktur for et ledelsessystem for informationssikkerhed (ISMS). Den:
- Dækker 70-80% af NIS2-kravene
- Accepteres ofte som del af SOC 2-grundlag
- Anerkendes globalt
- Giver struktur for kontinuerlig forbedring
Strategi: Byg på ISO 27001, tilføj NIS2-specifikke krav (incidentrapportering, ledelsesansvar) og supplement med SOC 2-revision ved behov.
Mapping: Hvor overlapper de?
| Område | NIS2 | SOC 2 | ISO 27001 | |--------|------|-------|-----------|| | Risikostyring | ✓ | ✓ | ✓ | | Adgangskontrol | ✓ | ✓ | ✓ | | Incidenthåndtering | ✓ (24t) | ✓ | ✓ | | Kryptering | ✓ | ✓ | ✓ | | Leverandørsikkerhed | ✓ | ✓ | ✓ | | Forretningskontinuitet | ✓ | ✓ | ✓ | | Personalesikkerhed | ✓ | ✓ | ✓ | | Ledelsesansvar | ✓✓ | ✓ | ✓ | | Myndigheds-rapportering | ✓✓ | — | — |
Praktiske anbefalinger
- Kortlæg hvad der gælder for dig Er du omfattet af NIS2? Har du kunder der kræver SOC 2? Start med at forstå de krav der faktisk gælder.
- Byg på ISO 27001 Hvis du ikke allerede har et struktureret ISMS, overvej ISO 27001 som fundament. Det giver struktur der understøtter begge.
- Tilføj specifikke krav Tilføj NIS2-specifikke krav (24t-rapportering, ledelsesansvar) og forbered til SOC 2-revision hvis det er nødvendigt.
- Planlæg revisionen SOC 2 Type II kræver ekstern revisor og 6-12 måneders observationsperiode. Planlæg i god tid.
- Vedligehold kontinuerligt Begge kræver løbende vedligeholdelse. Byg processer for at holde compliance i live.
Sådan kan Securapilot hjælpe
Securapilot understøtter compliance for både NIS2 og SOC 2:
- NIS2-modul — Fuld dækning af NIS2-lovens krav
- Kontrolramme — Mapping mod SOC 2 Trust Service Criteria
- Revisionsforberedelse — Dokumentation til eksterne revisorer
- Gap-analyse — Identificer hvad der mangler
- Integreret tilgang — Ét system til begge frameworks
Book en demo og se hvordan vi kan understøtte jeres internationale compliance.
Ofte stillede spørgsmål
Har jeg brug for både NIS2 og SOC 2?
Det afhænger af din virksomhed. Hvis du opererer i EU og er omfattet af NIS2, skal du opfylde det. Hvis du har amerikanske kunder der kræver SOC 2, har du også brug for det. Mange organisationer har begge.
Kan SOC 2-compliance erstatte NIS2?
Nej, SOC 2 er ikke juridisk bindende og dækker ikke alle NIS2-krav, særligt incidentrapportering til myndigheder og ledelsesansvar. Du kan ikke opfylde NIS2 ved at have SOC 2.
Hvilket er nemmest at opnå?
Det afhænger af udgangspunktet. SOC 2 kræver revision af ekstern revisor. NIS2 kræver dokumenteret compliance som kan granskes af CFCS og relevante myndigheder. Begge kræver betydeligt arbejde.
Hvordan hænger ISO 27001 sammen med disse?
ISO 27001 er en international standard som anerkendes både i EU og USA. En ISO 27001-certificering dækker store dele af både NIS2 og SOC 2-kravene og fungerer som et godt fundament for begge.
