Den gode nyheten: Du har et forsprang
Hvis organisasjonen din allerede er ISO 27001-sertifisert har du kommet et godt stykke på vei mot NIS2-etterlevelse. Anslått 70-80% av de tekniske og organisatoriske kravene overlapper.
Men her kommer virkeligheten: Det holder ikke.
NIS2 stiller krav som går utover det ISO 27001 dekker. Og selv om overlappingen er stor, finnes det spesifikke gap som må fylles for å oppnå full compliance.
Praktisk innsikt: Se NIS2 som et tillegg til ditt ISMS, ikke en erstatning. Din eksisterende struktur er grunnlaget — nå handler det om å supplere med de spesifikke NIS2-kravene.
Hvor ISO 27001 og NIS2 møtes
Her er områdene hvor din ISO 27001-implementering allerede gir deg dekning:
Sterk overlapping finnes innen:
- Risikohåndtering — Begge krever systematisk identifisering og behandling av risiko
- Sikkerhetspolicyer — Dokumenterte policyer og prosedyrer
- Tilgangskontroll — Håndtering av tillatelser og identiteter
- Kryptografi — Beskyttelse av data i transit og hvile
- Driftssikkerhet — Backup, logging, overvåking
- Incidenthåndtering — Prosesser for å oppdage og håndtere incidenter
- Virksomhetskontinuitet — Planer for å opprettholde virksomheten
- Fysisk sikkerhet — Beskyttelse av lokaler og utstyr
De tre største gapene
1. Incidentrapportering — tidskravene mangler
Incidenter skal håndteres systematisk og dokumenteres. Erfaringer skal trekkes. Men det finnes ingen spesifikke tidskrav for rapportering til myndigheter.
Betydelige incidenter må rapporteres til NSM innen 24 timer (tidlig varsel), 72 timer (incidentmelding) og 1 måned (sluttrapport). Tidsrammene er absolutte.
Hva du må gjøre:
- Definer hva som utgjør en “betydelig incident” iht. digitalsikkerhetsloven
- Etabler kontaktveier til NSM og relevante tilsynsmyndigheter
- Opprett maler for de tre rapporttypene
- Øv på å produsere rapporter under tidspress
2. Ledelsens ansvar — det blir personlig
Ledelsen skal vise engasjement og sikre ressurser. Men ansvaret stopper på organisasjonsnivå.
Ledelsen (styre, CEO) må personlig godkjenne cybersikkerhetsregler, gjennomgå opplæring og kan holdes individuelt ansvarlige ved overtredelser.
Hva du må gjøre:
- Dokumenter at ledelsen aktivt godkjenner sikkerhetspolicyer
- Gjennomfør cybersikkerhetsopplæring for styre og ledelsesgruppe
- Opprett tydelig rapportering fra CISO/sikkerhetsansvarlig til ledelsen
- Formaliser ledelsens overvåking av sikkerhetsarbeidet
3. Leverandørkjedens sikkerhet — mer konkret
Leverandørrelasjoner skal håndteres sikkert (A.5.19-A.5.22). Krav skal stilles i avtaler og leverandører skal overvåkes.
Eksplisitte krav på risikovurdering av leverandørkjeden, inkludert sikkerhetskvalitet hos leverandører, deres utviklingsprosesser og sårbarhetshåndtering.
Hva du må gjøre:
- Kartlegg kritiske leverandører og deres betydning for deres virksomhet
- Gjennomfør sikkerhetsvurderinger av nøkkelleverandører
- Oppdater avtaler med spesifikke NIS2-relaterte sikkerhetskrav
- Etabler løpende oppfølging og incidenthåndtering i kjeden
Kartlegging: ISO 27001 kontroller til NIS2
Her er en oversikt over hvordan ISO 27001:2022 kontrollene kartlegges mot NIS2-kravene:
| NIS2-krav | ISO 27001:2022 kontroller | Gap å fylle |
|---|---|---|
| Risikohåndtering | A.5.1-A.5.4 | Minimal |
| Incidenthåndtering | A.5.24-A.5.28 | Tidskrav 24/72t |
| Virksomhetskontinuitet | A.5.29-A.5.30 | Minimal |
| Leverandørsikkerhet | A.5.19-A.5.23 | Dypere vurdering |
| Tilgangskontroll | A.5.15-A.5.18, A.8.* | Minimal |
| Kryptografi | A.8.24 | Minimal |
| Personalopplæring | A.6.3 | Ledelsestrening |
| Sårbarhetshånt. | A.8.8 | Minimal |
Steg-for-steg: Fra ISO 27001 til NIS2
- GAP-analyse Kartlegg nøyaktig hvor deres nåværende kontroller ikke strekker til for NIS2. Fokuser på incidentrapportering, ledelsesansvar og leverandørkrav.
- Oppdater dokumentasjonen Suppler deres eksisterende policyer og prosedyrer med NIS2-spesifikke krav. Opprett nye dokumenter hvor det trengs (f.eks. incidentrapportmaler).
- Utdann ledelsen Gjennomfør spesifikk opplæring for styre og ledelse om NIS2-kravene og deres personlige ansvar. Dokumenter gjennomføringen.
- Etabler rapporteringskanaler Sett opp kontaktveier til NSM og deres sektormyndighet. Test at rapporteringen fungerer.
- Fordyp leverandørarbeidet Gjennomfør sikkerhetsvurderinger av kritiske leverandører. Oppdater avtaler og etabler løpende oppfølging.
- Øv incidenthåndtering Gjennomfør øvelser med fokus på NIS2s tidskrav. Kan dere produsere et tidlig varsel innen 24 timer, inkludert helger og netter?
Tidsbesparelsen er reell
Organisasjoner med eksisterende ISO 27001-sertifisering har typisk disse fordelene:
Allerede på plass:
- Etablert ISMS-struktur og prosesser
- Dokumenterte policyer og prosedyrer
- Risikohåndteringsrammeverk
- Incidenthåndteringsprosesser (trenger tidskrav)
- Sikkerhetskultur og bevissthet
- Internrevisjonsprocess
Typisk tidsbesparelse: 6-12 måneder sammenlignet med å starte fra null
Slik kan Securapilot hjelpe
Med Securapilot får du verktøy som støtter både ISO 27001 og NIS2 i samme plattform:
- GAP-analyse — Identifiser nøyaktig hva som mangler for NIS2
- Risikohåndtering — ISO 27005-basert, dekker begge rammeverkene
- Incidenthåndtering — Innebygde tidskrav og rapportmaler for NIS2
- Leverandørhåndtering — Vurdering og oppfølging
- Kontrollkartlegging — Se hvordan deres ISO 27001-kontroller kartlegges mot NIS2
Book en demo og se hvordan vi kan hjelpe dere gå fra ISO 27001 til full NIS2-etterlevelse.
Ofte stilte spørsmål
Holder ISO 27001 for NIS2-compliance?
Nei, ISO 27001 dekker cirka 70-80% av NIS2-kravene. Du får et meget godt forsprang, men må supplere med spesifikke NIS2-krav som incidentrapportering innen 24 timer, eksplisitte ledelsesansvar og sektorspesifikke krav.
Lønner det seg å ha både ISO 27001 og NIS2?
Absolutt. ISO 27001 gir et strukturert ISMS som letter NIS2-etterlevelse. Sertifiseringen viser også til kunder og partnere at dere tar sikkerhet på alvor. Mange organisasjoner ser ISO 27001 som grunnlaget og NIS2 som et tillegg.
Hva er de største gapene mellom ISO 27001 og NIS2?
De tre største gapene er: 1) Incidentrapportering innen 24 timer (ISO 27001 har ingen spesifikt tidskrav), 2) Ledelsens personlige ansvar og utdanningskrav, 3) Krav til leverandørkjedens sikkerhet som er mer eksplisitte i NIS2.
Hvor lang tid tar det å gå fra ISO 27001 til NIS2-compliance?
Med en eksisterende ISO 27001-sertifisering kan dere typisk oppnå NIS2-compliance på 3-6 måneder, sammenlignet med 12-18 måneder uten eksisterende ISMS. Tidsbesparelsen kommer fra at prosesser, dokumentasjon og kultur allerede er på plass.
