Utfordringen: Flere rammeverk, begrensede ressurser
Din organisasjon må følge ISO 27001 for kundenes skyld. NIS2 gjelder siden dere klassifiseres som vesentlig virksomhet under digitalsikkerhetsloven. GDPR er lov. Og nå spør den amerikanske kunden om SOC 2.
Hvert rammeverk har sine kontroller, sin terminologi, sine dokumentasjonskrav. Å håndtere dem separat betyr dobbeltarbeid, inkonsistent dokumentasjon og utbrenthet.
Løsningen: Kontrollmapping — å identifisere hva som overlapper og implementere felles kontroller én gang.
Overlapping mellom rammeverk
Hvor mye overlapper?
| Rammeverk A | Rammeverk B | Overlapping |
|---|---|---|
| ISO 27001 | NIS2 | ~70% |
| ISO 27001 | SOC 2 | ~60% |
| ISO 27001 | GDPR | ~50% |
| NIS2 | GDPR | ~40% (hendelsesrapportering, sikkerhetstiltak) |
| SOC 2 | ISO 27001 | ~60% |
Implikasjon: Hvis du har implementert ISO 27001 har du allerede majoriteten av andre rammeverk på plass. Det som mangler er rammeverksspesifikke tillegg.
Hva er kontrollmapping?
Kontrollmapping innebærer å koble kontroller fra ett rammeverk til tilsvarende kontroller i andre rammeverk. Det viser hvilke krav som dekkes av samme tiltak.
Eksempel: Tilgangskontroll
| Rammeverk | Kontroll/Krav | Krav i korthet |
|---|---|---|
| ISO 27001 | A.5.15-A.5.18 | Tilgangskontrollpolicy, tilgangsforvaltning |
| NIS2 | Art. 21.2i | Tilgangskontroll og aktivaforvaltning |
| GDPR | Art. 32.1b | Evne til å sikre konfidensialitet |
| SOC 2 | CC6.1-CC6.8 | Logical and physical access controls |
Konklusjon: En velimplementert tilgangskontroll-policy med tilhørende prosesser oppfyller alle fire rammeverkene. Dokumenter én gang, mapp til alle.
Mappingprosess
- List alle gjeldende rammeverk Hvilke rammeverk må dere følge? Regulatoriske (NIS2, GDPR), kundekrav (ISO 27001, SOC 2), bransjespesifikke? Opprett en komplett liste.
- Inventar unike krav per rammeverk List alle kontroller/krav fra hvert rammeverk. ISO 27001 har 93 kontroller i Annex A. NIS2 har 10 områder i Artikkel 21. GDPR har spesifikke artikler. Dette blir deres totale kontrolluniversum.
- Identifiser felles kontroller Gå gjennom og grupper kontroller som adresserer samme område. Tilgangskontroll? Grupper alle rammeverkenes krav til tilgangskontroll. Hendelseshåndtering? Samme sak.
- Opprett master control framework Bygg et internt rammeverk med konsoliderte kontroller. Hver kontroll dekker krav fra flere rammeverk. Dette blir deres kilde til sannhet.
- Implementer og dokumenter Implementer kontrollene én gang — men dokumenter hvilke rammeverkskrav hver kontroll oppfyller. En policy, flere mappinger.
- Bevis for flere rammeverk Ved revisjon eller audit viser dere samme evidens men mappet til respektive rammeverk. Revisor får det de trenger, dere slipper dobbeltarbeid.
Eksempel: ISO 27001 → NIS2 mapping
Hvordan ISO 27001 Annex A mapper mot NIS2 Artikkel 21:
| NIS2 Artikkel 21 | ISO 27001 Annex A |
|---|---|
| a) Risikoanalyse og sikkerhetspolicy | A.5.1-A.5.4 (Policies), A.5.7 (Truselinformasjon) |
| b) Hendelseshåndtering | A.5.24-A.5.28 (Hendelseshåndtering) |
| c) Virksomhetskontinuitet | A.5.29-A.5.30 (Kontinuitet), A.8.13-A.8.14 (Backup) |
| d) Leverandørkjedesikkerhet | A.5.19-A.5.23 (Leverandørrelasjoner) |
| e) Sikkerhet ved anskaffelse | A.5.8 (Prosjekt), A.8.25-A.8.34 (Utvikling) |
| f) Evaluering av tiltak | A.5.35-A.5.36 (Granskning) |
| g) Cyberhygiene og opplæring | A.6.3 (Bevissthet), A.6.6 (Fjernarbeid) |
| h) Kryptografi | A.8.24 (Kryptografi) |
| i) Personalressurser og tilgang | A.6.1-A.6.2 (Screening), A.5.15-A.5.18 (Tilgang) |
| j) Multifaktorautentisering | A.8.5 (Autentisering) |
Resultat: ISO 27001-sertifisert organisasjon har ~70-80% av NIS2 på plass. Gap-analyse identifiserer resten.
Hva overlapper IKKE?
24 timer for innledende varsel er spesifikt for NIS2. ISO 27001 krever ikke spesifikke tidsrammer.
Register over behandlingsaktiviteter (Art. 30) er GDPR-spesifikt. Overlapp med aktivaregister men ikke identisk.
Availability og Processing Integrity har spesifikke kriterier som går utover ISO 27001.
Eksplisitt krav om at ledelse gjennomgår sikkerhetsopplæring. Mer spesifikt enn ISO 27001.
Master control framework i praksis
Struktur for en konsolidert kontroll:
KONTROLL: Tilgangskontroll
─────────────────────────
Beskrivelse:
Systematisk forvaltning av brukertilganger basert på
prinsippet om minste tilgang.
Policy: P-AC-001 Tilgangskontrollpolicy
Prosesser:
- Onboarding/offboarding
- Tilgangsvurderinger (kvartalsmessig)
- Privilegert tilgang
Mapping:
├── ISO 27001: A.5.15, A.5.16, A.5.17, A.5.18
├── NIS2: Artikkel 21.2i
├── GDPR: Artikkel 32.1b
└── SOC 2: CC6.1, CC6.2, CC6.3
Evidens:
- Tilgangskontrollpolicy (dokument)
- Tilgangsvurderingsrapporter (kvartalsmessig)
- AD-konfigurasjon (skjermbilde/eksport)
- Offboarding-sjekkliste (eksempel)
Fordeler: En kontroll, en implementering, en evidensinnsamling — men bevis for fire rammeverk.
Effektivitetsgevinster
Konkrete besparelser:
| Aktivitet | Uten mapping | Med mapping | Besparelse |
|---|---|---|---|
| Policyutvikling | 4 versjoner | 1 versjon + mapping | 75% |
| Evidensinnsamling | 4 innsamlinger | 1 innsamling | 75% |
| Revisjonsforberedelse | 4 pakker | 1 pakke + mappingmatriser | 60% |
| Løpende vedlikehold | 4 oppdateringer | 1 oppdatering | 75% |
| Gap-analyser | 4 separate | 1 konsolidert | 60% |
Total estimert tidsbesparelse: 40-60% for organisasjoner med 3+ rammeverk.
Fallgruver å unngå
Alle rammeverk er ikke identiske. En mapping skal vise overlapp — men også tydeliggjøre forskjeller og tillegg som kreves.
Rammeverk oppdateres. ISO 27001:2022 er annerledes enn 2013. Mappingen må vedlikeholdes ved endringer.
Samme kontroll kan trenge ulik nivå avhengig av rammeverk. "Kryptering" kan bety forskjellige ting i ulike sammenhenger.
GRC-verktøy med innebygd mapping er bra — men du må forstå logikken. Verktøyet skal støtte, ikke erstatte, din forståelse.
Praktiske tips
Begynn med det du har
Hvis dere allerede har ISO 27001, bruk det som basis og mapp andre rammeverk mot det. Dere trenger ikke bygge nytt fra grunnen.
Dokumenter forskjeller tydelig
I hver mapping, noter hva som er unikt for respektive rammeverk. “NIS2 krever dessuten X” er viktig informasjon.
Involver riktige personer
Juridisk for GDPR-tolkning, IT-sikkerhet for tekniske kontroller, virksomheten for prosessforståelse. Multi-framework krever tverrfaglig arbeid.
Automatiser der mulig
GRC-system med innebygd kontrollmapping sparer enormt mye tid. Manuell mapping i Excel fungerer — men skalerer dårlig.
Vanlig mappingsreise
Typisk progresjon for norsk organisasjon:
År 1: GDPR-tilpasning (2018)
- Grunnleggende databeskyttelse
- Register over behandlinger
- Samtykke og rettigheter
År 2-3: ISO 27001-sertifisering
- Ledelsessystem for informasjonssikkerhet
- 93 kontroller i Annex A
- Ekstern revisjon og sertifikat
År 4: NIS2-tilpasning (2024-2025)
- Gap-analyse mot ISO 27001
- Tillegg: hendelsesrapportering, ledelsesansvar
- Mapping mot eksisterende kontroller
År 5+: SOC 2 / bransjespesifikke
- Kundedrevet ekspansjon
- Mapping mot eksisterende basis
- Effektivt med master control framework
Slik kan Securapilot hjelpe
Securapilot er bygget for multi-framework compliance:
- Innebygd kontrollmapping — Se overlapp mellom rammeverk
- Master control framework — En kontroll, flere mappinger
- Evidensdeling — Samme bevis for flere rammeverk
- Gap-analyse — Identifiser hva som mangler per rammeverk
- Rapportering — Compliance-status per rammeverk i et dashboard
Book en demo og se hvordan vi forenkler multi-framework compliance.
Ofte stilte spørsmål
Må jeg følge flere rammeverk?
Det avhenger av bransje, geografi og kunder. Mange norske organisasjoner trenger minst NIS2 (lov om digital sikkerhet), GDPR (lov), og ISO 27001 (kundekrav). B2B SaaS legger ofte til SOC 2.
Hvilket rammeverk skal jeg begynne med?
Begynn med det som har størst drivkraft — ofte et kundekrav eller regulatorisk krav. ISO 27001 gir bred grunn. NIS2/GDPR er juridisk bindende.
Hva er et 'master control framework'?
Et internt rammeverk som konsoliderer alle kontroller fra deres gjeldende rammeverk. Dere implementerer kontroller én gang og mapper deretter bevis til respektive rammeverk.
Hvordan unngår jeg dobbeltarbeid?
Gjennom å identifisere felles kontroller og lenke dem. En tilgangskontroll-policy oppfyller krav i ISO 27001, NIS2, GDPR og SOC 2 — dokumenter det slik.
