To verdener, ulike regler
Hvis din organisasjon opererer internasjonalt, særlig med kunder i både Europa og USA, har du sannsynligvis støtt på både NIS2 og SOC 2. De har ulik opprinnelse, ulikt fokus og ulike mekanismer — men begge handler om å bygge tillit gjennom påvisbar sikkerhet.
Kortversjon: NIS2 er lov. SOC 2 er markedskrav. Du kan trenge begge.
Grunnleggende sammenligning
| Aspekt | NIS2 | SOC 2 |
|---|---|---|
| Opprinnelse | EU-direktiv (2022/2555) | AICPA (USA) |
| Type | Lovpålagt | Frivillig (markedsdrevet) |
| Geografisk fokus | EU/EØS | Primært USA, global anvendelse |
| Målgruppe | Organisasjoner i kritiske sektorer | Tjenesteleverandører (primært SaaS, sky) |
| Fokus | Cybersikkerhet i samfunnskritisk virksomhet | Kundedata hos tjenesteleverandører |
| Verifisering | Myndighetstilsyn | Uavhengig revisorattest |
| Sertifikat | Nei (compliance-status) | Ja (Type I eller Type II rapport) |
| Gyldighetstid | Løpende | Type II gjelder 12 måneder |
NIS2 i korthet
Hva det er: EU-direktiv for cybersikkerhet implementert i norsk lov som Lov om digital sikkerhet (digitalsikkerhetsloven).
Hvem det gjelder: Organisasjoner i 18 definerte sektorer med minst 50 ansatte eller 50M kr omsetning.
Hva som kreves:
- Systematisk risikohåndtering
- Hendelsesrapportering innen 24 timer
- Ledelsens ansvar og opplæring
- Sikkerhet i leverandørkjeden
- Tekniske og organisatoriske tiltak
Konsekvens ved manglende etterlevelse: Bøter opp til 10M€ eller 2% av global omsetning.
SOC 2 i korthet
Hva det er: Rammeverk utviklet av AICPA (American Institute of CPAs) for tjenesteleverandører som håndterer kundedata.
Hvem det gjelder: Primært SaaS-leverandører, skytjenester, datasentre og andre tjenesteselskaper.
Trust Service Criteria:
- Security — Beskyttelse mot uautorisert tilgang
- Availability — Systemtilgjengelighet
- Processing Integrity — Korrekt databehandling
- Confidentiality — Beskyttelse av konfidensiell informasjon
- Privacy — Håndtering av personopplysninger
Type I vs Type II:
- Type I: Design av kontroller på et tidspunkt
- Type II: Effektivitet av kontroller over tid (6-12 måneder)
Nøkkelforskjeller
NIS2: Lov — du må oppfylle det hvis du omfattes.
SOC 2: Frivillig — men kunder kan kreve det.
NIS2: 24 timer til NSM, detaljerte krav.
SOC 2: Ingen spesifikke tidskrav til myndigheter.
NIS2: Eksplisitt personlig ansvar for ledelse.
SOC 2: Fokus på organisasjonskontroller.
NIS2: Myndighetstilsyn når de bestemmer.
SOC 2: Årlig revisjon av uavhengig revisor.
Når trenger du begge?
Scenario 1: Europeisk selskap med amerikanske kunder
Du omfattes av NIS2 hvis du opererer i en berørt sektor. Dine amerikanske kunder krever SOC 2-rapport som del av sin vendor due diligence. Løsning: Implementer begge, med ISO 27001 som felles grunnlag.
Scenario 2: Amerikansk SaaS-leverandør med EU-kunder
Du har SOC 2 Type II. Dine EU-kunder omfattes av NIS2 og stiller krav til deg som leverandør. Du må vise compliance mot NIS2s leverandørkrav, selv om du ikke direkte omfattes.
Scenario 3: Global organisasjon
Du har datterselskaper i både EU og USA. EU-virksomheten omfattes av NIS2, USA-virksomheten trenger SOC 2 for kunder. Begge trengs.
ISO 27001 som bro
Hvorfor ISO 27001 hjelper:
ISO 27001 er en internasjonalt anerkjent standard som gir struktur for et ledelsessystem for informasjonssikkerhet (ISMS). Den:
- Dekker 70-80% av NIS2-kravene
- Aksepteres ofte som del av SOC 2-underlag
- Anerkjennes globalt
- Gir struktur for kontinuerlig forbedring
Strategi: Bygg på ISO 27001, legg til NIS2-spesifikke krav (hendelsesrapportering, ledelsesansvar) og komplett med SOC 2-revisjon ved behov.
Kartlegging: Hvor overlapper de?
| Område | NIS2 | SOC 2 | ISO 27001 | |--------|------|-------|-----------|| | Risikohåndtering | ✓ | ✓ | ✓ | | Tilgangskontroll | ✓ | ✓ | ✓ | | Hendelsesbehanding | ✓ (24h) | ✓ | ✓ | | Kryptering | ✓ | ✓ | ✓ | | Leverandørsikkerhet | ✓ | ✓ | ✓ | | Forretningskontinuitet | ✓ | ✓ | ✓ | | Personalsikkerhet | ✓ | ✓ | ✓ | | Ledelsesansvar | ✓✓ | ✓ | ✓ | | Myndighetsrapportering | ✓✓ | — | — |
Praktiske anbefalinger
- Kartlegg hva som gjelder for deg Omfattes du av NIS2? Har du kunder som krever SOC 2? Begynn med å forstå kravene som faktisk gjelder.
- Bygg på ISO 27001 Hvis du ikke allerede har et strukturert ISMS, vurder ISO 27001 som grunnlag. Det gir struktur som støtter begge.
- Legg til spesifikke krav Legg til NIS2-spesifikke krav (24h-rapportering, ledelsesansvar) og forbered for SOC 2-revisjon hvis det trengs.
- Planlegg revisjonen SOC 2 Type II krever ekstern revisor og 6-12 måneders observasjonsperiode. Planlegg i tide.
- Vedlikehold kontinuerlig Begge krever løpende vedlikehold. Bygg prosesser for å holde compliance levende.
Slik kan Securapilot hjelpe
Securapilot støtter compliance for både NIS2 og SOC 2:
- NIS2-modul — Full dekning av digitalsikkerhetslovens krav
- Kontrollrammeverk — Kartlegging mot SOC 2 Trust Service Criteria
- Revisjonsforberedelse — Dokumentasjon for eksterne revisorer
- Gap-analyse — Identifiser hva som mangler
- Integrert tilnærming — Ett system for begge rammeverkene
Book en demo og se hvordan vi kan støtte deres internasjonale compliance.
Ofte stilte spørsmål
Trenger jeg både NIS2 og SOC 2?
Det avhenger av din virksomhet. Hvis du opererer i EU og omfattes av NIS2 må du oppfylle det. Hvis du har amerikanske kunder som krever SOC 2 trenger du også det. Mange organisasjoner har begge.
Kan SOC 2-compliance erstatte NIS2?
Nei, SOC 2 er ikke juridisk bindende og dekker ikke alle NIS2-krav, særlig hendelsesrapportering til myndigheter og ledelsesansvar. Du kan ikke oppfylle NIS2 ved å ha SOC 2.
Hvilket er lettere å oppnå?
Det avhenger av utgangspunktet. SOC 2 krever revisjon av ekstern revisor. NIS2 krever dokumentert compliance som kan granskes av myndigheter. Begge krever betydelig arbeid.
Hvordan henger ISO 27001 sammen med disse?
ISO 27001 er en internasjonal standard som anerkjennes både i EU og USA. En ISO 27001-sertifisering dekker store deler av både NIS2 og SOC 2-kravene og fungerer som et godt grunnlag for begge.
