NIS2 och ISO 27001 – standard möter lagkrav

Olika karaktär: frivillig vs bindande

ISO 27001 bygger på Plan-Do-Check-Act och kräver dokumenterad styrning, riskbedömning, kontrolluppsättning och internrevision. Organisationer väljer själva att certifiera sig. NIS2/Cybersäkerhetslagen är däremot bindande för berörda verksamheter och kopplas till tillsyn och sanktioner.

Där innehållet överlappar

• Riskhantering – båda kräver att risker identifieras och behandlas systematiskt.
• Ledningens engagemang – policyer, resurser och uppföljning (se även ledningsansvar enligt cybersäkerhetslagen).
• Incidenthantering – strukturerade processer; NIS2 lägger dessutom särskild vikt vid myndighetsrapportering (incidentrapportering).
• Leverantörer – styrning av tredjepartsrisk är centralt i båda ramverken.

Där ISO 27001 inte räcker ensamt

Certifieringens omfattning följer ofta avgränsningen för ISMS – medan NIS2 kan kräva att hela verksamhetens kritiska tjänster skyddas. Dessutom finns specifika lagkrav kring anmälan av betydande incidenter och interaktion med tillsyn som inte automatiskt täcks av ISO:s kontrollkatalog.

Använd därför en gap-analys mot både Annex A (eller motsvarande) och NIS2:s teman i vår kravöversikt.

Evidens och revision

Revisionsbolag fokuserar på om ISMS uppfyller standarden. Tillsynsmyndigheter utvärderar om lagkrav är uppfyllda. Er styrmodell bör producera underlag som fungerar för båda: spårbara beslut, mätbara kontroller, loggar och testresultat.

Verktyg som e-Check kan hjälpa er strukturera kontroller och uppföljning – se priser och funktioner eller NIS2-sidan.

Sammanfattning

• ISO 27001 ger ramverk; NIS2 ger juridiska måsten för berörda aktörer.
• Överlapp gör certifiering ekonomiskt försvarbar – men mappa explicit mot lagkrav.
• Dokumentera och mät så att både revision och tillsyn kan följa kedjan från risk till åtgärd.