NIS2-direktivet og ISO 27001 handler begge om risikostyring i cybersikkerhet. De blir ofte nevnt sammen, og mange tror de er det samme. Det er de ikke.
NIS2 er et juridisk bindende EU-direktiv med krav om etterlevelse og sanksjoner. ISO 27001 er en internasjonal sertifiseringsstandard for styringssystemer for informasjonssikkerhet (ISMS). NIS2 er lovpålagt, og ISO 27001 er et frivillig rammeverk.
Å forstå forskjellen er avgjørende for styrer, ledere for etterlevelse og risikostyring.
NIS2 er et obligatorisk EU-direktiv som medfører lovpålagte sikkerhetskrav og bøter. ISO 27001 er en frivillig, internasjonal sertifiseringsstandard for styringssystemer for informasjonssikkerhet. NIS2 fokuserer på myndighetskrav og ledelsens ansvar, mens ISO 27001 gir et strukturert rammeverk for styring. Mange virksomheter bruker ISO 27001 som et praktisk fundament for å oppfylle kravene i NIS2.
Nei. NIS2 og ISO 27001 deler de samme risikobaserte prinsippene, men de er fundamentalt forskjellige når det gjelder juridisk status, håndhevelse og formål.
NIS2 pålegger juridiske forpliktelser. ISO 27001 gir et strukturert rammeverk for styring av informasjonssikkerhet.
Les mer: Hvorfor kontraktshåndtering er grunnmuren i NIS2-etterlevelse.
NIS2 (direktiv (EU) 2022/2555) er EUs oppdaterte direktiv for cybersikkerhet. Det gjelder for «essensielle» og «viktige» virksomheter i sektorer som er kritiske for samfunnet og økonomisk stabilitet.
Viktige kjennetegn:
Juridisk bindende.
Underlagt tilsyn fra myndighetene.
Administrative bøter på opptil 10 millioner euro eller 2% av den globale omsetningen.
Tydelig ansvar for ledelsen.
Obligatorisk rapportering av hendelser.
NIS2 fokuserer på motstandskraft, styring og risikokontroll i både interne systemer og leverandørkjeder.
ISO/IEC 27001 er en internasjonal standard for å etablere, implementere, vedlikeholde og forbedre et styringssystem for informasjonssikkerhet (ISMS).
Viktige egenskaper:
Frivillig sertifisering.
Globalt anerkjent.
Risikobasert rammeverk for styring.
Krever interne kontroller og dokumentasjon.
Regelmessig ekstern sertifiseringsrevisjon.
ISO 27001 gir en strukturert metode for å identifisere, vurdere og håndtere risiko knyttet til informasjonssikkerhet. Standarden gir ikke bøter, men sertifiseringen kan trekkes tilbake hvis kravene ikke blir fulgt.
Nei. ISO 27001 stemmer godt overens med mange av kravene til risikostyring i NIS2 (Artikkel 21). Likevel er ikke en sertifisering alene en garanti for samsvar med regelverket.
NIS2 innfører flere plikter, blant annet:
Obligatorisk rapportering av hendelser innen strenge frister.
Tydelig lederansvar under Artikkel 20.
Krav til sikkerhet i leverandørkjeden.
Tilsyn fra nasjonale myndigheter.
En virksomhet kan være ISO 27001-sertifisert og likevel ikke oppfylle de spesifikke lovkravene i NIS2. Men et modent styringssystem for ISO 27001 gir ofte et sterkt strukturelt fundament.
En av de viktigste forskjellene ligger i styringen.
Ledelsesorganer må godkjenne cybersikkerhetstiltak.
Ledelsen kan holdes ansvarlig.
Myndighetene kan suspendere ledere (i henhold til nasjonal lovgivning).
Tilsynet må kunne påvises og dokumenteres.
Cybersikkerhet blir et juridisk ansvar på styrenivå.
Toppledelsen må vise aktivt eierskap og lederskap.
Et styringssystem for informasjonssikkerhet (ISMS) må etableres og vedlikeholdes.
Ansvarsområder må fordeles.
Kontinuerlig forbedring må dokumenteres.
ISO 27001 krever at ledelsen er involvert, men det fører ikke til rettslig ansvar eller bøter fra myndighetene. NIS2 løfter derfor ledelsens ansvar langt forbi det som forventes i en sertifisering.
Måten kontrollen utføres på er svært forskjellig.
Tilsyn i henhold til NIS2 har økonomiske og omdømmemessige konsekvenser som går utover sertifiseringsstatusen.
Ja, når den implementeres effektivt. ISO 27001 gir:
Strukturerte prosesser for risikovurdering.
Dokumenterte sikkerhetstiltak.
Klar fordeling av ansvar.
Mekanismer for kontinuerlig overvåking og forbedring.
Disse elementene stemmer godt overens med kravene i Artikkel 21. Likevel krever NIS2 ekstra oppmerksomhet på:
Lovpålagte rutiner for rapportering.
Nasjonale myndighetskrav.
Formell godkjenning og tilsyn fra styret.
Styring av leverandørkjeden og kontraktsfestede krav.
I praksis fungerer ISO 27001 som grunnmuren i driften, mens NIS2 definerer det juridiske ansvaret.
Svaret avhenger av regulatorisk eksponering og strategiske prioriteringer.
NIS2 er obligatorisk for virksomheter som omfattes av direktivet. ISO 27001 brukes ofte for å vise kunder, partnere og myndigheter at man har en strukturert sikkerhetsstyring.
Les mer: NIS2-direktivets 24-timers regel: Håndtering av krav til rapportering av hendelser.
Mange virksomheter kombinerer dem fordi: NIS2 definerer de juridiske pliktene.
ISO 27001 gir praktisk veiledning for gjennomføring.
Sertifisering gir tillit og troverdighet i markedet.
Strukturerte systemer gjør det enklere å være klar for tilsyn.
Når styring, risikooversikter, kontrakter og rutiner for hendelser håndteres på en strukturert og sporbar måte, blir det betydelig enklere å etterleve kravene. Overlappen er stor, men de juridiske konsekvensene er forskjellige.
Nei. NIS2 krever ikke ISO 27001-sertifisering. Likevel kan en sertifisering hjelpe deg med å etterleve kravene ved å gi et strukturert rammeverk for risikostyring.
Ja. NIS2 stiller lovkrav, men krever ikke sertifisering. Om man følger reglene avhenger av at man oppfyller pliktene i direktivet, ikke om man har et sertifikat.
Nei. En sertifisering fjerner ikke risikoen for sanksjoner fra myndighetene. Myndighetene vurderer om NIS2-kravene er fulgt uavhengig av sertifiseringer.
Ja, når det gjelder juridisk ansvar og myndighetsoppfølging. ISO 27001 fokuserer på hvordan man styrer sikkerheten. NIS2 legger til krav om rapportering, tilsyn og mulige sanksjoner.
Les mer: NIS2-dokumentasjon: Dette forventer revisor.
Viktig informasjon: House of Control er et programvareselskap. Vi tilbyr ikke rådgivningstjenester knyttet til NIS2-etterlevelse. Det å følge denne veiledningen garanterer derfor ikke samsvar med alle juridiske krav i NIS2. Innholdet i denne artikkelen er basert på vår egen gjennomgang av NIS2-kravene og vår erfaring med etterlevelse av regelverk, samt inspirasjon fra ulike aktører som tilbyr rådgivningstjenester. Vi påtar oss ikke ansvar for manglende etterlevelse av NIS2-krav eller for konsekvenser som følge av bruken av denne veiledningen.