Choose language

NIS2-dokumentasjon: Dette forventer revisor

Én ting er å implementere sikkerhetstiltakene som kreves av NIS2, men å være klar for en revisjon er noe helt annet. I henhold til NIS2-direktivet skal beredskapen vurderes gjennom dokumentasjon, og revisorene forventer at denne dokumentasjonen er strukturert, sporbar og integrert i den daglige driften.

Dokumentasjon er derfor ikke valgfritt når det gjelder NIS2-samsvar. Det er selve grunnlaget revisorene bruker for å verifisere at en organisasjon faktisk oppfyller kravene i artikkel 21 og 23.

En blond kvinne i oransje bluse og svart blazer er i samtale med en kollega.

Oppsummering

  • NIS2-revisjoner vurderer systemer, prosesser og dokumentert bevis – ikke antakelser.
  • Revisorene forventer dokumentasjon som viser reell implementering, ikke bare retningslinjer.
  • Dokumentasjonen må dekke styring, risikohåndtering, hendelseshåndtering og tredjepartskontroll.
  • Dokumentasjonen må være strukturert, sammenhengende og tilgjengelig på forespørsel.
  • Kontinuerlig dokumentasjon er langt mer effektivt enn forberedelser i siste liten.

Hvorfor er NIS2-dokumentasjon viktig for revisorer?

NIS2 innfører betydelige sanksjoner ved manglende etterlevelse. Tilsynsmyndighetene vil ikke bare vurdere om det finnes sikkerhetstiltak, men også hvor effektive de er i praksis.

For revisorer betyr dette at retningslinjer alene ikke er nok. De vil be om å se hvordan tiltak har blitt gjennomført over tid: hva som er besluttet, hvem som er ansvarlig, hvordan risikoer følges opp, og hvilke spor dette etterlater seg.

Kort fortalt er NIS2-dokumentasjon den bevisporteføljen som bekrefter at organisasjonens systemer, ansatte og prosesser fungerer etter hensikten.

Hva ser revisorene faktisk etter i en NIS2-revisjon?

I praksis er NIS2-revisjoner ofte strukturert rundt fire hovedområder.

1. Bevis på styring og ledelse (artikkel 23)

Revisjonene starter på toppen. Revisorer vil forvente å se følgende:

  • Dokumentert godkjenning av sikkerhetstiltak fra styret eller toppledelsen.
  • Tydelig definerte roller og ansvarsområder.
  • Møtereferater og styringsdokumenter som viser aktivt tilsyn.

Dette er selve kjernen i artikkel 23: Datasikkerhet må være et dokumentert ansvar for ledelsen, ikke bare en IT-oppgave som er delegert uformelt.

2. Dokumentasjon av risikostyring (artikkel 21)

Revisorer ser på om arbeidet med risikostyring er systematisk, lar seg gjenta og er holdt oppdatert:

  • Risikovurderinger og risikoregister.
  • Dokumentert trusselmodellering.
  • Risikohåndteringsplaner og dokumentasjon på oppdateringer.
  • Risikovurderinger av leverandører og tredjeparter.

Revisorer er ute etter levende dokumentasjon, ikke statiske øyeblikksbilder. Risiko må håndteres kontinuerlig, ikke arkiveres.

Les mer: NIS2-direktivets 24-timers regel: Håndtering av krav til rapportering av hendelser.

3. Logger for hendelsesrespons og kontinuitet

Forebyggende tiltak er viktige, men revisorer fokuserer også på hva som skjer når hendelser inntreffer:

  • Dokumenterte og testede planer for hendelsesrespons.
  • Historiske hendelseslogger og resultater.
  • Bevis på simuleringer og øvelser.
  • Planer for krisekommunikasjon.

Dette viser reell operasjonell robusthet, ikke bare teoretisk beredskap.

4. Bevis for kontroll av leverandører og tredjeparter

Gitt NIS2s sterke fokus på gjensidige avhengigheter, vil revisorer gjennomgå:

  • Kontrakter med eksplisitte sikkerhetskrav.
  • Dokumenterte sikkerhetsvurderinger fra tredjeparter.
  • Leverandørens risikodokumentasjon.
  • Registreringer av løpende overvåking og oppfølging.

Dette gjenspeiler forventningen om at risiko må håndteres i hele verdikjeden, ikke bare internt i egen organisasjon.

Hva kjennetegner god NIS2-dokumentasjon i praksis?

Effektiv NIS2-dokumentasjon henger sammen. Retningslinjer må knyttes til beslutninger. Beslutninger må knyttes til handlinger. Handlingene må være knyttet til kontrakter, eierskap og faktiske hendelser.

Eksempler på dette kan være:

  • Planer for risikohåndtering knyttet direkte til testresultater.
  • Beredskapsplaner som er knyttet til faktiske hendelseslogger.
  • Leverandørkontrakter som er knyttet til løpende risiko- og ytelsesvurderinger.

Dette er grunnen til at mapper fulle av PDF-filer sjelden tilfredsstiller revisorer. De forventer dokumentasjon som kan spores på tvers av domener og som kan hentes frem raskt på forespørsel.

For mange organisasjoner er det her strukturerte digitale systemer blir avgjørende. Når kontrakter, ansvar, risiko og oppfølging er samlet på ett sted, støtter dokumentasjonen både de operasjonelle kravene i artikkel 21 og ledelsens forpliktelser i artikkel 23.

NIS2: Forskjellen på dokumenter og faktiske bevis

En vanlig fallgruve er dokumentasjon som ser komplett ut på papiret, men som ikke gjenspeiler den faktiske driften.

Revisorer tester vanligvis om:

  • Kontrollene følges over tid, ikke bare beskrives.
  • Hendelser er loggført med tidsstempler og eierskap.
  • Dokumentasjonen gjenspeiler organisatoriske og teknologiske endringer.
  • Kontraktsvilkår håndheves med målbare resultater.

Her er struktur og sporbarhet avgjørende. Uten dette vil dokumentasjonen raskt falle sammen under revisorenes granskning.

Hvordan bør virksomheter forberede dokumentasjon som tåler en revisjon?

  • Begynn tidlig og bygg kontinuerlig. Revisorer forventer historikk, ikke dokumentasjon som er laget rett før en revisjon.
  • Tildel tydelig eierskap. Hver kontroll bør ha en navngitt ansvarlig part.
  • Bruk strukturerte systemer. Skylagring alene er ikke tilstrekkelig. Dokumentasjonen må være søkbar, lenket og sporbar.
  • Referer eksplisitt til NIS2-kravene. Artikkel 21 og 23 bør gjenspeiles tydelig i styringsstrukturer og avtaleverk.

Ved å behandle dokumentasjon som et kontinuerlig arbeid i stedet for et «engangsprosjekt», forbereder virksomheter seg ikke bare på revisjon – de styrker også den daglige risikostyringen.

De viktigste poengene

  • Behandle dokumentasjon som bevis, ikke bare papirarbeid.
  • Sørg for at styring og ledelsens tilsyn er dokumentert i tråd med artikkel 23.
  • Oppretthold strukturert og oppdatert risikodokumentasjon i henhold til artikkel 21.
  • Koble sammen kontrakter, risikoer og operasjonell dokumentasjon i en sammenhengende struktur.
  • Bygg revisjonsberedskap kontinuerlig, fremfor å reagere først når kontrollen starter.

 

Viktig informasjon: House of Control er et programvareselskap. Vi tilbyr ikke rådgivningstjenester knyttet til NIS2-etterlevelse. Det å følge denne veiledningen garanterer derfor ikke samsvar med alle juridiske krav i NIS2. Innholdet i denne artikkelen er basert på vår egen gjennomgang av NIS2-kravene og vår erfaring med etterlevelse av regelverk, samt inspirasjon fra ulike aktører som tilbyr rådgivningstjenester. Vi påtar oss ikke ansvar for manglende etterlevelse av NIS2-krav eller for konsekvenser som følge av bruken av denne veiledningen.

Categories

Related blog posts