NIS2-dokumentation: Vad revisorer förväntar sig att se

Att implementera de säkerhetsåtgärder som krävs enligt NIS2 är en sak. Att vara redo för en revision är något helt annat. Enligt NIS2-direktivet bedöms beredskap inte genom checklistor, utan genom bevis. Revisorer förväntar sig att dessa bevis är strukturerade, spårbara och integrerade i den dagliga verksamheten.

Dokumentation är därför inte en bilaga till NIS2-efterlevnad. Den är själva grunden som revisorer använder för att verifiera att en organisation faktiskt uppfyller kraven i artiklarna 21 och 23.

Sammanfattning

• NIS2-revisioner granskar system, processer och dokumenterade bevis – inte antaganden.
• Revisorer förväntar sig dokumentation som visar faktisk implementering, inte bara policydokument.
• Bevisningen måste omfatta styrning, riskhantering, incidenthantering och kontroll av tredje part.
• Dokumentationen måste vara strukturerad, sammanlänkad och tillgänglig på begäran.
• Löpande dokumentation är överlägsen förberedelser i sista minuten.

Varför är NIS2-dokumentation viktig för revisorer?

NIS2 inför betydande sanktioner vid bristande efterlevnad. Tillsynsmyndigheter kommer inte bara att bedöma om säkerhetsåtgärder finns, utan även hur effektiva de är i praktiken.

För revisorer innebär detta att enbart policydokument är otillräckliga. De kommer att vilja se hur åtgärder har tillämpats över tid: vad som har beslutats, vem som är ansvarig, hur risker följs upp och vilka bevis detta genererar.

Kort sagt är NIS2-dokumentation den bevisportfölj som visar att en organisations system, medarbetare och processer fungerar som avsett.

Vad granskar revisorer faktiskt enligt NIS2?

I praktiken struktureras NIS2-revisioner ofta kring fyra huvudområden.

1. Bevis på styrning och ledarskap (artikel 23)

Revisioner börjar högst upp i organisationen. Revisorer förväntar sig att se:

• dokumenterat godkännande av säkerhetsåtgärder från styrelse eller verkställande ledning
• tydligt definierade roller och ansvar
• mötesprotokoll och styrningsdokumentation som visar aktiv uppföljning

Detta är kärnan i artikel 23: cybersäkerhet ska vara ett dokumenterat ledningsansvar, inte en informellt delegerad IT-uppgift.

2. Dokumentation av riskhantering (artikel 21)

Revisorer bedömer om riskhanteringen är systematisk, repeterbar och uppdaterad:

• riskbedömningar och riskregister
• dokumenterad hotbildsmodellering
• riskhanteringsplaner och bevis på uppdateringar
• riskbedömningar av leverantörer och tredje part

Revisorer söker levande dokumentation, inte statiska ögonblicksbilder. Risker ska hanteras kontinuerligt, inte arkiveras.

3. Loggar för incidenthantering och kontinuitet

Förebyggande åtgärder är viktiga, men revisorer fokuserar även på vad som sker när incidenter inträffar:

• dokumenterade och testade incidenthanteringsplaner
• historiska incidentloggar och utfall
• bevis på simuleringar och övningar
• kriskommunikationsplaner

Detta visar faktisk operativ motståndskraft, inte bara teoretisk beredskap.

4. Bevis på leverantörs- och tredjepartskontroll

Med tanke på NIS2:s starka fokus på beroenden kommer revisorer att granska:

• avtal som innehåller uttryckliga säkerhetskrav
• dokumenterade säkerhetsbedömningar av tredje part
• riskdokumentation för leverantörer
• dokumentation av löpande övervakning och uppföljning

Detta återspeglar förväntningarna på att risker måste hanteras i hela värdekedjan, inte bara internt i den egna organisationen.

Vad kännetecknar god NIS2-dokumentation i praktiken?

Effektiv NIS2-dokumentation är sammanhängande. Policydokument ska vara kopplade till beslut. Beslut ska vara kopplade till åtgärder. Åtgärder ska vara kopplade till avtal, ansvar och faktiska händelser.

Exempel på detta kan vara:

• riskhanteringsplaner som är direkt kopplade till testresultat
• incidenthanteringsplaner som är kopplade till faktiska incidentloggar
• leverantörsavtal som är kopplade till löpande risk- och prestationsbedömningar

Det är därför mappar fyllda med PDF-filer sällan tillfredsställer revisorer. De förväntar sig dokumentation som kan spåras över olika områden – och tas fram snabbt vid begäran.

För många organisationer är det här strukturerade digitala system blir avgörande. När avtal, ansvar, risker och uppföljning är sammanlänkade på ett ställe stödjer dokumentationen både de operativa kraven i artikel 21 och styrningskraven i artikel 23.

NIS2: Skillnaden mellan dokument och faktiska bevis

En vanlig fallgrop är dokumentation som ser komplett ut på papper men som inte återspeglar den faktiska verksamheten.

Revisorer testar vanligtvis om:

• kontroller följs över tid, inte bara beskrivs
• incidenter loggas med tidsstämplar och ansvar
• dokumentationen speglar organisatoriska och tekniska förändringar
• avtalsklausuler efterlevs med mätbara resultat

Här är struktur och spårbarhet avgörande. Utan detta blir dokumentationen snabbt sårbar vid granskning.

Hur bör organisationer förbereda dokumentation som håller för revision?

• Börja tidigt och bygg kontinuerligt. Revisorer förväntar sig historik, inte dokumentation som skapats strax före en revision.
• Tilldela tydligt ansvar. Varje kontroll bör ha en namngiven ansvarig.
• Använd strukturerade system. Enbart molnlagring är otillräcklig. Dokumentationen måste vara sökbar, sammanlänkad och spårbar.
• Hänvisa uttryckligen till NIS2-kraven. Artiklarna 21 och 23 bör tydligt återspeglas i styrningsstrukturer och avtal.

Genom att betrakta dokumentation som ett löpande arbete snarare än ett engångsprojekt förbereder sig organisationerna inte bara för revisioner, utan stärker också sin dagliga riskhantering.

De viktigaste punkterna

• Behandla dokumentation som bevis, inte bara som pappersarbete.
• Säkerställ att styrning och ledningstillsyn dokumenteras i enlighet med artikel 23.
• Upprätthåll en strukturerad och uppdaterad riskdokumentation i enlighet med artikel 21.
• Koppla samman avtal, risker och operativ dokumentation i en sammanhängande struktur.
• Bygg upp revisionsberedskap på löpande basis, snarare än att reagera först när revisionen inleds.