Likheter och skillnader mellan NIS2 och ISO 27001
Både ISO 27001 och NIS2 (Network and Information Security Directive) syftar till att säkerställa informationssäkerhet inom organisationer. Regelverken delar flera gemensamma mål men har olika fokus- och tillämpningsområden. Här går vi igenom likheter, skillnader och hur regelverken kompletterar varandra.
Att certifiera sitt företag är en stor investering, men det finns flera goda anledningar till att ni ändå ska överväga det. Ett ISO-certifierat företag visar att de tar sin cyber- och informationssäkerhet på allvar. Ni stärker ert cyberskydd och minskar risken för intrång, något som annars kan leda till läckt företagsinformation och kostsamma driftstopp. Allt fler företag ställer höga krav på att dess leverantörer ska vara certifierade. Med en certifierad verksamhet ökar er konkurrenskraft, ni har större chans att vinna upphandlingar och stänger affärer snabbare.
Huvudsyften och
omfattning av NIS2 och ISO 27001
Men vad är då ISO 27001 och NIS2, vad är dess huvudsyften och vilka omfattar den?
ISO 27001 är en internationell standard som fokuserar på att etablera, implementera, underhålla och kontinuerligt förbättra ett informationssäkerhetshanteringssystem (ISMS). Standarden ger en strukturerad metod för att säkerställa informationens konfidentialitet, integritet och tillgänglighet. Tillvägagångssättet inkluderar rutiner för teknik, processer och människor, allt för att hjälpa organisationer att hantera sina säkerhetsrutiner på ett konsekvent och kostnadseffektivt sätt.
NIS2 är ett uppdaterat EU-direktiv som specifikt riktar sig till operatörer av essentiella tjänster och digitala tjänsteleverantörer inom EU. Uppdateringen innebär tydligare krav på riskanalys och säkerhetsåtgärder än tidigare och kommer troligen implementeras i svensk lag under sommaren 2025. Målet är en högre gemensam cybersäkerhetsnivå i hela unionen genom att utöka tillämpningsområdet, införa strängare krav, öka ansvar och sanktioner samt förbättra samordningen mellan EU-länder.
“Med en certifierad verksamhet ökar er konkurrenskraft, ni har större chans att vinna upphandlingar och stänger affärer snabbare.”
Överlappande krav
Det finns flera områden där regelverken överlappar:
- Riskhantering. Båda kräver att organisationer identifierar, bedömer och hanterar risker för att säkerställa kontinuitet och integritet av deras tjänster och data. Detta ska sedan resultera i systematiska säkerhets- och riskhanteringsåtgärder som ställer krav på ett aktivt och strategiskt arbete av ledningen.
- Regelbundna granskningar. Båda föreskriver att säkerhetsåtgärderna ska granskas, uppdateras och förbättras kontinuerligt för att hålla jämna steg med förändringar i hotlandskapet.
- Incidenthantering och rapportering. Båda ställer krav på effektiv hantering av säkerhetsincidenter, vilket inkluderar upptäckt, rapportering och åtgärder. Det är också viktigt för att främja kommunikation och samarbete kring säkerhetsfrågor.
Skillnader
- Omfattning. NIS2 är specifikt inriktad på kritisk infrastruktur och samhällsviktiga tjänster medan ISO 27001 är tillämpbar på alla typer av organisationer.
- Juridik: NIS2 är ett EU-direktiv som kommer bli lag medan ISO 27001 är frivillig standard.
- Sanktioner. NIS2 innebär administrativa sanktionsavgifter baserat på global årsomsättning, medan bristande efterlevnad av ISO 27001 endast leder till att man förlorar certifieringen.
- Rapporteringkrav: Båda systemen betonar vikten av incidentrapportering, men NIS2 har striktare krav och ska rapportera incidenter till myndigheter inom 24 timmar. ISO 27001 kräver också rapportering enligt gällande lagstiftning men har ingen exakt tidsram.
- Ledningens ansvar: NIS2 ställer högre krav på ledningens utbildning och ansvar i cybersäkerhetsfrågor. Vilket är viktigt då ledningen även har direkt ansvar för efterlevnad. ISO 27001 kräver ledningens engagemang, men ansvarsfrågan blir mindre specifik.
“Genom att förstå och implementera både ISO 27001 och NIS2 kan organisationer säkerställa en robust och omfattande informationssäkerhet som uppfyller både internationella standarder och EU-krav.”
Hur NIS2 och ISO27001
kompletterar varandra
ISO 27001 fungerar som en bra grund för att uppfylla flera av de krav som NIS2 innebär. Även om NIS2 inte direkt kräver implementering av ISO 27001, nämns ISO/IEC 27000-serien som ett bra sätt att genomföra cybersäkerhetsåtgärder. De som redan implementerat ISO 27001 i sin organisation har alltså en fördel och något att jobba vidare från när lagen kopplat till NIS2 träder i kraft under året.
Genom att förstå och implementera bägge regelverk kan organisationer säkerställa en robust och omfattande informationssäkerhet som uppfyller både internationella standarder och EU-krav.
Läs mer om Nordlos erbjudande inom IT-säkerhet