Två typer av granskning
NIS2-efterlevnad mäts genom två oberoende mekanismer:
Internrevision
Organisationens egen granskning av att ledningssystemet fungerar – samma process som i ISO 27001 (klausul 9.2).
Externrevision / tillsyn
MSB och sektorsmyndigheter genomför inspektioner, säkerhetsskanningar och kan begära in dokumentation.
Internrevision av NIS2 – steg för steg
1. Planera
- Revisionsprogram över 1–3 år
- Omfattning, kriterier och revisorernas oberoende
2. Genomför
- Intervjuer, observationer, dokumentgranskning
- Tester av incidentprocessen (table-top eller drill)
3. Rapportera
- Avvikelser och förbättringsmöjligheter
- Riskbaserad rangordning
4. Följ upp
- Korrigerande åtgärder med tidsplan
- Effektivitetsverifiering vid nästa revision
Externrevision – så förbereder ni er för MSB
| Vad MSB kan begära | Vad ni bör ha klart |
|---|---|
| Informationssäkerhetspolicy | Aktuell, ledningsgodkänd, kommunicerad |
| Riskbedömning | Senast uppdaterad inom 12 månader |
| Incidentlogg | Spårbar, med rapporter till MSB |
| Leverantörsregister | Klassificerat efter kritikalitet |
| Ledningens utbildning | Bevis på genomförd NIS2-utbildning |
| Internrevisionsrapporter | Senaste året, med åtgärdsstatus |
Ett system – tre ramverk
ISO Direkts metod bygger på ett integrerat ledningssystem som täcker:
- ISO 9001 – processkvalitet och ständig förbättring
- ISO 27001 – informationssäkerhet och kontrollramverk
- NIS2 – lagkrav på cybersäkerhet, incidentrapportering och tillsyn
Resultat: en internrevision täcker alla tre. En extern granskning behöver bara titta i ett system. Ni sparar tid, pengar och eliminerar dubbelarbete.