På sätt och vis kan man väl säga att Nis2-direktivet och ISO27001 gifter sig ganska väl. Om du som verksamhetsutövare idag följer den globala informationssäkerhetsstandarden ISO27001 så har du gjort mer än halva jobbet redan. Just ISO27001 innefattar ramverk för kartläggning, riskhantering och kontinuitetshantering. På siten Huntandhackett.com kan du läsa mer om hur man tänker sig att man kan mappa Nis2 och Iso27001.

Standarden ISO27001:2022 är en systematisk metod för att hantera känslig information så att den förblir säker. Den omfattar människor, processer och IT-system genom att använda en riskhanteringsprocess. Den senaste versionen, ISO/IEC 27001:2022, inkluderar uppdateringar som återspeglar den senaste utvecklingen inom cybersäkerhet och informationssäkerhet.

NIS2-direktivet är ett EU-direktiv som syftar till att förbättra cybersäkerheten inom EU genom att ställa högre krav på medlemsstaterna och de sektorer som är kritiska för samhället. NIS2-direktivet utvidgar omfattningen av det tidigare NIS-direktivet och inkluderar fler sektorer och högre krav på incidentrapportering, riskhantering och samarbete.

Likheter mellan ISO/IEC 27001:2022 och NIS2:

1. Riskhanteringsåtgärder: Både ISO/IEC 27001:2022 och NIS2 kräver att organisationer implementerar riskhanteringsåtgärder för att hantera och minska säkerhetsrisker. De betonar vikten av att förstå och hantera risker på ett systematiskt sätt​​.
2. Säkerhetsåtgärder: Båda regelverken fokuserar på att säkerställa en hög säkerhetsnivå genom att implementera olika säkerhetsåtgärder som ska vara lämpliga i förhållande till de risker som identifieras​​.
3. Incidenthantering: De båda innehåller krav på att organisationer ska ha kapacitet att hantera säkerhetsincidenter effektivt, vilket inkluderar att ha planer och processer på plats för att upptäcka, rapportera och åtgärda incidenter​​.
4. Samarbete och rapportering: NIS2 ställer större krav på samarbete mellan medlemsstaterna och inkluderar regler om rapportering av incidenter, vilket liknar de krav som finns i ISO/IEC 27001:2022 om kommunikation och incidenthantering​​.

Det finns också skillnader mellan de två, särskilt i deras omfattning och specifika krav beroende på sektorn och den juridiska kontexten de tillämpas i. NIS2-direktivet är specifikt för EU och fokuserar på kritiska infrastrukturer och tjänster, medan ISO/IEC 27001:2022 är en global standard som kan tillämpas på alla typer av organisationer.

Hur ser det ut hos er? Är ni certifierade enligt ISO27001 idag?