Skillnaden mellan ISO 27001 och NIS2 och andra standarder

Både ISO 27001 och NIS2 berör informationssäkerhet och cybersäkerhet, men på olika sätt:

• ISO 27001 är en frivillig internationell certifieringsstandard som visar att en organisation arbetar systematiskt med informationssäkerhet.
• NIS2 är ett bindande EU-direktiv som gäller för utpekade sektorer som energi, transport, hälso- och sjukvård, digital infrastruktur med flera.

• Båda fokuserar på riskhantering, incidentrapportering och kontinuerlig förbättring.
• ISO 27001 kan användas för att visa efterlevnad av NIS2-kraven.

För organisationer som omfattas av NIS2 är ISO 27001 ett praktiskt sätt att strukturera efterlevnadsarbetet, särskilt i kombination med andra regelverk. 

SOC 2 är en revisionsstandard utvecklad i USA som ofta används av molntjänsteleverantörer och SaaS-företag. Den bygger på fem kontrollprinciper:

• säkerhet,
• tillgänglighet,
• konfidentialitet,
• dataintegritet, och
• sekretess.

Om du arbetar globalt och behöver en erkänd certifiering är ISO 27001 ofta bäst. Om du främst levererar IT-tjänster till amerikanska kunder är SOC 2 ibland ett krav. 

Det är lätt att blanda ihop dessa två:

• ISO 27001 innehåller krav för hur ett ledningssystem för informationssäkerhet ska byggas upp och kan leda till certifiering.
• ISO 27002 innehåller riktlinjer, exempel och rekommendationer för vilka säkerhetskontroller som kan användas.

Förutom ISO 27001 finns flera närliggande standarder som kan komplettera säkerhetsarbetet:

• ISO/IEC 27000 – Introduktion och terminologi.
• ISO/IEC 27005 – Riskhantering för informationssäkerhet.
• ISO/IEC 27701 – Förlängning av ISO 27001 för hantering av personuppgifter (kopplat till GDPR).
• ISO/IEC 27017 – Säkerhet i molntjänster.
• ISO/IEC 27018 – Skydd av personuppgifter i publika molntjänster.

Valet beror på verksamhetens krav, kunder och lagstiftning. 

Om du omfattas av NIS2-direktivet är ett ISO 27001-certifikat ofta det mest effektiva verktyget för att visa efterlevnad. Om du levererar IT-tjänster till amerikanska kunder kan SOC 2 vara nödvändigt, men det går att kombinera med ISO 27001. Om du vill stärka din GDPR-efterlevnad är ISO 27701 ett starkt komplement. Mindre företag eller bostadsrättsföreningar som vill ha bevis för ordning och säkerhet i sin informationshantering bör börja med ISO 27001.

Ett svenskt energibolag som omfattas av NIS2-direktivet valde att införa ISO 27001 som grund. På så sätt fick de ett strukturerat arbetssätt för riskhantering och incidenthantering, samtidigt som certifieringen fungerar som ett bevis för kunder och myndigheter. Kombinationen gjorde arbetet med NIS2 mycket smidigare eftersom de redan hade etablerade rutiner, dokumentation och revisioner på plats.