Hvem afgør egentlig, om din revisor er kvalificeret? Hvorfor reglerne er forskellige – og hvorfor din revisionsbeståelse afhænger af dem.
Hvis du leder compliance, er spørgsmålet om, hvorvidt din ISO 27001 eller om NIS 2-revisor er "kvalificeret", kan føles som en gåde pakket ind i bureaukrati. Virkeligheden i praksis er i modsætning til de pæne tjeklister, som produktmarkedsføring gerne vil have dig til at tro: revisorberettigelse er et kludetæppe af nationale, sektorbestemte og lejlighedsvis lokale myndighedsbeslutningerDer findes ingen centraliseret ENISA-liste over "superrevisorer". I stedet vedligeholder myndigheder fra Berlin til Amsterdam, eller Paris til Prag, deres egne registre, fastsætter forskellige adgangsbetingelser, anvender politiske fortolkninger og kræver periodisk fornyelse. Det, der åbner døren for en revisor i ét land, kan efterlade dem lockout - eller ignoreret - i et andet (Noerr).
Et certifikat, der sikrer tillid hos én myndighed, betyder måske ingenting for sin nabo – når det kommer til revisionsgodkendelse, er det kun det lokale spil, der tæller.
Autorisation kontrolleres typisk af en kombination af nationale agenturer, sektorkommissioner og, for regulerede brancher, et ekstra lag af vertikalt specifikke regler. At udelukkende stole på en revisors "Lead Auditor"-certifikat fra ISO eller et globalt organ er blevet et sats - nogle gange er en legitimationsbevis velkommen i én jurisdiktion, men opfylder ikke juridiske krav andre steder. Det tyske BSI, det hollandske NCSC og det franske ANSSI opererer hver især med deres egne lister, revisioner og valideringscyklusser. Hvis din revisor mangler tilstedeværelse og bevis i det rigtige register, er dit revisionsresultat i fare, uanset deres internationale omdømme eller certifikater. For dobbelt dækning i ISO 27001 og NIS 2skal revisorer gentagne gange validere sig selv i hvert geografisk område og hver sektor – en proces, der er lige så løbende, som den er politisk.
Nationale registre: Mere end en formalitet
Mange EU-lande har officielle registre, der overvåges, opdateres og reguleres. kritiske sektorer (energi, telekommunikation, sundhedspleje, bankvirksomhed), er disse lister ofte de ultimative portvogter: din revisors navn skal fremgå, legitimationsoplysninger skal være aktive, og sektorgenkendelsen skal være aktuel. For multinationale organisationer skaber dette en ekstra hindring: hvad der fungerer for ét land eller en bestemt branche, går ikke videre uden nyt papirarbejde. Selv inden for et land betyder tværsektorielle kløfter, at en revisor, der er opført inden for sundhedssektoren, muligvis ikke bliver accepteret i finansielle sektor medmindre de er separat registreret og evalueret.
Dobbeltuddannede auditorer: Sjældne og aldrig standard
Trods den stigende efterspørgsel er der mangel på revisorer, der har både ISO 27001- og NIS 2-kvalifikationer – plus opdateret tilstedeværelse i alle de sektorer og nationale registre, du har brug for – og de opnår sjældent status ved et tilfælde. At være opført hos én myndighed garanterer aldrig accept et andet sted. Før du hyrer en revisor, især for grænseoverskridende eller tværsektorielle projekter, skal du kræve skriftlig, aktuel dokumentation for alle relevante registre. Denne due diligence vil gøre mere for din sandsynlighed for at bestå en revision end noget brandnavn eller selvbekræftet årtiers erfaring.
Book en demoÉn revision eller to? Sådan forhindrer du redundans, når frameworks kolliderer
Det er et fornuftigt spørgsmål: "Kan vi opnå ISO 27001- og NIS 2-overholdelse med en enkelt revision?" For de fleste organisationer er det ærlige svar "kun hvis I omhyggeligt afstemmer dokumentationen, og jeres revisor er reelt anerkendt for begge standarder af alle relevante myndigheder." Uden dobbelt kvalifikation og kortlagt, multi-framework-evidens risikerer I at løbe gennem to forskellige revisionscyklusser - hver med deres eget papirarbejde, interviews og fortolkninger. Selv når kontroller og output overlapper hinanden, kræver lokal lovgivning eller sektorspecifik vejledning ofte eksplicitte overgange, indekskortlægning og skræddersyede dossierer for hvert regime (NCSC UK).
Overlappende revisioner er ikke bare et tidsspild – de fordobler omkostninger og udmatter de teams, der er mest nødvendige for den løbende sikkerhed.
Tidlig planlægning: Bekræft, antag ikke
Inden du hyrer en revisor, bør du indlede en dialog med både din ISO-certificeringspartner og dine lokale NIS 2-myndigheder. Afklar, hvor bevismateriale kan udnyttes, hvor dokumentation skal kortlægges eller oversættes, og – afgørende – hvordan sektorspecifik vejledning fortolker "acceptabel" revisionsdækning. Inden for kritisk infrastruktur, sundhedspleje eller bankvirksomhed kan du forvente, at tilsynsmyndigheder insisterer på sektorbaserede, kontekstspecifikke revisioner. Den hurtigste måde at afspore en revision på? Antag, at et enkelt certifikat er tilstrækkeligt, kun for at blive afvist efter ugers forberedelse. Indhent eksplicit, skriftlig godkendelse til din revisor i alle relevante registre – de bør forvente og byde granskningen velkommen.
| Stage | Forventning | Reality | Hvad virker |
|---|---|---|---|
| Forhåndsengagement | "Én revision vil tjene begge rammer." | Legitimationsoplysninger/registre er sjældent afstemt. | Bekræft begge standarders unikke krav. |
| Revisionsplanlægning | "Vores ISO 27001-dokumentation vil blive accepteret." | Sektorregler og skabeloner tilsidesætter. | Sikre vejledning direkte fra tilsynsmyndighederne. |
| Engagement | "Skabeloner vil hjælpe os igennem med lethed." | Jurisdiktioner kræver kortlagte fodgængerovergange. | Byg og test dine egne compliance-indekser. |
Hvorfor lappeteppet? Lokale regler vinder
ENISA udarbejder retningslinjer, udfører evalueringer og formidler bedste praksis – men har ingen juridisk beføjelse over national eller sektorbaseret registrering. Det tyske BSI, det hollandske NCSC og deres kolleger kører deres egne valideringsprocesser, fastsætter deres egne cyklusser for registeropdateringer, kræver deres egen dokumentation og forbeholder sig retten til at afvise ethvert certifikat, der ikke specifikt er valideret under deres banner (ENISA). Selv inden for EU er gensidig anerkendelse sjælden; tværsektoriel overførsel er næsten uhørt. Teams, der håber at strømline, skal overvåge alle relevante registre – og genvalidering af legitimationsoplysninger bliver en tilbagevendende begivenhed.
Mestre NIS 2 uden regnearkkaos
Centraliser risici, hændelser, leverandører og bevismateriale på én ren platform.
Fanget mellem linjerne: Hvorfor dokumentation og kontrolkrav ikke synkroniseres
Selvom både NIS 2 og ISO 27001 kræver løbende forbedringer, indsamling af evidens og robuste risikostyring, deres implementeringsveje adskiller sig markant på håndhævelsestidspunktet. Nationale myndigheder kan kræve rapportering i deres eget format, specifikke skabelonlayouts, hændelsesmeddelelse inden for landespecifikke deadlines eller endda "live" demonstrationer. I kritiske sektorer styrer yderligere lovgivning modenhed og omfang, hvilket tvinger compliance-teams til at håndtere dobbelte logikker, krydsindekseret evidens og sektorspecifikt ordforråd.
De hindringer, der forsinker eller blokerer revisioner, er normalt ikke tekniske – de er uoverensstemmelser i, hvordan myndighederne forventer, at bevismateriale, rapportering og kontroller organiseres.
Forsinkelser, tvister og afvisninger af revisioner skyldes ofte uigennemtænkte antagelser – såsom at indsende ISO 27001-dokumentation "som den er" til en NIS 2-revision, kun for at opdage, at dine beviser ikke stemmer overens med det rapporterings- eller dokumentationsnet, som din sektorregulator kræver. Teams med flere lande står over for endnu større udfordringer: Både det hollandske NCSC og Tysklands BSI har beføjelse til at fastsætte unikke skabeloner og tidslinjer. Svag kortlægning, udokumenterede bevislinks eller manglende registeroplysninger er de mest almindelige og undgåelige kilder til chok på revisionsdagen. Opbyg eksplicitte kortlægningsindekser, vedligehold omhyggelige bevislogfiler, og knyt hvert bevismateriale til dets nødvendige rammer.
Akkreditering i praksis: ENISA's rådgivning, lokale myndigheders vurdering
ENISA's mandat er udelukkende rådgivende: vejledning, værktøjskassen og ressourcecentre for bedste praksis. Det driver ikke registre, udsteder ikke revisionsgodkendelser eller mægler i tvister om legitimationsoplysninger. Denne beføjelse ligger udelukkende hos portvogterne - nationale og sektorspecifikke myndigheder. Disse organer fastsætter deres egne registreringsregler, opdateringscyklusser og fornyelsesprocedurer, og du forventes at holde trit (selv når ændringerne er hyppige eller uigennemsigtige) (ENISA NIS 2-vejledning).
Tyskland vs. Holland: Registrering, fornyelse og konsekvenser i den virkelige verden
- Tyskland (BSI): Vedligeholder et centralt register med to standarder; grænseoverskridende eller endda tværsektorielle godkendelser kan ikke overføres. Revisorer skal rutinemæssigt genvalidere og demonstrere opdateret viden for hver vertikal, de betjener.
- Holland (NCSC): Udsteder sektor-for-sektor registre; udenlandsk godkendelse (selv fra EU-naboer) accepteres ikke automatisk. Dokumentationen skal opdateres i henhold til deres specifikke krav, og fornyelsesfristerne kan variere fra sektor til sektor.
Legitimationstjek er blevet lige så dynamiske som selve trusselsbilledet: lister ændrer sig, politikopdateringer spreder sig gennem sektorer, og virksomheder skal rutinemæssigt genoverveje alle godkendelser knyttet til revisionsberedskab. Én manglende registrering i registret kan sætte en stopper for hele din revisionsproces.
Hold dig opdateret: Compliance som en aktiv disciplin
Administration af legitimationsoplysninger er nu en live-proces, ikke en "indstil og glem"-opgave. Ledende organisationer sporer registeropdateringer, udløbsdatoer og CPD-logfiler via dedikerede ejere eller automatiserede platforme (KPMG). Hvis dette ikke lykkes, er det en fremvoksende hovedårsagen af mislykkede revisioner og lovmæssige sanktioner. Efterhånden som kravene ændrer sig – ofte med kort varsel – skal interne compliance-teams behandle legitimationsvalidering som et fast punkt på dagsordenen. Digital dokumentation, påmindelser og bevis for fornyelse bør være klar til fremvisning ved enhver inspektion.
Vær NIS 2-klar fra dag ét
Start med et gennemprøvet arbejdsområde og skabeloner – bare skræddersy, tildel og gå i gang.
Hvad gør en revisor "fuldt kvalificeret"? Det er mere end blot at have et certifikat
For at en revisor kan være "fuldt kvalificeret" til at opfylde dine NIS 2- og ISO 27001-behov, skal tre ting være dokumenteret, aktuelle og skræddersyet til din sektor og dit land:
- En gyldig ISO 27001 Lead Auditor-certifikat: Nylig, ikke-udløbet og udstedt af et anerkendt organ.
- Opdateret tilstedeværelse i NIS 2-sektorregistre: Opført i alle relevante jurisdiktioner og sektormyndigheder for din forretningskontekst.
- Dokumenteret, løbende efteruddannelse: Inklusive scenariebaseret træning, årlige opdateringer af journaler og direkte referencer, der kan spores til begge standarder.
Organer som PECB eller AENOR advarer om, at "dobbelt" eller "fuld" status ikke automatisk kan ophøre med at være overholdt; den skal opretholdes bevidst og kan tilbagekaldes - uden varsel - af enhver myndighed, hvis logfiler, fremmøde eller fornyelse forsinkes.
At være registreret er en kontinuerlig handling. Udløb, mistet CPD eller sektorforskydning er alt, hvad der skal til for at få en fuldt kvalificeret status til at kollapse.
Kvalifikation i praksis: Tabelreferencer
Livscyklus for revisorlegitimation
| Fase | Kritisk bevismateriale | Kontrolreference |
|---|---|---|
| onboarding | Certificeret ISO 27001 LA, NIS 2-register | ISO 27001 Bilag A.7.2, NIS 2 Artikel 20 |
| Vedligeholdelse | Nye CPD-logfiler, registreringsdatabaseopdateringer | ISO 27001 Klausuler 7/9, NIS 2 Artikel 21 |
| Fornyelse | Referencer, kortlægning af fodgængerovergange, revisioner | ISO 27001 A.7.2, NIS 2 Artikel 20/21 |
Sporbarhed: Minitabel "Ændring til bevis"
| Udløser | Risikoændring | Kontrol-/SoA-link | Beviser indfanget |
|---|---|---|---|
| Onboarding af revisor | Scanning af legitimationsoplysninger/registreringsdatabase | SoA A.7.2, NIS 2 Artikel 21 | Links til registeret, CPD, referencebevis |
| Årlig gennemgang | Registret + CPD opdateret | SoA A.7.2, NIS 2 Artikel 21 | Opdaterede digitale logfiler og indtastninger |
| Ændring af regulering | Scenarie/peer-session, opdatering | SoA A.7.2, NIS 2 Artikel 24 | Uddannelse, CPD-dokumentation, evalueringsrapport |
Bevis før revision: Gør legitimationstjek til en daglig disciplin, ikke en panik i sidste øjeblik
Ledere inden for compliance integrerer validering af legitimationsoplysninger i deres almindelige arbejdsgange. Før en revisor sætter sin fod på stedet – internt eller eksternt – indsamler:
- Digitalt verificerbare, aktive certifikater fra anerkendte ISO 27001 Lead Auditor-organer.
- Skriftlige registerposter fra alle relevante lande og sektorer.
- Tidsstemplede logfiler over efteruddannelse og træningshændelser (inklusive simuleringsøvelser, hvor det er muligt).
- Dokumentation for nylig revisionsudførelse eller scenarieengagement.
Globale og tværsektorielle teams med proaktiv disciplin i forbindelse med akkrediteringer rapporterer konsekvent færre overraskelser og hurtigere og renere revisionsresultater (ICAEW). Hver manglende akkreditering er en potentiel forsinkelse eller i værste fald en direkte afvisning.
Organisationer, der automatiserer sporing af legitimationsoplysninger – ved hjælp af ISMS.onlines overvågnings- og dashboardværktøjer – er bedst placeret til at eliminere panik i sidste øjeblik og sikre hurtige, gentagelige revisionsbeståelser.
Eliminering af sidste-øjebliks-rushet
Udpeg en compliance-ejer, der er ansvarlig for hvert framework; brug digitale påmindelser og automatiseret validering, hvor det er muligt. Konsolidér registerlinks og udløbsdatoer for både ISO 27001 og NIS 2 i ét system. Kræv bevis uger før enhver revisionsbegivenhed, ikke i startfasen. Dette gør compliance til en gentagen disciplin, ikke et kampgejst.
Alle dine NIS 2, samlet ét sted
Fra artikel 20-23 til revisionsplaner – kør og bevis overholdelse af regler fra ende til anden.
Opbygning af robuste, dobbeltkompatible revisionsteams: Fra certifikater til kontinuerlig praksis
I dag understøttes et "revisionsklart" team af løbende træning, registrering og scenariedrevet robusthed – ikke blot engangsopgaver. Den mest bæredygtige succes kommer fra at integrere legitimationstjek i både interne og eksterne revisorstyringsrutiner, specificere dobbelt certificering og registerstatus i alle kontrakter og opbygge feedback-loops til forbedringer efter hvert engagement (AENOR).
Teams, der forbliver klar til revision, er dem, der er engagerede i uophørlig fornyelse, ikke i at sætte kryds i felter.
Revisionskontrakter og interne kontroller - for nu og i morgen
- Kræv dobbelte, registeropførte revisorer i alle revisionsaftaler.
- Indbygg scenariebaseret træning og klausuler om gennemgang af legitimationsoplysninger i kontrakter.
- Overvåg legitimationsoplysninger for både interne og eksterne revisionsteams.
- Udfør retrospektive gennemgange efter hver revision: undersøg huller i akkrediteringer, adresser procesforskelle, dokumentér opdateringer til næste cyklus.
Sporbarhed: Referencetabel for fornyelseshændelser
| Fornyelsesbegivenhed | Nødvendigt trin | Bevis påkrævet |
|---|---|---|
| Lovgivningsmæssig opdatering | Peer-/sessionstræning | Ny certificering, CPD/hændelseslogfiler |
| Fornyelse af revision | Scanning af registreringsdatabasen/kontrakten | Opdateret register, revisionshistorik |
| Ny revisor | Onboarding, overførsel | Onboarding-tjekliste, overførsel af legitimationsoplysninger |
Bliv klar til dobbelt compliance – inden dit næste revisionsvindue udløber
Din vej til gentagelig og problemfri compliance starter med at integrere legitimationsoplysninger i din daglige rutine. ISMS.online giver dig et centralt, synligt arkiv over status for revisionspartnerregisteret, certifikatovervågning og CPD-logfiler. Opsæt rollebaserede dashboards, udløbsflag og fornyelsespåmindelser for at erstatte sidste-øjebliks-drama med rolig selvtillid.
- Forbind ISO 27001 og NIS 2 politik-, risiko- og kontrolregistreringer i præbyggede rammeværker – bevisende revisionsberedskab for ethvert land, enhver sektor eller enhver standard.
- Automatiser påmindelser om udløb af legitimationsoplysninger og påkrævet fornyelse, både interne og eksterne.
- Hold altid overblikket over registreringsdatabaseposter, når reglerne skifter og opdateres én gang og dukker op overalt.
Fremragende revision er et produkt af daglig disciplin i forbindelse med akkrediteringer, ikke heltegerninger under pres.
Når du afstemmer medarbejdere, processer og bevisførelse, transformerer du compliance fra en kilde til friktion til en konkurrencedygtig kapacitet. Derved opnår du ikke bare et bestået resultat, men en robust revision, der vokser gennem hver cyklus. reguleringsændring- at holde sig forberedt, forbedre sig for hver gang og give dine teams frihed til at drive forretningen fremad.
Ofte stillede spørgsmål
Hvem afgør, om NIS 2-revisorer skal have ISO 27001-uddannelse, og ændrer reglen sig fra land til land?
Hver EU-medlemsstats nationale cybersikkerheds- eller sektorregulator afgør direkte, om NIS 2-revisorer er berettigede – herunder om ISO 27001-akkrediteringer anses for relevante eller tilstrækkelige. Der er ingen enkelt EU-dækkende eller ENISA-godkendt godkendelseslisteMyndigheder som Tysklands BSI, Frankrigs ANSSI eller det hollandske NCSC har hver deres egne registre og håndhævelsesmodeller. I nogle lande er ISO 27001 Lead Auditor- eller Internal Auditor-certifikater et obligatorisk udgangspunkt - men altid suppleret med yderligere krav såsom NIS 2-specifik træning, sektorerfaring og optagelse i lokale registre. En revisor, der er licenseret i én medlemsstat, har ingen garanti for anerkendelse i en anden; juridisk anerkendelse "rejser" aldrig automatisk (ENISA, 2023).
Revisors berettigelse til NIS 2 er aldrig alene underforstået af ISO 27001-status. Kontakt altid den relevante nationale eller sektorspecifikke myndighed, før du bekræfter revisionsaftaler.
Hvordan er de færdigheder, der kræves til NIS 2- og ISO 27001-revisioner, sammenlignelige, og hvor er kravene forskellige?
De færdigheder, der kræves til NIS 2- og ISO 27001-revisioner, overlapper hinanden betydeligt – begge kræver kendskab til informationssikkerhed rammer, kontroller og løbende forbedringer. Dog, NIS 2-revisioner kræver entydigt navigation i statslige regler, sektorspecifik lovgivning, dokumentation for øvelser i hændelsesscenarier og demonstration af ledelse på bestyrelsesniveau.ISO 27001-auditorer fokuserer på ISMS-design, interne kontroller, dokumentation og risikohåndtering; NIS 2-auditorer skal dokumentere forståelse af lokal implementeringslovgivning, sektoroverlejringer (f.eks. sundhed, energi, finans) og kan blive pålagt direkte juridisk ansvar for fejlagtige oplysninger. En dygtig NIS 2-auditor har erfaring med at registrere beviser i henhold til sektormyndighedernes standarder, dokumentere praktisk notifikationsevne og resultater af scenarieøvelser – ikke blot gennemgå kontroldokumenter (BSI Group, 2023).
Der er stor efterspørgsel på revisorer, der er dobbeltkvalificerede i ISO 27001 og sektorregistrerede til NIS 2, især til grænseoverskridende arbejde eller arbejde med kritisk infrastruktur.
Hvilke typer certificeringer, logfiler eller dokumentation kræves af revisorer og organisationer under NIS 2- og ISO 27001-revisioner?
Begge rammer forventer, at organisationer og deres revisorer præsenterer:
- Aktive professionelle certifikater: ISO 27001-status som ledende/intern revisor samt national eller sektorbestemt opføring for NIS 2 (digitalt badge eller officielt register-ID).
- Dokumenteret registerstatus: Direkte citering eller skærmbillede af optagelse i hvert relevant nationalt/sektorielt register.
- Løbende faglig udvikling (CPD)-logge: Årlige eller periodiske optegnelser over godkendt træning, scenarieworkshops og peer review – forskellige lande kræver kortlægning til lokale skabeloner.
- Sektorspecifik dokumentation og revisionshistorik: Bevis for nylige relevante sektorengagementer (især for CNI-enheder).
Manglende eller udløbet dokumentation eller manglende CPD-logfiler forsinker eller blokerer rutinemæssigt færdiggørelsen af revisioner (PECB, 2024).
Dokumentationsstandarder bliver stadigt mere og mere krævende – nationale registre og CPD-logfiler er nu lige så vigtige som certifikater.
Kan en ISO 27001-ledende revisor udføre en NIS 2-revision uden yderligere registrering eller sektorgodkendelse?
Status som ikke-ISO 27001 Lead Auditor giver aldrig alene juridisk bemyndigelse til at udføre NIS 2-revisioner. Nationale regler i hver sektor og medlemsstat fastsætter yderligere krav, såsom optagelse i registeret, sektorspecifikke eksamener og lokal juridisk accept.
- Tyskland: Kræver BSI-registrering og kan kræve sektoreksamener, uanset ISO-akkrediteringer.
- Nederlandene: Revisorer skal være opført i NCSC-registeret; tidligere ISO-status er ikke nok.
- Storbritannien (fra 2025): Kun NCSC-godkendte advokater kan udføre officielt NIS 2-revisionsarbejde, ud over eventuelle ISO-certifikater.
Bekræft altid optagelse i det nationale NIS 2-register, før du tildeler revisionsarbejde – og antag aldrig, at et "certifikat" er tilstrækkeligt uden lokal godkendelse og gyldig sektorregistrering.
Er det muligt at kombinere NIS 2- og ISO 27001-revisioner i én opgave, og hvilken dokumentation er nødvendig for accept?
Kombinerede (integrerede) revisioner kan udføres - men kun når revisoren formelt er opført i alle relevante nationale og sektorspecifikke registre, har opdaterede kortlægninger af fodgængerovergange over kontroller og forpligtelser og kan udarbejde acceptbreve (eller tilsvarende) fra både sektorregulatorer og ISO-certificeringsorganer.
- Integreret revisionsbevis skal omfatte:
- Navn/ID, der findes i hvert aktivt register, der er knyttet til engagementets omfang;
- Eksplicitte krydsreferencetabeller over ISO 27001 og nationale/sektorielle NIS 2-overlejringer med kortlagt dokumentation for hver enkelt;
- Skriftlig godkendelse eller korrespondance fra sektorregulatorer og det certificerende ISO-organ, der viser kombineret revisionsaccept (AENOR, 2023; ENISA, 2023).
Hvis der mangler dokumentation fra registre, fodgængerovergange eller godkendelser, kan man forvente, at kombinerede revisioner vil blive afvist eller fragmenteret ved gennemgangen.
Hvad er den mest robuste tilgang til fremtidssikring af compliance og sikring af revisionsberedskab?
- Centraliser legitimationsoplysninger, registerreferencer og CPD-logfiler: inden for et enkelt compliance-dashboard (ISMS.online er designet til dette).
- Valider rutinemæssigt registerposter og CPD-optegnelser: for alle interne og eksterne revisorer – ikke kun dem, der besøger dem én gang om året.
- Samlet struktureret evidens på tværs af rammer og sektorer: sikring af sporbarhed for hver revision eller recertificeringshændelse.
- Planlæg kvartalsvise gennemgange af dokumentation og legitimationsoplysninger: at gøre revisionsberedskab til en stående ledelsesaktivitet – ikke en kamp om deadlines.
De organisationer, der består revisioner stressfrit, er dem med live sporing, digitaliseret registerdokumentation og planlagte gennemgange – ikke dem, der behandler revisioner som en engangsbegivenhed.
ISMS.online samler alle certifikater, registre og CPD-dokumentation ét altid tilgængeligt sted – så du kan demonstrere kontrol, robusthed og beredskab, uanset hvordan revisorkrav eller NIS 2-lovgivningen udvikler sig.
Tabel over ISO 27001- og NIS 2-revisionskrav
| Krav | ISO 27001-revisor (global) | NIS 2-revisor (sektor/national) |
|---|---|---|
| certifikat | Ja (global standard) | Ja (indenlandsk, sektorgodkendt/fornyelse) |
| Nationalregisterfortegnelse | Ingen | Ja (årlig eller sektorbestemt recertificering) |
| Sektoriel erfaring | Ikke påkrævet | Ofte påkrævet for kritiske sektorer |
| Scenarie-/hændelsesøvelse | Nogle gange; ikke altid sektorspecifik | Påkrævet, med peer/autoritetsvurdering |
| International Anerkendelse | Ja, men det lokale NIS 2-register tilsidesætter stadig | Sjælden; skal udtrykkeligt accepteres |
| Efteruddannelse/efteruddannelse | Bedste praksis; ikke altid kontrolleret | Påkrævet; skal være dokumenteret og aktuel |
Tabel over sporbarhed af bevismateriale: Opdateringer af revisionslegitimation
| Revisionsudløser | Risiko- eller kontrolopdatering | SoA/Registreringsreference | Eksempel på revisionsbevis |
|---|---|---|---|
| Fornyelse af ISO 27001-certifikat | Interne revisioner, teamændringer | ISO 27001 Klausul 9.2, 7.2: Kompetence | Gyldigt LA-certifikat, registrering i registeret |
| NIS 2-registeropdatering | Genoptagelse eller fjernelse af registeret | Sektorspecifikt/nationalt NIS 2-register, SoA | Skærmbillede af registreringsdatabasen, officiel e-mail |
| Opdatering af CPD-log | Ny rolle eller sektortildeling | ISO 27001 7.2, NIS 2 CPD-koder | Træningshistorik, logfiler for peer review |
| Sektorbordboremaskine | Forbedring af politikker/processer | ISO 27001 Anneks A (6), NIS 2 lokal lovgivning | Borerapport, gennemgang efter handling |
For at se præcis hvordan ISMS.online kan strømline administration af legitimationsoplysninger, dokumentation af registeroverholdelse og forberedelse til både ISO 27001- og NIS 2-revisioner, så bed om en praktisk rundvisning. Dine revisioner (og din bestyrelse) vil takke dig.
