Ét samlet overblik: CRA, NIS2, DORA og ISO 27001 i samme model

Posted on by eiffelbar.dk

Hvis du føler, at EU i øjeblikket har besluttet sig for at regulere alt med et kredsløb, så er du ikke forkert på den. CRA, NIS2, DORA og ISO 27001 flyver rundt i samme PowerPoints, samme bestyrelsesmøder og samme “vi skal nok lige kigge på det”-tråde på Slack.

Problemet er ikke, at reglerne findes. Problemet er, at de ofte bliver behandlet som fire separate projekter, selvom de i praksis handler om det samme:
kontrol, risikostyring, dokumentation og robusthed.

Den gode nyhed er, at de kan samles i én sammenhængende model. Den dårlige nyhed er, at hvis du ikke gør det, kommer du til at lave dobbeltarbejde. Masser af det.

Her får du et samlet overblik over:

  • hvad CRA, NIS2, DORA og ISO 27001 hver især fokuserer på
  • hvordan de overlapper
  • hvor de adskiller sig
  • og hvordan de kan samles i én praktisk, styrbar struktur

Uden buzzwords. Uden compliance-teater. Med fokus på noget, der faktisk kan drives i virkeligheden.

Først: hvad handler de fire egentlig om?

Lad os få begreberne på plads, før vi begynder at bygge modeller og fine tabeller.

CRA – Cyber Resilience Act

CRA handler om produkter. Mere specifikt: digitale produkter og software, der sælges på EU-markedet.

Fokus:

  • Secure-by-design og secure-by-default
  • Kendte sårbarheder skal håndteres
  • Leverandører får ansvar for sikkerheden i produktets livscyklus
  • Dokumentation, opdateringer og sårbarhedshåndtering er ikke valgfrie

CRA spørger grundlæggende:

“Hvordan ved vi, at det her produkt ikke er et sikkerhedsmæssigt mareridt?”

NIS2 – Network and Information Security Directive

NIS2 handler om organisationer og samfundskritiske funktioner.

Fokus:

  • Governance og ledelsesansvar
  • Risikovurderinger
  • Incident management
  • Leverandørkæder
  • Rapportering og dokumentation

NIS2 spørger:

“Hvis noget går galt, hvor robust er virksomheden så?”

Og vigtig detalje: Ledelsen er ikke bare “informeret”. Den er ansvarlig.

DORA – Digital Operational Resilience Act

DORA er målrettet finanssektoren, men mange af principperne smitter af på andre brancher.

Fokus:

  • Operationel robusthed
  • IT-risici
  • Test af modstandsdygtighed
  • Tredjepartsleverandører
  • Incident-rapportering

DORA spørger:

“Kan jeres forretning fungere, også når IT’en fejler?”

Spoiler: “Vi håber det” er ikke et gyldigt svar.

ISO 27001 – Informationssikkerhedsledelse

ISO 27001 er ikke lovgivning, men en standard. Den er frivillig, men meget brugt som ramme.

Fokus:

  • ISMS (Information Security Management System)
  • Risikostyring
  • Kontroller
  • Politikker
  • Løbende forbedringer

ISO 27001 spørger:

“Har I et systematisk og dokumenteret greb om informationssikkerhed?”

Overlappet: hvorfor de ikke bør behandles hver for sig

Hvis du tegner de fire som cirkler, overlapper de voldsomt. Ikke 5–10 %, men snarere 60–80 % på centrale områder.

Fælles temaer:

  • Risikovurdering
  • Governance og ansvar
  • Dokumentation
  • Incident management
  • Leverandørstyring
  • Kontinuerlig forbedring

Alligevel ser man ofte:

  • ét CRA-projekt
  • ét NIS2-projekt
  • ét DORA-projekt
  • og ISO 27001 “kørende ved siden af”

Det er opskriften på:

  • parallelle risikovurderinger
  • modstridende politikker
  • træthed i organisationen
  • og dokumentation, der aldrig bliver brugt igen

Kort sagt: compliance uden effekt.

Den fælles model: tænk i lag, ikke i regelsæt

I stedet for at spørge “hvordan overholder vi CRA/NIS2/DORA?”, er det smartere at spørge:

“Hvilke kapabiliteter skal vi have, uanset hvilket regelsæt der spørger?”

En praktisk fælles model kan opdeles i 5 lag.

Lag 1: Governance og ledelsesforankring

Alle fire rammer kræver:

  • klart ejerskab
  • definerede roller
  • beslutningskompetence
  • dokumenteret ansvar

Her ligger:

  • ledelsesansvar (NIS2, DORA)
  • politikker (ISO 27001)
  • ansvar for produkter og opdateringer (CRA)

Hvis governance ikke er på plads, falder resten fra hinanden.

Lag 2: Risiko som fælles sprog

Alle rammer bygger på risiko, bare med lidt forskellige vinkler.

I stedet for:

  • én risikovurdering for CRA
  • én for NIS2
  • én for DORA
  • én for ISO

…bør du have én samlet risikoproces, der:

  • identificerer trusler
  • vurderer sandsynlighed og konsekvens
  • kobler risici til kontroller
  • genbruges på tværs

CRA bruger risiko til produkter.
NIS2 til samfunds- og forretningspåvirkning.
DORA til operationel robusthed.
ISO 27001 til informationssikkerhed generelt.

Samme motor. Forskellige dashboards.

Lag 3: Kontroller og foranstaltninger

Det her er der, hvor arbejdet rent faktisk sker.

Eksempler:

  • adgangsstyring
  • logging og overvågning
  • backup og recovery
  • patch management
  • sårbarhedshåndtering
  • awareness og træning

ISO 27001 giver en god kontrol-katalogstruktur.
CRA kræver, at kontroller også tænkes ind i produkter.
NIS2 og DORA kræver, at de virker i praksis.

Én kontrol kan sagtens dække flere krav, hvis den er beskrevet rigtigt.

Lag 4: Incident management og test

Alle fire elsker hændelser. Ikke fordi de er sjove, men fordi de afslører sandheden.

Fælles krav:

  • hændelser skal opdages
  • håndteres
  • dokumenteres
  • rapporteres
  • og bruges til forbedring

DORA er ekstra glad for test og scenarier.
NIS2 er glad for rapportering.
ISO 27001 vil have processen dokumenteret.
CRA vil vide, hvordan sårbarheder håndteres over tid.

Én moden incident-proces kan tilfredsstille dem alle.

Lag 5: Dokumentation og kontinuerlig forbedring

Her dør mange organisationer langsomt.

Ikke fordi dokumentation er svær, men fordi:

  • den bliver lavet for revisionens skyld
  • den bliver glemt bagefter
  • den ikke afspejler virkeligheden

En samlet model betyder:

  • ét sæt politikker
  • én risikometode
  • én hændelsesproces
  • én forbedringscyklus

Så kan du mappe kravene ovenpå, i stedet for at bygge nyt hver gang EU får en ny idé.

Hvordan ser det ud i praksis?

I praksis ender en moden organisation ofte med:

  • ISO 27001 som grundstruktur
  • CRA-krav indlejret i produktudvikling
  • NIS2-krav forankret i governance og rapportering
  • DORA-krav brugt som stress-test af driften

Ikke fire siloer. Ét system. Flere vinkler.

Typiske fejl (som du gerne vil undgå)

  • At starte med dokumentation før struktur
  • At lade compliance leve i IT alene
  • At undervurdere ledelsesansvar
  • At lave særskilte risikovurderinger for hvert regelsæt
  • At tro, at ISO 27001 “automatisk dækker” NIS2 og DORA

Det gør den ikke. Men den kan være fundamentet.

Konklusion: ét system slår fire projekter

CRA, NIS2, DORA og ISO 27001 er ikke fire forskellige verdener. De er fire perspektiver på det samme grundproblem:

“Hvordan sikrer vi, at digitale systemer og forretninger er robuste, ansvarlige og kontrollerbare?”

Hvis du samler dem i én model:

  • reducerer du kompleksitet
  • minimerer du dobbeltarbejde
  • får du bedre overblik
  • og står stærkere, næste gang der kommer endnu et direktiv

Det er ikke mere arbejde. Det er mindre rod. Og i compliance-verdenen er mindre rod faktisk en ret stor sejr.

Related Posts

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *