Er din virksomhed blevet underlagt krav om en ISAE 3402-erklæring?
Eller vil I have en ISAE 3402-erklæring for at styrke jeres branding overfor eksisterende og nye kunder? Så er vi din samarbejdspartner i processen. Uanset
om det er erklæringstype I eller II, samt hvilket sikkerhedsniveau der er tale
om, kan vi hjælpe din virksomhed før, under og efter erklæringsprocessen.
Mange virksomheder efterspørger i denne proces et klart billede af hvad de
mangler for, at kunne få en ISAE 3402-erklæring uden væsentlige anmærkninger
fra deres revisor. Der er flere måder at gribe processen an på og ikke to
virksomheder er ens.
De typiske arbejdsmetoder i processen før en revisionserklæring
af denne type er, at finde virksomhedens modenhedsniveau, hvilke udeståender
der er ift. revisorens kontrolmål samt hvordan jeres virksomhed får opbygget den
interne sikkerhedsorganisation og dokumentation her for.
En ISAE 3000-erklæring kan være om flere forskellige
områder, men typisk er det General Data Protection Regulation (GDPR) og
databeskyttelsesforordningen der er tale om. Kontrolmålene er formaliseret i et
samarbejde mellem Foreningen for Statsautoriserede Revisorer (FSR) og Datatilsynet.
Alt sammen på baggrund af databeskyttelsesforordningen fra 2018. Ligesom 3402-erklæringen
kan den udarbejdes med høj eller begrænset sikkerhed og som type I og II.
De typiske arbejdsmetoder i processen før en revisionserklæring
af denne type er, at finde virksomhedens modenhedsniveau. Derudover klarlægges udeståender ift. revisorens kontrolmål samt hvordan jeres virksomhed får opbygget jeres
interne sikkerhedsorganisation ift. persondatasikkerhed.
Information Security Management System (ISMS) er
grundlaget for enhver solid organisation med gennemsigtighed og indsigt i egne
arbejdsgange.
ISMS, eller ledelsessystemet for informationssikkerhed, indeholder alle de politikker,
procedurer, retningslinjer, tilhørende ressourcer og aktiviteter som
organisationen administrerer for, at styre og opretholde
informationssikkerheden.
Alle statslige myndigheder har skulle implementere ISO27001-standarden ligesom,
at regionerne skal efterleve den og kommunerne skal følge principperne. Når man
så kæder det samme med GDPR og informationssikkerhed, så vil alle leverandører
til ovenstående også være pålagt samme grad af niveau for sikkerheden, da myndighederne,
kommunerne og regionerne skal kunne redegøre for, hvordan de viderefører deres
sikkerhedsniveau til deres underleverandører.
Dette er særligt relevant i regi af ISAE 3402, ISAE 3000 (GDPR) og NIS2.
Næsten alle virksomheder skal have en opdateret fortegnelse
over, hvilke personoplysninger de behandler jf. databeskyttelsesforordningens
artikel 30. Fortegnelseskravet er tænkt som et bidrag til den samlede
dokumentation af, hvordan databeskyttelsesreglerne efterleves. Dette har til
formål at sikre, at den dataansvarlige danner sig det påkrævede overblik, for foruden dette overblik kan man kun i ringe grad bevise at have styr på ens virksomheds behandling af persondata.
Derudover skal GDPR være en løbende proces i en virksomhed. Det vil sige, at
man til hver en tid ajourfører ens dokumentation så den afspejler det reelle
billede af virksomheden. Dernæst skal man tilsikre, at GDPR efterleves i
praksis.
NIS2 er et direktiv udarbejdet af EU-kommisionen som 14. december 2022 blev godkendt af Europa Parlamentet. Dette har til formål at sikre infrastruktur og de samfundskritiske tjenester mod nedbrud og cybertrusler. Dette skal ske via et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af EU.
Vedtagelsen af direktivet betyder skærpede krav til cyber- og informationssikkerhed hos alle store organisationer, der leverer væsentlige eller vigtige tjenester til samfundet. Disse er inddelt i syv kategorier: energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhedspleje, drikkevandsforsyning og -distribution samt digitale infrastrukturer.
Derudover tilskyndes der til, at man som medlemsstat benytter europæiske og internationale standarder og tekniske specifikationer, der er relevante for sikkerheden i net- og informationssystemer. Dette kan f.eks. være ISO2700X eller NIST.
Små virksomheder, der har en omsætning på mindre end 10 mio. euro eller
færre end 50 ansatte, bliver som udgangspunkt ikke omfattet af lovgivningen.
Der er dog undtagelser, hvorfor virksomheder i de omfattede sektorer hurtigst
muligt bør få afklaret, hvorvidt de er omfattet af NIS2-direktivet.
Kilde: EUROPA-PARLAMENTETS
OG RÅDETS DIREKTIV (EU) 2022/2555 af 14. december 2022 om
foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele
Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv
(EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS
2-direktivet)