Et dypdykk i IT-sikkerhet og ISO 27001

I en stadig mer digitalisert verden er IT-sikkerhet en forutsetning, for å beskytte kritiske data og sikre virksomheters kontinuitet. Norge, som en av verdens ledende digitale nasjoner, står overfor økende cybertrusler og avanserte angrep fra statlige og ikke-statlige aktører. 

 

Trusselvurderingene for 2025 fra Nasjonal sikkerhetsmyndighet (NSM), Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten (E-tjenesten) viser en økt digital trussel. Det er nå større risiko for statlige cyberoperasjoner, digital spionasje, sabotasje og desinformasjonskampanjer.  


- For å møte disse utfordringene bør norske virksomheter investere i gode sikkerhetsrammeverk som ISO 27001. Dette vil hjelpe dem med å beskytte viktige systemer mot angrep, trusler og sabotasje, sier Markus Moss, teamleder for informasjonssikkerhet. 

Økende trusler mot norsk digital infrastruktur 

De norske sikkerhetsmyndighetenes trusselvurderinger for 2025 peker ut flere sannsynlige angrepsvektorer: 

  • Cyberoperasjoner fra statlige aktører: NSM og E-tjenesten varsler om at statlige aktører, særlig fra Russland, Kina, Iran og Nord-Korea, vil fortsette sine forsøk på å infiltrere norske virksomheter.
  • Forsyningskjedeangrep: PST advarer om at virksomheter med svake sikkerhetstiltak i forsyningskjeden blir attraktive mål, ettersom angripere kan utnytte tredjepartsleverandører for å få tilgang til større systemer.
  • Desinformasjon og hybridkrigføring: Etterretningstjenesten peker på at digitale angrep ofte kombineres med påvirkningsoperasjoner for å svekke tilliten til norske myndigheter og demokratiske prosesser.  

- Norske virksomheter må forstå at trusselbildet ikke lenger er en abstrakt risiko – det er en konkret utfordring. ISO 27001 gir et robust rammeverk for å sikre at organisasjoner har kontroll over sine verdier og beskytter seg mot stadig mer sofistikerte cyberangrep, beskriver Moss.  

 

IT-sikkerhetssertifisering: En vei til trygghet og kompetanse 

For å møte økende cybertrusler investerer flere norske virksomheter i IT-sikkerhetssertifiseringer som CISSP, CISM og CCSP, som gir kompetanse til å håndtere avanserte trusler. ISO 27001 er den mest anerkjente standarden for informasjonssikkerhet og hjelper virksomheter med å redusere risiko for cyberkriminalitet og datainnbrudd. 

- Det er ikke lenger nok med gode sikkerhetsprodukter – virksomheter må ha en helhetlig strategi. En ISO 27001-sertifisert organisasjon viser kunder og partnere at informasjonssikkerhet tas på alvor, sier Moss. 

ISO 27001 og andre relevante rammeverk 

Selv om ISO 27001 er en grunnleggende sikkerhetsstandard, bør den sees i sammenheng med andre viktige rammeverk: 

  • ISO/IEC 27701 kommer som en ny versjon sommeren 2025. Dette var tidligere en del av ISO 27001. Nå er det en egen standard som fokuserer på systemer for personvern. Denne standarden vil bli essensiell for virksomheter som må etterleve GDPR og andre personvernforordninger, og Kiwa vil være en av de første i Norge til å tilby sertifisering etter denne standarden.
  • ISO/IEC 42001: Den første internasjonale standarden for styringssystemer for kunstig intelligens (AI), som sikrer at AI-systemer utvikles, implementeres og brukes på en ansvarlig og sikker måte. Kiwa vil også i løpet av høsten 2025 kunne tilby sertifisering i henhold til standarden. 

- Ved å kombinere ISO 27001 med ISO 27701 og ISO 42001 kan virksomheter oppnå en mer helhetlig sikkerhetsstrategi som dekker både informasjonssikkerhet, personvern og kunstig intelligens, forteller Moss videre. 

NIS2-direktivet og ISO 27001 som compliance-verktøy 

NIS2-direktivet setter skjerpede krav til sikkerhet i kritisk infrastruktur og digitale tjenester i EU- og EØS-landene. Direktivet stiller krav til blant annet: 

  • Risikovurdering og styring
  • Hendelsesrapportering
  • Forsyningskjede-sikkerhet 

For norske virksomheter vil ISO 27001 være et naturlig compliance-verktøy for å oppfylle NIS2-kravene, da standarden allerede dekker mange av de samme sikkerhetskontrollene som direktivet foreskriver. 

Les mer om NIS2-gap analyse her 

Kommersiell oppside  

Med en stadig mer kompleks og truende digital hverdag vil norske virksomheter som tar ansvar for egen cybersikkerhet skille seg positivt ut. Med de økende trusselvurderingene fra NSM, PST og E-tjenesten, er det viktig å ha gode prosesser. Dette kan sikre virksomheter store verdier. Det kan også gi besparelser sammenlignet med andre bedrifter som er uforberedte.    

- Digital sikkerhet handler ikke bare om teknologi det handler om å bygge en kultur hvor sikkerhet er en del av virksomhetens DNA. Investering i standarder som ISO 27001 og ISO 27701 er en investering i fremtiden. Samtidig så kan man også tillegge en høy kommersiell verdi i å investere i sertifiseringer og tilsvarende schemes , avslutter Moss 

Les mer om ISO 27001 sertifisering og ISMS her