Hvordan internrevisjoner kan styrke cybersikkerheten.
1. Introduksjon
Cybersikkerhet er en sentral forutsetning for virksomheters evne til å levere stabile tjenester, ivareta sitt samfunnsoppdrag og opprettholde tillit hos brukere og interessenter. Fra 5. februar 2026 blir det tematiske kravet cybersikkerhet et obligatorisk krav i IPPF for alle bekreftelsesoppdrag. Kravet innebærer at internrevisjonen skal vurdere virksomhetens styring, risikohåndtering og kontrollprosesser knyttet til cybersikkerhet, uavhengig av sektor og modenhetsnivå.
Det tematiske kravet gir en felles minimumsstandard for vurdering av cyberrisiko. For norske virksomheter innebærer dette at internrevisjonen må se etter cybersikkerhet i langt flere prosesser enn før. Økende digitalisering, utstrakt bruk av skytjenester og komplekse leverandørkjeder gjør at cyberrisiko berører hele virksomheten, fra HR og økonomi til drift, kundebehandling og kritiske tjenester.
2. Praktiske råd for implementering
2.1 Obligatoriske krav og minimumskrav
Det tematiske kravet skiller mellom:
Obligatoriske krav:
Internrevisjonen skal vurdere styring, risikostyring og kontroller knyttet til cyberrisiko når temaet er relevant. Det innebærer å dokumentere hva som er vurdert, forklare eventuelle avgrensninger og bruke profesjonelt skjønn for å tilpasse omfanget.
Minimumskrav:
Internrevisjonen skal som et minimum undersøke om virksomheten har en struktur for styring av cybersikkerhet, om cyberrisiko håndteres systematisk, om sentrale kontroller fungerer, og rapportere funn på en forståelig måte.
Internrevisjonen kan gå dypere enn minimumskravene når risikoen tilsier det. Skjønnet skal være begrunnet og dokumentert.
2.2 Hva kravet innebærer
Selv om virksomheten allerede bruker rammeverk som NIST eller COBIT og selv om internrevisjonen allerede har revisjonsprogram basert på disse, må internrevisjonen likevel sikre at revisjonen dekker kravene i det tematiske kravet.
Internrevisjonen skal vurdere tre hovedområder:
- Styring: Finnes det en tydelig strategi, klare roller og oppdaterte retningslinjer?
- Risikostyring: Identifiseres og følges cyberrisiko opp på en systematisk måte?
- Kontrollprosesser: Er det etablert og testet kontroller som beskytter data, systemer og tjenester, inkludert hos leverandører?
Kravet gjelder både når cybersikkerhet er planlagt tema, når risiko oppdages underveis, og når internrevisjonen blir bedt om å vurdere området.
2.3 Praktiske trinn for etterlevelse
Trinn 1: Integrer cyberrisiko i revisjonsplanleggingen
- Inkluder cybersikkerhet i den årlige risikovurderingen.
- Vurder hvordan digitalisering og leverandørbruk påvirker risiko.
- Dokumenter hvilke deler av kravet som er relevante for hvert oppdrag.
Eksempel: En revisjon av anskaffelser kan avdekke at bestillingssystemet er skybasert og håndterer sensitiv informasjon. Da må internrevisjonen vurdere cyberrisiko knyttet til leverandørstyring og tilgangskontroller.
Trinn 2: Undersøk styring og ansvar
- Be om virksomhetens cyberstrategi.
- Sjekk om styret får regelmessig rapportering.
- Vurder om roller og ansvar er tydelig definert, særlig for informasjonssikkerhetssjefen.
Beste praksis: Virksomheter som lykkes har faste kvartalsvise rapporteringer til styret og en klar fordeling av ansvar mellom IT, sikkerhet, risikostyring og linjeledere.
Trinn 3: Vurder risikostyringen i praksis
- Undersøk hvordan virksomheten identifiserer og vurderer trusler.
- Se etter mekanismer for eskalering av hendelser.
- Vurder opplæring og bevisstgjøringstiltak.
Eksempel: En kommune som bruker mange eksterne leverandører bør ha en strukturert prosess for å vurdere leverandørenes sikkerhetsnivå og følge opp avvik.
Trinn 4: Test kontrollprosesser
- Undersøk kontroller for tilgangsstyring, patching, overvåking og beredskap.
- Test om kontrollene faktisk fungerer.
- Inkluder leverandørkontroller og tredjepartsrapporter.
Beste praksis:Internrevisjonen bør samarbeide med tekniske eksperter ved behov, men fortsatt eie vurderingen og konklusjonen.
Trinn 5: Dokumenter og rapporter tydelig
- Dokumenter hva som er vurdert og hvorfor.
- Unngå teknisk sjargong i rapporteringen.
- Gi konkrete anbefalinger som støtter virksomhetens mål.
Selv om virksomheten har gode styrings- og sikkerhetsrammeverk (NIST, COBIT osv.), er ikke dette automatisk det samme som å etterleve det tematiske kravet.
IPPF stiller egne krav, og disse må dekkes eksplisitt.
2.4 Tilpasning til ulike bransjer
| Bransje | Typiske utfordringer | Relevans |
| Finans | Strenge regulatoriske krav, høy digitalisering | Krever sterk styring og overvåking |
| Helse | Sensitive data, komplekse systemer | Fokus på tilgangsstyring og hendelseshåndtering |
| Industri/energi | OT‑systemer, kritisk infrastruktur | Vekt på beredskap og tekniske kontroller |
| Offentlig sektor | Mange brukere, begrensede ressurser | Behov for tydelig styring og opplæring |
| Handel | Kundedata, betalingssystemer | Fokus på leverandørstyring og overvåking |
3. Oppsummering
Det tematiske kravet cybersikkerhet gir internrevisjonen en tydelig og praktisk ramme for å vurdere cyberrisiko på en konsistent måte. For å etterleve kravet bør internrevisjonen:
- integrere cyberrisiko i planleggingen
- vurdere styring, risikostyring og kontroller systematisk
- dokumentere vurderinger og unntak tydelig
- rapportere funn på en forståelig måte
- sikre nødvendig kompetanse
Ved å følge disse prinsippene kan internrevisjonen bidra til tryggere virksomheter, bedre beslutningsgrunnlag og en mer robust digital motstandskraft, noe som er avgjørende i dagens trusselbilde.
Kilder:
theiia.org Cybersecurity Topical Requirement User Guide
theiia.org Cybersecurity Topical Requirement
