NYHEDER

Ny revisorerklæring om cybersikkerhed

Martin Brogaard Nielsen
By:
insight featured image
Contents

FSR - danske revisorer har lanceret en ny revisorerklæring, som hjælper virksomheder med at attestere og dermed kommunikere deres håndtering af cyberrisici i forbindelse med deres cyberrisikostyring. Helt enkelt er den nye erklæring en rapporteringsramme, som kan vise virksomhedens ledelse og interessenter, hvorvidt de igangsatte kontroller relateret til cybersikkerhed fungerer.

Igennem årene har mange virksomheder, som driver en IT-hostingydelse, en webapplikation eller en anden ydelse som serviceleverandør, fået udarbejdet en ISAE 3402 erklæring baseret på ISO 27002. Erklæringen viser deres kunder, at der er strukturerede processer i forbindelse med den pågældende ydelse. Tilsvarende er der mange virksomheder, som er databehandlere for andre, der har fået udarbejdet en ISAE 3000 GDPR erklæring for at vise, at den pågældende ydelse sker efter den aftalte instruks nævnt i databehandleraftalen mellem databehandler og dataansvarlig.

De, der kender SOC2 erklæringer, som mange store serviceleverandører som Microsoft, Amazon og Google er i besiddelse af, vil delvist nikke genkendende til scoopet for den nye erklæring som i daglig tale vil blive kaldt: ”Uafhængig revisors ISAE 3000-erklæring med sikkerhed om cyberrisikostyring”. Eller på engelsk: ”Independent auditor’s ISAE 3000 assurance report on Cybersecurity Risk Management Program”.

Erklæringen forventes at være interessant for virksomheder, som har en serviceleverance til sine kunder. Altså virksomheder, som fungerer som underleverandør til andre virksomheder, idet leverandørens kunder kan have et behov for at få indblik i leverandørens generelle styring af risici relateret til cybersikkerhed. Afhængig af branche og segment er det efterhånden sædvanligt, at revisorerklæringerne ISAE 3402 og ISAE 3000 GDPR bruges i situationer, hvor en virksomhed er IT-leverandør til en anden virksomhed. Erklæringen kan ligeledes være relevant for virksomheder, som af egen drift, ønsker at vise investorer og bestyrelse, hvilket sikringsniveau virksomheden har i forhold til cybersikkerhedsrisici.

Har du spørgsmål til den nye revisorerklæring om cybersikkerhed, så tøv ikke med at tage fat i os.