– Det har exploderat. Vi skriver många kontrakt i månaden för Iso 27001, säger Anna Vesterberg som är chef på Bureau Veritas Solution.
Intresset för Iso 27001 ökar – men revisorer saknas
SYSTEM Standarden Iso 27001 har funnits i nästan 20 år, men först nu ser certifieringsorganen ett verkligt intresse för den. Än så länge klarar de efterfrågan, men branschen står inför en utmaning: bristen på revisorer.
Någonting är fel
Läs vidare – starta din prenumeration
Iso 27001 är en internationell standard för informationssäkerhet som specificerar kraven för att upprätta, implementera, underhålla och ständigt förbättra ett ledningssystem för informationssäkerhet. 2005 publicerades standarden av International Organisation for Standardization och International Electrotechnical Commission, och huvudsyftet är att hjälpa organisationer skydda sin känsliga information och informationstillgångar.
Trots att standarden har funnits i nästan 20 år så är det först nu som intresset för informationssäkerhet har ökat, berättar flera certifieringsorgan.
– Historiskt sett har det varit mycket dataföretag som certifierats, men nu börjar det bubbla på andra håll, säger Carina Björsell som är teknisk chef på certifieringsorganet Qvalify.
Även Svensk Brand- och Säkerhetscertifiering, som precis ackrediterats mot Iso 27001, vittnar om ett ökat intresse.
– Redan innan ackrediteringen var klar förvånades vi över det stora antalet offertförfrågningar, säger Mårten Wallén som är vd.
Dels beskrivs det bero på mängden cyberattacker som har blottat organisationers sårbarhet. Men det sägs också bero på NIS2, EU:s uppdaterade direktiv om nät- och informationssäkerhet, som kommer att bli svensk lag nästa år.
”Revisorerna växer inte på träd”
Nu när intresset för Iso 27001 ökar så aktualiseras en utmaning inom certifieringsbranschen: bristen på revisorer med rätt kompetens. I dagsläget är det få revisorer i Sverige som har branschkoderna som krävs för att få certifiera företag mot Iso 27001.
Anna Vesterberg på Bureau Veritas berättar att det har hänt att företag ringt till dem och vill byta certifieringsorgan eftersom de inte får tid för Iso 27001-revisioner.
– Vissa certifieringsorgan verkar ha tagit på sig för stor kostym.
Flera certifieringsorgan delar idag på externa Iso 27001-revisorer, bland annat Qvalify och Rise.
Det skulle kunna bli en ordentlig flaskhals om ett stort antal företag vill certifieras samtidigt, beroende på antalet revisionsledare, säger Mårten Wallén.
– De här revisorerna växer inte på träd. De flesta i branschen konstaterar att det är svårt att hitta resurser med rätt kompetens inom informationssäkerhet, säger Carina Björsell på Qvalify.
Bureau Veritas däremot har gott om revisorer, berättar Anna Vesterberg.
– Vi har skaffat oss en bra pool.
Hur har ni lyckats med det?
– Vi har våra tentakler ute, och det är många som vill jobba hos oss.
Men för många andra certifieringsorgan i Sverige lär utmaningen kvarstå en tid.
– Revisorerna vet sitt värde. Om man är ung och funderar på vad man ska jobba med i framtiden så är det här ett bra alternativ, säger Mårten Wallén och fortsätter:
– Det enda vi vet med säkerhet är att kraven på informations- och cybersäkerhet kommer att öka. Det skulle kunna bli en ordentlig flaskhals om ett stort antal företag vill certifieras samtidigt, beroende på antalet revisionsledare.