ISAE 3000 Cyber – IT-revisorerklæring

FSR – danske revisorers cybersikkerhedsudvalg har i 2022 udformet en scope definition for, at godkendte revisorer kan teste kontroller hos en virksomhed vedrørende cyber-risici. Den kaldes dermed ISAE 3000 Cyber.

Erklæringen vil give virksomheder mulighed for at godkendt revisor attesterer og dermed kommunikerer deres håndtering af cyberrisici i forbindelse med deres cyberrisikostyring. Helt enkelt er denne erklæring en rapporteringsramme, som kan vise virksomhedens ledelse og interessenter, hvorvidt de implementerede kontroller relateret til cybersikkerhed fungerer.

De, der kender SOC2 erklæringer, som mange store serviceleverandører som Microsoft, Amazon og Google er i besiddelse af, vil delvist nikke genkendende til scoopet for den nye erklæring som i daglig tale vil blive kaldt: ”Uafhængig revisors ISAE 3000-erklæring med sikkerhed om cyberrisikostyring”. Eller på engelsk: ”Independent auditor’s ISAE 3000 assurance report on Cybersecurity Risk Management Program”.

Erklæringen er primært henvendt til virksomheder, som har en serviceleverance til sine kunder. Altså virksomheder, som fungerer som underleverandør til andre virksomheder, idet leverandørens kunder kan have et behov for at få indblik i leverandørens generelle styring af risici relateret til cybersikkerhed.

Afhængig af branche og segment er det efterhånden sædvanligt, at revisorerklæringerne ISAE 3402 og ISAE 3000 GDPR bruges i situationer, hvor en virksomhed er IT-leverandør til en anden virksomhed.

Erklæringen kan ligeledes være relevant for virksomheder, som af egen drift, ønsker at vise investorer og bestyrelse, hvilket sikringsniveau virksomheden har i forhold til cybersikkerhedsrisici.