ISAE 3402 vs SOC 2: hva er forskjellen, og hvilken trenger du?

Du ber en leverandør om dokumentasjon på sikkerheten deres, og får tilbake enten en ISAE 3402- eller en SOC 2-rapport. De ser like ut, forveksles ofte, og brukes om hverandre i dagligtale. Men de kommer fra ulike standarder, har ulikt fokus, og forteller deg ikke helt det samme. Vet du forskjellen, leser du rapporten raskere og stiller bedre oppfølgingsspørsmål.

Kort: hva er de?

ISAE 3402 (International Standard on Assurance Engagements 3402) er en internasjonal standard fra IAASB. Den er mye brukt i Europa og Norden, og handler om en tjenesteleverandørs kontroller, opprinnelig med vekt på kontroller som er relevante for kundenes finansielle rapportering.

SOC 2 kommer fra den amerikanske revisorforeningen AICPA og bygger på Trust Services Criteria: sikkerhet, tilgjengelighet, prosessintegritet, konfidensialitet og personvern. Den er mer eksplisitt sikkerhetsorientert og dominerer i USA og blant SaaS-leverandører.

Begge er uavhengige attestasjoner: en revisor vurderer leverandørens kontroller og avgir en rapport du som kunde kan bygge på, i stedet for å revidere leverandøren selv.

De viktigste forskjellene

Dimensjon	ISAE 3402	SOC 2
Opphav	IAASB (internasjonal)	AICPA (USA)
Hovedfokus	Kontroller relevante for kundens finansielle rapportering	Trust Services Criteria: sikkerhet, tilgjengelighet, integritet, konfidensialitet, personvern
Vanligst i	Europa og Norden	USA og SaaS-leverandører
Type I og II	Ja, begge	Ja, begge
CUECs	Ja	Ja

Type I og Type II: forskjellen som faktisk betyr noe

Uansett standard finnes rapporten i to typer, og dette er ofte viktigere enn selve valget mellom ISAE 3402 og SOC 2.

Type I beskriver hvordan kontrollene er designet på et gitt tidspunkt. Det er et øyeblikksbilde: kontrollene ser riktige ut på papiret.

Type II tester om kontrollene faktisk fungerte over en periode, typisk 6 til 12 måneder. Det er her den reelle tryggheten ligger. En Type I forteller deg at noen har tegnet kartet. En Type II forteller deg at noen har gått ruten.

For reell leverandørtrygghet vil du nesten alltid ha en Type II. Får du bare en Type I, er det et signal om at kontrollene ennå ikke er bevist i drift.

Hvilken trenger du?

Det korte svaret: den leverandøren faktisk har, så lenge den er Type II og scopet dekker tjenesten du bruker. Mange leverandører har bare én av dem. For finansforetak i EU og EØS er ISAE 3402 Type II vanlig og passer godt inn i DORA-sammenheng. For sikkerhetsorienterte, ofte amerikanske, SaaS-leverandører er SOC 2 Type II normen. Noen store leverandører har begge.

Det viktigste er ikke logoen på forsiden, men tre ting: at det er en Type II, at perioden er fersk, og at scopet omfatter nettopp den tjenesten du kjøper.

Det begge har til felles: CUECs

Både ISAE 3402 og SOC 2 inneholder komplementære brukerkontroller, CUECs: sikkerhetstiltak rapporten forutsetter at du som kunde har på plass selv. Leverandøren kan ha alt på stell på sin side, men hvis du ikke har implementert CUECs på din, er kjeden likevel brutt. CUECs er også den delen folk oftest hopper over når de leser rapporten. Vi har skrevet en egen guide til hvordan du faktisk leser en slik rapport.

Å lese begge er den samme jobben

Enten du får en ISAE 3402 eller en SOC 2, er utfordringen den samme: rapporten er på mange titalls sider, det meste er standardtekst, og verdien ligger i noen få avsnitt om scope, avvik og CUECs. Det er denne lesingen VendorGuard automatiserer. Vi trekker ut funnene, scopet og de komplementære kontrollene på rundt 60 sekunder, uansett hvilken av de to standardene rapporten følger.

---

Denne artikkelen er ment som generell veiledning, ikke juridisk rådgivning. Konkrete vurderinger bør gjøres sammen med kvalifisert compliance- og juridisk kompetanse.