Fra krav til kultur: Hvordan Telenor Cyberdefence bruker ISO 27001 som motor for forbedring

Fra krav til kultur: Hvordan Telenor Cyberdefence bruker ISO 27001 som motor for forbedring

I september 2025 ble Telenor Cyberdefence ISO 27001-sertifisert av Kiwa. For selskapet – som leverer døgnkontinuerlig overvåking, deteksjon og respons fra et norsk sikkerhetsoperasjonssenter (SOC) – er dette langt mer enn et sertifikat å henge på veggen. Sertifiseringen er blitt en forbedringsmotor: et ledelsessystem som gir felles språk, tydelige prioriteringer og målbar effekt på risiko.

– Det er fristende å spørre hvorfor vi valgte ISO 27001, men i vår bransje er det i praksis ikke et valg. Kundene forventer at dette er på plass. ISO 27001 er forutsetningen for tillit, sier André Schackt, CTO og CISO  i Telenor Cyberdefence.

Skyfødt sikkerhet – med full transparens for kundene

Telenor Cyberdefence ble etablert i 2024, skilt ut fra Telenor Norge og inn i Telenor Amp-porteføljen. Selskapet er «skyfødt» og bygget fra bunnen av på moderne, skalerbar teknologi – uten arv fra gamle systemer – og med en åpen leveransemodell. Selskapet kombinerer SOC/MDR-tjenester med rådgivning, sårbarhets- og eksponeringsstyring, etisk hacking og beredskap/incident response.

– Vi ønsket å bygge et moderne sikkerhetsmiljø uten arv fra gårsdagen. Mange sikkerhetstjenester oppleves som en «black box», der kundene ikke vet hva de betaler for. Det ville vi gjøre noe med. Kunden skal se hva vi leverer, hvorfor vi leverer det – og hvilken risiko som faktisk reduseres, sier Thomas Kronen, administrerende direktør i Telenor Cyberdefence.

Thomas Kronen, administrerende direktør i Telenor Cyberdefence, har en klar ambisjon: å posisjonere selskapet som den ledende nordiske leverandøren av cybersikkerhetstjenester. ISO 27001-sertifiseringen er et viktig fundament for vekst og tillit i markedet.

Kjernen er et sikkerhetsoperasjonssenter (SOC) som overvåker, avdekker og håndterer hendelser døgnet rundt, hele året. At SOC-en er 100 prosent norsk, det vil si lokalisert i Norge 24/7-365, med sikkerhetsklarert personell, trekkes frem som en trygghet for kunder med høye krav til datasuverenitet og etterlevelse. Vi har bevisst plassert SOC-en i Norge. For mange virksomheter er det avgjørende å vite hvor data behandles, og hvem som har tilgang, sier Kronen.

Den skyfødte plattformen muliggjør automatisering og konkurransedyktige priser – uten å gå på bekostning av kvalitet.

– Kost betyr mye for alle. Derfor skal du vite hva du betaler for, og hva du får igjen i redusert risiko og høyere trygghet, sier Kronen.

ISMS som gir struktur, tempo og dokumentert effekt

Teamet har utviklet et dynamisk ISMS (ledelsessystem for informasjonssikkerhet) som samler policyer, prosedyrer, systemer, eierskap og tiltak i ett helhetlig bilde. Kjernen er et årshjul for kontinuerlig forbedring: planlagte risikovurderinger, øvelser, leverandørrevisjoner, opplæring og ledelsens gjennomgang.

Læring fra hendelser og revisjoner går rett inn i handlingsplaner med ansvarliggjøring og frister. Slik kobles drift (SOC/MDR), støttefunksjoner og leverandørkjede til den samme styrte rytmen – og sikkerhetsnivået kan dokumenteres over tid.

– Jeg har stått på det ene allmøtet etter det andre med budskapet om ISMS-et vårt. Alle ansatte har vært involvert – ikke bare de i sikkerhet. Det er slik vi bygger kultur, eierskap og varig endring, sier Schackt.

Verktøyet ble laget for egne behov – men kan også tilbys til kunder som vil ha samme struktur, tempo og transparens i sitt sikkerhetsarbeid

Kiwa som partner: Revisjoner som skaper verdi

Veien til sertifikat var grundig og krevende – men opplevdes som konstruktiv fra start til slutt. Schackt innrømmer at flere ansatte var nervøse før møtet med revisorene. Ville dette bli en rigid kontrolløvelse? Frykten ble raskt gjort til skamme.

– Vi ble møtt av revisorer som kombinerte faglig tyngde med en profesjonell og imøtekommende stil. Det gjorde at vi senket skuldrene og gikk inn i samtalene med åpenhet, sier Schackt.

Han beskriver prosessen som en konstruktiv dialog:

– Det som imponerte oss, var at revisjonen ikke bare handlet om å finne avvik. Kiwa pekte på områder der vi kunne styrke ledelsessystemet ytterligere – og gjorde det på en måte som var konstruktiv og fremoverrettet. Vi gikk ut av møtene med konkrete forbedringspunkter og en følelse av at vi hadde lært noe.

CEO i Telenor Cyberdefence trekker frem at revisorene var løsningsorienterte og tydelige, og at de skapte en trygg atmosfære der spørsmål kunne diskuteres åpent.

– Vi sitter igjen med følelsen av at revisjon er verdiskaping. Prosessen gjorde oss bedre – og vi er på et bedre sted nå enn før sertifisering, sier Kronen.

André Schackt, CISO og CTO i Telenor Cyberdefence, har hatt en nøkkelrolle i å gjøre revisjonen til en læringsreise. Kiwas tilnærming bidro til å senke skuldrene og skape en åpen dialog om forbedringer.

Fra sertifikat til konkurransekraft

Telenor Cyberdefence viser at samsvar med ISO 27001 kan være langt mer enn et minimumskrav. Når standarden brukes som kompass, får du forankring i ledelsen, fart i forbedringene, tydelig dokumentasjon – og en leveransemodell kundene kan stole på.

Med Kiwa som akkreditert sertifiseringspartner er sertifiseringen godt forankret og følges opp gjennom jevnlige revisjoner som bekrefter etterlevelse og driver kontinuerlig forbedring.

– ISO 27001 er ikke et engangsstempel. For oss er det en forpliktelse til kontinuerlig forbedring. Sertifiseringen gir oss et solid fundament for hvordan vi utvikler tjenestene våre videre og samarbeider med kundene om å møte fremtidens sikkerhetsutfordringer, avslutter Kronen.

Når loven krever mer – og ISO 27001 viser hvordan

I et stadig mer krevende trusselbilde er det fortsatt for mange virksomheter som ikke prioriterer sikkerhet høyt nok – særlig der gammel infrastruktur bygger «teknisk gjeld» og der identitetssikring halter.

Samtidig skjerpes de regulatoriske kravene. Digitalsikkerhetsloven er trådt i kraft, og revideringen av denne – med implementering av NIS2 – er allerede i gang. Når kravene blir rettslig bindende, ser vi at flere organisasjoner i større grad begynner å prioritere sikkerhet – både i styrerommet, hos ledelsen og ute i linjen.

  • Digitalsikkerhetsloven pålegger styringssystem, løpende risikovurderinger, tiltak og varsling innen 24 timer for alvorlige hendelser hos virksomheter som leverer samfunnsviktige og utvalgte digitale tjenester. Loven trådte i kraft 1. oktober 2025, uten overgangsordning.
  • NIS2-direktivet er vedtatt i EU og vil skjerpe kravene ytterligere når det innføres i norsk rett, blant annet til styring, hendelseshåndtering, leverandørkjede og kontinuitet.

ISO 27001 utfyller myndighetskravene på en praktisk måte: Loven og direktivene definerer hva som skal oppnås, mens standarden gir metoden for å etablere og drifte et ISMS som leverer på disse målene.

En ISO 27001-sertifisering betyr at virksomheten har implementert sentrale prosesser og kontroller som svarer ut mange av kravene i Digitalsikkerhetsloven og NIS2 – og gir en dokumentert struktur for å bygge videre mot full etterlevelse.