R2v3 vs NAID AAA vs NIST 800-88: Vad varje standard faktiskt täcker

Lästid: 6 Protokoll

Ditt upphandlingsteam godkänner en ny ITAD-leverantör, vars presentation innehåller tre logotyper för efterlevnad: R2v3-certifierad, NAID AAA-certifierad och NIST 800-88-kompatibel. 

Alla känner igen namnen och nickar. Presentatören säger “nästa bild”.” 

Månader senare frågar du vad som hände med data på din batch av gamla Micron 7450 MAX. Det är det ingen som vet. Leverantören har en grov idé men kan inte ge det konkreta svar du behöver.

Efterlevnad är inte en binär status. Du måste se bortom logotyperna för att säkerställa att efterlevnads- och säkerhetsstandarderna uppfyller dina behov. 

Tre standarder för att lösa tre olika problem

Låt oss börja med vanlig engelska:

Standard	Vad det är	Det hjälper till att bestämma ...	Vad den inte garanterar
NIST SP 800-88	Vägledning för sanering av media från NIST	Vilken saneringsmetod passar en medietyp och ett sekretessbehov	Huruvida en leverantör är certifierad, granskad eller har operationell disciplin
NAID AAA	Tredjepartscertifiering för leverantörer av tjänster för säker destruktion	Huruvida en destruktionsleverantör granskas mot säkerhets- och regleringsmässiga due diligence-förväntningar	Om leverantören kan driva ett bredare ITAD-, återanvändnings-, reparations- eller nedströmshanteringsprogram
R2v3	Certifieringsstandard för återanvändning, återvinning och ITAD-anläggningar för elektronik	Huruvida en anläggning arbetar inom ett bredare granskat ramverk för datasäkerhet, kontroller av kedjan nedströms, återanvändning och specialiserade processer	Huruvida varje R2-certifierad anläggning utför alla specialiseringar som du antar att den gör

NIST SP 800-88 är en vägledning, inte ett leverantörsmärke

NIST SP 800-88 är den federala vägledningen för sanering av media. I september 2025 publicerade NIST SP 800-88 Revision 2 och angav uttryckligen att den ersätter Revision 1. NIST beskriver publikationen som en vägledning för att hjälpa organisationer att bygga upp ett program för sanering av media med lämpliga tekniker och kontroller baserat på informationens känslighet.

NIST svarar på frågor som:	Den svarar inte på frågor som:
Vad måste saneringen åstadkomma? Hur ska metodvalet relatera till medietyp och risk? Vad bör ett program för mediesanering innehålla?	Är den här leverantören oberoende granskad? Kontrollerar denna anläggning sin nedströmskedja? Har denna operatör goda kontroller av spårbarhetskedjan i praktiken?

Om en leverantör säger “vi uppfyller NIST 800-88” och lämnar det där, vet du fortfarande inte vem som granskade dem. Du vet inte hur de dokumenterade arbetet eller om kontrollerna överlever efter saneringssteget.

NAID AAA handlar om säker verifiering av leverantör av destruktion

i-SIGMA beskriver NAID AAA som en tredjepartsverifiering som gör det möjligt för kunder att uppfylla due diligence-skyldigheter kring leverantörer av säker datadestruktion. I sitt eget kundinriktade material står det att certifieringen verifierar kvalifikationer genom ett schemalagt och oannonserat revisionsprogram, och det ramar in programmet som ett sätt att validera efterlevnad av regelverk och bästa praxis för säkerhet för förstörelseoperationer.

Det gör NAID AAA användbart när du behöver svar på frågor som:

Granskas verkligen den här leverantören av destruktion?

Upprätthåller de säkerhetskontroller under hantering, transport, lagring och destruktion?

Finns det någon meningsfull tillsyn utöver ett säljlöfte och ett glansigt certifikat?

Det är fortfarande ett svar på förstörelsetjänster, inte ett svar på en fullständig ITAD-arkitektur.

Om ditt projekt omfattar återanvändning, återförsäljning, test och reparation, överlämningar nedströms eller logisk sanering före ny marknadsföring, svarar NAID AAA inte automatiskt på dessa frågor bara för att det är starkt när det gäller att validera säker förstöring.

R2v3 är bredare och dess omfattning beror på bilagorna

R2v3 är en certifieringsstandard för återanvändning och återvinning av elektronik. Det bredare tillämpningsområdet är exakt varför köpare missbrukar det. De hör “R2-certifierad” och antar att det betyder att varje datasanering, återanvändning och nedströmsscenario täcks på samma sätt.

SERI: s egen vägledning säger att R2v3 innehåller specialiserade processbilagor eftersom inte alla certifierade anläggningar utför samma operationer.

Det finns 7 bilagor, men tre av dem har störst betydelse för denna diskussion:

Bilaga A: Omfattar kvalificering och hantering av återvinningskedjan nedströms.

Bilaga B: Omfattar rensning av logiska data och förbättrad fysisk rensning med ytterligare spårning, verifiering och kvalitetskontroller.

Bilaga C: Omfattar test och reparation för återanvändning.

Bilaga B gäller för anläggningar som utför logisk datasanering, t.ex. ITAD-verksamhet, och för anläggningar som söker en förbättrad nivå av fysisk sanering. Den krävs inte för metoder för fysisk förstöring som hanteras enligt R2:s kärnkrav och är i linje med NIST:s vägledning för mediesanering som det hänvisas till där.

Det finns också en revisionsrynka som köpare inte bör ignorera. NIST publicerade SP 800-88 Revision 2 i september 2025, men SERI: s publicerade R2v3-material hänvisar fortfarande till Revision 1 i kärnkravsvägen för fysiska förstöringsmetoder. Det finns väsentliga förändringar av element som kryptografiska raderings- och saneringsverktyg, men benen i riktlinjerna förblir desamma.

Det gör inte R2 oanvändbart. Det betyder att du bör fråga leverantören vilken NIST-revision och proceduruppsättning de använder idag istället för att anta att den riktar sig till den version du behöver.

Det betyder att “R2-certifierad” inte är hela meningen. Du behöver ett förtydligande:

• Vilka bilagor omfattas av tillämpningsområdet?
• Täcks nedströmskedjan av bilaga A?
• Finns Bilaga B med på certifikatet?
• Gäller bilaga C om leverantören åter sätter hårdvaran i produktion?

Om du inte har de svaren har du inte den säkerhet du behöver. 

Där köpare kan göra fel

Förvirringen på marknaden visar sig vanligtvis i tre förutsägbara misstag.

Misstag 1: Behandla NIST som en certifiering

NIST är det vägledande skiktet för metoder och program. Den talar om vad ett bra saneringsprogram måste åstadkomma. Det är inte ett tredjepartscertifikat.

 “Vi följer NIST” blir en ersättare för att förklara:

• Vilken revision de använder
• Vilka mediespecifika metoder de använder
• Hur de verifierar resultatet
• Vilka register de för
• Vem kontrollerar om något av detta är sant

✓ Du ska höra “NIST” och tänka:	✗ Man ska inte höra “NIST” och tänka:
Bra, visa mig nu programmet, dokumentationen och verifieringskedjan.	Problemet är löst.

Misstag 2: Att anta att varje R2-anläggning har samma djup för sanering av data

SERI anger att bilaga B är där R2v3 definierar logisk datasanering och förbättrad fysisk sanering. Det anges också att bilaga B rekommenderas för ITAD, returer och inbyten. Det kräver till och med att leverantörer skapar ett register över dem som torkar programvara för bevis på sanering. SERI säger också att bilaga B inte längre direkt förlitar sig på externa datasäkerhetsstandarder som NAID eller NIST 800-88 eftersom R2-standarden nu internt kontrollerar dessa krav.  

Om en anläggning endast utför fysisk destruktion enligt R2-huvudkraven kanske bilaga B inte krävs. Om anläggningen utför logisk sanering krävs bilaga B. SERI:s vägledning för tillämplighet säger det direkt.

Så när en leverantör säger att de är R2-certifierade ska du inte säga: “Bra, är vi täckta?” Nästa fråga är “visa mig certifikatets omfattning och bilagorna.” Det är så du får de detaljer du behöver. 

I SERI: s publicerade R2v3-ändringssammanfattning kräver bilaga B spårbarhetsregister för unika enhetsidentifierare genom saneringsprocessen. Det lägger också till starkare verifiering, kompetenskrav och mer robusta kontroller. I samma sammanfattning noterar SERI krav på videoövervakning med 60 dagars sparade inspelningar för områden där dataenheter tas emot, lagras eller skickas igenom.

Det är ett helt annat svar än ett generiskt “vi är R2-certifierade”.”

Misstag 3: Använda NAID AAA för att besvara frågor som den inte är byggd för att besvara

NAID AAA är starkt inom sina parametrar. i-SIGMA säger att det finns för att verifiera förstöringsleverantörer genom schemalagda och oannonserade revisioner.

Det innebär ändå inte att det är rätt verktyg för alla upphandlingsfrågor.

Ett intyg om destruktion säger inte detta automatiskt:

• Hur återanvändbara produkter kategoriseras
• Om arbetstillgångarna går igenom en kontrollerad återanvändningsväg
• Hur nedströmsleverantörer kvalificeras för icke-destruktion
• Huruvida test- och reparationsoperationer valideras
• Huruvida logisk sanering för återförsäljning ingår i ett bredare återanvändningsprogram

Om ditt projekt endast omfattar fragmentering kan NAID AAA ge dig många svar. Om ditt projekt är ett blandat ITAD-projekt med återförsäljning, återanvändning, rivning, revisionsrapportering och involvering av partner i senare led, behöver du mer än en destruktionslegitimation.

Rätt sätt att använda dessa standarder tillsammans

“Vilken standard är bäst?” är fel fråga att ställa. De fungerar i tandem, inte mot varandra. Rätt sätt att ifrågasätta standarden är genom att fråga: “Vilken fråga försöker jag besvara?”

Om din fråga handlar om saneringsmetod	Om din fråga handlar om säker destruktion - leverantörens tillsyn	Om din fråga handlar om bredare ITAD-styrning och kontroll av återanvändningsvägar
Börja med NIST SP 800-88. Det är där du grundar programlogiken:Vad sanering är tänkt att uppnåHur metodval spårar till medietyp och känslighetVilka kontroller hör hemma i saneringsprogrammet. Om en leverantör inte kan förklara sitt saneringsprogram i NIST-termer blir resten av samtalet snabbt skakigt.	Börja med NAID AAA. Det är där du får: TredjepartsvalideringSchedulerade och oannonserade revisionerDue diligence-stöd för val av destruktionsleverantörKontroller kring förvaring, transport, lagring och destruktion Om projektet i första hand är inriktat på förstörelse är detta en meningsfull skärm.	Börja med R2v3 och specificera sedan bilagorna. Det är där du frågar: Gäller bilaga A för kontroll av kedjan nedströms?Gäller bilaga B för logisk sanering eller förbättrad fysisk sanering?Gäller bilaga C om återanvändning och reparation ingår i programmet? Om leverantören säljer vidare, testar, sanerar för återanvändning eller dirigerar utrustning genom en flerstegskedja är samtalet om bilagan inte valfritt. Det är samtalet.

Vad du bör fråga innan du skriver under

Innan du godkänner en ITAD- eller destruktionsleverantör ska du ställa dessa fem frågor i tur och ordning:

1. NIST Revision: Vilka av era kontroller kommer från NIST SP 800-88, och vilken version använder ni idag?
2. NAID AAA Scope: Är er destruktionsverksamhet NAID AAA-certifierad, och vad exakt omfattas av den certifieringen?
3. R2v3 Bilagor: Är din anläggning R2v3-certifierad och vilka bilagor finns på certifikatet?
4. Bilaga B Bekräftelse: Om du utför sanering av logiska data för återanvändning eller återförsäljning, är du certifierad enligt bilaga B?
5. Nedströms kedja: Om utrustning lämnar din anläggning för ytterligare bearbetning, hur kvalificeras och spåras kedjan nedströms?

Dessa frågor gör två saker samtidigt. De tvingar säljaren att separat vägledning, certifiering och omfattning. De gör det också mycket svårare för någon att begrava en tunn operativ modell under en hög med logotyper och certifieringsnamn.

Köparmisstaget som skapar den största blinda fläcken

Misstaget är att anta att en namngiven standard gör att hela problemet kollapsar.

Det gör det inte.

NIST 800-88Berättar hur sanering bör tänkas igenom.

NAID AAAT Anger om en destruktionsleverantör genomgår en oberoende kontroll av säkerhets- och due diligence-förväntningar.

R2v3Berättar om en anläggning ingår i ett bredare certifierat ramverk för återanvändning, återvinning, datasäkerhet och specialiserade processkontroller - men bara i den utsträckning som certifikatets omfattning och bilagor faktiskt täcker de verksamheter du bryr dig om.

Om en leverantör säger att de är R2v3, NAID AAA och NIST 800-88 anpassade. Då är det bra. Det är inte längre mållinjen.

Nu vet du vad nästa steg är. Fråga dem:

Vilken av dem styr torkningen?	Vilken av dem styr fragmenteringen?
Vilken av dem styr handoff nedströms?	Förklara certifikatets omfattning. Utöka provuppgifterna.

Den säljare som kan svara på dessa frågor på ett tydligt sätt förstår skillnaden.