ENISA EUVD 2026: ISO 27001 за NIS2 и CRA
08:17 е във вторник през 2026 г. Maria, CISO на бързоразвиваща се финтех SaaS платформа, получава два сигнала в рамките на минути. Първо SOC публикува предупреждение от Базата данни на ЕС за уязвимости на ENISA в канала за инциденти. Засегнатият компонент не е директно в собствената кодова база на Maria. Той се намира в SDK за автентикация от трета страна, вграден в мобилно приложение, поддържано от партньор за външна разработка.
След това изследовател по сигурността изпраща имейл до публичния контакт по сигурността със заглавие: “Vulnerability Disclosure - Your SaaS Product”. Изследователят твърди, че при конкретни условия дефектът може да разкрие некритични клиентски метаданни.
Няма потвърден пробив. Нито един клиент не е докладвал вреда. Таблото на скенера не е в червено. Но въпросите възникват незабавно.
Експонирани ли сме? Кои клиентски платформи използват SDK? Това значим инцидент по NIS2 ли е, ИКТ-свързан инцидент по DORA, нарушение на сигурността на личните данни по GDPR или проблем със сигурността на продукт съгласно Cyber Resilience Act? Трябва ли да уведомим доставчик, клиент, компетентен орган или ENISA? И най-важното: можем ли да докажем кога сме узнали?
Точно тук много организации установяват, че разузнавателната информация за уязвимости не е проблем на информационния поток. Тя е проблем на оперативния модел.
ENISA EUVD ще се превърне в практически ориентир за разузнавателна информация за уязвимости в ЕС, координирано оповестяване на уязвимости и прозрачност относно сигурността на продуктите. Но самата база данни няма да каже на Maria дали засегнатата услуга попада в обхвата на NIS2, дали DORA се прилага поради дейности във финансовите услуги, дали е вероятно излагане на лични данни или дали се задейства готовност за докладване по CRA. Тези решения трябва да се вземат в рамките на управлявана, документирана и одитируема система за управление на информационната сигурност.
Подходът на Clarysec е EUVD да бъде въведена в оперативна употреба чрез управление по ISO/IEC 27001:2022, внедряване на контроли по ISO/IEC 27002:2022, ясно определена собственост върху политиките и доказателства за кръстосано съответствие. Целта не е да се създаде още една електронна таблица, наречена “EUVD tracker”. Целта е да се изгради защитим модел за разузнавателна информация за уязвимости и докладване, който издържа на въпроси от регулатори, клиентски одити, сертификационни одити по ISO 27001 и преглед от управителния съвет.
Защо ENISA EUVD променя управлението на уязвимостите през 2026 г.
Години наред много екипи по сигурността разглеждаха разузнавателната информация за уязвимости като вход към процеса по прилагане на корекции. Появява се CVE, скенер открива експозиция, операциите внедряват корекция и билетът се затваря. Този модел вече не е достатъчен за регулираните в ЕС организации.
NIS2 пренася управлението на риска за киберсигурността в сферата на корпоративното управление. Article 20 изисква органите на управление на съществени и важни субекти да одобряват мерките за управление на риска за киберсигурността, да упражняват надзор върху внедряването и да получават обучение по киберсигурност. Article 21 изисква пропорционални технически, оперативни и организационни мерки, включително политики, обработване на инциденти, непрекъснатост на дейността, сигурност на веригата на доставки, сигурно придобиване и поддръжка, обработка и оповестяване на уязвимости, оценка на ефективността, киберхигиена, криптография, сигурност в областта на човешките ресурси, контрол на достъпа, управление на активите и, когато е подходящо, многофакторна автентикация или непрекъсната автентикация.
Article 23 добавя поетапно докладване за значими инциденти, включително ранно предупреждение в рамките на 24 часа от узнаването, уведомление за инцидент в рамките на 72 часа и окончателен доклад в рамките на един месец. Ако предупреждение от EUVD се превърне в експлоатирано прекъсване на услуга, организацията се нуждае от доказателства за узнаване, първоначална оценка, оценка на въздействието, смекчаване и решения за докладване.
DORA създава паралелен, но секторно специфичен режим за финансовите субекти. Той изисква вътрешни механизми за управление и контрол на ИКТ риска, отчетност на органите на управление, процеси за управление на инциденти, управление на ИКТ риска от трети страни, тестване, устойчивост, договорни контроли и докладване на съществени ИКТ-свързани инциденти по DORA Article 19. За финансовите субекти в обхвата DORA функционира като секторно специфична рамка за ИКТ риск и докладване на инциденти.
GDPR добавя още едно измерение. Ако експлоатирането може да причини неоторизиран достъп, разкриване, загуба, изменение или унищожаване на лични данни, процесът за уязвимости трябва да бъде свързан с оценка на нарушение на сигурността на личните данни. Принципът на отчетност по GDPR означава, че администраторът трябва да демонстрира съответствие, а не само да твърди, че е действал разумно.
Cyber Resilience Act превръща обработката на уязвимости и координираното оповестяване в задължение за сигурност на продукти с цифрови елементи. Той също така създава очаквания за докладване на активно експлоатирани уязвимости и тежки инциденти по сигурността, когато е приложимо. Дори когато окончателното правно решение за докладване изисква специализиран преглед, оперативните доказателства са доказателства по сигурността: засегнат продукт, засегната версия, експлоатируемост, смекчаване, статус на оповестяване, въздействие върху клиента, координация с доставчици и хронология.
След като дадена уязвимост стане публично видима чрез EUVD, одиторите и регулаторите могат да попитат защо тя не е оценена, защо засегнатите активи не са идентифицирани, защо доставчиците не са били потърсени или защо докладването не е било разгледано. Най-силните организации ще могат да отговорят с доказателства на шест въпроса:
- Кои предупреждения от EUVD са релевантни за нас?
- Кои активи, продукти, доставчици и клиенти са засегнати?
- Кой е собственик на решението?
- Какъв срок за отстраняване или смекчаване се прилага?
- Кога обработката на уязвимост се превръща в докладване на инцидент?
- Как доказваме приключването и управленския надзор?
Основата на ISO 27001:2022 за доказателства по EUVD
ISO/IEC 27001:2022 е естественият гръбнак на системата за управление при въвеждане на EUVD в оперативна употреба, защото започва с контекст, заинтересовани страни, обхват, риск и доказателства.
Клаузи 4.1 до 4.4 изискват организацията да определи вътрешни и външни въпроси, заинтересовани страни, правни, регулаторни и договорни изисквания, обхват на СУИС, интерфейси и зависимости. За готовност за EUVD обхватът на СУИС не може да спира до вътрешните сървъри. Той трябва да разглежда SaaS продукти, облачни услуги, външна разработка, доставчици на управлявани услуги, ИКТ доставчици, клиентски ангажименти, регулаторни задължения и очаквания за уязвимости на продукти.
Клаузи 5.1 до 5.3 изискват лидерство, съгласуване на политиките, ресурси, комуникация, отчетност и отговорности за докладване. Тук висшето ръководство приема, че разузнавателната информация за уязвимости не е техническа любезност. Тя е сигнал за бизнес риск.
Клаузи 6.1.1 до 6.1.3 предоставят механизма за оценка на риска, третиране на риска, избор на контроли, сравнение с Приложение A, Декларация за приложимост, одобрение на остатъчния риск и планиране на третирането. Когато запис в EUVD засяга средата, реакцията трябва да задейства повторяем процес за риск, който свързва засегнатите активи, вероятността, въздействието, съществуващите контроли, вариантите за третиране и одобрението от собственика на риска.
Клаузи 8.1 до 8.3 и 9.1 до 9.3 превръщат този модел в оперативен цикъл. Организациите трябва да планират и контролират процесите на СУИС, да съхраняват документирана информация, да контролират външно предоставени процеси, да преоценяват рисковете, да изпълняват планове за третиране на риска, да наблюдават и измерват резултатността, да провеждат вътрешни одити и да извършват прегледи от ръководството.
На практика Clarysec картографира EUVD в три слоя:
| Слой | Цел по ISO 27001:2022 | Оперативен въпрос за EUVD | Доказателствен артефакт |
|---|---|---|---|
| Управление | Обхват, заинтересовани страни, отчетност, правни задължения | Идентифицирани ли са очакванията по NIS2, DORA, GDPR, клиентските очаквания и очакванията, свързани с CRA? | Обхват на СУИС, правен регистър, матрица на ролите, одобрения на политики |
| Риск и контроли | Оценка на риска, третиране, Декларация за приложимост | Релевантна ли е уязвимостта, приоритизирана ли е и възложена ли е? | Запис за риск от уязвимост, картографиране към SoA, план за третиране |
| Уверение | Мониторинг, вътрешен одит, преглед от ръководството | Можем ли да докажем своевременна реакция и подобрение? | Журнали на корекциите, доказателства от доставчици, решения по инциденти, одитни констатации, протоколи от прегледи от ръководството |
Ключовият принцип е прост. Предупрежденията от EUVD трябва да се превръщат в записи в СУИС, а не в неформални съобщения в чат, които изчезват след внедряване на корекцията.
Наборът от контроли по ISO 27001, който прави EUVD приложима
Най-важните контроли от Приложение A на ISO/IEC 27001:2022 за операциите с EUVD са 5.7 Разузнаване за заплахи, 8.8 Управление на техническите уязвимости, 5.21 Управление на информационната сигурност във веригата на доставки на ИКТ и 5.31 Правни, законови, регулаторни и договорни изисквания.
Clarysec ги картографира чрез Zenith Controls: Ръководство за кръстосано съответствие Zenith Controls, което служи като компас за кръстосано съответствие за ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST CSF и планиране на доказателства за одит.
Картографирането в Zenith Controls за контрол 5.7 от ISO/IEC 27002:2022, Разузнаване за заплахи, го определя като превантивен, откриващ и коригиращ контрол, поддържащ поверителност, цялостност и наличност и съгласуван с концепциите Identify, Detect и Respond в киберсигурността. Оперативната му способност е управление на заплахи и уязвимости, с домейни на сигурността защита и устойчивост.
Картографирането в Zenith Controls за контрол 8.8 от ISO/IEC 27002:2022, Управление на техническите уязвимости, го определя като превантивен контрол, поддържащ поверителност, цялостност и наличност и съгласуван с Identify и Protect. Оперативната му способност е управление на заплахи и уязвимости, а домейните му за сигурност включват управление, екосистема, защита и отбрана.
Картографирането в Zenith Controls за контрол 5.21 от ISO/IEC 27002:2022, Управление на информационната сигурност във веригата на доставки на ИКТ, го определя като превантивен контрол, поддържащ поверителност, цялостност и наличност и съгласуван с Identify. Оперативната му способност е сигурност на взаимоотношенията с доставчици, с домейни управление, екосистема и защита.
Zenith Blueprint: 30-стъпкова пътна карта за одитора Zenith Blueprint също подчертава контрол 5.31 в стъпка 23, Правни, законови, регулаторни и договорни изисквания:
Сигурността не съществува във вакуум. Тя функционира в мрежа от задължения — някои определени от закона, други от договори, а трети от секторно специфична регулация.
Това е управленският мост между EUVD и регулаторното докладване. Записът за уязвимост може да започне като разузнавателна информация за заплахи, да се превърне в билет за техническа уязвимост, да задейства сътрудничество с доставчик и след това да стане решение за инцидент или правно уведомление.
| Контрол по ISO/IEC 27002:2022 | Роля на EUVD | Поддържащ механизъм по ISO 27001:2022 | Релевантност за кръстосано съответствие |
|---|---|---|---|
| 5.7 Разузнаване за заплахи | Приемане на разузнавателна информация от EUVD, CERT, доставчици и секторни източници, след което контекстуализирането ѝ | Клаузи 4, 6, 8 и 9 за обхват, риск, операции и преглед | Мерки за риск по NIS2, NIST CSF Identify и Detect, осведоменост за заплахи и инциденти по DORA |
| 8.8 Управление на техническите уязвимости | Валидиране на експозицията, определяне на степен на сериозност, отстраняване или смекчаване, документиране на приключването | Третиране на риска, оперативен контрол, мониторинг и съхранение на доказателства | Обработка на уязвимости по NIS2, процес за продуктови уязвимости по CRA, управление на уязвимостите по NIST CSF |
| 5.21 Управление на информационната сигурност във веригата на доставки на ИКТ | Проследяване на засегнати доставчици, договорни задължения, отстраняване от доставчик и доказателства | Външно предоставени процеси, третиране на риска от доставчици, преглед от ръководството | Сигурност на веригата на доставки по NIS2, ИКТ риск от трети страни по DORA, NIST CSF GV.SC |
| 5.31 Правни, законови, регулаторни и договорни изисквания | Картографиране на задълженията по NIS2, DORA, GDPR, CRA, клиентските и секторните задължения към процедури | Заинтересовани страни, правен регистър, третиране на риска, вътрешен одит и преглед от ръководството | Регулаторна отчетност, готовност за одит, клиентско уверение и надзор от управителния съвет |
Затова EUVD не трябва да се третира като пореден информационен поток. Тя е точка за интегриране на контроли.
Моделът на политики на Clarysec: от предупреждение до отчетно решение
Зрелият оперативен модел за EUVD се нуждае от език в политиките, който казва на екипите какво да правят преди първото критично предупреждение.
Политика за управление на уязвимости и корекции на Clarysec Политика за управление на уязвимости и корекции дава на корпоративните екипи ясен мандат за мониторинг и ескалация:
Наблюдавайте съобщения за заплахи (напр. CVE, CISA KEV, бюлетини от доставчици) и ескалирайте критичните уязвимости.
Същата политика изисква централна доказателствена база:
Централизиран Регистър на уязвимостите трябва да се поддържа от екипа по операции по сигурността и да се преглежда ежемесечно от CISO или делегиран орган.
За малки и средни предприятия Политика за управление на уязвимости и корекции - SME на Clarysec Политика за управление на уязвимости и корекции - SME прави модела на източниците изричен, като включва:
Доверени съобщения за разузнавателна информация за заплахи (напр. CISA, ENISA, предупреждения от национални CERT)
Тя също така запазва одитната следа:
Журнал на корекциите трябва да се поддържа и преглежда по време на одити и дейности по реагиране при инциденти
Тези клаузи предотвратяват често срещан отказ. Ако пристигне предупреждение от EUVD и никой не знае дали то принадлежи в регистър на уязвимостите, опашка за инциденти, инструмент за проследяване на доставчици или правна оценка, организацията губи време. Езикът на политиката прави първата стъпка автоматична.
Измерението CVD се обработва чрез Политика за координирано оповестяване на уязвимости на Clarysec Политика за координирано оповестяване на уязвимости, която предоставя процеса за приемане, потвърждение, оценка на сериозността и валидиране:
При получаване на доклад VRT трябва да го регистрира и да изпрати потвърждение до докладващото лице в рамките на 2 работни дни, като присвои референтен номер за проследяване. VRT трябва да извърши предварителна оценка на сериозността, например чрез CVSS оценяване, и да валидира проблема, включително с подкрепа от ИТ и развойни екипи, когато е необходимо, в целеви срок от 5 работни дни. Критичните уязвимости, като тези, които позволяват отдалечено изпълнение на код или съществено нарушение на сигурността на данните, трябва да се обработват приоритетно.
Тя също така свързва уязвимостите от трети страни със сътрудничество с доставчици:
За всяка потвърдена критична или високорискова уязвимост CISO трябва незабавно да информира висшето ръководство и съответните собственици на системи. Когато уязвимостта засяга продукти или услуги, предоставени от доставчик или друга трета страна, VRT трябва да уведоми контакта по сигурността на доставчика без неоправдано забавяне и да потърси сътрудничество за отстраняване.
Политика за изискванията за сигурност на приложенията - SME на Clarysec Политика за изискванията за сигурност на приложенията - SME засилва очакванията към продукти и доставчици, като изисква екипите да:
определят задължения за оповестяване на уязвимости, срокове за реакция и прилагане на корекции.
За договори с доставчици Политика за сигурност на трети страни и доставчици - SME на Clarysec Политика за сигурност на трети страни и доставчици - SME включва:
Срокове за уведомяване при нарушение на сигурността на данните (напр. в рамките на 24-72 часа)
Накрая Политика за реагиране при инциденти на Clarysec Политика за реагиране при инциденти свързва регулираните данни и секторното докладване с решението за инцидент чрез клауза 6.4.1:
| Клауза от политиката | Област на докладване или оценка | Практическа релевантност за EUVD |
|---|---|---|
| 6.4.1.1 | GDPR Article 33, 72-часово уведомяване на надзорния орган | Оценка дали експлоатирането е причинило нарушение на сигурността на личните данни |
| 6.4.1.2 | GDPR Article 34, уведомяване на субектите на данни при висок риск | Оценка дали засегнатите лица трябва да бъдат информирани |
| 6.4.1.3 | NIS2 Article 23, срокове за докладване на значими инциденти | Оценка на задълженията за ранно предупреждение, 72-часово уведомление и окончателен доклад |
| 6.4.1.4 | DORA Article 17 управление на инциденти и DORA Article 19 докладване на съществени ИКТ-свързани инциденти | Оценка на класификацията и докладването на инциденти във финансовия сектор |
Версията за SME запазва същия практически тригер. Политика за реагиране при инциденти - SME на Clarysec Политика за реагиране при инциденти - SME посочва:
Когато са засегнати клиентски данни, управителят трябва да оцени правните задължения за уведомяване въз основа на приложимостта на GDPR, NIS2 или DORA.
Това е мостът между „видяхме уязвимост“ и „оценихме дали тя подлежи на докладване“.
Практически запис за приемане на EUVD
Да приемем, че EUVD публикува или актуализира запис за уязвимост, засягаща SDK за автентикация в мобилното приложение на Maria. SDK се поддържа от доставчик, интегриран е от партньор за външна разработка и се използва от клиенти, които се автентикират към финтех SaaS продукт. Има публично обсъждане на експлойт, но няма потвърдено експлоатиране в журналите на клиентските среди.
Защитимият запис за приемане трябва да обхваща както техническия, така и регулаторния контекст.
| Поле | Примерен запис | Защо е важно |
|---|---|---|
| Времеви маркер на узнаването | 2026-02-10 08:17 CET, предупреждение от EUVD съпоставено от SOC анализатор | Подпомага анализа на хронологията за докладване и доказателствата за одит |
| Източник | ENISA EUVD, съобщение от доставчик, кръстосана препратка от национален CERT, доклад от изследовател | Показва доверен източник на разузнавателна информация и корелация |
| Засегнат актив | Модул за автентикация в клиентско мобилно приложение, SDK версия 4.8.2 | Свързва уязвимостта със собственост върху продукт и услуга |
| Зависимост от доставчик | Доставчик на SDK и партньор за външна мобилна разработка | Задейства контакт с доставчик и договорни доказателства |
| Класификация на данни | Клиентски идентификатори, токени за сесии, възможни лични данни | Свързва се с GDPR и оценката на въздействието на инцидент |
| Първоначална сериозност | Критична до валидиране, прегледани CVSS и въздействие върху бизнеса | Подпомага приоритизацията и ескалацията |
| Контекст на заплахата | Публично обсъждане на експлойт, без потвърдено експлоатиране в журналите | Разграничава експозицията на уязвимост от потвърждението за инцидент |
| Оценка по NIS2 | Потенциално въздействие върху услугата, без потвърдено прекъсване към момента | Запазва логиката на решението за ескалация по Article 23 |
| Оценка по DORA | Приложимо, ако услугата поддържа обхват на финансов субект или критични функции | Предотвратява дублирано или пропуснато секторно докладване |
| Оценка по CRA | Задействан процес за продуктова уязвимост за преглед на приложимостта | Свързва задълженията за продуктова сигурност с доказателствата за уязвимост |
| Третиране | Надграждане на SDK, принудителна ротация на токени, засилен мониторинг, потвърждение от доставчик | Създава план за отстраняване и смекчаване |
| Остатъчен риск | Приет от собственик на система за 48-часов прозорец за внедряване | Показва собственост върху риска и компенсиращи контроли |
| Доказателства за приключване | Журнал на корекциите, билет за разгръщане, удостоверение от доставчик, резултат от сканиране, актуализация за ръководството | Създава готови за одит доказателства |
Този запис не е украса за съответствие. Той е контролният център за решенията.
Практическият процес изглежда така:
- SOC получава предупреждението от EUVD и създава запис за уязвимост.
- Собственикът на актива потвърждава дали засегнатият компонент съществува в продукционна среда.
- Екипът по сигурността извършва оценка на сериозността, като използва техническа сериозност, експлоатируемост, експозиция, чувствителност на данните и критичност на услугата.
- Собственикът на взаимоотношението с доставчика се свързва с доставчика на SDK или партньора за външна разработка чрез предварително определени контакти по сигурността.
- Ръководителят на реагирането при инциденти решава дали има доказателства за експлоатиране, въздействие върху услуга или вреда за клиента.
- Правният отдел, DPO и функцията по съответствие оценяват дали се задействат процеси по GDPR, NIS2, DORA или CRA.
- Инженерният екип внедрява корекцията или мярката за смекчаване.
- Сигурността валидира отстраняването чрез сканиране, проверка на версия, преглед на журналите или тест на компенсиращ контрол.
- CISO преглежда критичните и високите записи и докладва тенденции в прегледа от ръководството.
Във фазата „Контроли в действие“, стъпка 19, „Технологични контроли I“, Zenith Blueprint обяснява управлението на техническите уязвимости на ясен одиторски език:
Контролът не е за съвършенство, а за организиран, прозрачен и отчетен процес.
Това изречение е важно. Регулаторите и одиторите не очакват всяка уязвимост да бъде отстранена незабавно. Те очакват организацията да знае какво съществува, да го приоритизира, да предприеме пропорционални действия, да документира изключения и да доказва последващото изпълнение.
Разузнавателната информация за заплахи е функция за вземане на решения, а не пощенска кутия
Най-голямата грешка при планирането за EUVD е информационният поток да се възложи на един анализатор и това да се нарече „разузнаване за заплахи“. Zenith Blueprint, във фазата „Контроли в действие“, стъпка 22, „Организационни контроли“, обяснява контрол 5.7 от ISO/IEC 27002:2022 по следния начин:
Най-добрите източници на разузнавателна информация за заплахи често са комбинация от вътрешен мониторинг, външни партньорства и ангажираност с общността.
Той също така предупреждава, че разузнавателната информация трябва да се превръща в действие:
Истинската стойност на този контрол се проявява при вземането на решения. Разузнавателната информация за заплахи трябва пряко да влияе върху това кои контроли се затягат, кои активи се прекласифицират или изолират, кои сценарии се тестват в настолни упражнения и колко бързо се внедряват корекции или мерки за смекчаване.
За EUVD потребителите на разузнавателна информация трябва да бъдат определени по роли.
| Роля | Отговорност по EUVD | Очаквани доказателства |
|---|---|---|
| SOC анализатор | Наблюдава EUVD и свързани съобщения, отваря записи, корелира журнали | Запис на предупреждение, търсене по IoC, бележки за откриване |
| Мениджър по уязвимости | Валидира експозицията, оценява риска, възлага отстраняване | Регистър на уязвимостите, SLA, запис за изключение |
| Собственик на продукт | Потвърждава засегнатите версии на продукти и въздействието върху клиента | Запис за продуктова зависимост, план за версия |
| Мениджър на доставчици | Свързва се с доставчик, получава доказателства за отстраняване, проследява договорни задължения | Билет към доставчик, удостоверение, актуализирана договорна клауза |
| Ръководител на реагирането при инциденти | Определя експлоатиране, въздействие и ескалация | Запис за първоначална оценка на инцидент, журнал на решенията |
| Правен отдел и DPO | Оценяват уведомления, свързани с GDPR, NIS2, DORA и CRA | Правна оценка, решение за докладване |
| CISO | Информира ръководството, приема остатъчен риск, осигурява ресурси | Доклад до ръководството, приемане на риска |
NIST CSF 2.0 може да помогне за структуриране на този модел. Неговата функция GOVERN акцентира върху очакванията на заинтересованите страни, правните и регулаторните задължения, апетита за риск, отчетността на ръководството, дефинираните роли, политиките, ресурсите и надзора. Оперативните му функции помагат да се организират инвентари на активи, идентифициране на уязвимости, защита, откриване, реагиране, възстановяване и подобрение. Методът NIST CSF Profile може да се използва за определяне на текущото и целевото състояние за операциите с EUVD, след което пропуските да се превърнат в приоритизиран план за действие.
В терминологията на Clarysec NIST CSF е полезен организационен слой, ISO/IEC 27001:2022 е одитируемата система за управление, а Zenith Controls е компасът за кръстосано съответствие, който поддържа картографиранията съгласувани.
Проследяване на уязвимости при доставчици и продукти
NIS2 Article 21 прави сигурността на веригата на доставки част от минималните мерки за управление на риска за киберсигурността. Article 21(3) изисква субектите да отчитат уязвимостите, специфични за всеки пряк доставчик и доставчик на услуги, качеството на продуктите и практиките на доставчиците за киберсигурност, включително процедури за сигурна разработка. Съображения 85 и 86 подчертават риска от трети страни при обработване на данни, управлявани услуги, доставчици на софтуер и доставчици на управлявани услуги по сигурността.
DORA е по-предписателен режим за финансовите субекти. Той изисква ИКТ рискът от трети страни да се управлява като част от рамката за ИКТ риск, с информационни регистри, надлежна проверка, анализ на риска от концентрация, писмени договори, права на одит и проверка, съдействие при инциденти, видимост върху подизпълнителите, изисквания за сигурност, права за прекратяване и тествани стратегии за изход.
EUVD ще направи слабата видимост върху доставчиците болезнено очевидна. Ако компонент на доставчик е засегнат, организацията се нуждае от повече от контакт за закупуване. Тя се нуждае от:
- Именуван контакт по сигурността при доставчика.
- Договорни задължения за уведомяване за уязвимости.
- Инвентар на продукти и версии.
- SBOM или прозрачност на компонентите, когато е релевантно.
- SLA за отстраняване и задължения за обходни решения.
- Права на одит или уверение.
- Задължения за поддръжка при инциденти.
- Планове за изход или замяна при критични зависимости.
Затова Clarysec картографира операциите с EUVD към контрол 5.21 от ISO/IEC 27002:2022 чрез Zenith Controls. Домейните управление, екосистема и защита съответстват на практическия проблем с доставчиците: не можете да отстраните това, което не можете да проследите, и не можете да докажете това, което не сте изискали договорно.
За готовност за докладване по CRA същият запис за уязвимост при доставчик и продукт става ключов. Дори когато окончателното регулаторно решение изисква правен анализ, оперативното доказателство идва от доказателства по сигурността и инженерни доказателства.
Кога уязвимост от EUVD се превръща в инцидент
Не всяка уязвимост е инцидент. Но всяка сериозна уязвимост трябва да може бързо да се превърне в запис за инцидент.
Практическият тригер е следният: ако разузнавателната информация от EUVD показва възможна експозиция, открийте запис за уязвимост. Ако има доказателства за експлоатиране, въздействие върху услуга, експониране на регулирани данни, вреда за клиента или оперативно прекъсване, свържете го със запис за инцидент или го преобразувайте в такъв.
NIS2 Article 23 изисква уведомяване за значими инциденти, засягащи предоставянето на услуги, включително инциденти, които причиняват или могат да причинят тежко оперативно прекъсване или финансова загуба, или засягат други лица чрез значителни материални или нематериални вреди. DORA изисква финансовите субекти да записват ИКТ-свързани инциденти и значими киберзаплахи, да класифицират съществените ИКТ-свързани инциденти, да ги докладват по Article 19, когато се изисква, да комуникират с клиенти, когато са засегнати финансови интереси, и да приключват с анализ на първопричините. GDPR изисква оценка на нарушение на сигурността на личните данни, когато инцидент по сигурността причини случайно или неправомерно унищожаване, загуба, изменение, неоторизирано разкриване или достъп до лични данни.
Zenith Blueprint, фазата „Контроли в действие“, стъпка 16, „Контроли, свързани с хората II“, подчертава значението на културата на докладване:
Насърчавайте нагласа за „докладване при нисък праг“ — посланието трябва да бъде: „При съмнение докладвайте.“
За EUVD това се отнася както за инженери и доставчици, така и за служители. Ако разработчик види засегната зависимост, ако доставчик потвърди експлоатируемост или ако поддръжката забележи подозрително клиентско поведение, организацията трябва да предпочете ранна първоначална оценка пред забавено уверение.
Как одиторите ще тестват вашата програма за EUVD
Силен оперативен модел за EUVD трябва да бъде проектиран за множество одиторски гледни точки. Едни и същи доказателства могат да удовлетворят различни очаквания, ако са добре структурирани.
| Одиторска гледна точка | Какво ще попитат | Силни доказателства |
|---|---|---|
| Одитор по ISO 27001:2022 | Идентифицирани ли са правните задължения, оценени ли са рисковете, избрани ли са контролите, доказани ли са операциите и извършени ли са прегледи? | Обхват на СУИС, правен регистър, SoA, регистър на уязвимостите, записи за третиране на риска, вътрешен одит, преглед от ръководството |
| Компетентен орган по NIS2 или преглеждащ уверението | Одобрило ли е ръководството мерките, управлявали ли сте уязвимости и доставчици, оценили ли сте докладването на значим инцидент? | Протоколи от управителния съвет, процедура за обработка на уязвимости, доказателства от доставчици, журнал на решенията по инциденти, записи за 24-часова и 72-часова оценка |
| Одитор или надзорен орган по DORA | Управителният съвет носи ли собственост върху ИКТ риска, класифицирани ли са инцидентите, контролирани ли са ИКТ зависимостите от трети страни? | Рамка за ИКТ риск, класификация на инциденти, регистър на ИКТ договори, надлежна проверка на доставчици, планове за изход, доклади за първопричини |
| Одитор по GDPR или преглед от DPO | Оценено ли е излагането на лични данни и демонстрирана ли е отчетност? | Карта на данните, оценка на нарушение, преглед от DPO, доказателства за ограничаване, решение за комуникации |
| Оценител по NIST CSF | Определени ли са текущи и целеви резултати в Govern, Identify, Protect, Detect, Respond и Recover? | CSF профил, план за пропуски, инвентар на активите, доказателства за откриване, наръчници за реагиране, валидиране на възстановяването |
| Одитор по COBIT 2019 или ISACA-подобен подход | Дефинирани ли са цели на управлението, собственост върху риска, резултатност на процесите и мониторинг на контролите? | RACI, ключови индикатори за риска, показатели на процесите, управленско докладване, тестване на контролите, действия за подобрение |
Одитор по ISO 27001 обичайно ще направи извадка от запис с висока сериозност, задействан от EUVD, и ще попита дали той е свързан с обхвата, задълженията към заинтересовани страни, оценка на риска, третиране, контроли от Приложение A, оперативни доказателства и преглед. Оценител, ориентиран към NIST, ще се фокусира върху резултатите. Одитор с COBIT-подобен подход ще се фокусира върху управление, собственост, резултатност и уверение. Преглеждащ по DORA ще обърне специално внимание на ИКТ зависимостите от трети страни, договорните контроли и класификацията на инциденти.
Докладване до управителния съвет без шум от CVE
NIS2 и DORA поставят органите на управление в центъра на отчетността за киберсигурността. Но висшите ръководители не се нуждаят от изсипване на записи от EUVD. Те се нуждаят от докладване, подходящо за вземане на решения.
Месечният доклад за разузнавателна информация за уязвимости трябва да включва:
- Критични и високи уязвимости, съпоставени с EUVD, които засягат активи в обхвата.
- Отворени уязвимости извън SLA за отстраняване.
- Забавяния, причинени от доставчици, и договорни ескалации.
- Уязвимости, свързани с инциденти или предотвратени инциденти.
- Тригери и резултати от процеса за продуктови уязвимости по CRA.
- Оценки за докладване по NIS2, DORA или GDPR.
- Приети остатъчни рискове и от кого.
- Тенденции по бизнес услуга, продукт, доставчик и първопричина.
- Показатели за ефективност на контролите и действия за подобрение.
Това се картографира директно към очакванията за преглед от ръководството по клауза 9.3 на ISO/IEC 27001:2022, включително промени в контекста, потребности на заинтересованите страни, тенденции в резултатността, резултати от одити, изпълнение на цели, обратна връзка, резултати от оценка на риска, статус на третирането и възможности за подобрение.
Често срещани пропуски в готовността за EUVD
Организациите, които изпитват трудности с разузнавателната информация за уязвимости, обикновено се провалят по предвидими начини.
Първо, те нямат надежден инвентар на активите и софтуера. Релевантността на EUVD не може да бъде оценена без имена на продукти, версии, библиотеки, облачни услуги, доставчици и потоци от данни.
Второ, те отделят управлението на уязвимостите от реагирането при инциденти. Екипът по уязвимости затваря билети, докато екипът по инциденти никога не оценява дали е настъпило експлоатиране. Това създава слепи петна при докладването.
Трето, договорите с доставчици мълчат. Ако доставчикът не е задължен да уведомява, да сътрудничи, да прилага корекции, да предоставя доказателства или да подпомага реагиране при инциденти, клиентът има малко влияние в критичния времеви прозорец.
Четвърто, правните екипи и DPO се включват твърде късно. Ако решенията за докладване, свързани с GDPR, NIS2, DORA или CRA, започнат след като инженерният екип вече е приложил корекцията и е продължил напред, хронологията на узнаването става неясна.
Пето, управленското докладване е твърде техническо. Управителните съвети получават дълги списъци с CVE без въздействие върху бизнеса, регулаторна релевантност, тенденции при доставчици или решения за остатъчен риск.
Методологията на Clarysec коригира това чрез свързване на контролите. В Zenith Blueprint стъпка 19 укрепва управлението на техническите уязвимости, стъпка 22 въвежда разузнавателната информация за заплахи в оперативна употреба, стъпка 16 укрепва културата на докладване на инциденти, а стъпка 23 поддържа видими правните, законовите, регулаторните и договорните задължения.
30-дневен спринт за готовност за EUVD
Ако вашата организация се нуждае от бърз път, започнете с фокусиран 30-дневен спринт.
Първа седмица: определете обхвата и задълженията. Потвърдете дали организацията потенциално е съществен или важен субект по NIS2, дали DORA се прилага за финансови дейности, дали GDPR се прилага за обработване на лични данни и къде задълженията за продуктови уязвимости, свързани с CRA, могат да бъдат релевантни. Актуализирайте правния и договорния регистър на СУИС.
Втора седмица: изградете процеса за приемане. Добавете EUVD, национални CERT, съобщения от доставчици и секторни потоци към списъка с източници за разузнавателна информация за уязвимости. Определете кой отваря записи, кой валидира експозицията, кой се свързва с доставчици, кой оценява докладването и кой одобрява остатъчния риск.
Трета седмица: свържете доставчиците и продуктите. Идентифицирайте критични продукти, клиентски платформи, преки ИКТ доставчици, външни разработчици, доставчици на облачни услуги и доставчици на управлявани услуги по сигурността. Потвърдете контакти по сигурността, договорни клаузи, задължения за реакция при уязвимости и очаквания за доказателства.
Четвърта седмица: тествайте процеса. Проведете настолно упражнение с реалистично предупреждение от EUVD. Изискайте екипът да изготви запис за уязвимост, комуникация с доставчик, оценка на инцидент, решение за правно уведомяване, журнал на корекциите, одобрение на остатъчния риск и резюме за ръководството.
Резултатът не трябва да бъде набор от слайдове. Той трябва да бъде пакет с доказателства, от който одиторът може да вземе извадка.
Направете EUVD контролна система, а не пореден информационен поток
До 2026 г. организациите, които се справят добре с ENISA EUVD, няма да бъдат тези, които просто се абонират за повече предупреждения. Това ще бъдат организациите, които превръщат публичната разузнавателна информация за уязвимости в риск-базирано действие, отчетност на доставчици, координирано оповестяване, решения за докладване и доказателства за одит.
Clarysec може да ви помогне да изградите този модел чрез Zenith Blueprint Zenith Blueprint, библиотеката с политики на Clarysec и Zenith Controls Zenith Controls. Ние картографираме клаузите на ISO/IEC 27001:2022 и контролите на ISO/IEC 27002:2022 към очакванията за одит по NIS2, DORA, GDPR, NIST CSF и COBIT-подобни рамки, след което превръщаме картографирането в практически регистри, наръчници, клаузи за доставчици и управленско докладване.
Ако вашият екип се подготвя за обработка на уязвимости по NIS2, готовност за докладване по CRA, CVD операции или разузнавателна информация за уязвимости, задвижвана от EUVD, започнете с преглед на готовността за EUVD от Clarysec. Ще ви помогнем да идентифицирате пропуски, да приоритизирате контроли и да изградите доказателствената следа, преди първото критично предупреждение да постави програмата ви на изпитание.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
