Сертификация по EUCS за облачни услуги като доказателство при одити през 2026 г.
Светлината от проектора в заседателната зала осветяваше лицето на Амелия, докато тя гледаше слайд със заглавие „Хоризонт на съответствието 2026“. Като CISO на бързо растяща финтех компания тя имаше три съкращения на екрана и един повтарящ се оперативен проблем зад всички тях: NIS2, DORA и GDPR насочваха вниманието към едни и същи облачни платформи.
Одиторът по DORA изискваше доказателства за управление на ИКТ риска от трети страни за облачните услуги, които хостват платежните приложения. Компетентният орган по NIS2 беше класифицирал дружеството като важен субект и питаше как се управлява сигурността на веригата на доставки. Длъжностното лице по защита на данните подготвяше преглед по GDPR, фокусиран върху сигурността при обработващите лични данни, местонахождението на данните и готовността при нарушения. След това отделът по снабдяване препрати кратък имейл от доставчик на облачна аналитична услуга:
„Подготвяме се за сертификация по EUCS. Може ли тя да замени вашия преглед на сигурността на доставчика?“
За натоварен CISO, ръководител по съответствието или основател изкушаващият отговор е „да“. Европейска сертификация по киберсигурност за облачни услуги звучи като точния доказателствен артефакт, който трябва да намали въпросниците, да успокои одиторите и да удовлетвори клиентите.
По-добрият отговор е по-точен: сертификацията по EUCS за облачни услуги може да се превърне в силно доказателство за увереност относно доставчик на облачни услуги, но само когато е картографирана към собствената ви оценка на риска по ISO/IEC 27001:2022, Декларацията за приложимост, регистъра на доставчиците, Регистъра на облачните услуги, договорните контроли, процедурите за реагиране при инциденти и записите за отчетност по GDPR.
Това разграничение е важно. NIS2 превръща сигурността на веригата на доставки и устойчивостта на цифровата инфраструктура в надзорен въпрос. DORA оставя финансовите субекти отговорни за ИКТ риска от трети страни дори когато облачните услуги са възложени външно. GDPR изисква администраторите и обработващите лични данни да доказват отчетно, законосъобразно и сигурно обработване. ISO/IEC 27001:2022 изисква система за управление с дефиниран обхват и риск-базиран подход, която отчита правни, регулаторни, договорни зависимости и зависимости от трети страни.
EUCS не премахва тези задължения. Тя предоставя структуриран доказателствен артефакт, който може да бъде оценяван, нормализиран, оспорван и използван повторно.
Подходът на Clarysec е ясен: третирайте EUCS като високостойностен вход за увереност относно доставчика, а не като пряк път към съответствие. В Zenith Controls: The Cross-Compliance Guide клъстерът за увереност при облачни услуги започва с ISO/IEC 27002:2022 контрол 5.23, информационна сигурност при използване на облачни услуги, и го свързва с 5.20, разглеждане на информационната сигурност в споразуменията с доставчици, и 5.22, мониторинг, преглед и управление на промените в услугите на доставчици. Тези три контрола формират основата за защитим преглед на доказателства по EUCS.
Защо увереността при облачни услуги се претоварва под NIS2, DORA и GDPR
До 2026 г. увереността при облачни услуги вече не е само работен поток по снабдяване. Тя е тема за управителния орган, регулатора и одита.
Директивата NIS2, Директива (ЕС) 2022/2555, разширява задълженията за киберсигурност на съществените и важните субекти. Обхватът ѝ включва много сектори, които разчитат силно на облачни изчисления, а ландшафтът на цифровата инфраструктура включва доставчици на облачни изчисления, доставчици на услуги на центрове за данни, мрежи за доставка на съдържание, доставчици на удостоверителни услуги, доставчици на DNS услуги и регистри на имена на домейни от първо ниво. Доставчиците на управлявани услуги и доставчиците на управлявани услуги за сигурност също са във фокус.
Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки, включително анализ на риска, обработване на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурно придобиване и разработване, обработване на уязвимости, оценка на ефективността, киберхигиена, криптография, контрол на достъпа, управление на активите и автентикация. Article 23 създава поетапни очаквания за докладване на инциденти, включително ранно предупреждение в рамките на 24 часа и уведомление за инцидент в рамките на 72 часа, при условията на директивата и националното ѝ прилагане. Article 24 позволява на държавите членки при определени обстоятелства да изискват използване на ИКТ продукти, услуги или процеси, сертифицирани по европейски схеми за сертифициране по киберсигурност. Article 25 насърчава използването на относими европейски и международни стандарти.
DORA, Регламент (ЕС) 2022/2554, е още по-пряка спрямо финансовите субекти. От 17 януари 2025 г. тя изисква финансовите организации да управляват ИКТ риска, да докладват съществени инциденти, свързани с ИКТ, да тестват цифровата оперативна устойчивост и да управляват ИКТ риска от трети страни. За субектите в нейния обхват DORA функционира като секторно-специфичен правен акт на Съюза за съответните задължения за киберсигурност, които се припокриват с националните правила по NIS2.
DORA не допуска външното възлагане да премахва отговорността. Articles 28 to 30 изискват финансовите субекти да извършват надлежна проверка, да оценяват риска от концентрация, да поддържат регистри на договорните договорености, да включват задължителни договорни предпазни мерки, да запазват права на одит и достъп, да осигуряват съдействие при инциденти, да сътрудничат с компетентните органи и да поддържат стратегии за изход за ИКТ услуги, които поддържат критични или важни функции.
GDPR, Регламент (ЕС) 2016/679, добавя слоя за отчетност и защита на данните. Article 5 изисква администраторите да спазват принципите за защита на данните и да могат да докажат съответствие. Article 28 урежда взаимоотношенията с обработващи лични данни и изисква достатъчни гаранции от тях. Article 32 изисква подходящи технически и организационни мерки за гарантиране на сигурността на обработването.
Резултатът е проблем на сближаване. Един доставчик на облачни услуги може да бъде критична ИКТ трета страна по DORA, пряк доставчик във веригата на доставки по NIS2 и обработващ лични данни или подизпълнител по обработване по GDPR. Ако увереността се управлява чрез несвързани въпросници, PDF сертификати и папки с договори, всеки одит се превръща в упражнение по реконструкция.
EUCS може да намали този хаос, но само когато бъде включена в управляван модел за доказателства.
Какво може да докаже EUCS и какво не може
Схемата на ЕС за сертифициране по киберсигурност на облачни услуги, обичайно наричана EUCS, е предназначена да осигури европейски механизъм за увереност при облачни услуги в рамките на по-широката рамка на ЕС за сертифициране по киберсигурност. Практическата ѝ стойност не е само в етикета. Стойността е в основния обхват на сертификата, нивото на увереност, оценените услуги, регионите, правните субекти, границите на оценката, срока на валидност и модела на надзор.
Правилният въпрос за увереност при облачни услуги не е просто „Има ли този доставчик EUCS?“. Той е:
- Кои точно облачни услуги са обхванати?
- Кои региони, местонахождения на данните и правни субекти са обхванати?
- Какво ниво на увереност се прилага?
- Какъв метод за оценяване е използван?
- Кои допускания за споделена отговорност остават за клиента?
- Какви доказателства могат да бъдат разкрити на клиенти, регулатори и одитори?
- Как сертификатът влияе върху правата на одит, уведомяването за инциденти, прозрачността за подизпълнителите и планирането на изход?
Сертификатът за облачна услуга рядко обхваща вашата конфигурация. Ако организацията деактивира MFA, публикува хранилище в интернет, предоставя прекомерни административни привилегии, не журнализира привилегирован достъп или конфигурира неправилно региони, сертификацията на доставчика няма да спаси одита ви.
Затова мястото на EUCS е в матрица на доказателствата, а не на пиедестал. Тя може да подкрепи увереността от страна на доставчика, но организацията все още трябва да докаже собствените си управленски, конфигурационни, договорни и мониторингови контроли.
Zenith Blueprint: An Auditor’s 30-Step Roadmap прави това ясно във фазата „Управление на риска“, Стъпка 13, „Планиране на третирането на риска и Декларация за приложимост“:
SoA на практика е свързващ документ: тя свързва вашата оценка/третиране на риска с реалните контроли, които имате. При попълването ѝ също проверявате дали не сте пропуснали контроли.
Това е правилният модел на мислене за EUCS. Сертификатът е доказателство от доставчика. Вашата Декларация за приложимост обяснява защо свързаните контроли са приложими, как организацията е внедрила своята част от споделената отговорност, кои доказателства от доставчика са приети и какви остатъчни рискове остават.
Основата по ISO 27001 за доказателствата по EUCS
ISO/IEC 27001:2022 дава на EUCS място в системата. Нейните клаузи изискват организациите да разбират вътрешните и външните обстоятелства, да идентифицират заинтересованите страни и изискванията им, да дефинират обхвата на ISMS, да възлагат управленски отговорности, да оценяват рисковете, да избират контроли, да поддържат Декларация за приложимост и да се подобряват непрекъснато.
За увереност при облачни услуги EUCS трябва да попадне най-малко в шест артефакта на ISMS.
| Артефакт на ISMS | Как следва да се използва EUCS | Въпрос на одитора |
|---|---|---|
| Обхват на ISMS | Идентифициране на облачни услуги, региони, правни субекти, клиентски данни и външно възложени зависимости | Включва ли ISMS съществените облачни зависимости и външно възложени услуги? |
| Регистър на риска | Записване на рискове от отказ на доставчика, неправилна конфигурация, местонахождение на данните, подизпълнители и докладване на инциденти | Оценяват ли се облачните рискове спрямо въздействието върху бизнеса и споделената отговорност? |
| Надлежна проверка на доставчика | Използване на EUCS като доказателство, последвано от проверка на обхвата, нивото на увереност, валидността и пропуските | Обхваща ли сертификатът точно използваната услуга? |
| Декларация за приложимост | Свързване на контролите за облачни услуги, доставчици, достъп, журналиране, инциденти и непрекъсваемост с рисковете и регулациите | Обоснован и проследим ли е изборът на контроли? |
| Регистър на облачните услуги | Записване на доставчик, цел, типове данни, местонахождения, достъп и договорни данни | Може ли организацията да идентифицира всички одобрени облачни услуги? |
| Договорно и одитно досие | Съхранение на сертификация, споразумения, права на одит, условия за уведомяване, условия за подизпълнители и разпоредби за изход | Може ли организацията да докаже изпълними задължения на доставчика? |
Библиотеката с политики на Clarysec превръща тези изисквания в оперативна дисциплина.
Политика за използване на облачни услуги - МСП, раздел „Изисквания за управление“, клауза 5.2, задава базова линия за одобрени облачни услуги:
Одобрените облачни услуги трябва да отговарят на следните базови критерии: 5.2.1 Доставчикът поддържа силна репутация по отношение на наличност и сигурност 5.2.2 Поддържа се многофакторна автентикация (MFA) и тя може да бъде активирана 5.2.3 Местонахождението на данните и практиките за поверителност съответстват на приложимите правни изисквания (напр. GDPR) 5.2.4 Услугата предоставя сигурни контроли за достъп, журналиране и възможности за защита на данните
Сертификат по EUCS може да подкрепи 5.2.1 и елементи от 5.2.3 и 5.2.4. Той не доказва, че във вашата клиентска среда MFA е активирана, журналирането е конфигурирано, местонахождението на данните е наложено или административният достъп е прегледан.
За по-големи организации корпоративната Политика за използване на облачни услуги, раздел „Изисквания за управление“, клауза 5.2, повишава изискването:
Всяко използване на облачни услуги трябва да премине риск-базирана надлежна проверка преди активиране, включително оценка на доставчика, валидиране на правното съответствие и прегледи за валидиране на контролите.
Това изречение е позицията на политиката, която всеки преглед на EUCS следва да спазва: оценка на доставчика, валидиране на правното съответствие и валидиране на контролите, а не сляпо приемане.
Картографиране на EUCS към ISO 27001, NIS2, DORA и GDPR
EUCS става готова за одит, когато фактите от сертификата са картографирани към задълженията. CISO трябва да изгради матрица за увереност при облачни услуги за множество рамки за съответствие, която превежда доказателствата от доставчика в повторно използваеми доказателства за контроли.
| Доказателствен елемент по EUCS | Релевантност за ISO 27001 и ISO 27002 | Релевантност за NIS2 | Релевантност за DORA | Релевантност за GDPR |
|---|---|---|---|---|
| Обхват на сертификата и обхванати услуги | Подкрепя оценка на риска от доставчици и контроли 5.19, 5.20, 5.22 и 5.23 | Подкрепя сигурността на веригата на доставки и доказателствата за сертификация | Подкрепя надлежната проверка на ИКТ доставчик и точността на регистъра | Подкрепя оценката на обработващ лични данни и подизпълнител по обработване |
| Ниво на увереност и метод за оценяване | Подкрепя валидирането на контролите и обосновката в SoA | Показва пропорционалност спрямо риска и критичността на услугата | Подкрепя оценката на критична или важна функция | Подкрепя отчетността за хоствани лични данни |
| Доказателства за местонахождение на данните и юрисдикция | Подкрепя картографиране на правни, регулаторни и договорни изисквания | Подкрепя непрекъсваемостта на услугите и анализа на риска във веригата на доставки | Подкрепя оценката на риска от концентрация и подизпълнители | Подкрепя анализа на местонахождението на данните и риска при предаване |
| Ангажименти за уведомяване при инциденти | Подкрепя планирането при инциденти и контролите в споразуменията с доставчици | Подкрепя готовността за докладване на значими инциденти | Подкрепя зависимостите при докладване на съществени ИКТ инциденти | Подкрепя готовността за реагиране при нарушение на сигурността на личните данни |
| Доказателства за подизпълнители и верига на доставки | Подкрепя мониторинга на доставчици и управлението на промените | Подкрепя специфична за доставчика оценка на уязвимостите | Подкрепя анализа на веригата от подизпълнители и риска от концентрация | Подкрепя отчетността във веригата на обработващи лични данни |
| Доказателства за изход и връщане на данни | Подкрепя непрекъсваемостта, прекратяването и сигурното боравене с данни | Подкрепя устойчивостта и непрекъсваемостта при всички видове заплахи | Подкрепя тествани стратегии за изход за критични ИКТ услуги | Подкрепя доказателства за изтриване, съхранение и ограничаване на обработването |
Тази таблица не е само за документация по съответствието. Тя е мостът между увереността на доставчика и отчетността на вашата организация.
NIS2 пита дали вашият субект е предприел подходящи и пропорционални мерки. DORA пита дали вашият финансов субект управлява ИКТ риска от трети страни чрез надлежна проверка, договори, мониторинг и планиране на изход. GDPR пита дали обработването на лични данни е законосъобразно, сигурно и доказуемо. ISO/IEC 27001:2022 пита дали всичко това е интегрирано в риск-базирана система за управление.
Практически пример: преглед на EUCS за доставчик на облачна аналитична услуга
Да се върнем към финтех компанията на Амелия, Northstar Pay. Компанията иска да въведе облачна платформа за анализи с цел откриване на измами и отчитане на тенденции при трансакции. Доставчикът представя сертификат по EUCS и твърди, че той трябва да удовлетвори прегледа на сигурността.
Clarysec би структурирал прегледа на доказателствата в шест стъпки.
Стъпка 1: Актуализирайте Регистъра на облачните услуги
Политика за използване на облачни услуги - МСП, раздел „Изисквания за управление“, клауза 5.3, изисква регистър, който записва името на облачната услуга, целта, отговорния собственик, типовете данни, държавата или региона, разрешенията за достъп, административните акаунти, договорните данни, датите за подновяване и контактите за поддръжка.
За предприятия Политика за използване на облачни услуги, раздел „Изисквания за управление“, клауза 5.1, започва със собствеността:
Организацията трябва да поддържа централизиран Регистър на облачните услуги, собственост на CISO, който съдържа:
Northstar Pay записва услугата преди одобрение, а не след въвеждане в експлоатация.
| Поле в регистъра | Примерен запис |
|---|---|
| Облачна услуга | Аналитична платформа на доставчика |
| Бизнес цел | Анализ на измами и отчитане на тенденции при трансакции |
| Собственик на приложение | Ръководител на платформите за данни |
| Типове данни | Клиентски идентификатори, метаданни за трансакции, псевдонимизирани аналитични събития |
| Местонахождение на данните | Само регион в ЕС, договорно ограничен |
| Достъп | SSO, MFA, именувани администраторски акаунти, роли с минимално необходим достъп |
| Доказателства | Сертификат по EUCS, сертификат по ISO 27001, документ за сигурността, DPA, договор, списък с подизпълнители по обработване |
| Дата на преглед | Годишен преглед плюс преглед при съществена промяна в услугата |
Стъпка 2: Валидирайте обхвата на сертификата
Екипът проверява дали сертификатът по EUCS обхваща точната аналитична услуга, модела на внедряване, региона и правния субект, които Northstar Pay ще използва. Ако сертификатът обхваща инфраструктурни услуги, но изключва аналитичния модул, доказателствената му стойност е ограничена.
Тук много одити се провалят. Доставчикът казва „сертифициран“, но клиентът не може да покаже, че сертификатът се прилага за услугата, която обработва регулирани данни.
Стъпка 3: Картографирайте EUCS към третирането на риска и SoA
Използвайки Zenith Blueprint, Стъпка 13, Northstar Pay картографира сертификата към Регистъра на риска и Декларацията за приложимост.
| Рисков сценарий | Доказателствена стойност на EUCS | Контрол от страна на клиента, който остава необходим |
|---|---|---|
| Неоторизиран достъп до аналитични данни | Подкрепя увереността за сигурността на инфраструктурата на доставчика | Налагане на SSO, MFA, RBAC, преглед на администратори и журналиране |
| Данни, съхранявани извън одобрен регион | Може да подкрепи контролите на доставчика за местонахождение | Договорно съхранение само в ЕС, конфигурация на клиентската среда и периодична проверка |
| Забавено докладване на инцидент от доставчика | Може да подкрепи увереността в процеса за инциденти | Договорни срокове за уведомяване, контакти за ескалация и процедура за реагиране при инциденти |
| Промяна на подизпълнител по обработване засяга риска | Може да подкрепи управлението на веригата на доставки | Права за одобрение по договора, мониторинг на подизпълнители по обработване и повторна оценка |
| Прекъсване на облачната услуга засяга отчитането | Може да подкрепи контролите за наличност | План за непрекъсваемост на дейността, анализ на RTO и RPO, стратегия за резервно копиране или експорт |
След това SoA записва ISO/IEC 27002:2022 контроли 5.20, 5.22 и 5.23 като приложими, защото организацията използва облачни услуги за регулирано обработване и важни аналитични работни процеси.
Стъпка 4: Потвърдете договорните клаузи и правата на одит
Политика за сигурност на трети страни и доставчици - МСП, раздел „Изисквания за управление“, клауза 5.3, изисква задължителни договорни клаузи:
Договорите трябва да включват задължителни клаузи, обхващащи: 5.3.1 Поверителност и неразкриване 5.3.2 Задължения за информационна сигурност 5.3.3 Срокове за уведомяване при нарушение на сигурността на данните (напр. в рамките на 24–72 часа) 5.3.4 Права на одит или наличност на доказателства за съответствие 5.3.5 Ограничения за допълнително подизпълнение без одобрение 5.3.6 Условия за прекратяване, включително сигурно връщане или унищожаване на данни
Доказателствата по EUCS и договорните права служат за различни цели. Сертификатът подкрепя увереността. Договорът създава изпълнимост.
Корпоративната Политика за сигурност на трети страни и доставчици, раздел „Изисквания за прилагане на политиката“, клауза 6.1.2.2, изрично включва:
Преглед на одитни доклади (напр. SOC 2, ISO 27001, ISAE 3402)
EUCS принадлежи към това семейство доказателства наред с други доклади за увереност. Тя не трябва да заменя прегледа на договора, правата на одит, съдействието при инциденти или клаузите за стратегия за изход, изисквани от DORA.
Стъпка 5: Наложете местонахождение на данните за регулирани данни
Политика за използване на облачни услуги, раздел „Изисквания за прилагане на политиката“, клауза 6.6.2, гласи:
Изискванията за местонахождение на данните трябва да се налагат договорно (напр. съхранение само в ЕС за данни, регулирани от GDPR).
За отчетност по GDPR сертификат, който описва регионални контроли, е полезен. Той все пак не е достатъчен. Northstar Pay се нуждае от споразумение за обработване на лични данни, договорна формулировка за съхранение само в ЕС, доказателства за конфигурацията на клиентската среда и метод за мониторинг на промените.
Ако аналитичната платформа позволява на администраторите да избират региони, одитното досие трябва да включва екранни снимки на конфигурацията, експортирани настройки или други записи, показващи одобрения регион в ЕС.
Стъпка 6: Планирайте годишни и събитийно задействани прегледи
Политика за сигурност на трети страни и доставчици - МСП, раздел „Изисквания за прилагане на политиката“, клауза 6.3.1, изисква годишен преглед на критични или високорискови доставчици за проверка на сигурни методи за достъп, валидни сертификации по сигурност или актуализирани доказателства за контролите, история на инциденти и договорно съответствие.
Прегледът следва да се задейства и когато доставчикът променя подизпълнители, региони, услуги, архитектура на идентичностите, модел на криптиране, история на инциденти или статус на сертификата. Доказателствата за увереност остаряват, а рискът от доставчици не е статичен.
Пакетът доказателства на Clarysec за EUCS
Зрелият пакет за увереност по EUCS съдържа повече от PDF файла на сертификата. Clarysec структурира доказателствата в седем раздела.
| Раздел с доказателства | Съдържание | Защо е важно |
|---|---|---|
| 1. Одобрение на облачна услуга | Бизнес обосновка, собственик, оценка на риска, решение за одобрение | Показва контролирано придобиване и използване на облачни услуги |
| 2. Увереност относно доставчика | Сертификат по EUCS, други сертификации, обзор на сигурността, модел на споделена отговорност | Показва доказателства за сигурността на доставчика и обхвата |
| 3. Правни въпроси и поверителност | DPA, условия за местонахождение на данните, списък с подизпълнители по обработване, картографиране на законосъобразното обработване | Подкрепя отчетността по GDPR и договорните изисквания |
| 4. Техническа конфигурация | MFA, SSO, RBAC, шифроване, журналиране, резервни копия, мрежови ограничения | Доказва страната на клиента в споделената отговорност |
| 5. Договор с доставчика | Задължения за сигурност, права на достъп до одитни доказателства, уведомяване при инциденти, подизпълнение, прекратяване | Подкрепя управлението на доставчици по ISO, NIS2 и DORA |
| 6. Инциденти и устойчивост | Път за ескалация към доставчика, интеграция с процедури, RTO и RPO, записи от тестове | Подкрепя докладването по NIS2 и оперативната устойчивост по DORA |
| 7. Мониторинг и преглед | Годишен преглед, валидност на сертификата, инциденти, промени в услугата, изключения | Подкрепя текущия мониторинг на доставчици и непрекъснатото подобрение |
Политика за правно и регулаторно съответствие, раздел „Изисквания за прилагане на политиката“, клауза 6.2.1, формулира оперативния принцип:
Всички правни и регулаторни задължения трябва да бъдат картографирани към конкретни политики, контроли и собственици в рамките на Information Security Management System (ISMS).
Това е разликата между събирането на сертификати и изграждането на защитим оперативен модел за съответствие.
Доказателства за инциденти и устойчивост: къде EUCS не е достатъчна
NIS2 и DORA превръщат готовността за инциденти и устойчивостта в сериозен тест за управлението на облачни услуги.
Сертификатът по EUCS на доставчик на облачни услуги може да покаже, че доставчикът има контроли за управление на инциденти. Вашата организация все пак трябва да знае кой получава уведомленията, как предупрежденията се триажират, как се запазват доказателствата, как се оценява въздействието върху личните данни и кой комуникира с регулатори, клиенти и вътрешното ръководство.
За NIS2 условията за уведомяване от доставчика трябва да подкрепят задълженията за ранно предупреждение и уведомяване за инциденти. За DORA облачните инциденти трябва да се включват в процесите за класификация, ескалация, докладване и комуникация с клиенти при инциденти, свързани с ИКТ. За GDPR работният поток при нарушение трябва да подкрепя оценката дали е настъпило нарушение на сигурността на личните данни и дали се изисква уведомяване на надзорния орган или засегнатите лица.
NIST CSF 2.0 е полезна като интеграционен език тук. Нейните функции GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND и RECOVER помагат на организациите да преведат правните задължения и техническите контроли в оперативни резултати. Резултатите ѝ за веригата на доставки изискват доставчиците да са известни, приоритизирани, договорно управлявани, наблюдавани, включени в планирането при инциденти и управлявани при прекратяване. Резултатите ѝ за реагиране и възстановяване обхващат триаж, ескалация, координация с трети страни, уведомяване на заинтересовани страни, изпълнение на възстановяване и проверка на възстановяването.
Сертификатът се поставя в досието. Процедурата доказва готовността.
Как одиторите ще тестват доказателствата по EUCS
Различните одитори подхождат към увереността при облачни услуги от различни ъгли. Модел за доказателства за множество рамки за съответствие предотвратява повторното сглобяване на едни и същи факти при всеки преглед.
| Одитна перспектива | Върху какво ще се фокусира одиторът | Какви доказателства ще очаква |
|---|---|---|
| Одитор по ISO 27001 | Обхват на ISMS, оценка на риска, SoA, контроли за доставчици, управление на облачни услуги, непрекъснато подобрение | Регистър на облачните услуги, Регистър на риска, SoA, оценка на доставчик, договор, записи за конфигурация, доказателства от преглед |
| Надзорен орган или оценител по NIS2 | Одобрение от ръководството, мерки по Article 21, сигурност на веригата на доставки, готовност за докладване на инциденти | Докладване към управителния орган, анализ на риска от доставчици, процедура за реагиране при инциденти, доказателства за непрекъсваемост на дейността, работен поток за уведомяване |
| Одитор по DORA | Регистър на ИКТ трети страни, оценка на критична или важна функция, договори, права на одит, планове за изход, тестване на устойчивостта | Регистър на ИКТ договори, надлежна проверка, анализ на риска от концентрация, договорни клаузи по Article 30, записи от тестове, стратегия за изход |
| Преглеждащ по GDPR | Отчетност, цел на обработването, категории данни, местонахождение на данните, сигурност, готовност при нарушения | Входни данни за RoPA, DPA, условия за местонахождение на данните, контроли за достъп, работен поток за оценка на нарушението, доказателства за обработващ лични данни |
| Оценител по NIST CSF | Текущи и целеви профили, управление, управление на риска във веригата на доставки, мониторинг, реагиране и възстановяване | Анализ на пропуски по профила, записи за жизнения цикъл на доставчици, доклади от мониторинг, упражнения при инциденти, валидиране на възстановяване |
| Одитор по COBIT 2019 или ISACA | Цели на управлението, отчетност на ръководството, надзор върху доставчици на услуги, оптимизация на риска, мониторинг на съответствието | Протоколи от управленски срещи, собственост на контролите, показатели за изпълнение, записи за надзор върху трети страни, табло за съответствие |
Zenith Blueprint, фаза „Контроли в действие“, Стъпка 23, предупреждава, че облачните контроли се проверяват особено задълбочено:
Този контрол често се проверява много задълбочено. Одиторите ще попитат:
✓ „Кои облачни услуги използвате?“ ✓ „Кой ги одобри?“ ✓ „Как гарантирате, че данните са защитени?“
Тези въпроси са същността на увереността по EUCS. Сертификатът може да помогне да се отговори как е доказана защитата от страна на доставчика, но не може да отговори кои услуги се използват или кой ги е одобрил, освен ако вашият Регистър на облачните услуги и работният процес по одобрение са актуални.
Чести грешки при увереността по EUCS, които трябва да се избягват
Първата грешка е EUCS да се третира като универсален пропуск. Тя е доказателство с определен обхват. Ако сертификатът не обхваща закупената от вас услуга, регион, модел на внедряване или правен субект, стойността му за увереност може да бъде ограничена.
Втората грешка е смесването на контролите на доставчика с контролите на клиента. Сертификацията на доставчика не доказва MFA в клиентската среда, RBAC, журналиране, настройки за шифроване, резервни копия, прегледи на административния достъп или мониторинг.
Третата грешка е пренебрегването на договорните изисквания по DORA. Финансовите субекти се нуждаят от писмени права и задължения, включително описания на услугите, местонахождения на данните, изисквания за информационна сигурност, права на достъп и одит, нива на обслужване, съдействие при инциденти, сътрудничество с органите, права на прекратяване и стратегии за изход за критични или важни функции.
Четвъртата грешка е игнорирането на доказателствата по GDPR. Формулировките за местонахождение на данните, прозрачността относно подизпълнителите по обработване, обработването на нарушения, законосъобразното обработване и записите за отчетност остават необходими. EUCS може да подкрепи доказателства за сигурност по Article 32, но не определя вашето правно основание, цел на обработването или правила за съхранение.
Петата грешка е липсата на мониторинг на статуса на сертификата. Ако сертификацията изтече, обхватът се промени, възникнат констатации от надзор или доставчикът промени архитектурата, вашият преглед на риска от доставчици трябва да улови промяната.
Практически контролен списък за преглед на EUCS през 2026 г.
Използвайте този контролен списък, преди да приемете EUCS като доказателство за увереност относно доставчик на облачни услуги:
- Потвърдете схемата за сертифициране, нивото на увереност, титуляря на сертификата и срока на валидност.
- Потвърдете точните услуги, региони, модели на внедряване и правни субекти в обхвата.
- Сравнете обхвата на сертификата със записа във вашия Регистър на облачните услуги.
- Картографирайте доказателствата към ISO/IEC 27002:2022 контроли 5.20, 5.22 и 5.23.
- Актуализирайте Регистъра на риска и SoA с доказателствата от сертификата и остатъчния риск.
- Валидирайте контролите от страна на клиента, особено идентичност, MFA, журналиране, шифроване, резервни копия и администраторски достъп.
- Потвърдете клаузите за местонахождение на данните, подизпълнители по обработване, уведомяване при нарушения, одитни доказателства и прекратяване.
- Свържете пътищата за уведомяване при инциденти със сроковете по NIS2, DORA и GDPR.
- Прегледайте риска от концентрация и стратегията за изход за критични или важни услуги.
- Планирайте годишен преглед и събитийно задействана повторна оценка.
Накарайте доказателствата по EUCS да работят във вашата ISMS
Сертификацията по EUCS за облачни услуги може съществено да подобри увереността относно доставчиците на облачни услуги през 2026 г. Тя може да намали умората от въпросници, да засили надлежната проверка на доставчици и да подкрепи доказателства по ISO 27001, NIS2, DORA и GDPR. Но става защитима само когато е картографирана във вашата система за управление.
Clarysec помага на организациите да превърнат доказателствата от облачна сертификация в готови за одит операции по съответствие чрез Zenith Blueprint, Zenith Controls, Политика за използване на облачни услуги, Политика за използване на облачни услуги - МСП, Политика за сигурност на трети страни и доставчици - МСП, Политика за сигурност на трети страни и доставчици и Политика за правно и регулаторно съответствие.
Ако вашата пътна карта за 2026 г. включва EUCS, готовност за NIS2, ИКТ риск от трети страни по DORA, обработване в облак по GDPR или сертификация по ISO/IEC 27001:2022, започнете с едно практическо действие: изградете своя Регистър на облачните услуги, приложете доказателства за увереност относно доставчика и картографирайте всяка критична облачна услуга към рискове, договори, контроли и собственици. Именно там увереността при облачни услуги става защитима.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
