Отговорност на ръководния орган по NIS2: доказателства по ISO 27001

Имейлът пристигна във входящата поща на Мария в 08:15 в понеделник сутрин. Като директор „Информационна сигурност“ на бързо растящ европейски доставчик на облачни услуги тя беше свикнала със спешни съобщения, но този път беше различно.

Главният финансов директор беше препратил клиентски въпросник за сигурността до главния изпълнителен директор, секретаря на ръководния орган и Мария. Темата беше кратка: „Изискват се доказателства за отчетността на ръководния орган по NIS2 преди подновяване.“

Клиентът не искаше поредния доклад от тестове за проникване. Той искаше да знае дали ръководният орган е одобрил мерките за управление на риска за киберсигурността, как се упражнява надзор върху внедряването им, дали висшите ръководители са преминали обучение по киберриск, как се ескалират значимите инциденти и как рисковете при доставчици се преглеждат на управленско ниво. Главният изпълнителен директор добави един ред: „Мария, каква е нашата експозиция и как доказваме дължима грижа? Съветът има нужда от това следващата седмица.“

Това е моментът, в който NIS2 става реалност за много доставчици на SaaS, облачни услуги, MSP, MSSP, центрове за данни, финтех компании и доставчици на цифрова инфраструктура. Директива (ЕС) 2022/2555 не третира киберсигурността като проблем на техническия отдел. Тя превръща киберриска във въпрос на отчетност на ръководния орган.

NIS2 Article 20 изисква ръководните органи на съществени и важни субекти да одобряват мерките за управление на риска за киберсигурността, да упражняват надзор върху внедряването им и да преминават обучение. Той също така позволява на държавите членки да установяват отговорност за нарушения. Article 21 определя практическата базова линия: анализ на риска, политики за сигурност, обработване на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурно придобиване и разработване, оценка на ефективността, киберхигиена, обучение, криптография, сигурност на човешките ресурси, контрол на достъпа, управление на активите и автентикация.

За организациите, които вече използват ISO/IEC 27001:2022, структурата е позната. Разликата е в аудиторията и доказателствената тежест. Въпросът вече не е само: „Имаме ли контроли за сигурност?“ Въпросът е: „Може ли ръководният орган да докаже, че е одобрил, разбрал, финансирал, прегледал, оспорил и подобрил тези контроли?“

Тук ISO/IEC 27001:2022 се превръща в защитима система за управление. Подходът на Clarysec е да използва ISO/IEC 27001:2022 като доказателствена основа, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint като път за внедряване, политиките на Clarysec като артефакти, готови за ръководния орган, и Zenith Controls: The Cross-Compliance Guide Zenith Controls като ръководство за междурамково съпоставяне за NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 и очакванията при одит.

Защо отговорността на ръководния орган по NIS2 променя разговора за киберсигурността

NIS2 не изисква директорите да станат инженери по защитни стени. Тя изисква от тях да управляват. Това разграничение е съществено.

CISO може да покаже доклади за уязвимости, покритие на многофакторна автентикация (MFA), табла за защита на крайните точки и оценки на рисковата позиция на облачната сигурност. Това са полезни оперативни сигнали, но те не доказват автоматично надзор от ръководния орган. Регулатор, корпоративен клиент, сертификационен одитор или оценител от финансовия сектор ще търси верига от управленски доказателства:

1. Организацията е оценила дали NIS2 се прилага и е документирала основанието.
2. Ръководният орган или висшето ръководство е одобрило рамката за управление на риска за киберсигурността.
3. Определени са апетитът за риск и праговете на толеранс.
4. Високите киберрискове са ескалирани и прегледани.
5. Одобрени са решенията за третиране на риска, включително приетият остатъчен риск.
6. Процедурите за докладване на инциденти отразяват задълженията за 24-часово, 72-часово и окончателно докладване, когато са приложими.
7. Зависимостите от доставчици и облачни услуги са картографирани и управлявани.
8. Прегледът от ръководството включва одитни констатации, тенденции при инцидентите, показатели и действия за подобрение.
9. Висшите ръководители са преминали обучение, съответстващо на тяхната отчетност.
10. Решенията, изключенията и ескалациите са проследими.

Тук много стари наръчници за сигурност се провалят. Закупуването на инструмент, „съответстващ на NIS2“, не доказва надзор от ръководния орган. Подписването на политика и архивирането ѝ не показва внедряване. Пълното делегиране на киберсигурността на CISO не изпълнява задължението на ръководния орган за надзор.

ISO/IEC 27001:2022 решава този проблем, защото разглежда информационната сигурност като стратегическа, риск-базирана система за управление, интегрирана в процесите на организацията. Нейните клаузи за контекст, заинтересовани страни, правни задължения, обхват, лидерство, оценка на риска, третиране на риска, оперативен контрол, оценка на резултатността, вътрешен одит, преглед от ръководството и непрекъснато подобрение създават структурата, от която ръководният орган се нуждае, за да докаже дължима грижа.

Zenith Blueprint прави това приложимо в етапа ISMS Foundation & Leadership, Step 3:

„Clause 5.1 е изцяло за лидерство и ангажираност. ISO 27001 изисква висшето ръководство да демонстрира лидерство, като одобрява ISMS, предоставя ресурси, насърчава осведомеността, гарантира възлагането на роли, интегрира ISMS в бизнес процесите и подкрепя непрекъснатото подобрение.“

Това е оперативният модел зад NIS2 Article 20. Ръководният орган не трябва да одобрява всеки технически тикет, но трябва да одобри модела на управление, да разбира съществените рискове, да осигурява ресурси и да упражнява надзор върху внедряването.

Пакетът доказателства за ръководния орган, който NIS2 действително изисква

Честа грешка е доказателствата по NIS2 да се третират като правно становище плюс папка с политики. Това рядко удовлетворява сериозен оценител. Отчетността на ръководния орган изисква доказателство за активно управление, а не пасивна документация.

Силен пакет доказателства за ръководния орган по NIS2 трябва да свързва правните задължения с решенията на съвета, контролите и циклите на преглед.

Силата на този пакет е проследимостта. Всеки артефакт отговаря на управленски въпрос и сочи към механизъм в ISO/IEC 27001:2022. Това дава на CISO, главния изпълнителен директор и ръководния орган защитим разказ: киберсигурността не е сбор от инструменти, а управлявана система.

Превръщане на политиките в отчетност на ниво ръководен орган

В началния сценарий главният изпълнителен директор на Мария може да се изкуши да отговори на клиента с ISO сертификат и няколко политики. Това не е достатъчно за отчетността на ръководния орган по NIS2. Организацията се нуждае от доказателства, че отговорността е възложена, решенията са записани и рисковете се ескалират обективно.

Политиките на Clarysec са проектирани да създават тази проследимост.

За по-малки организации Information Security Policy-sme Information Security Policy - SME, clause 4.1.1, посочва, че висшето ръководство:

„Запазва цялостната отчетност за информационната сигурност.“

Това изречение е важно. То предотвратява често срещан антимодел, при който основатели, главни изпълнителни директори или изпълнителни екипи неформално делегират цялата отчетност за сигурността на ИТ, без да запазят смислен надзор.

За по-големи организации Risk Management Policy Risk Management Policy, clause 4.1.1, посочва, че ръководството:

„Одобрява рамката за управление на риска и определя приемлив апетит за риск и прагове на толеранс.“

Това е доказателство, готово за ръководния орган, за NIS2 Article 20. Декларация за апетита за риск, прагове на толеранс и формален модел на правомощията по риска показват как одобрението и ескалацията работят на практика.

Clause 5.6 на същата политика добавя:

„Матрицата на правомощията по риска трябва ясно да определя праговете за ескалация към висшето ръководство или ръководния орган.“

Това е един от най-важните артефакти за управлението по NIS2. Без прагове за ескалация ръководният орган вижда само това, което някой реши да ескалира. С прагове високият остатъчен риск, неотстранените критични уязвимости, значимата концентрация при доставчици, сериозните инциденти, одитните констатации и изключенията над толеранса автоматично преминават към надзор от висшето ръководство.

Governance Roles and Responsibilities Policy Governance Roles and Responsibilities Policy подсилва доказателствената верига:

„Управлението трябва да подпомага интеграцията с други дисциплини (напр. риск, правни въпроси, ИТ, човешки ресурси), а решенията по ISMS трябва да бъдат проследими до своя източник (напр. одитни записи, журнали от прегледи, протоколи от срещи).“

За МСП Governance Roles and Responsibilities Policy-sme Governance Roles and Responsibilities Policy - SME посочва:

„Всички значими решения по сигурността, изключения и ескалации трябва да бъдат записани и проследими.“

Тези клаузи превръщат надзора на ръководния орган от разговор в одитна следа.

Доказателствената верига по ISO/IEC 27001:2022 за NIS2 Article 20

Ръководният орган може да операционализира NIS2 Article 20 чрез ясна доказателствена верига по ISO/IEC 27001:2022.

Първо, установете контекст и обхват. ISO/IEC 27001:2022 изисква организацията да определи вътрешните и външните обстоятелства, заинтересованите страни, правните, регулаторните и договорните изисквания, границите на ISMS, интерфейсите, зависимостите и взаимодействащите процеси. За SaaS или доставчик на облачни услуги обхватът на ISMS трябва изрично да идентифицира услугите в ЕС, облачните среди, операциите по поддръжка, критичните доставчици, регулираните клиентски сегменти и експозицията към NIS2.

Второ, демонстрирайте лидерство. ISO/IEC 27001:2022 изисква висшето ръководство да съгласува целите за сигурност със стратегическата посока, да интегрира изискванията на ISMS в бизнес процесите, да предоставя ресурси, да комуникира значимостта, да възлага отговорности и да насърчава непрекъснато подобрение. За NIS2 това се превръща в доказателство, че ръководният орган е одобрил и наблюдавал мерките за управление на риска за киберсигурността.

Трето, изпълнявайте повторяема оценка и третиране на риска. ISO/IEC 27001:2022 изисква критерии за риск, идентифициране на риска, собственици на риска, анализ на вероятността и въздействието, варианти за третиране, избор на контроли, сравнение с Annex A, Декларация за приложимост, план за третиране на риска и одобрение на остатъчния риск.

Zenith Blueprint, етап Risk Management, Step 13, прави точката на одобрение изрична:

„Одобрение от ръководството: Решенията за третиране на риска и SoA трябва да бъдат прегледани и одобрени от висшето ръководство. Ръководството трябва да бъде информирано за ключовите рискове и предложените третирания, рисковете, предложени за приемане, и контролите, планирани за внедряване.“

За NIS2 този инструктаж не трябва да бъде еднократен. Пакетът за ръководния орган трябва да показва текущите най-значими рискове, тенденции, напредък по третиране, приет остатъчен риск, просрочени действия, експозиция към критични доставчици, теми при инцидентите и ключови показатели за ефективност.

Четвърто, управлявайте операциите и съхранявайте доказателства. ISO/IEC 27001:2022 clause 8.1 изисква оперативно планиране и контрол. Контролите от Annex A подпомагат сигурността на доставчиците, управлението на облачни услуги, реагирането при инциденти, непрекъсваемостта на дейността, управлението на уязвимостите, резервните копия, журналирането, мониторинга, сигурната разработка, сигурността на приложенията, архитектурата, тестването, външното възлагане, разделението и управлението на промените.

Пето, оценявайте и подобрявайте. Вътрешният одит, измерването, прегледът от ръководството, коригиращите действия и непрекъснатото подобрение превръщат каталога от контроли в управлявана система.

Корпоративната Information Security Policy Information Security Policy вгражда това очакване за преглед от ръководството:

„Дейностите по преглед от ръководството (съгласно ISO/IEC 27001 Clause 9.3) трябва да се извършват поне ежегодно и трябва да включват:“

Стойността не е само в това, че се провежда среща. Стойността е, че прегледът създава доказателства: входни данни, решения, действия, собственици, крайни срокове и последващо проследяване.

Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy - SME, clause 5.4.3, затваря цикъла:

„Одитните констатации и актуализациите на статуса трябва да бъдат включени в процеса на преглед от ръководството на ISMS.“

Това е разликата между „проведохме одит“ и „ръководството прегледа резултатите от одита и насочи отстраняването“.

Междурамково съпоставяне: NIS2, DORA, GDPR, NIST CSF 2.0 и COBIT 2019

NIS2 рядко идва самостоятелно. Доставчик на облачни услуги може да обработва лични данни по GDPR. Клиент от финтех сектора може да наложи изисквания към доставчици, произтичащи от DORA. Корпоративен клиент от САЩ може да поиска съгласуване с NIST CSF 2.0. Одитен комитет към ръководния орган може да говори на езика на COBIT 2019.

Отговорът не е да се изграждат отделни папки за съответствие. Отговорът е да се използва ISO/IEC 27001:2022 като централна доказателствена система.

Zenith Controls помага на екипите да консолидират, като съпоставя ISO/IEC 27002:2022 control 5.4, Management responsibilities, между стандарти, регулации и одитни методи.

В Zenith Controls записът за ISO/IEC 27002:2022 control 5.4 „Management responsibilities“ класифицира типа контрол като „Preventive“, свързва го с поверителност, цялостност и наличност и го поставя под оперативна способност, фокусирана върху управлението.

Това е важно, защото NIS2 Article 20 е превантивно управление. Одобрението и надзорът от ръководството намаляват вероятността киберрискът да стане невидим, недостатъчно финансиран или неуправляван.

Zenith Controls също свързва управленските отговорности със свързани контроли от ISO/IEC 27002:2022: 5.1 Policies for information security, 5.2 Information security roles and responsibilities, 5.35 Independent review of information security, 5.36 Compliance with policies, rules, and standards for information security и 5.8 Security in project management. Отчетността на ръководния орган не може да стои самостоятелно. Тя се нуждае от политики, роли, увереност, мониторинг на съответствието и интеграция на ниво проект.

По-широкото съпоставяне е особено полезно за докладване към висшето ръководство.

DORA заслужава специално внимание. NIS2 Article 4 признава, че специфични за сектора правни актове на ЕС могат да изместят припокриващи се разпоредби на NIS2, когато се прилагат еквивалентни мерки за управление на риска за киберсигурността или за уведомяване за инциденти. DORA е ключовият пример за финансови субекти. Прилага се от 17 януари 2025 г. и създава единна рамка за управление на ИКТ риска, докладване на инциденти, тестване на устойчивостта, управление на риска от трети страни и надзор за финансовите услуги.

SaaS или доставчик на облачни услуги може да не е пряко регулиран като банка, но DORA все пак може да достигне до него чрез клиентски договори. Финансовите субекти трябва да управляват ИКТ риска от трети страни, да поддържат регистри на договорите за ИКТ услуги, да извършват надлежна проверка, да оценяват риска от концентрация, да включват права на одит и инспекция, да определят права за прекратяване и да поддържат стратегии за изход. Това означава, че доставчиците, обслужващи финансови клиенти, трябва да очакват искания за доказателства, които много приличат на въпросите за управление от ръководния орган по NIS2.

GDPR добавя отчетност за личните данни. Article 5(2) изисква администраторите да носят отговорност и да могат да докажат съответствие. Article 32 изисква сигурност на обработването, включително редовно тестване, оценяване и преценка на ефективността на техническите и организационните мерки. Когато са засегнати лични данни, работните потоци при инциденти трябва да интегрират оценката на нарушение по GDPR с ескалацията на значим инцидент по NIS2.

NIST CSF 2.0 добавя удобен за висшето ръководство език чрез функцията GOVERN. Тя подчертава организационния контекст, стратегията за управление на риска, ролите и отговорностите, политиката, надзора и управлението на риска във веригата на доставки. COBIT 2019 добавя управленска терминология, позната на одитните комитети, особено чрез EDM03 за оптимизация на риска и MEA цели за мониторинг и увереност.

90-дневен спринт за доказателства пред ръководния орган по NIS2

Практичен доказателствен спринт може да помогне на организациите да напреднат бързо, без да създават паралелна бюрокрация.

Дни 1 до 30: Установете отчетност

Започнете с регистър на отчетността по NIS2, който записва:

• Анализ на класификацията на субекта, включително обосновка за статус на съществен, важен, косвено изложен или извън обхвата субект.
• Услуги в обхвата, като SaaS, облачни услуги, управлявани услуги, център за данни, DNS, доверителни услуги или услуги, свързани с комуникации.
• Държави членки на ЕС, в които се предоставят услуги.
• Засегнати клиентски сектори, особено финансови услуги, здравеопазване, транспорт, енергетика, публична администрация и цифрова инфраструктура.
• Приложими задължения, включително NIS2 Article 20, Article 21 и Article 23.
• Свързани задължения от DORA, GDPR, клиентски договори и киберзастраховане.
• Управленски собственик и честота на докладване към ръководния орган.

Свържете това с контекста по ISO/IEC 27001:2022, заинтересованите страни, регистъра на задълженията и обхвата на ISMS. След това актуализирайте матрицата на правомощията по риска, като използвате изискването на Risk Management Policy за определяне на прагове за ескалация към висшето ръководство или ръководния орган.

Полезните тригери за ескалация включват остатъчен риск над апетита за риск, неприети критични уязвимости след изтичане на SLA, риск от концентрация при доставчици, нерешени значими одитни констатации, инциденти, които могат да задействат докладване по NIS2, изключения от изисквания за MFA, резервни копия, журналиране, шифроване или реагиране при инциденти, както и съществени промени в облачната архитектура.

Дни 31 до 60: Одобрете третирането на риска

Използвайте Zenith Blueprint Step 13, за да подготвите пакет за решение на ръководния орган относно плана за третиране на риска и Декларацията за приложимост. Пакетът трябва да включва:

• Топ 10 киберриска.
• Предложен вариант за третиране за всеки риск.
• Избрани групи контроли.
• Остатъчен риск след третиране.
• Рискове, предложени за приемане.
• Необходими бюджетни или ресурсни решения.
• Зависимости от доставчици, правни въпроси, човешки ресурси, продуктови екипи и ИТ.
• Искано управленско решение.

Резултатът трябва да бъде подписано или протоколирано одобрение. Само набор от слайдове не е достатъчен.

Също така съпоставете мерките по NIS2 Article 21 с клаузите на ISO/IEC 27001:2022 и контролите от Annex A. Това позволява на организацията да покаже, че NIS2 се управлява чрез ISMS, а не чрез откъснат контролен списък.

Дни 61 до 90: Тествайте докладването на инциденти и прегледайте доказателствата

NIS2 Article 23 изисква поетапно докладване за значими инциденти: ранно предупреждение в рамките на 24 часа, уведомление за инцидент в рамките на 72 часа, междинни актуализации, когато се изискват или бъдат поискани, и окончателен доклад не по-късно от един месец след уведомлението.

Проведете настолно упражнение с изпълнителния спонсор от ръководния орган, главния изпълнителен директор, CISO, правния екип, комуникациите, екипа за клиентски успех и операциите. Използвайте реалистичен сценарий, например неправилна конфигурация в облак, която разкрива клиентски метаданни, нарушава наличността на услугата и засяга регулиран клиент.

Тествайте кой решава дали инцидентът може да бъде значим, кой се свързва с правен консултант, кой уведомява компетентните органи или CSIRT, когато се изисква, кой одобрява комуникациите с клиенти, как се запазват доказателствата, как паралелно се оценяват задълженията при нарушение по GDPR и как ръководният орган се информира през първите 24 часа.

След това проведете формален преглед от ръководството. Zenith Blueprint, етап Audit, Review & Improvement, Step 28, обяснява защо:

„Прегледът от ръководството не е просто презентация; той е процес на вземане на решения.“

Този преглед трябва да включва одитни констатации, напредък по третиране на риска, готовност за инциденти, рискове при доставчици, показатели, решения, възложени действия и собственици за последващо проследяване.

Срещата за преглед от ръководството, която действително работи

Много прегледи от ръководството се провалят, защото са структурирани като актуализации на статуса. Преглед от ръководството, готов за NIS2, трябва да бъде среща за вземане на решения.

Дневният ред трябва да включва:

1. Промени в NIS2, DORA, GDPR, договорните и клиентските изисквания.
2. Промени в бизнес контекста, услугите, придобиванията, доставчиците, облачната архитектура и регулираните клиентски сегменти.
3. Статус на най-значимите рискове за информационната сигурност и остатъчния риск спрямо апетита за риск.
4. Напредък по плана за третиране на риска и просрочени действия.
5. Тенденции при инцидентите, значими събития, предотвратени инциденти и готовност за докладване.
6. Рискове от зависимости от доставчици и ИКТ, включително концентрация и въпроси, свързани с изход.
7. Резултати от вътрешни одити, външни одити, клиентски оценки и тестове за проникване.
8. Осведоменост по сигурност и завършване на обучението на висши ръководители.
9. Показатели за контрол на достъпа, управление на уязвимости, резервни копия, журналиране, мониторинг, сигурна разработка и тестове за непрекъсваемост.
10. Необходими решения, включително приемане на риска, бюджет, персонал, изключения от политики, отстраняване при доставчици и подобрения на контролите.

Обучението на висши ръководители е особено важно. NIS2 Article 20 изисква членовете на ръководния орган да преминават обучение. Information Security Awareness and Training Policy Information Security Awareness and Training Policy, clause 5.1.2.4, изрично включва теми за обучение на висши ръководители:

„Висши ръководители (напр. управление, приемане на риска, правни задължения)“

Обучението на висши ръководители по киберсигурност трябва да се фокусира върху права за вземане на решения, отговорност, ескалация, апетит за риск, кризисно управление, докладване на инциденти и регулаторни задължения. То не трябва да се ограничава до осведоменост за фишинг.

Как одиторите и клиентите ще тестват надзора на ръководния орган

Различните оценители ще използват различен език, но ще тестват един и същ основен въпрос: управлява ли се киберсигурността?

Zenith Controls е ценен, защото включва съпоставки с одитни методологии. За управленските отговорности той препраща към принципите и провеждането на одити по ISO/IEC 19011:2018, практиките за одит на ISMS по ISO/IEC 27007:2020, ISO/IEC 27001:2022 clause 5.1, COBIT 2019 EDM01 и EDM03, ISACA ITAF Section 1401 и NIST SP 800-53A PM-1 и PM-2. За независим преглед той съпоставя с ISO/IEC 27001:2022 clauses 9.2 и 9.3, планиране на одити и практики за доказателства по ISO/IEC 27007, ISACA ITAF Section 2400 и методи за оценка на NIST. За съответствие с политики той съпоставя с ISO/IEC 27001:2022 clauses 9.1, 9.2 и 10.1, събиране на доказателства по ISO/IEC 19011, COBIT 2019 MEA01 и оценка на непрекъснат мониторинг по NIST.

Урокът е прост. Отчетността на ръководния орган не се доказва само с присъствие. Тя се доказва с информирани решения, документирани одобрения, риск-базирано приоритизиране, разпределение на ресурси и последващо проследяване.

Често срещани слабости, които прекъсват доказателствената верига

Организациите, които срещат трудности с отчетността на ръководния орган по NIS2, обикновено попадат в предвидими модели.

Първо, те бъркат функционирането на техническите контроли с управлението. Покритието на MFA, предупрежденията от SIEM, внедряването на EDR и степента на успешност на резервните копия са важни, но ръководният орган се нуждае от контекст на риска, решения за третиране и увереност, че контролите работят.

Второ, те одобряват политики, но не и третиране на риска. Подписана политика за сигурност не доказва, че ръководният орган е одобрил пропорционални мерки за киберсигурност. Планът за третиране на риска и SoA са по-силни доказателства, защото свързват рисковете, контролите, остатъчния риск и одобрението от ръководството.

Трето, липсват прагове за ескалация. Без матрица на правомощията по риска ескалацията зависи от личности. Управлението по NIS2 се нуждае от обективни тригери.

Четвърто, те отделят реагирането при инциденти от регулаторното докладване. Работните потоци за докладване по NIS2, DORA и GDPR трябва да бъдат интегрирани преди криза.

Пето, те игнорират управлението на доставчици. NIS2 Article 21 включва сигурност на веригата на доставки и съображения за уязвимости при доставчици. Клиенти, водени от DORA, могат да очакват по-задълбочено управление на ИКТ риска от трети страни, включително надлежна проверка, права на одит, риск от концентрация, права за прекратяване и стратегии за изход.

Шесто, те не обучават висшите ръководители. Обучението на висши ръководители по киберсигурност не е незадължителна формалност по NIS2. То е част от доказателствената верига за управление.

Как изглежда добрата практика

След 90 дни надеждна папка с доказателства за ръководния орган по NIS2 трябва да съдържа:

• Оценка на приложимостта.
• Обхват на ISMS и регистър на задълженията.
• Декларация за ангажираност на ръководството.
• Апетит за риск и прагове на толеранс.
• Матрица на правомощията по риска.
• Регистър на киберриска.
• План за третиране на риска.
• Декларация за приложимост.
• Протоколи за одобрение от ръководния орган.
• Записи за обучение на висши ръководители.
• Доклад от настолно упражнение за инцидент.
• Табло за риска при доставчици.
• Доклад от вътрешен одит.
• Протоколи от преглед от ръководството и инструмент за проследяване на действията.

Тази папка отговаря на клиентския въпросник, който Мария получи в понеделник сутрин. По-важното е, че помага на ръководния орган да управлява киберриска, преди инцидент, одит или регулатор да постави организацията под публична проверка.

Превърнете отговорността на ръководния орган по NIS2 в готово за одит управление

NIS2 промени разговора за киберсигурността. Ръководните органи трябва да одобряват мерките за управление на риска за киберсигурността, да упражняват надзор върху внедряването и да преминават обучение. Article 21 изисква интегриран набор от технически, оперативни и организационни мерки. Article 23 свива докладването на инциденти в поетапна времева рамка, която изисква подготовка преди кризата.

ISO/IEC 27001:2022 ви дава системата за управление. Clarysec ви дава пътя за внедряване, езика на политиките, междурамковите съпоставки и модела за одитни доказателства.

Ако вашият ръководен орган пита: „Какво трябва да одобрим и как доказваме надзор?“, започнете с три действия:

1. Използвайте Zenith Blueprint Step 3, Step 13 и Step 28, за да структурирате ангажираността на ръководството, одобрението на третирането на риска и прегледа от ръководството.
2. Използвайте политики на Clarysec като Risk Management Policy, Governance Roles and Responsibilities Policy, Information Security Policy и еквивалентите за МСП, за да формализирате отчетността и проследимостта.
3. Използвайте Zenith Controls, за да съпоставите надзора на ръководния орган по NIS2 с ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 и очакванията на одитните методологии.

Clarysec може да ви помогне да изградите пакета за ръководния орган, да актуализирате доказателствената верига на ISMS, да подготвите прегледа от ръководството и да превърнете отчетността по NIS2 в повторяем процес за управление на киберриска, който одитори, клиенти и висши ръководители могат да разберат. Изтеглете съответните инструменти на Clarysec или заявете оценка, за да превърнете отговорността на ръководния орган в доказателства, готови за одит.