Průběžné monitorování souladu s NIS2 a DORA
Otázka pátečního odpoledne, na kterou dnes musí odpovědět každý CISO
V pátek v 16:40 obdrží CISO cloudové platební platformy během deseti minut tři zprávy.
První je od finančního ředitele: „Náš bankovní partner požaduje aktualizované důkazy, že splňujeme očekávání DORA pro rizika třetích stran v oblasti ICT a hlášení incidentů.“
Druhá je od vedoucího právního oddělení: „Naše řízená bezpečnostní služba nás může dostat do působnosti národní transpozice NIS2. Umíme doložit dohled vedení a účinnost kontrol?“
Třetí je od vedoucího vývoje: „Kritickou zranitelnost jsme zazáplatovali, ale v backlogu je 38 opožděných středně závažných zjištění. Musíme eskalovat?“
To je okamžik, kdy se roční pojetí souladu rozpadá.
PDF s politikou, registr rizik naposledy aktualizovaný před předchozím auditem a složka se snímky obrazovky pro NIS2 a DORA nestačí. Tyto režimy očekávají živou správu a řízení, dohled vedení, pracovní postupy pro incidenty, viditelnost dodavatelů, testování odolnosti, nápravná opatření a doložitelnou účinnost kontrol.
Pro mnoho CISO není tento tlak teoretický. Transpozice NIS2 napříč členskými státy EU posunula kybernetickou bezpečnost z technického programu do oblasti odpovědnosti vedení. DORA se použije od 17. ledna 2025 a finančním subjektům poskytuje sektorově specifický rámec digitální provozní odolnosti pro rizika ICT, hlášení incidentů, testování a rizika třetích stran. Cloud, SaaS, řízené služby, řízená bezpečnost, datová centra, poskytovatelé služeb doručování obsahu, služby vytvářející důvěru a poskytovatelé veřejně dostupných služeb elektronických komunikací mohou rovněž čelit přímým nebo nepřímým povinnostem podle rozsahu, velikosti, sektoru, národní klasifikace a zákaznických smluv.
Praktická otázka už nezní: „Máme kontrolu?“
Zní: „Kdo kontrolu vlastní, jaká metrika prokazuje, že funguje, jak často shromažďujeme důkazy a co se stane, když metrika selže?“
To je jádro průběžného monitorování souladu s NIS2 a DORA. V implementacích Clarysec používáme ISO/IEC 27001:2022 jako páteř systému řízení, ISO/IEC 27002:2022 jako jazyk kontrol, Zenith Blueprint: 30krokový plán auditora jako implementační posloupnost a Zenith Controls: průvodce křížovým souladem jako kompas křížového souladu, který propojuje důkazy ISO/IEC 27001:2022 s NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 a auditními očekáváními.
Proč NIS2 a DORA činí periodický soulad nedostatečným
NIS2 a DORA se liší právní strukturou, modelem dohledu i rozsahem, ale vytvářejí stejný provozní tlak. Kybernetická bezpečnost a odolnost ICT musí být řízeny průběžně.
NIS2 vyžaduje, aby základní a důležité subjekty uplatňovaly vhodná a přiměřená technická, provozní a organizační opatření s využitím přístupu zohledňujícího všechna rizika. Tato opatření zahrnují analýzu rizik, politiky bezpečnosti informačních systémů, zvládání incidentů, kontinuitu činností, krizové řízení, zabezpečení dodavatelského řetězce, bezpečné pořizování a vývoj, nakládání se zranitelnostmi, posuzování účinnosti, kybernetickou hygienu, školení, kryptografii, personální bezpečnost, řízení přístupu, správu aktiv a vícefaktorovou autentizaci tam, kde je to vhodné. Vedoucí orgány musí schvalovat opatření pro řízení rizik v oblasti kybernetické bezpečnosti, dohlížet na jejich implementaci a absolvovat školení.
DORA to u finančních subjektů stanoví ještě výslovněji. Vyžaduje vnitřní správní a kontrolní uspořádání pro rizika ICT, dokumentovaný rámec pro řízení rizik v oblasti ICT, odpovědnost vedoucího orgánu, řízení a hlášení incidentů souvisejících s ICT, testování digitální provozní odolnosti, řízení rizik třetích stran v oblasti ICT, následná opatření po auditu, školení a komunikační mechanismy. DORA také jasně stanoví, že finanční subjekty zůstávají odpovědné za soulad, pokud využívají poskytovatele služeb třetích stran v oblasti ICT.
Tím vzniká nová realita souladu. CISO nemůže čekat do měsíce auditu, aby zjistil, že:
- přezkumy privilegovaného přístupu byly vynechány dvě čtvrtletí po sobě;
- plány ukončení spolupráce s dodavateli byly zdokumentovány, ale nikdy nebyly otestovány;
- kritéria závažnosti incidentů nejsou namapována na prahové hodnoty regulačního oznamování;
- zálohy jsou nakonfigurovány, ale chybí důkazy o obnově;
- vedení nikdy nepřezkoumalo opožděná opatření k ošetření rizik;
- cloudové smlouvy neobsahují práva na audit, viditelnost subdodavatelů ani ustanovení o oznamování incidentů.
Starý projektový model vytváří panické cykly. Týmy před auditem narychlo shromažďují snímky obrazovky, aktualizují data politik a doufají, že důkazy vyprávějí ucelený příběh. NIS2 a DORA jsou navrženy tak, aby tento přístup neobstál. Zaměřují se na odpovědnost, přiměřenost, odolnost a důkazy o fungování.
ISO/IEC 27001:2022 poskytuje pro tento problém provozní rámec. Její kapitoly vyžadují, aby organizace rozuměly kontextu, zainteresovaným stranám, právním a smluvním požadavkům, rozsahu, vedení, rolím, posouzení rizik, ošetření rizik, Prohlášení o použitelnosti, operativnímu plánování, hodnocení výkonnosti, internímu auditu, přezkoumání vedením, řešení neshod a neustálému zlepšování. Tato struktura je ideální pro spojení NIS2, DORA, GDPR, zákaznického ujištění a interních rizik do jednoho modelu průběžného monitorování.
Průběžný soulad neznamená více řídicích panelů. Znamená řízený rytmus důkazů.
Vybudujte mechanismus souladu na ISO/IEC 27001:2022
Mnoho organizací chápe ISO/IEC 27001:2022 pouze jako certifikační rámec. V praxi jde o systém řízení rizik, který umožňuje opakovatelné, měřitelné a auditovatelné řízení bezpečnosti.
To je důležité, protože NIS2 a DORA nejsou izolované kontrolní seznamy. Vyžadují provozní model, který dokáže absorbovat právní požadavky, převést je do kontrol, přiřadit vlastnictví, monitorovat výkonnost a zlepšovat se, když jsou zjištěny mezery.
Základní kapitoly ISO/IEC 27001:2022 tento model poskytují:
| Kapitola ISO/IEC 27001:2022 | Účel průběžného souladu | Hodnota pro NIS2 a DORA |
|---|---|---|
| 4.1 Porozumění organizaci a jejímu kontextu | Definuje interní a externí faktory ovlivňující kybernetickou bezpečnost a odolnost | Zachycuje regulační expozici, podnikové závislosti, prostředí hrozeb a provozní kontext |
| 4.2 Porozumění potřebám a očekáváním zainteresovaných stran | Identifikuje regulační orgány, zákazníky, partnery, dodavatele a právní povinnosti | Začleňuje NIS2, DORA, GDPR, smlouvy a očekávání dohledu do ISMS |
| 4.3 Určení rozsahu ISMS | Definuje služby, lokality, technologie, dodavatele a obchodní hranice | Brání tomu, aby regulované ICT služby a kritické závislosti zůstaly mimo monitorování |
| 5.1 Vedení a závazek | Vyžaduje odpovědnost vrcholového vedení a začlenění do podnikových procesů | Podporuje odpovědnost vedoucího orgánu podle NIS2 a DORA |
| 5.3 Organizační role, odpovědnosti a pravomoci | Přiřazuje odpovědnosti a pravomoci v ISMS | Vytváří odpovědné vlastnictví kontrol a eskalační cesty |
| 6.1.3 Ošetření rizik bezpečnosti informací | Vybírá kontroly a vytváří Prohlášení o použitelnosti | Převádí povinnosti do jednotného rámce kontrol |
| 9.1 Monitorování, měření, analýza a vyhodnocování | Vyžaduje monitorování výkonnosti a účinnosti ISMS | Podporuje návrh KPI, KRI a periodicity důkazů |
| 9.2 Interní audit | Testuje, zda je ISMS ve shodě a účinně implementován | Podporuje nezávislé ujištění a regulační obhajitelnost |
| 9.3 Přezkoumání vedením | Přináší vedení informace o výkonnosti, rizicích, auditu a zlepšování | Podporuje dohled na úrovni vedoucích orgánů a rozhodování |
| 10.1 Neustálé zlepšování | Vyžaduje průběžné zlepšování vhodnosti, přiměřenosti a účinnosti | Převádí zjištění do nápravných opatření a zlepšování odolnosti |
Pro FinTech, poskytovatele SaaS, poskytovatele řízených bezpečnostních služeb nebo dodavatele ICT finančním subjektům tato struktura brání duplicitním projektům souladu. Jeden ISMS může jednou namapovat povinnosti na kontroly a následně znovu využívat důkazy napříč NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019, certifikací ISO/IEC 27001:2022 a přezkumy zákaznického ujištění.
Začněte vlastnictvím kontrol, ne nástroji
Prvním vzorcem selhání průběžného souladu je implementace řízená nástroji. Společnost koupí platformu GRC, importuje stovky požadavků, všechno přiřadí bezpečnostnímu týmu a nazve to průběžným monitorováním. O šest měsíců později je řídicí panel červený, vývoj zpochybňuje důkazy o zranitelnostech, právní oddělení říká, že dokumentace dodavatelů je neúplná, a vedení nevidí jasně zbytkové riziko.
ISO/IEC 27001:2022 tomu předchází tím, že vyžaduje přiřazení a komunikaci odpovědností a pravomocí. NIS2 a DORA posilují stejné očekávání prostřednictvím odpovědnosti vedení, definovaných rolí a dohledu.
Politika rolí a odpovědností v oblasti správy a řízení - SME společnosti Clarysec stanoví:
Každá role s bezpečnostní odpovědností musí být zaznamenána v centrální evidenci a písemně potvrzena.
Toto ustanovení je důležitější než většina řídicích panelů. Pokud testování záloh, náprava zranitelností, prověrka dodavatelů, klasifikace incidentů a přezkum privilegovaného přístupu nemají jmenovité vlastníky, neexistuje spolehlivá periodicita důkazů.
Politika bezpečnosti informací to pro podniková prostředí převádí do provozní praxe:
Shromažďujte a uchovávejte auditní důkazy pro audity a přezkumy kontrol.
Rovněž vyžaduje, aby vlastníci kontrol:
Reportovali výkonnost kontrol a jakékoli mezery nebo problémy manažerovi ISMS.
V Zenith Controls je toto téma přímo mapováno na opatření ISO/IEC 27002:2022 5.2 Role a odpovědnosti v oblasti bezpečnosti informací, 5.35 Nezávislý přezkum bezpečnosti informací a 5.36 Soulad s politikami, pravidly a normami pro bezpečnost informací.
| Opatření ISO/IEC 27002:2022 odkazované v Zenith Controls | Role v průběžném souladu | Proč je důležité pro NIS2 a DORA |
|---|---|---|
| 5.2 Role a odpovědnosti v oblasti bezpečnosti informací | Přiřazuje odpovědné vlastníky kontrol, důkazů, KPI, KRI a eskalace | Podporuje dohled vedení, jasnost rolí a provozní odpovědnost |
| 5.35 Nezávislý přezkum bezpečnosti informací | Testuje, zda je monitorování objektivní, úplné a účinné | Podporuje posuzování účinnosti podle NIS2 a auditní očekávání DORA |
| 5.36 Soulad s politikami, pravidly a normami pro bezpečnost informací | Ověřuje, že jsou dodržovány politiky, normy a povinnosti | Převádí právní a smluvní povinnosti do měřitelných kontrol souladu |
Zenith Blueprint nabízí praktický výchozí bod ve fázi ISMS Foundation & Leadership, krok 4: Role a odpovědnosti v ISMS. Doporučuje formální jmenování, aktualizace popisů pracovních pozic, sladění KPI, komunikaci v celé organizaci a odpovědnost na úrovni oddělení.
Typický záznam o jmenování může znít:
„S okamžitou účinností jste jmenován do role Information Security Officer s odpovědností dohlížet na ISMS a koordinovat jej, včetně řízení rizik, implementace kontrol a monitorování souladu.“
Toto jmenování není byrokracie. Je to auditní důkaz o vedení a přiřazení rolí podle ISO/IEC 27001:2022. Podporuje také dohled vedení podle NIS2 a správu a řízení podle DORA. Regulační orgány, certifikační auditoři a bankovní zákazníci chtějí vidět, že odpovědnost není pouze implicitní. Je přiřazena, potvrzena, zajištěna zdroji a monitorována.
Praktický registr vlastnictví kontrol by měl obsahovat tato pole:
| Pole | Příklad | Auditní hodnota |
|---|---|---|
| Doména kontrol | Zvládání incidentů | Ukazuje pokrytí kontrolami a rozsah |
| Regulační důvody | NIS2 Article 23, DORA články 17 až 19 | Propojuje důkazy s povinnostmi |
| Odkaz ISO/IEC 27002:2022 | 5.24 až 5.30 | Propojuje provozní kontrolu s ISMS |
| Vlastník | Vedoucí bezpečnostního provozu | Ustanovuje odpovědnost |
| Zástupný vlastník | Manažer SOC | Snižuje závislost na jedné klíčové osobě |
| KPI | 95 procent upozornění s vysokou závažností triážováno v rámci SLA | Prokazuje očekávání výkonnosti |
| KRI | Jakékoli netriážované kritické upozornění starší než 4 hodiny | Definuje eskalaci rizik |
| Periodicita důkazů | Týdenní řídicí panel, měsíční přezkum, čtvrtletní test | Činí soulad průběžným |
| Umístění důkazů | Knihovna důkazů GRC | Umožňuje dohledatelnost při auditu |
| Eskalační cesta | Manažer ISMS, výbor pro rizika, vedoucí orgán | Propojuje provoz se správou a řízením |
Tento registr se stává mostem mezi politikou a důkazem.
Definujte KPI a KRI, které prokazují účinnost kontrol
Jakmile existují vlastníci, musí vědět, jak vypadá „dobrý stav“. Průběžné monitorování souladu stojí na smysluplných ukazatelích, nikoli na obecných záměrech.
„Zlepšit záplatování“ není KPI. „Pravidelně přezkoumávat dodavatele“ není důkaz. „Udržovat odolnost“ není měřitelná kontrola.
Clarysec jasně rozlišuje dva typy ukazatelů:
- KPI, klíčový ukazatel výkonnosti, měří, zda proces funguje podle očekávání.
- KRI, klíčový ukazatel rizik, signalizuje nárůst rizika nebo překročení prahové hodnoty vyžadující eskalaci.
Podniková Politika řízení rizik stanoví:
KRI (klíčové ukazatele rizik) a bezpečnostní metriky musí být definovány pro kritická rizika a monitorovány měsíčně.
Vyžaduje také eskalační logiku:
Eskalační spouštěče musí být začleněny do logiky monitorování (např. pokud se zbytkové riziko zvýší o více než jednu úroveň nebo jsou zmeškány termíny ošetření).
Pro menší organizace uplatňuje Politika řízení rizik - SME společnosti Clarysec přiměřený přístup:
Pokrok ve zmírňování rizik musí být přezkoumáván čtvrtletně.
Umožňuje také jednoduché metriky:
Mohou být sledovány neformální metriky (např. počet otevřených rizik, zpožděných opatření, nových incidentů).
Tato přiměřenost je důležitá. Nadnárodní banka a FinTech dodavatel o 60 lidech nepotřebují identickou telemetrii, ale oba potřebují přiřazené vlastnictví, opakovatelné měření, prahové hodnoty pro eskalaci a důkazy o nápravných opatřeních.
Praktický model KPI a KRI pro NIS2 a DORA vypadá takto:
| Doména | Vlastník kontroly | KPI | KRI nebo eskalační spouštěč | Periodicita důkazů |
|---|---|---|---|---|
| Řízení zranitelností | Vedoucí infrastruktury nebo DevOps | Kritické zranitelnosti odstraněné v rámci schválené SLA | Jakákoli kritická zranitelnost na systému dostupném z internetu mimo SLA | Týdenní provozní přezkum, měsíční report ISMS |
| Řízení incidentů | Manažer SOC | 100 procent incidentů klasifikováno podle závažnosti a dopadu na službu | Potenciální významný incident podle NIS2 nebo závažný incident související s ICT podle DORA neeskalovaný v rámci pracovního postupu | Denně během incidentu, měsíční přezkum trendů |
| Dodavatelské riziko | Nákup a bezpečnost | 100 procent kritických ICT dodavatelů posouzeno z hlediska rizika před onboardingem | Kritický dodavatel bez aktuální prověrky, práva na audit, incidentní doložky nebo plánu ukončení spolupráce | Měsíční kontrola registru, čtvrtletní přezkum dodavatelů |
| Zálohování a obnova | Provoz IT | Testy obnovy dokončeny pro kritické služby v definovaném intervalu | Neúspěšný test obnovy pro kritickou nebo důležitou funkci | Měsíční důkazy o zálohování, čtvrtletní test obnovy |
| Řízení přístupu | Vlastník IAM | Privilegovaný přístup přezkoumán v rámci cyklu | Osiřelý administrátorský účet nebo zmeškaný přezkum privilegovaného přístupu | Týdenní sken výjimek, měsíční potvrzení |
| Bezpečnostní povědomí | HR nebo vlastník bezpečnostního povědomí | Povinné školení dokončeno v definovaném časovém rámci | Opakované selhání phishingové simulace nad schválenou prahovou hodnotou | Měsíční report školení, čtvrtletní přezkum povědomí |
| Monitorování souladu | Manažer ISMS | Vysoce rizikové důkazní položky shromážděny do termínu | Důkaz opožděný o více než 10 pracovních dnů | Měsíční řídicí panel souladu, čtvrtletní přezkoumání vedením |
Tyto metriky podporují více než certifikaci ISO/IEC 27001:2022. Podporují také opatření řízení rizik kybernetické bezpečnosti podle NIS2, připravenost na hlášení incidentů podle NIS2, řízení rizik v oblasti ICT podle DORA, rizika třetích stran podle DORA, odpovědnost podle GDPR, výsledky správy a řízení podle NIST CSF 2.0 a řízení výkonnosti ve stylu COBIT.
Nastavte periodicitu důkazů dříve, než si o ně řekne audit
Mnoho organizací shromažďuje důkazy nahodile. Snímek obrazovky se objeví v kanálu Teams. Tiket Jira je odkazován v e-mailu. Dodavatelský dotazník je uložen u nákupu. Test zálohy je popsán ústně. Během auditního týdne se manažer ISMS stává forenzním vyšetřovatelem.
Průběžný soulad vyžaduje plánovanou periodicitu a čistou hygienu důkazů.
Politika monitorování auditu a souladu - SME společnosti Clarysec stanoví:
Každý audit musí mít definovaný rozsah, cíle, odpovědný personál a požadované důkazy.
Rovněž uvádí:
Důkazy musí být uchovávány nejméně dva roky nebo déle, pokud to vyžaduje certifikace nebo klientské dohody.
Pro podnikové organizace doplňuje Politika monitorování auditu a souladu očekávání automatizace:
Automatizované nástroje musí být nasazeny pro monitorování souladu konfigurací, řízení zranitelností, stavu záplat a privilegovaného přístupu.
Automatizace má být cílená. Vysoce rizikové a často prováděné kontroly nemají záviset na manuálních snímcích obrazovky. Nejlepší model důkazů kombinuje automatizovanou telemetrii, potvrzení vlastníků, evidence výjimek, záznamy v ticketovacím systému, výsledky testů a zápisy z přezkoumání vedením.
| Periodicita | Typ důkazů | Příklady | Publikum přezkumu |
|---|---|---|---|
| V reálném čase nebo na základě událostí | Důkazy bezpečnostního provozu | Upozornění SIEM, klasifikace incidentů, detekce zranitelností, eskalace závažného incidentu | SOC, manažer incidentů, vlastník kontroly |
| Týdně | Důkazy provozních kontrol | Stav kritických zranitelností, výjimky privilegovaného přístupu, selhání zálohovacích úloh, odchylky konfigurace | Vlastníci kontrol, manažer ISMS |
| Měsíčně | Důkazy KPI a KRI | Metriky rizik, zpožděná opatření, výkonnost SLA záplat, změny registru dodavatelů | Manažer ISMS, vlastník rizika |
| Čtvrtletně | Důkazy správy, řízení a ujištění | Pokrok v ošetření rizik, přezkumy dodavatelů, recertifikace přístupů, výsledky testování odolnosti | Výbor pro rizika, vedoucí orgán |
| Ročně nebo v plánovaném cyklu | Důkazy nezávislého přezkumu | Interní audit, plán testování kontrol, přezkoumání vedením, přezkum politik | Vrcholové vedení, auditoři |
Důležitá je také konvence pojmenování. Důkazy mají být snadno dohledatelné bez hrdinského úsilí. Například:
- týdenní report zranitelností:
YYYY-MM-DD_Vulnerability-SLA_ControlOwner - měsíční přezkum privilegovaného přístupu:
YYYY-MM_IAM-Privileged-Review_Attestation - čtvrtletní přezkum dodavatelů:
YYYY-QX_Critical-Supplier-Review - incidentní balíček:
INC-YYYY-###_Timeline-Classification-RCA-CAPA
Zde se politika mění v provoz. Uchovávání důkazů není archivní úkol. Je součástí kontroly.
Namapujte jednu důkazní položku na mnoho povinností
Průběžný soulad získává sílu, když jedna důkazní položka plní požadavky více rámců. Proto jsou Zenith Controls ústředním prvkem přístupu Clarysec ke křížovému souladu.
Vezměme zvládání incidentů. Podle NIS2 vyžadují významné incidenty postupné hlášení, včetně včasného varování do 24 hodin od zjištění, oznámení do 72 hodin a závěrečné zprávy do jednoho měsíce, s ohledem na národní transpozici a konkrétní fakta incidentu. DORA vyžaduje, aby finanční subjekty řídily, klasifikovaly, eskalovaly a hlásily závažné incidenty související s ICT pomocí požadovaných procesů a šablon. GDPR vyžaduje, aby správci posuzovali a řešili porušení zabezpečení osobních údajů, pokud je dotčena důvěrnost, integrita nebo dostupnost osobních údajů.
Jeden důkazní balíček k incidentu může podpořit všechny tři oblasti, pokud obsahuje:
- časovou osu incidentu a čas zjištění;
- odůvodnění klasifikace;
- dotčené služby a jurisdikce;
- dopad na klienty, transakce nebo uživatele;
- posouzení dopadu na osobní údaje;
- kořenovou příčinu;
- opatření ke zmírnění a obnově;
- komunikaci a oznámení;
- záznam eskalace vedení;
- záznam nápravného opatření.
Stejná logika křížového souladu platí pro dodavatelská rizika. NIS2 vyžaduje zabezpečení dodavatelského řetězce a pozornost vztahům s přímými dodavateli a poskytovateli služeb. DORA vyžaduje strategii řízení rizik třetích stran v oblasti ICT, registry, předsmluvní prověrku, smluvní ustanovení, práva na audit, úrovně služeb, strategie ukončení spolupráce a monitorování rizika koncentrace. NIST CSF 2.0 chápe riziko dodavatelského řetězce jako disciplínu správy a řízení v celém životním cyklu. ISO/IEC 27001:2022 propojuje tyto požadavky s rozsahem, požadavky zainteresovaných stran, ošetřením rizik a provozním řízením externě zajišťovaných procesů.
Praktická matice důkazů pomáhá vlastníkům kontrol pochopit, proč na důkazech záleží:
| Důkazní položka | Hodnota pro NIS2 | Hodnota pro DORA | Hodnota pro ISO/IEC 27001:2022 | Hodnota pro GDPR |
|---|---|---|---|---|
| Záznam klasifikace incidentu | Podporuje posouzení významného incidentu | Podporuje klasifikaci závažného incidentu souvisejícího s ICT | Podporuje fungování a monitorování incidentních kontrol | Podporuje odpovědnost při triáži porušení zabezpečení |
| Registr dodavatelů | Podporuje zabezpečení dodavatelského řetězce | Podporuje registr třetích stran v oblasti ICT | Podporuje řízení externě zajišťovaných procesů | Podporuje dohled nad zpracovateli a dílčími zpracovateli |
| Report SLA zranitelností | Podporuje opatření řízení rizik kybernetické bezpečnosti | Podporuje ochranu a detekci v oblasti ICT | Podporuje ošetření rizik a řízení zranitelností | Podporuje vhodná bezpečnostní opatření |
| Report z testu obnovy | Podporuje kontinuitu činností a připravenost na krizi | Podporuje provozní odolnost a obnovu | Podporuje připravenost zálohování a kontinuity | Podporuje dostupnost a odolnost zpracování |
| Zápis z přezkoumání vedením | Podporuje dohled vedení | Podporuje odpovědnost vedoucího orgánu | Podporuje vedení, přezkum výkonnosti a zlepšování | Podporuje důkazy odpovědnosti |
Tento přístup brání duplicitní práci v oblasti souladu. Organizace shromáždí jednu silnou sadu důkazů a poté ji mapuje na více povinností.
Monitorovací model Clarysec: od povinnosti přes vlastníka až k důkazu
Robustní monitorovací model následuje jednoduchou posloupnost.
Nejprve definujte povinnost. Například DORA vyžaduje, aby riziko třetích stran v oblasti ICT bylo řízeno jako součást řízení rizik v oblasti ICT, s registry, prověrkou, smluvními požadavky, právy na audit a strategiemi ukončení spolupráce pro kritické nebo důležité funkce. NIS2 vyžaduje zabezpečení dodavatelského řetězce a přiměřená nápravná opatření.
Zadruhé převeďte povinnost do požadavků ISMS podle ISO/IEC 27001:2022. To zahrnuje požadavky zainteresovaných stran, rozsah, posouzení rizik, ošetření rizik, Prohlášení o použitelnosti, provozní řízení, monitorování, interní audit, přezkoumání vedením a zlepšování.
Zatřetí vyberte provozní kontroly. V Zenith Controls zahrnují základní kontroly správy a řízení pro průběžný soulad opatření ISO/IEC 27002:2022 5.2, 5.35 a 5.36. Podpůrné kontroly často zahrnují 5.19 Bezpečnost informací ve vztazích s dodavateli, 5.21 Řízení bezpečnosti informací v dodavatelském řetězci ICT, 5.22 Monitorování, přezkum a řízení změn služeb dodavatelů, 5.23 Bezpečnost informací při používání cloudových služeb, 5.24 Plánování a příprava řízení incidentů bezpečnosti informací, 5.26 Reakce na incidenty bezpečnosti informací, 5.30 Připravenost ICT pro kontinuitu činností, 5.31 Právní, zákonné, regulační a smluvní požadavky, 8.8 Řízení technických zranitelností, 8.13 Zálohování informací, 8.15 Protokolování, 8.16 Monitorovací činnosti a 8.9 Řízení konfigurace.
Začtvrté přiřaďte vlastníka a periodicitu. Dodavatelské riziko může zahrnovat nákup, právní oddělení, bezpečnost a vlastníka obchodní služby, ale jeden odpovědný vlastník musí udržovat registr a reportovat výjimky.
Zapáté definujte KPI, KRI a důkazy. KPI dodavatelů mohou zahrnovat procento kritických ICT dodavatelů s dokončenou prověrkou, procento se schválenými smluvními doložkami, počet dodavatelů bez otestovaných plánů ukončení spolupráce a počet zpožděných přezkumů dodavatelů. KRI mohou zahrnovat nevyřešená vysoce riziková zjištění u dodavatelů, riziko koncentrace nad tolerancí nebo chybějící práva na audit u služby podporující kritickou nebo důležitou funkci.
Zašesté reportujte a eskalujte. Měsíční řídicí panely ISMS nemají pouze ukazovat zelený stav. Mají identifikovat opožděné důkazy, pohyb rizik, zmeškané termíny ošetření a rozhodnutí vedení, která jsou vyžadována.
Zasedmé auditujte a zlepšujte. Mezery v důkazech se stávají nápravnými opatřeními, nikoli výmluvami.
To je v souladu s fází Audit, Review & Improvement v Zenith Blueprint. Krok 25, Program interního auditu, doporučuje pokrýt relevantní procesy a kontroly ISMS během auditního cyklu, s ročním auditem v plném rozsahu a menšími čtvrtletními namátkovými kontrolami ve vysoce rizikových oblastech, je-li to vhodné. Krok 28, Přezkoumání vedením, vyžaduje vstupy, jako jsou změny požadavků, výsledky monitorování a měření, výsledky auditů, incidenty, neshody, příležitosti ke zlepšení a potřeby zdrojů. Krok 29, Neustálé zlepšování, používá evidenci CAPA k zachycení popisu problému, kořenové příčiny, nápravného opatření, odpovědného vlastníka, cílového data a stavu.
Tak vypadá průběžný soulad v praxi.
Praktický scénář: kritická zranitelnost na veřejném API
Ve 02:15 se spustí upozornění SIEM. Sken zranitelností identifikoval kritickou zranitelnost umožňující vzdálené spuštění kódu na veřejně dostupné API bráně podporující regulovanou platební službu.
Model průběžného monitorování má reagovat bez čekání na schůzku.
Nejprve evidence aktiv klasifikuje bránu jako kritickou. Spustí se čas pro KPI řízení zranitelností. KRI pro nezazáplatované kritické zranitelnosti se zvýší. Pokud je aktivum dostupné z internetu a exploit je aktivní, prahová hodnota pro eskalaci se spustí okamžitě.
Zadruhé je tiket směrován týmu DevOps ve službě. Vedoucí DevOps jako vlastník kontroly řízení zranitelností obdrží automatické upozornění. Manažer SOC sleduje, zda existují indikátory zneužití. Manažer ISMS monitoruje, zda jsou splněna kritéria incidentu.
Zatřetí jsou důkazy shromažďovány jako vedlejší produkt pracovního postupu. Upozornění SIEM, sken zranitelností, klasifikace aktiva, časová razítka tiketu, reakční chat, záznam záplaty, validační sken a schválení uzavření jsou připojeny k důkaznímu balíčku.
Začtvrté tým posoudí, zda je událost pouze zranitelností, bezpečnostní událostí nebo incidentem. Pokud existuje dopad na službu, indikátory kompromitace, dopad na zákazníky nebo expozice osobních údajů, pracovní postup pro incidenty spustí posouzení oznamovacích povinností podle NIS2, DORA, GDPR a smluv.
Zapáté vedení obdrží stručný report. Pokud byla zranitelnost odstraněna do čtyř hodin, důkazy podporují účinnost kontrol. Pokud SLA nebyla splněna, evidence CAPA zaznamená kořenovou příčinu, nápravné opatření, vlastníka, cílové datum a stav.
Tato jediná událost vytváří užitečné důkazy pro řízení zranitelností, připravenost na incidenty, monitorování, přístup ke kritickým aktivům, přezkoumání vedením a neustálé zlepšování.
Jak auditoři a regulační orgány otestují stejný monitorovací model
Vyspělý program průběžného souladu musí obstát při různých auditních pohledech. Důkazy se nemění, ale otázky ano.
| Auditní pohled | Pravděpodobná auditní otázka | Očekávané důkazy |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Jsou role přiřazeny, rizika ošetřena, kontroly funkční a důkazy uchovávány? | Rozsah, požadavky zainteresovaných stran, registr rizik, Prohlášení o použitelnosti, registr vlastníků, výsledky monitorování, interní audit, přezkoumání vedením, evidence CAPA |
| Regulační orgán nebo hodnotitel NIS2 | Schválilo vedení vhodná opatření řízení rizik kybernetické bezpečnosti a dohlíželo na ně? | Zápisy vedení, schválení rizik, pracovní postupy pro incidenty, dodavatelské kontroly, důkazy kontinuity, záznamy o školení, nápravná opatření |
| Příslušný orgán DORA nebo interní audit | Propojuje rámec rizik ICT správu a řízení, odolnost, testování, hlášení incidentů, riziko třetích stran a následná auditní opatření? | Rámec rizik ICT, strategie odolnosti, záznamy klasifikace incidentů, výsledky testování, registr dodavatelů, smluvní důkazy, auditní zprávy |
| Hodnotitel NIST CSF 2.0 | Má organizace výsledky správy a řízení, prioritizované mezery, měřitelnou výkonnost a cykly přezkumu? | Současné a cílové profily, akční plán rizik, metriky správy a řízení, dohled nad dodavatelským řetězcem, provozní reporty KPI |
| Auditor COBIT 2019 nebo ISACA | Jsou definovány a účinné cíle správy a řízení, manažerské postupy, vlastnictví procesů, metriky a ujišťovací činnosti? | RACI, popisy procesů, metriky výkonnosti, reporty výjimek, testování kontrol, záznamy dohledu vedení |
U opatření ISO/IEC 27002:2022 5.35 Nezávislý přezkum bezpečnosti informací se auditor ISO/IEC 27001:2022 zaměří na plán interního auditu, rozsah, kompetence, zjištění a nápravná opatření. Regulační orgán NIS2 nebo DORA se zaměří na to, zda vedení zjištěním rozumělo, financovalo nápravu a snížilo systémové riziko. Hodnotitel NIST CSF 2.0 může přezkum mapovat na funkci GOVERN, včetně dohledu a úpravy výkonnosti.
Stejná sada důkazů slouží všem, pokud je úplná, aktuální a propojená s vlastnictvím.
Běžné chyby, které oslabují průběžný soulad
První chybou je zacházet s NIS2 a DORA jako se samostatnými projekty. To vytváří duplicitní registry, konfliktní metriky a přetížené vlastníky kontrol. Použijte ISO/IEC 27001:2022 jako páteř ISMS a mapujte povinnosti přes jednu knihovnu kontrol.
Druhou chybou je přiřazovat kontroly týmům místo lidem. „IT vlastní zálohy“ nestačí. Jmenovitý vlastník musí potvrzovat, reportovat výjimky a eskalovat riziko.
Třetí chybou je shromažďovat důkazy bez vyhodnocení účinnosti. Snímek obrazovky úspěšné zálohy neprokazuje obnovitelnost. Test obnovy ano. Dotazník dodavatele neprokazuje odolnost třetí strany. Smluvní ustanovení, práva na audit, podmínky oznamování incidentů, reporty výkonnosti a plánování ukončení spolupráce vytvářejí silnější důkazy.
Čtvrtou chybou je měřit aktivitu místo rizika. Počítání zranitelností je užitečné. Sledování zpožděných kritických zranitelností na systémech dostupných z internetu je lepší. Počítání dodavatelů je užitečné. Sledování kritických dodavatelů bez plánů ukončení spolupráce je lepší.
Pátou chybou je slabá disciplína nápravných opatření. Krok 29 v Zenith Blueprint jasně stanoví, že zjištění potřebují popis problému, kořenovou příčinu, nápravné opatření, odpovědného vlastníka, cílové datum a stav. Pokud evidence CAPA není přezkoumávána, průběžný soulad se mění v průběžné hromadění známých slabin.
Co má vedení vidět každý měsíc
Vedoucí orgány podle NIS2 a DORA nepotřebují surové exporty ze skenerů. Potřebují pohled na kybernetická a ICT rizika v kvalitě vhodné pro rozhodování.
Měsíční řídicí panel pro správní radu nebo vedení by měl zahrnovat:
- nejvýznamnější kybernetická a ICT rizika s pohybem zbytkového rizika;
- zpožděná opatření k ošetření rizik a zmeškané termíny;
- významné incidenty, kandidáty na závažné incidenty související s ICT a získané poznatky;
- výjimky kritických dodavatelských rizik;
- výkonnost SLA zranitelností u kritických aktiv;
- stav testů záloh a obnovy;
- výjimky z přezkumu privilegovaného přístupu;
- míru dokončení důkazů souladu;
- zjištění auditu a stav CAPA;
- požadovaná rozhodnutí o zdrojích.
To přímo podporuje přezkoumání vedením podle ISO/IEC 27001:2022 a očekávání správy a řízení podle NIS2 a DORA. Je to rovněž v souladu s NIST CSF 2.0, kde vrcholové vedení stanovuje priority, odpovědnost, zdroje a ochotu podstupovat riziko, zatímco manažeři tyto priority převádějí do cílových profilů a akčních plánů.
Vybudujte si tento týden důkazní rytmus pro NIS2 a DORA
Nemusíte začít řešením všeho najednou. Užitečný první týden může být jednoduchý.
Den 1: vytvořte registr vlastníků kontrol pro pět domén: správa a řízení rizik, řízení a hlášení incidentů, řízení zranitelností a záplat, dodavatelská a cloudová rizika a kontinuita činností a obnova.
Den 2: definujte jeden KPI a jeden KRI pro každou doménu. Udržte je konkrétní, měřitelné a navázané na ochotu podstupovat riziko.
Den 3: namapujte každou důkazní položku na hodnotu pro NIS2, DORA, ISO/IEC 27001:2022, GDPR a zákaznické ujištění.
Den 4: nastavte periodicitu důkazů, umístění úložiště, konvenci pojmenování, pravidlo uchovávání a přezkoumávající osobu.
Den 5: proveďte tabletop eskalaci. Použijte scénář výpadku cloudu nebo kritické zranitelnosti. Potvrďte klasifikaci, posouzení regulačního oznamování, komunikaci se zákazníky, uložení důkazů a vytvoření CAPA.
Pokud vaše organizace stále řídí NIS2 a DORA pomocí tabulek, ročních workshopů a rozptýlených složek s důkazy, je čas přejít na monitorovaný provozní rytmus.
Začněte třemi kroky:
- Vytvořte registr vlastníků kontrol pro své nejrizikovější domény.
- Definujte pro každou kontrolu jeden KPI, jeden KRI, jednu důkazní položku a jednu periodicitu.
- Proveďte 30minutový přezkum důkazů a otevřete položky CAPA pro vše, co chybí.
Clarysec vám může pomoci tento přechod urychlit pomocí Zenith Blueprint pro posloupnost implementace, Zenith Controls pro mapování křížového souladu a knihovny politik Clarysec, včetně Politiky bezpečnosti informací, Politiky řízení rizik, Politiky monitorování auditu a souladu, Politiky rolí a odpovědností v oblasti správy a řízení - SME, Politiky řízení rizik - SME a Politiky monitorování auditu a souladu - SME.
Cílem není více dokumentace k souladu. Cílem je odpovědět na otázku pátečního odpoledne s jistotou:
„Ano, víme, kdo vlastní kontrolu, známe KPI, máme důkazy, známe výjimky a vedení riziko přezkoumalo.“
Kontaktujte Clarysec a vybudujte model průběžného monitorování souladu, který je připravený na audit, připravený pro vedoucí orgány a dostatečně odolný pro NIS2, DORA i další regulaci, která přijde.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
