ISO 27001 jako důkazní páteř pro NIS2 a DORA
Pondělní ranní střet požadavků na soulad
V pondělí v 08:12 dostane Maria, ředitelka informační bezpečnosti (CISO) evropského zpracovatele plateb, tři zprávy, které spolu zdánlivě nesouvisejí.
Manažer interního auditu žádá důkazy, že Prohlášení o použitelnosti podle ISO 27001:2022 je aktuální. Právní tým přeposílá dotazník bankovního partnera k dohledu nad riziky ICT třetích stran podle DORA. Provozní ředitel se ptá, zda stejný postup pro řešení incidentů může podpořit očekávání NIS2 k oznamování incidentů pro nově získanou obchodní jednotku v EU.
V 09:00 je whiteboard v Mariině kanceláři pokrytý zkratkami: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. Její organizace má zavedená opatření. Má řízení přístupů, zálohování, dotazníky pro dodavatele, šifrování, reakci na incidenty, schvalování politik, přezkoumání vedením a záznamy o školení. Nemá však jednu auditně připravenou důkazní páteř, která vysvětluje, proč tato opatření existují, která rizika ošetřují, které právní předpisy podporují, kdo za ně odpovídá a kde jsou uloženy důkazy.
Tento problém je v Evropě stále běžnější. NIS2 prosazuje řízení kybernetických rizik, správu a řízení, zvládání incidentů a odolnost dodavatelského řetězce. DORA přidává podrobné požadavky na řízení rizik v oblasti ICT, testování odolnosti, hlášení incidentů a dohled nad ICT třetími stranami u finančních subjektů. GDPR nadále vyžaduje odpovědnost, zabezpečení zpracování, řízení zpracovatelů a posuzování porušení zabezpečení osobních údajů.
Chybnou reakcí je vybudovat tři paralelní programy souladu. To vytváří duplicitní opatření, nekonzistentní důkazy a přetížené týmy.
Silnější reakcí je použít ISO 27001:2022 jako páteř bezpečnostních opatření. Ne jako certifikát na stěně, ale jako provozní systém pro rizika, politiky, řízení dodavatelů, reakci na incidenty, mapování souladu a auditní důkazy.
Praktický model Clarysec je jednoduchý: použijte ISMS podle ISO 27001:2022 jako organizační systém, Prohlášení o použitelnosti jako most, politiky jako vymahatelná provozní pravidla a Zenith Controls: průvodce průřezovým souladem jako kompas pro průřezový soulad. Vybudujte jednou, pečlivě mapujte a průběžně prokazujte.
Proč ISO 27001:2022 funguje jako páteř souladu
NIS2 a DORA mají odlišný rozsah, právní mechanismy a modely dohledu. NIS2 se vztahuje na základní a důležité subjekty napříč odvětvími. DORA se vztahuje na finanční subjekty a stanoví podrobné požadavky na digitální provozní odolnost. GDPR se zaměřuje na zpracování osobních údajů a odpovědnost.
Provozní otázky za těmito rámci se však překrývají:
- Je kybernetická bezpečnost řízena politikami schválenými vedením?
- Jsou rizika bezpečnosti informací a ICT identifikována, posuzována a ošetřována?
- Jsou opatření vybírána na základě rizika, obchodního kontextu a právních povinností?
- Jsou dodavatelé řízeni prostřednictvím náležité péče, smluv, monitorování a opatření při ukončení spolupráce?
- Dokáže personál včas rozpoznat a hlásit bezpečnostní události?
- Lze incidenty třídit, eskalovat, vyšetřovat a posuzovat z hlediska regulatorního oznamování?
- Dokáže organizace rychle vyhledat důkazy při auditu, zákaznickém přezkumu nebo šetření dohledového orgánu?
ISO 27001:2022 poskytuje vedení systém řízení, který umožňuje na tyto otázky odpovídat konzistentně. ISO/IEC 27007:2022 chápe Prohlášení o použitelnosti jako auditovatelný seznam vybraných opatření bezpečnosti informací, včetně opatření z přílohy A ISO 27001:2022, jiných norem nebo opatření specifických pro organizaci, s dokumentovaným odůvodněním zařazení nebo vyloučení. ISO/IEC 27006-1:2024 zdůrazňuje, že SoA a související dokumentace ISMS tvoří základní důkazní bázi pro doložení, která opatření jsou vyžadována, jak jsou přiřazeny odpovědnosti a jak jsou politiky implementovány a komunikovány.
SoA je proto mnohem víc než tabulka. Stává se dohodnutou vazbou mezi riziky, souladem, provozem, právním oddělením, nákupem, auditem a vedením.
Clarysec [P01] Politika bezpečnosti informací tento požadavek na správu a řízení ukotvuje:
Organizace musí zavést a udržovat systém řízení bezpečnosti informací (ISMS) v souladu s kapitolami 4 až 10 ISO/IEC 27001:2022.
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.1.1.
To je důležité, protože požadavky na důkazy k NIS2 a DORA málokdy přicházejí jazykem ISO. Regulační orgán, zákazník nebo výbor vedení může požadovat důkaz o řízení kybernetických rizik, správě a řízení ICT, dohledu nad závislostmi na třetích stranách, eskalaci incidentů nebo testování provozní odolnosti. ISMS podle ISO 27001:2022 dává těmto odpovědím strukturu.
SoA je most, nikoli administrativní cvičení
V Zenith Blueprint: 30krokový plán auditora, ve fázi Řízení rizik, krok 13, Clarysec vymezuje SoA jako klíčový mechanismus dohledatelnosti mezi ošetřením rizik a implementovanými opatřeními:
SoA je ve skutečnosti přemosťující dokument: propojuje vaše posouzení/ošetření rizik se skutečnými opatřeními, která máte.
Tato věta je jádrem průřezového souladu. Opatření bez dohledatelnosti se stává samostatně stojícím artefaktem. Opatření propojené s rizikem, právní povinností, politikou, vlastníkem, záznamem důkazu a výsledkem testu je auditně připravené.
Krok 13 také doporučuje přidat odkazy na opatření k rizikovým scénářům, například propojit scénář porušení zabezpečení zákaznické databáze s řízením přístupu, kryptografií, řízením zranitelností, reakcí na incidenty a opatřeními pro dodavatele. Doporučuje také uvádět, kdy opatření podporují externí požadavky, jako jsou GDPR, NIS2 nebo DORA.
Clarysec [P06] Politika řízení rizik toto provozní pravidlo výslovně stanoví:
Rozhodnutí o opatřeních vyplývající z procesu ošetření rizik musí být promítnuta do SoA.
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.5.1.
Pro menší organizace používá Politika řízení rizik - SME stejnou logiku:
Zajišťuje, aby řízení rizik bylo aktivní součástí plánování, realizace projektů, výběru dodavatelů a reakce na incidenty v souladu s ISO 27001, ISO 31000 a příslušnými regulačními požadavky.
Ze sekce „Účel“, ustanovení politiky 1.2.
Pokud ošetření rizik třetích stran podle DORA, opatření ke zvládání incidentů podle NIS2 nebo požadavek GDPR na zabezpečení zpracovatele nejsou promítnuty v SoA nebo souvisejícím registru souladu, organizace může práci stále vykonávat. Bude však mít problém ji uceleně prokázat.
Praktické mapování ISO 27001:2022 na NIS2 a DORA
Následující přehled není právním poradenstvím. Jde o praktický důkazní model pro ředitele informační bezpečnosti, vedoucí pracovníky pro soulad, interní auditory a vlastníky procesů, kteří potřebují sladit důkazy podle ISO 27001:2022 s očekáváními NIS2 a DORA.
ENISA ve spolupráci s Evropskou komisí a skupinou pro spolupráci NIS poskytla poradní křížové odkazy, které pomáhají sladit požadavky EU na kybernetickou bezpečnost s mezinárodními a národními normami, včetně ISO 27001. Tato doporučení nejsou právně závazná a musí být doplněna pokyny vnitrostátních orgánů, sektorovými pravidly a právním přezkumem. Přesto podporují obhajitelný přístup k mapování.
| Otázka souladu | Důkazy páteře ISO 27001:2022 | Relevance pro NIS2 | Relevance pro DORA | Důkazní artefakt Clarysec |
|---|---|---|---|---|
| Je kybernetická bezpečnost řízena politikami schválenými vedením? | Politika bezpečnosti informací, rozsah ISMS, role, záznamy z přezkoumání vedením, SoA | Očekávání v oblasti řízení kybernetických rizik a správy a řízení | Správa a řízení ICT a rámec řízení rizik v oblasti ICT | Politika bezpečnosti informací, SoA, balíček pro přezkoumání vedením |
| Jsou rizika posuzována a ošetřována? | Registr rizik, plán ošetření rizik, odůvodnění SoA, schválení zbytkových rizik | Opatření kybernetické bezpečnosti založená na riziku podle Article 21 | Identifikace rizik ICT, ochrana, prevence, detekce, reakce a obnova | Registr rizik, plán ošetření rizik, SoA_Builder.xlsx |
| Jsou dodavatelé řízeni? | Politika dodavatelů, záznamy náležité péče, smlouvy, práva na audit, ustanovení o oznamování porušení zabezpečení | Kybernetická bezpečnost dodavatelského řetězce podle Article 21(2)(d) | Řízení rizik ICT třetích stran podle Articles 28 to 30 | Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran, registr dodavatelů |
| Jsou incidenty detekovány, eskalovány a hlášeny? | Plán reakce na incidenty, kanál pro hlášení, záznamy o triáži, stolní cvičení, získané poznatky | Zvládání a hlášení významných incidentů podle Article 23 | Řízení a hlášení incidentů souvisejících s ICT podle Articles 17 to 19 | Politika reakce na incidenty, incidentní záznamy, zpráva ze cvičení |
| Jsou důkazy centralizované a auditovatelné? | Program interního auditu, repozitář důkazů, registr souladu, nápravná opatření | Připravenost doložit důkazy pro dohled | Připravenost na regulatorní a dohledovou kontrolu | Politika monitorování auditu a souladu, centrální auditní složka |
Toto mapování funguje, protože nevytváří duplicitní opatření pro každý právní předpis. Používá ISO 27001:2022 jako páteř bezpečnostních opatření a přidává k důkazům regulatorní štítky, vlastnictví a očekávání.
Tři opatření ISO 27001:2022, která odemykají páteř
Pro NIS2 a DORA je důležitých více opatření, ale tři opatření ISO/IEC 27002:2022 se často stávají páteří důkazního modelu: 5.1, 5.19 a 5.24. Čtvrté opatření, 6.8, často rozhoduje o tom, zda hlášení incidentů funguje v praxi.
| Opatření ISO/IEC 27002:2022 | Proč je důležité | Hodnota pro průřezový soulad |
|---|---|---|
| 5.1 Politiky bezpečnosti informací | Stanovuje bezpečnostní směr schválený vedením a odpovědnost | Podporuje správu a řízení podle NIS2, správu a řízení ICT podle DORA, odpovědnost podle GDPR a důkazy k politikám ISO 27001 |
| 5.19 Bezpečnost informací ve vztazích s dodavateli | Definuje bezpečnostní očekávání vůči dodavatelům při navazování vztahu, monitorování a řízení vztahů | Podporuje kybernetickou bezpečnost dodavatelského řetězce podle NIS2, riziko ICT třetích stran podle DORA a dohled nad zpracovateli podle GDPR |
| 5.24 Plánování a příprava řízení incidentů bezpečnosti informací | Vytváří rámec řízení incidentů, role, eskalační cesty a aktivity připravenosti | Podporuje zvládání incidentů podle NIS2, hlášení incidentů souvisejících s ICT podle DORA a posouzení porušení zabezpečení podle GDPR |
| 6.8 Hlášení událostí bezpečnosti informací | Zajišťuje, aby personál dokázal rychle hlásit podezřelé události jasně definovanými kanály | Podporuje včasnou detekci, eskalaci, posouzení oznamovací povinnosti a kvalitu důkazů k incidentům |
V Zenith Controls je opatření ISO/IEC 27002:2022 5.1, Politiky bezpečnosti informací, charakterizováno jako preventivní opatření podporující důvěrnost, integritu a dostupnost, přičemž správa a řízení a řízení politik patří mezi klíčové provozní schopnosti. Křížové mapování vysvětluje, že GDPR Articles 5(2), 24 a 32 vyžadují odpovědnost, rozdělení odpovědností a zabezpečení zpracování. Stejné opatření je také mapováno na očekávání NIS2 v oblasti řízení kybernetických rizik a správy a řízení a na požadavky DORA na správu a řízení ICT a rámec řízení rizik.
Proto není politika bezpečnosti informací jen další politikou. Posuzovatel podle NIS2 ji může číst jako důkaz správy a řízení. Dohledový orgán podle DORA ji může číst jako důkaz rámce rizik ICT. Přezkoumávající osoba podle GDPR ji může číst jako důkaz odpovědnosti. Auditor ISO 27001:2022 ji může číst jako součást struktury politik ISMS.
Opatření 5.19, Bezpečnost informací ve vztazích s dodavateli, je místem, kde se potkává nákup, právní agenda, bezpečnost, ochrana soukromí a odolnost. Zenith Controls jej mapuje na povinnosti zpracovatele podle GDPR, kybernetickou bezpečnost dodavatelského řetězce podle NIS2 a řízení rizik ICT třetích stran podle DORA. U DORA jsou tyto důkazy ještě silnější, pokud jsou podpořeny opatřeními 5.20, řešení bezpečnosti informací ve smlouvách s dodavateli, 5.21, řízení bezpečnosti informací v dodavatelském řetězci ICT, a 5.23, bezpečnost informací při používání cloudových služeb.
Opatření 5.24, Plánování a příprava řízení incidentů bezpečnosti informací, je provozním motorem připravenosti na incidenty. Zenith Controls jej mapuje na zvládání incidentů a oznamování podle NIS2, oznamování porušení zabezpečení osobních údajů podle GDPR a řízení a hlášení incidentů souvisejících s ICT podle DORA. Jeho důkazy nejsou jen politika reakce na incidenty. Patří sem kanály pro hlášení, kritéria triáže, eskalační záznamy, právní posouzení oznamovací povinnosti, stolní cvičení, incidentní záznamy a získané poznatky.
Opatření 6.8, Hlášení událostí bezpečnosti informací, uzavírá mezeru mezi písemným plánem a chováním lidí. Pokud personál neví, jak hlásit podezření na phishing, únik dat, výpadky dodavatelů nebo podezřelou systémovou aktivitu, organizace může ztratit kritický čas ještě před zahájením právního nebo regulatorního posouzení oznamovací povinnosti.
Jeden dodavatelský incident, jeden koordinovaný řetězec důkazů
Představte si, že poskytovatel cloudové analytiky využívaný Mariiným zpracovatelem plateb zjistí neoprávněný přístup k portálu podpory. Poskytovatel hostuje pseudonymizovaná data o používání zákazníky a podporuje reportingový pracovní postup kritický pro podnikání. Incident může ovlivnit osobní údaje, regulovanou odolnost ICT a dostupnost služeb.
Fragmentovaný program souladu otevírá tři samostatné pracovní proudy: posouzení porušení zabezpečení podle GDPR, přezkum incidentu ICT podle DORA a dodavatelský záznam ISO 27001. Každý tým žádá podobné důkazy v jiném formátu. Nákup hledá smlouvu. Právní oddělení se ptá, zda je poskytovatel zpracovatelem. Bezpečnost se ptá, zda incident splňuje prahové hodnoty pro hlášení. Tým souladu zakládá novou tabulku.
Vyspělá páteř ISO 27001:2022 otevírá jeden koordinovaný řetězec důkazů.
Nejprve je událost zaevidována v procesu reakce na incidenty. Oznamovatel použije definovaný kanál, bezpečnostní tým událost triážuje a právní oddělení vyhodnotí oznamovací povinnosti. Clarysec [P30] Politika reakce na incidenty vyžaduje, aby incidenty s regulovanými daty posoudilo právní oddělení a pověřenec pro ochranu osobních údajů:
Pokud incident vede k potvrzené nebo pravděpodobné expozici osobních údajů nebo jiných regulovaných dat, právní oddělení a pověřenec pro ochranu osobních údajů musí posoudit použitelnost:
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.4.1.
Pro menší organizace stanoví Incident Response Policy-sme - SME stejný praktický rozhodovací bod:
Pokud jsou dotčena zákaznická data, generální ředitel musí posoudit právní oznamovací povinnosti na základě použitelnosti GDPR, NIS2 nebo DORA.
Ze sekce „Ošetření rizik a výjimky“, ustanovení politiky 7.4.1.
Za druhé se přezkoumá vztah s dodavatelem. Byl poskytovatel klasifikován jako kritický? Obsahovala smlouva povinnosti oznamování porušení zabezpečení, práva na audit, odpovědnosti v oblasti ochrany údajů, očekávání kontinuity služeb a ustanovení pro ukončení spolupráce? Clarysec Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran stanoví toto očekávání:
Začlenit standardizované bezpečnostní požadavky do všech smluv s dodavateli, včetně povinností oznamování porušení zabezpečení, práv na audit a odpovědností v oblasti ochrany údajů.
Ze sekce „Cíle“, ustanovení politiky 3.2.
Pro SME Third-Party and Supplier Security Policy-sme - SME výslovně uvádí účel průřezového souladu:
Podporovat soulad s povinnostmi podle ISO/IEC 27001:2022, GDPR, NIS2 a DORA souvisejícími se správou a řízením dodavatelů.
Ze sekce „Cíle“, ustanovení politiky 3.6.
Za třetí se aktualizuje registr rizik, plán ošetření a SoA, pokud incident odhalí mezeru. Možná smlouva s dodavatelem neobsahuje konkrétní regulatorní lhůtu pro oznámení. Možná je frekvence monitorování dodavatele příliš nízká pro kritického poskytovatele ICT. Možná plán reakce na incidenty jasně nerozlišuje kritéria porušení zabezpečení osobních údajů od kritérií narušení ICT služby.
Smyslem není vytvořit nový svět souladu. Smyslem je aktualizovat jeden integrovaný řetězec důkazů tak, aby stejné záznamy dokázaly odpovědět na více auditních otázek.
Přeměna SoA na mapu důkazů pro NIS2 a DORA
Standardní SoA často dobře odpovídá na otázky ISO: která opatření jsou použitelná, proč byla vybrána a zda jsou implementována. Aby se z něj stala praktická mapa důkazů pro NIS2 a DORA, obohaťte jej o regulatorní a provozní důkazní pole.
Otevřete SoA_Builder.xlsx z Audit Ready Toolkit, na který odkazuje Zenith Blueprint, fáze Audit, přezkum a zlepšování, krok 24. Krok 24 vysvětluje, že auditoři často vyberou vzorek opatření ze SoA a zeptají se, proč bylo implementováno. Sloupec odůvodnění a propojené riziko nebo požadavek mají na tuto otázku odpovědět.
Přidejte tyto sloupce:
| Nový sloupec SoA | Účel | Příklad záznamu |
|---|---|---|
| Regulatorní důvod | Ukazuje, zda opatření podporuje NIS2, DORA, GDPR, zákaznické smlouvy nebo odolnost | NIS2, DORA, GDPR |
| ID mapovaného rizika | Propojuje opatření s registrem rizik | R-017 Výpadek dodavatele ovlivňující regulovaný reporting |
| Vlastník důkazů | Určuje, kdo udržuje důkazy | Vedoucí bezpečnostního provozu |
| Primární důkaz | Definuje artefakt, který mají auditoři zkontrolovat jako první | Plán reakce na incidenty a log incidentních záznamů |
| Provozní důkaz | Dokládá, že opatření průběžně funguje | Zpráva ze stolního cvičení, test oznámení porušení zabezpečení dodavatelem |
| Stav auditu | Sleduje připravenost | Otestováno, otevřená mezera, splatné nápravné opatření |
Nyní jej aplikujte na základní sadu opatření.
| Opatření ISO/IEC 27002:2022 | Regulatorní důvod | Primární důkaz | Provozní důkaz | Závěr auditora |
|---|---|---|---|---|
| 5.1 Politiky bezpečnosti informací | NIS2, DORA, GDPR | Schválená politika bezpečnosti informací, rozsah ISMS, přiřazení rolí | Záznam o přezkumu politiky, potvrzení o absolvování školení, zápisy z přezkoumání vedením | Správa a řízení existuje, vedení schválilo směr, odpovědnost je dokumentována |
| 5.19 Bezpečnost informací ve vztazích s dodavateli | NIS2, DORA, GDPR | Politika dodavatelů, registr dodavatelů, klasifikace dodavatelů | Přezkumy náležité péče, posouzení kritičnosti, přezkumy smluv, důkazy k právu auditu | Riziko třetích stran je řízeno při navazování vztahu, smluvním ukotvení, monitorování a ukončení spolupráce |
| 5.20 řešení bezpečnosti informací ve smlouvách s dodavateli | NIS2, DORA, GDPR | Standardní smluvní doložky, bezpečnostní příloha, podmínky zpracování údajů | Vzorkování smluv, schválení výjimek z doložek, záznamy právního přezkumu | Bezpečnostní požadavky jsou začleněny do smluv s dodavateli |
| 5.23 Bezpečnost informací při používání cloudových služeb | DORA, NIS2, GDPR | Standard cloudové bezpečnosti, posouzení rizik cloudu, schválení architektury | Přezkum cloudového dodavatele, přezkum rizika koncentrace, test cloudového incidentu | Riziko cloudových služeb je identifikováno, řízeno, monitorováno a testováno |
| 5.24 Plánování a příprava řízení incidentů bezpečnosti informací | NIS2, DORA, GDPR | Politika reakce na incidenty, eskalační matice, rozhodovací strom pro oznámení | Incidentní záznamy, zprávy ze stolních cvičení, získané poznatky, posouzení oznamovací povinnosti | Incidenty lze detekovat, triážovat, eskalovat a posuzovat pro regulatorní hlášení |
| 6.8 Hlášení událostí bezpečnosti informací | NIS2, DORA, GDPR | Kanál pro hlášení, materiály pro bezpečnostní povědomí, postup hlášení událostí | Hlášení phishingu, logy nouzové linky, záznamy simulací, rozhovory s pracovníky | Personál ví, jak rychle hlásit podezřelé bezpečnostní události |
Poté proveďte vzorové trasování. Vyberte jeden dodavatelský incident z posledního roku a sledujte jej od incidentního záznamu ke smlouvě s dodavatelem, od klasifikace dodavatele k registru rizik, od ošetření rizika k SoA a od SoA k přezkoumání vedením.
Pokud se řetězec přeruší, není to selhání. Je to přesné nápravné opatření dříve, než mezeru najde auditor, zákazník, regulační orgán nebo výbor vedení.
Centralizované důkazy jsou přehlíženým urychlovačem
Mnoho organizací má dostatečná opatření, ale slabé vyhledávání důkazů. Důkazy jsou rozptýleny v e-mailu, systémech pro správu požadavků, složkách SharePointu, repozitářích smluv, HR platformách, nástrojích GRC a portálech dodavatelů. V období auditů tráví tým souladu týdny sháněním snímků obrazovky.
To není připravenost na audit. To je auditní záchranná operace.
Clarysec [P33S] Politika monitorování auditu a souladu-sme - SME stanoví:
Veškeré důkazy musí být uloženy v centralizované auditní složce.
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.
Centralizovaná auditní složka neznamená nekontrolované odkladiště. Znamená strukturovaný repozitář sladěný s ISMS, SoA, registrem rizik, plánem auditů a registrem souladu.
| Složka | Obsah | Využití pro průřezový soulad |
|---|---|---|
| 01 Správa a řízení | Rozsah ISMS, politika bezpečnosti informací, přiřazení rolí, zápisy z přezkoumání vedením | Správa a řízení podle NIS2, správa a řízení ICT podle DORA, odpovědnost podle GDPR |
| 02 Rizika a SoA | Registr rizik, plán ošetření rizik, SoA, schválení zbytkových rizik | Řízení rizik podle NIS2, řízení rizik ICT podle DORA |
| 03 Dodavatelé | Registr dodavatelů, náležitá péče, smlouvy, hodnocení kritičnosti, záznamy o přezkumu | Dodavatelský řetězec podle NIS2, riziko ICT třetích stran podle DORA, zpracovatelé podle GDPR |
| 04 Incidenty | Incidentní záznamy, posouzení porušení zabezpečení, rozhodnutí o oznámení, stolní cvičení | Hlášení podle NIS2, řízení incidentů podle DORA, oznamování porušení zabezpečení podle GDPR |
| 05 Audit a zlepšování | Zprávy interního auditu, nápravná opatření, vzorkování důkazů, následné kroky vedení | Připravenost na audit ISO 27001:2022, připravenost na dohled |
Clarysec Politika právního a regulačního souladu - SME řeší problém mapování přímo:
Pokud se právní předpis vztahuje na více oblastí (např. GDPR se vztahuje na uchovávání, bezpečnost a soukromí), musí být tato vazba jasně zmapována v Registru souladu a školicích materiálech.
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.2.
Přesně tak se ISO 27001:2022 stává páteří bezpečnostních opatření pro NIS2 a DORA. Nespoléháte se na neformální znalosti. Mapujete právní předpisy napříč procesy, politikami, opatřeními, důkazy a školením.
Hlášení incidentů začíná u lidí, ne u portálů
Běžná auditní slabina se objeví tehdy, když plán reakce na incidenty vypadá silně, ale zaměstnanci nevědí, kdy nebo jak hlásit. To je pro NIS2, DORA a GDPR nebezpečné, protože lhůty pro regulatorní posouzení závisí na detekci, eskalaci a klasifikaci.
V Zenith Blueprint, fáze Opatření v praxi, krok 16, Clarysec zdůrazňuje hlášení incidentů řízené personálem podle opatření ISO/IEC 27002:2022 6.8. Doporučení uvádí, že reakce na incidenty začíná u lidí. Organizace mají vytvořit jasný, jednoduchý a dostupný kanál pro hlášení, například monitorovanou e-mailovou adresu, interní portál, nouzovou linku nebo kategorii v systému pro správu požadavků. Doporučuje také školení bezpečnostního povědomí, kulturu hlášení bez obviňování, důvěrnost, nízký práh pro hlášení a pravidelné simulace.
Dopad na průřezový soulad je přímý. Zenith Blueprint propojuje tuto schopnost personálu hlásit události s GDPR Article 33, NIS2 Article 23 a DORA Article 17. Pokud zaměstnanci váhají s hlášením podezřelé aktivity, organizace může ztratit kritický čas dříve, než právní, bezpečnostní nebo regulatorní týmy posoudí oznamovací povinnosti.
Praktický test opatření je jednoduchý:
- Zeptejte se pěti zaměstnanců, jak nahlásit podezřelý phishingový e-mail.
- Ověřte, zda je kanál pro hlášení monitorován.
- Potvrďte, zda má systém pro správu požadavků kategorii bezpečnostního incidentu.
- Přezkoumejte poslední simulaci nebo stolní cvičení.
- Ověřte, že získané poznatky byly přezkoumány při přezkoumání vedením.
Pokud je některá odpověď nejasná, aktualizujte instrukční list k incidentům, školicí materiál, kanál pro hlášení a odkaz na důkazy v SoA.
Jak různí auditoři kontrolují stejnou páteř
Důkazy pro průřezový soulad musí obstát pod různými auditními pohledy. Stejné opatření může být testováno odlišně podle mandátu přezkoumávající osoby.
| Pohled auditora | Pravděpodobná otázka | Očekávané důkazy | Časté selhání |
|---|---|---|---|
| Auditor ISO 27001:2022 | Proč je toto opatření použitelné a funguje tak, jak je popsáno? | Odůvodnění SoA, vazba na ošetření rizika, politika, provozní záznamy, výsledky interního auditu | Opatření existuje, ale odůvodnění v SoA je vágní nebo zastaralé |
| Posuzovatel zaměřený na NIS2 | Dokážete prokázat opatření kybernetické bezpečnosti založená na riziku a koordinaci incidentů? | Registr rizik, politika správy a řízení, plán incidentů, pracovní postup hlášení, důkazy o rizicích dodavatelů | Mapování NIS2 existuje v prezentaci, ale ne v provozních důkazech |
| Dohledový orgán zaměřený na DORA | Dokážete prokázat řízení rizik ICT, klasifikaci incidentů, testování a dohled nad třetími stranami? | Registr rizik ICT, kritičnost dodavatelů, klasifikace incidentů, testy odolnosti, smluvní doložky | Záznamy dodavatelů nerozlišují kritické poskytovatele ICT od běžných dodavatelů |
| Přezkoumávající osoba zaměřená na GDPR | Dokážete prokázat odpovědnost, zabezpečení zpracování, opatření pro zpracovatele a posouzení porušení zabezpečení? | Mapování ochrany údajů, doložky pro zpracovatele, záznamy posouzení porušení zabezpečení, důkazy o přístupu a šifrování | Bezpečnostní opatření jsou implementována, ale nejsou propojena s riziky pro osobní údaje |
| Auditor zaměřený na NIST | Dokážete ukázat správu a řízení, identifikaci rizik, ochranu, detekci, reakci a obnovu? | Správa politik, záznamy aktiv a rizik, detekční logy, důkazy o incidentech a obnově | Technické důkazy existují, ale vlastnictví v rámci správy a řízení je slabé |
| Auditor podle COBIT 2019 nebo ve stylu ISACA | Jsou definovány cíle správy a řízení, odpovědnosti, monitorování výkonnosti a ověřovací aktivity? | RACI, vlastnictví opatření, reporting vedení, plán auditů, metriky, nápravná opatření | Opatření jsou technická, ale nejsou řízena prostřednictvím měřitelné odpovědnosti |
Zde Zenith Controls přináší hodnotu nad rámec jednoduché mapovací tabulky. Pomáhá převádět opatření ISO/IEC 27002:2022 do auditně relevantních perspektiv, včetně atributů opatření, regulatorních vazeb a očekávání k důkazům. U opatření 5.1 atributy podporují správu a řízení, řízení politik, odpovědnost a bezpečnostní cíle. U opatření 5.24 atributy podporují koncepty reakce a obnovy, připravenost na incidenty a nápravná opatření. U opatření 5.19 atributy vztahů s dodavateli propojují správu a řízení, riziko ekosystému, ochranu a dohled nad třetími stranami.
Co má vidět vedení
Vedení nepotřebuje každou položku SoA. Potřebuje příběh, který SoA vypráví.
Silný balíček pro vedení k sladění ISO 27001:2022, NIS2 a DORA má obsahovat:
- Rozsah ISMS a pokryté obchodní služby.
- Nejvýznamnější rizika bezpečnosti informací a ICT.
- Souhrn použitelných opatření podle domény.
- Stav mapování NIS2, DORA a GDPR.
- Kritické dodavatele a rizika koncentrace.
- Metriky hlášení incidentů a výsledky stolních cvičení.
- Otevřená nápravná opatření a opožděná ošetření rizik.
- Rozhodnutí potřebná k přijetí rizika, rozpočtu, vlastnictví a zdrojům.
Tím se soulad mění v důkazy správy a řízení. Zároveň je to v souladu s účelem opatření 5.1 v Zenith Controls, kde politiky bezpečnosti informací podporují směr na úrovni vrcholového vedení, odpovědnost a bezpečnostní cíle.
Časté chyby, kterým je třeba se vyhnout
První chybou je předpokládat, že certifikace ISO 27001:2022 automaticky prokazuje soulad s NIS2 nebo DORA. Neprokazuje. ISO 27001:2022 poskytuje robustní systém řízení a páteř bezpečnostních opatření, ale stále potřebujete vymezení regulatorního rozsahu, právní analýzu, sektorově specifický výklad, oznamovací procesy a znalost očekávání národních orgánů.
Druhou chybou je považovat SoA za statický dokument. SoA se musí vyvíjet, když vzniknou noví dodavatelé, systémy, incidenty, právní předpisy, služby nebo rizika. Zenith Blueprint, krok 24, doporučuje křížově ověřovat SoA proti registru rizik a plánu ošetření, aby každé vybrané opatření mělo odůvodnění založené na mapovaném riziku, právním požadavku nebo obchodní potřebě.
Třetí chybou je mapovat příliš vysoko. Slide, který říká „ISO 27001 se mapuje na DORA“, není auditní důkaz. Konkrétní položka SoA, která propojuje bezpečnost vztahů s dodavateli s rizikem kritického dodavatele ICT, smluvní doložkou, záznamem přezkumu dodavatele a očekáváním DORA na dohled nad třetími stranami, je mnohem silnější.
Čtvrtou chybou je necentralizovat důkazy. Pokud manažer souladu stráví dva týdny sběrem snímků obrazovky před každým auditem, organizace má problém s vyhledáváním důkazů.
Pátou chybou je ignorovat opatření týkající se lidí. Hlášení incidentů, zařazení dodavatele, přezkum přístupových práv, akceptace politiky a eskalace závisí na lidském chování. Vyleštěný proces, který nikdo nedodržuje, se při auditním vzorkování zhroutí.
Provozní model Clarysec pro průřezový soulad
Metoda Clarysec propojuje příběh souladu od strategie až po důkazy:
- V Zenith Blueprint, fáze Řízení rizik, krok 13, mapujete opatření na rizika a vytváříte SoA jako přemosťující dokument.
- V Zenith Blueprint, fáze Řízení rizik, krok 14, křížově odkazujete požadavky GDPR, NIS2 a DORA na politiky a opatření.
- V Zenith Blueprint, fáze Opatření v praxi, krok 16, zprovozňujete hlášení incidentů řízené lidmi, aby eskalace začínala včas.
- V Zenith Blueprint, fáze Audit, přezkum a zlepšování, krok 24, dokončujete a testujete SoA, křížově jej ověřujete proti plánu ošetření rizik a připravujete jej jako jeden z prvních dokumentů, které si auditor vyžádá.
Tuto metodu podporují politiky Clarysec, které převádějí principy do provozních pravidel: správa a řízení bezpečnosti informací, ošetření rizik, bezpečnost dodavatelů, reakce na incidenty, právní a regulační mapování a ukládání důkazů.
Výsledkem není jen připravenost podle ISO 27001:2022. Je to opakovaně použitelný systém důkazů souladu pro NIS2, DORA, GDPR, programy ujištění zákazníků, interní audit a dohled vedení.
Další kroky: vybudujte jednou, prokazujte opakovaně
Pokud vaše organizace čelí tlaku NIS2, DORA, GDPR, zákaznických auditů nebo certifikace ISO 27001:2022, začněte páteří.
- Přezkoumejte své SoA a přidejte sloupce regulatorních důvodů pro NIS2, DORA a GDPR.
- Křížově zkontrolujte SoA proti svému registru rizik a plánu ošetření rizik.
- Namapujte kritické dodavatele na bezpečnostní opatření pro dodavatele, smluvní doložky a důkazy z monitorování.
- Otestujte pracovní postup hlášení incidentů pomocí stolního cvičení.
- Centralizujte auditní důkazy podle opatření, právního předpisu, vlastníka a stavu testování.
- Použijte Zenith Controls k převodu opatření ISO/IEC 27002:2022 na důkazy pro průřezový soulad.
- Použijte Zenith Blueprint k přechodu od ošetření rizik k auditně připravené validaci SoA.
- Nasaďte sadu politik Clarysec, včetně Politiky bezpečnosti informací, Politiky řízení rizik, Bezpečnostní politiky dodavatelů a poskytovatelů služeb třetích stran a Politiky reakce na incidenty, abyste urychlili implementaci.
Nejrychlejší cestou nejsou další izolované kontrolní seznamy. Je jí jeden integrovaný ISMS, jedno dohledatelné SoA, jeden centralizovaný důkazní model a jeden provozní rytmus průřezového souladu.
Clarysec vám může pomoci změnit ISO 27001:2022 z certifikačního projektu na praktickou páteř bezpečnostních opatření pro NIS2 a DORA. Stáhněte si Zenith Blueprint, prozkoumejte Zenith Controls, nebo si objednejte posouzení Clarysec a vytvořte auditně připravený důkazní model dříve, než si další regulační orgán, zákazník nebo výbor vedení vyžádá důkaz.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
