Interní audit ISO 27001 pro NIS2 a DORA
Je první zasedání auditního výboru v roce 2026. Sarah, CISO společnosti FinSecure, rychle rostoucího poskytovatele SaaS a fintechových služeb, má v programu patnáct minut. Správní rada má pět otázek.
Jsme připraveni na náš dozorový audit ISO/IEC 27001:2022? Spadáme jako poskytovatel řízených služeb do působnosti NIS2? Dopadá na nás DORA, protože podporujeme klienty z finančního sektoru? Dokážeme doložit, že hlášení incidentů, náležitá péče o dodavatele a kontinuita činností skutečně fungují? A proč přezkum přístupových práv za poslední čtvrtletí stále odhalil účty, které již měly být odebrány?
Sarah důkazy má, ale jsou roztříštěné. Technický tým má exporty ze skenování zranitelností. Nákup má dodavatelské dotazníky. Právní oddělení má smluvní doložky. Manažer řízení souladu má evidenci GDPR. SOC má tikety k incidentům. Nic z toho není zjevně špatně, ale nic z toho netvoří ucelený příběh o ujištění.
Právě v tomto okamžiku se program interního auditu ISO 27001 buď stane strategickým nástrojem pro tvorbu důkazů, nebo zůstane každoročním shonem na poslední chvíli.
Pro organizace dotčené NIS2 a DORA již interní audit nemůže být formálním kontrolním seznamem. Musí se stát systémem ujištění založeným na rizicích, který ověřuje, zda je rozsah ISMS správný, zda opatření fungují v praxi, zda jsou regulatorní požadavky namapovány, zda jsou zjištění klasifikována konzistentně a zda se nápravná opatření dostávají do přezkoumání vedením. V roce 2026 se nejsilnější programy nebudou ptát pouze: „Provedli jsme audit?“ Budou se ptát: „Dokážeme měsíc po měsíci doložit, že správa a řízení kybernetické bezpečnosti, odolnost ICT, bezpečnost dodavatelů a připravenost na incidenty fungují?“
Tento přístup Clarysec promítá do Zenith Blueprint: 30kroková mapa auditora, Zenith Controls: průvodce napříč požadavky souladu a sady politik Clarysec. Cílem není vytvářet oddělené projekty pro ISO, NIS2 a DORA. Cílem je rozšířit ISMS tak, aby jeden auditní program vytvářel opakovaně použitelné důkazy pro více požadavků na ujištění.
Proč se programy interního auditu pro rok 2026 musí změnit
NIS2 a DORA posunuly auditní diskusi od dokumentace k řízené odolnosti.
NIS2 se vztahuje na mnoho středních a velkých organizací v kritických a významných odvětvích, včetně digitální infrastruktury, poskytovatelů služeb cloud computingu, poskytovatelů datových center, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, online tržišť, internetových vyhledávačů a platforem sociálních sítí. Členské státy začaly uplatňovat vnitrostátní opatření od října 2024 a v roce 2026 již mnoho organizací funguje v prvním úplném roce vyspělých očekávání podle NIS2.
DORA se od 17. ledna 2025 vztahuje na širokou škálu finančních subjektů, včetně úvěrových institucí, platebních institucí, institucí elektronických peněz, investičních podniků, poskytovatelů služeb souvisejících s kryptoaktivy, pojišťoven a zajišťoven, poskytovatelů služeb skupinového financování a příslušných poskytovatelů ICT služeb z řad třetích stran. DORA je odvětvový režim digitální provozní odolnosti pro zahrnuté finanční subjekty. Poskytovatelé ICT, kteří obsluhují finanční subjekty, mohou dopady DORA pocítit také prostřednictvím smluv, práv na audit, účasti na testování, podpory při incidentech, kontrol subdodávek a požadavků na ukončení služby.
Oba předpisy zvyšují odpovědnost. NIS2 Article 20 vyžaduje, aby řídicí orgány schvalovaly opatření pro řízení rizik kybernetické bezpečnosti, dohlížely na ně a absolvovaly školení v oblasti kybernetické bezpečnosti. DORA Article 5 činí řídicí orgán konečně odpovědným za rizika ICT, včetně schvalování strategie digitální provozní odolnosti, politik ICT, opatření kontinuity a rizik třetích stran a dohledu nad nimi.
ISO 27001 se pro toto prostředí dobře hodí, protože jde o systém řízení. Vyžaduje, aby organizace porozuměla svému kontextu, definovala zainteresované strany a jejich požadavky, stanovila rozsah ISMS, posuzovala a ošetřovala rizika, monitorovala výkonnost, prováděla interní audity a podporovala neustálé zlepšování. Smyslem není vtlačit NIS2 a DORA do šablony ISO. Smyslem je použít ISO 27001 jako provozní rámec pro opakovatelné ujištění.
Začněte rozsahem: auditujte systém, na který se spoléhá správní rada
Slabý program interního auditu začíná neurčitým rozsahem typu „bezpečnost informací“. Silný program začíná obchodní a regulatorní hranicí.
ISO 27001 vyžaduje, aby rozsah ISMS zohlednil interní a externí aspekty, požadavky zainteresovaných stran a rozhraní nebo závislosti na jiných organizacích. To je důležité, protože povinnosti podle NIS2 a DORA často leží na okrajích organizace: cloudové platformy, outsourcovaní poskytovatelé SOC, řízená detekce a reakce, platební systémy, fintechová rozhraní API, zpracování zákaznických dat, zálohovací služby a partneři pro eskalaci incidentů.
Audit and Compliance Monitoring Policy-sme od Clarysec stanovuje základní úroveň správy a řízení:
Generální ředitel (GM) musí schválit roční plán auditů.
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.1.1.
Pro větší prostředí Audit and Compliance Monitoring Policy od Clarysec očekávání zvyšuje:
Plán auditů založený na rizicích musí být vypracován a každoročně schválen s přihlédnutím k:
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.
Rozsah proto není pouhou preferencí auditora. Je to vedením schválený závazek ujištění.
Program interního auditu ISO 27001 pro rok 2026 podporující NIS2 a DORA by měl zahrnovat:
- Kapitoly a procesy ISMS, včetně kontextu, vedení, řízení rizik, cílů, podpory, provozu, hodnocení výkonnosti a zlepšování.
- Relevantní oblasti opatření přílohy A ISO/IEC 27001:2022, včetně vztahů s dodavateli, řízení incidentů, kontinuity činností, právních povinností, ochrany soukromí, protokolování, monitorování, řízení zranitelností, řízení přístupu, kryptografie, bezpečného vývoje, řízení změn a správy cloudových služeb.
- Regulatorní překryvy, včetně NIS2 Articles 20, 21 a 23, DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 a 28 to 30, a dále požadavků GDPR na zabezpečení a odpovědnost.
- Klíčové služby a obchodní procesy, zejména kritické nebo významné funkce, základní služby, platformy určené zákazníkům a systémy podporující regulované klienty.
- Závislosti na třetích stranách, včetně dodavatelů ICT, poskytovatelů cloudových služeb, outsourcovaného vývoje, SOC, MSSP, zpracovatelů dat a kritických subdodavatelů.
- Procesy vytvářející důkazy, včetně posouzení rizik, přezkumu přístupových práv, nápravy zranitelností, cvičení incidentů, testů obnovy záloh, přezkumů dodavatelů, testů kontinuity a přezkoumání vedením.
Zenith Blueprint toto posiluje ve fázi Audit, přezkum a zlepšování, krok 25, Program interního auditu:
Rozhodněte o rozsahu svého programu interního auditu. V průběhu roku musíte nakonec pokrýt všechny relevantní procesy a opatření ISMS.
Z fáze Audit, přezkum a zlepšování, krok 25: Program interního auditu.
Nemusíte auditovat všechno každý měsíc. V ročním cyklu byste však měli pokrýt všechny relevantní procesy a opatření ISMS, přičemž u vysoce rizikových a regulovaných oblastí má práce probíhat častěji.
Vytvořte auditní univerzum kolem témat opatření NIS2 a DORA
NIS2 Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření. Jeho základ zahrnuje analýzu rizik, bezpečnostní politiky, zvládání incidentů, kontinuitu činností, správu záloh, obnovu po havárii, krizové řízení, zabezpečení dodavatelského řetězce, bezpečné pořizování a vývoj, zvládání zranitelností, posuzování účinnosti, kybernetickou hygienu, školení, kryptografii, bezpečnost v HR, řízení přístupu, správu aktiv, MFA nebo průběžnou autentizaci tam, kde je to vhodné, a bezpečnou komunikaci.
DORA má podobný provozní životní cyklus. Vyžaduje, aby finanční subjekty identifikovaly a klasifikovaly podnikové funkce podporované ICT, informační aktiva, aktiva ICT, závislosti a propojení s třetími stranami. Vyžaduje také ochranu, detekci, klasifikaci incidentů, reakci, obnovu, zálohování, obnovení, testování, poznatky získané po incidentech, komunikaci a řízení rizik třetích stran v oblasti ICT.
Jednotné auditní univerzum zabraňuje běžné chybě, kdy se ISO 27001 audituje odděleně od NIS2 a DORA.
| Auditní doména | Auditní kotva ISO 27001 | Relevance pro NIS2 a DORA | Typické důkazy |
|---|---|---|---|
| Správa a řízení a právní povinnosti | Kontext, vedení, ošetření rizik, právní a smluvní požadavky | Dohled správní rady podle NIS2, odpovědnost řídicího orgánu podle DORA, odpovědnost podle GDPR | Právní registr, registr zainteresovaných stran, rozsah ISMS, ochota podstupovat riziko, zápisy ze správní rady, přezkoumání vedením |
| Posouzení a ošetření rizik | Posouzení rizik, Prohlášení o použitelnosti, plán ošetření rizik | Vhodná a přiměřená opatření podle NIS2, rámec řízení rizik v oblasti ICT podle DORA | Registr rizik, kritéria rizik, schválení ošetření rizik, přijetí zbytkového rizika |
| Evidence aktiv a závislostí | Správa aktiv, správa cloudových služeb, služby dodavatelů | Aktiva ICT a propojení podle DORA, systémy pro poskytování služeb podle NIS2 | CMDB, mapy toků dat, registr dodavatelů, cloudová evidence, klasifikace kritičnosti |
| Řízení přístupu a identit | Bezpečnost v HR, správa přístupu, MFA, privilegovaný přístup | Řízení přístupu a MFA podle NIS2, zásada nejnižších oprávnění a silná autentizace podle DORA | Tikety nástupů, přesunů a odchodů, přezkum přístupových práv, reporty MFA, logy privilegovaných účtů |
| Protokolování, monitorování a detekce | Protokolování, monitorování, posouzení událostí | Detekce anomálií a klasifikace incidentů podle DORA, připravenost na incidenty podle NIS2 | Upozornění SIEM, detekční pravidla, záznamy o triáži incidentů, monitorovací řídicí panely |
| Řízení incidentů | Plánování incidentů, reakce, sběr důkazů, získané poznatky | Pracovní postup hlášení podle NIS2, životní cyklus ICT incidentu podle DORA | Log incidentů, matice závažnosti, šablony oznámení, zprávy o kořenové příčině, záznamy ze cvičení |
| Kontinuita činností a obnova | Připravenost ICT, zálohy, bezpečnost při narušení | Zálohování a krizové řízení podle NIS2, kontinuita a obnova podle DORA | BIA, plány kontinuity, testy záloh, záznamy RTO a RPO, test krizové komunikace |
| Riziko dodavatelů a třetích stran v oblasti ICT | Smlouvy s dodavateli, dodavatelský řetězec ICT, pořízení a ukončení cloudových služeb | Zabezpečení dodavatelského řetězce podle NIS2, registr třetích stran v oblasti ICT a smluvní doložky podle DORA | Náležitá péče o dodavatele, smlouvy, práva na audit, plány ukončení, analýza rizika koncentrace |
| Bezpečný vývoj a zranitelnosti | Bezpečné pořizování, vývoj, změny, řízení zranitelností | Zvládání zranitelností podle NIS2, záplatování a testování podle DORA | Skenování zranitelností, SLA pro nápravu, tikety změn, přezkum kódu, zprávy z penetračního testování |
| Monitorování souladu a nápravná opatření | Monitorování, interní audit, neshoda a nápravné opatření | Nápravná opatření podle NIS2, audit a následné sledování nápravy podle DORA | Auditní zprávy, evidence CAPA, řídicí panel KPI, opatření z přezkoumání vedením |
Tato struktura převádí každou auditní doménu na sdílený objekt ujištění. Interní auditor ověřuje požadavek ISO 27001 a následně zaznamená, zda stejné důkazy podporují také očekávání NIS2, DORA, GDPR, NIST CSF a COBIT 2019.
Plánujte rok podle rizik, ne podle dokumentů
Zenith Blueprint dává týmům praktickou posloupnost, jak přeměnit audit ve zlepšování:
- Krok 25, Program interního auditu: naplánujte rozsah, četnost, nezávislost a priority založené na rizicích.
- Krok 26, Provedení auditu: shromážděte objektivní důkazy prostřednictvím rozhovorů, přezkumu dokumentů, pozorování a vzorkování.
- Krok 27, Auditní zjištění, analýza a kořenová příčina: klasifikujte zjištění a určete kořenovou příčinu.
- Krok 28, Přezkoumání vedením: promítněte výsledky auditu, incidenty, neshody, cíle, rizika a potřeby zdrojů do přezkoumání vedením.
- Krok 29, Neustálé zlepšování: vytvořte nápravná opatření, která odstraňují příčiny, nejen příznaky.
Zenith Blueprint jasně stanoví nezávislost:
V ideálním případě by interní auditor neměl auditovat svou vlastní práci.
Z fáze Audit, přezkum a zlepšování, krok 25: Program interního auditu.
Pro menší SaaS nebo fintechovou společnost to může znamenat požádat manažera z jiné funkce, aby auditoval bezpečnostní procesy, rotovat vlastníky kontrol nebo využít externího konzultanta. Klíčové je dokumentovat kompetenci a nezávislost, zejména pokud mohou být důkazy pro NIS2 a DORA později přezkoumávány zákazníky, regulačními orgány, orgány dohledu nebo externími auditory.
Audit and Compliance Monitoring Policy-sme také definuje minimální strukturu auditu:
Každý audit musí zahrnovat definovaný rozsah, cíle, odpovědný personál a požadované důkazy.
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.3.
Praktická čtvrtletní struktura pro rychle rostoucího poskytovatele SaaS nebo ICT může vypadat takto:
| Čtvrtletí | Hlavní zaměření auditu | Regulatorní důraz | Hlavní výstupy |
|---|---|---|---|
| Q1 | Řízení a hlášení incidentů | NIS2 Article 23, DORA Articles 17 to 19 | Auditní zpráva k incidentům, test oznamovacího pracovního postupu, přezkum matice závažnosti |
| Q2 | Řízení rizik třetích stran v oblasti ICT | NIS2 Article 21, DORA Articles 28 to 30 | Vzorek dodavatelů, přezkum smluv, důkazy náležité péče, přezkum plánování ukončení |
| Q3 | Testování kontinuity činností a odolnosti | NIS2 Article 21, DORA Articles 11, 12, 24 to 27 | Důkazy o obnově záloh, cvičení kontinuity, náprava ze zkoušek odolnosti |
| Q4 | Správa a řízení, rizika a soulad | NIS2 Article 20, DORA Articles 5 a 6, ISO 27001 Clauses 5, 9 a 10 | Balíček pro přezkoumání vedením, stav CAPA, rozhodnutí o zbytkovém riziku, plán auditů na další rok |
Toto nenahrazuje měsíční sběr důkazů. Dává roku jasný rytmus ujištění.
Vzorkování: kolik důkazů stačí?
Vzorkování je místo, kde se mnoho interních auditů stává buď příliš povrchními, nebo příliš nákladnými. V regulovaných prostředích ICT musí být vzorkování založené na rizicích, vysvětlitelné a dokumentované.
Zenith Blueprint, krok 26, poskytuje praktickou zásadu:
Vzorkujte a provádějte namátkové kontroly: nemůžete zkontrolovat vše, proto použijte vzorkování.
Z fáze Audit, přezkum a zlepšování, krok 26: Provedení auditu.
Podniková politika Clarysec z toho činí auditovatelný požadavek:
Dokumentace strategie vzorkování, rozsahu auditu a omezení
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.5.3.
Pro NIS2 a DORA by vzorkování mělo zohlednit kritičnost, riziko, význam dodavatele, časové období, historii incidentů, geografii a to, zda vzorkovaný proces podporuje kritické nebo významné funkce.
| Oblast opatření | Populace | Doporučený vzorek | Úprava podle rizika |
|---|---|---|---|
| Zřizování přístupu | Všechny nové uživatelské účty za čtvrtletí | 10 účtů nebo 10 procent, podle toho, co je vyšší | Zahrnout všechny privilegované účty a správce kritických aplikací |
| Odebrání přístupu při odchodu | Všichni ukončení uživatelé za čtvrtletí | 100 procent u privilegovaných uživatelů, 10 standardních uživatelů | Zvýšit vzorek, pokud se změnila integrace HR nebo IAM |
| Náležitá péče o dodavatele | Aktivní dodavatelé ICT | Všichni kritičtí dodavatelé, 5 dodavatelů se středním rizikem, 3 dodavatelé s nízkým rizikem | Zahrnout dodavatele podporující finanční zákazníky nebo základní služby |
| Náprava zranitelností | Kritická a vysoká zjištění uzavřená za čtvrtletí | 15 tiketů napříč systémy | Zahrnout systémy dostupné z internetu a opakované výjimky |
| Řízení incidentů | Všechny bezpečnostní incidenty za čtvrtletí | Všechny závažné incidenty, 5 méně závažných incidentů, 3 příklady triáže falešně pozitivních nálezů | Zahrnout incidenty s osobními údaji, dopadem na zákazníky nebo přeshraniční relevancí |
| Obnova ze záloh | Testy záloh provedené za čtvrtletí | Všechny testy kritických systémů, 3 nekritické systémy | Zahrnout systémy podporující kritické nebo významné funkce |
| Řízení změn | Produkční změny za čtvrtletí | 15 změn včetně nouzových změn | Zahrnout změny ovlivňující autentizaci, protokolování, šifrování nebo zákaznická data |
| Bezpečnostní školení | Zaměstnanci a dodavatelé aktivní v období | 20 uživatelů napříč útvary | Zahrnout členy řídicího orgánu a privilegované technické role |
V prostředích dotčených DORA si důkazy z testování zaslouží zvláštní pozornost. DORA vyžaduje testování digitální provozní odolnosti u finančních subjektů, přičemž u vybraných subjektů alespoň jednou za tři roky také pokročilejší testování, například penetrační testování vedené hrozbami. Auditní vzorek by měl zahrnovat nejen testovací zprávy, ale také důkazy, že zjištění byla prioritizována, napravena a znovu otestována.
Praktický příklad auditu: riziko třetích stran v oblasti ICT
Bezpečnost dodavatelů často nejrychleji odhalí mezery mezi dokumentací a provozní realitou. DORA Articles 28 to 30 vyžadují řízení rizik třetích stran v oblasti ICT, smluvní obsah a registry informací. NIS2 Article 21 vyžaduje zabezpečení dodavatelského řetězce, které zohledňuje zranitelnosti a postupy přímých dodavatelů.
Pro audit v Q2 Sarah vybere vzorek pěti kritických dodavatelů, tří nových dodavatelů zařazených během posledních šesti měsíců a dvou dodavatelů s nedávno obnovenými smlouvami. Auditor vede rozhovory s nákupem, právním oddělením, vlastníky služeb a vlastníky bezpečnostních kontrol.
| Požadavek DORA nebo NIS2 | Kotva opatření ISO 27001:2022 | Auditní otázka | Důkazy ke shromáždění |
|---|---|---|---|
| DORA Article 28, registr třetích stran v oblasti ICT | A.5.19 Bezpečnost informací ve vztazích s dodavateli | Existuje úplný a aktuální registr ujednání s poskytovateli ICT služeb z řad třetích stran? | Aktuální registr dodavatelů a vzorkované záznamy kritických dodavatelů |
| DORA Article 28, předsmluvní posouzení rizik | A.5.19 Bezpečnost informací ve vztazích s dodavateli | Byla před podpisem nebo obnovením dodavatelských smluv provedena náležitá péče? | Zprávy z náležité péče, posouzení rizik a záznamy o schválení |
| DORA Article 30, smluvní obsah | A.5.20 Řešení bezpečnosti informací ve smlouvách s dodavateli | Obsahují smlouvy bezpečnostní opatření, práva na audit, podporu při incidentech a podporu při ukončení tam, kde je to vyžadováno? | Smlouvy, dodatky, bezpečnostní přílohy a poznámky z právního přezkumu |
| NIS2 Article 21, zabezpečení dodavatelského řetězce | A.5.21 Řízení bezpečnosti informací v dodavatelském řetězci ICT | Jsou známy bezpečnostní postupy dodavatelů, subdodávky a závislosti služeb? | Dodavatelské dotazníky, oznámení o subdodavatelích a mapy závislostí |
| Průběžné monitorování dodavatelů | A.5.22 Monitorování, přezkum a řízení změn služeb dodavatelů | Je výkonnost a bezpečnost dodavatelů průběžně přezkoumávána? | Zápisy z QBR, SLA reporty, auditní zprávy a záznamy z každoročního přezkumu |
Tato tabulka nejen vede sběr důkazů. Dokládá, že organizace převedla regulatorní text na auditní kritéria sladěná s ISO a na konkrétní důkazy.
Zjištění: pište je tak, aby vedení mohlo jednat
Auditní zjištění nemá znít jako neurčitá stížnost. Má být strukturované tak, aby vedení porozumělo riziku, přiřadilo vlastnictví a schválilo nápravné opatření.
Audit and Compliance Monitoring Policy-sme stanoví:
Všechna auditní zjištění musí být dokumentována s hodnocením rizik a navrženými opatřeními.
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.4.1.
Podniková Audit and Compliance Monitoring Policy doplňuje disciplínu nápravných opatření:
Všechna zjištění musí vést k dokumentovanému CAPA, které zahrnuje:
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.
V Zenith Blueprint krok 27 doporučuje kategorizovat zjištění jako závažné neshody, méně závažné neshody nebo pozorování a následně provést analýzu kořenové příčiny. Závažná neshoda označuje vážnou mezeru nebo systémové selhání. Méně závažná neshoda je izolované pochybení v jinak vyhovujícím procesu. Pozorování je příležitost ke zlepšení.
Silné zjištění zahrnuje:
- Požadavek nebo očekávání opatření.
- Zjištěný stav.
- Vzorkované důkazy.
- Riziko a dopad na podnikání.
- Regulatorní relevanci.
- Klasifikaci a hodnocení rizika.
- Kořenovou příčinu.
- Vlastníka nápravného opatření a termín splnění.
Příklad zjištění:
Zjištění NC-2026-07, méně závažná neshoda, zpoždění přezkumu bezpečnosti dodavatelů
Požadavek: Přezkumy bezpečnosti dodavatelů u kritických poskytovatelů ICT musí být prováděny alespoň jednou ročně a podporovat dodavatelská opatření ISO 27001, očekávání NIS2 v oblasti dodavatelského řetězce a povinnosti DORA v oblasti rizik třetích stran v ICT.
Stav: U dvou z dvanácti kritických dodavatelů ICT nebyly do požadovaného data dokončeny bezpečnostní přezkumy za rok 2026.
Důkaz: Export registru dodavatelů ze dne 15. června 2026, evidence přezkumů dodavatelů, rozhovor s vedoucím nákupu a dva chybějící záznamy o přezkumu.
Riziko: Opožděný přezkum dodavatele může zabránit včasné identifikaci zranitelností, změn subdodávek, mezer v podpoře při incidentech nebo smluvního nesouladu ovlivňujícího kritické služby.
Kořenová příčina: Nákup nebyl automaticky upozorněn na blížící se termíny přezkumů dodavatelů a nebylo přiřazeno vlastnictví důkazů týkajících se dodavatelů podle DORA.
Nápravné opatření: Nakonfigurovat automatické připomínky přezkumů, přiřadit jmenované vlastníky kontrol ke všem kritickým dodavatelům ICT, dokončit opožděné přezkumy do 31. července 2026 a provádět čtvrtletní kontroly vzorků.
Pro analýzu kořenové příčiny je užitečná technika „5 proč“. Pokud bylo opomenuto předsmluvní posouzení, skutečnou příčinou nemusí být individuální chyba. Může jí být to, že nákupní pracovní postup umožnil nízkonákladovým ICT smlouvám obejít bezpečnostní přezkum, přestože očekávání DORA a NIS2 se uplatňují podle rizika a závislosti, nikoli pouze podle výše výdajů.
Kalendář důkazů pro rok 2026
Kalendář důkazů pro rok 2026 mění interní audit v provozní rytmus. Rozkládá tvorbu důkazů do celého roku a předchází shonu na konci roku.
Information Security Policy od Clarysec očekává přezkum správy a řízení v oblasti:
Přezkum bezpečnostních klíčových ukazatelů výkonnosti (KPI), incidentů, auditních zjištění a stavu rizik
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.3.2.
Důkazy se neshromažďují jen pro auditory. Vstupují do rozhodnutí o rizicích, rozpočtu, zdrojích, dodavatelích, nástrojích, školení a nápravných opatřeních.
| Měsíc | Zaměření auditu a důkazů | Klíčové důkazní výstupy |
|---|---|---|
| Leden | Potvrzení regulatorního rozsahu, rozsahu ISMS a plánu auditů pro rok 2026 | Schválený plán auditů, přezkum rozsahu ISMS, posouzení použitelnosti NIS2 a DORA, aktualizace právního registru |
| Únor | Správa a řízení, ochota podstupovat riziko a školení řídicího orgánu | Zápisy ze správní rady, záznamy o školení, kritéria rizik, aktualizovaný registr rizik |
| Březen | Evidence aktiv, dat a závislostí | Export CMDB, mapy toků dat, seznam kritických služeb, mapa propojení dodavatelů ICT |
| Duben | Audit řízení přístupu a MFA | Záznamy o přezkumu přístupových práv, vzorek privilegovaného přístupu, report pokrytí MFA, testování odchodů |
| Květen | Zranitelnosti, záplatování a bezpečné řízení změn | Metriky zranitelností, důkazy o nápravě, vzorek tiketů změn, schválení výjimek |
| Červen | Správa dodavatelů a cloudových služeb | Vzorek náležité péče o dodavatele, přezkum smluvních doložek, práva na audit, plány ukončení, poznámky k riziku koncentrace |
| Červenec | Cvičení řízení a hlášení incidentů | Simulace incidentu, klasifikace závažnosti, test pracovního postupu hlášení podle NIS2, test eskalace incidentů podle DORA |
| Srpen | Protokolování, monitorování a detekce | Případy použití SIEM, ladění upozornění, pokrytí monitorováním, vzorek eskalací |
| Září | Zálohování, obnova a kontinuita činností | Záznamy o testech záloh, důkazy RTO a RPO, cvičení kontinuity, test krizové komunikace |
| Říjen | Bezpečný vývoj a zabezpečení aplikací | Důkazy SDLC, vzorek přezkumu kódu, výsledky bezpečnostního testování, přezkum outsourcovaného vývoje |
| Listopad | Úplný interní audit ISMS a přezkum napříč požadavky souladu | Zpráva z interního auditu, registr zjištění, mapování NIS2 a DORA, důkazy odpovědnosti podle GDPR |
| Prosinec | Přezkoumání vedením a uzavření nápravných opatření | Zápis z přezkoumání vedením, stav CAPA, přijetí zbytkového rizika, vstupy do plánu auditů na rok 2027 |
Tento kalendář dává auditnímu výboru plán ujištění orientovaný do budoucna a vlastníkům kontrol poskytuje čas vytvářet důkazy v rámci běžného provozu.
Páteř ISO 27002:2022: 5.31, 5.35 a 5.36
Zenith Controls je průvodce Clarysec napříč požadavky souladu. Mapuje oblasti opatření ISO/IEC 27001:2022 a ISO/IEC 27002:2022 na další normy, právní předpisy, auditní očekávání a vzorce důkazů. Je obzvlášť užitečný pro propojení interního přezkumu, právních povinností a souladu s politikami.
Tři oblasti opatření ISO/IEC 27002:2022 tvoří páteř jednotného programu interního auditu:
| Oblast ISO 27002:2022 zvýrazněná v Zenith Controls | Auditní otázka | Hodnota pro NIS2 a DORA |
|---|---|---|
| 5.31 Právní, zákonné, regulační a smluvní požadavky | Víme, které povinnosti se uplatní, a namapovali jsme je na opatření a důkazy? | Podporuje použitelnost NIS2, povinnosti ICT podle DORA, zákaznické smlouvy a odpovědnost podle GDPR |
| 5.35 Nezávislý přezkum bezpečnosti informací | Jsou přezkumy objektivní, plánované, kompetentní a vedou k opatřením? | Podporuje ujištění nad opatřeními kybernetické bezpečnosti, testováním odolnosti ICT a dohledem vedení |
| 5.36 Soulad s politikami, pravidly a normami bezpečnosti informací | Jsou interní pravidla v praxi dodržována a průběžně monitorována? | Podporuje prosazování politik, kybernetickou hygienu, řízení přístupu, připravenost na incidenty a nápravná opatření |
Opatření 5.35 je základním kamenem ujištění, protože ověřuje, zda je ISMS nezávisle přezkoumáván. Opatření 5.36 potvrzuje, že politiky nejsou pouze schválené, ale skutečně dodržované. Opatření 5.31 propojuje ISMS s právními, regulatorními a smluvními povinnostmi, včetně NIS2, DORA, GDPR a bezpečnostních požadavků zákazníků.
Mapování napříč požadavky souladu: jeden audit, více pohledů na ujištění
Vyspělý pracovní dokument interního auditu by měl výslovně ukazovat, jak jedna důkazní položka podporuje několik očekávání ujištění.
| Auditní důkaz | Ujištění ISO 27001 | Relevance pro NIS2 | Relevance pro DORA | Relevance pro GDPR, NIST a COBIT |
|---|---|---|---|---|
| Právní a regulační registr | Kontext a povinnosti v oblasti souladu | Rozsah, status subjektu, hybné faktory Article 21 | Odvětvové povinnosti odolnosti ICT | Odpovědnost podle GDPR, NIST CSF GOVERN, externí soulad podle COBIT |
| Registr rizik a plán ošetření rizik | Posouzení rizik, ošetření rizik, Prohlášení o použitelnosti | Vhodná a přiměřená opatření | Rámec řízení rizik v oblasti ICT a tolerance | Řízení rizik podle NIST, optimalizace rizik podle COBIT |
| Zpráva z tabletop cvičení incidentu | Připravenost na incidenty a získané poznatky | Připravenost pracovního postupu hlášení | Klasifikace, eskalace, hlášení a kořenová příčina | Připravenost na porušení zabezpečení podle GDPR, NIST CSF RESPOND, řízené incidenty podle COBIT |
| Soubor náležité péče o dodavatele | Vztah s dodavatelem a dodavatelský řetězec ICT | Zranitelnosti a postupy dodavatelů | Registr třetích stran v oblasti ICT, náležitá péče, plánování ukončení | NIST C-SCRM, správa dodavatelů podle COBIT |
| Test obnovy záloh | Připravenost ICT a kontinuita | Zálohování, obnova po havárii, krizové řízení | Cíle obnovy, obnovení a kontroly integrity | Dostupnost podle GDPR, NIST CSF RECOVER, kontinuita podle COBIT |
| Přezkum přístupových práv | Řízení přístupu a bezpečnost v HR | Očekávání pro řízení přístupu a MFA | Zásada nejnižších oprávnění a silná autentizace | Integrita a důvěrnost podle GDPR, NIST CSF PROTECT |
Právě to umožňuje CISO sdělit správní radě: „Náš červencový audit incidentů vytvořil důkazy pro ISO 27001, NIS2, zákaznické ujištění podle DORA, připravenost na porušení zabezpečení podle GDPR, výsledky reakce podle NIST CSF a správu incidentů podle COBIT.“
Přezkoumání vedením: kde se audit mění v odpovědnost
Interní audit má malou hodnotu, pokud se zjištění nedostanou k vedení. Přezkoumání vedením podle ISO 27001 poskytuje mechanismus a NIS2 i DORA výslovně stanovují očekávání správy a řízení.
Audit and Compliance Monitoring Policy-sme vyžaduje:
Auditní zjištění a aktualizace stavu musí být zahrnuty do procesu přezkoumání ISMS vedením.
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.4.3.
Dále stanoví:
GM musí schválit plán nápravných opatření a sledovat jeho implementaci.
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.4.2.
Přezkoumání vedením by mělo odpovědět na tyto otázky:
- Jsou povinnosti podle NIS2, DORA, GDPR a smluv stále správně promítnuty do rozsahu ISMS?
- Jsou vysoce riziková opatření auditována dostatečně často?
- Která zjištění ukazují na systémovou slabinu, nikoli na izolovanou chybu?
- Jsou nápravná opatření po termínu?
- Přijímají vlastníci rizik zbytkové riziko vědomě?
- Jsou dodavatelé, hlášení incidentů, kontinuita a testování dostatečně zajištěny zdroji?
- Naznačují auditní trendy potřebu změn politik, nástrojů, rozpočtu nebo školení?
Pokud tyto odpovědi nejsou dokumentovány, organizace může mít důkazy o aktivitě, ale ne důkazy o správě a řízení.
Časté chyby, kterým se v roce 2026 vyhnout
Nejčastějším selháním je zacházet s interním auditem ISO 27001 odděleně od regulatorního ujištění. Tím vzniká duplicita a slepá místa.
Mezi další chyby patří:
- Rozsah nezahrnuje kritické dodavatele, cloudové platformy nebo outsourcované služby SOC.
- Použitelnost NIS2 nebo DORA není dokumentována v právním registru.
- Plán auditů není schválen vedením.
- Vzorkování se provádí, ale není dokumentováno.
- Interní auditoři přezkoumávají vlastní práci bez kompenzačních opatření.
- Zjištění popisují příznaky, nikoli kořenové příčiny.
- Nápravná opatření aktualizují dokumenty, ale neopravují procesy.
- Přezkoumání vedením obdrží výsledky auditu, ale nepřijme žádná rozhodnutí.
- Cvičení incidentů testují technickou reakci, ale nikoli regulatorní oznamování.
- Audity dodavatelů přezkoumávají dotazníky, ale nikoli smlouvy, plány ukončení nebo riziko koncentrace.
- Důkazy o zálohování ukazují úspěšné úlohy, ale nikoli integritu obnovení.
- Přezkumy přístupových práv se provádějí, ale výjimky nejsou sledovány až do uzavření.
Každá chyba se může stát méně závažnou nebo závažnou neshodou podle závažnosti a systémového dopadu. Ještě důležitější je, že každá oslabuje schopnost organizace doložit odolnost podle NIS2, DORA a při kontrole ze strany zákazníků.
Proměňte svůj auditní plán na rok 2026 v nástroj pro tvorbu důkazů
Pokud je váš program interního auditu stále jednorázovou roční událostí, nastal čas jej přepracovat.
Začněte vedením schváleným plánem auditů. Definujte rozsah ISMS podle skutečných služeb, regulovaných povinností a závislostí na třetích stranách. Vytvořte auditní univerzum založené na rizicích. Dokumentujte vzorkování. Klasifikujte zjištění konzistentně. Používejte analýzu kořenové příčiny. Sledujte CAPA. Promítejte výsledky do přezkoumání vedením. Udržujte měsíční kalendář důkazů.
Clarysec vám může pomoci postupovat rychleji pomocí:
- Zenith Blueprint: 30kroková mapa auditora pro plánování auditu, provedení, zjištění, přezkoumání vedením a neustálé zlepšování.
- Zenith Controls: průvodce napříč požadavky souladu pro mapování ujištění ISO 27001 na očekávání NIS2, DORA, GDPR, NIST CSF a COBIT.
- Audit and Compliance Monitoring Policy a Audit and Compliance Monitoring Policy-sme pro plánování auditů a řízení zjištění připravené na správu a řízení.
- Information Security Policy pro přezkum KPI, incidentů, auditních zjištění a stavu rizik na úrovni vedení.
Vyberte jednu vysoce rizikovou doménu, například hlášení incidentů nebo správu dodavatelů ICT, a proveďte zaměřený interní audit s využitím struktury rozsahu, vzorkování a zjištění podle Clarysec. Během jednoho cyklu budete vědět, zda jsou vaše důkazy připravené na audit, zda vaše opatření fungují a zda má váš řídicí orgán informace, které potřebuje ke správě kybernetických rizik.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
