⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
CS EN BG DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Informace o hrozbách podle ISO 27001 pro NIS2 a DORA

Igor Petreski
15 min read
#Řízení rizik #Audit #ISMS #Reakce na incidenty #Řízení dodavatelů #Protokolování a monitorování
Pracovní postup pro informace o hrozbách podle ISO 27001 pro důkazy souladu s NIS2 a DORA

V úterý v 07:42 ráno obdrží CISO evropské fintech společnosti ještě před první kávou čtyři zprávy.

První je upozornění národního CERT, že zranitelnost ve vzdáleném přístupu je aktivně zneužívána. Druhá je bulletin dodavatele potvrzující, že dotčená komponenta se používá ve službě řízeného přenosu souborů. Třetí je oznámení služby řízené detekce a reakce, které označuje neobvyklý odchozí provoz z neprodukční podsítě. Čtvrtá je od CFO: „Má to dopad na náš balíček připravenosti na DORA a musíme někoho informovat podle NIS2?“

To je problém informací o hrozbách v roce 2026. Nejde o shromažďování dalších kanálů. Jde o doložení, že relevantní informace o kybernetických hrozbách jsou přijímány, validovány, směrovány, zpracovávány a převáděny do důkazů pro rizika, detekci, zranitelnosti, incidenty, dodavatele a řídicí orgány.

Mnoho organizací již odebírá doporučení dodavatelů, upozornění CISA, aktualizace ENISA, oznámení národních CERT, bulletiny ISAC, bezpečnostní oznámení poskytovatelů cloudových služeb, kanály CVE, reporty MDR, databáze zneužitelnosti a monitoring dark webu. Když však přijde skutečné bezpečnostní oznámení, týmy stále improvizují. SOC píše detekční pravidlo. Infrastruktura prohledává evidence aktiv, které nemusí být aktuální. Funkce souladu se ptá, zda událost ovlivňuje NIS2 nebo DORA. Vedení chce jasnou odpověď ještě předtím, než organizace vůbec ví, zda je zranitelná komponenta v produkčním prostředí.

Problémem není nedostatek dat. Problémem je absence auditovatelného provozního modelu.

Kanál informací o hrozbách, který nikdo nepoužívá, není opatřením. Bezpečnostní oznámení o zranitelnosti, které nezmění prioritu záplatování, není důkazem. Oznámení dodavatele, které se nikdy nedostane do registru rizik, není zabezpečením dodavatelského řetězce. Upozornění CSIRT, které neaktualizuje monitorování, triáž incidentů ani reportování vedení, je jen šum v doručené poště.

Přístup Clarysec je jednoduchý: informace o hrozbách se musí stát provozním mechanismem pro rozhodování o rizicích. Musí být začleněny do rozsahu ISMS, posouzení rizik, prohlášení o použitelnosti, postupů reakce na incidenty, triáže zranitelností, protokolování a monitorování, řízení dodavatelů, reportování vedení a balíčku auditních důkazů.

Proč jsou informace o hrozbách nyní opatřením na úrovni řídicích orgánů

NIS2 změnila tón správy a řízení kybernetické bezpečnosti. Do působnosti zahrnuje mnoho poskytovatelů SaaS, poskytovatelů cloudových služeb, poskytovatelů řízených služeb (MSP), poskytovatelů řízených bezpečnostních služeb, organizací digitální infrastruktury a poskytovatelů digitálních služeb jako základní nebo důležité subjekty podle odvětví, velikosti a určení členským státem.

NIS2 Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik. Patří sem analýza rizik, zvládání incidentů, kontinuita činností, zabezpečení dodavatelského řetězce, bezpečnost při pořizování, vývoji a údržbě včetně zvládání a oznamování zranitelností, posuzování účinnosti, základní kybernetická hygiena a školení, kryptografie, bezpečnost lidských zdrojů, řízení přístupu, správa aktiv a MFA nebo průběžná autentizace, je-li to vhodné.

NIS2 Article 20 také vyžaduje, aby řídicí orgány schvalovaly opatření řízení rizik kybernetické bezpečnosti, dohlížely na jejich implementaci a absolvovaly školení. U základních subjektů může maximální správní pokuta dosáhnout alespoň 10 milionů EUR nebo 2 procent celosvětového ročního obratu, podle toho, která částka je vyšší. U důležitých subjektů může dosáhnout alespoň 7 milionů EUR nebo 1,4 procenta.

U informací o hrozbách se otázka pro řídicí orgány mění na: jak víme, že nově vznikající hrozby mění naše opatření dříve, než se z nich stanou incidenty?

DORA přidává další vrstvu pro finanční subjekty a relevantní poskytovatele ICT služeb třetích stran. Použije se od 17. ledna 2025 a vyžaduje řádný, komplexní a dobře dokumentovaný rámec pro řízení rizik v oblasti ICT integrovaný do celkového systému řízení rizik. Rámec DORA očekává, že organizace identifikují a klasifikují obchodní funkce a aktiva podporovaná ICT, chrání a předcházejí, detekují anomální činnost, reagují a obnovují, řídí zálohování a obnovu, učí se z incidentů v oblasti ICT, komunikují v krizových situacích a řídí rizika ICT třetích stran.

DORA rovněž vyžaduje řízení, klasifikaci a oznamování incidentů souvisejících s ICT. Articles 17, 18, and 19 pokrývají procesy řízení incidentů, klasifikaci incidentů souvisejících s ICT a kybernetických hrozeb a oznamování závažných incidentů souvisejících s ICT. Article 10 se zaměřuje na detekci anomálních činností. Articles 6 to 11 popisují rámec pro řízení rizik v oblasti ICT, identifikaci, ochranu, prevenci, detekci, reakci a očekávání v oblasti obnovy.

Jednoduše řečeno, DORA očekává odolnost řízenou hrozbami. Ne statickou odolnost. Ne odolnost založenou na každoroční aktualizaci politik. Odolnost řízenou hrozbami.

ISO/IEC 27001:2022 poskytuje mechanismus systému řízení, který tato očekávání propojuje. Clauses 4.1 to 4.4 vyžadují, aby organizace rozuměla svému internímu a externímu kontextu, zainteresovaným stranám, právním a regulačním povinnostem, rozsahu ISMS, závislostem a vzájemně působícím procesům. Clauses 6.1.1 to 6.1.3 vyžadují opakovatelný proces posouzení rizik a ošetření rizik, výběr opatření, porovnání s přílohou A, prohlášení o použitelnosti, plánování ošetření a schválení zbytkového rizika vlastníkem rizika.

Informace o hrozbách patří právě sem — ne jako vedlejší řídicí panel, ale jako vstup do kontextu, rizik, výběru opatření, ošetření rizik, monitorování, přezkoumání vedením a neustálého zlepšování.

Past souladu: kanály informací o hrozbách bez dohledatelnosti rozhodnutí

Nejčastější vzorec selhání je klamně jednoduchý: organizace přijímá informace o hrozbách, ale nedokáže doložit, jak mění rozhodnutí.

Slabý řetězec důkazů obvykle vypadá takto:

Přijatý signálSlabá reakceObava auditora
Upozornění CERT na aktivní zneužíváníPřeposláno do IT schránkyNeexistuje důkaz o posouzení rizik, vlastnictví ani opatření
Bulletin dodavatele ke kritické záplatěPřidán do backlogu tiketůChybí prioritizace podle kritičnosti aktiva nebo aktivity exploitů
Detekce MDR podezřelého příkazového řádkuUzavřeno jako falešně pozitivníChybí dokumentovaná kritéria triáže nebo smyčka získaných poznatků
Oznámení dodavatele o kompromitované závislostiUloženo do složky nákupuChybí aktualizace rizika dodavatele nebo přezkum kompenzačních opatření
Varování ISAC o odvětvové kampaniZmíněno na schůzce SOCChybí aktualizace monitorování, povědomí nebo postupu reakce na incident

Právě zde metoda implementace Clarysec pomáhá organizacím přejít od „přijímáme informace“ k „informace provozně využíváme“.

V Zenith Blueprint: 30kroková mapa auditora Zenith Blueprint fáze Opatření v praxi výslovně převádí informace o hrozbách do auditovatelné praxe. Krok 22, organizační opatření, uvádí:

Vytvořte dokumentovaný seznam zdrojů informací o hrozbách (5.7) od dodavatelů, ISAC nebo otevřených zdrojů a určete, jak se informace validují a začleňují do rozhodování. Definujte, kdo dostává aktualizace o hrozbách a jak se používají (např. prioritizace záplat, školení povědomí). Vytvořte stručný informační přehled o trendech hrozeb, který se bude čtvrtletně distribuovat klíčovým zainteresovaným stranám.

Tento pokyn je mostem mezi daty o hrozbách a důkazy o souladu. Registr informací o hrozbách není jen seznam zdrojů. Dokládá relevanci, vlastnictví, validaci, směrování, integraci a obchodní využití.

Logika opatření ISO 27001: řetězec informací o hrozbách

ISO/IEC 27002:2022 opatření 5.7, informace o hrozbách, vyžaduje, aby organizace shromažďovaly a analyzovaly informace související s hrozbami pro bezpečnost informací a používaly je k vytváření informací o hrozbách. V Zenith Controls: průvodce napříč požadavky souladu Zenith Controls je opatření 5.7 klasifikováno jako preventivní, detekční a nápravné. Podporuje důvěrnost, integritu a dostupnost, je v souladu s koncepty kybernetické bezpečnosti Identify, Detect a Respond a spadá do řízení hrozeb a zranitelností jako provozní schopnost.

Na této klasifikaci záleží. Informace o hrozbách působí preventivně tím, že podporují hardening, záplatování, školení a opatření u dodavatelů. Detekční roli plní tím, že formují monitorování, pravidla SIEM a úkoly vyhledávání hrozeb. Nápravně působí tím, že zlepšují reakci na incidenty, získané poznatky a ošetření rizik.

Zenith Controls také mapuje ISO/IEC 27002:2022 opatření 5.7 na podpůrná opatření:

Vazba na opatření ISO/IEC 27002:2022Proč je to v praxi důležité
5.6 Kontakt se zvláštními zájmovými skupinamiISAC, CERT, odborná fóra a odvětvové komunity jsou zdroje informací, nikoli doplňkové networkingové aktivity
8.7 Ochrana před malwaremIndikátory kompromitace, škodlivé URL, hashe, infrastruktura command-and-control a vzorce útoků aktualizují ochranu koncových bodů a e-mailu
8.8 Řízení technických zranitelnostíInformace o exploitech aktivně zneužívaných v praxi mění prioritu zranitelností a naléhavost záplatování
8.15 ProtokolováníLogy poskytují faktický záznam potřebný k vyhledávání indikátorů a rekonstrukci činnosti
8.16 Monitorovací činnostiInformace o hrozbách říkají SOC, co monitorovat, zatímco monitorování vytváří interní informace
5.25 Posouzení a rozhodnutí o událostech bezpečnosti informacíTriáž podložená informacemi pomáhá rozhodnout, zda je událost bezpečnostním incidentem

Vazba na zranitelnosti je obzvlášť důležitá. Zenith Controls chápe opatření 8.8, řízení technických zranitelností, jako preventivní a přímo propojené s opatřením 5.7, protože informace o hrozbách z reálného světa určují, které zranitelnosti jsou aktivně zneužívány. Zároveň propojuje 8.8 s 8.16, monitorovacími činnostmi, protože pozorované pokusy o zneužití mají eskalovat naléhavost záplatování.

Vzniká tak praktický řetězec informací o hrozbách:

  1. Přichází externí nebo interní informace.
  2. Relevance se validuje vůči aktivům, dodavatelům, geografii, odvětví, obchodním službám a datům.
  3. Aktualizuje se riziko.
  4. Mění se priority záplat a konfigurací.
  5. Ladí se detekční logika.
  6. Přezkoumávají se postupy reakce na incidenty a prahové hodnoty klasifikace.
  7. Prověřují se závislosti na dodavatelích a cloudu.
  8. Vedení dostává reportování trendů.
  9. Důkazy se uchovávají pro auditory, regulační orgány a zákazníky.

Politiky, které převádějí informace do odpovědného chování

Politiky jsou místem, kde se logika opatření mění v odpovědnost podle rolí. Sady politik Clarysec pro SME i podnikové prostředí obsahují vazby na informace o hrozbách napříč řízením rizik, ochranou koncových bodů, řízením zranitelností, protokolováním, monitorováním a auditními důkazy.

Pro SME stanoví Politika ochrany koncových bodů / malwaru Politika ochrany koncových bodů / malwaru - SME přímé očekávání v kapitole Požadavky na správu a řízení 5.4.1:

Poskytovatel IT podpory musí monitorovat důvěryhodné zdroje informací o hrozbách (např. CISA, ENISA, hlavní dodavatelé antivirových řešení) a zajistit, aby detekční signatury zůstávaly aktuální

Hodnota této kapitoly je v přiřazení odpovědnosti. Informace o hrozbách nejsou „někdo v IT by měl kontrolovat upozornění“. Jde o výslovnou povinnost poskytovatele.

Politika řízení zranitelností a záplat Politika řízení zranitelností a záplat - SME posiluje stejný model v kapitole Role a odpovědnosti 4.2.1:

Monitoruje systémy z hlediska zranitelností a dostupných záplat s využitím upozornění dodavatelů, bezpečnostních oznámení o hrozbách a oznámení operačního systému

V kapitole Požadavky na implementaci politiky 6.2.1.3 také určuje typ zdroje, který má spouštět opatření:

Důvěryhodná bezpečnostní oznámení o hrozbách (např. CISA, ENISA, upozornění národních CERT)

Pro podnikové prostředí Politika řízení zranitelností a záplat Politika řízení zranitelností a záplat uvádí v kapitole Role a odpovědnosti 4.5.1:

Monitorovat upozornění na hrozby (např. CVE, CISA KEV, bulletiny dodavatelů) a eskalovat kritické zranitelnosti.

Požadavek eskalace je zásadní. Zranitelnost se stává naléhavou, když se spojí zneužitelnost, expozice, kritičnost pro podnikání, citlivost dat a aktivita hrozeb.

Politika řízení rizik Politika řízení rizik začleňuje informace o hrozbách do analýzy. Kapitola Požadavky na implementaci politiky 6.2.2 uvádí:

Analýza musí zohlednit účinnost existujících opatření, relevantní informace o hrozbách, kritičnost aktiv a závažnost zranitelností.

Tato kapitola je jádrem informací o hrozbách připravených na audit. Dokládá, že analýza rizik není teoretická.

Politika protokolování a monitorování Politika protokolování a monitorování převádí informace do detekce. Její kapitola Účel 1.2 uvádí:

Auditní protokolování, monitorování a detekce hrozeb jsou zásadní pro detekci anomálií, reakci na hrozby, forenzní přezkum, připravenost na audit a právní soulad. Tato politika zajišťuje, že všechny systémem generované události jsou řádně zaznamenávány, uchovávány a korelovány s časově synchronizovanou přesností.

Nakonec Politika monitorování auditu a souladu Politika monitorování auditu a souladu vysvětluje, proč je důkazní disciplína důležitá. Kapitola Cíle 3.4 vyžaduje, aby organizace vytvářela důkazy:

Vytvářet obhajitelné důkazy a auditní stopu na podporu regulačních šetření, soudních řízení nebo požadavků zákazníků na doložení zajištění.

Když se NIS2, DORA, zákazník nebo auditor ISO zeptá, co jste věděli, kdy jste to věděli, kdo rozhodl a co se změnilo, je tato důkazní stopa rozdílem mezi vyspělým ujištěním a defenzivní improvizací.

Vytvořte registr informací o hrozbách

Vyspělý registr má dvě vrstvy: správu zdrojů a sledování událostí. Správa zdrojů definuje, čemu organizace důvěřuje, kdo je vlastníkem, jak se validuje a jaké opatření může spustit.

Název zdrojeTypProces validaceIntegrační bodVlastník
CISA KEV CatalogProvozníKřížové porovnání s evidencí aktiv a expozicíSpustit nouzovou prioritizaci záplatŘízení zranitelností
Bezpečnostní oznámení ENISAStrategickýPřezkum vlastníkem rizika nebo výborem pro rizikaAktualizovat rizikové scénáře a informační přehled pro vedeníCISO
Odvětvový ISACTaktickýAnalyzovat IOC z hlediska relevance pro technologický stackAktualizovat SIEM, EDR a úkoly vyhledávání hrozebVedoucí SOC
Bulletiny poskytovatelů cloudových služebProvozníOvěřit dotčené služby a regionyEskalovat na cloudové inženýrstvíVedoucí DevOps
Oznámení dodavatelů o záplatáchProvozníPotvrdit produkt, verzi a rozsah nasazeníZařadit do cyklu záplat nebo nouzové změnyProvoz IT
Oznámení MDRTaktický a provozníTriáž vůči logům, aktivům a známým výchozím stavůmOtevřít případ detekce, vyšetřování nebo incidentuBezpečnostní provoz
Bezpečnostní oznámení dodavatelůProvozníMapovat na smluvní služby a toky datAktualizovat riziko dodavatele a kompenzační opatřeníVlastník dodavatele

Sledování událostí zachycuje, jak se konkrétní bezpečnostní oznámení stalo důkazem. Vrátíme-li se k úternímu rannímu scénáři s přenosem souborů, záznam v registru má zachytit dostatek informací pro podporu rozhodnutí o riziku, reakci a souladu.

PolePříklad záznamu
Datum a čas přijetí2026-05-26 07:42 UTC
ZdrojUpozornění národního CERT, bulletin dodavatele, oznámení MDR
Typ zdrojeVládní bezpečnostní oznámení, bezpečnostní oznámení dodavatele, interní detekce
Dotčená technologieSlužba řízeného přenosu souborů, rozsah verzí, závislé knihovny
Vlastník obchodního procesuVedoucí provozu platformy
Vlastník rizikaCISO
Vazba na aktivumExterní brána pro přenos souborů, pracovní postup reportingu zákazníkům
Počáteční závažnostVysoká, čeká se na validaci expozice
Požadovaná opatřeníKontrola expozice, stav záplat, přezkum detekce, potvrzení dodavatele
Relevance pro souladNIS2 Article 21, NIS2 Article 23, pokud jsou splněna kritéria významného incidentu, životní cyklus rizik a incidentů ICT podle DORA, je-li relevantní
Umístění důkazůTiket, aktualizace registru rizik, změna SIEM, poznámka pro vedení

To není byrokracie. Je to faktický záznam, který dokládá, že organizace má definovaný proces příjmu, validace, triáže, eskalace a práce s důkazy.

Od bezpečnostního oznámení k auditním důkazům: praktický pracovní postup

Pracovní postup pro informace o hrozbách musí rychle odpovědět na šest otázek: jsme exponováni, jak závažné to je, co se musí změnit, kdo je vlastníkem, musíme hlásit a jaké důkazy musí být uchovány?

1. Validujte expozici a obchodní dopad

ISO/IEC 27001:2022 clauses 4.1 to 4.4 vyžadují, aby ISMS odrážel skutečný kontext, povinnosti a závislosti organizace. Prvním úkolem není slepé záplatování. Je jím validace expozice.

Ptejte se:

  • Provozujeme dotčenou technologii?
  • Je dostupná z internetu?
  • Používá ji kritická podniková služba?
  • Zpracovává osobní údaje?
  • Provozuje ji dodavatel nebo poskytovatel řízených služeb?
  • Je relevantní pro kritickou nebo důležitou funkci podle DORA?
  • Je relevantní pro služby spadající do rozsahu NIS2?
  • Existují smluvní oznamovací povinnosti vůči zákazníkům?
  • Jsou logy dostupné, úplné a časově synchronizované?

Pokud mohou být dotčeny osobní údaje, vstupuje do analýzy také odpovědnost podle GDPR. GDPR vyžaduje odpovídající zabezpečení zpracování a prokazatelnou odpovědnost, včetně schopnosti posoudit, zda došlo k porušení zabezpečení osobních údajů a zda je vyžadováno oznámení.

2. Aktualizujte registr rizik

Politika řízení rizik Politika řízení rizik - SME uvádí jednoduché pravidlo načasování v kapitole Požadavky na správu a řízení 5.1.3:

Rizika musí být čtvrtletně přezkoumávána a aktualizována při výskytu významných událostí.

Důvěryhodné bezpečnostní oznámení o aktivním zneužívání je významnou událostí. Aktualizace nemá čekat na příští čtvrtletní přezkum.

Prvek rizikaAktualizované posouzení
HrozbaAktivní zneužívání zranitelnosti služby řízeného přenosu souborů
ZranitelnostDotčená verze, exponované rozhraní, slabá konfigurace, chybějící záplata
AktivumPlatforma pro výměnu zákaznických dat
NásledekPřerušení služby, neoprávněný přístup k datům, regulační oznámení, dopad na důvěru zákazníků
PravděpodobnostZvýšená kvůli aktivnímu zneužívání v praxi
Existující opatřeníMFA, WAF, ochrana koncových bodů, monitorování SIEM, zálohování, SLA dodavatele
Mezery v opatřeníchZáplata není potvrzena, detekce není naladěna, důkazy dodavatele čekají
OšetřeníNouzová záplata, dočasné omezení sítě, vyhledání IOC, atestace dodavatele, posouzení dopadu na zákazníky
Vlastník zbytkového rizikaCISO a vlastník provozu platformy

To se přímo propojuje s ISO/IEC 27001:2022 clauses 6.1.1-6.1.3. Organizace identifikuje riziko, analyzuje pravděpodobnost a následky, prioritizuje ošetření, vybírá opatření, udržuje prohlášení o použitelnosti, vytváří plán ošetření rizik a získává schválení zbytkového rizika.

3. Prioritizujte ošetření zranitelností pomocí informací o exploitech

Zenith Blueprint, fáze Opatření v praxi, krok 19, Technologická opatření I, vysvětluje, proč je řízení zranitelností jádrem kybernetické hygieny:

Řízení zranitelností je jednou z nejkritičtějších oblastí moderní kybernetické hygieny. Ačkoli firewally a antivirové nástroje poskytují ochranu, mohou být oslabeny, pokud zůstanou exponované nezáplatované systémy nebo nesprávně nakonfigurované služby. Pro splnění tohoto opatření by organizace měly zavést strukturovaný a opakovatelný proces identifikace, posuzování a řešení zranitelností.

Samotné CVSS nestačí. Středně hodnocená zranitelnost aktivně zneužívaná na systému dostupném z internetu může být naléhavější než vysoce hodnocená zranitelnost ukrytá v segmentované laboratoři.

FaktorOtázkaDůkaz
Aktivita exploituJe zneužívání pozorováno nebo hlášeno důvěryhodnými zdroji?Upozornění CERT, reference CISA KEV, bulletin dodavatele, report MDR
ExpoziceJe aktivum dostupné z internetu nebo dosažitelné dodavateli?Evidence aktiv, bezpečnostní stav cloudu, síťový sken
Kritičnost pro podnikáníPodporuje základní služby nebo kritické funkce?Analýza dopadů na obchodní činnost, mapování funkcí DORA
Citlivost datZpracovává osobní údaje, regulovaná finanční data nebo důvěrná klientská data?Inventář dat, DPIA, záznamy o zpracování
Kompenzační opatřeníMohou WAF, pravidla firewallu, segmentace, EDR nebo vypnutí funkce snížit riziko?Tiket změny, pravidlo firewallu, politika EDR
Provozní rizikoMůže nouzové záplatování narušit poskytování kritické služby?Posouzení změny, plán návratu k původnímu stavu, plán kontinuity

Výsledkem je obhajitelné rozhodnutí. Zároveň podporuje NIS2 Article 21(2)(e) pro zvládání zranitelností, NIS2 Article 21(2)(g) pro kybernetickou hygienu a očekávání DORA v oblasti řízení rizik ICT.

4. Převeďte informace do monitorování a detekce

Informace o hrozbách se musí dostat do protokolování a monitorování. Politika protokolování a monitorování Politika protokolování a monitorování - SME uvádí v kapitole Požadavky na implementaci politiky 6.2.1:

Bezpečnostní nástroje (např. antivirové programy, firewally, VPN) musí být nakonfigurovány tak, aby generovaly upozornění pro definované scénáře hrozeb, včetně:

Úryvek jasně stanoví záměr opatření: definované scénáře hrozeb mají řídit upozorňování.

Zenith Blueprint, fáze Opatření v praxi, krok 19, popisuje monitorovací činnosti takto:

Pokud je protokolování zaznamenáváním toho, co se ve vašem prostředí děje, monitorování je sledování, porozumění a reakce na tyto události. Toto opatření spočívá v aktivním pozorování sítí, systémů a aplikací za účelem detekce neobvyklé činnosti, nikoli pouze zpětně, ale v reálném nebo téměř reálném čase, kde je to možné.

Ve scénáři přenosu souborů by SOC nebo poskytovatel IT měl:

  • Přidat nebo validovat IOC z upozornění CERT a bezpečnostního oznámení dodavatele.
  • Prohledat logy z hlediska známých cest exploitu, podezřelých uploadů, indikátorů web shellu, neobvyklého spouštění procesů a neočekávaných odchozích spojení.
  • Potvrdit, že logy autentizace, administrátorské činnosti, přístupu k souborům, API a sítě jsou uchovávány.
  • Vyladit upozornění SIEM pro vzorec exploitu.
  • Vytvořit poznámku k případu, která vysvětlí, co bylo prohledáno, co bylo nalezeno a kdo to přezkoumal.
  • Eskalovat na klasifikaci incidentu, pokud indikátory ukazují kompromitaci, expozici dat nebo dopad na službu.

Zde se hlášení incidentů stává praktickým. NIS2 Article 23 vyžaduje fázované hlášení významných incidentů, včetně včasného varování do 24 hodin, oznámení do 72 hodin, průběžných aktualizací na vyžádání a závěrečné zprávy nejpozději jeden měsíc po oznámení. DORA vyžaduje, aby finanční subjekty detekovaly, řídily, klasifikovaly a oznamovaly závažné incidenty související s ICT prostřednictvím fázovaného procesu definovaného nařízením a souvisejícími technickými normami.

Informace o hrozbách pomáhají určit, zda je organizace stále ve fázi reakce na zranitelnost, posouzení bezpečnostní události, nebo regulovaného hlášení incidentu.

Jeden pracovní postup, více povinností v oblasti souladu

Informace o hrozbách jsou ideálním integrovaným pracovním postupem pro soulad, protože stejné důkazy podporují několik režimů.

Rámec nebo právní předpisCo očekáváDůkazy z informací o hrozbách
ISO/IEC 27001:2022ISMS zohledňující kontext, posouzení rizik, výběr opatření, plánování ošetření, neustálé zlepšováníRozsah ISMS, registr rizik, prohlášení o použitelnosti, plán ošetření rizik, vstupy pro přezkoumání vedením
ISO/IEC 27002:2022Informace o hrozbách, řízení zranitelností, protokolování, monitorování, posouzení incidentů, ochrana před malwaremRegistr informací o hrozbách, aktualizace IOC, pravidla SIEM, tikety záplat, poznámky k triáži incidentů
NIS2Řízení rizik, zvládání incidentů, kybernetická hygiena, zvládání zranitelností, zabezpečení dodavatelského řetězce, dohled nad správou a řízenímDůkazy k Article 20 a 21, informační přehledy pro vedení, pracovní postup hlášení CSIRT, následné řešení bezpečnostních oznámení dodavatelů
DORARámec rizik ICT, detekce, kontinuita, životní cyklus incidentu, testování odolnosti, riziko ICT třetích stranKlasifikace ICT aktiv, detekční případy, záznamy klasifikace incidentů, vstupy testů odolnosti, záznamy dodavatelů ICT
GDPRZabezpečení zpracování, odpovědnost, podpora detekce a oznamování porušeníPosouzení dopadu na data, logy přístupu, důkazy monitorování, záznam posouzení porušení
NIST CSF 2.0Výstupy Govern, Identify, Protect, Detect, Respond, RecoverCurrent Profile, Target Profile, prioritizovaný akční plán, komunikace rizik
COBIT 2019 auditní pohledSpráva rizik, opatření, výkonnosti, zajištění a odpovědnostiVlastnictví opatření, metriky vedení, důkazy zajištění, sledování nápravy problémů

NIST CSF 2.0 je obzvlášť užitečný pro komunikaci s vrcholovým vedením. Jeho základní funkce Govern, Identify, Protect, Detect, Respond a Recover převádějí technické informace do příběhu srozumitelného pro řídicí orgány:

  • Govern: zdroje informací o hrozbách, vlastníci a reportovací linie jsou definovány.
  • Identify: dotčená aktiva, dodavatelé, obchodní služby a data jsou zmapovány.
  • Protect: záplatování, hardening, segmentace a signatury koncových bodů jsou aktualizovány.
  • Detect: monitorovací pravidla, IOC a úkoly vyhledávání hrozeb jsou nasazeny.
  • Respond: postupy reakce na incidenty, pravidla triáže a prahové hodnoty oznámení jsou přezkoumány.
  • Recover: zálohy, priority obnovy a získané poznatky jsou validovány.

Tím se surové informace o kybernetických hrozbách mění ve správu rizik.

Pohled auditora: na co se bude ptát

Silný proces práce s informacemi o hrozbách má obstát napříč různými styly auditu. Auditor ISO, osoba provádějící přezkum podle NIS2, orgán dohledu podle DORA, hodnotitel NIST CSF, auditor orientovaný na COBIT 2019, odborník ISACA nebo osoba provádějící přezkum v oblasti ochrany soukromí mohou používat odlišný jazyk, ale všichni se sbíhají u důkazů.

Pohled auditoraPravděpodobná auditní otázkaDůkaz, který na ni odpovídá
Auditor ISO/IEC 27001:2022Jak externí a interní kontext ovlivňuje rizika a opatření ISMS?Registr informací o hrozbách, metodika rizik, aktualizovaný registr rizik, odůvodnění prohlášení o použitelnosti
Osoba provádějící přezkum opatření ISO/IEC 27002:2022Jak jsou propojena opatření 5.7, 8.8, 8.16, 8.15, 8.7 a 5.25?Seznam zdrojů, triáž zranitelností, ladění SIEM, aktualizace signatur malwaru, záznamy posouzení událostí
Osoba provádějící přezkum podle NIS2Jak plníte dohled vedení, kybernetickou hygienu, zvládání zranitelností, zvládání incidentů a zabezpečení dodavatelského řetězce?Mapování Article 20 a 21, informační přehledy pro vedení, postup hlášení CSIRT, pracovní postup pro bezpečnostní oznámení dodavatelů
Orgán dohledu podle DORAJak informace o hrozbách aktualizují rizika ICT, detekci, testování odolnosti a klasifikaci incidentů?Rámec rizik ICT, mapování kritických funkcí, detekční případy, záznamy klasifikace incidentů, rozsah testů odolnosti
Hodnotitel NIST CSFJaký je váš Current Profile, Target Profile a prioritizovaný akční plán?Profil CSF, posouzení mezer, akční plán, log průběžných aktualizací
Auditor COBIT 2019 nebo ISACAKdo vlastní opatření, jak se měří výkonnost a jak se napravují výjimky?RACI, KPI, KRI, registr výjimek, tikety nápravy, formální schválení vedením
Auditor GDPR nebo osoba provádějící přezkum ochrany soukromíJak monitorování a řízení zranitelností chránily osobní údaje a podporovaly posouzení porušení?Mapa zpracování dat, logy, posouzení porušení, důkazy technických a organizačních opatření

Zenith Controls poskytuje pro tyto diskuse výklad napříč požadavky souladu. U opatření 8.16, monitorovací činnosti, průvodce propojuje monitorování se zabezpečením a odpovědností za porušení podle GDPR, zvládáním a hlášením incidentů podle NIS2 a očekáváními DORA v oblasti detekce a reakce. U opatření 8.8, řízení technických zranitelností, propojuje zvládání zranitelností se zabezpečením zpracování podle GDPR, NIS2 Article 21(2)(e) a proaktivním řízením rizik ICT podle DORA.

To je konvergence důkazů, kterou auditoři očekávají.

Reportování vedení: čtvrtletní informační přehled o trendech hrozeb

Registr informací o hrozbách nesmí skončit v SOC. Zenith Blueprint doporučuje krátký čtvrtletní informační přehled o trendech hrozeb pro klíčové zainteresované strany. Clarysec doporučuje jednostránkový report pro vedení s pěti částmi:

  1. Tři nejvýznamnější relevantní trendy hrozeb podle obchodního dopadu.
  2. Nejvíce exponované technologie nebo dodavatelé.
  3. Kritické zranitelnosti, které byly záplatovány, zmírněny nebo akceptovány.
  4. Provedená zlepšení detekce a reakce.
  5. Rozhodnutí požadovaná od vedení.

Silný informační přehled pro vedení neuvádí 400 CVE. Vysvětluje pohyb rizik. Například:

  • Ransomware zaměřený na poskytovatele řízených služeb zvýšil prioritu přezkumu dodavatelů.
  • Zneužívání platforem pro přenos souborů spustilo nouzové záplatování a kompenzační pravidlo firewallu.
  • Útoky na cloudové identity vedly k přezkumu výjimek z MFA a posílení podmíněného přístupu.
  • Informace od odvětvového ISAC vedly k novým phishingovým simulacím pro finanční a podpůrné týmy.
  • Mapování kritických funkcí podle DORA odhalilo jednu mezeru v monitorování v pracovním postupu třetí strany.

Tento informační přehled podporuje odpovědnost vedení podle NIS2, správu rizik ICT podle DORA, přezkoumání ISMS vedením podle ISO/IEC 27001:2022 a ujištění zákazníků.

Běžné vzorce selhání

Programy informací o hrozbách často vypadají vyspěle na prezentacích, ale při auditu jsou slabé. Nejčastější vzorce selhání jsou:

  • Příliš mnoho kanálů a žádná validační kritéria.
  • Chybí vazba mezi informacemi a evidencí aktiv.
  • Chybí dokumentovaná aktualizace rizika po významných bezpečnostních oznámeních.
  • Priorita záplat vychází pouze ze závažnosti ve skeneru.
  • Bezpečnostní oznámení dodavatelů se řeší mimo ISMS.
  • Pravidla SOC se aktualizují bez záznamů o změnách.
  • Prahové hodnoty incidentů nejsou sladěny s pracovním postupem hlášení podle NIS2 nebo DORA.
  • Reportování řídicím orgánům se soustředí na objem upozornění místo obchodního rizika.
  • Chybí důkaz, že získané poznatky změnily opatření.
  • Chybí vlastník pro udržování registru informací o hrozbách.

Řešením není nákup dalšího kanálu. Řešením je integrace opatření.

Desetibodový kontrolní seznam připravenosti pro rok 2026

Použijte tento kontrolní seznam jako praktický interní přezkum.

Otázka připravenostiAno nebo ne
Udržujeme schválený registr informací o hrozbách s vlastníky zdrojů a validačními pravidly?
Jsou bezpečnostní oznámení CERT, CSIRT, ISAC, dodavatelů, cloudu, MDR a dodavatelů služeb směrována na pojmenované role?
Spouštějí významná bezpečnostní oznámení přezkum registru rizik mimo čtvrtletní cyklus?
Zahrnuje prioritizace zranitelností aktivitu exploitů, kritičnost aktiv, citlivost dat a expozici?
Jsou IOC a scénáře hrozeb převáděny do monitorovacích pravidel nebo úkolů vyhledávání hrozeb?
Kontroluje se aktuálnost signatur koncových bodů, cloudových detekcí a dynamických kanálů informací o hrozbách?
Jsou oznámení dodavatelů posuzována vůči riziku dodavatelského řetězce a smluvním povinnostem?
Jsou kritéria klasifikace incidentů sladěna s pracovním postupem hlášení podle NIS2 a DORA tam, kde je to relevantní?
Dostává vedení čtvrtletní informační přehled o trendech hrozeb?
Dokážeme vytvořit balíček důkazů pro auditora, regulační orgán nebo zákazníka do jednoho pracovního dne?

Pokud je odpověď na některou z těchto otázek „ne“, organizace nemá pouze problém s informacemi o hrozbách. Má problém s integrací ISMS.

Jak Clarysec pomáhá převést informace o hrozbách do důkazů

Metoda Clarysec je navržena pro organizace, které potřebují současně praktickou bezpečnost a důvěryhodný soulad.

Zenith Blueprint poskytuje 30krokovou implementační cestu, včetně kroku 22 pro registr informací o hrozbách a kroku 19 pro řízení zranitelností a monitorovací činnosti. Podnikové politiky a politiky pro SME od Clarysec převádějí tato očekávání do postupů podle rolí pro řízení rizik, zvládání zranitelností, ochranu koncových bodů, protokolování, monitorování a auditní důkazy. Zenith Controls následně poskytuje výklad napříč požadavky souladu a ukazuje, jak se opatření ISO/IEC 27002:2022 propojují s NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 a auditními důkazy.

Pro úterního ranního CISO je odpověď CFO jasná:

„Bezpečnostní oznámení jsme přijali, validovali expozici, aktualizovali registr rizik, prioritizovali záplatování podle aktivního zneužívání, vyladili monitorování, prověřili závislost na dodavateli, posoudili prahové hodnoty pro hlášení incidentů, informovali vedení a uchovali důkazy. Nehádáme. Postupujeme podle našeho ISMS.“

Tak mají v roce 2026 vypadat informace o hrozbách podle ISO 27001 pro kybernetickou hygienu NIS2 a důkazy řízení rizik ICT podle DORA.

Další kroky

Pokud vaše organizace přijímá informace o hrozbách, ale nedokáže doložit, jak mění rozhodnutí o rizicích, opatření, detekci, reakci na incidenty, řízení dodavatelů a regulační důkazy, začněte tento týden třemi kroky:

  1. Vytvořte nebo aktualizujte svůj registr informací o hrozbách pomocí Zenith Blueprint, fáze Opatření v praxi, krok 22.
  2. Namapujte svůj současný proces vůči opatřením ISO/IEC 27002:2022 5.7, 8.8, 8.15, 8.16, 8.7 a 5.25 pomocí Zenith Controls.
  3. Slaďte své politiky, zejména Politiku řízení rizik, Politiku řízení zranitelností a záplat, Politiku protokolování a monitorování a Politiku monitorování auditu a souladu, aby se každé bezpečnostní oznámení mohlo stát obhajitelným důkazem.

Clarysec vám pomůže převést kanály informací o hrozbách, bezpečnostní oznámení, oznámení dodavatelů, informace o zranitelnostech a detekční signály do provozního modelu sladěného s ISO/IEC 27001:2022, připraveného na NIS2 a zohledňujícího DORA.

Stáhněte si sady nástrojů Clarysec, vyžádejte si kontrolní walkthrough nebo si objednejte posouzení připravenosti a zjistěte, jak by váš současný proces práce s informacemi o hrozbách obstál před auditorem ISO, osobou provádějící přezkum podle NIS2, orgánem dohledu podle DORA nebo požadavkem zákazníka na doložení zajištění.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ENISA EUVD 2026: ISO 27001 pro NIS2 a CRA

ENISA EUVD 2026: ISO 27001 pro NIS2 a CRA

ENISA EUVD změní způsob, jakým organizace v EU využívají informace o zranitelnostech, řídí CVD, koordinují dodavatele a dokládají rozhodnutí o hlášení podle NIS2, DORA, GDPR a CRA. Tento průvodce ukazuje, jak ISO/IEC 27001:2022, politiky Clarysec, Zenith Blueprint a Zenith Controls převádějí upozornění na zranitelnosti do auditovatelného provozního modelu.

SBOM pro zajištění souladu s ISO 27001, NIS2 a DORA

SBOM pro zajištění souladu s ISO 27001, NIS2 a DORA

SBOM jsou dnes klíčovým důkazem pro zajištění softwarového dodavatelského řetězce. Tento průvodce ukazuje, jak SBOM operacionalizovat prostřednictvím ISO 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 a politik Clarysec.