Mapování NIS2 2024/2690 na ISO 27001 pro poskytovatele cloudových služeb
V úterý v 08:17 obdrží Maria, CISO evropského poskytovatele řízených služeb, upozornění, kterého se obává každý MSP. Jeden privilegovaný účet pro vzdálenou správu vyvolal upozornění na geograficky nemožné přihlášení. U dvou zákaznických tenantů se objevily anomální administrátorské akce. SOC již otevřelo konferenční most pro kritický incident.
V 09:00 se k hovoru připojuje CEO. Otázky se okamžitě mění.
Spadáme do rozsahu NIS2? Vztahuje se na nás prováděcí nařízení Komise (EU) 2024/2690? Musíme odeslat včasné varování do 24 hodin? Které zákazníky musíme informovat? Dokážeme doložit, že MFA, protokolování, segmentace, řízení zranitelností, dodavatelská opatření a eskalace incidentu fungovaly již před incidentem?
Mariina společnost je certifikována podle ISO/IEC 27001:2022. Poskytuje správu cloudu, služby datových center a řízenou bezpečnostní podporu zákazníkům, mezi nimiž je poskytovatel logistických služeb i regionální banka. Certifikát je důležitý, sám o sobě však neodpovídá na provozní otázky. Právní tým má návrh postupu oznamování. Manažer souladu má tabulku. Auditor si vyžádal Prohlášení o použitelnosti, testování reakce na incidenty, logy privilegovaného přístupu, prověrky dodavatelů, důkazy o sdílené odpovědnosti v cloudu a předpoklady kontinuity činností.
To je okamžik, kdy NIS2 přestává být právním textem a stává se problémem provozního řízení bezpečnostních opatření.
Pro poskytovatele služeb cloud computingu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb a poskytovatele datových center zvyšují NIS2 a prováděcí nařízení 2024/2690 laťku od obecného bezpečnostního záměru k ověřitelným důkazům o fungování opatření. Správa a řízení, řízení rizik, řízení přístupu, správa aktiv, řízení zranitelností, reakce na incidenty, bezpečnost dodavatelů, protokolování, monitorování, šifrování, kontinuita činností a fyzická odolnost musí fungovat jako jeden systém.
ISO/IEC 27001:2022 je pro tento systém nejlepší páteří, ale pouze tehdy, když organizace namapuje požadavky NIS2 do ISMS, registru rizik, Prohlášení o použitelnosti, politik a modelu důkazů. Certifikát na zdi nestačí. Skutečná práce spočívá ve vybudování auditovatelné vazby od právního předpisu k riziku, od rizika k opatření, od opatření k politice a od politiky k provozním důkazům.
Proč NIS2 2024/2690 mění diskusi o souladu cloudových služeb a MSP
NIS2 používá model založený na sektoru a velikosti, její kategorie digitální infrastruktury a správy služeb ICT jsou však záměrně široké. Podle NIS2 Article 2 a Article 3 ve spojení s Annex I a Annex II může být mnoho organizací klasifikováno jako základní nebo důležité subjekty, včetně poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, poskytovatelů DNS, registrů TLD, sítí pro doručování obsahu a poskytovatelů služeb vytvářejících důvěru. Členské státy musí zřídit a pravidelně přezkoumávat seznamy základních a důležitých subjektů, přičemž první lhůta pro seznamy je stanovena na 17. dubna 2025.
Je to důležité, protože poskytovatelé cloudových služeb, MSP, MSSP a datových center jsou součástí rizikových řetězců jiných organizací. Kompromitace řídicí roviny cloudu může ovlivnit tisíce zákaznických systémů. Výpadek datového centra se může kaskádově rozšířit do bankovnictví, zdravotnictví, logistiky a veřejné správy. Kompromitace přihlašovacích údajů MSP se může změnit v ransomware incident u více klientů. Selhání detekce u MSSP může zpozdit zamezení šíření incidentu u regulovaných zákazníků.
NIS2 Article 20 vyžaduje, aby řídicí orgány schvalovaly opatření k řízení rizik kybernetické bezpečnosti a dohlížely na jejich implementaci. Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření založená na přístupu zohledňujícím všechna rizika. Základní soubor zahrnuje analýzu rizik, zvládání incidentů, kontinuitu činností, zabezpečení dodavatelského řetězce, bezpečné pořizování a vývoj, řízení a oznamování zranitelností, hodnocení účinnosti, kybernetickou hygienu, školení, kryptografii, bezpečnost HR, řízení přístupu, správu aktiv, MFA nebo průběžnou autentizaci, zabezpečenou komunikaci a nouzovou komunikaci.
Article 23 doplňuje postupné hlášení významných incidentů, včetně včasného varování do 24 hodin, oznámení incidentu do 72 hodin, průběžných zpráv na vyžádání a závěrečné zprávy do jednoho měsíce od oznámení nebo po zvládnutí incidentu, pokud incident stále probíhá.
Prováděcí nařízení 2024/2690 tato očekávání pro relevantní digitální poskytovatele konkretizuje. V praxi se orgány, zákazníci a auditoři nebudou ptát pouze na to, zda existují politiky. Budou se ptát, zda jsou opatření namapována, mají vlastníky, jsou testována a jsou doložena důkazy.
ISO/IEC 27001:2022 převádí NIS2 do provozního kontextu ISMS
Častou chybou při přípravě na NIS2 je začít rozsáhlým kontrolním seznamem a rozdělit úkoly mezi IT, právní oddělení, SOC, infrastrukturu, řízení dodavatelů a compliance. To může vyvolat aktivitu, ale při auditu často selže, protože nikdo nedokáže doložit, proč byla opatření vybrána, jak souvisejí s rizikem, kdo přijal zbytkové riziko a jaké důkazy prokazují účinnost.
ISO/IEC 27001:2022 poskytuje poskytovatelům strukturu, která tomuto selhání předchází.
Kapitoly 4.1 až 4.4 vyžadují, aby organizace určila interní a externí otázky, identifikovala zainteresované strany a jejich požadavky, rozhodla, které požadavky budou řešeny prostřednictvím ISMS, a definovala rozsah ISMS včetně rozhraní a závislostí. U poskytovatele cloudu nebo MSP by rozsah měl výslovně zohlednit NIS2, prováděcí nařízení 2024/2690, bezpečnostní přílohy zákazníků, zákaznické požadavky vyvolané DORA, cloudové regiony, subdodavatele, závislosti datových center, platformy vzdálené správy, cesty privilegovaného přístupu a oznamovací povinnosti k incidentům.
Kapitoly 5.1 až 5.3 vyžadují vedení, sladění politik, zdroje, komunikaci, přiřazené odpovědnosti a odpovědnost vedení. Tím přímo podporují NIS2 Article 20.
Kapitoly 6.1.1 až 6.1.3 vyžadují posouzení rizik, ošetření rizik, vlastníky rizik, analýzu pravděpodobnosti a dopadů, výběr opatření, porovnání s Annex A, Prohlášení o použitelnosti, plán ošetření rizik a formální přijetí zbytkového rizika. Zde se NIS2 stává provozní záležitostí. Každý regulační požadavek se mění na zdroj rizika, povinnost v oblasti souladu, požadavek na opatření nebo požadavek na důkaz.
Clarysec tuto práci zahajuje pomocí Zenith Blueprint: 30krokový plán auditora Zenith Blueprint, zejména ve fázi řízení rizik.
Od kroku 13, Plánování ošetření rizik a Prohlášení o použitelnosti, Zenith Blueprint vede týmy k vybudování dohledatelnosti mezi riziky, opatřeními a regulačními zdroji:
„Křížově odkazujte právní předpisy: Pokud jsou určitá opatření implementována konkrétně za účelem souladu s GDPR, NIS2 nebo DORA, můžete to poznamenat buď v Registru rizik, nebo v poznámkách SoA. Například opatření 8.27 (bezpečné mazání dat) může být velmi relevantní pro požadavek GDPR na likvidaci osobních údajů; můžete uvést ‚Použitelné – podporuje GDPR Art.32 (zabezpečení zpracování)‘. ISO to nevyžaduje, ale pomáhá to doložit, že jste tyto rámce zohlednili.“
Krok 14, Politiky ošetření rizik a křížové odkazy na právní předpisy, doplňuje praktickou disciplínu mapování:
„Pro každý právní předpis, pokud je relevantní, můžete vytvořit jednoduchou mapovací tabulku, která uvádí klíčové bezpečnostní požadavky daného předpisu a odpovídající opatření/politiky ve vašem ISMS. V ISO 27001 to není povinné, ale jde o užitečné interní cvičení, které pomáhá zajistit, že nic nezůstalo opomenuto.“
To je rozdíl mezi tvrzením „jsme certifikováni podle ISO“ a prokázáním, že „náš ISO/IEC 27001:2022 ISMS pokrývá prováděcí nařízení NIS2 2024/2690“.
Jednotné mapování opatření NIS2 na ISO/IEC 27001:2022
Následující mapování není právním poradenstvím ani náhradou za analýzu národní transpozice. Jde o praktickou architekturu opatření pro poskytovatele, kteří potřebují auditovatelnou cestu k připravenosti na NIS2 prostřednictvím ISO/IEC 27001:2022.
| Téma NIS2 a prováděcího nařízení | Mechanismus ISMS podle ISO/IEC 27001:2022 | Klíčové oblasti opatření Annex A | Implementační důkazy Clarysec |
|---|---|---|---|
| Správa a řízení a odpovědnost vedení | Kapitoly 4, 5, 6 a 9 definují kontext, vedení, plánování rizik a přezkum výkonnosti | 5.1 Politiky bezpečnosti informací, 5.2 Role a odpovědnosti v oblasti bezpečnosti informací, 5.31 Právní, statutární, regulační a smluvní požadavky | Rozsah ISMS, registr zainteresovaných stran, schválení představenstvem nebo vedením, registr rizik, SoA, zápisy z přezkoumání vedením |
| Správa cloudových služeb | Posouzení rizik, prověrka dodavatelů, sdílená odpovědnost a výběr opatření | 5.23 Bezpečnost informací při používání cloudových služeb, 5.19 Bezpečnost informací ve vztazích s dodavateli, 5.22 Monitorování, přezkum a řízení změn dodavatelských služeb | Evidence cloudových služeb, posouzení rizik poskytovatele, matice sdílené odpovědnosti, smluvní ustanovení, důkazy o protokolování v cloudu |
| Privilegovaný přístup MSP a MSSP | Ošetření rizik pro zákaznická prostředí, administrátorské platformy a podpůrné nástroje | 5.15 Řízení přístupu, 5.16 Správa identit, 5.18 Přístupová práva, 8.2 Práva privilegovaného přístupu, 8.5 Bezpečná autentizace | Záznamy PAM, reporty MFA, logy vzdáleného přístupu, konfigurace bastionu nebo brány Zero Trust, přezkum přístupových práv |
| Odolnost datového centra | Analýza dopadů na činnost, plánování kontinuity a řízení závislostí | 5.30 Připravenost ICT na kontinuitu činností, 7.1 Perimetry fyzické bezpečnosti, 7.2 Fyzický vstup, 8.13 Zálohování informací, 8.14 Redundance | BIA, záznamy RTO a RPO, zpráva z testu DR, logy fyzického přístupu, důkazy o testech napájení a chlazení |
| Hlášení a eskalace incidentů | Incidentní proces propojený s právními, smluvními a zákaznickými spouštěči oznámení | 5.24 Plánování a příprava řízení incidentů bezpečnosti informací, 5.25 Posouzení a rozhodování o událostech bezpečnosti informací, 5.26 Reakce na incidenty bezpečnosti informací, 5.27 Poučení z incidentů bezpečnosti informací | Playbook včasného varování do 24 hodin, postup oznámení do 72 hodin, registr incidentů, přezkoumání po incidentu |
| Řízení a oznamování zranitelností | Ošetření zranitelností na základě rizik, řízení výjimek a hodnocení účinnosti | 8.8 Řízení technických zranitelností, 8.9 Řízení konfigurace, 8.32 Řízení změn, 8.16 Monitorovací činnosti | Výsledky skenů, SLA nápravných opatření, schválení výjimek, reporty záplat, vstupy threat intelligence |
| Zabezpečení dodavatelského řetězce | Požadavky zainteresovaných stran a dodavatelské riziko začleněné do ISMS | 5.19 Bezpečnost informací ve vztazích s dodavateli, 5.20 Řešení bezpečnosti informací ve smlouvách s dodavateli, 5.21 Řízení bezpečnosti informací v dodavatelském řetězci ICT, 5.22 Monitorování, přezkum a řízení změn dodavatelských služeb | Zařazení dodavatelů do úrovní, dotazníky náležité péče, smluvní ustanovení, práva na audit, registr subdodavatelů, plány ukončení spolupráce |
| Protokolování, monitorování a vyšetřování | Detekce, důkazy, časová korelace a podpora incidentů | 8.15 Protokolování, 8.16 Monitorovací činnosti, 8.17 Synchronizace času, 5.25 Posouzení a rozhodování o událostech bezpečnosti informací | Mapa pokrytí SIEM, důkaz uchovávání logů, záznamy o ladění upozornění, záznamy synchronizace času, důkazy korelace incidentů |
| Izolace sítě a tenantů | Bezpečná architektura, segmentace a omezené administrativní cesty | 8.20 Zabezpečení sítě, 8.22 Oddělení sítí, 8.23 Filtrování webu, 8.24 Použití kryptografie | Síťové diagramy, pravidla firewallu, bezpečnostní skupiny cloudu, pravidla VPC nebo podsítí, výsledky testů segmentace |
Toto mapování získá sílu, když je vloženo do registru rizik a Prohlášení o použitelnosti. Poskytovatel může například vytvořit rizikový scénář „Kompromitace platformy vzdálené správy vede k neoprávněným akcím v zákaznických prostředích“. Opatření zahrnují MFA, správu privilegovaných přístupů (PAM), segmentaci, protokolování, řízení zranitelností, bezpečnost dodavatelů, plánování incidentů a postupy oznamování zákazníkům. Poznámky SoA mohou podle relevance odkazovat na NIS2 Article 21, Article 23, prováděcí nařízení 2024/2690, zákaznické smlouvy a požadavky zákaznické náležité péče podle DORA.
Správa cloudu: opatření ISO 5.23 je kotvou NIS2
Pro poskytovatele cloudových služeb a MSP, kteří používají cloudové služby k poskytování zákaznických služeb, je opatření ISO/IEC 27001:2022 Annex A 5.23, Bezpečnost informací při používání cloudových služeb, jednou z nejdůležitějších kotev.
Zenith Controls: Průvodce křížovým souladem Zenith Controls shrnuje opatření 5.23 jako preventivní kontrolu podporující důvěrnost, integritu a dostupnost, navázanou na bezpečnost vztahů s dodavateli, správu a řízení, ekosystémové riziko a ochranu. Pokrývá správu cloudových služeb, sdílenou odpovědnost, posouzení poskytovatele, evidence, umístění dat, protokolování, šifrování, identity a role, monitorování, smluvní ustanovení, dodavatelské riziko, ukončení cloudové služby a plánování odolnosti.
Zenith Blueprint, fáze Opatření v praxi, krok 23, vysvětluje praktický důvod:
„Cloud už není cílová destinace, je to výchozí stav. Opatření 5.23 tuto realitu uznává a vyžaduje, aby byla bezpečnost informací výslovně řešena při výběru, používání a správě cloudových služeb – ne jako dodatečná úvaha, ale jako návrhový princip od samého začátku.“
U MSP musí být řízena každá platforma pro vzdálené monitorování a správu, zákaznický portál, ticketovací nástroj, platforma bezpečnostní telemetrie, zálohovací služba, cloudový adresář a administrátorská konzole SaaS. U poskytovatele datového centra se správa cloudu může vztahovat na monitorovací platformy, systémy správy návštěv, integrace řízení fyzického přístupu, systémy vzdálené správy a infrastrukturu zákaznických portálů.
Podniková Politika používání cloudových služeb společnosti Clarysec Politika používání cloudových služeb stanoví povinnou náležitou péči před aktivací:
„Veškeré používání cloudu musí před aktivací projít náležitou péčí založenou na rizicích, včetně posouzení poskytovatele, validace právního souladu a validačních přezkumů opatření.“
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.
Pro menší poskytovatele vytváří Cloud Usage Policy-sme Cloud Usage Policy-sme - SME zjednodušený schvalovací model:
„Veškeré používání cloudových služeb musí být před implementací nebo předplatným přezkoumáno a schváleno generálním ředitelem (GM).“
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.1.
Oba přístupy podporují stejné očekávání NIS2: riziko závislosti na cloudu musí být pochopeno dříve, než se služba stane součástí dodavatelského řetězce.
Reakce na incidenty: 24hodinová lhůta začíná dříve, než je zpráva sepsána
NIS2 Article 23 je nekompromisní, protože časová osa hlášení začíná okamžikem, kdy si organizace významného incidentu všimne, nikoli okamžikem, kdy je k dispozici dokonalá analýza kořenové příčiny. Výzvou pro poskytovatele je rychle určit, zda je událost významná, kteří zákazníci jsou dotčeni, zda jsou zahrnuty osobní údaje, zda existuje přeshraniční dopad na službu a které smluvní lhůty byly spuštěny.
Opatření ISO/IEC 27001:2022 Annex A 5.24, Plánování a příprava řízení incidentů bezpečnosti informací, je plánovacím opatřením. Zenith Controls jej shrnuje jako nápravnou kontrolu podporující důvěrnost, integritu a dostupnost, navázanou na koncepty Respond a Recover, správu a řízení, řízení událostí a obranu. Zahrnuje role, odpovědnosti, eskalační cesty, komunikační protokoly, připravenost na regulatorní oznámení, sladění s protokolováním a monitorováním, integraci s kontinuitou činností a obnovou po havárii, poučení po incidentu a mapování na NIS2, GDPR, DORA, ISO 22301, NIST CSF, NIST SP 800-53 a COBIT 2019.
Incident Response Policy-sme společnosti Clarysec Incident Response Policy-sme - SME převádí první rozhodnutí na časově omezený požadavek:
„Generální ředitel s podporou poskytovatele IT služeb musí klasifikovat všechny incidenty podle závažnosti do jedné hodiny od oznámení.“
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.3.1.
Tato jednohodinová klasifikace podporuje provozní disciplínu potřebnou pro analýzu včasného varování NIS2 do 24 hodin, posouzení porušení zabezpečení osobních údajů podle GDPR, eskalaci vůči zákazníkům podle DORA a triáž smluvních oznámení.
Rozhodovací strom poskytovatele pro incidenty by měl odpovědět na čtyři otázky:
- Existuje potvrzená nebo podezřelá kompromitace důvěrnosti, integrity nebo dostupnosti?
- Ovlivňuje událost poskytování služeb, zákaznická prostředí, regulované zákazníky, osobní údaje nebo kritické funkce?
- Mohla by způsobit závažné provozní narušení, finanční ztrátu nebo majetkovou či nemajetkovou újmu?
- Které oznamovací povinnosti se použijí: NIS2, GDPR, zákaznické povinnosti podle DORA, smluvní SLA nebo očekávání národního regulačního orgánu?
Rozhodovací strom musí být otestován ve stolních cvičeních před skutečným incidentem.
Řízení zranitelností: prokažte snížení rizika před dopadem
NIS2 vyžaduje řízení a oznamování zranitelností. Pro zákazníky a regulační orgány je řízení zranitelností jednou z nejsnáze měřitelných oblastí opatření, protože vytváří jasné důkazy: pokrytí skenováním, lhůty pro záplatování, schválení výjimek, analýzu zneužitých zranitelností a záznamy o nápravných opatřeních.
Opatření ISO/IEC 27001:2022 Annex A 8.8, Řízení technických zranitelností, shrnuje Zenith Controls jako preventivní kontrolu napříč důvěrností, integritou a dostupností, navázanou na Identify a Protect, řízení hrozeb a zranitelností, správu a řízení, ekosystém, ochranu a obranu. Zahrnuje identifikaci zranitelností, posouzení, prioritizaci, záplatování, kompenzační opatření, integraci threat intelligence, oznamování zranitelností, odpovědnosti za cloudové a aplikační zranitelnosti, auditní důkazy a lhůty nápravy.
Podniková Politika řízení zranitelností a záplat společnosti Clarysec Politika řízení zranitelností a záplat poskytuje auditorům konkrétní model k ověření:
„Organizace musí klasifikovat všechny detekované zranitelnosti pomocí standardizované metodiky (např. CVSS v3.x) a uplatnit lhůty nápravy sladěné s kritičností pro podnikání: 5.2.1 Kritická (CVSS 9.0-10.0): Okamžitý přezkum; lhůta pro aplikaci záplaty maximálně 72 hodin. 5.2.2 Vysoká (7.0-8.9): Reakce do 48 hodin; lhůta pro aplikaci záplaty 7 kalendářních dnů. 5.2.3 Střední (4.0-6.9): Reakce do 5 dnů; lhůta pro aplikaci záplaty 30 kalendářních dnů. 5.2.4 Nízká (<4.0): Reakce do 10 dnů; lhůta pro aplikaci záplaty 60 kalendářních dnů.“
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.
U poskytovatele cloudu to musí zahrnovat komponenty hypervizoru, kontejnerové obrazy, orchestrační vrstvy, zákaznická rozhraní API, CI/CD pipeline, administrátorské konzole a knihovny třetích stran. U MSP je klíčovou otázkou, zda jsou interní zranitelnosti odděleny od zranitelností spravovaných zákazníkem a zda smlouvy definují odpovědnost. U poskytovatele datového centra může rozsah zahrnovat systémy správy budov, systémy řízení přístupu, monitorovací platformy, nástroje remote hands a síťovou infrastrukturu.
Model sdílené odpovědnosti musí být dokumentován. Poskytovatel nemusí vlastnit každou záplatu, stále však musí řídit riziko, informovat zákazníka tam, kde je to vhodné, a doložit, že hranice odpovědnosti jsou pochopeny.
Protokolování, monitorování a segmentace umožňují vyšetřit incidenty
Když se incident poskytovatele začne dotýkat zákazníků, první otázky k důkazům jsou jednoduché: kdo se přihlásil, odkud, s jakým oprávněním, ke kterému tenantovi, co se změnilo, jaké logy existují a zda byly administrativní cesty segmentovány.
Podniková Politika protokolování a monitorování společnosti Clarysec Politika protokolování a monitorování vyžaduje, aby zahrnuté systémy generovaly logy potřebné pro pracovníky reagující na incidenty a pro auditory:
„Všechny zahrnuté systémy musí generovat logy zachycující: 6.1.1.1 Autentizaci uživatelů a pokusy o přístup 6.1.1.2 Aktivity privilegovaných uživatelů 6.1.1.3 Změny konfigurace 6.1.1.4 Neúspěšné pokusy o přístup nebo systémové události 6.1.1.5 Detekce malwaru a bezpečnostní upozornění 6.1.1.6 Externí komunikaci a spuštění pravidel firewallu“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.1.1.
Pro SME spoléhající na externí poskytovatele doplňuje Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme - SME smluvní požadavek:
„Smlouvy musí vyžadovat, aby poskytovatelé uchovávali logy nejméně 12 měsíců a na vyžádání k nim poskytli přístup.“
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.5.1.3.
Stejně důležitá je segmentace. Network Security Policy-sme Network Security Policy-sme - SME stanoví:
„Interní sítě musí být segmentovány podle funkce (např. finance, hosté, IoT, administrativní systémy).“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.
Zenith Blueprint, fáze Opatření v praxi, krok 20, poskytuje praktický auditní postup pro síťovou architekturu a segmentaci. Vede týmy k přezkoumání a dokumentaci síťového uspořádání, ověření pravidel firewallu, konfigurací IPS/IDS a vzdáleného přístupu, potvrzení, že bezpečnostní skupiny cloudu a pravidla VPC nebo podsítí odpovídají zamýšlené architektuře, vypsání interních a externích síťových služeb a ověření, že citlivé systémy nejsou dosažitelné z obecných uživatelských VLAN ani hostovských sítí.
U MSP nesmí nástroje vzdálené správy ležet v ploché kancelářské síti. U poskytovatele datového centra by rozhraní správy napájení, chlazení, řízení přístupu a zákaznických síťových služeb měla být izolována a monitorována. U poskytovatele cloudu by měl být přístup k řídicí rovině omezen prostřednictvím identity, sítě, bezpečnostního stavu zařízení a kontrol privilegovaných workflow.
Bezpečnost dodavatelů: poskytovatel je také zákazníkem
Poskytovatelé cloudových služeb, MSP, MSSP a datových center jsou dodavateli regulovaných klientů, ale současně jsou zákazníky softwarových dodavatelů, telekomunikačních operátorů, poskytovatelů identit, platforem SaaS, dodavatelů hardwaru, subdodavatelů a provozovatelů infrastruktury.
NIS2 činí zabezpečení dodavatelského řetězce klíčovým požadavkem. DORA, která se použije od 17. ledna 2025, staví řízení rizik třetích stran v oblasti ICT do centra požadavků pro finanční subjekty. NIS2 Article 4 a Recital 28 uznávají DORA jako odvětvový právní akt Unie pro finanční subjekty tam, kde se požadavky překrývají. To tlak na poskytovatele cloudových služeb a MSP nesnižuje. Naopak jej zvyšuje, protože finanční zákazníci promítají smluvní požadavky na úrovni DORA, práva na audit, testování odolnosti, exit strategie a očekávání v oblasti hlášení incidentů do dodavatelských smluv.
Podniková Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran společnosti Clarysec Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran vyžaduje řízený přístup třetích stran:
„Veškerý přístup třetích stran musí být protokolován a monitorován a tam, kde je to proveditelné, segmentován prostřednictvím bastion hostů, VPN nebo Zero Trust bran.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.3.2.
Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy-sme - SME vyjadřuje zásadu minimálních oprávnění přímo:
„Dodavatelům musí být udělen přístup pouze k minimálním systémům a datům nezbytným k výkonu jejich funkce.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.
Tato ustanovení se přirozeně mapují na opatření ISO/IEC 27001:2022 Annex A 5.19, 5.20, 5.21 a 5.22. Podporují také správu zpracovatelů a dílčích zpracovatelů podle GDPR, přezkumy rizik třetích stran podle DORA a zákaznické auditní dotazníky.
Kontinuita činností a odolnost datového centra: prokažte předpoklady
NIS2 Article 21 zahrnuje kontinuitu činností, správu záloh, obnovu po havárii a krizové řízení. DORA Articles 11 až 14 vyžadují pro finanční subjekty politiky kontinuity činností v oblasti ICT, plány reakce a obnovy, analýzu dopadů na obchodní činnost, politiky zálohování, postupy obnovy, cíle obnovy, testování, přezkoumání po incidentu a krizovou komunikaci.
Pro poskytovatele cloudových služeb a datových center není kontinuita složkou v šanonu. Je to architektura, kapacita, smlouvy, závislosti, důkazy o obnově a otestované předpoklady.
Podniková Politika kontinuity činností a obnovy po havárii společnosti Clarysec Politika kontinuity činností a obnovy po havárii vyžaduje každoroční BIA a přezkum po významných změnách:
„Analýza dopadů na obchodní činnost (BIA) musí být provedena alespoň jednou ročně pro všechny kritické podnikové jednotky a přezkoumána při významných změnách systémů, procesů nebo závislostí. Výstupy BIA musí definovat: 5.2.1. Maximální tolerovatelná doba výpadku (MTD) 5.2.2. Cílové doby obnovy (RTO) 5.2.3. Cílové body obnovy (RPO) 5.2.4. Kritické závislosti (systémy, dodavatelé, personál)“
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.
Ve scénáři datového centra by BIA měla pokrývat napájecí přívody, UPS, generátory, smlouvy na palivo, chlazení, hasicí systémy, síťové operátory, systémy fyzického přístupu, remote hands, monitorování, náhradní hardware a komunikační kanály se zákazníky. Ve scénáři cloudu by měla pokrývat regiony, zóny dostupnosti, replikaci, neměnnost záloh, závislosti identit, DNS, certifikační autority, API brány a podpůrné systémy. Ve scénáři MSP by měla pokrývat nástroje vzdálené správy, úložiště privilegovaného přístupu, EDR konzole, ticketing, repozitáře dokumentace a nouzovou komunikaci.
ISO 22301 může posílit disciplínu řízení kontinuity činností, zatímco ISO/IEC 27005:2022 podporuje kritéria rizik, plánování ošetření, monitorování, důkazy a neustálé zlepšování. To je užitečné, protože připravenost na NIS2 vyžaduje, aby organizace spojila právní, smluvní, provozní, dodavatelské, technologické, finanční, procesní a lidské faktory do jednoho procesu řízení rizik.
Praktická riziková stopa pro narušení vzdáleného přístupu MSP
Praktický workshop může začít jedním scénářem:
„Kompromitace privilegovaného vzdáleného přístupu vede k neoprávněnému přístupu do zákaznických systémů, narušení služby, možné expozici osobních údajů a regulačním oznamovacím povinnostem.“
Vytvořte řádek v registru rizik a doplňte stopu.
| Pole | Příklad záznamu |
|---|---|
| Vlastník rizika | Vedoucí řízených služeb |
| Aktiva a procesy | Platforma vzdálené správy, zákaznické administrátorské účty, trezor privilegovaných účtů, ticketing, SIEM, zákaznická prostředí |
| Hrozbová událost | Krádež přihlašovacích údajů, MFA fatigue, krádež tokenu, zneužitá zranitelnost RMM, zlovolný interní pracovník |
| Dopad | Kompromitace zákazníka, nedostupnost služeb, porušení smlouvy, významný incident NIS2, porušení zabezpečení osobních údajů podle GDPR, eskalace vůči zákazníkovi podle DORA |
| Stávající opatření | MFA, PAM, zásada minimálních oprávnění, segmentace, protokolování, skenování zranitelností, plán reakce na incidenty |
| Požadované ošetření | Zpřísnit podmíněný přístup, vynutit just-in-time administrátorský přístup, zlepšit izolaci tenantů, prodloužit uchovávání logů, otestovat oznamovací playbook |
| Důkazy ISO/IEC 27001:2022 | Posouzení rizik, SoA, přezkum přístupových práv, vzorky logů, zprávy o zranitelnostech, stolní cvičení, přezkoumání vedením |
| Mapování NIS2 | Article 21 řízení rizik a Article 23 hlášení incidentů, plus provozní opatření prováděcího nařízení |
| Mapování zákazníka | Smluvní oznámení, práva na audit, bezpečnostní příloha, dotazníky sladěné s DORA tam, kde je to relevantní |
| Rozhodnutí o zbytkovém riziku | Přijato vlastníkem rizika po ošetření, přezkoumáváno čtvrtletně |
Poté aktualizujte Prohlášení o použitelnosti. U každého relevantního opatření Annex A vysvětlete, proč se použije a které téma NIS2 podporuje. Nakonec shromážděte důkazy před auditem: reporty vynucení MFA, seznamy privilegovaných účtů, nastavení uchovávání logů, stav záplat RMM, upozornění SIEM, záznamy klasifikace incidentů, schválení přístupů dodavatelů a výsledky stolních cvičení.
Jak různí auditoři otestují stejné prostředí opatření
Integrovaný ISMS musí uspokojit různé pohledy na ujištění, aniž by vytvářel samostatné balíčky důkazů pro každý rámec.
| Pohled auditora | Na co se zaměří | Typicky požadované důkazy |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Zda jsou požadavky NIS2, DORA a GDPR promítnuty do kontextu, rozsahu, posouzení rizik, SoA, interního auditu a přezkoumání vedením | Rozsah ISMS, registr zainteresovaných stran, metodika rizik, registr rizik, SoA, plán ošetření, politiky, zpráva z interního auditu, přezkoumání vedením |
| Příslušný orgán NIS2 nebo pověřený hodnotitel | Zda jsou opatření řízení rizik kybernetické bezpečnosti vhodná a přiměřená a zda je hlášení významných incidentů provozně funkční | Mapování NIS2, postup klasifikace incidentů, postupy do 24 a 72 hodin, dohled vedení, důkazy technických opatření, důkazy bezpečnosti dodavatelů |
| Zákaznický hodnotitel DORA | Zda řízení rizik třetích stran v oblasti ICT, testování odolnosti, hlášení incidentů, práva na audit a plánování ukončení spolupráce splňují očekávání finančního sektoru | Smluvní ustanovení, registr subdodavatelů, testy odolnosti, SLA incidentů, plán ukončení spolupráce, auditní zprávy, podklady k riziku koncentrace |
| Auditor GDPR nebo přezkum DPO | Zda jsou řešena rizika porušení zabezpečení osobních údajů, povinnosti zpracovatele, důvěrnost, integrita a odpovědnost | Záznamy o činnostech zpracování, ustanovení DPA, postup posouzení porušení zabezpečení, logy přístupu, důkazy šifrování, opatření uchovávání a mazání |
| Hodnotitel orientovaný na NIST | Zda jsou implementovány a měřeny schopnosti identifikovat, chránit, detekovat, reagovat a obnovit | Evidence aktiv, řízení přístupu, data o zranitelnostech, pokrytí SIEM, playbooky reakce, testy obnovy, metriky |
| Auditor COBIT 2019 nebo ISACA | Zda jsou stanoveny cíle správy a řízení, odpovědnosti, vlastnictví rizik, monitorování opatření a procesy ujištění | Charty správy a řízení, RACI, ochota podstupovat riziko, vlastnictví opatření, reporting KPI/KRI, plán ujištění, sledování nápravných opatření |
Zde Zenith Controls pomáhá jako průvodce křížovým souladem. U opatření, jako jsou 5.23, 5.24 a 8.8, propojuje očekávání opatření ISO/IEC 27001:2022 s tématy NIS2, GDPR, DORA, NIST SP 800-53, COBIT 2019, NIST CSF a ISO 22301. Cílem není vytvářet samostatné programy souladu. Cílem je jedna architektura důkazů označená podle opatření, rizika, regulačního zdroje a vlastníka.
Implementační vzorec Clarysec
U poskytovatelů cloudových služeb, MSP, MSSP a datových center by práce měla probíhat v pěti vrstvách.
Za prvé potvrďte rozsah. Určete, zda organizace a služby spadají do rozsahu NIS2, která pravidla členského státu se použijí, zda se na kategorii poskytovatele vztahuje prováděcí nařízení 2024/2690 a zda zákazníci ukládají povinnosti podle DORA, GDPR, NIST nebo odvětvově specifických předpisů.
Za druhé vybudujte kontext ISMS. Podle kapitol 4 a 5 ISO/IEC 27001:2022 identifikujte zainteresované strany, právní povinnosti, zákaznické závazky, dodavatelské závislosti, hranice služeb a odpovědnosti vedení.
Za třetí proveďte posouzení rizik a ošetření rizik podle principů ISO/IEC 27005:2022. Slučte NIS2, DORA, GDPR, smlouvy, interní politiky a rizika služeb do jednoho registru základních požadavků. Definujte kritéria rizik, vlastníky, pravděpodobnost, dopad, možnosti ošetření, výběr opatření a schválení zbytkových rizik.
Za čtvrté namapujte opatření do Prohlášení o použitelnosti. Použijte kroky 13 a 14 Zenith Blueprint k propojení rizik s opatřeními Annex A a regulačními očekáváními. Použijte Zenith Controls k pochopení, jak se opatření jako 5.23, 5.24, 8.8, 5.20 a 5.30 mapují napříč rámci a auditními pohledy.
Za páté zprovozněte důkazy. Samotné politiky nestačí. Knihovna politik Clarysec poskytuje vymahatelné požadavky na schvalování cloudu, přístup dodavatelů, protokolování, nápravu zranitelností, segmentaci sítě, klasifikaci incidentů a plánování kontinuity. Balíček důkazů prokazuje, že tyto požadavky fungují.
Další krok: proměňte tlak NIS2 v odolnost připravenou na audit
Prováděcí nařízení NIS2 2024/2690 nevyžaduje chaos. Vyžaduje dohledatelnost, vlastnictví a důkazy.
Pokud jste poskytovatel cloudových služeb, MSP, MSSP nebo provozovatel datového centra, začněte svými službami, zákazníky, závislostmi, scénáři incidentů a důkazními povinnostmi. Poté proveďte strukturované mapování NIS2 na ISO/IEC 27001:2022:
- Potvrďte, zda váš subjekt a služby spadají do rozsahu.
- Namapujte témata NIS2 a prováděcího nařízení do rozsahu ISMS.
- Aktualizujte registr rizik a Prohlášení o použitelnosti.
- Uplatněte politiky Clarysec pro používání cloudu, bezpečnost dodavatelů, protokolování, řízení zranitelností, reakci na incidenty, zabezpečení sítí a kontinuitu.
- Použijte Zenith Blueprint Zenith Blueprint, kroky 13, 14, 20 a 23, k vytvoření dohledatelnosti a provozních důkazů.
- Použijte Zenith Controls Zenith Controls ke křížovému mapování opatření ISO/IEC 27001:2022 proti očekáváním NIS2, DORA, GDPR, NIST a COBIT 2019.
- Otestujte důkazy prostřednictvím simulace auditu dříve, než si je vyžádá zákazník, regulační orgán nebo certifikační auditor.
Clarysec vám může pomoci překročit rámec kontrolních seznamů souladu a vybudovat integrovaný ISMS, který obstojí pod tlakem NIS2, DORA, GDPR a zákaznických auditů. Stáhněte si příslušné sady nástrojů Clarysec, objednejte si mapovací workshop nebo požádejte o posouzení připravenosti na audit, abyste proměnili regulační složitost v obhajitelnou správu a řízení bezpečnosti a provozní odolnost.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
