⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
CS EN BG DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Odpovědnost vedoucích orgánů podle NIS2: důkazy podle ISO 27001

Igor Petreski
14 min read
#Řízení rizik #Audit #ISMS #Reakce na incidenty #Kontinuita činností #Řízení dodavatelů
Schéma odpovědnosti vedoucího orgánu podle NIS2 a důkazů řízení podle ISO 27001

E-mail přistál v Mariině schránce v pondělí ráno v 08:15. Jako ředitelka informační bezpečnosti (CISO) rychle rostoucího evropského poskytovatele cloudových služeb byla na urgentní zprávy zvyklá, ale tato působila jinak.

Finanční ředitel (CFO) přeposlal bezpečnostní dotazník zákazníka generálnímu řediteli (CEO), tajemníkovi vedoucího orgánu a Marii. Předmět byl stručný: „Před obnovením smlouvy požadujeme důkazy odpovědnosti vedoucího orgánu podle NIS2.“

Zákazník nepožadoval další zprávu z penetračního testu. Chtěl vědět, zda vedoucí orgán schválil opatření k řízení kybernetických bezpečnostních rizik, jak dohlížel na jejich účinnost, zda vrcholové vedení absolvovalo školení o kybernetických rizicích, jak byly eskalovány významné incidenty a jak byla rizika dodavatelů přezkoumávána na úrovni vedení. CEO přidal jednu větu: „Mario, jaká je naše expozice a jak doložíme náležitou péči? Vedoucí orgán to potřebuje příští týden.“

Právě v takový okamžik se NIS2 stává pro mnoho poskytovatelů SaaS, cloudu, MSP, MSSP, datových center, fintech služeb a digitální infrastruktury realitou. Směrnice (EU) 2022/2555 nepovažuje kybernetickou bezpečnost za problém technického oddělení. Převádí kybernetické riziko do roviny odpovědnosti vedoucího orgánu.

NIS2 Article 20 vyžaduje, aby vedoucí orgány základních a důležitých subjektů schvalovaly opatření k řízení kybernetických bezpečnostních rizik, dohlížely na jejich zavedení a absolvovaly školení. Zároveň umožňuje členským státům stanovit odpovědnost za porušení. Article 21 následně vymezuje praktický základ: analýzu rizik, bezpečnostní politiky, zvládání incidentů, kontinuitu činností, zabezpečení dodavatelského řetězce, bezpečné pořizování a vývoj, posuzování účinnosti, kybernetickou hygienu, školení, kryptografii, bezpečnost v oblasti HR, řízení přístupu, správu aktiv a autentizaci.

Pro organizace, které již používají ISO/IEC 27001:2022, je tato struktura známá. Rozdíl spočívá v cílovém publiku a v důkazní zátěži. Otázka už nezní pouze: „Máme bezpečnostní opatření?“ Zní: „Dokáže vedoucí orgán prokázat, že tato opatření schválil, pochopil, financoval, přezkoumal, zpochybnil a zlepšoval?“

Právě zde se ISO/IEC 27001:2022 stává obhajitelným systémem řízení a dohledu. Přístup Clarysec spočívá v použití ISO/IEC 27001:2022 jako důkazní páteře, Zenith Blueprint: 30krokový plán auditora Zenith Blueprint jako implementační cesty, politik Clarysec jako artefaktů připravených pro vedoucí orgán a Zenith Controls: Průvodce souladem napříč rámci Zenith Controls jako mapovací příručky napříč rámci pro NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 a auditní očekávání.

Proč odpovědnost vedoucích orgánů podle NIS2 mění debatu o kybernetické bezpečnosti

NIS2 nepožaduje, aby se členové orgánů stali inženýry firewallů. Požaduje, aby řídili a dohlíželi. Na tomto rozdílu záleží.

CISO může předložit zprávy o zranitelnostech, pokrytí MFA, řídicí panely ochrany koncových bodů a skóre bezpečnostního stavu cloudu. Jde o užitečné provozní signály, samy o sobě však nedokládají dohled vedoucího orgánu. Regulační orgán, podnikový zákazník, certifikační auditor nebo hodnotitel z finančního sektoru bude hledat řetězec důkazů řízení a dohledu:

  1. Organizace posoudila, zda se na ni NIS2 vztahuje, a zdokumentovala odůvodnění.
  2. Vedoucí orgán nebo vrcholové vedení schválilo rámec řízení kybernetických bezpečnostních rizik.
  3. Byl definován rizikový apetit a prahové hodnoty tolerance rizika.
  4. Vysoká kybernetická rizika byla eskalována a přezkoumána.
  5. Rozhodnutí o ošetření rizik byla schválena, včetně přijatého zbytkového rizika.
  6. Postupy hlášení incidentů zohledňují 24hodinové, 72hodinové a závěrečné oznamovací povinnosti, pokud jsou použitelné.
  7. Závislosti na dodavatelích a cloudových službách jsou zmapovány a řízeny.
  8. Přezkoumání vedením zahrnuje zjištění z auditů, trendy incidentů, metriky a opatření ke zlepšení.
  9. Vrcholové vedení absolvovalo školení odpovídající jeho odpovědnosti.
  10. Rozhodnutí, výjimky a eskalace jsou dohledatelné.

Zde selhává mnoho starších bezpečnostních playbooků. Nákup nástroje „v souladu s NIS2“ nedokládá dohled vedoucího orgánu. Podepsání politiky a její uložení do složky nedokládá implementaci. Úplné delegování kybernetické bezpečnosti na CISO nenaplňuje povinnost dohledu vedoucího orgánu.

ISO/IEC 27001:2022 tento problém řeší, protože rámuje bezpečnost informací jako strategický, rizikově orientovaný systém řízení integrovaný do procesů organizace. Její kapitoly o kontextu, zainteresovaných stranách, právních povinnostech, rozsahu, vedení, posouzení rizik, ošetření rizik, operativním řízení, hodnocení výkonnosti, interním auditu, přezkoumání vedením a neustálém zlepšování vytvářejí strukturu, kterou vedoucí orgán potřebuje k doložení náležité péče.

Zenith Blueprint to prakticky ukazuje ve fázi ISMS Foundation & Leadership, Step 3:

„Clause 5.1 se týká vedení a závazku. ISO 27001 vyžaduje, aby vrcholové vedení prokázalo vedení tím, že podpoří ISMS, poskytne zdroje, bude podporovat povědomí, zajistí přiřazení rolí, začlení ISMS do obchodních procesů a bude podporovat neustálé zlepšování.“

To je provozní model za NIS2 Article 20. Vedoucí orgán nemusí schvalovat každý technický tiket, musí však schválit model řízení a dohledu, rozumět významným rizikům, zajistit zdroje a dohlížet na implementaci.

Balíček důkazů pro vedoucí orgán, který NIS2 skutečně vyžaduje

Častou chybou je přistupovat k důkazům NIS2 jako k právnímu memorandu doplněnému složkou politik. To serióznímu hodnotiteli obvykle nestačí. Odpovědnost vedoucího orgánu vyžaduje důkaz aktivního řízení a dohledu, nikoli pasivní dokumentace.

Silný balíček důkazů pro vedoucí orgán podle NIS2 by měl propojit právní povinnosti s rozhodnutími vedoucího orgánu, opatřeními a cykly přezkumu.

Důkazní artefaktOtázka odpovědnosti vedoucího orgánu, na kterou odpovídáVazba na ISO/IEC 27001:2022Zdroj Clarysec
Posouzení použitelnosti NIS2Jsme základní subjekt, důležitý subjekt, nepřímo exponovaný subjekt, nebo mimo rozsah?Kapitoly 4.1 až 4.4Zenith Blueprint, Step 1 a Step 2
Rozsah ISMS a mapa závislostíKteré služby, lokality, dodavatelé, rozhraní a procesy jsou řízeny?Kapitoly 4.1 až 4.4Zenith Blueprint, fáze ISMS Foundation
Registr kybernetických rizikJaká jsou naše nejvyšší kybernetická rizika a kdo je vlastní?Kapitoly 6.1.1 a 6.1.2Politika řízení rizik
Plán ošetření rizik a SoAKterá opatření byla vybrána, proč a kdo schválil zbytkové riziko?Kapitola 6.1.3Zenith Blueprint, Step 13
Zápisy z jednání vedoucího orgánu a evidence rozhodnutíSchválilo vedení opatření, zpochybnilo je a dohlíželo na ně?Kapitoly 5.1, 5.3, 9.3Politika rolí a odpovědností v oblasti řízení a dohledu
Postup eskalace incidentů a hlášeníDokážeme splnit postupné oznamovací lhůty NIS2?Kapitoly 8.1, 9.1, opatření přílohy A pro incidentyToolkit reakce na incidenty a přezkoumání vedením
Řídicí panel rizik dodavatelůJsou kritičtí dodavatelé a cloudové závislosti řízeni?Kapitola 8.1 a opatření přílohy A pro dodavateleKřížové mapování Zenith Controls
Záznam o školení vrcholového vedeníAbsolvovali členové vedoucího orgánu odpovídající školení?Kapitola 7.2 a opatření zvyšování povědomíPolitika povědomí o bezpečnosti informací a školení
Výstupy interního auditu a přezkoumání vedenímJe implementace nezávisle kontrolována a zlepšována?Kapitoly 9.2, 9.3, 10.1Politika monitorování auditu a souladu – SME

Síla tohoto balíčku spočívá v dohledatelnosti. Každý artefakt odpovídá na otázku řízení a dohledu a odkazuje na mechanismus ISO/IEC 27001:2022. CISO, CEO a vedoucímu orgánu to poskytuje obhajitelný příběh: kybernetická bezpečnost není soubor nástrojů, ale řízený systém.

Převod politik na odpovědnost na úrovni vedoucího orgánu

V úvodním scénáři může být Mariin CEO v pokušení odpovědět zákazníkovi certifikátem ISO a několika politikami. To pro odpovědnost vedoucího orgánu podle NIS2 nestačí. Organizace potřebuje důkazy, že odpovědnost je přiřazena, rozhodnutí jsou zaznamenávána a rizika jsou eskalována objektivně.

Politiky Clarysec jsou navrženy tak, aby tuto dohledatelnost vytvářely.

Pro menší organizace Information Security Policy-sme Politika bezpečnosti informací – SME, kapitola 4.1.1, uvádí, že vrcholové vedení:

„Nese celkovou odpovědnost za bezpečnost informací.“

Tato věta je důležitá. Brání běžnému nežádoucímu vzorci, kdy zakladatelé, CEO nebo výkonné týmy neformálně delegují veškerou odpovědnost za bezpečnost na IT, aniž by si ponechali smysluplný dohled.

Pro větší organizace Risk Management Policy Politika řízení rizik, kapitola 4.1.1, uvádí, že vedení:

„Schvaluje rámec řízení rizik a definuje přijatelný rizikový apetit a prahové hodnoty tolerance rizika.“

To je důkaz připravený pro vedoucí orgán podle NIS2 Article 20. Prohlášení o rizikovém apetitu, prahové hodnoty tolerance a formální model pravomocí v oblasti rizik ukazují, jak v praxi funguje schvalování a eskalace.

Kapitola 5.6 téže politiky doplňuje:

„Matice pravomocí v oblasti rizik musí jasně definovat prahové hodnoty pro eskalaci k vrcholovému vedení nebo vedoucímu orgánu.“

Jde o jeden z nejdůležitějších artefaktů řízení a dohledu podle NIS2. Bez eskalačních prahů vedoucí orgán vidí pouze to, co se někdo rozhodne eskalovat. S prahovými hodnotami se vysoké zbytkové riziko, nevyřešené kritické zranitelnosti, významná koncentrace dodavatelů, závažné incidenty, zjištění z auditů a výjimky nad úrovní tolerance automaticky přesouvají do dohledu vrcholového vedení.

Governance Roles and Responsibilities Policy Politika rolí a odpovědností v oblasti řízení a dohledu posiluje důkazní řetězec:

„Řízení a dohled musí podporovat integraci s dalšími disciplínami (např. rizika, právní oblast, IT, HR) a rozhodnutí ISMS musí být dohledatelná ke svému zdroji (např. auditní záznamy, logy přezkumu, zápisy z jednání).“

Pro SME Governance Roles and Responsibilities Policy-sme Politika rolí a odpovědností v oblasti řízení a dohledu – SME uvádí:

„Všechna významná bezpečnostní rozhodnutí, výjimky a eskalace musí být zaznamenány a dohledatelné.“

Tato ustanovení převádějí dohled vedoucího orgánu z rozhovoru na auditní stopu.

Důkazní řetězec ISO/IEC 27001:2022 pro NIS2 Article 20

Vedoucí orgán může NIS2 Article 20 operacionalizovat prostřednictvím jasného důkazního řetězce podle ISO/IEC 27001:2022.

Nejprve stanovte kontext a rozsah. ISO/IEC 27001:2022 vyžaduje, aby organizace určila interní a externí otázky, zainteresované strany, právní, regulatorní a smluvní požadavky, hranice ISMS, rozhraní, závislosti a vzájemně působící procesy. U poskytovatele SaaS nebo cloudu by rozsah ISMS měl výslovně identifikovat služby v EU, cloudová prostředí, podpůrný provoz, kritické dodavatele, segmenty regulovaných zákazníků a expozici vůči NIS2.

Za druhé prokažte vedení. ISO/IEC 27001:2022 vyžaduje, aby vrcholové vedení sladilo bezpečnostní cíle se strategickým směřováním, začlenilo požadavky ISMS do obchodních procesů, poskytlo zdroje, komunikovalo jejich význam, přiřadilo odpovědnosti a podporovalo neustálé zlepšování. Pro NIS2 se z toho stává důkaz, že vedoucí orgán schválil opatření k řízení kybernetických bezpečnostních rizik a dohlížel na ně.

Za třetí provádějte opakovatelné posouzení rizik a ošetření rizik. ISO/IEC 27001:2022 vyžaduje kritéria rizik, identifikaci rizik, vlastníky rizik, analýzu pravděpodobnosti a dopadů, možnosti ošetření, výběr opatření, porovnání s přílohou A, Prohlášení o použitelnosti, plán ošetření rizik a schválení zbytkového rizika.

Zenith Blueprint, fáze Risk Management, Step 13, schvalovací bod výslovně uvádí:

„Schválení vedením: Rozhodnutí o ošetření rizik a SoA by měla být přezkoumána a schválena vrcholovým vedením. Vedení by mělo být informováno o klíčových rizicích a navrhovaných ošetřeních, rizicích navržených k přijetí a opatřeních plánovaných k implementaci.“

Pro NIS2 by takový briefing neměl být jednorázový. Balíček pro vedoucí orgán by měl ukazovat aktuální nejvýznamnější rizika, trend, postup ošetření, přijaté zbytkové riziko, zpožděná opatření, expozici vůči kritickým dodavatelům, témata incidentů a klíčové metriky účinnosti.

Za čtvrté provozujte opatření a uchovávejte důkazy. Kapitola 8.1 ISO/IEC 27001:2022 vyžaduje operativní plánování a řízení. Opatření přílohy A podporují bezpečnost dodavatelů, správu cloudu, reakci na incidenty, kontinuitu činností, řízení zranitelností, zálohy, protokolování, monitorování, bezpečný vývoj, zabezpečení aplikací, architekturu, testování, outsourcing, oddělení prostředí a řízení změn.

Za páté vyhodnocujte a zlepšujte. Interní audit, měření, přezkoumání vedením, nápravná opatření a neustálé zlepšování mění katalog opatření na řízený systém.

Podniková Information Security Policy Politika bezpečnosti informací tuto očekávanou praxi přezkoumání vedením zakotvuje:

„Činnosti přezkoumání vedením (podle ISO/IEC 27001 Clause 9.3) musí být prováděny alespoň jednou ročně a musí zahrnovat:“

Hodnota nespočívá jen v tom, že se jednání uskuteční. Hodnota spočívá v tom, že přezkum vytváří důkazy: vstupy, rozhodnutí, opatření, vlastníky, termíny a následné kroky.

Audit and Compliance Monitoring Policy-sme Politika monitorování auditu a souladu – SME, kapitola 5.4.3, uzavírá smyčku:

„Zjištění auditu a aktualizace stavu musí být zahrnuty do procesu přezkoumání ISMS vedením.“

To je rozdíl mezi „měli jsme audit“ a „vedení přezkoumalo výsledky auditu a určilo nápravu“.

Mapování souladu napříč rámci: NIS2, DORA, GDPR, NIST CSF 2.0 a COBIT 2019

NIS2 málokdy přichází sama. Poskytovatel cloudu může zpracovávat osobní údaje podle GDPR. Fintech zákazník může vynucovat požadavky na dodavatele odvozené z DORA. Podnikový zákazník z USA se může ptát na soulad s NIST CSF 2.0. Auditní výbor vedoucího orgánu může používat jazyk COBIT 2019.

Řešením není budovat oddělené složky souladu. Řešením je použít ISO/IEC 27001:2022 jako centrální důkazní systém.

Zenith Controls pomáhá týmům konsolidovat důkazy mapováním opatření ISO/IEC 27002:2022 5.4, Management responsibilities, napříč normami, právními předpisy a auditními metodami.

V Zenith Controls položka pro opatření ISO/IEC 27002:2022 5.4 „Management responsibilities“ klasifikuje typ opatření jako „preventivní“, propojuje jej s důvěrností, integritou a dostupností a zařazuje jej pod provozní schopnost zaměřenou na řízení a dohled.

To je důležité, protože NIS2 Article 20 představuje preventivní řízení a dohled. Schválení a dohled ze strany vedení snižují pravděpodobnost, že kybernetické riziko zůstane neviditelné, podfinancované nebo neřízené.

Zenith Controls také propojuje odpovědnosti vedení se souvisejícími opatřeními ISO/IEC 27002:2022: 5.1 Politiky bezpečnosti informací, 5.2 Role a odpovědnosti v oblasti bezpečnosti informací, 5.35 Nezávislý přezkum bezpečnosti informací, 5.36 Soulad s politikami, pravidly a normami bezpečnosti informací a 5.8 Bezpečnost v projektovém řízení. Odpovědnost vedoucího orgánu nemůže stát samostatně. Potřebuje politiky, role, ujištění, monitorování souladu a integraci na úrovni projektů.

Širší mapování je zvlášť užitečné pro reporting vrcholovému vedení.

Téma požadavkuNIS2DORAGDPRNIST CSF 2.0COBIT 2019Zaměření důkazů Clarysec
Odpovědnost vedeníArticle 20 schválení, dohled, školení, odpovědnostArticles 5 a 6 odpovědnost vedoucího orgánu a rámec řízení rizik v oblasti ICTArticle 5(2) odpovědnost a Article 24 odpovědnostGOVERN, zejména GV.RR, GV.RM a GV.OVEDM03 optimalizace rizikZápisy z jednání vedoucího orgánu, charty rolí, záznamy o školení
Opatření k řízení rizikArticle 21 technická, provozní a organizační opatřeníRámec řízení rizik v oblasti ICTArticle 32 zabezpečení zpracováníGOVERN, IDENTIFY, PROTECTAPO13 řízení bezpečnostiRegistr rizik, plán ošetření, SoA
Hlášení incidentůArticle 23 včasné varování, oznámení incidentu, závěrečná zprávaArticles 17 až 20 hlášení významných incidentů souvisejících s ICTArticles 33 a 34 oznamování porušení zabezpečení osobních údajů, pokud je použitelnéRESPOND a RECOVERDSS02 řízení požadavků na služby a incidentůEskalační matice, playbooky, simulace
Řízení dodavatelůArticle 21(2)(d) zabezpečení dodavatelského řetězceArticles 28 až 30 riziko třetích stran v oblasti ICTPovinnosti zpracovatele a bezpečnostní povinnostiGV.SC řízení kybernetických rizik v dodavatelském řetězciAPO10 řízení dodavatelůRegistr dodavatelů, due diligence, smluvní kontrolní mechanismy
Účinnost a ujištěníArticle 21(2)(f) politiky a postupy pro posouzení účinnostiArticle 6 přezkum rámce řízení rizik v oblasti ICT a auditní očekáváníArticle 32(1)(d) pravidelné testování a hodnoceníGV.OV dohled, ID.RA posouzení rizik, DE.CM průběžné monitorováníMEA01 a MEA03 monitorování a souladInterní audit, přezkoumání vedením, nápravná opatření

DORA si zaslouží zvláštní pozornost. NIS2 Article 4 uznává, že odvětvové právní akty EU mohou nahradit překrývající se ustanovení NIS2 tam, kde se použijí rovnocenná opatření pro řízení kybernetických bezpečnostních rizik nebo oznamování incidentů. DORA je klíčovým příkladem pro finanční subjekty. Použije se od 17. ledna 2025 a vytváří jednotný rámec řízení rizik v oblasti ICT, hlášení incidentů, testování odolnosti, řízení rizik třetích stran a dohledu pro finanční služby.

Poskytovatel SaaS nebo cloudu nemusí být přímo regulován jako banka, ale DORA k němu může přijít prostřednictvím zákaznických smluv. Finanční subjekty musí řídit rizika třetích stran v oblasti ICT, vést registry smluv o službách ICT, provádět due diligence, posuzovat riziko koncentrace, zahrnovat práva na audit a kontrolu, definovat práva na ukončení a udržovat exit strategie. To znamená, že poskytovatelé obsluhující finanční zákazníky by měli očekávat požadavky na důkazy, které se velmi podobají otázkám řízení a dohledu vedoucího orgánu podle NIS2.

GDPR přidává odpovědnost za osobní údaje. Article 5(2) vyžaduje, aby správci nesli odpovědnost a byli schopni doložit soulad. Article 32 vyžaduje zabezpečení zpracování, včetně pravidelného testování, posuzování a hodnocení účinnosti technických a organizačních opatření. Pokud jsou dotčeny osobní údaje, musí incident workflow integrovat posouzení porušení zabezpečení podle GDPR s eskalací významného incidentu podle NIS2.

NIST CSF 2.0 přidává jazyk srozumitelný pro vedení prostřednictvím funkce GOVERN. Zdůrazňuje kontext organizace, strategii řízení rizik, role a odpovědnosti, politiku, dohled a řízení rizik dodavatelského řetězce. COBIT 2019 přidává slovník řízení známý auditním výborům, zejména prostřednictvím EDM03 pro optimalizaci rizik a cílů MEA pro monitorování a ujištění.

90denní sprint důkazů pro vedoucí orgán podle NIS2

Praktický důkazní sprint může organizacím pomoci postupovat rychle, aniž by vytvářely paralelní byrokracii.

Dny 1 až 30: Ustanovte odpovědnost

Začněte registrem odpovědnosti podle NIS2, který zaznamenává:

  • Analýzu klasifikace subjektu, včetně odůvodnění, zda je subjekt základní, důležitý, nepřímo exponovaný nebo mimo rozsah.
  • Služby v rozsahu, například SaaS, cloud, řízené služby, datové centrum, DNS, služby vytvářející důvěru nebo služby související s komunikacemi.
  • Členské státy EU, v nichž jsou služby poskytovány.
  • Dotčené sektory zákazníků, zejména finanční služby, zdravotnictví, dopravu, energetiku, veřejnou správu a digitální infrastrukturu.
  • Použitelné povinnosti, včetně NIS2 Article 20, Article 21 a Article 23.
  • Související povinnosti z DORA, GDPR, zákaznických smluv a kybernetického pojištění.
  • Vlastníka na úrovni vedení a frekvenci reportingu vedoucímu orgánu.

Připojte tento registr ke kontextu ISO/IEC 27001:2022, zainteresovaným stranám, registru povinností a rozsahu ISMS. Poté aktualizujte matici pravomocí v oblasti rizik s využitím požadavku Politiky řízení rizik, aby byly definovány prahové hodnoty eskalace k vrcholovému vedení nebo vedoucímu orgánu.

Mezi užitečné eskalační spouštěče patří zbytkové riziko nad úrovní rizikového apetitu, nepřijaté kritické zranitelnosti po uplynutí SLA, riziko koncentrace dodavatelů, nevyřešená závažná zjištění z auditů, incidenty, které mohou vyvolat hlášení podle NIS2, výjimky z požadavků na MFA, zálohování, protokolování, šifrování nebo reakci na incidenty a významné změny cloudové architektury.

Dny 31 až 60: Schvalte ošetření rizik

Použijte Zenith Blueprint Step 13 k přípravě rozhodovacího balíčku pro vedoucí orgán k plánu ošetření rizik a Prohlášení o použitelnosti. Balíček by měl zahrnovat:

  • 10 nejvýznamnějších kybernetických rizik.
  • Navrhovanou možnost ošetření pro každé riziko.
  • Vybrané skupiny opatření.
  • Zbytkové riziko po ošetření.
  • Rizika navržená k přijetí.
  • Požadovaná rozpočtová nebo zdrojová rozhodnutí.
  • Závislosti na dodavatelích, právním oddělení, HR, produktu a IT.
  • Požadované rozhodnutí vedení.

Výstupem musí být podepsané nebo v zápisu zachycené schválení. Samotná sada slidů nestačí.

Zároveň namapujte opatření NIS2 Article 21 na kapitoly ISO/IEC 27001:2022 a opatření přílohy A. Organizace tím může ukázat, že NIS2 řeší prostřednictvím ISMS, nikoli odděleným kontrolním seznamem.

Dny 61 až 90: Otestujte hlášení incidentů a přezkoumejte důkazy

NIS2 Article 23 vyžaduje postupné hlášení významných incidentů: včasné varování do 24 hodin, oznámení incidentu do 72 hodin, průběžné aktualizace, pokud jsou vyžadovány nebo požadovány, a závěrečnou zprávu nejpozději do jednoho měsíce od oznámení.

Proveďte tabletop cvičení se sponzorem z vedoucího orgánu, CEO, CISO, právním oddělením, komunikací, customer success týmem a provozem. Použijte realistický scénář, například chybnou konfiguraci cloudu, která zpřístupní zákaznická metadata, naruší dostupnost služby a ovlivní regulovaného zákazníka.

Otestujte, kdo rozhoduje o tom, zda může být incident významný, kdo kontaktuje právního poradce, kdo informuje příslušné orgány nebo CSIRT, pokud je to vyžadováno, kdo schvaluje komunikaci se zákazníky, jak jsou uchovávány důkazy, jak se souběžně posuzují oznamovací povinnosti podle GDPR a jak je vedoucí orgán aktualizován během prvních 24 hodin.

Poté uspořádejte formální přezkoumání vedením. Zenith Blueprint, fáze Audit, Review & Improvement, Step 28, vysvětluje proč:

„Přezkoumání vedením není jen prezentace; jde o přijímání rozhodnutí.“

Tento přezkum by měl zahrnovat zjištění z auditů, postup ošetření rizik, připravenost na incidenty, rizika dodavatelů, metriky, rozhodnutí, přiřazená opatření a vlastníky následných kroků.

Přezkoumání vedením, které skutečně funguje

Mnoho přezkoumání vedením selhává, protože jsou strukturována jako stavové aktualizace. Přezkoumání vedením připravené na NIS2 by mělo být rozhodovacím jednáním.

Agenda by měla zahrnovat:

  1. Změny požadavků NIS2, DORA, GDPR, smluvních a zákaznických požadavků.
  2. Změny obchodního kontextu, služeb, akvizic, dodavatelů, cloudové architektury a segmentů regulovaných zákazníků.
  3. Stav nejvýznamnějších rizik bezpečnosti informací a zbytkového rizika vůči rizikovému apetitu.
  4. Postup plánu ošetření rizik a zpožděná opatření.
  5. Trendy incidentů, významné události, téměř vzniklé incidenty a připravenost k hlášení.
  6. Rizika dodavatelů a závislostí v oblasti ICT, včetně koncentrace a otázek ukončení spolupráce.
  7. Výsledky interních auditů, externích auditů, zákaznických hodnocení a penetračních testů.
  8. Absolvování školení bezpečnostního povědomí a školení vrcholového vedení.
  9. Metriky řízení přístupu, řízení zranitelností, záloh, protokolování, monitorování, bezpečného vývoje a testů kontinuity.
  10. Požadovaná rozhodnutí, včetně přijetí rizika, rozpočtu, personálního zajištění, výjimek z politik, nápravy u dodavatelů a zlepšení opatření.

Školení vrcholového vedení je zvlášť důležité. NIS2 Article 20 vyžaduje, aby členové vedoucího orgánu absolvovali školení. Information Security Awareness and Training Policy Politika povědomí o bezpečnosti informací a školení, kapitola 5.1.2.4, výslovně zahrnuje témata školení pro vrcholové vedení:

„Vrcholové vedení (např. řízení a dohled, přijetí rizika, právní povinnosti)“

Školení kybernetické bezpečnosti pro vrcholové vedení by se mělo zaměřit na rozhodovací pravomoci, odpovědnost, eskalaci, rizikový apetit, krizové řízení, hlášení incidentů a regulatorní povinnosti. Nemělo by se omezovat na povědomí o phishingu.

Jak auditoři a zákazníci ověří dohled vedoucího orgánu

Různí hodnotitelé budou používat různý jazyk, ale budou testovat stejnou základní otázku: je kybernetická bezpečnost řízena?

Zenith Controls má hodnotu tím, že zahrnuje mapování auditních metodik. U odpovědností vedení odkazuje na zásady a provádění auditu podle ISO/IEC 19011:2018, auditní postupy ISMS podle ISO/IEC 27007:2020, kapitolu 5.1 ISO/IEC 27001:2022, COBIT 2019 EDM01 a EDM03, ISACA ITAF Section 1401 a NIST SP 800-53A PM-1 a PM-2. U nezávislého přezkumu mapuje na kapitoly 9.2 a 9.3 ISO/IEC 27001:2022, plánování auditu a postupy práce s důkazy podle ISO/IEC 27007, ISACA ITAF Section 2400 a metody posuzování NIST. U souladu s politikami mapuje na kapitoly 9.1, 9.2 a 10.1 ISO/IEC 27001:2022, sběr důkazů podle ISO/IEC 19011, COBIT 2019 MEA01 a posouzení průběžného monitorování podle NIST.

Pohled auditoraNa co se bude ptátJaké důkazy očekáváBěžné selhání
Auditor ISO/IEC 27001:2022Jak vrcholové vedení prokazuje vedení, schvaluje ošetření rizik a přezkoumává výkonnost ISMS?Schválení politik, registr rizik, schválení SoA, zápisy z přezkoumání vedením, výstupy interního audituPřezkoumání vedením existuje, ale neobsahuje rozhodnutí ani sledování opatření
Hodnotitel zaměřený na NIS2Schválil vedoucí orgán opatření kybernetické bezpečnosti a dohlížel na jejich implementaci?Zápisy z jednání vedoucího orgánu, eskalační matice, záznamy o školení vrcholového vedení, mapování základního souboru opatření Article 21Bezpečnostní opatření schválil pouze CISO, bez dohledatelnosti k vedoucímu orgánu
Hodnotitel NIST CSF 2.0Jsou výstupy řízení a dohledu, rizikový apetit, role, zdroje, dohled a riziko dodavatelského řetězce integrovány do řízení podnikových rizik?Aktuální a cílové profily, plán mezer, reporting vedení, metrikyNIST se používá jako kontrolní seznam bez vlastníka řízení a dohledu
Auditor COBIT 2019 nebo ISACAVyhodnocuje, řídí a monitoruje řídicí orgán řízení kybernetických rizik?Charty řízení a dohledu, rizikový apetit, reporting vedení, výsledky ujištěníVedoucí orgán dostává technické metriky bez kontextu rozhodování o riziku
Zákazník podle DORA nebo hodnotitel z finančního sektoruJsou rizika ICT, incidenty, odolnost a závislosti na třetích stranách řízeny a dokumentovány?Mapa závislostí ICT, registr dodavatelů, due diligence, práva na audit, životní cyklus incidentuRiziko dodavatelů je založeno pouze na dotaznících, bez analýzy koncentrace nebo ukončení spolupráce
Auditor GDPR nebo hodnotitel ochrany soukromíDokáže organizace prokázat zabezpečení a odpovědnost za zpracování osobních údajů?Mapy dat, model právního základu, proces posouzení porušení zabezpečení, bezpečnostní opatřeníDůkazy ochrany soukromí a bezpečnosti jsou oddělené a nekonzistentní

Poučení je jednoduché. Odpovědnost vedoucího orgánu se nedokládá samotnou účastí. Dokládá se informovanými rozhodnutími, zdokumentovanými schváleními, prioritizací na základě rizik, přidělením zdrojů a následnými kroky.

Běžné chyby, které narušují důkazní řetězec

Organizace, které zápasí s odpovědností vedoucího orgánu podle NIS2, obvykle spadají do předvídatelných vzorců.

Zaprvé zaměňují provoz technických opatření s řízením a dohledem. Pokrytí MFA, upozornění SIEM, nasazení EDR a míry úspěšnosti zálohování jsou důležité, ale vedoucí orgán potřebuje kontext rizik, rozhodnutí o ošetření a ujištění, že opatření fungují.

Zadruhé schvalují politiky, nikoli ošetření rizik. Podepsaná bezpečnostní politika nedokládá, že vedoucí orgán schválil přiměřená opatření kybernetické bezpečnosti. Plán ošetření rizik a SoA jsou silnějšími důkazy, protože propojují rizika, opatření, zbytkové riziko a schválení vedením.

Zatřetí jim chybí eskalační prahové hodnoty. Bez matice pravomocí v oblasti rizik závisí eskalace na jednotlivcích. Řízení a dohled podle NIS2 potřebují objektivní spouštěče.

Začtvrté oddělují reakci na incidenty od regulatorního hlášení. Workflow hlášení podle NIS2, DORA a GDPR musí být integrována před krizí.

Zapáté ignorují řízení dodavatelů. NIS2 Article 21 zahrnuje zabezpečení dodavatelského řetězce a zohlednění zranitelností dodavatelů. Zákazníci ovlivnění DORA mohou očekávat hlubší řízení třetích stran v oblasti ICT, včetně due diligence, práv na audit, rizika koncentrace, práv na ukončení a exit strategií.

Zašesté neškolí vrcholové vedení. Školení vrcholového vedení v oblasti kybernetické bezpečnosti není podle NIS2 volitelnou formalitou. Je součástí důkazního řetězce řízení a dohledu.

Jak vypadá dobrý stav

Po 90 dnech by důvěryhodná složka důkazů pro vedoucí orgán podle NIS2 měla obsahovat:

  • Posouzení použitelnosti.
  • Rozsah ISMS a registr povinností.
  • Prohlášení o závazku vedení.
  • Rizikový apetit a prahové hodnoty tolerance.
  • Matici pravomocí v oblasti rizik.
  • Registr kybernetických rizik.
  • Plán ošetření rizik.
  • Prohlášení o použitelnosti.
  • Zápisy o schválení vedoucím orgánem.
  • Záznamy o školení vrcholového vedení.
  • Zprávu z tabletop cvičení incidentu.
  • Řídicí panel rizik dodavatelů.
  • Zprávu z interního auditu.
  • Zápisy z přezkoumání vedením a nástroj pro sledování opatření.

Tato složka odpovídá na zákaznický dotazník, který Maria obdržela v pondělí ráno. Ještě důležitější je, že pomáhá vedoucímu orgánu řídit kybernetická rizika dříve, než organizaci veřejně prověří incident, audit nebo regulační orgán.

Přeměňte odpovědnost vedoucího orgánu podle NIS2 na řízení připravené na audit

NIS2 změnila debatu o kybernetické bezpečnosti. Vedoucí orgány musí schvalovat opatření k řízení kybernetických bezpečnostních rizik, dohlížet na jejich implementaci a absolvovat školení. Article 21 vyžaduje integrovaný soubor technických, provozních a organizačních opatření. Article 23 stlačuje hlášení incidentů do postupné časové osy, která vyžaduje přípravu před krizí.

ISO/IEC 27001:2022 vám poskytuje systém řízení. Clarysec vám poskytuje implementační cestu, jazyk politik, mapování souladu napříč rámci a model auditních důkazů.

Pokud se váš vedoucí orgán ptá: „Co musíme schválit a jak doložíme dohled?“, začněte třemi kroky:

  1. Použijte Zenith Blueprint Step 3, Step 13 a Step 28 ke strukturování závazku vedení, schválení ošetření rizik a přezkoumání vedením.
  2. Použijte politiky Clarysec, jako jsou Politika řízení rizik, Politika rolí a odpovědností v oblasti řízení a dohledu, Politika bezpečnosti informací a ekvivalenty pro SME, k formalizaci odpovědnosti a dohledatelnosti.
  3. Použijte Zenith Controls k namapování dohledu vedoucího orgánu podle NIS2 na ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 a očekávání auditních metodik.

Clarysec vám pomůže sestavit balíček pro vedoucí orgán, aktualizovat důkazní řetězec ISMS, připravit přezkoumání vedením a proměnit odpovědnost podle NIS2 v opakovatelný proces řízení kybernetických rizik, kterému porozumí auditoři, zákazníci i vrcholové vedení. Stáhněte si relevantní toolkity Clarysec nebo si vyžádejte posouzení a převeďte odpovědnost vedoucího orgánu na důkazy připravené na audit.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Důkazy k DORA TLPT mapované na opatření ISO 27001

Důkazy k DORA TLPT mapované na opatření ISO 27001

Praktický průvodce pro finanční subjekty, které potřebují propojit DORA TLPT, testování odolnosti, opatření ISO 27001, ujištění dodavatelů, důkazy obnovy a reporting vedoucímu orgánu do jednoho důkazního řetězce připraveného k auditu.