Důkazy o kybernetické hygieně podle NIS2 mapované na ISO 27001
Je pondělí 08:40. Sarah, ředitelka kybernetické bezpečnosti (CISO) rychle rostoucího poskytovatele B2B SaaS, se připojuje k poradě vedení a očekává rutinní přezkum otevřených opatření k rizikům. Místo toho hlavní právník zahájí jednání ostřejší otázkou:
„Pokud nás zítra národní příslušný orgán požádá, abychom prokázali kybernetickou hygienu a školení kybernetické bezpečnosti podle NIS2 Article 21, co přesně mu pošleme?“
Ředitelka HR říká, že každý zaměstnanec absolvoval každoroční školení bezpečnostního povědomí. Manažer SOC říká, že výsledky phishingových simulací se zlepšují. Vedoucí provozu IT říká, že MFA je vynucováno, zálohy se testují a záplatování se sleduje. Manažer compliance říká, že auditní složka ISO/IEC 27001:2022 obsahuje záznamy o školení, ale projektový tým DORA má vlastní důkazy o školení odolnosti a složka GDPR obsahuje samostatné záznamy o povědomí v oblasti ochrany soukromí.
Všichni odvedli svou práci. Nikdo si však není jistý, zda důkazy dohromady tvoří jeden konzistentní příběh.
To je skutečný problém NIS2 Article 21 pro základní a důležité subjekty. Požadavek neznamená pouze „proškolit uživatele“. Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření k řízení kybernetických rizik. Jeho minimální soubor opatření zahrnuje kybernetickou hygienu a školení kybernetické bezpečnosti, ale také zvládání incidentů, kontinuitu činností, bezpečnost dodavatelského řetězce, nakládání se zranitelnostmi, kryptografii, personální bezpečnost, řízení přístupu, správu aktiv, MFA nebo průběžnou autentizaci, bezpečnou komunikaci a postupy pro posuzování účinnosti.
Kybernetická hygiena není kampaň na zvyšování povědomí. Je to každodenní provozní disciplína, která propojuje lidi, bezpečnostní opatření, důkazy a odpovědnost vedení.
Pro CISO, manažery compliance, MSP, poskytovatele SaaS, provozovatele cloudu a poskytovatele digitálních služeb není praktickou odpovědí vytvořit samostatný „projekt školení NIS2“. Silnější přístup spočívá ve vybudování jednoho auditně připraveného řetězce důkazů v rámci ISMS podle ISO/IEC 27001:2022, podporovaného postupy bezpečnostních opatření podle ISO/IEC 27002:2022, řízeného z hlediska rizik podle ISO/IEC 27005:2022 a křížově odkazovaného na NIS2, DORA, GDPR, ujištění podle přístupu NIST a očekávání správy a řízení podle COBIT 2019.
Proč NIS2 Article 21 mění školení na důkaz pro příslušné orgány
NIS2 se vztahuje na mnoho středních a velkých subjektů v odvětvích podle přílohy I a přílohy II, které poskytují služby nebo vykonávají činnosti v Unii. U technologických společností může být rozsah širší, než řada vedení očekává. Příloha I pokrývá digitální infrastrukturu, včetně poskytovatelů služeb cloud computingu, poskytovatelů datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů služeb vytvářejících důvěru, poskytovatelů služeb DNS a registrů TLD. Příloha I zahrnuje také řízení služeb ICT v režimu B2B, včetně poskytovatelů řízených služeb a poskytovatelů řízených bezpečnostních služeb. Příloha II zahrnuje digitální poskytovatele, jako jsou online tržiště, internetové vyhledávače a platformy služeb sociálních sítí.
Některé subjekty mohou spadat do rozsahu bez ohledu na velikost, včetně určitých poskytovatelů služeb DNS a registrů TLD. Národní rozhodnutí o kritičnosti mohou do rozsahu zahrnout i menší poskytovatele, pokud by narušení mohlo ovlivnit veřejnou bezpečnost, systémové riziko nebo základní služby.
Article 21(1) vyžaduje, aby základní a důležité subjekty zavedly vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik pro síťové a informační systémy používané pro provoz nebo poskytování služeb a k prevenci incidentů nebo minimalizaci jejich dopadu. Article 21(2) uvádí minimální opatření, včetně politik pro analýzu rizik a bezpečnost informačních systémů, zvládání incidentů, kontinuity činností, bezpečnosti dodavatelského řetězce, bezpečného pořizování a údržby, posuzování účinnosti, základních postupů kybernetické hygieny a školení kybernetické bezpečnosti, kryptografie, personální bezpečnosti, řízení přístupu, správy aktiv a MFA nebo průběžné autentizace, je-li to vhodné.
Article 20 zvyšuje důležitost celé věci. Řídicí orgány musí schvalovat opatření pro řízení rizik kybernetické bezpečnosti, dohlížet na jejich zavedení a mohou nést odpovědnost za porušení. Členové řídicích orgánů musí absolvovat školení a subjekty jsou vybízeny, aby poskytovaly podobné pravidelné školení zaměstnancům, aby dokázali identifikovat rizika a posuzovat postupy řízení rizik kybernetické bezpečnosti a jejich dopad na služby.
Article 34 přidává finanční tlak. Porušení Article 21 nebo Article 23 mohou vést ke správním pokutám dosahujícím alespoň 10 000 000 EUR nebo 2 % celosvětového ročního obratu u základních subjektů a alespoň 7 000 000 EUR nebo 1,4 % u důležitých subjektů, podle toho, která částka je vyšší.
Proto nestačí tvrzení „provedli jsme každoroční školení bezpečnostního povědomí“. Regulační orgán, auditor ISO, bezpečnostní hodnotitel zákazníka nebo kybernetický pojistitel bude očekávat důkazy, že školení je založené na rolích a rizicích, je aktuální, měřené, propojené s incidenty a srozumitelné vedení.
Podniková Politika povědomí o bezpečnosti informací a školení společnosti Clarysec, ustanovení 5.1.1.3, vyžaduje, aby školení:
Pokrývalo témata, jako jsou phishing, hygiena hesel, hlášení a řízení incidentů, fyzická bezpečnost a ochrana a minimalizace údajů
Tatáž politika, ustanovení 8.3.1.1, určuje důkazní linii, na kterou se auditoři obvykle ptají jako první:
Záznamy o přiřazení, potvrzení a absolvování školení
Pro SME je Politika povědomí o bezpečnosti informací a školení – SME společnosti Clarysec, ustanovení 8.4.1, ohledně auditovatelnosti ještě přímější:
Záznamy o školení podléhají internímu auditu a externímu přezkumu. Záznamy musí být přesné, úplné a na vyžádání doložitelné (např. pro certifikaci ISO, audit GDPR nebo ověření pojišťovnou).
Tato věta vystihuje rozdíl mezi povědomím jako aktivitou HR a povědomím jako kontrolou souladu. Pokud jsou záznamy neúplné, neověřitelné nebo nejsou propojené s rizikem role, opatření může provozně existovat, ale při auditu selhat.
Použijte ISO/IEC 27001:2022 jako páteř důkazů
ISO/IEC 27001:2022 je přirozenou páteří pro NIS2 Article 21, protože nutí organizaci definovat rozsah, zainteresované strany, rizika, bezpečnostní opatření, cíle, důkazy, interní audit, přezkoumání vedením a neustálé zlepšování.
Kapitoly 4.1 až 4.4 vyžadují, aby organizace porozuměla interním a externím otázkám, určila zainteresované strany a jejich požadavky, definovala rozsah ISMS, zohlednila rozhraní a závislosti s činnostmi vykonávanými jinými organizacemi a udržovala ISMS jako vzájemně působící soubor procesů. U poskytovatele SaaS nebo MSP by rozsah ISMS měl výslovně zahrnovat povinnosti podle NIS2, smluvní povinnosti vůči zákazníkům, závislosti na poskytovatelích cloudových služeb, pokrytí externím SOC, role při zpracování údajů a závazky dostupnosti služeb.
Kapitoly 5.1 až 5.3 zavádějí odpovědnost v oblasti správy a řízení. Vrcholové vedení musí sladit politiku bezpečnosti informací a cíle se strategickým směřováním, začlenit požadavky ISMS do obchodních procesů, poskytnout zdroje, přiřadit odpovědnosti a zajistit reportování výkonnosti. To přímo odpovídá NIS2 Article 20, kde řídicí orgány schvalují opatření pro řízení rizik kybernetické bezpečnosti a dohlížejí na ně.
Kapitoly 6.1.1 až 6.1.3 a 6.2 převádějí právní očekávání do ošetření rizik. Organizace musí plánovat opatření pro rizika a příležitosti, provozovat opakovatelný proces posouzení rizik bezpečnosti informací, určit vlastníky rizik, vybrat možnosti ošetření, porovnat bezpečnostní opatření s přílohou A, vytvořit Prohlášení o použitelnosti, formulovat plán ošetření rizik, získat schválení vlastníka rizika a stanovit měřitelné bezpečnostní cíle.
Právě zde se NIS2 Article 21 stává řiditelným. Nepotřebujete oddělený program povědomí NIS2. Potřebujete zmapovaný příběh rizik a bezpečnostních opatření.
| Oblast požadavku NIS2 | Mechanismus důkazů podle ISO/IEC 27001:2022 | Praktické důkazy |
|---|---|---|
| Schválení a dohled vedení | Kapitoly 5.1, 5.3, 9.3 | Zápisy z jednání řídicích orgánů, balíček pro přezkoumání vedením, přiřazení rolí, schválení rozpočtu |
| Kybernetická hygiena a školení | Kapitola 7.2, kapitola 7.3, opatření přílohy A pro osoby a technologie | Plán školení, exporty z LMS, matice rolí, výsledky phishingu, potvrzení seznámení s politikami |
| Analýza rizik a bezpečnostní politika | Kapitoly 6.1.2, 6.1.3, 6.2 | Posouzení rizik, plán ošetření rizik, Prohlášení o použitelnosti, bezpečnostní cíle |
| Posuzování účinnosti | Kapitoly 9.1, 9.2, 10.2 | KPI, výsledky interního auditu, nápravná opatření, výsledky testování opatření |
| Připravenost na zvládání a hlášení incidentů | Opatření přílohy A pro řízení incidentů | Provozní postupy pro incidenty, eskalační záznamy, zprávy ze stolních cvičení, záznamy o uchování důkazů |
| Dodavatelský řetězec a závislost na cloudu | Opatření přílohy A pro dodavatele a cloudové služby | Registr dodavatelů, due diligence, smlouvy, plány ukončení, přezkumy služeb |
| Přístup, správa aktiv a MFA | Opatření přílohy A pro přístup, aktiva a identity | Evidence aktiv, přezkum přístupových práv, výstupy MFA, důkazy o privilegovaném přístupu |
Kapitoly 8.1 až 8.3, 9.1 až 9.3 a 10.1 až 10.2 uzavírají provozní smyčku. Vyžadují plánované operativní řízení, opětovné posouzení rizik, implementaci plánů ošetření rizik, monitorování a měření, interní audit, přezkoumání vedením, neustálé zlepšování a nápravná opatření. ISO/IEC 27001:2022 se tak stává důkazním mechanismem pro NIS2 Article 21, nikoli jen certifikačním odznakem.
Přeložte kybernetickou hygienu do kotevních opatření ISO
„Kybernetická hygiena“ je záměrně široký pojem. Pro auditory musí být převedena na konkrétní, testovatelná bezpečnostní opatření. Clarysec obvykle začíná důkazy kybernetické hygieny podle NIS2 Article 21 třemi praktickými kotevními opatřeními z ISO/IEC 27002:2022, vykládanými prostřednictvím Zenith Controls: The Cross-Compliance Guide.
První kotvou je opatření ISO/IEC 27002:2022 6.3, povědomí, vzdělávání a školení v oblasti bezpečnosti informací. V Zenith Controls je 6.3 pojímáno jako preventivní opatření podporující důvěrnost, integritu a dostupnost. Jeho provozní schopností je personální bezpečnost a jeho konceptem kybernetické bezpečnosti je ochrana. Tím se povědomí rámuje jako ochranné opatření, nikoli jako komunikační aktivita.
Zenith Controls také ukazuje, jak 6.3 závisí na jiných opatřeních a posiluje je. Váže se na 5.2 role a odpovědnosti v oblasti bezpečnosti informací, protože školení musí odrážet přiřazené odpovědnosti. Váže se na 6.8 hlášení událostí bezpečnosti informací, protože pracovníci nemohou hlásit to, co nerozpoznají. Váže se na 8.16 monitorovací činnosti, protože analytici SOC a provozní pracovníci potřebují školení, aby rozpoznali anomálie a dodržovali protokoly reakce. Váže se na 5.36 soulad s politikami, pravidly a normami pro bezpečnost informací, protože politiky fungují pouze tehdy, když jim lidé rozumějí.
Jak Zenith Controls uvádí pro opatření ISO/IEC 27002:2022 6.3:
Soulad závisí na povědomí. 6.3 zajišťuje, že zaměstnanci znají bezpečnostní politiky a rozumějí své osobní odpovědnosti za jejich dodržování. Pravidelné vzdělávání a školení snižují riziko neúmyslného porušení politik z neznalosti.
Druhou kotvou je opatření ISO/IEC 27002:2022 5.10, přípustné užívání informací a dalších souvisejících aktiv. Kybernetická hygiena závisí na tom, zda lidé rozumějí, co smějí dělat s koncovými zařízeními, cloudovými úložišti, nástroji SaaS, platformami pro spolupráci, výměnnými médii, produkčními daty, testovacími daty a nástroji využívajícími AI. Zenith Controls mapuje 5.10 jako preventivní opatření napříč správou aktiv a ochranou informací. V praxi důkaz přípustného užívání není pouze podepsaná politika. Zahrnuje důkaz, že politika pokrývá skutečný soubor aktiv, onboarding zahrnuje potvrzení seznámení, monitorování podporuje vynucování požadavků a výjimky jsou řízeny.
Třetí kotvou je opatření ISO/IEC 27002:2022 5.36, soulad s politikami, pravidly a normami pro bezpečnost informací. To je auditní most. Zenith Controls mapuje 5.36 jako preventivní opatření správy a ujištění. Váže se na 5.1 politiky bezpečnosti informací, 6.4 disciplinární proces, 5.35 nezávislý přezkum bezpečnosti informací, 5.2 role a odpovědnosti, 5.25 posouzení a rozhodnutí o událostech bezpečnosti informací, 8.15 protokolování, 8.16 monitorovací činnosti a 5.33 ochranu záznamů.
Pro NIS2 Article 21 je to zásadní. Regulační orgány a auditoři se neptají jen na to, zda politika existuje. Ptají se, zda se dodržování monitoruje, porušení se detekují, důkazy jsou chráněny, dochází k nápravným opatřením a vedení vidí výsledky.
Vytvořte důkazní balíček kybernetické hygieny a školení podle NIS2
Představme si středně velkého poskytovatele SaaS, který se připravuje jak na připravenost podle NIS2, tak na dozorový audit ISO/IEC 27001:2022. Organizace má 310 zaměstnanců, včetně vývojářů, SRE, pracovníků podpory, obchodníků, dodavatelů a vrcholového vedení. Poskytuje cloudové služby pro řízení pracovních postupů zákazníkům v EU a spoléhá na velké globální poskytovatele cloudových služeb, dvě platformy identit, externího poskytovatele MDR a několik subdodavatelských nástrojů podpory.
Manažer compliance má exporty školení z LMS, ale nejsou namapované na NIS2 Article 21, opatření ISO, obchodní role ani rizikové scénáře. Praktický nápravný sprint vytvoří důkazní balíček kybernetické hygieny a školení se šesti komponentami.
| Komponenta důkazů | Co prokazuje | Vlastník | Auditní test |
|---|---|---|---|
| Matice školení podle rolí | Školení je přiřazeno odpovědnostem a rizikové expozici | Manažer ISMS a HR | Vybrat vzorek rolí a ověřit, že byly přiřazeny požadované moduly |
| Roční plán školení | Kompetence a povědomí jsou plánované, nikoli ad hoc | Manažer ISMS | Zkontrolovat data, témata, cílové skupiny, schválení a cíle dokončení |
| Export absolvování z LMS | Pracovníci absolvovali přiřazené školení | HR nebo personální tým | Sladit seznam zaměstnanců s reportem dokončení, nástupy a odchody |
| Zpráva z phishingové simulace | Účinnost povědomí je měřena | Bezpečnostní provoz | Přezkoumat výsledky kampaní, opakovaně klikající uživatele a nápravné školení |
| Záznam potvrzení seznámení s politikami | Pracovníci přijali pravidla a odpovědnosti | HR a compliance | Potvrdit seznámení s bezpečnostními politikami, pravidly přípustného užívání a politikami hlášení incidentů |
| Shrnutí přezkoumání vedením | Vedení dohlíží na trendy a nápravná opatření | CISO a výkonný sponzor | Ověřit, že zápisy obsahují metriky, výjimky, rizika a rozhodnutí |
Klíčem je dohledatelnost.
Začněte NIS2 Article 21(2)(g), základními postupy kybernetické hygieny a školením kybernetické bezpečnosti. Propojte jej s kapitolami 7.2 a 7.3 ISO/IEC 27001:2022 pro kompetence a povědomí, kapitolami 9.1 a 9.2 pro monitorování a audit a opatřeními přílohy A včetně povědomí, přípustného užívání, řízení zranitelností, řízení konfigurace, záloh, protokolování, monitorování, kryptografie, řízení přístupu a řízení incidentů. Poté propojte důkazy s registrem rizik.
| Skupina rolí | Riziko kybernetické hygieny podle NIS2 | Požadované školení | Důkazy |
|---|---|---|---|
| Všichni zaměstnanci | Phishing, slabá hesla, nedostatečné hlášení incidentů, nesprávné nakládání s daty | Základní školení bezpečnostního povědomí, hygiena hesel, MFA, ochrana údajů, hlášení incidentů | Dokončení v LMS, skóre kvízu, potvrzení seznámení s politikou |
| Vrcholové vedení | Přijetí rizika, právní odpovědnost, krizová rozhodnutí, dohled nad hlášením | Povinnosti v oblasti správy a řízení, odpovědnosti vedení podle NIS2, eskalace incidentů, rizikový apetit | Účast na workshopu pro vedení, balíček pro řídicí orgány, záznam rozhodnutí |
| Vývojáři | Zranitelnosti, nezabezpečený kód, expozice tajných údajů, nebezpečná testovací data | Bezpečné kódování, řízení závislostí, oznamování zranitelností, minimalizace údajů | Záznam o školení, kontrolní seznam bezpečného SDLC, vzorky přezkumu kódu |
| SRE a provoz IT | Chybná konfigurace, prodlení se záplatou, selhání zálohování, mezery v protokolování | Řízení záplat, bezpečná konfigurace, obnova ze zálohy, monitorování, reakce na incidenty | Zpráva o záplatách, test zálohy, důkazy upozornění SIEM, zpráva ze stolního cvičení |
| Zákaznická podpora | Sociální inženýrství, neoprávněné zpřístupnění, porušení ochrany soukromí | Ověřování identity, nakládání s daty, eskalace, hlášení porušení | Přezkum přístupových práv CRM, záznam o školení, vzorek QA podpory |
| Dodavatelé s přístupem | Nejasné povinnosti, nespravovaný přístup, únik dat | Zkrácený bezpečnostní onboarding, přípustné užívání, cesta hlášení | Potvrzení dodavatele, schválení přístupu, důkazy offboardingu |
Podniková Politika povědomí o bezpečnosti informací a školení tuto strukturu podporuje. Ustanovení 5.1.2.4 výslovně zahrnuje témata školení pro vedení:
Vrcholové vedení (např. správa a řízení, přijetí rizika, právní povinnosti)
Tento řádek je podle NIS2 Article 20 důležitý, protože školení vedení není volitelné. Pokud řídicí orgán schvaluje opatření pro řízení rizik, ale neumí vysvětlit přijetí rizika, prahové hodnoty incidentů nebo postupy dohledu, řetězec důkazů se přeruší.
Politika bezpečnosti informací – SME společnosti Clarysec, ustanovení 6.4.1, ukazuje, jak se kybernetická hygiena mění v každodenní kontrolní chování:
Povinná bezpečnostní opatření musí být uplatňována konzistentně, včetně pravidelného zálohování, aktualizací antivirového programu, silných hesel a bezpečné likvidace citlivých dokumentů.
To je stručné vyjádření praktické kybernetické hygieny pro SME. Auditor bude stále chtít důkazy, jako jsou výstupy zálohovacích úloh, pokrytí EDR, konfigurace hesel nebo MFA a záznamy o bezpečné likvidaci, ale politika stanoví očekávané chování.
Namapujte NIS2 Article 21 na auditní důkazy
Auditoři testují fungování opatření, nikoli slogany. Budou sledovat zlatou nit od právního požadavku k rozsahu ISMS, posouzení rizik, Prohlášení o použitelnosti, politice, postupu, důkazům a přezkoumání vedením.
| Oblast NIS2 Article 21 | Mapování na ISO/IEC 27001:2022 nebo ISO/IEC 27002:2022 | Odkaz Clarysec | Primární auditní důkazy |
|---|---|---|---|
| Školení kybernetické bezpečnosti | Kapitola 7.2, kapitola 7.3, A.6.3 povědomí, vzdělávání a školení v oblasti bezpečnosti informací | Politika povědomí o bezpečnosti informací a školení | Politika školení, roční plán, záznamy LMS, výsledky phishingu, kontrolní seznam onboardingu, zápisy ze školení řídicího orgánu |
| Přípustné chování v oblasti kybernetické hygieny | A.5.10 přípustné užívání informací a dalších souvisejících aktiv | Politika bezpečnosti informací – SME | Potvrzení přípustného užívání, záznamy onboardingu, záznamy o výjimkách, důkazy monitorování |
| Hygiena zranitelností a záplat | A.8.8 řízení technických zranitelností | Zenith Blueprint krok 19 | Skeny zranitelností, výstupy záplatování, tikety nápravy, záznamy o přijetí rizika |
| Bezpečná konfigurace | A.8.9 řízení konfigurace | Zenith Blueprint krok 19 | Bezpečné výchozí konfigurace, přezkumy konfigurace, schválení změn, výstupy odchylek |
| Odolnost a obnova | A.8.13 zálohování informací | Politika bezpečnosti informací – SME | Logy záloh, testy obnovy, přezkumy selhání zálohování, důkazy obnovy |
| Detekce a reakce | A.8.15 protokolování, A.8.16 monitorovací činnosti, A.6.8 hlášení událostí bezpečnosti informací | Zenith Controls | Upozornění SIEM, postupy monitorování, školení hlášení incidentů, výstupy stolních cvičení |
| Kryptografická ochrana | A.8.24 používání kryptografie | ISO/IEC 27001:2022 příloha A | Standardy šifrování, důkazy správy klíčů, konfigurace TLS, výstupy šifrování úložišť |
| Integrita důkazů | A.5.33 ochrana záznamů | Zenith Controls | Řízené auditní složky, časová razítka exportů, pravidla uchovávání, logy přístupu |
Regulační orgán nemusí používat terminologii ISO, ale důkazní cesta zůstává stejná. Ukažte, že požadavek je identifikován, posouzen z hlediska rizik, ošetřen, implementován, monitorován, reportován vedení a zlepšován.
Použijte Zenith Blueprint k přechodu od plánu k důkazům
Zenith Blueprint: An Auditor’s 30-Step Roadmap poskytuje týmům praktickou cestu od záměru k důkazům. Ve fázi ISMS Foundation & Leadership, krok 5, Communication, Awareness, and Competence, Blueprint ukládá organizacím identifikovat požadované kompetence, posoudit současné kompetence, poskytnout školení k odstranění mezer, udržovat záznamy o kompetencích a chápat kompetence jako průběžnou záležitost.
Akční položka Blueprintu je záměrně provozní:
Proveďte rychlou analýzu potřeb školení. Uveďte své klíčové role ISMS (z kroku 4) a pro každou zapište známá školení nebo certifikace, které mají, a jaké další školení by mohlo být přínosné. Uveďte také obecná témata bezpečnostního povědomí potřebná pro všechny zaměstnance. Na tomto základě navrhněte jednoduchý plán školení na příští rok – např. „Q1: bezpečnostní povědomí pro všechny pracovníky; Q2: pokročilé školení reakce na incidenty pro IT; Q3: školení interního auditora ISO 27001 pro dva členy týmu; …“.
Ve fázi Controls in Action, krok 15, People Controls I, Zenith Blueprint doporučuje povinné každoroční školení pro všechny zaměstnance, moduly podle rolí, bezpečnostní onboarding nových zaměstnanců během prvního týdne, simulované phishingové kampaně, zpravodaje, týmové briefingy, důkazy o účasti, cílené bezpečnostní bulletiny po nově vznikajících hrozbách a školení pro dodavatele nebo třetí strany s přístupem.
Krok 16, People Controls II, upozorňuje, že auditoři budou testovat implementaci, nejen dokumentaci. U práce na dálku mohou auditoři požadovat Politiku práce na dálku, důkazy o VPN nebo šifrování koncových zařízení, implementaci MDM, omezení BYOD a záznamy o školení dokládající opatření pro práci na dálku. Pokud je součástí provozního modelu hybridní práce, důkazy školení NIS2 by měly zahrnovat bezpečné používání Wi‑Fi, zamykání zařízení, schválená úložiště, MFA a hlášení podezřelé aktivity z domácího prostředí.
Krok 19, Technological Controls I, propojuje kybernetickou hygienu s technickou vrstvou opatření. Zenith Blueprint doporučuje přezkoumávat výstupy záplatování, skeny zranitelností, bezpečné výchozí konfigurace, pokrytí EDR, logy malwaru, upozornění DLP, obnovy ze záloh, důkazy redundance, zlepšení protokolování a synchronizaci času. Article 21(2)(g) nelze posuzovat izolovaně. Vyškolená pracovní síla stále potřebuje zazáplatovaná koncová zařízení, monitorované logy, testované zálohy a bezpečné konfigurace.
Nastavte plán školení na základě rizik podle ISO/IEC 27005:2022
Častou slabinou při auditu je obecný plán školení, který vypadá stejně pro vývojáře, finance, podporu, vedení i dodavatele. ISO/IEC 27005:2022 pomáhá této slabině předcházet tím, že činí školení součástí ošetření rizik.
Kapitola 6.2 doporučuje identifikovat základní požadavky relevantních zainteresovaných stran a stav souladu, včetně ISO/IEC 27001:2022 přílohy A, dalších norem ISMS, odvětvových požadavků, národních a mezinárodních právních předpisů, interních bezpečnostních pravidel, smluvních bezpečnostních opatření a opatření již zavedených prostřednictvím předchozího ošetření rizik. To podporuje jeden registr požadavků namísto samostatných tabulek NIS2, ISO, DORA, GDPR, zákaznických a pojistných požadavků.
Kapitoly 6.4.1 až 6.4.3 vysvětlují, že kritéria přijetí a posuzování rizik mají zohledňovat právní a regulační aspekty, provozní činnosti, vztahy s dodavateli, technologická a finanční omezení, ochranu soukromí, poškození dobré pověsti, porušení smluv, porušení úrovní služeb a dopady na třetí strany. Phishingový incident ovlivňující interní zpravodajský systém se liší od kompromitace přihlašovacích údajů ovlivňující řízenou bezpečnostní službu, platformu zákaznické podpory, platební integraci nebo provoz DNS.
Kapitoly 7.1 až 7.2.2 vyžadují konzistentní a reprodukovatelné posouzení rizik, včetně rizik důvěrnosti, integrity a dostupnosti a jmenovaných vlastníků rizik. Kapitoly 8.2 až 8.6 následně vedou výběr ošetření, určení bezpečnostních opatření, porovnání s přílohou A, dokumentaci Prohlášení o použitelnosti a podrobnosti plánu ošetření rizik.
Školení je jedním z ošetření, nikoli jediným. Pokud opakované phishingové simulace ukazují, že uživatelé ve financích jsou zranitelní vůči podvodům s fakturami, plán ošetření rizik může zahrnovat opakovací školení, silnější schvalovací workflow plateb, podmíněný přístup, monitorování pravidel poštovních schránek a scénářová cvičení podvodů pro vedení.
Kapitoly 9.1, 9.2, 10.4.2, 10.5.1 a 10.5.2 zdůrazňují plánované opětovné posouzení, dokumentované metody, monitorování účinnosti a aktualizace při nových zranitelnostech, aktivech, používání technologií, zákonech, incidentech nebo změnách rizikového apetitu. To prokazuje, že organizace nezmrazí svůj plán školení jednou ročně.
Využijte stejné důkazy pro NIS2, DORA, GDPR, NIST a COBIT
Nejsilnější důkazní balíček NIS2 by měl podporovat více rozhovorů o ujištění.
NIS2 Article 4 uznává, že odvětvové právní akty Unie mohou nahradit odpovídající povinnosti NIS2 v oblasti řízení rizik a hlášení, pokud mají alespoň rovnocenný účinek. Recital 28 označuje DORA za odvětvový režim pro finanční subjekty v rozsahu. U pokrytých finančních subjektů se pravidla DORA pro řízení rizik ICT, řízení incidentů, testování odolnosti, sdílení informací a rizika třetích stran v ICT použijí namísto odpovídajících ustanovení NIS2. NIS2 zůstává vysoce relevantní pro subjekty mimo DORA a pro poskytovatele ICT služeb třetích stran, jako jsou poskytovatelé cloudových služeb, MSP a MSSP.
DORA posiluje stejnou logiku systému řízení. Articles 4 až 6 vyžadují přiměřené řízení rizik ICT, odpovědnost řídicího orgánu, jasné role ICT, strategii digitální provozní odolnosti, plány auditů ICT, rozpočty a zdroje pro povědomí nebo školení. Articles 8 až 13 vyžadují identifikaci aktiv a závislostí, ochranu a prevenci, řízení přístupu, silnou autentizaci, zálohy, kontinuitu, reakci a obnovu, poučení po incidentech, reportování ICT vrcholovému vedení a povinné školení bezpečnostního povědomí v oblasti ICT a digitální provozní odolnosti. Articles 17 až 23 vyžadují strukturované řízení incidentů, klasifikaci, eskalaci a komunikaci s klienty. Articles 24 až 30 propojují testování se správou dodavatelů, due diligence, smlouvami, právy na audit a výstupními strategiemi.
GDPR přidává vrstvu odpovědnosti v oblasti ochrany soukromí. Article 5 vyžaduje integritu a důvěrnost prostřednictvím vhodných technických a organizačních opatření a Article 5(2) vyžaduje, aby správci dokázali doložit soulad. Article 6 vyžaduje právní základ zpracování, zatímco Articles 9 a 10 ukládají přísnější ochranná opatření pro zvláštní kategorie údajů a údaje související s trestnými činy. U poskytovatele SaaS by důkazy o školení měly zahrnovat ochranu soukromí, minimalizaci údajů, bezpečné zpřístupnění, eskalaci porušení a nakládání se zákaznickými daty podle rolí.
Auditní pohledy podle přístupu NIST a COBIT 2019 se často objevují při ujištění zákazníků, interním auditu a reportování řídicím orgánům. Hodnotitel podle přístupu NIST se obvykle zeptá, zda jsou povědomí a školení založené na rizicích, rolích, měřené a propojené s reakcí na incidenty, identitou, správou aktiv a průběžným monitorováním. Auditor podle přístupu COBIT 2019 nebo ISACA se zaměří na správu a řízení, odpovědnost, metriky výkonnosti, dohled vedení, vlastnictví procesů a sladění s podnikovými cíli.
| Pohled rámce | Co auditora zajímá | Důkazy k přípravě |
|---|---|---|
| NIS2 Article 21 | Přiměřená opatření ke kybernetickým rizikům, kybernetická hygiena, školení, dohled vedení | Mapování Article 21, schválení řídicím orgánem, plán školení, KPI kybernetické hygieny, důkazy připravenosti na incidenty |
| ISO/IEC 27001:2022 | Rozsah ISMS, ošetření rizik, kompetence, povědomí, monitorování, interní audit, zlepšování | Rozsah, registr rizik, SoA, matice kompetencí, záznamy o školení, zpráva z auditu, nápravná opatření |
| DORA | Životní cyklus rizik ICT, školení odolnosti, testování, klasifikace incidentů, riziko ICT třetích stran | Rámec rizik ICT, školení odolnosti, výsledky testování, postup incidentů, registr dodavatelů |
| GDPR | Odpovědnost, ochrana údajů, povědomí o porušení ochrany soukromí, důvěrnost, minimalizace | Školení ochrany soukromí, mapa rolí zpracování, důkazy eskalace porušení, postupy nakládání s daty |
| Přezkum podle přístupu NIST | Povědomí podle rolí, měřitelné fungování opatření, monitorování, reakce | Matice rolí, metriky simulací, důkazy přístupu, důkazy protokolování, výstupy stolních cvičení |
| Přezkum COBIT 2019 nebo ISACA | Správa a řízení, vlastnictví procesů, výkonnost, ujištění o opatřeních, reportování vedení | RACI, řídicí panel KPI, zápisy z přezkoumání vedením, program interního auditu, sledování nápravy |
Praktický přínos je jednoduchý: jeden důkazní balíček, více auditních příběhů.
Jak auditoři otestují stejné opatření
Auditor ISO/IEC 27001:2022 začne u ISMS. Zeptá se, zda jsou stanoveny požadavky na kompetence a povědomí, zda personál rozumí svým odpovědnostem, zda jsou záznamy uchovávány, zda interní audity testují proces a zda přezkoumání vedením zohledňuje výkonnost a zlepšování. Může vybrat vzorek zaměstnanců a zeptat se jich, jak hlásit incident, jak se používá MFA, jaká jsou pravidla přípustného užívání nebo co dělat po obdržení podezřelého e-mailu.
Dozorový přezkum NIS2 bude více zaměřený na výsledek a riziko služby. Přezkoumávající se může ptát, jak kybernetická hygiena snižuje riziko pro poskytování služeb, jak vedení schválilo opatření, jak je školení přizpůsobeno základním službám, jak jsou pokryti pracovníci třetích stran, jak se posuzuje účinnost a jak by organizace komunikovala významné kybernetické hrozby nebo incidenty podle Article 23. Protože Article 23 zahrnuje včasné varování do 24 hodin a oznámení incidentu do 72 hodin u významných incidentů, školení musí zahrnovat rozpoznání a rychlost eskalace.
Auditor DORA u finančního subjektu propojí povědomí s digitální provozní odolností. Může se ptát, zda je školení bezpečnostního povědomí v oblasti ICT a odolnosti povinné, zda reportování ICT vrcholovému vedení dosahuje řídicího orgánu, zda jsou kritéria klasifikace incidentů pochopena, zda byla procvičena krizová komunikace a zda se poskytovatelé služeb třetích stran účastní školení, pokud je to smluvně relevantní.
Auditor GDPR nebo hodnotitel ochrany soukromí se zaměří na to, zda pracovníci rozumějí osobním údajům, rolím při zpracování, důvěrnosti, identifikaci porušení, eskalaci porušení, minimalizaci údajů a bezpečnému zpřístupnění. Bude očekávat, že školení se liší pro podporu, HR, vývojáře a administrátory, protože tyto role vytvářejí odlišná rizika ochrany soukromí.
Interní auditor COBIT 2019 nebo ISACA se zeptá, kdo proces vlastní, jaké cíle podporuje, jak se měří výkonnost, jaké existují výjimky, zda jsou sledována nápravná opatření a zda vedení dostává smysluplné reporty, nikoli pouze líbivé metriky.
Častá zjištění k připravenosti školení podle NIS2
Nejčastějším zjištěním je neúplné pokrytí populace. Report LMS ukazuje 94% dokončení, ale chybějících 6 % zahrnuje privilegované administrátory, dodavatele nebo nové zaměstnance. Auditoři nepřijmou procento bez pochopení, kdo chybí a proč.
Druhým zjištěním je nedostatečná citlivost na role. Všichni dostávají stejný roční modul, ale vývojáři nejsou školeni v bezpečném kódování, pracovníci podpory nejsou školeni v ověřování identity a vrcholové vedení není školeno v povinnostech správy a řízení nebo krizových rozhodnutích. NIS2 Article 20 a Article 21 to činí obtížně obhajitelným.
Třetím zjištěním jsou slabé důkazy účinnosti. Dokončení není totéž jako porozumění nebo změna chování. Auditoři stále častěji očekávají skóre kvízů, trendy phishingu, trendy hlášení incidentů, poznatky ze stolních cvičení, snížení opakovaných selhání a nápravná opatření.
Čtvrtým zjištěním je odpojená technická hygiena. Školení říká „hlaste podezřelou aktivitu“, ale neexistuje otestovaný kanál hlášení. Školení říká „používejte MFA“, ale servisní účty MFA obcházejí. Školení říká „chraňte data“, ale produkční data se objevují v testovacích prostředích. Article 21 očekává systém opatření, nikoli slogany.
Pátým zjištěním je slabá integrita záznamů. Důkazy jsou uloženy v editovatelné tabulce bez vlastníka, časového razítka exportu, řízení přístupu nebo sladění se záznamy HR. Vztahy opatření ISO/IEC 27002:2022 v Zenith Controls z dobrého důvodu odkazují zpět na ochranu záznamů. Důkazy musí být důvěryhodné.
10denní nápravný sprint pro auditně připravené důkazy
Pokud je vaše organizace pod tlakem, začněte soustředěným sprintem.
| Den | Akce | Výstup |
|---|---|---|
| Den 1 | Potvrdit použitelnost NIS2 a rozsah služeb | Rozhodnutí, zda jde o základní nebo důležitý subjekt, služby v rozsahu, podpůrné funkce |
| Den 2 | Vytvořit registr požadavků | NIS2 Articles 20, 21, 23, kapitoly ISO, opatření přílohy A, GDPR, DORA, smlouvy, požadavky pojištění |
| Den 3 | Vytvořit matici školení podle rolí | Školení namapované na pracovní skupiny, privilegovaný přístup, vývojáře, podporu, dodavatele, vedení |
| Den 4 | Namapovat školení na rizikové scénáře | Phishing, kompromitace přihlašovacích údajů, únik dat, ransomware, chybná konfigurace, kompromitace dodavatele, porušení ochrany soukromí |
| Den 5 | Shromáždit důkazy | Exporty LMS, potvrzení seznámení, phishingové zprávy, záznamy onboardingu, záznamy dodavatelů, účast vedení |
| Den 6 | Sladit důkazy | Populace školení ověřená vůči záznamům HR, skupinám identit, privilegovaným účtům, seznamům dodavatelů |
| Den 7 | Otestovat porozumění zaměstnanců | Poznámky z rozhovorů dokládající, že pracovníci znají hlášení incidentů, očekávání MFA, nakládání s podezřelým e-mailem a pravidla pro data |
| Den 8 | Přezkoumat technická opatření hygieny | MFA, zálohy, EDR, záplatování, skenování zranitelností, protokolování, monitorování, důkazy bezpečné konfigurace |
| Den 9 | Připravit balíček pro přezkoumání vedením | Dokončení, výjimky, trendy phishingu, otevřená opatření, vysoce rizikové role, incidenty, rozpočtové potřeby |
| Den 10 | Aktualizovat plán ošetření rizik a SoA | Zbytkové riziko, vlastníci, termíny, měření účinnosti, aktualizace Prohlášení o použitelnosti |
Tento sprint vám poskytne obhajitelnou důkazní základnu. Nenahrazuje průběžný provoz ISMS, ale vytváří strukturu, kterou regulační orgány a auditoři očekávají.
Jak vypadá dobrý stav
Vyspělý program kybernetické hygieny a školení podle NIS2 Article 21 má pět charakteristik.
Za prvé je viditelný pro řídicí orgány. Vedení schvaluje přístup, vidí smysluplné metriky, rozumí zbytkovému riziku a financuje zlepšování.
Za druhé je založený na rizicích. Školení se liší podle role, kritičnosti služby, úrovně přístupu, expozice dat a odpovědnosti za incidenty.
Za třetí je vedený důkazy. Záznamy o dokončení, potvrzení seznámení, simulace, stolní cvičení, technické výstupy hygieny a nápravná opatření jsou úplné, sladěné a chráněné.
Za čtvrté zohledňuje soulad napříč předpisy a rámci. Stejné důkazy podporují NIS2, ISO/IEC 27001:2022, DORA, GDPR, ujištění podle přístupu NIST a reportování správy a řízení podle COBIT 2019.
Za páté se zlepšuje. Incidenty, zjištění z auditu, právní změny, změny dodavatelů, nové technologie a nově vznikající hrozby aktualizují plán školení.
Tento poslední bod odlišuje divadlo souladu od provozní odolnosti.
Další kroky s Clarysec
Pokud se vaše vedení ptá: „Dokážeme zítra prokázat kybernetickou hygienu a školení kybernetické bezpečnosti podle NIS2 Article 21?“, Clarysec vám pomůže přejít od roztříštěných důkazů k auditně připravenému důkaznímu balíčku ISMS.
Začněte s Zenith Blueprint, abyste strukturovali kompetence, povědomí, opatření týkající se osob, postupy práce na dálku, řízení zranitelností, zálohy, protokolování, monitorování a kroky technické hygieny napříč 30krokovým plánem.
Použijte Zenith Controls ke křížovému odkazování povědomí, přípustného užívání, souladu, monitorování, záznamů a očekávání ujištění podle ISO/IEC 27002:2022 napříč auditními rozhovory k NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST a COBIT 2019.
Poté operacionalizujte požadavky prostřednictvím Politiky povědomí o bezpečnosti informací a školení, Politiky povědomí o bezpečnosti informací a školení – SME a Politiky bezpečnosti informací – SME společnosti Clarysec.
Vaše okamžitá akce je jednoduchá: tento týden vytvořte jednostránkovou mapu důkazů školení podle NIS2 Article 21. Uveďte role v rozsahu, přiřazená školení, důkazy o dokončení, potvrzení seznámení s politikami, phishingové metriky, technické důkazy kybernetické hygieny, datum přezkoumání vedením a nápravná opatření. Pokud je některé pole prázdné, našli jste svůj další nápravný úkol pro audit.
Pro rychlejší postup stáhněte šablony politik Clarysec, použijte roadmapu Zenith Blueprint a naplánujte posouzení připravenosti důkazů NIS2, abyste své současné záznamy o školení, opatření kybernetické hygieny a ISMS podle ISO/IEC 27001:2022 převedli do jednoho obhajitelného auditního souboru.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
