Mapování důkazů NIS2 na ISO 27001:2022 pro rok 2026
Problém NIS2 v roce 2026 není povědomí, ale prokazatelnost
Je pondělí ráno, 08:35. Maria, nedávno jmenovaná CISO rychle rostoucího B2B poskytovatele cloudových a řízených služeb, se připojuje ke čtvrtletnímu jednání řídicího orgánu o rizicích. Na notebooku má otevřené rozsáhlé posouzení mezer vůči NIS2. První snímek působí uklidňujícím dojmem. Politiky existují. Posouzení rizik existuje. Reakce na incidenty je zdokumentována. Dodavatelé jsou evidováni. Skeny zranitelností běží každý měsíc.
Poté předsedající položí otázku, která změní průběh jednání:
„Dokážeme prokázat, že tato opatření v minulém čtvrtletí skutečně fungovala, a dokážeme ukázat, která opatření, vlastníci a záznamy podle ISO 27001:2022 podporují každou povinnost podle NIS2?“
V místnosti nastane ticho.
Právní oddělení ví, že společnost spadá do působnosti NIS2, protože poskytuje řízené ICT služby a cloudové služby zákazníkům v EU. Útvar compliance ví, že Article 21 vyžaduje technická, provozní a organizační opatření pro řízení kybernetických rizik. Provoz ví, že tým záplatuje systémy, přezkoumává dodavatele a monitoruje logy. Důkazy jsou však rozptýlené v ticketovacích systémech, exportech ze SIEM, složkách s politikami, tabulkách, cloudových konzolích, portálech dodavatelů a zápisech z jednání.
Nikdo nedokáže rychle ukázat obhajitelný řetězec od Article 21 NIS2 k rozsahu ISO 27001:2022, riziku, opatření, politice, vlastníkovi, postupu, provoznímu záznamu a zjištění auditu.
To je skutečná výzva roku 2026.
Mnoho organizací se již neptá: „Spadáme do rozsahu NIS2?“ Ptají se na těžší otázku: „Dokážeme prokázat, že naše technická opatření podle NIS2 skutečně fungují?“ Odpovědí nemůže být jednorázová mapovací tabulka. Musí jít o živý provozní model uvnitř systému managementu bezpečnosti informací, kde jsou právní povinnosti převáděny na rizika, politiky, opatření, vlastníky, důkazy a neustálé zlepšování.
Model Clarysec používá ISO/IEC 27001:2022 jako osu systému řízení, Article 21 NIS2 jako soubor regulatorních povinností, ustanovení politik jako provozní pravidla, Zenith Blueprint: 30krokový plán auditora jako cestu implementace a Zenith Controls: průvodce křížovým souladem jako mapu křížového souladu pro ISO 27001:2022, NIS2, DORA, GDPR, NIST CSF a ujištění ve stylu COBIT.
Začněte rozsahem, protože důkazy NIS2 vznikají dříve než opatření
Častým selháním u NIS2 je skok přímo k MFA, protokolování, reakci na incidenty a řízení zranitelností ještě před potvrzením rozsahu subjektu, rozsahu služeb a jurisdikčního rozsahu.
NIS2 se vztahuje na zahrnuté veřejné a soukromé subjekty v regulovaných odvětvích, které splňují kritéria velikosti a činnosti; určité typy subjektů jsou zahrnuty bez ohledu na velikost. Mezi relevantní digitální a ICT kategorie patří poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé služeb vytvářejících důvěru, poskytovatelé veřejných služeb elektronických komunikací, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, online tržiště, internetové vyhledávače a platformy sociálních sítí.
Pro poskytovatele cloudových služeb, platformy SaaS, MSP, MSSP a poskytovatele digitální infrastruktury není toto vymezení rozsahu teoretické. Article 3 vyžaduje, aby členské státy rozlišovaly základní a důležité subjekty. Article 27 vyžaduje, aby ENISA vedla registr pro několik digitálních a ICT poskytovatelů, včetně poskytovatelů DNS služeb, registrů domén nejvyšší úrovně, poskytovatelů služeb registrace doménových jmen, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, online tržišť, internetových vyhledávačů a platforem sociálních sítí.
ISO 27001:2022 poskytuje správnou strukturu. Kapitoly 4.1 až 4.4 vyžadují, aby organizace porozuměla externím a interním otázkám, zainteresovaným stranám, požadavkům, rozhraním a závislostem a následně definovala rozsah ISMS. NIS2 musí být zachycena zde, nikoli ponechána v právním memorandu.
Praktický záznam o rozsahu NIS2 má obsahovat:
- Analýzu právnické osoby a usazení v EU
- Odvětví a kategorii služby podle NIS2
- Status základního nebo důležitého subjektu, pokud je potvrzen národním právem nebo určením orgánu
- Relevanci registru ENISA, je-li použitelná
- Kritické služby poskytované zákazníkům
- Síťové a informační systémy podporující tyto služby
- Závislosti na poskytovatelích cloudu, datových center, telekomunikací, bezpečnostního monitorování, identit a softwaru
- Vazby na DORA, GDPR, zákaznické smlouvy a odvětvové povinnosti
- Repozitáře důkazů, vlastníky systémů a periodicitu přezkumu
Zde je také nutné správně oddělit DORA. NIS2 uznává, že pokud odvětvový právní akt EU stanoví rovnocenné povinnosti v oblasti řízení kybernetických rizik nebo oznamování incidentů, použije se tento odvětvový režim místo odpovídajících ustanovení NIS2. Pro zahrnuté finanční subjekty je DORA obecně rozhodujícím režimem kybernetické bezpečnosti a hlášení ICT incidentů. DORA se použije od 17. ledna 2025 a zahrnuje řízení rizik v oblasti ICT, hlášení incidentů, testování digitální provozní odolnosti, riziko třetích stran v oblasti ICT a dohled nad kritickými poskytovateli ICT služeb z řad třetích stran.
Fintech skupina proto může mít v rámci jedné podnikové struktury rozdílné režimy souladu. Platební subjekt může primárně spadat pod DORA. Dceřiná společnost MSP může přímo spadat pod NIS2. Sdílená cloudová platforma může podporovat obojí. Vyspělou odpovědí nejsou duplicitní opatření. Je jí jeden důkazní model ISMS, který dokáže obsloužit více regulatorních pohledů.
ISO 27001:2022 jako provozní systém souladu s NIS2
Article 21 NIS2 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik pro síťové a informační systémy a k prevenci nebo minimalizaci dopadu incidentů na příjemce služeb a jiné služby.
ISO 27001:2022 je pro převedení tohoto požadavku do provozní praxe velmi vhodná, protože vynucuje tři disciplíny.
Za prvé, správu a řízení. Kapitoly 5.1 až 5.3 vyžadují závazek vrcholového vedení, sladění se strategickým směřováním, zajištění zdrojů, komunikaci, přiřazení odpovědností a zdokumentovanou politiku bezpečnosti informací. To přímo odpovídá Article 20 NIS2, který vyžaduje, aby řídicí orgány schvalovaly opatření pro řízení kybernetických rizik, dohlížely na jejich implementaci a absolvovaly školení.
Za druhé, ošetření rizik. Kapitoly 6.1.1 až 6.1.3 vyžadují opakovatelný proces posouzení rizik, vlastníky rizik, hodnocení rizik, možnosti ošetření, výběr opatření, Prohlášení o použitelnosti, plán ošetření rizik a schválení zbytkového rizika.
Za třetí, operativní řízení. Kapitola 8.1 vyžaduje, aby organizace plánovala, implementovala a řídila procesy ISMS, udržovala dokumentované informace, řídila změny a spravovala externě poskytované procesy, produkty a služby relevantní pro ISMS.
Tím se NIS2 mění z právního kontrolního seznamu na provozní model opatření.
| Oblast opatření podle Article 21 NIS2 | Provozní mechanismus ISO 27001:2022 | Klíčová opatření přílohy A ISO 27001:2022 | Důkazy prokazující provoz |
|---|---|---|---|
| Analýza rizik a bezpečnostní politiky | Rozsah ISMS, posouzení rizik, plán ošetření rizik, Prohlášení o použitelnosti, rámec politik | 5.1 Politiky pro bezpečnost informací, 5.31 Právní, statutární, regulatorní a smluvní požadavky, 5.36 Soulad s politikami, pravidly a normami pro bezpečnost informací | Registr rizik, SoA, schválení politik, registr souladu, zápisy z přezkoumání vedením |
| Zvládání incidentů | Proces reakce na incidenty, triáž, eskalace, komunikace, získané poznatky | 5.24 Plánování a příprava řízení incidentů, 5.25 Posouzení a rozhodnutí o událostech bezpečnosti informací, 5.26 Reakce na incidenty bezpečnosti informací, 5.27 Poučení z incidentů bezpečnosti informací, 5.28 Shromažďování důkazů | Registr incidentů, časové osy, rozhodnutí, oznámení, analýza kořenové příčiny, nápravná opatření |
| Kontinuita činností a krizové řízení | BIA, správa zálohování, obnova po havárii, krizové playbooky, cvičení | 5.29 Bezpečnost informací při narušení, 5.30 Připravenost ICT pro kontinuitu činností, 8.13 Zálohování informací | Výsledky testů záloh, zprávy z testů obnovy, záznamy z krizových cvičení, schválení BIA |
| Zabezpečení dodavatelského řetězce | Náležitá péče o dodavatele, bezpečnostní doložky, monitorování, správa cloudu, plánování ukončení spolupráce | 5.19 Bezpečnost informací ve vztazích s dodavateli, 5.20 Řešení bezpečnosti informací ve smlouvách s dodavateli, 5.21 Řízení bezpečnosti informací v dodavatelském řetězci ICT, 5.22 Monitorování, přezkum a řízení změn dodavatelských služeb, 5.23 Bezpečnost informací při používání cloudových služeb | Registr dodavatelů, záznamy náležité péče, smluvní doložky, přezkumy monitorování, plány ukončení spolupráce |
| Bezpečné pořizování, vývoj a zvládání zranitelností | Bezpečný životní cyklus vývoje, skenování zranitelností, SLA pro záplaty, proces oznamování | 8.8 Řízení technických zranitelností, 8.25 Bezpečný životní cyklus vývoje, 8.26 Požadavky na zabezpečení aplikací, 8.28 Bezpečné kódování | Výsledky skenů, tikety, schválení vydání, validační skeny, schválení výjimek |
| Kybernetická hygiena a školení | Program zvyšování povědomí, školení podle rolí, pravidla pro koncová zařízení, bezpečná konfigurace, záplatování | 6.3 Povědomí, vzdělávání a školení v oblasti bezpečnosti informací, 8.1 Uživatelská koncová zařízení, 8.5 Bezpečná autentizace, 8.8 Řízení technických zranitelností, 8.9 Řízení konfigurace | Záznamy o školení, výsledky phishingových testů, reporty souladu koncových zařízení, řídicí panely záplat |
| Kryptografie, řízení přístupu, MFA a zabezpečená komunikace | Kryptografický standard, životní cyklus IAM, privilegovaný přístup, bezpečná autentizace, zabezpečení sítí | 5.17 Autentizační informace, 8.2 Privilegovaná přístupová práva, 8.3 Omezení přístupu k informacím, 8.5 Bezpečná autentizace, 8.20 Zabezpečení sítí, 8.24 Použití kryptografie | Přezkumy přístupových práv, reporty MFA, nastavení šifrování, logy privilegovaného přístupu, záznamy konfigurace sítě |
| Posouzení účinnosti opatření | Interní audit, testování opatření, metriky, přezkoumání vedením, nápravná opatření | 5.35 Nezávislý přezkum bezpečnosti informací, 5.36 Soulad s politikami, pravidly a normami pro bezpečnost informací | Zprávy interního auditu, vzorky opatření, neshody, sledování nápravných opatření |
Každý řádek potřebuje vlastníka, zdroj záznamu a metodu vzorkování. Pokud chybí, organizace nemá opatření, ale pouze záměr opatření zavést.
Politika je místo, kde se NIS2 mění v provozní chování
Politiky jsou často vnímány jako šablony. U NIS2 je to nebezpečné. Regulační orgán ani auditor nepřesvědčí složka s politikami, pokud politiky nepřiřazují vlastnictví, nedefinují záznamy, neodkazují na rizika a nevytvářejí důkazy.
Podniková Politika právního a regulatorního souladu stanovuje základ v ustanovení 6.2.1:
Všechny právní a regulační povinnosti musí být v rámci Systému řízení bezpečnosti informací (ISMS) mapovány na konkrétní politiky, opatření a vlastníky.
Toto ustanovení je mostem mezi NIS2 a ISO 27001:2022. Article 21 NIS2 není pouze uveden jako externí požadavek. Je rozložen na povinnosti vyplývající z politik, namapován na opatření, přiřazen vlastníkům a testován prostřednictvím důkazů.
Pro menší organizace zachovává SME Politika právního a regulatorního souladu stejný koncept v odlehčené podobě. Ustanovení 5.1.1 vyžaduje:
GM musí udržovat jednoduchý, strukturovaný Registr souladu obsahující:
Tato věta je záměrně praktická. SME nepotřebují pro začátek složitou implementaci GRC. Potřebují registr souladu, který zachycuje povinnost, použitelnost, vlastníka, politiku, důkazy a periodicitu přezkumu.
Ošetření rizik následně převádí povinnost na činnost. Podniková Politika řízení rizik, ustanovení 6.4.2 stanoví:
Manažer rizik zajistí, aby ošetření byla realistická, časově vymezená a namapovaná na opatření Annex A ISO/IEC 27001.
Pro SME poskytuje Politika řízení rizik - SME, ustanovení 5.1.2, minimální životaschopný záznam rizika:
Každý záznam rizika musí obsahovat: popis, pravděpodobnost, dopad, skóre, vlastníka a plán ošetření rizika.
Tato ustanovení jsou důležitá, protože NIS2 je výslovně založena na rizicích a přiměřenosti. Article 21 očekává, že opatření budou odrážet aktuální stav techniky, relevantní normy, náklady na implementaci, rizikovou expozici, velikost, pravděpodobnost a závažnost incidentu, včetně společenského a ekonomického dopadu. Registr rizik bez vlastníků a plánů ošetření rizik nemůže prokázat přiměřenost.
Podniková Politika bezpečnosti informací doplňuje princip důkazů v ustanovení 6.6.1:
Všechna implementovaná opatření musí být auditovatelná, podpořená dokumentovanými postupy a uchovávanými důkazy o provozu.
To je rozdíl mezi programem NIS2 a důkazním programem NIS2.
Cesta Clarysec od mapování k provozu
Zenith Blueprint je cenný, protože odráží způsob uvažování auditorů. Ti se neptají jen na to, zda opatření existuje. Ptají se, proč bylo vybráno, kde je zdokumentováno, jak funguje, kdo jej vlastní, jaké důkazy jej prokazují a jak ho organizace zlepšuje.
Ve fázi řízení rizik krok 13 říká týmům, aby doplnily dohledatelnost mezi riziky, opatřeními a ustanoveními:
✓ Namapujte opatření na rizika: V plánu ošetření rizik ve vašem Registru rizik jste pro každé riziko uvedli určitá opatření. Ke každému riziku můžete přidat sloupec „Odkaz na opatření Annex A“ a uvést čísla opatření.
Pro NIS2 to znamená, že registr rizik a Prohlášení o použitelnosti mají ukazovat, proč jsou použitelná opatření jako 8.8 Řízení technických zranitelností, 5.19 Bezpečnost informací ve vztazích s dodavateli a 5.24 Plánování a příprava řízení incidentů.
Krok 14 dokumentu Zenith Blueprint výslovně uvádí regulatorní mapování:
Pro každý právní předpis můžete, je-li použitelný, vytvořit jednoduchou mapovací tabulku (například jako přílohu zprávy), která uvede klíčové bezpečnostní požadavky daného předpisu a odpovídající opatření/politiky ve vašem ISMS.
Tím se předchází roztříštěnosti. Zabezpečení osobních údajů podle GDPR, hlášení incidentů podle NIS2, testování odolnosti ICT podle DORA a bezpečnostní závazky vůči zákazníkům mohou všechny využívat stejné důkazy: přezkumy přístupových práv, nápravu zranitelností, záznamy z protokolování, testy záloh, přezkumy dodavatelů a zprávy o incidentech.
Krok 19 posouvá návrh do provozu:
Propojte každý z těchto dokumentů s příslušným opatřením ve vašem SoA nebo příručce ISMS. Budou sloužit jako důkaz implementace a interní reference.
Dokumentační sada kroku 19 zahrnuje zabezpečení koncových bodů, správu přístupů, autentizaci, výchozí bezpečné konfigurace, protokolování a monitorování, řízení záplat, řízení zranitelností, kapacitní plánování a reportování provozu IT. Právě tyto provozní dokumenty jsou potřebné k tomu, aby technická opatření NIS2 byla auditovatelná.
Krok 26 vysvětluje, jak mají být shromažďovány auditní důkazy:
Při shromažďování důkazů zaznamenávejte svá zjištění. Uveďte, kde věci odpovídají požadavku (pozitivní zjištění) a kde neodpovídají (potenciální neshody nebo pozorování).
Pro NIS2 to znamená vzorkovat důkazy dříve, než si je vyžádá regulační orgán, hodnotitel zákazníka nebo certifikační auditor.
Role Zenith Controls v křížovém souladu
Zenith Controls není samostatný rámec opatření. Je to průvodce Clarysec pro křížový soulad, který mapuje opatření ISO/IEC 27001:2022 a ISO/IEC 27002:2022 na související opatření, auditní očekávání a externí rámce. Pomáhá týmům pochopit, jak jedno opatření ISO 27001:2022 může podporovat NIS2, DORA, GDPR, NIST CSF 2.0 a ujištění ve stylu COBIT.
Pro mapování důkazů NIS2 jsou zvlášť důležitá tři opatření ISO 27001:2022.
Opatření 5.1 Politiky pro bezpečnost informací je vstupním bodem, protože Article 21 NIS2 zahrnuje analýzu rizik a bezpečnostní politiky informačních systémů. Pokud technické opatření NIS2 není promítnuto do politiky, obtížně se řídí a jen těžko se konzistentně audituje.
Opatření 5.36 Soulad s politikami, pravidly a normami pro bezpečnost informací je kontrolou reality. Propojuje požadavky politik s faktickým souladem s interními pravidly, normami a externími povinnostmi. V terminologii NIS2 je to místo, kde se organizace ptá, zda skutečně dělá to, co její mapování Article 21 tvrdí.
Opatření 8.8 Řízení technických zranitelností je jednou z nejnáročnějších testovaných oblastí roku 2026. Řízení zranitelností přímo souvisí s bezpečným pořizováním, vývojem, údržbou, zvládáním zranitelností a jejich oznamováním. Podporuje také testování a nápravu podle DORA, odpovědnost za zabezpečení podle GDPR, výsledky Identify a Protect podle NIST CSF a vzorkování auditu ISO 27001.
Podpůrné normy mohou zpřesnit návrh bez požadavku na další certifikace. ISO/IEC 27002:2022 poskytuje implementační pokyny k opatřením přílohy A. ISO/IEC 27005 podporuje řízení rizik bezpečnosti informací. ISO/IEC 27017 podporuje zabezpečení cloudu. ISO/IEC 27018 podporuje ochranu osobně identifikovatelných údajů ve scénářích zpracovatele ve veřejném cloudu. ISO 22301 podporuje kontinuitu činností. ISO/IEC 27035 podporuje řízení incidentů. ISO/IEC 27036 podporuje bezpečnost dodavatelských vztahů.
Cílem nejsou další normy samy o sobě. Cílem je lepší návrh důkazů.
Praktický příklad: vytvoření balíčku důkazů NIS2 pro zranitelnosti
Vezměme Mariinu platformu SaaS. Obsluhuje výrobní zákazníky v EU a závisí na cloudových službách, open-source komponentách, CI/CD pipeline a řízeném monitorování. Její zpráva o mezerách uvádí „řízení zranitelností implementováno“, ale důkazy jsou rozptýlené mezi skenery, Jira, GitHub, nástroji pro konfiguraci cloudu a změnovými tikety.
Balíček důkazů připravený pro NIS2 lze vytvořit v jednom zaměřeném sprintu.
Krok 1: Definujte rizikový scénář
Riziko: zneužitelná zranitelnost v aplikaci dostupné z internetu, závislosti nebo cloudové komponentě způsobí výpadek služby, neoprávněný přístup nebo expozici zákaznických dat.
Registr rizik má obsahovat popis, pravděpodobnost, dopad, skóre, vlastníka a plán ošetření rizika. Plán ošetření rizika má odkazovat na opatření ISO 27001:2022 8.8 Řízení technických zranitelností a na související opatření pro evidenci aktiv, bezpečný vývoj, protokolování, řízení přístupu, řízení dodavatelů a reakci na incidenty.
Krok 2: Namapujte riziko na Article 21 NIS2
Riziko podporuje požadavky Article 21 na bezpečné pořizování, vývoj a údržbu, zvládání a oznamování zranitelností, analýzu rizik, zvládání incidentů, zabezpečení dodavatelského řetězce a posouzení účinnosti opatření.
Krok 3: Ukotvěte provozní pravidla v politice
Použijte postup řízení zranitelností, standard bezpečného vývoje, požadavky na řízení záplat, politiku bezpečnostního testování a pravidla pro auditní důkazy.
Podniková Politika bezpečnostního testování a red teamingu, ustanovení 6.1 stanoví:
Typy testů: Program bezpečnostního testování musí zahrnovat minimálně: (a) skenování zranitelností, které spočívá v automatizovaných týdenních nebo měsíčních skenech sítí a aplikací za účelem identifikace známých zranitelností; (b) penetrační testování, které spočívá v manuálním hloubkovém testování konkrétních systémů nebo aplikací kvalifikovanými testery za účelem identifikace složitých slabin; a (c) cvičení red teamu, která spočívají ve scénářových simulacích skutečných útoků, včetně sociálního inženýrství a dalších taktik, za účelem testování schopností organizace jako celku v oblasti detekce a reakce.
Toto ustanovení vytváří obhajitelný základní rámec testování. Zároveň odpovídá očekávání DORA na opakované, rizikově orientované testování digitální provozní odolnosti u zahrnutých finančních subjektů.
Krok 4: Definujte metadata důkazů
Politika monitorování auditu a souladu - SME, ustanovení 6.2.3 stanoví:
Metadata (např. kdo je shromáždil, kdy a z jakého systému) musí být zdokumentována.
U důkazů ke zranitelnostem má balíček zachytit:
- Název a konfiguraci skeneru
- Datum a čas skenu
- Rozsah aktiv a výjimky z rozsahu
- Kritická a vysoká zjištění
- Číslo tiketu a vlastníka
- Rozhodnutí o záplatě nebo zmírnění
- Rozhodnutí o přijetí rizika, je-li použitelné
- Datum nápravy
- Validační sken
- Odkaz na záznam změny
- Vlastníka výjimky a datum expirace
Krok 5: Doplňte důkazy z protokolování
Politika protokolování a monitorování - SME, ustanovení 5.4.4 zahrnuje systémové logy, například:
Systémové logy: změny konfigurace, administrátorské akce, instalace softwaru, aktivita záplatování
Samotný tiket k záplatě nemusí prokázat, že změna skutečně proběhla. Konfigurační logy, administrátorské akce a záznamy o instalaci softwaru posilují důkazní řetězec.
Krok 6: Proveďte vzorkový audit
Vyberte pět kritických nebo vysokých zranitelností z předchozího čtvrtletí. U každé položky ověřte, že aktivum bylo v evidenci, skener zjištění detekoval, tiket byl otevřen v rámci SLA, byl přiřazen vlastník, náprava odpovídala závažnosti a zneužitelnosti, logy ukazují změnu, validace potvrzuje uzavření a případná výjimka má schválení vlastníka rizika s datem expirace.
Tento sprint vytvoří balíček důkazů ke zranitelnostem připravený pro NIS2 a vzorek interního auditu ISO 27001:2022.
Bezpečnost dodavatelů je správa ekosystému
Article 21 NIS2 vyžaduje zabezpečení dodavatelského řetězce, včetně bezpečnostních aspektů vztahů s přímými dodavateli a poskytovateli služeb. Zároveň očekává, že organizace zohlední zranitelnosti dodavatelů, kvalitu produktů, kyberbezpečnostní postupy dodavatelů a postupy bezpečného vývoje.
Právě zde byla první verze Mariiny zprávy o mezerách nejslabší. Dodavatele uváděla, ale neprokazovala náležitou péči, smluvní bezpečnostní doložky, monitorování ani připravenost na ukončení spolupráce.
Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran poskytuje ukotvení v politice. Související implementaci mohou podpořit Politika bezpečného vývoje, Politika povědomí o bezpečnosti informací a školení, Politika řízení zranitelností a záplat, Politika kryptografických opatření, Politika řízení přístupu a Politika práce na dálku.
Jeden registr důkazů dodavatelů může podporovat NIS2, DORA a ISO 27001:2022.
| Položka důkazů dodavatele | Relevance pro NIS2 | Relevance pro DORA | Relevance pro ISO 27001:2022 |
|---|---|---|---|
| Hodnocení kritičnosti dodavatele | Identifikuje riziko poskytovatele služeb a potenciální společenský nebo ekonomický dopad | Podporuje analýzu kritických nebo důležitých funkcí | Podporuje ošetření dodavatelského rizika a výběr opatření |
| Bezpečnostní prověrka náležité péče | Posuzuje kyberbezpečnostní postupy dodavatele a produktové riziko | Podporuje předsmluvní posouzení a posouzení v rámci životního cyklu | Podporuje 5.19 Bezpečnost informací ve vztazích s dodavateli |
| Smluvní bezpečnostní doložky | Definují podporu při incidentech, bezpečnostní povinnosti a oznamovací povinnosti | Podporují smluvní požadavky na třetí strany v oblasti ICT | Podporuje 5.20 Řešení bezpečnosti informací ve smlouvách s dodavateli |
| Přezkum dodavatelského řetězce ICT | Řeší závislosti, software, cloud a riziko subdodavatelů | Podporuje dohled nad koncentrací a subdodávkami | Podporuje 5.21 Řízení bezpečnosti informací v dodavatelském řetězci ICT |
| Přezkum monitorování | Ukazuje průběžné posouzení výkonnosti a bezpečnosti dodavatele | Podporuje dohled v rámci životního cyklu a přesnost registru | Podporuje 5.22 Monitorování, přezkum a řízení změn dodavatelských služeb |
| Posouzení cloudové služby | Řeší konfiguraci cloudu, sdílenou odpovědnost a odolnost | Podporuje dohled nad ICT službami souvisejícími s cloudem | Podporuje 5.23 Bezpečnost informací při používání cloudových služeb |
| Plán ukončení spolupráce | Snižuje riziko narušení, závislosti na dodavateli a kontinuity | Podporuje požadavky na strategii ukončení | Podporuje správu ukončení dodavatelských a cloudových služeb |
Tato tabulka brání duplicitním dotazníkům, duplicitním registrům a rozpornému vlastnictví opatření.
Jeden proces pro incidenty pro NIS2, DORA a GDPR
Article 23 NIS2 vyžaduje, aby významné incidenty byly oznámeny bez zbytečného odkladu. Zavádí fázovanou časovou osu: včasné varování do 24 hodin od zjištění, oznámení incidentu do 72 hodin s počátečním posouzením závažnosti nebo dopadu a dostupnými indikátory kompromitace, průběžné aktualizace na vyžádání a závěrečnou zprávu nejpozději jeden měsíc po oznámení incidentu.
DORA má pro finanční subjekty podobný životní cyklus: detekci, klasifikaci, protokolování, posouzení závažnosti, eskalaci, komunikaci s klienty, hlášení orgánům, analýzu kořenové příčiny a nápravu. GDPR přidává analýzu porušení zabezpečení osobních údajů, včetně rolí správce a zpracovatele, dopadu na subjekty údajů a 72hodinové oznamovací lhůty, je-li použitelná.
Správným návrhem nejsou tři procesy pro incidenty. Správným návrhem je jeden proces pro incidenty s regulačními rozhodovacími větvemi.
Politika reakce na incidenty - SME, ustanovení 5.4.1 stanoví:
Všechna vyšetřování incidentů, zjištění a nápravná opatření musí být zaznamenána v registru incidentů vedeném generálním ředitelem.
Silný registr incidentů má obsahovat:
| Pole | Proč je důležité pro NIS2, DORA a GDPR |
|---|---|
| Časové razítko zjištění | Spouští analýzu včasného varování a oznámení incidentu podle NIS2 |
| Dopad na službu | Podporuje významnost podle NIS2 a klasifikaci kritičnosti podle DORA |
| Dopad na data | Podporuje analýzu porušení zabezpečení osobních údajů podle GDPR |
| Dotčené země a zákazníci | Podporuje rozhodování o přeshraničních oznámeních a oznámeních příjemcům |
| Indikátory kompromitace | Podporují obsah 72hodinového oznámení podle NIS2 |
| Kořenová příčina | Podporuje závěrečné hlášení a nápravná opatření |
| Zmírňující opatření a opatření obnovy | Ukazují provozní řízení a obnovení služby |
| Oznámení orgánům a zákazníkům | Dokládají rozhodnutí o hlášení a načasování |
| Získané poznatky | Vstupují do neustálého zlepšování podle ISO 27001:2022 |
Vazbu na GDPR nelze podceňovat. Příslušné orgány NIS2 mohou informovat dozorové orgány podle GDPR, pokud selhání řízení kybernetických rizik nebo hlášení může znamenat porušení zabezpečení osobních údajů. ISMS má proto zahrnout posouzení ochrany soukromí do triáže incidentu, nikoli jej řešit až dodatečně.
Jak auditoři a regulační orgány otestují vaše důkazy NIS2
Organizace připravená na rok 2026 má očekávat, že stejné opatření bude testováno z různých pohledů.
Auditor ISO 27001:2022 začne u ISMS. Bude se ptát, zda jsou povinnosti NIS2 identifikovány jako požadavky zainteresovaných stran, zda rozsah ISMS pokrývá relevantní služby a závislosti, zda jsou rizika posouzena a ošetřena, zda Prohlášení o použitelnosti odůvodňuje použitelná opatření a zda záznamy prokazují provoz.
Příslušný orgán NIS2 se zaměří na právní výsledky. Může se ptát, zda jsou řešena všechna opatření podle Article 21, zda jsou opatření vhodná a přiměřená, zda je vedení schválilo a dohlíží na ně a zda hlášení incidentů dokáže splnit požadované lhůty.
Orgán dohledu podle DORA bude u zahrnutých finančních subjektů testovat řízení rizik v oblasti ICT, klasifikaci incidentů, testování odolnosti, riziko třetích stran, smluvní ujednání, riziko koncentrace a strategie ukončení spolupráce.
Přezkum podle GDPR bude testovat, zda technická a organizační opatření chrání osobní údaje, zda je posouzení porušení zabezpečení začleněno do zvládání incidentů, zda jsou jasné role správce a zpracovatele a zda existují záznamy odpovědnosti.
Hodnotitel ve stylu NIST CSF 2.0 nebo COBIT 2019 se zaměří na správu a řízení, vlastnictví rizik, metriky výkonnosti, současné a cílové výsledky, způsobilost procesů a sladění s ochotou organizace podstupovat riziko.
Podniková Politika monitorování auditu a souladu, ustanovení 3.4, zachycuje účel důkazů:
Vytvářet obhajitelné důkazy a auditní stopu na podporu regulačních šetření, soudních řízení nebo požadavků zákazníků na doložení zajištění.
To je provozní standard, ke kterému mají týmy NIS2 směřovat.
Odpovědnost vedení: řídicí orgán nemůže NIS2 delegovat mimo sebe
Article 20 NIS2 vyžaduje, aby řídicí orgány základních a důležitých subjektů schvalovaly opatření pro řízení kybernetických rizik, dohlížely na jejich implementaci a absolvovaly školení. Členové řídicích orgánů mohou nést odpovědnost za porušení povinností podle národních pravidel odpovědnosti.
To odpovídá požadavkům ISO 27001:2022 na vedení. Vrcholové vedení musí zajistit, aby politika a cíle bezpečnosti informací byly sladěny se strategickým směřováním, aby požadavky ISMS byly začleněny do obchodních procesů, aby byly poskytnuty zdroje, komunikována důležitost, přiřazeny odpovědnosti a podporováno neustálé zlepšování.
Řídicí orgán nepotřebuje syrové exporty ze skenerů ani kompletní logy SIEM. Potřebuje ujištění vhodné pro rozhodování.
Čtvrtletní balíček důkazů NIS2 pro řídicí orgán má obsahovat:
- Změny rozsahu a regulatorního statusu
- Nejvýznamnější rizika NIS2 a stav jejich ošetření
- Řídicí panel účinnosti opatření podle Article 21
- Významné incidenty, téměř vzniklé incidenty a rozhodnutí o hlášení
- Výjimky z rizik dodavatelů a cloudu
- Zjištění interního auditu, nápravná opatření a opožděné důkazy
Tento balíček poskytuje vedení informace potřebné ke schválení opatření, zpochybnění výjimek a přijetí zbytkového rizika.
Provozní model Clarysec pro rok 2026
Převedení technických opatření NIS2 do provozní praxe pomocí ISO 27001:2022 vyžaduje jednoduchý, ale disciplinovaný model:
- Zahrnout povinnosti NIS2, DORA, GDPR a smluvní povinnosti do ISMS
- Mapovat povinnosti na rizika, politiky, opatření, vlastníky a důkazy
- Používat Prohlášení o použitelnosti jako zdroj pravdy pro opatření
- Vytvářet balíčky důkazů pro vysoce rizikové oblasti Article 21
- Integrovat hlášení incidentů do jednoho regulačního procesu
- Zacházet se zabezpečením dodavatelů jako se životním cyklem, nikoli jako s dotazníkem
- Provádět interní audity na skutečných vzorcích
- Reportovat účinnost opatření řídicím orgánům
- Zlepšovat se na základě incidentů, zjištění auditu, testů a regulatorních změn
Pro Marii byl zlomem okamžik, kdy si uvědomila, že nepotřebuje samostatný projekt NIS2. Potřebovala silnější důkazní engine ISMS.
Politiky Clarysec, Zenith Blueprint a Zenith Controls jsou navrženy tak, aby fungovaly společně. Politiky definují očekávané chování a záznamy. Zenith Blueprint poskytuje 30krokovou implementační a auditní cestu. Zenith Controls poskytuje mapování křížového souladu, aby bylo možné NIS2, ISO 27001:2022, DORA, GDPR, NIST CSF a ujištění ve stylu COBIT řídit jako jeden koherentní program.
Další krok: vytvořte mapu důkazů NIS2 na ISO 27001:2022
Pokud vaše práce na NIS2 stále žije v tabulce mezer, rok 2026 je rokem jejího převedení do provozní praxe.
Začněte jedním vysoce rizikovým technickým opatřením, například řízením zranitelností, zvládáním incidentů nebo zabezpečením dodavatelů. Namapujte jej na rizika ISO 27001:2022, politiky, opatření přílohy A, vlastníky, postupy a důkazy. Poté odeberte vzorek záznamů z minulého čtvrtletí a položte si tvrdou otázku: obstálo by to před regulačním orgánem, hodnotitelem zákazníka a auditorem ISO 27001:2022?
Clarysec vám pomůže tuto odpověď vybudovat pomocí knihovny politik, Zenith Blueprint a Zenith Controls.
Cílem není více dokumentace. Cílem jsou obhajitelné, opakovatelné důkazy, že vaše technická opatření NIS2 skutečně fungují.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
