Důkazy k registraci podle NIS2 v ISO 27001:2022

E-mail dopadl do Anniny schránky s tichým žuchnutím, které působilo spíše jako siréna. Jako ředitelka informační bezpečnosti ve společnosti CloudFlow, rychle rostoucím poskytovateli B2B SaaS obsluhujícím zákazníky napříč EU, byla zvyklá na bezpečnostní dotazníky, audity v rámci nákupu a dohledové audity k ISO 27001. Tato zpráva byla jiná.

V předmětu stálo: „Žádost o informace k národní implementaci směrnice (EU) 2022/2555 (NIS2).“ Národní úřad pro kybernetickou bezpečnost chtěl, aby CloudFlow potvrdil svou klasifikaci, připravil registrační údaje subjektu, identifikoval služby v rozsahu a byl připraven doložit opatření pro řízení kybernetických bezpečnostních rizik.

Anna měla na stěně zarámovaný certifikát ISO 27001:2022. Obchodní tým jej používal při jednáních s velkými zákazníky. Řídicí orgán schválil politiku bezpečnosti informací. Interní audit nedávno uzavřel dvě zjištění. Otázka, která před ní stála, však byla ostřejší než samotný stav certifikace.

Dokáže CloudFlow rychle a obhajitelně prokázat, že jeho ISMS podle ISO 27001:2022 pokrývá povinnosti podle NIS2?

Právě zde mnoho organizací udělá chybný krok. Registraci subjektu podle NIS2 pojmou jako administrativní podání, podobně jako aktualizaci údajů v obchodním rejstříku nebo na daňovém portálu. Tak to není. Registrace je vstupem do režimu viditelnosti vůči dohledu. Po tomto vstupu může příslušný orgán požadovat odůvodnění rozsahu, záznamy o schválení řídicím orgánem, postupy hlášení incidentů, důkazy k dodavatelským rizikům, kontaktní místa, metriky účinnosti opatření a důkaz, že organizace ví, které služby jsou kritické.

U poskytovatelů SaaS, cloudových služeb, řízených služeb, řízených bezpečnostních služeb, datových center, digitální infrastruktury a některých poskytovatelů ve finančním sektoru již skutečná otázka nezní „Máme bezpečnostní politiku?“ Zní: „Dokážeme ukázat důkazní řetězec od právní povinnosti přes rozsah ISMS, ošetření rizik, provoz opatření až po dohled vedení?“

Nejsilnější program připravenosti na dohledové a vynucovací požadavky NIS2 není paralelní tabulka. Je to dohledatelný důkazní model uvnitř ISO 27001:2022.

Registrace podle NIS2 je ve skutečnosti otázkou důkazů

NIS2 se obecně vztahuje na veřejné nebo soukromé subjekty v odvětvích uvedených v příloze I a příloze II, které splňují nebo překračují příslušnou prahovou hodnotu středního podniku. Zahrnuje také některé subjekty bez ohledu na velikost, včetně poskytovatelů veřejných sítí nebo služeb elektronických komunikací, poskytovatelů služeb vytvářejících důvěru, registrů TLD, poskytovatelů služeb DNS, jediných poskytovatelů základních služeb a subjektů, jejichž narušení by mohlo ovlivnit veřejnou bezpečnost, zdraví, systémové riziko nebo národní či regionální kritičnost.

Pro technologické společnosti jsou digitální kategorie obzvláště důležité. Příloha I zahrnuje digitální infrastrukturu, například poskytovatele cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele služeb vytvářejících důvěru, poskytovatele služeb DNS a poskytovatele veřejných sítí nebo služeb elektronických komunikací. Příloha I zahrnuje také správu služeb ICT pro služby business-to-business, včetně poskytovatelů řízených služeb a poskytovatelů řízených bezpečnostních služeb. Příloha II zahrnuje digitální poskytovatele, jako jsou online tržiště, internetové vyhledávače a platformy služeb sociálních sítí.

To znamená, že organizace se může dostat do rozsahu NIS2, aniž by se sama považovala za „kritickou infrastrukturu“. Společnost poskytující B2B SaaS s funkcionalitou řízené bezpečnosti, cloudová platforma podporující regulované zákazníky nebo poskytovatel navázaný na fintech může náhle potřebovat registrační složku, kontaktní model vůči příslušnému orgánu a obhajitelný popis opatření.

NIS2 také rozlišuje základní a důležité subjekty. Základní subjekty obvykle podléhají proaktivnějšímu modelu dohledu, zatímco důležité subjekty bývají dozorovány zpravidla po zjištění nesouladu nebo po incidentech. Toto rozlišení je významné, ale neodstraňuje potřebu přípravy. Obě kategorie potřebují správu a řízení, řízení rizik, hlášení incidentů, bezpečnost dodavatelů a důkazy.

Finanční subjekty musí zohlednit také DORA. NIS2 Article 4 uznává, že pokud sektorově specifický právní akt Unie ukládá alespoň rovnocenné povinnosti v oblasti řízení kybernetických bezpečnostních rizik a hlášení incidentů, použijí se v odpovídajících oblastech tato sektorově specifická pravidla. DORA se použije od 17. ledna 2025 a stanovuje řízení rizik v oblasti ICT, hlášení významných incidentů souvisejících s ICT, testování digitální provozní odolnosti, sdílení informací, řízení rizik třetích stran v oblasti ICT, smluvní kontroly a dohled nad kritickými poskytovateli ICT služeb třetích stran. U finančních subjektů, na které se DORA vztahuje, je DORA primárním rámcem kybernetické odolnosti pro překrývající se požadavky, ale rozhraní s NIS2 a koordinace s národními orgány mohou být stále relevantní.

Poučení je jednoduché. Nečekejte na pole v portálu ani na e-mail od regulačního orgánu, než začnete budovat důkazy. Každá registrační odpověď v sobě nese budoucí auditní otázku.

Začněte rozsahem ISMS, ne portálovým formulářem

ISO 27001:2022 je užitečná, protože nutí organizaci definovat kontext, zainteresované strany, regulační povinnosti, rozsah, rizika, plány ošetření rizik, provoz opatření, monitorování, interní audit, přezkoumání vedením a zlepšování.

Kapitoly 4.1 až 4.4 vyžadují, aby organizace určila interní a externí otázky, identifikovala zainteresované strany a jejich požadavky, rozhodla, které požadavky se řeší prostřednictvím ISMS, definovala rozsah ISMS s přihlédnutím k rozhraním a závislostem, tento rozsah dokumentovala a provozovala procesy ISMS.

Pro NIS2 by měl tento rozsah odpovědět na praktické otázky:

• Které služby v EU, právnické osoby, dceřiné společnosti, platformy, komponenty infrastruktury a obchodní jednotky jsou relevantní?
• Která kategorie podle přílohy I nebo přílohy II se může použít?
• Je organizace základním subjektem, důležitým subjektem, subjektem spadajícím pod DORA, mimo rozsah, nebo čeká na národní klasifikaci?
• Které služby jsou kritické pro zákazníky, veřejnou bezpečnost, finanční stabilitu, zdravotnictví, digitální infrastrukturu nebo jiná regulovaná odvětví?
• Kteří poskytovatelé cloudových služeb, MSP, MSSP, datová centra, subdodavatelé a další dodavatelé tyto služby podporují?
• Které členské státy, příslušné orgány, CSIRT, dozorové úřady pro ochranu osobních údajů a finanční dohledové orgány mohou být relevantní?

Clarysec Zenith Blueprint: třicetikrokový plán auditora Zenith Blueprint zařazuje tuto práci na začátek, do kroku 2, Potřeby zainteresovaných stran a rozsah ISMS. Vede organizace k identifikaci regulačních orgánů a autorit, přezkumu právních a regulačních požadavků, přezkumu smluv a dohod, vedení rozhovorů se zainteresovanými stranami a zohlednění očekávaných oborových norem.

Akční bod 4.2: Sestavte seznam všech významných zainteresovaných stran a zaznamenejte jejich požadavky související s bezpečností informací. Buďte důkladní – zvažte každého, kdo by si stěžoval nebo nesl důsledky, pokud by vaše bezpečnost selhala nebo pokud by vám chybělo určité opatření. Tento seznam určí, co musíte prostřednictvím ISMS splnit nebo uspokojit, a promítne se do posouzení rizik a výběru opatření.

To je správný výchozí bod pro registraci podle NIS2. Před podáním vytvořte stručné memorandum k rozsahu NIS2, které propojí obchodní model s kategoriemi podle přílohy I nebo přílohy II, zdokumentuje předpoklady týkající se velikosti a služeb, zaznamená výklad národního práva, identifikuje příslušné orgány a uvede, zda se použijí také DORA, GDPR, zákaznické smlouvy nebo sektorová pravidla.

Clarysec SME Politika právního a regulačního souladu Politika právního a regulačního souladu – SME jasně vymezuje účel:

„Tato politika definuje přístup organizace k identifikaci, plnění a dokládání souladu s právními, regulačními a smluvními povinnostmi.“

Pro větší programy je Clarysec Politika právního a regulačního souladu Politika právního a regulačního souladu ještě explicitnější:

„Všechny právní a regulační povinnosti musí být mapovány na konkrétní politiky, opatření a vlastníky v rámci Systému řízení bezpečnosti informací (ISMS).“

Tato věta je základem připravenosti na dohledové a vynucovací požadavky. Pokud se regulační orgán zeptá, jak byly povinnosti podle NIS2 identifikovány, odpovědí nemá být „poradilo nám právní oddělení“. Odpovědí má být dokumentovaný registr propojený s rozsahem, riziky, vlastníky opatření, postupy, uchovávanými důkazy a přezkoumáním vedením.

Vybudujte důkazní řetězec NIS2 uvnitř ISO 27001:2022

NIS2 Article 21 vyžaduje, aby základní a důležité subjekty zavedly vhodná a přiměřená technická, provozní a organizační opatření pro řízení rizik pro sítě a informační systémy používané k provozu nebo poskytování služeb. Opatření musí zohledňovat aktuální stav poznání, příslušné evropské a mezinárodní normy, kde je to vhodné, náklady, rizikovou expozici, velikost, pravděpodobnost a závažnost incidentů a společenský a ekonomický dopad.

Article 21(2) uvádí minimální oblasti, včetně analýzy rizik a politik bezpečnosti informačních systémů, zvládání incidentů, kontinuity činností, záloh, obnovy po havárii, krizového řízení, zabezpečení dodavatelského řetězce, bezpečného pořizování a vývoje, nakládání se zranitelnostmi, posuzování účinnosti, kybernetické hygieny, školení, kryptografie, bezpečnosti lidských zdrojů, řízení přístupu, správy aktiv, vícefaktorové nebo průběžné autentizace a bezpečné komunikace, kde je to vhodné.

ISO 27001:2022 se na tuto strukturu přirozeně mapuje. Kapitoly 6.1.1 až 6.1.3 vyžadují posouzení rizik a ošetření rizik, včetně kritérií pro akceptaci rizik, vlastníků rizik, analýzy pravděpodobnosti a důsledků, Plánu ošetření rizik, porovnání s opatřeními přílohy A a Prohlášení o použitelnosti. Kapitola 8 vyžaduje operativní plánování a řízení, důkazy o tom, že procesy fungovaly podle plánu, řízení změn, kontrolu externě poskytovaných procesů, opakovaná posouzení rizik a dokumentované výsledky ošetření. Kapitola 9.1 vyžaduje monitorování, měření, analýzu a hodnocení. Kapitola 9.2 vyžaduje interní audit. Kapitola 10.2 vyžaduje opatření k neshodám a nápravná opatření.

Clarysec Politika řízení rizik Politika řízení rizik – SME z toho vytváří provozní pravidlo:

„Všechna identifikovaná rizika musí být zaznamenána v Registru rizik.“

Podniková Politika řízení rizik Politika řízení rizik propojuje ošetření rizik s výběrem opatření podle ISO 27001:2022:

„Rozhodnutí o opatřeních vyplývající z procesu ošetření rizik musí být promítnuta do SoA.“

To je důležité, protože důkazy NIS2 musí být dohledatelné. Pokud se orgán zeptá, proč opatření existuje, odkažte na povinnost, riziko, rozhodnutí o ošetření, vlastníka opatření, záznam v SoA, postup a důkaz. Pokud se orgán zeptá, proč opatření nebylo vybráno, odkažte na zdůvodnění v SoA, schválené přijetí rizika a přezkoumání vedením.

Nejlepší důkazní řetězec je nudný v tom nejlepším smyslu. Každá povinnost má vlastníka. Každý vlastník má opatření. Každé opatření má důkaz. Každá výjimka má schválení. Každé zjištění auditu má nápravné opatření.

Promítněte správu a řízení podle Article 20 do důkazů pro řídicí orgán

NIS2 Article 20 přesouvá kybernetickou bezpečnost do jednací místnosti vedení. Řídicí orgány musí schvalovat opatření pro řízení kybernetických bezpečnostních rizik přijatá podle Article 21, dohlížet na jejich implementaci a mohou nést odpovědnost za porušení. Členové řídicích orgánů musí absolvovat školení a subjekty jsou podporovány v tom, aby zaměstnancům poskytovaly pravidelné školení kybernetické bezpečnosti.

Řídicí orgán nemůže jednoduše delegovat NIS2 na IT. Důkazy mají ukazovat, že vedení porozumělo analýze rozsahu NIS2, schválilo přístup k řízení rizik, přezkoumalo významná rizika, přidělilo zdroje, sledovalo implementaci, přezkoumávalo incidenty a cvičení a absolvovalo školení.

Kapitoly ISO 27001:2022 5.1 až 5.3 tento model správy a řízení podporují tím, že vyžadují závazek vrcholového vedení, sladění cílů bezpečnosti informací s obchodní strategií, začlenění požadavků ISMS do obchodních procesů, zdroje, komunikaci, odpovědnost a reportování výkonnosti ISMS vrcholovému vedení.

Clarysec Politika rolí a odpovědností v oblasti správy a řízení Politika rolí a odpovědností v oblasti správy a řízení definuje roli bezpečnostního kontaktního pracovníka jako roli, která:

„Slouží jako primární kontaktní osoba pro auditory, regulační orgány a vrcholové vedení v záležitostech bezpečnosti informací.“

Tato role má být v důkazním balíčku pro registraci podle NIS2 jmenovitě uvedena. Nemá být jen implicitní. Orgány, auditoři a zákazníci chtějí vědět, kdo koordinuje kontakt s regulačními orgány, kdo vlastní hlášení incidentů, kdo udržuje právní registr, kdo aktualizuje kontakty na orgány a kdo reportuje řídicímu orgánu.

Praktická sada důkazů ke správě a řízení zahrnuje:

• Schválení rámce řízení kybernetických bezpečnostních rizik řídicím orgánem.
• Zápisy z přezkoumání vedením pokrývající rozsah NIS2, rizika, incidenty, dodavatele a připravenost.
• Záznamy o školení členů řídicího orgánu a zaměstnanců.
• Matici RACI pro povinnosti NIS2, opatření ISO 27001:2022, hlášení incidentů, ověřování dodavatelů a komunikaci s regulačními orgány.
• Důkazy, že povinnosti podle NIS2 jsou zahrnuty do interního auditu a monitorování souladu.
• Sledování nápravných opatření pro mezery, opožděná rizika, výjimky a neúspěšné testy.

Articles 32 and 33 také zvyšují význam kvality důkazů, protože identifikují faktory závažného porušení, jako jsou opakovaná porušení, neoznámení nebo nenapravení významných incidentů, neodstranění nedostatků po závazných pokynech, maření auditů nebo monitorování a nepravdivé či hrubě nepřesné informace. Slabé důkazy se mohou stát problémem při vymáhání požadavků i tehdy, když technická opatření existují.

Připravte důkazy ke kontaktům na orgány a hlášení incidentů dříve než ve 02:00

Nejbolestivější selhání při hlášení incidentů často začínají základní otázkou: „Koho máme informovat?“ Při ransomwaru, selhání DNS, kompromitaci cloudu nebo expozici dat ztrácejí týmy čas hledáním správného CSIRT, příslušného orgánu, dozorového úřadu pro ochranu osobních údajů, finančního dohledového orgánu, kanálu pro orgány činné v trestním řízení, zákaznické šablony a interního schvalovatele.

NIS2 Article 23 vyžaduje oznámení významných incidentů ovlivňujících poskytování služeb bez zbytečného odkladu. Významný incident je takový, který způsobil nebo může způsobit závažné provozní narušení nebo finanční ztrátu, případně ovlivnil nebo může ovlivnit jiné osoby tím, že způsobí značnou hmotnou nebo nehmotnou újmu. Časová osa je odstupňovaná: včasné varování do 24 hodin od okamžiku, kdy se subjekt o incidentu dozvěděl, oznámení incidentu do 72 hodin, průběžné aktualizace na vyžádání a závěrečná zpráva do jednoho měsíce po oznámení do 72 hodin nebo po zvládnutí incidentu u probíhajících incidentů. Kde je to vhodné, musí být příjemci služeb informováni také o významných incidentech nebo významných kybernetických hrozbách a ochranných opatřeních.

Zenith Blueprint, fáze Controls in Action, krok 22, chápe kontakt s orgány jako připravenost, nikoli paniku:

Princip je jednoduchý: pokud by se vaše organizace stala cílem kybernetického útoku, byla zapojena do porušení zabezpečení dat nebo byla předmětem vyšetřování, kdo by orgánům zavolal? Jak by věděl, co říci? Za jakých podmínek by byl takový kontakt zahájen? Tyto otázky musí být zodpovězeny předem, nikoli až následně.

Clarysec Zenith Controls: průvodce napříč požadavky souladu Zenith Controls pokrývá ISO/IEC 27002:2022 opatření 5.5, Kontakt s orgány. Klasifikuje opatření jako preventivní a nápravné, navázané na důvěrnost, integritu a dostupnost a propojené s koncepty Identify, Protect, Respond a Recover. Zároveň propojuje opatření 5.5 s opatřeními ISO/IEC 27002:2022 5.24 Plánování a příprava řízení incidentů informační bezpečnosti, 6.8 Hlášení událostí informační bezpečnosti, 5.7 Informace o hrozbách, 5.6 Kontakt se zvláštními zájmovými skupinami a 5.26 Reakce na incidenty informační bezpečnosti.

Z pohledu napříč požadavky souladu Zenith Controls mapuje kontakt s orgány na NIS2 Article 23, oznamování porušení zabezpečení podle GDPR, hlášení incidentů podle DORA, NIST SP 800-53 IR-6 Hlášení incidentů a postupy externí eskalace podle COBIT 2019. Jeden registr kontaktů na orgány může sloužit více povinnostem, pokud je správně navržen.

Clarysec Politika reakce na incidenty Politika reakce na incidenty – SME výslovně stanoví právní triáž:

„Pokud jsou dotčena zákaznická data, musí generální ředitel posoudit právní oznamovací povinnosti podle použitelnosti GDPR, NIS2 nebo DORA.“

Silný důkazní balíček ke kontaktům na orgány má zahrnovat:

• Kontaktní údaje příslušných orgánů a CSIRT podle členského státu a služby.
• Kontakty dozorových úřadů pro oznamování porušení zabezpečení osobních údajů podle GDPR.
• Kontakty na finanční dohledové orgány, pokud se použije DORA.
• Kontaktní trasy na orgány činné v trestním řízení a útvary kyberkriminality.
• Oprávněné interní komunikátory a jejich zástupce.
• Prahové hodnoty incidentů pro NIS2, GDPR, DORA, zákaznické smlouvy a kybernetické pojištění.
• Šablony pro 24hodinové včasné varování, 72hodinové oznámení, průběžnou aktualizaci a závěrečnou zprávu do jednoho měsíce.
• Záznamy z tabletop cvičení testujících externí oznamování.
• Záznamy předchozích oznámení, rozhodnutí neoznamovat a právní odůvodnění.

Namapujte NIS2 Article 21 na opatření ISO 27001 a důkazy z politik

Samotný certifikát neodpoví na otázku regulačního orgánu. Mapování opatření ano. Následující tabulka poskytuje bezpečnostním a compliance týmům praktický most mezi oblastmi NIS2 Article 21, opatřeními ISO/IEC 27002:2022, kotvami v politikách Clarysec a důkazy.

Clarysec Zenith Controls pokrývá také ISO/IEC 27002:2022 opatření 5.31, Právní, zákonné, regulační a smluvní požadavky, jako preventivní opatření s dopadem na důvěrnost, integritu a dostupnost. Propojuje 5.31 s ochranou soukromí a PII, uchováváním záznamů, nezávislým přezkumem a souladem s interními politikami. Mapuje také 5.31 na odpovědnost podle GDPR, soulad dodavatelského řetězce podle NIS2, řízení rizik ICT podle DORA, správu podle NIST CSF, programová opatření NIST SP 800-53 a dohled nad externím souladem podle COBIT 2019.

„Control 5.31 zajišťuje, že všechny relevantní právní, regulační, zákonné a smluvní požadavky související s bezpečností informací jsou identifikovány, dokumentovány a průběžně řízeny.“

Přesně to chce národní orgán po registraci vidět: nejen že je NIS2 uvedena v seznamu, ale že organizace má živý mechanismus pro identifikaci, mapování, implementaci, monitorování a aktualizaci povinností.

Neoddělujte NIS2 od DORA, GDPR, dodavatelů a cloudu

Důkazy NIS2 zřídka existují izolovaně.

NIS2 Article 21(2)(d) vyžaduje zabezpečení dodavatelského řetězce, včetně bezpečnostních aspektů vztahů s dodavateli a poskytovateli služeb. Article 21(3) vyžaduje, aby rozhodnutí o dodavatelských rizicích zohledňovala zranitelnosti, celkovou kvalitu produktů, postupy kybernetické bezpečnosti, postupy bezpečného vývoje a relevantní koordinovaná posouzení rizik dodavatelského řetězce na úrovni EU.

Příloha A ISO 27001:2022 poskytuje provozní most prostřednictvím A.5.19 až A.5.23. U organizací SaaS a cloudových organizací tato opatření často určují, zda jsou registrační důkazy povrchní, nebo obhajitelné.

DORA zpřesňuje dodavatelský obraz pro finanční subjekty. Articles 28 to 30 vyžadují řízení rizik třetích stran v oblasti ICT, registr smluv o ICT službách, rozlišení služeb podporujících kritické nebo důležité funkce, předběžné posouzení rizik před uzavřením smlouvy, náležitou péči, smluvní bezpečnostní požadavky, práva na audit a inspekci, práva na ukončení, otestované exit strategie, posouzení subdodavatelů, transparentnost umístění dat, podporu při incidentech, spolupráci s orgány a přechodová opatření. Pokud poskytovatel SaaS obsluhuje zákazníky regulované podle DORA, mohou být jeho smlouvy a balíček ujištění zkoumány, i když sám není finančním subjektem.

Clarysec Bezpečnostní politika třetích stran a dodavatelů – SME Bezpečnostní politika třetích stran a dodavatelů – SME by proto měla být propojena s důkazním balíčkem NIS2. Připravenost dodavatelů má zahrnovat:

• Evidenci dodavatelů a klasifikaci kritičnosti.
• Prověrku dodavatelů a posouzení rizik.
• Smluvní doložky pro bezpečnost, podporu při incidentech, práva na audit, umístění dat, subdodávky a ukončení.
• Matice sdílené odpovědnosti v cloudu.
• Monitorovací záznamy ke kritickým poskytovatelům.
• Testování ukončení a obnovy u kritických služeb.
• Postupy oznamování incidentů dodavatelem a eskalace.

GDPR musí být také integrováno. Významný incident podle NIS2 může být zároveň porušením zabezpečení osobních údajů, pokud jsou kompromitována zákaznická, zaměstnanecká nebo uživatelská data. GDPR vyžaduje, aby správci doložili odpovědnost a tam, kde jsou splněny oznamovací prahové hodnoty, oznámili dozorovému úřadu porušení zabezpečení osobních údajů do 72 hodin poté, co se o něm dozvěděli. Workflow reakce na incidenty musí paralelně posuzovat povinnosti podle NIS2, GDPR, DORA, smluv a vůči zákazníkům.

Sestavte týdenní důkazní balíček NIS2

Poskytovatel SaaS, MSP, MSSP, poskytovatel cloudových služeb nebo společnost v oblasti digitální infrastruktury může za jeden soustředěný týden dosáhnout podstatného pokroku.

Den 1, klasifikujte subjekt a služby. Použijte prohlášení o rozsahu ISMS a registr zainteresovaných stran. Přidejte memorandum k rozsahu NIS2, které identifikuje kategorie podle přílohy I nebo přílohy II, služby v EU, členské státy, zákazníky, závislosti, předpoklady velikosti a to, zda se použijí DORA nebo sektorová pravidla. Pokud právní výklad není konečný, zaznamenejte nejistotu klasifikace jako riziko.

Den 2, aktualizujte registr právních a regulačních povinností. Přidejte NIS2 Articles 20, 21, and 23, registrační požadavky podle národního práva, povinnosti při porušení zabezpečení podle GDPR, relevantní povinnosti podle DORA a klíčové smluvní oznamovací požadavky. Každou povinnost namapujte na politiku, vlastníka, opatření, zdroj důkazů a frekvenci přezkumu.

Den 3, aktualizujte posouzení a ošetření rizik. Do kritérií rizik zahrňte právní, regulační, provozní, dodavatelské, finanční, reputační a společenské dopady. Přidejte rizika, jako je nezaregistrování, nesprávná klasifikace subjektu, zmeškané 24hodinové včasné varování, nedostupné kontakty na orgány, výpadek dodavatele ovlivňující kritické služby, nedostatečný dohled řídicího orgánu a neschopnost doložit účinnost opatření.

Den 4, aktualizujte SoA. Potvrďte opatření relevantní pro NIS2, včetně A.5.5 Kontakt s orgány, A.5.19 až A.5.23 dodavatelská a cloudová opatření, A.5.24 až A.5.28 opatření pro incidenty, A.5.29 bezpečnost při narušení, A.5.30 připravenost ICT pro kontinuitu činností, A.5.31 právní požadavky, A.5.34 soukromí, A.8.8 řízení zranitelností, A.8.13 zálohy, A.8.15 protokolování, A.8.16 monitorovací činnosti, A.8.24 kryptografie a opatření bezpečného vývoje A.8.25 až A.8.32.

Den 5, otestujte hlášení incidentů. Proveďte tabletop cvičení: chybná konfigurace cloudu zpřístupní zákaznická data a naruší službu ve dvou členských státech. Spusťte časomíru. Dokáže tým klasifikovat událost, posoudit prahové hodnoty podle GDPR, NIS2, DORA, smluv a vůči zákazníkům, připravit 24hodinové včasné varování, navrhnout 72hodinové oznámení, uchovat důkazy a přiřadit analýzu kořenové příčiny?

Den 6, shromážděte důkazy. Vytvořte složku připravenou pro regulační orgán s memorandem k rozsahu, právním registrem, Registrem rizik, SoA, seznamem kontaktů na orgány, incidentním playbookem, Registrem dodavatelů, zápisy řídicího orgánu, záznamy o školení, logy, monitorovacími reporty, testy záloh, zprávami o zranitelnostech, rozsahem interního auditu a logem nápravných opatření.

Den 7, přezkoumání vedením. Předložte balíček připravenosti vedení. Zaznamenejte schválení, zbytková rizika, otevřené úkoly, termíny, zdroje a odpovědnost vlastníků. Pokud se blíží registrace, přiložte index důkazů k záznamu o registračním rozhodnutí.

Clarysec Politika monitorování auditu a souladu pro SME Politika monitorování auditu a souladu – SME tuto potřebu předvídá:

„Důkazy musí být sladěny s povinnostmi podle NIS2, pokud je organizace určena jako důležitý subjekt nebo jinak spadá do rozsahu národního práva“

Podniková Politika monitorování auditu a souladu Politika monitorování auditu a souladu stanovuje cíl:

„Vytvářet obhajitelné důkazy a auditní stopu pro podporu regulačních šetření, právních řízení nebo požadavků zákazníků na doložení zajištění.“

To je cíl: obhajitelné důkazy dříve, než přijde žádost.

Připravte se na různé auditní pohledy

Certifikační auditor, národní orgán, zákaznický auditor, auditor ochrany soukromí a tým ověřování dodavatelů nebudou klást totožné otázky. Silný důkazní balíček NIS2 funguje napříč všemi těmito pohledy.

U ISO/IEC 27002:2022 opatření 5.5 auditoři běžně očekávají dokumentované kontakty na orgány, přiřazené odpovědnosti, udržování kontaktů, playbooky reakce na incidenty a scénářově založenou srozumitelnost. Jednoduchá auditní otázka může odhalit vyspělost: „Kdo v případě ransomwaru kontaktuje orgány činné v trestním řízení nebo národní CSIRT?“ Pokud odpověď závisí na tom, zda si někdo vzpomene na jméno, opatření není připravené.

Clarysec Politika protokolování a monitorování Politika protokolování a monitorování – SME posiluje očekávání ohledně důkazů:

„Logy musí být na vyžádání dostupné a srozumitelné externím auditorům nebo regulačním orgánům“

Clarysec politika bezpečnosti informací politika bezpečnosti informací stanovuje širší podnikový standard:

„Všechna implementovaná opatření musí být auditovatelná, podpořená dokumentovanými postupy a uchovávanými důkazy o provozu.“

To je auditní test v jedné větě. Pokud opatření nelze doložit, nebude mít velkou váhu, až příslušný orgán požádá o důkaz.

Závěrečný kontrolní seznam důkazů k registraci podle NIS2

Použijte tento kontrolní seznam před registrací nebo před odpovědí na žádost národního orgánu.

• Zdokumentujte analýzu rozsahu NIS2, včetně odůvodnění podle přílohy I nebo přílohy II, popisů služeb, předpokladů velikosti, působnosti v členských státech a klasifikace subjektu.
• Určete, zda se DORA použije přímo, nebo nepřímo prostřednictvím zákazníků ve finančním sektoru a smluv o ICT službách.
• Aktualizujte rozsah ISMS tak, aby zahrnoval relevantní služby, závislosti, outsourcované procesy a regulační rozhraní.
• Přidejte NIS2, GDPR, DORA, sektorová pravidla a smluvní požadavky do registru právních a regulačních povinností.
• Namapujte každou povinnost na politiky, opatření, vlastníky, důkazy, frekvenci přezkumu a reportování vedení.
• Potvrďte schválení a dohled řídicího orgánu nad opatřeními pro řízení kybernetických bezpečnostních rizik.
• Udržujte záznamy o školení kybernetické bezpečnosti pro vedení a zaměstnance.
• Aktualizujte kritéria rizik tak, aby zahrnovala regulační dopad, narušení služby, újmu zákazníků, přeshraniční dopad a závislost na dodavatelích.
• Zaznamenejte rizika související s NIS2 do Registru rizik a propojte je s plány ošetření rizik.
• Aktualizujte SoA o opatření přílohy A relevantní pro NIS2 a stav implementace.
• Udržujte seznamy kontaktů na orgány a oznamovací postupy pro CSIRT, příslušné orgány, dozorové úřady pro ochranu osobních údajů, finanční dohledové orgány a orgány činné v trestním řízení.
• Otestujte workflow pro 24hodinové včasné varování, 72hodinové oznámení, průběžnou aktualizaci a závěrečnou zprávu do jednoho měsíce.
• Udržujte důkazy k dodavatelům a cloudu, včetně náležité péče, smluv, práv na audit, monitorování, subdodávek a plánů ukončení.
• Doložte účinnost opatření prostřednictvím logů, metrik, auditů, dashboardů, výsledků testů a nápravných opatření.
• Připravte index důkazů, aby bylo možné rychle odpovědět na jakoukoli žádost regulačního orgánu, zákazníka nebo auditora.

Další krok s Clarysec

Registrace subjektu podle NIS2 není cílová páska. Je to okamžik, kdy se vaše organizace stává viditelnou pro národní dohled nad kybernetickou bezpečností. Správná otázka nezní „Dokážeme se zaregistrovat?“ Správná otázka zní „Pokud si orgán po registraci vyžádá důkazy, dokážeme během hodin, nikoli týdnů, předložit soudržný příběh podle ISO 27001:2022?“

Clarysec pomáhá organizacím tento příběh vybudovat prostřednictvím Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls a praktických sad politik ISO 27001:2022, které propojují právní povinnosti, ošetření rizik, hlášení incidentů, bezpečnost dodavatelů, protokolování, monitorování, auditní důkazy a odpovědnost vedení.

Proveďte přezkum mezer v důkazech NIS2 vůči svému současnému ISMS. Začněte memorandem k rozsahu, právním registrem, Registrem rizik, SoA, seznamem kontaktů na orgány, workflow pro hlášení incidentů, Registrem dodavatelů a složkou auditních důkazů. Pokud jsou tyto artefakty neúplné nebo vzájemně nepropojené, Clarysec vám může pomoci přeměnit je na důkazní balíček připravený pro regulační orgán dříve, než si jej národní orgán vyžádá.