⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Sdílení zpravodajských informací o kybernetických hrozbách podle ISO 27001 v roce 2026

Igor Petreski
14 min read
Pracovní postup sdílení zpravodajských informací o kybernetických hrozbách podle ISO 27001 pro DORA NIS2 a GDPR

V úterý ráno v 07:40 obdrží Maria, CISO rychle rostoucí evropské platební platformy, vysoce důvěryhodný bulletin od ISAC pro finanční služby. Kampaň zaměřená na krádež přihlašovacích údajů cílí na poskytovatele platebních služeb, kteří používají konkrétní integraci s poskytovatelem identit. Bezpečnostní oznámení obsahuje domény pro command-and-control, podezřelé názvy aplikací OAuth, řetězce user-agent, pozorované taktiky a doporučení rotovat secrets u zasažených tenantů.

Během několika minut začne organizace klást otázky, které v roce 2026 definují sdílení zpravodajských informací o kybernetických hrozbách.

SOC chce indikátory okamžitě vložit do SIEM. Právní oddělení se ptá, zda společnost může sdílet vlastní telemetrii zpět do ISAC. DPO se ptá, zda IP adresy, uživatelská jména, výňatky z tiketů, autentizační logy nebo údaje o koncových bodech obsahují osobní údaje. COO chce vědět, zda musí být varováni zákazníci. CEO, čerstvě po školení vedení k NIS2, přeposílá upozornění se dvěma slovy: „Náš plán?“

Poté manažer compliance položí nejdůležitější otázku: „Pokud se příští měsíc zeptá dohledový orgán, dokážeme doložit, že naše sdílení zpravodajských informací o kybernetických hrozbách bylo zákonné, schválené, užitečné a řízené?“

To je nová realita. DORA se posunula od implementační lhůty k dohledové kontrole. NIS2 se posunula od projektů připravenosti k provozní spolupráci. GDPR se uplatní i tehdy, když jsou data bezpečnostní telemetrií. Sdílení zpravodajských informací o hrozbách již není neformální výměna ve Slacku mezi bezpečnostními týmy. Je to řízená činnost zahrnující důvěrnost, minimalizaci osobních údajů, schvalování zpřístupnění, záznamy, očekávání dohledových orgánů a auditní důkazy.

Pro CISO, manažery compliance, auditory a vlastníky společností není otázkou, zda se účastnit ujednání pro sdílení zpravodajských informací o kybernetických hrozbách. Skutečnou otázkou je, jak sdílet dostatečně rychle, aby to pomohlo obráncům, a zároveň zabránit nezákonnému zpřístupnění, porušení důvěrnosti vůči zákazníkům, úniku konkurenčně citlivých informací, neřízenému zveřejnění zranitelností a slabým důkazům.

ISO/IEC 27001:2022 je řídicí páteří, která to umožňuje. Ne jako certifikát na zdi, ale jako systém řízení, který mění sdílení zpravodajských informací o kybernetických hrozbách v opakovatelný, obhajitelný a z pohledu GDPR bezpečný provozní model.

Proč se sdílení zpravodajských informací o kybernetických hrozbách v roce 2026 změnilo

První vlna příprav na DORA a NIS2 se zaměřovala na rozsah, lhůty pro hlášení incidentů, rizika ICT třetích stran, odpovědnost vedoucích orgánů a gap analýzy. Tato práce byla nezbytná, ale regulační orgány a zákazníci nyní kladou více provozních otázek:

  • Kterých ISAC, CERT, CSIRT, dodavatelských fór nebo důvěryhodných komunit se účastníte?
  • Kdo je oprávněn zastupovat organizaci navenek?
  • Jak rozhodujete, co lze sdílet?
  • Jak bráníte zpřístupnění osobních údajů, klientských tajemství, detailů zranitelností a citlivé architektury?
  • Jak vstupy zpravodajských informací o hrozbách aktualizují pravidla monitorování, priority záplat, registry rizik, playbooky pro incidenty, přezkumy dodavatelů a testy odolnosti?
  • Kde jsou důkazy?

DORA je u finančních subjektů obzvlášť přímá. Digitální provozní odolnost chápe jako systém řízení rizik ICT ve vlastnictví vedoucích orgánů, nikoli jako IT checklist. DORA se uplatňuje od 17. ledna 2025, takže v roce 2026 je mnoho finančních subjektů posuzováno podle toho, zda jejich procesy fungují v praxi.

DORA Article 45 umožňuje sdílení informací a zpravodajských poznatků o kybernetických hrozbách mezi finančními subjekty, pokud je účelem posílit digitální provozní odolnost. Sdílení má probíhat v důvěryhodných komunitách a podle ujednání, která chrání citlivé obchodní informace, osobní údaje, důvěrnost, duševní vlastnictví a hranice práva hospodářské soutěže. Jednoduše řečeno, DORA neznamená „sdílejte vše“. Znamená „sdílejte bezpečně, záměrně a za řízených podmínek“.

NIS2 vytváří podobný tlak mimo finanční sektor. Vztahuje se na mnoho základních a důležitých subjektů v odvětvích s vysokou kritičností a v dalších kritických odvětvích, včetně digitální infrastruktury, poskytovatelů řízených služeb (MSP), poskytovatelů řízených bezpečnostních služeb, poskytovatelů cloud computingu, poskytovatelů datových center, online tržišť, vyhledávačů, platforem sociálních sítí, bankovnictví a infrastruktury finančních trhů. NIS2 Article 20 činí vedoucí orgány odpovědnými za schvalování opatření k řízení kybernetických rizik, dohled nad jejich implementací a absolvování školení. Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření, včetně analýzy rizik, zvládání incidentů, kontinuity činností, zabezpečení dodavatelského řetězce, řízení zranitelností, hodnocení účinnosti, kybernetické hygieny, školení, kryptografie, personální bezpečnosti, řízení přístupu, správy aktiv, MFA a bezpečné komunikace. Article 23 vyžaduje postupné hlášení významných incidentů, včetně včasného varování do 24 hodin, oznámení incidentu do 72 hodin a závěrečné zprávy nejpozději jeden měsíc po oznámení incidentu.

GDPR přidává omezení v oblasti ochrany osobních údajů. Osobní údaje zahrnují jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby. Bezpečnostní logy, IP adresy, uživatelská jména, e-mailové adresy, názvy koncových bodů, autentizační události, podpůrné tikety, vzorky malwaru, snímky obrazovky a poznámky z vyšetřování podvodů se všechny mohou stát osobními údaji. GDPR vyžaduje zákonné, korektní, transparentní, účelově omezené, minimalizované, přesné, časově omezené a bezpečné zpracování. Vyžaduje také odpovědnost, tedy schopnost organizace doložit soulad.

Výsledkem je problém správy a řízení. Sdílení zpravodajských informací o hrozbách musí být dostatečně rychlé, aby zlepšilo obranu, dostatečně řízené, aby obstálo před dohledovými orgány, a dostatečně disciplinované, aby se předešlo porušení ochrany soukromí a důvěrnosti.

ISO 27001 jako centrum compliance pro sdílení informací o hrozbách

ISO/IEC 27001:2022 se pro tuto výzvu dobře hodí, protože vychází z kontextu, zainteresovaných stran, rozsahu, rizika, vedení, provozního řízení, monitorování, interního auditu, přezkoumání vedením a neustálého zlepšování.

Kapitoly 4.1 až 4.4 vyžadují, aby organizace porozuměly interním a externím otázkám, určily zainteresované strany a jejich požadavky, definovaly rozsah ISMS a udržovaly systém řízení. U organizace spadající pod DORA nebo NIS2 mohou zainteresované strany zahrnovat příslušné orgány, CSIRT, zákazníky, poskytovatele ICT, ISAC, sektorové skupiny, zpracovatele, správce, pojistitele, interní audit a vedoucí orgány.

Kapitoly 5.1 až 5.3 vyžadují závazek vedení, směrování prostřednictvím politik, odpovědnost, zdroje a přiřazené odpovědnosti. To je důležité, protože sdílení zpravodajských informací o hrozbách selhává, pokud je ponecháno na neformálním technickém uvážení. Pokud analytik SOC, právník, DPO, CISO, vedoucí PR a vlastník společnosti vycházejí z odlišných předpokladů, organizace bude buď sdílet příliš mnoho, zablokuje se, nebo zareaguje příliš pozdě.

Kapitoly 6.1.1 až 6.1.3 převádějí regulační otázku na posouzení rizik, ošetření rizik, výběr bezpečnostních opatření, rozhodnutí v Prohlášení o aplikovatelnosti, plány ošetření rizik a přijetí zbytkového rizika. Typická rizika sdílení zpravodajských informací o hrozbách zahrnují:

  • Osobní údaje sdílené bez právního základu nebo minimalizace.
  • Důvěrné informace zákazníka zpřístupněné fóru.
  • Detaily zranitelnosti zveřejněné před dostupností zmírňujících opatření.
  • Indikátory přijaté a zpracované, ale nikdy nepřevedené do provozních opatření.
  • Účast v ISAC, která se nepromítá do reakce na incidenty, protokolování, řízení zranitelností nebo řízení dodavatelského rizika.
  • Nedostatek důkazů o tom, kdo schválil zpřístupnění a proč.
  • Riziko porušení pravidel hospodářské soutěže při sdílení obchodně citlivých tržních informací.
  • Nekonzistentní regulační a zákaznická komunikace během významného incidentu.

Kapitola 8.1 následně vyžaduje implementaci a řízení plánovaných procesů s dokumentovanými informacemi postačujícími k prokázání, že procesy fungovaly podle plánu. Kapitoly 9 a 10 vyžadují monitorování, měření, interní audit, přezkoumání vedením, řešení neshod, nápravná opatření a neustálé zlepšování. Stručně řečeno, ISO/IEC 27001:2022 mění sdílení zpravodajských informací o kybernetických hrozbách v auditovatelný provozní model.

Dvě opatření ISO, díky nimž sdílení funguje

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint zařazuje toto téma do fáze „Opatření v praxi“, krok 22: organizační opatření. Klíčová jsou dvě opatření ISO/IEC 27002:2022: 5.6 Kontakt se zájmovými skupinami a 5.7 Informace o hrozbách.

Zenith Blueprint jasně uvádí, že účast v ISAC není symbolický networking:

Účast v takových skupinách není symbolické gesto. Je to strategická investice do zpravodajských poznatků, spolupráce a sdílené odolnosti.

U opatření 5.6 mohou zájmové skupiny zahrnovat národní nebo sektorové sítě pro informace o kybernetických hrozbách, ISAC, regulační fóra, skupiny pro bezpečnostní oznámení dodavatelů, open-source komunity a akademické pracovní skupiny. Externí sdílení však musí být záměrné, zákonné a schválené. Zenith Blueprint doplňuje očekávání zralosti:

Zralé implementace ISMS považují účast v SIG za řízenou činnost, nikoli za neformální benefit.

To znamená vést registr skupin a fór, do nichž je organizace zapojena, určovat oficiální účastníky, pořizovat zápisy nebo shrnutí a začleňovat poznatky do interních přezkumů nebo aktualizací opatření.

Opatření 5.7 převádí externí informace na činnost. Zenith Blueprint uvádí:

Organizace se nemůže bránit proti tomu, čemu nerozumí.

Zároveň varuje před záměnou zdrojů informací o záplatách se zpravodajskými informacemi o hrozbách. Skutečné zpravodajské poznatky zahrnují profilování aktérů hrozeb, taktiky, techniky a postupy, indikátory kompromitace, sektorová varování, kontext zranitelností a strategický dopad na podnikání. Užitečné poznatky kombinují interní monitorování, externí partnerství, vztahy s CERT nebo ISAC, komerční zdroje a open-source zdroje, ale pouze tehdy, když je někdo přezkoumá, stanoví priority a převede je do činnosti.

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls posiluje hodnotu napříč požadavky na compliance. Mapuje opatření 5.6 jako preventivní a nápravné, podporující důvěrnost, integritu a dostupnost, přičemž primární provozní schopností je správa. Propojuje 5.6 s 5.7 Informace o hrozbách, 5.5 Kontakt s orgány, 5.31 Právní, zákonné, regulační a smluvní požadavky a 8.8 Řízení technických zranitelností. Opatření 5.7 mapuje jako preventivní, detekční a nápravné, napojené na Identify, Detect a Respond, s provozní schopností v oblasti řízení hrozeb a zranitelností.

Sdělení je jednoduché: zralý program sdílení zpravodajských informací o kybernetických hrozbách má dvě poloviny. Zaprvé řízené vztahy. Zadruhé řízené využití toho, co je přijato a sdíleno.

Praktický provozní model pro řízené sdílení

Obhajitelný provozní model pro rok 2026 musí odpovědět na šest otázek před sdílením prvního indikátoru.

Otázka správy a řízeníPraktická odpověďDůkazy očekávané auditory
Kdo se může účastnit?Jmenované role, schválená fóra, náhradní kontakty, limity pravomocíRegistr SIG a ISAC, záznamy o jmenování, popisy rolí
Co lze přijímat?Zprávy o hrozbách, IOC, TTP, bezpečnostní oznámení o zranitelnostech, sektorová upozorněníLog příjmu, klasifikace zdroje, pravidla nakládání
Co lze sdílet?Sanitizované indikátory, neatributivní vzorce, schválená bezpečnostní oznámení, fakta připravená pro regulační orgánZáznam o schválení zpřístupnění, přezkum minimalizace, schválení právním oddělením nebo DPO
Jak se poznatky používají?Pravidla SIEM, blokace EDR, prioritizace zranitelností, aktualizace registru rizik, změny playbookůTikety změn, detekční pravidla, aktualizace rizik, zápisy z jednání
Jak je chráněno soukromí?Minimalizace údajů, pseudonymizace, redigování, kontrola právního základu, limity uchováváníDPIA nebo přezkum ochrany soukromí, šablona sdílení, log uchovávání
Jak se přezkoumává účinnost?Metriky, stolní cvičení, zjištění auditu, přezkoumání vedenímKPI, poznatky získané z incidentů, zpráva interního auditu, nápravná opatření

Clarysec to obvykle implementuje jako odlehčený, ale formální pracovní postup:

  1. Přijmout a klasifikovat poznatky.
  2. Ověřit relevanci pro aktiva, dodavatele, služby, geografické oblasti a zákazníky.
  3. Převést poznatky do činnosti, například na pravidla monitorování, tikety zranitelností, upozornění uživatelům, dotazy na dodavatele nebo aktualizace rizik.
  4. Rozhodnout, zda je odchozí sdílení nezbytné, zákonné, bezpečné a povolené pravidly členství.
  5. Použít redigování, agregaci, pseudonymizaci nebo anonymizaci.
  6. Získat požadovaná schválení.
  7. Sdílet prostřednictvím schváleného kanálu.
  8. Zaznamenat, co bylo sdíleno, s kým, proč, kdy a na základě čí pravomoci.
  9. Přezkoumat výsledky a aktualizovat opatření.

Tím se předchází dvěma klasickým selháním: bezpečnostní tým obdrží užitečné poznatky, ale nic se nezmění, nebo bezpečnostní tým sdílí užitečné poznatky, ale vytvoří právní, smluvní nebo soukromoprávní expozici.

DORA Article 45: řízené sdílení bez ztráty důvěrnosti

U finančních subjektů musí být DORA Article 45 převeden do interního standardu pro sdílení zpravodajských informací o kybernetických hrozbách. Praktický výklad zahrnuje pět podmínek.

Zaprvé, účelem musí být odolnost. Sdílení má pomáhat předcházet kybernetickým hrozbám, detekovat je, reagovat na ně nebo se z nich zotavit. Nesmí sklouznout k cenám, seznamům zákazníků, tržní strategii nebo obchodně citlivým informacím.

Zadruhé, komunita musí být důvěryhodná. To znamená jasná pravidla členství, povinnosti zachování důvěrnosti, bezpečné komunikační kanály, řízení přístupu a omezení dalšího zpřístupnění. ISO/IEC 27010:2015 podporuje bezpečnou výměnu informací v důvěryhodných komunitách, včetně pravidel důvěrnosti, reciprocity a důvěryhodných komunikačních kanálů. ISO/IEC 27032:2023 podporuje sdílení informací o kybernetické bezpečnosti a situační povědomí. ISO/IEC 27035-2:2023 propojuje sdílení informací s plánováním reakce na incidenty, včetně účasti v CERT a oborových skupinách.

Zatřetí, citlivé informace musí být chráněny. Patří sem obchodní tajemství, architektonické diagramy, detaily zranitelností, přihlašovací údaje, identifikátory zákazníků a osobní údaje. Clarysec SME Politika klasifikace dat a označování Politika klasifikace dat a označování - SME uvádí:

Externí sdílení musí být výslovně autorizováno a zaprotokolováno.

Tato věta je principem opatření za pracovním postupem pro DORA Article 45. Organizace musí vědět, jaká klasifikace se uplatní, kdo schválil uvolnění informací a kde je uložen záznam.

Začtvrté, osobní údaje musí být minimalizovány. Podniková Politika ochrany dat a soukromí Politika ochrany dat a soukromí uvádí:

Shromažďována a zpracovávána mohou být pouze data nezbytná pro konkrétní legitimní obchodní účel.

Ekvivalent pro SME, Politika ochrany dat a soukromí - SME Politika ochrany dat a soukromí - SME, uvádí:

Shromažďovány a uchovávány musí být pouze minimální nezbytné osobní údaje.

To je důležité, protože zpravodajské informace o hrozbách často svádějí týmy ke kopírování surových logů do externích kanálů. Místo toho mají sdílet pouze to, co příjemce potřebuje, například škodlivou doménu, hash, časový rozsah, obecný vzorec nebo pseudonymizovanou referenci případu.

Zapáté, organizace musí uchovávat důkazy. DORA je postavena na dokumentovaném řízení rizik ICT, klasifikaci incidentů, hlášení, testování, řízení třetích stran a odpovědnosti vedení. Pokud sdílení ovlivní reakci na incidenty, scénář testu odolnosti nebo rozhodnutí o dodavatelském riziku, musí to být viditelné v záznamech ISMS.

Spolupráce podle NIS2: od právního rozsahu k provozním vztahům

NIS2 rozšiřuje diskusi za hranice finančních subjektů. Uplatní se podle odvětví, velikosti a kritičnosti a může se vztahovat bez ohledu na velikost také na určité subjekty, jako jsou poskytovatelé služeb vytvářejících důvěru, poskytovatelé služeb DNS, registry TLD, kritické subjekty a služby registrace doménových jmen.

Pro sdílení zpravodajských informací o hrozbách je hlavní lekcí správa a řízení. Article 20 činí vedoucí orgány odpovědnými za schvalování opatření k řízení kybernetických rizik a za dohled nad nimi. Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření. Article 23 vyžaduje postupné hlášení významných incidentů.

Sdílení zpravodajských informací o hrozbách se protíná se všemi těmito oblastmi. Pokud bezpečnostní oznámení ISAC ukazuje, že je zneužívána řízená služba dodavatele, stávají se relevantními očekávání Article 21 v oblasti dodavatelského řetězce. Pokud poznatky ukazují na probíhající významný incident, mohou být spuštěny pracovní postupy hlášení podle Article 23 a komunikace se zákazníky. Pokud může významná kybernetická hrozba ovlivnit příjemce služeb, organizace potřebuje řízený proces varování.

Zenith Blueprint se tomu věnuje ve fázi „Základy a vedení ISMS“, krok 5, komunikace, povědomí a kompetence. Doporučuje plánování externí komunikace, které identifikuje zákazníky, regulační orgány, partnery a veřejnost a následně definuje, co se komunikuje, kdy, kým a s jakým schválením. Uvádí praktický příklad postupu komunikace při incidentu, kdy CISO připraví oznámení, právní oddělení jej přezkoumá a CEO jej před odesláním schválí.

SME Politika reakce na incidenty Politika reakce na incidenty - SME uvádí:

Generální ředitel (GM) odpovídá za schvalování všech rozhodnutí o eskalaci incidentů, regulačních oznámení a externí komunikace.

Pro větší organizace stanovuje podniková Politika reakce na incidenty Politika reakce na incidenty důkazní základnu:

Všechny incidenty musí být zaznamenány v systému pro správu bezpečnostních incidentů (SIMS), včetně:

Když se zpravodajské informace o hrozbách stanou incidentem, varováním zákazníků, oznámením regulačnímu orgánu nebo externím bezpečnostním oznámením, nesmí zůstat pouze v e-mailech a chatovacích vláknech. Patří do systému řízení incidentů s klasifikací, opatřeními, schváleními, důkazy a získanými poznatky.

Zpřístupnění bezpečné z pohledu GDPR: sdílení poznatků, nikoli zbytečných osobních údajů

GDPR umožňuje bezpečnostní provoz, ale nevytváří volný prostor pro neřízené sdílení telemetrie. Mnoho artefaktů zpravodajských informací o hrozbách může obsahovat osobní údaje:

  • IP adresy spojené s uživatelskou aktivitou.
  • E-mailové adresy použité při phishingových pokusech.
  • Uživatelská jména, názvy zařízení, ID koncových bodů nebo ID tenantů zákazníků.
  • Autentizační logy.
  • Podpůrné tikety.
  • Snímky obrazovky.
  • Poznámky z vyšetřování podvodů.
  • Vzorky malwaru obsahující dokumenty nebo osobní soubory.
  • Zprávy o zranitelnostech zahrnující expozici zákaznických dat.

V modelu Clarysec prochází každé rozhodnutí o odchozím sdílení filtrem ochrany soukromí a důvěrnosti.

FiltrRozhodovací otázkaTypické kontrolní opatření
ÚčelJe sdílení nezbytné pro kybernetickou obranu, právní hlášení nebo koordinované zmírnění?Zaznamenat účel do logu sdílení
Právní základExistuje dokumentovaný právní základ nebo právní povinnost?Doplnit právní přezkum nebo přezkum DPO u osobních údajů
MinimalizaceLze stejného výsledku dosáhnout s menším počtem polí?Odstranit uživatelská jména, e-maily, poznámky v tiketech, jména zákazníků
PseudonymizaceLze identifikátory nahradit ID případu nebo tokeny?Uchovat mapování interně s omezeným přístupem
DůvěrnostOdhaluje obsah architekturu, detaily zranitelností nebo klientská tajemství?Klasifikovat jako důvěrné nebo vysoce důvěrné a omezit sdílení
UchováváníJak dlouho musí být sdílený záznam a důkazy o schválení uchovávány?Uplatnit pravidlo uchovávání a přezkum výmazu

V Zenith Controls je opatření ISO/IEC 27002:2022 5.34, Ochrana soukromí a ochrana PII, mapováno jako preventivní a propojené s klasifikací, evidencí aktiv, maskováním dat, cloudovou bezpečností, přenosem informací, řízením přístupu, správou identit a přezkumem projektů nebo změn. Mapuje se také na GDPR Articles 25 a 32 prostřednictvím ochrany osobních údajů již od návrhu, zabezpečení zpracování, šifrování, pseudonymizace, řízení přístupu a prokazatelné správy. Podpůrné normy zahrnují ISO/IEC 27701:2021 pro řízení informací o ochraně soukromí, ISO/IEC 27018:2019 pro ochranu PII ve veřejných cloudových prostředích zpracovatelů a ISO/IEC 29100:2011 pro zásady ochrany soukromí.

U sdílení zpravodajských informací o hrozbách se DPO a bezpečnostní tým nesmějí potkat poprvé až během krize. Musí předem schválit vzorce, šablony, pravidla redigování a prahové hodnoty pro eskalaci.

Praktický příklad: upozornění ISAC se stane odolností založenou na důkazech

Vraťme se k Mariině platební platformě. Bezpečnostní oznámení ISAC obsahuje škodlivé domény, podezřelé názvy aplikací OAuth, řetězce user-agent a poznámku, že několik členů pozorovalo pokusy o převzetí účtu proti uživatelům finančního provozu. Společnost ve vlastních logách nachází také tři podezřelé pokusy o přihlášení.

Takto by Clarysec operacionalizoval reakci s využitím ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls a sady politik.

KrokČinnostVlastníkDůkaz nebo vazba na opatření
1. Zalogovat příjemZaznamenat zdroj, datum, důvěryhodnost, aktiva, dotčenou technologii a omezení nakládáníAnalytik SOCLog příjmu zpravodajských informací o hrozbách, opatření ISO/IEC 27002:2022 5.7
2. KlasifikovatOznačit bezpečnostní oznámení jako Důvěrné nebo Vysoce důvěrné, pokud obsahuje citlivé údaje o členechVedoucí bezpečnostiZáznam klasifikace dat, pravidlo autorizace externího sdílení
3. Ověřit relevanciPrověřit produkční použití integrace identit, exponované uživatele, oprávnění OAuth, DNS, proxy, EDR a logy SIEMSOC a platformní týmPoznámky k triáži, důkazy z monitorování, přezkum zranitelností
4. Převést do činnostiPřidat detekce, přezkoumat oprávnění, v případě potřeby rotovat secrets, dotázat se dodavatele, aktualizovat registr rizikSOC, engineering, vlastník rizikaTikety pravidel SIEM, záznamy změn, eskalace dodavateli
5. Přezkoumat odchozí sdíleníOmezit surová zjištění na časové okno, vzorec, škodlivou doménu a typ dotčené roleCISO, právní oddělení, DPOSchválení zpřístupnění, posouzení minimalizace
6. Sdílet bezpečněOdeslat pouze schválené poznatky šifrovaným kanálem ISACCISO nebo delegovaná osobaLog sdílení, záznam kanálu, časové razítko schválení
7. ZlepšitReportovat metriky a získané poznatky při přezkoumání ISMSCISO a GRCZápis z přezkoumání vedením, nápravná opatření

Odchozí zpráva původně obsahuje časová razítka, zdrojové IP adresy, cílová uživatelská jména, ID tenantů zákazníků a snímky obrazovky. Po přezkumu DPO a právního oddělení je omezena na:

  • Časové okno v UTC.
  • Vzorec útoku.
  • Pozorovanou škodlivou doménu.
  • Obecný typ dotčené role, například uživatele finančního provozu.
  • Žádná uživatelská jména.
  • Žádná ID tenantů zákazníků.
  • Žádné snímky obrazovky.
  • Žádná jména zákazníků.
  • Žádné surové logy, pokud nejsou vyžádány řízeným kanálem.

Pokud se aktivita stane incidentem, převezmou řízení opatření Politiky reakce na incidenty. Pokud jsou shromažďovány forenzní artefakty, uplatní se Politika sběru důkazů a forenzního šetření - SME Politika sběru důkazů a forenzního šetření - SME:

Každá položka digitálních důkazů musí být zalogována s:

Politika interně pokračuje požadavky na metadata důkazů, ale auditní princip je jasný: každý artefakt použitý pro vyšetřování, sdílení, hlášení regulačnímu orgánu nebo komunikaci se zákazníky potřebuje dohledatelnost.

Oznamování zranitelností není totéž jako sdílení informací o hrozbách

Častou chybou je považovat oznamování zranitelností, oznamování incidentů a sdílení zpravodajských informací o hrozbách za stejný proces. Překrývají se, ale nejsou totožné.

Sdílení zpravodajských informací o hrozbách může zahrnovat indikátory, taktiky, sektorová varování, chování protivníka, zmírnění nebo pozorované pokusy. Koordinované oznamování zranitelností se týká konkrétní slabiny v produktu nebo službě, často s oznamovatelem, harmonogramem opravy, bezpečnostním oznámením a rozhodnutím o veřejném zpřístupnění. Oznamování incidentů zahrnuje regulační nebo smluvní hlášení události, která ovlivňuje služby, data nebo zákazníky.

Clarysec tyto pracovní postupy odděluje a zároveň je propojuje prostřednictvím ISMS. Podniková Politika koordinovaného oznamování zranitelností Politika koordinovaného oznamování zranitelností uvádí:

Koordinace a zpřístupnění: Organizace koordinuje veřejné zpřístupnění s oznamovatelem. Ve výchozím nastavení nesmí být žádné detaily zranitelnosti zveřejněny, dokud není dostupná oprava nebo zmírnění, případně dokud na nich alespoň neprobíhají práce. U kritických problémů, u nichž nelze opravu dodat rychle, může organizace vydat bezpečnostní oznámení s návodem na náhradní opatření k varování uživatelů, po konzultaci s příslušnými orgány, pokud je vyžadována. Od oznamovatele se očekává, že se zdrží veřejného zpřístupnění, dokud organizace neposkytne souhlas nebo nezveřejní bezpečnostní oznámení. Obecně organizace usiluje o zveřejnění bezpečnostního oznámení do 90 dnů od přijetí hlášení, případně v jiné vzájemně dohodnuté lhůtě v souladu s oborovou praxí, včetně uvedení oznamovatele, pokud k tomu byl poskytnut souhlas.

Stejná politika dále uvádí:

Důvěrnost: Do veřejného zpřístupnění musí být veškeré informace týkající se nahlášené zranitelnosti považovány za Vysoce důvěrné. Detaily se interně sdílejí pouze na základě principu potřeby znát s personálem, který je nezbytný pro ověření nebo nápravu problému. Identita oznamovatele musí být zachována v důvěrnosti, pokud o to požádá. Veškerá komunikace s oznamovatelem má být šifrována, včetně použití PGP klíče organizace, aby byly chráněny citlivé detaily zranitelnosti.

To je zásadní pro DORA Article 45 a spolupráci podle NIS2. Důvěryhodná komunita může být správným místem pro sdílení zmírnění nebo indikátorů na vysoké úrovni, ale ne nutně pro detaily exploitů, zákaznicky specifická data nebo informace o nezáplatovaných zranitelnostech.

Externí komunikace vyžaduje stejnou disciplínu. Podniková Politika sociálních médií a externí komunikace Politika sociálních médií a externí komunikace přiřazuje odpovědnost za přezkum obsahu, aby byl zajištěn soulad s právními předpisy upravujícími důvěrnost, interní neveřejná sdělení, duševní vlastnictví a pomluvu. To je důležité, když se technické bezpečnostní oznámení mění na veřejné prohlášení, oznámení zákazníkům, aktualizaci webu nebo sdělení pro regulační orgán.

Mapování napříč požadavky: jeden pracovní postup, mnoho povinností

Silný pracovní postup sdílení zpravodajských informací o kybernetických hrozbách musí splnit požadavky více rámců, aniž by vytvářel duplicitní procesy.

RámecCo očekáváJak to mapuje Clarysec
ISO/IEC 27001:2022Kontext, vedení, ošetření rizik, provozní řízení, dokumentované důkazy, monitorování, audit, neustálé zlepšováníRozsah ISMS, registr rizik, Prohlášení o aplikovatelnosti, komunikační plán, interní audit, přezkoumání vedením
Opatření ISO/IEC 27002:2022 5.6 a 5.7Řízený kontakt se zájmovými skupinami a využitelné informace o hrozbáchRegistr SIG, příjem zpravodajských informací o hrozbách, analytický pracovní postup, aktualizace detekcí, schvalování sdílení
DORA Article 45Důvěryhodné sdílení informací o kybernetických hrozbách chránící důvěrnost, osobní údaje, obchodní tajemství, duševní vlastnictví a hranice hospodářské soutěžeSchválené komunity, podmínky zpřístupnění, právní přezkum a přezkum DPO, bezpečné kanály, logy důkazů
NIS2 Articles 20, 21 a 23Dohled vedoucích orgánů, opatření řízení kybernetických rizik, spolupráce, zvládání incidentů, zabezpečení dodavatelského řetězce, řízení zranitelností, postupné hlášeníReporting vedoucím orgánům, komunikace při incidentech, eskalace dodavatelům, seznam kontaktů CSIRT, aktualizace rizik řízené hrozbami
GDPR Articles 5, 6, 25 a 32Zákonné, minimalizované, účelově omezené, bezpečné a odpovědné zpracování osobních údajůFiltr ochrany soukromí, redigování, pseudonymizace, pravidla uchovávání, přezkum DPO, log sdílení
NIST CSF 2.0Výsledky GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND a RECOVER s právními povinnostmi a komunikačními kanályProfil organizace, současný a cílový stav, zlepšení detekce a reakce, komunikace s externími zainteresovanými stranami
COBIT 2019Monitorovat externí požadavky, řídit bezpečnostní hrozby, vyhodnocovat účinnost kontrol, řídit soukromíMonitorování compliance, metriky hrozeb, reporting správy a řízení, sladění programu ochrany soukromí

NIST CSF 2.0 je užitečný jako neutrální organizační vrstva, protože jeho funkce GOVERN se zabývá zainteresovanými stranami, právními povinnostmi, závislostmi, ochotou podstupovat riziko, rolemi, politikami a dohledem. Funkce DETECT a RESPOND očekávají monitorování, integraci zpravodajských informací o hrozbách, vyhlášení incidentu, uchování důkazů, oznamování a externí komunikaci.

COBIT 2019 doplňuje odpovědnost vedení. Praktiky jako DSS05.04 Manage security threats, APO12 Manage risk, MEA03 Managed compliance with external requirements a APO13 Managed security pomáhají auditorům ověřit, zda zpravodajské poznatky zlepšují výkonnost kontrol a reporting správy a řízení.

Jak auditoři otestují váš program sdílení

Auditor ISO/IEC 27001:2022 začne u systému řízení. Bude se ptát, jak byly podle kapitol 4.1 a 4.2 identifikovány právní, regulační, smluvní požadavky a požadavky zainteresovaných stran. Ověří, zda je sdílení informací o hrozbách v rozsahu, zda byla posouzena rizika, zda jsou opatření 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 a 8.16 zahrnuta nebo zdůvodněna v Prohlášení o aplikovatelnosti a zda důkazy ukazují, že proces fungoval podle plánu.

Auditor nebo dohledový orgán zaměřený na DORA bude hledat správu a řízení, odpovědnost vedoucích orgánů, integraci rizik ICT, klasifikaci incidentů, testování odolnosti, dopady na třetí strany a podmínky Article 45. Bude se ptát, zda je účast v ujednáních pro sdílení informací dokumentována, zda jsou chráněna citlivá data a osobní údaje, zda poznatky aktualizují rámec řízení rizik ICT a zda ovlivňují testovací scénáře.

Přezkoumávající osoba orientovaná na NIS2 se zaměří na dohled vedoucích orgánů, opatření Article 21, zvládání incidentů, závislosti na dodavatelích, řízení zranitelností, komunikaci se zákazníky nebo příjemci služeb a spolupráci s CSIRT nebo příslušnými orgány. Otestuje, zda jsou informace o hrozbách propojeny s posouzením významného incidentu a postupným hlášením.

Auditor ochrany soukromí se zaměří na zásady GDPR. Bude se ptát, zda sdílená data byla osobními údaji, jaký právní základ se uplatnil, zda byla provedena minimalizace, zda byla možná pseudonymizace nebo redigování, zda bylo řízeno uchovávání a zda organizace dokáže doložit odpovědnost.

Dobré důkazy zahrnují:

  • Schválený registr ISAC nebo SIG.
  • Jmenované účastníky a zástupce.
  • Podmínky členství a povinnosti zachování důvěrnosti.
  • Log příjmu zpravodajských informací o hrozbách.
  • Posouzení triáže a relevance.
  • Tikety detekčního inženýrství.
  • Změny prioritizace zranitelností.
  • Eskalace dodavatelského rizika.
  • Záznamy o schválení zpřístupnění.
  • Poznámky DPO nebo přezkumu ochrany soukromí.
  • Redigované odchozí zprávy.
  • Záznamy o incidentech v SIMS.
  • Logy řetězce svěření důkazů.
  • Zápisy z přezkoumání vedením.
  • Zjištění interního auditu a nápravná opatření.

Častá úskalí, která Clarysec vidí v praxi

Nejčastějším selháním je neformální účast. Bezpečnostní inženýr se připojí k soukromému fóru, získá užitečné poznatky a sdílí interní pozorování bez formální autorizace. Záměr je dobrý, ale důkazní stopa je slabá a riziko důvěrnosti vysoké.

Druhým selháním je pasivní konzumace. Organizace odebírá feedy, účastní se hovorů ISAC a přeposílá bezpečnostní oznámení, ale nikdo nedokáže ukázat, jak poznatky změnily opatření. Zpravodajské informace o hrozbách musí aktualizovat detekční logiku, priority záplat, playbooky, registry rizik, přezkumy dodavatelů, kampaně na zvyšování povědomí nebo testy odolnosti.

Třetím selháním je sdílení surových logů. Týmy odesílají snímky obrazovky, exporty SIEM, e-mailové hlavičky nebo záznamy paketů externě bez minimalizace. To může odhalit osobní údaje, identifikátory zákazníků, interní názvy hostitelů, tokeny nebo důvěrnou architekturu.

Čtvrtým selháním je záměna public relations za regulovanou komunikaci. Příspěvek na LinkedIn o trendu útoků není totéž jako varování zákazníků, oznámení regulačnímu orgánu, aktualizace CSIRT nebo koordinované bezpečnostní oznámení. Clarysec tyto kanály odděluje, přiřazuje vlastníky schválení a vyžaduje záznamy.

Pátým selháním je ignorování dodavatelů. Mnoho upozornění na hrozby se týká softwaru třetích stran, cloudových platforem, poskytovatelů řízených služeb nebo integrací identit. Podle DORA, NIS2, NIST CSF, COBIT 2019 a dodavatelských opatření ISO/IEC 27002:2022 musí informace o hrozbách vstupovat do řízení dodavatelských rizik.

Vytvořte svůj balíček pro sdílení informací o hrozbách pro rok 2026

Většina organizací nepotřebuje těžkopádnou samostatnou byrokracii. Potřebuje kompaktní balíček správy a řízení, který funguje během skutečného incidentu. Clarysec doporučuje:

  • Postup sdílení informací o hrozbách.
  • Registr schválených komunit pro sdílení.
  • Formulář příjmu a triáže informací o hrozbách.
  • Formulář schválení odchozího zpřístupnění.
  • Kontrolní seznam přezkumu ochrany soukromí a důvěrnosti.
  • Matici externí komunikace.
  • Šablonu shrnutí jednání ISAC.
  • Pravidla vazby důkazů a incidentů.
  • Řídicí panel metrik.
  • Plán testování interního auditu.

Postup musí odkazovat na kapitoly ISO/IEC 27001:2022 týkající se řízení rizik, komunikace, provozního řízení, hodnocení výkonnosti, interního auditu a neustálého zlepšování. Musí mapovat na opatření ISO/IEC 27002:2022 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 a relevantní dodavatelská opatření. Musí také odkazovat na DORA Article 45, spolupráci a povinnosti komunikace při incidentech podle NIS2 a zásady GDPR.

Především musí být použitelný pod tlakem. Pokud proces vyžaduje schůzku 12 osob před sdílením škodlivé domény s důvěryhodným ISAC, selže. Pokud umožňuje vkládat surové zákaznické logy do komunitního portálu, selže také. Cílem je řízená rychlost.

Proměňte sdílení informací o hrozbách v odolnost založenou na důkazech

Sdílení zpravodajských informací o kybernetických hrozbách v roce 2026 není jen odznakem bezpečnostní vyspělosti. U finančních subjektů je navázáno na DORA Article 45 a digitální provozní odolnost. U základních a důležitých subjektů podporuje spolupráci podle NIS2, zvládání incidentů, reakci na zranitelnosti, bezpečnost dodavatelů a varování příjemců služeb. U jakékoli organizace zpracovávající osobní údaje v EU musí být bezpečné z pohledu GDPR již od návrhu.

Clarysec pomáhá organizacím vybudovat tento provozní model, aniž by zpomaloval obránce. Propojujeme Zenith Blueprint Zenith Blueprint, sadu politik a Zenith Controls Zenith Controls do funkčního procesu ISMS: schválené komunity, jasné role, zpřístupnění bezpečné z pohledu soukromí, vazby na incidenty, důkazní záznamy, připravenost na audit a mapování napříč rámci.

Pokud se vaše organizace účastní ISAC, přijímá kybernetická bezpečnostní oznámení, sdílí indikátory s partnery, hlásí orgánům nebo řeší oznamování zranitelností, nyní je čas pracovní postup formalizovat. Začněte hodinovým přezkumem svých současných ujednání pro sdílení a poté je namapujte na ISO/IEC 27001:2022, DORA Article 45, NIS2 a GDPR.

Clarysec vám může pomoci vytvořit registr, ustanovení politik, schvalovací šablony, model auditních důkazů a reportingový balíček pro vedení potřebný k tomu, aby sdílení zpravodajských informací o kybernetických hrozbách bylo rychlé, zákonné a obhajitelné.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Auditní důkazy ISO 27001 pro NIS2 a DORA

Auditní důkazy ISO 27001 pro NIS2 a DORA

Zjistěte, jak využít interní audit a přezkoumání vedením podle ISO/IEC 27001:2022 jako jednotný důkazní mechanismus pro NIS2, DORA, GDPR, dodavatelské riziko, ujištění zákazníků a odpovědnost vedoucích orgánů.

Bezpečnostní spis produktu podle CRA 2026 s ISO 27001

Bezpečnostní spis produktu podle CRA 2026 s ISO 27001

Praktický plán pro vytvoření bezpečnostního spisu produktu podle CRA s využitím ISO/IEC 27001:2022, správy SBOM, koordinovaného oznamování zranitelností, dodavatelských důkazů a monitorování po uvedení na trh.