Πεδίο εφαρμογής ΣΔΑΠ ISO 27001 για NIS2, DORA και GDPR

Η Maria, CISO σε μια ταχέως αναπτυσσόμενη ευρωπαϊκή fintech, θεωρούσε ότι ο έλεγχος επιτήρησης ISO 27001 ήταν υπό έλεγχο.

Το πιστοποιητικό ήταν πρόσφατο. Η Δήλωση Εφαρμοσιμότητας έδειχνε ώριμη. Η δήλωση πεδίου εφαρμογής κάλυπτε «το εταιρικό Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών που υποστηρίζει τις λειτουργίες της πλατφόρμας SaaS». Το περιβάλλον παραγωγής στο νέφος ήταν τεκμηριωμένο. Η διαδικασία απόκρισης σε περιστατικά υπήρχε. Το Μητρώο Κινδύνων είχε ιδιοκτήτες, ημερομηνίες και βαθμολογίες υπολειπόμενου κινδύνου.

Στη συνέχεια, ο ελεγκτής έθεσε ένα απλό ερώτημα:

«Ποια τμήματα αυτής της πλατφόρμας SaaS εμπίπτουν επίσης στο πεδίο της καταχώρισης NIS2, ποιες υπηρεσίες εξωτερικής ανάθεσης υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες DORA για τους χρηματοπιστωτικούς πελάτες σας και πού ακριβώς γίνεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά GDPR;»

Η αίθουσα σιώπησε.

Το Νομικό Τμήμα άνοιξε ένα υπολογιστικό φύλλο με κανονιστικές υποχρεώσεις. Η ομάδα Προϊόντος άνοιξε ένα διάγραμμα αρχιτεκτονικής. Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) άνοιξε τα αρχεία δραστηριοτήτων επεξεργασίας. Οι Προμήθειες άνοιξαν τον κατάλογο προμηθευτών. Οι Λειτουργίες άνοιξαν το σχέδιο ανάκαμψης από καταστροφή. Κανένα από αυτά δεν συμφωνούσε με τα υπόλοιπα.

Το πεδίο εφαρμογής του ΣΔΑΠ έγραφε «πλατφόρμα SaaS». Η αξιολόγηση NIS2 είχε εντοπίσει υπηρεσίες ψηφιακής υποδομής σε αρκετά κράτη μέλη. Οι συμβάσεις πελατών περιέγραφαν την πλατφόρμα ως υποστηρικτική ρυθμιζόμενων χρηματοπιστωτικών λειτουργιών. Τα αρχεία GDPR περιλάμβαναν δεδομένα ταυτότητας, τηλεμετρία, διευθύνσεις IP, μεταδεδομένα πληρωμών, αιτήματα υποστήριξης και αναλυτική επεξεργασία μέσω υπεργολάβων. Το σχέδιο ανάκαμψης από καταστροφή κάλυπτε την παραγωγή, αλλά όχι την πλατφόρμα υποστήριξης πελατών που χρησιμοποιείται για επικοινωνίες σχετικά με παραβιάσεις. Η δέουσα επιμέλεια προμηθευτών κάλυπτε τον πάροχο φιλοξενίας, αλλά όχι τη διαχειριζόμενη υπηρεσία ανίχνευσης που ήταν συνδεδεμένη με τα αρχεία καταγραφής παραγωγής.

Αυτό είναι το πρόβλημα οριοθέτησης του ΣΔΑΠ για το 2026. Η πιστοποίηση ISO 27001 παραμένει πολύτιμη, αλλά ένα στενό «ελάχιστο βιώσιμο πεδίο εφαρμογής» μπορεί να γίνει πηγή έκθεσης όταν εποπτικές αρχές, πελάτες και ελεγκτές αναμένουν από το ίδιο σύστημα διαχείρισης να εξηγεί τις βασικές υπηρεσίες NIS2, τις κρίσιμες ή σημαντικές λειτουργίες DORA και τα όρια επεξεργασίας GDPR.

Για ISO/IEC 27001:2022, NIS2, DORA και GDPR, το αδύναμο πεδίο εφαρμογής δεν είναι διοικητική ατέλεια. Είναι το πρώτο ντόμινο. Αν το πεδίο εφαρμογής είναι λανθασμένο, η αξιολόγηση κινδύνων είναι ελλιπής, η Δήλωση Εφαρμοσιμότητας (SoA) είναι παραπλανητική, οι έλεγχοι προμηθευτών χάνουν κρίσιμους παρόχους, τα χρονικά όρια αναφοράς περιστατικών γίνονται αβέβαια και η λογοδοσία για την ιδιωτικότητα κατακερματίζεται μεταξύ ομάδων.

Γιατί το πεδίο εφαρμογής του ΣΔΑΠ ISO 27001 είναι πλέον κανονιστικό όριο

Η Ρήτρα 4.3 του ISO/IEC 27001:2022 απαιτεί από έναν οργανισμό να προσδιορίζει τα όρια και την εφαρμοσιμότητα του ΣΔΑΠ, λαμβάνοντας υπόψη εσωτερικά και εξωτερικά ζητήματα, απαιτήσεις ενδιαφερόμενων μερών, καθώς και διεπαφές και εξαρτήσεις με άλλους οργανισμούς ISO/IEC 27001:2022.

Αυτή η διατύπωση έχει μεγαλύτερη σημασία το 2026 από ό,τι σε προηγούμενους κύκλους πιστοποίησης. NIS2, DORA, GDPR, εξωτερική ανάθεση υπηρεσιών νέφους, συμβάσεις πελατών, υπηρεσίες τεχνολογίας ομίλου και πάροχοι διαχειριζόμενων υπηρεσιών δεν είναι δευτερεύουσες σημειώσεις. Αποτελούν εισροές για το όριο του ΣΔΑΠ.

Το NIS2 αυξάνει τη βαρύτητα της διακυβέρνησης για βασικές και σημαντικές οντότητες. Απαιτεί από τα διοικητικά όργανα να εγκρίνουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύουν την εφαρμογή τους και να λαμβάνουν εκπαίδευση. Το NIS2 Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, συμπεριλαμβανομένων της ανάλυσης κινδύνων, του χειρισμού περιστατικών, της επιχειρησιακής συνέχειας, της ασφάλειας της εφοδιαστικής αλυσίδας, της ασφαλούς απόκτησης και ανάπτυξης, της αξιολόγησης αποτελεσματικότητας, της κυβερνοϋγιεινής, της κρυπτογραφίας, της ασφάλειας ανθρώπινου δυναμικού, του ελέγχου πρόσβασης, της διαχείρισης περιουσιακών στοιχείων και της πολυπαραγοντικής αυθεντικοποίησης όπου ενδείκνυται.

Το DORA αλλάζει τη συζήτηση για το πεδίο εφαρμογής στις χρηματοπιστωτικές οντότητες. Εφαρμόζεται από τις 17 Ιανουαρίου 2025 και θεσπίζει ενιαίες απαιτήσεις για τη διαχείριση κινδύνων ΤΠΕ, την αναφορά περιστατικών σχετιζόμενων με ΤΠΕ, τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, την ανταλλαγή πληροφοριών και τη διαχείριση κινδύνων τρίτων παρόχων υπηρεσιών ΤΠΕ. Το DORA Article 6 απαιτεί τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ. Το DORA Article 8 απαιτεί αναγνώριση, ταξινόμηση και τεκμηρίωση επιχειρησιακών λειτουργιών που υποστηρίζονται από ΤΠΕ, πληροφοριακών περιουσιακών στοιχείων και περιουσιακών στοιχείων ΤΠΕ, συμπεριλαμβανομένων των εξαρτήσεων. Το DORA Article 28 απαιτεί διαχείριση κινδύνων τρίτων παρόχων υπηρεσιών ΤΠΕ.

Το GDPR προσθέτει τον άξονα των δεδομένων προσωπικού χαρακτήρα. Εφαρμόζεται στην αυτοματοποιημένη ή δομημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της επεξεργασίας από εγκαταστάσεις της ΕΕ και από ορισμένους εκτός ΕΕ υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία που προσφέρουν αγαθά ή υπηρεσίες σε πρόσωπα στην Ένωση ή παρακολουθούν τη συμπεριφορά τους. Το GDPR Article 30 απαιτεί αρχεία δραστηριοτήτων επεξεργασίας, το GDPR Article 32 απαιτεί ασφάλεια της επεξεργασίας και το GDPR Article 33 θέτει προσδοκίες για τα χρονοδιαγράμματα κοινοποίησης παραβιάσεων.

Επομένως, ένα τεκμηριώσιμο πεδίο εφαρμογής ΣΔΑΠ δεν γράφεται γύρω από τμήματα. Γράφεται γύρω από ρυθμιζόμενες υπηρεσίες, κρίσιμες ή σημαντικές λειτουργίες, επεξεργασία δεδομένων προσωπικού χαρακτήρα, υποστηρικτικά περιουσιακά στοιχεία και εξαρτήσεις από τρίτα μέρη.

Το λάθος: αντιμετώπιση ISO 27001, NIS2, DORA και GDPR ως ξεχωριστών προγραμμάτων

Σε πολλούς οργανισμούς εμφανίζεται ένα κοινό μοτίβο:

• Η ομάδα ασφάλειας συντάσσει το πεδίο εφαρμογής ISO 27001.
• Το Νομικό Τμήμα αξιολογεί την εφαρμοσιμότητα του NIS2.
• Η ομάδα κινδύνων ή συμμόρφωσης διαχειρίζεται τις υποχρεώσεις DORA.
• Η ομάδα ιδιωτικότητας τηρεί τα αρχεία δραστηριοτήτων επεξεργασίας GDPR.
• Οι Προμήθειες έχουν την ιδιοκτησία του καταλόγου προμηθευτών.
• Οι Λειτουργίες έχουν την ιδιοκτησία της επιχειρησιακής συνέχειας και της ανάκαμψης από καταστροφή.

Κάθε ομάδα μπορεί να εκτελεί εύλογο έργο. Το πρόβλημα είναι ότι η ρυθμιζόμενη πραγματικότητα διαπερνά όλες αυτές τις λειτουργίες.

Μια υπηρεσία ταυτότητας πελατών που φιλοξενείται σε περιβάλλον νέφους μπορεί ταυτόχρονα να υποστηρίζει την παροχή υπηρεσιών NIS2, λειτουργίες πελατών που υπόκεινται σε DORA και επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά GDPR. Ένας πάροχος διαχειριζόμενης ανίχνευσης μπορεί να είναι προμηθευτής ασφάλειας, εξάρτηση απόκρισης σε περιστατικά, εκτελών την επεξεργασία ή υπεργολάβος επεξεργασίας δεδομένων καταγραφής και κρίσιμη εισροή για αποφάσεις κανονιστικής κοινοποίησης. Μια πλατφόρμα υποστήριξης μπορεί να θεωρείται «μη παραγωγική», ενώ εξακολουθεί να διαχειρίζεται επικοινωνίες για παραβίαση δεδομένων προσωπικού χαρακτήρα και αιτήματα τεκμηρίων από πελάτες.

Το ΣΔΑΠ είναι το καταλληλότερο σημείο για την ενοποίηση αυτών των υποχρεώσεων, επειδή το ISO 27001 επιβάλλει ένα πειθαρχημένο ερώτημα: τι βρίσκεται εντός ορίου, τι εκτός και γιατί;

Το Zenith Blueprint: An Auditor’s 30-Step Roadmap της Clarysec Zenith Blueprint αντιμετωπίζει το ζήτημα αυτό στη φάση Θεμελίωση και Ηγεσία ΣΔΑΠ, Βήμα 2: Ανάγκες ενδιαφερόμενων μερών και πεδίο εφαρμογής ΣΔΑΠ:

«Με το πλαίσιο κατανοητό και τις απαιτήσεις των ενδιαφερόμενων μερών προσδιορισμένες, η Ρήτρα 4.3 σας ζητά να καθορίσετε τα όρια και την εφαρμοσιμότητα του ΣΔΑΠ ώστε να ορίσετε το πεδίο εφαρμογής του. Το πεδίο εφαρμογής του ΣΔΑΠ είναι ένας κρίσιμος ορισμός που καθορίζει τι περιλαμβάνεται στο πρόγραμμα διαχείρισης ασφάλειάς σας και τι όχι.»

Το Zenith Blueprint επισημαίνει επίσης ένα σημείο που πολλές δηλώσεις πεδίου εφαρμογής εξακολουθούν να παραλείπουν:

«Αν αναθέτετε την υποδομή πληροφορικής σας σε πάροχο νέφους, αυτό δεν την εξαιρεί από το πεδίο εφαρμογής· αντίθετα, συμπεριλαμβάνετε τη διαχείριση αυτής της σχέσης και τα περιουσιακά στοιχεία νέφους ως μέρος του πεδίου εφαρμογής.»

Η εξωτερική ανάθεση μεταφέρει την εκτέλεση. Δεν καταργεί τη λογοδοσία.

Το μοντέλο τεσσάρων ορίων για το πεδίο εφαρμογής ISO 27001 το 2026

Για οργανισμούς που επηρεάζονται από NIS2, DORA και GDPR, η Clarysec συνιστά τον ορισμό του πεδίου εφαρμογής του ΣΔΑΠ ISO 27001 μέσω τεσσάρων συνδεδεμένων ορίων.

Μια αδύναμη δήλωση πεδίου εφαρμογής αναφέρει μόνο «την πλατφόρμα SaaS». Μια ισχυρότερη δήλωση αναφέρει ποιες επιχειρησιακές υπηρεσίες, συστήματα, περιβάλλοντα, τοποθεσίες, δραστηριότητες επεξεργασίας δεδομένων, ομάδες προσωπικού, σχέσεις προμηθευτών και διαδικασίες διαχείρισης περιλαμβάνονται.

Μια πιο τεκμηριώσιμη εκδοχή θα μπορούσε να είναι η εξής:

«Το ΣΔΑΠ καλύπτει τη διακυβέρνηση, τη διαχείριση κινδύνων, τη λειτουργία και τη συνεχή βελτίωση της ασφάλειας πληροφοριών για την πλατφόρμα SaaS ανάλυσης πληρωμών της εταιρείας στην ΕΕ, συμπεριλαμβανομένων των περιβαλλόντων νέφους παραγωγής και μη παραγωγικής λειτουργίας, των υπηρεσιών ταυτότητας πελατών, των διαχειριστικών διεπαφών, των λειτουργιών υποστήριξης, των πλατφορμών καταγραφής και παρακολούθησης, της απόκρισης σε περιστατικά, της επιχειρησιακής συνέχειας, της διαχείρισης προμηθευτών και όλων των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα που υποστηρίζουν την υπηρεσία. Το ΣΔΑΠ περιλαμβάνει τη διαχείριση της εξωτερικής ανάθεσης φιλοξενίας σε περιβάλλον νέφους, της διαχειριζόμενης ανίχνευσης και των εργαλείων υποστήριξης πελατών που χρησιμοποιούνται για παροχή υπηρεσιών, ανθεκτικότητα, παρακολούθηση ασφάλειας ή επικοινωνίες σχετιζόμενες με GDPR.»

Το πεδίο αυτό δεν είναι απλώς μεγαλύτερο. Είναι περισσότερο ελέγξιμο, επειδή συνδέει υπηρεσίες, περιουσιακά στοιχεία, επεξεργασία και εξαρτήσεις.

Πώς οι πολιτικές Clarysec μετατρέπουν το πεδίο εφαρμογής σε γλώσσα διακυβέρνησης

Το πεδίο εφαρμογής δεν πρέπει να παραμένει σε αυτόνομο έγγραφο. Πρέπει να ευθυγραμμίζεται με την πολιτική ασφάλειας πληροφοριών, τη νομική και κανονιστική συμμόρφωση, τη διαχείριση κινδύνων, την ιδιωτικότητα, τη διακυβέρνηση προμηθευτών, τα κριτήρια ελέγχου και τον σχεδιασμό συνέχειας.

Η Enterprise Πολιτική Ασφάλειας Πληροφοριών Πολιτική Ασφάλειας Πληροφοριών αποτρέπει την ασάφεια γύρω από τις εξαιρέσεις:

«Τυχόν εξαιρέσεις ή περιορισμοί σε αυτό το πεδίο εφαρμογής τεκμηριώνονται στη Δήλωση πεδίου εφαρμογής ΣΔΑΠ και αιτιολογούνται με επίσημη έγκριση από την Ανώτατη Διοίκηση.»

Η ρήτρα αυτή έχει σημασία όταν μια επιχειρησιακή μονάδα υποστηρίζει ότι η υποστήριξη πελατών είναι εκτός πλατφόρμας, παρότι οι εκπρόσωποι υποστήριξης έχουν πρόσβαση σε αναγνωριστικά πελατών και χειρίζονται επικοινωνίες παραβίασης. Η εξαίρεση είναι δυνατή μόνο εφόσον είναι τεκμηριωμένη, αιτιολογημένη και εγκεκριμένη.

Η Enterprise Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης καθιστά τη νομική χαρτογράφηση επιχειρησιακή:

«Όλες οι νομικές και κανονιστικές υποχρεώσεις πρέπει να χαρτογραφούνται σε συγκεκριμένες πολιτικές, μέτρα ελέγχου και ιδιοκτήτες εντός του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ).»

Αυτή είναι η γέφυρα μεταξύ νομικής εφαρμοσιμότητας και Δήλωσης Εφαρμοσιμότητας. Το NIS2 Article 21 δεν πρέπει να παραμένει σε νομικό σημείωμα. Οι υποχρεώσεις τρίτων παρόχων υπηρεσιών ΤΠΕ του DORA δεν πρέπει να παραμένουν μόνο σε οδηγίες προμηθειών. Οι υποχρεώσεις GDPR Article 30 και Article 32 δεν πρέπει να βρίσκονται μόνο στο μητρώο ιδιωτικότητας. Χρειάζονται χαρτογραφημένους ιδιοκτήτες, μέτρα ελέγχου και τεκμήρια.

Η Enterprise Πολιτική Διαχείρισης Κινδύνων Πολιτική Διαχείρισης Κινδύνων επεκτείνει το πεδίο εφαρμογής στα τρίτα μέρη:

«Η παρούσα πολιτική εφαρμόζεται σε όλες τις οργανωτικές μονάδες, επιχειρησιακές διαδικασίες, συστήματα, προσωπικό και συνεργασίες με τρίτα μέρη που εμπλέκονται στον χειρισμό, την ανάπτυξη, την αποθήκευση ή τη διαχείριση πληροφοριακών περιουσιακών στοιχείων.»

Η διατύπωση αυτή ευθυγραμμίζεται με την ασφάλεια εφοδιαστικής αλυσίδας NIS2, τον κίνδυνο τρίτων παρόχων υπηρεσιών ΤΠΕ DORA και τη λογοδοσία υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία κατά GDPR.

Η Enterprise Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας αγκυρώνει το πεδίο ιδιωτικότητας στην επεξεργασία:

«Η παρούσα πολιτική εφαρμόζεται σε όλες τις οργανωτικές μονάδες, το προσωπικό και τα συστήματα που εμπλέκονται στην επεξεργασία προσωπικών πληροφοριών (PII), συμπεριλαμβανομένων:»

Η αρχή είναι καθοριστική. Αν ένα σύστημα επεξεργάζεται PII, δεν μπορεί να είναι αόρατο για το ΣΔΑΠ επειδή είναι «μόνο υποστήριξη», «μη παραγωγικό» ή «ανήκει στο marketing».

Η Enterprise Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή συνδέει το πεδίο εφαρμογής με τα αποτελέσματα της BIA:

«Η παρούσα πολιτική εφαρμόζεται σε όλες τις οργανωτικές μονάδες, τα πληροφοριακά συστήματα, τις επιχειρησιακές διαδικασίες, το προσωπικό και τις υπηρεσίες τρίτων μερών που ταξινομούνται ως κρίσιμες ή βασικές βάσει των αποτελεσμάτων της Ανάλυσης Επιχειρησιακού Αντικτύπου (BIA).»

Η ρήτρα αυτή ευθυγραμμίζεται φυσικά με τις κρίσιμες ή σημαντικές λειτουργίες DORA και τη συνέχεια υπηρεσιών NIS2.

Για μικρότερους οργανισμούς, οι πολιτικές SME της Clarysec διατηρούν τη διατύπωση σύντομη, με την ίδια λογική. Η SME Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης-sme Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης-sme - SME ορίζει την κάλυψη ελέγχου ως:

«Όλα τα μέτρα ελέγχου και τα συστήματα εντός του πεδίου εφαρμογής του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ)»

Η SME Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας-sme Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας-sme - SME ορίζει το πεδίο ιδιωτικότητας ως:

«Κάθε σύστημα, εφαρμογή ή τοποθεσία όπου αποθηκεύονται ή μεταδίδονται δεδομένα προσωπικού χαρακτήρα»

Η SME Πολιτική Διαχείρισης Κινδύνων-sme Πολιτική Διαχείρισης Κινδύνων-sme - SME διατηρεί ορατές τις υπηρεσίες εξωτερικής ανάθεσης:

«Όλες οι πληροφορίες, υπηρεσίες και περιουσιακά στοιχεία που διαχειρίζονται εσωτερικά ή μέσω τρίτων μερών»

Σύντομες ρήτρες όπως αυτές είναι ισχυρές, επειδή εμποδίζουν ένα όριο πιστοποίησης να εξαιρεί ρυθμιζόμενα δεδομένα, υπηρεσίες νέφους ή περιουσιακά στοιχεία που διαχειρίζονται προμηθευτές.

Το Αποθετήριο Περιουσιακών Στοιχείων είναι το σημείο όπου το πεδίο εφαρμογής γίνεται πραγματικό

Μια δήλωση πεδίου εφαρμογής είναι αξιόπιστη μόνο εφόσον μπορεί να ιχνηλατηθεί σε περιουσιακά στοιχεία, ιδιοκτήτες, προμηθευτές, ροές δεδομένων και τεκμήρια.

Το Zenith Blueprint, στη φάση Διαχείριση Κινδύνων, Βήμα 9: Αναγνώριση περιουσιακών στοιχείων, απειλών και ευπαθειών, καθοδηγεί τους οργανισμούς να καταγράφουν τα περιουσιακά στοιχεία εντός του πεδίου εφαρμογής του ΣΔΑΠ και να αποτυπώνουν ιδιοκτήτη, τοποθεσία και ταξινόμηση. Παρέχει ένα πρακτικό παράδειγμα:

«Βάση δεδομένων πελατών – ιδιοκτησία του Τμήματος Πληροφορικής – φιλοξενείται στο AWS – περιέχει προσωπικά και χρηματοοικονομικά δεδομένα (υψηλή ευαισθησία).»

Το ίδιο βήμα προσθέτει μια υπενθύμιση οριοθέτησης που είναι άμεσα σχετική με NIS2 και GDPR:

«Βεβαιωθείτε ότι τα περιουσιακά στοιχεία δεδομένων προσωπικού χαρακτήρα επισημαίνονται (για συνάφεια με GDPR) και ότι σημειώνονται τα περιουσιακά στοιχεία κρίσιμων υπηρεσιών (για πιθανή εφαρμοσιμότητα NIS2 εάν ανήκετε σε ρυθμιζόμενο κλάδο).»

Το Zenith Controls: The Cross-Compliance Guide της Clarysec Zenith Controls αντιμετωπίζει τον έλεγχο ISO/IEC 27002:2022 5.9, Αποθετήριο πληροφοριών και άλλων συναφών περιουσιακών στοιχείων, ως θεμελιώδες μέτρο ελέγχου διασταυρούμενης συμμόρφωσης. Τα χαρακτηριστικά του ταξινομούν τον έλεγχο ως προληπτικό, υποστηρίζοντας εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα, ευθυγραμμισμένο με τη λειτουργία Identify της κυβερνοασφάλειας, την επιχειρησιακή ικανότητα διαχείρισης περιουσιακών στοιχείων και τους τομείς διακυβέρνησης, οικοσυστήματος και προστασίας.

Το Zenith Controls εξηγεί καθαρά τη συνάφεια με GDPR και NIS2:

«Χωρίς ακριβές και επικαιροποιημένο Αποθετήριο Περιουσιακών Στοιχείων, οι οργανισμοί δεν μπορούν να αξιολογήσουν ή να εφαρμόσουν κατάλληλες προστασίες.»

Για το NIS2, το Αποθετήριο Περιουσιακών Στοιχείων υποστηρίζει την αναγνώριση κρίσιμων συστημάτων και στοιχείων που στηρίζουν βασικές ή σημαντικές υπηρεσίες. Για το DORA, το DORA Article 8 καθιστά την αναγνώριση περιουσιακών στοιχείων ΤΠΕ και πληροφοριακών περιουσιακών στοιχείων κεντρική για την επιχειρησιακή ανθεκτικότητα. Για το GDPR, το Αποθετήριο Περιουσιακών Στοιχείων υποστηρίζει τη χαρτογράφηση ροών δεδομένων, την ποιότητα των RoPA και την απόκριση σε παραβίαση.

Τα υποστηρικτικά πρότυπα ISO ενισχύουν την ίδια λογική. Το ISO/IEC 27005:2024 ενισχύει την αναγνώριση περιουσιακών στοιχείων στην αξιολόγηση κινδύνων ασφάλειας πληροφοριών. Το ISO 22301:2019 υποστηρίζει τον προσδιορισμό πόρων που απαιτούνται για την επιχειρησιακή συνέχεια. Το ISO/IEC 19770-1:2017 υποστηρίζει την ωριμότητα διαχείρισης περιουσιακών στοιχείων πληροφορικής. Τα ISO/IEC 27017:2015 και ISO/IEC 27018:2019 υποστηρίζουν ελέγχους ειδικούς για περιβάλλον νέφους και την προστασία PII σε δημόσια περιβάλλοντα νέφους. Το ISO/IEC 27701:2019 επεκτείνει τη διαχείριση πληροφοριών ιδιωτικότητας. Το ISO/IEC 29100:2011 συνεισφέρει αρχές ιδιωτικότητας, όπως διαφάνεια, ελαχιστοποίηση και δικλίδες ασφαλείας.

Πρακτική άσκηση οριοθέτησης για ομάδες SaaS και fintech

Ξεκινήστε με μία ρυθμιζόμενη υπηρεσία, όχι με ολόκληρη την εταιρεία. Για παράδειγμα: «SaaS ανάλυσης πληρωμών στην ΕΕ για χρηματοπιστωτικά ιδρύματα».

Στη συνέχεια, δημιουργήστε έναν χάρτη υπηρεσίας-περιουσιακού στοιχείου-επεξεργασίας.

Ένα πιο λεπτομερές δείγμα περιουσιακών στοιχείων μπορεί να μοιάζει ως εξής.

Στη συνέχεια, χρησιμοποιήστε το Zenith Blueprint Βήμα 13: Σχεδιασμός αντιμετώπισης κινδύνων και Δήλωση Εφαρμοσιμότητας. Ο οδηγός καθοδηγεί τους χρήστες να δημιουργήσουν τη SoA με το πρότυπο που απαριθμεί όλα τα μέτρα ελέγχου του Annex A και να αποφασίσουν την εφαρμοσιμότητα βάσει αντιμετώπισης κινδύνων, νομικών ή συμβατικών απαιτήσεων, συνάφειας με το πεδίο εφαρμογής και οργανωτικού πλαισίου. Αναφέρει:

«Για κάθε μέτρο ελέγχου (γραμμή) στο φύλλο SoA, αποφασίστε αν είναι εφαρμοστέο στο ΣΔΑΠ σας.»

Για το παραπάνω παράδειγμα, η SoA πρέπει να εξετάζει μέτρα ελέγχου για την ασφάλεια προμηθευτών, τις υπηρεσίες νέφους, τη διαχείριση περιστατικών, τη συνέχεια, τις νομικές και κανονιστικές απαιτήσεις, την ιδιωτικότητα, τη διαχείριση ευπαθειών, τα αντίγραφα ασφαλείας, την καταγραφή, την παρακολούθηση, την κρυπτογραφία, την ασφαλή ανάπτυξη, τις δοκιμές ασφάλειας και τη διαχείριση αλλαγών.

Μια πρακτική ροή εργασίας είναι:

1. Δημιουργήστε καρτέλα «Χαρτογράφηση πεδίου εφαρμογής ΣΔΑΠ» στο Μητρώο Κινδύνων και στο SoA Builder.
2. Προσθέστε μία γραμμή ανά ρυθμιζόμενη υπηρεσία ή γραμμή προϊόντος.
3. Συνδέστε κάθε υπηρεσία με περιουσιακά στοιχεία, τύπους δεδομένων, προμηθευτές, τοποθεσίες και επιχειρησιακούς ιδιοκτήτες.
4. Επισημάνετε τη συνάφεια NIS2, τη συνάφεια DORA και τη συνάφεια επεξεργασίας GDPR.
5. Προσθέστε σενάρια κινδύνου για μη διαθέσιμη υπηρεσία, παραβίαση δεδομένων προσωπικού χαρακτήρα, αστοχία προμηθευτή, εσφαλμένη παραμετροποίηση νέφους, κρίσιμη ευπάθεια και αστοχία αναφοράς περιστατικού.
6. Επιλέξτε μέτρα ελέγχου SoA βάσει αυτών των κινδύνων και υποχρεώσεων.
7. Τεκμηριώστε εξαιρέσεις, αντισταθμιστικά μέτρα ελέγχου και αποδοχή κινδύνου.
8. Λάβετε έγκριση από την Ανώτατη Διοίκηση για τα τελικά όρια και τις εξαιρέσεις.
9. Τροφοδοτήστε το τελικό όριο στον εσωτερικό έλεγχο, στην ανασκόπηση από τη Διοίκηση και στην παρακολούθηση προμηθευτών.

Το αποτέλεσμα δεν είναι απλώς μια καλύτερη δήλωση πεδίου εφαρμογής. Είναι μια τεκμηριώσιμη αλυσίδα από ρυθμιζόμενη υπηρεσία σε περιουσιακό στοιχείο, προμηθευτή, δεδομένα, μέτρο ελέγχου, ιδιοκτήτη και τεκμήρια.

Χαρτογράφηση διασταυρούμενης συμμόρφωσης: ένα πεδίο εφαρμογής, πολλές υποχρεώσεις

Ένα καλά οριοθετημένο ΣΔΑΠ ISO 27001 γίνεται το λειτουργικό επίπεδο όπου οι προσδοκίες NIS2, DORA, GDPR, NIST CSF και COBIT μπορούν να συμφιλιωθούν.

Για τον έλεγχο ISO/IEC 27002:2022 5.31, Νομικές, καταστατικές, ρυθμιστικές και συμβατικές απαιτήσεις, το Zenith Controls συνδέει τις υποχρεώσεις συμμόρφωσης με την ιδιωτικότητα, την προστασία PII, τη διατήρηση αρχείων, την ανεξάρτητη ανασκόπηση και την εσωτερική συμμόρφωση με πολιτικές. Χαρτογραφείται φυσικά στη λογοδοσία GDPR, στη συμμόρφωση εφοδιαστικής αλυσίδας NIS2, στη διαχείριση κινδύνων ΤΠΕ και τη συμμόρφωση DORA, στη διακυβέρνηση NIST CSF και στην παρακολούθηση εξωτερικής συμμόρφωσης COBIT 2019.

Για τον έλεγχο ISO/IEC 27002:2022 5.34, Ιδιωτικότητα και προστασία PII, το Zenith Controls συνδέει την ιδιωτικότητα με το Αποθετήριο Περιουσιακών Στοιχείων, τις υπηρεσίες νέφους, την ταξινόμηση, τη μεταφορά πληροφοριών, τον έλεγχο πρόσβασης, τη διαχείριση ταυτοτήτων και τις ανασκοπήσεις αλλαγών έργων. Η χαρτογράφηση GDPR καλύπτει την ασφάλεια της επεξεργασίας και την προστασία δεδομένων ήδη από τον σχεδιασμό. Η χαρτογράφηση DORA υποστηρίζει την ακεραιότητα, την ασφάλεια και την εμπιστευτικότητα των δεδομένων, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα που χειρίζονται υπηρεσίες ΤΠΕ.

Η αρχή είναι απλή: μη δημιουργείτε τέσσερα αποσυνδεδεμένα προγράμματα συμμόρφωσης. Δημιουργήστε ένα οριοθετημένο ΣΔΑΠ που μπορεί να εξηγήσει πώς οι υποχρεώσεις ικανοποιούνται, τεκμηριώνονται και ελέγχονται.

Πεδίο εφαρμογής αναφοράς περιστατικών: όπου τα όρια επηρεάζουν τα κανονιστικά χρονόμετρα

Το λανθασμένο πεδίο εφαρμογής γίνεται επώδυνα ορατό κατά τη διάρκεια περιστατικών.

Το NIS2 Article 23 απαιτεί κλιμακωτή αναφορά σημαντικών περιστατικών, συμπεριλαμβανομένης πρώιμης προειδοποίησης εντός 24 ωρών, κοινοποίησης περιστατικού εντός 72 ωρών, ενδιάμεσων αναφορών όταν ζητηθούν και τελικής αναφοράς εντός ενός μήνα. Μπορεί επίσης να απαιτείται επικοινωνία προς τους επηρεαζόμενους αποδέκτες.

Το DORA απαιτεί από τις χρηματοπιστωτικές οντότητες να ανιχνεύουν, να διαχειρίζονται, να ταξινομούν και να αναφέρουν μείζονα περιστατικά σχετιζόμενα με ΤΠΕ, χρησιμοποιώντας κριτήρια όπως επηρεαζόμενοι πελάτες ή αντισυμβαλλόμενοι, διάρκεια, χρόνος διακοπής, γεωγραφική έκταση, απώλειες δεδομένων, κρισιμότητα επηρεαζόμενων υπηρεσιών και οικονομικός αντίκτυπος. Οι πελάτες πρέπει να ενημερώνονται χωρίς αδικαιολόγητη καθυστέρηση όταν ένα μείζον περιστατικό ΤΠΕ επηρεάζει τα χρηματοοικονομικά τους συμφέροντα.

Η κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα κατά GDPR εξαρτάται από το αν μια παραβίαση οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.

Αν η πλατφόρμα υποστήριξης, το περιβάλλον αρχείων καταγραφής, η υπηρεσία ταυτότητας, ο δίαυλος ειδοποίησης πελατών ή ο πάροχος διαχειριζόμενης ανίχνευσης βρίσκονται εκτός πεδίου εφαρμογής του ΣΔΑΠ, οι ομάδες περιστατικών ενδέχεται να μην γνωρίζουν αν ένα συμβάν ενεργοποιεί NIS2, DORA, GDPR, συμβατική αναφορά προς πελάτες ή όλα τα παραπάνω. Αυτή η αβεβαιότητα καταναλώνει τον διαθέσιμο χρόνο αναφοράς.

Ένα ώριμο πεδίο εφαρμογής περιλαμβάνει εξαρτήσεις σχετικές με περιστατικά: εργαλεία ανίχνευσης, αποθετήρια αρχείων καταγραφής, αποθετήρια ψηφιακής διερεύνησης, δίαυλους επικοινωνίας πελατών, εργαλεία υποστήριξης, περιβάλλοντα αντιγράφων ασφαλείας, γέφυρες περιστατικών και προμηθευτές που εμπλέκονται σε αρχική αξιολόγηση περιστατικών ή ανάκαμψη.

Πώς οι ελεγκτές και οι εποπτικές αρχές θα δοκιμάσουν το πεδίο εφαρμογής του ΣΔΑΠ σας

Ένα ισχυρό πεδίο εφαρμογής αντέχει τη δειγματοληψία. Ένα αδύναμο πεδίο καταρρέει όταν οι ελεγκτές συγκρίνουν τα έγγραφα με την πραγματικότητα.

Το Zenith Controls παρέχει χρήσιμες προσδοκίες ελέγχου για τον έλεγχο ISO/IEC 27002:2022 5.9. Οι ελεγκτές τύπου ISO/IEC 19011 ζητούν νωρίς το αποθετήριο για να οριοθετήσουν άλλες αξιολογήσεις και να διενεργήσουν δειγματοληπτικούς ελέγχους σε φυσικά περιουσιακά στοιχεία, λογισμικό και στοιχεία νέφους. Οι ελεγκτές τύπου ISO/IEC 27007 ρωτούν πώς και πότε επικαιροποιείται το αποθετήριο, αναζητώντας συνδέσεις με προμήθειες, διαχείριση αλλαγών και παροπλισμό. Οι ελεγκτές τύπου NIST SP 800-53A επαληθεύουν ότι οι λεπτομέρειες αποθετηρίου περιλαμβάνουν τύπο περιουσιακού στοιχείου, ιδιοκτήτη, τοποθεσία, διεύθυνση δικτύου όπου εφαρμόζεται και κατάσταση, καθώς και ότι περιλαμβάνονται στοιχεία νέφους, εικονικά και κινητά περιουσιακά στοιχεία.

Για τον έλεγχο 5.31, το Zenith Controls σημειώνει ότι οι ελεγκτές πιστοποίησης αναμένουν Μητρώο Συμμόρφωσης ή κατάλογο νόμων και συμβάσεων, με αναφορά στη SoA και στα Σχέδια Αντιμετώπισης Κινδύνων. Οι ελεγκτές COBIT αναζητούν ιδιοκτήτες συμμόρφωσης, αξιολογήσεις και αναφορά προς την ανώτερη διοίκηση. Οι ελεγκτές ISACA ITAF δειγματοληπτούν τεκμήρια για να επιβεβαιώσουν ότι ο οργανισμός όχι μόνο γνωρίζει τις υποχρεώσεις του, αλλά διασφαλίζει ενεργά ότι αυτές τηρούνται.

Για τον έλεγχο 5.34, οι ελεγκτές εξετάζουν πολιτικές ιδιωτικότητας, απογραφές δεδομένων, DPIAs, αρχεία εκπαίδευσης, τεκμήρια κρυπτογράφησης, ελέγχους πρόσβασης, δείγματα DSAR, τεκμήρια προστασίας της ιδιωτικότητας ήδη από τον σχεδιασμό και αρχεία περιστατικών που αφορούν PII. Μια δήλωση πεδίου εφαρμογής που εξαιρεί σύστημα το οποίο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα θα αμφισβητηθεί άμεσα.

Το ερώτημα του Διοικητικού Συμβουλίου: τι δεν μπορεί να εξαιρεθεί;

Η Ανώτατη Διοίκηση συχνά ρωτά αν μια επιχειρησιακή μονάδα, τοποθεσία, προμηθευτής ή σύστημα μπορεί να παραμείνει εκτός πεδίου εφαρμογής του ΣΔΑΠ. Μερικές φορές η απάντηση είναι ναι. Όχι όμως αν η εξαίρεση εμποδίζει τον οργανισμό να εκπληρώσει νομικές, κανονιστικές, συμβατικές ή σχετικές με την ασφάλεια υπηρεσιών υποχρεώσεις.

Χρησιμοποιήστε αυτόν τον έλεγχο εξαίρεσης πριν εγκρίνετε οποιονδήποτε περιορισμό ορίου:

• Υποστηρίζει η μονάδα, το σύστημα ή ο προμηθευτής υπηρεσία που ρυθμίζεται από το NIS2;
• Υποστηρίζει κρίσιμη ή σημαντική λειτουργία DORA για τον οργανισμό ή τους ρυθμιζόμενους πελάτες του;
• Συλλέγει, αποθηκεύει, μεταδίδει, καταγράφει, υποστηρίζει ή διαγράφει δεδομένα προσωπικού χαρακτήρα;
• Παρέχει παρακολούθηση ασφάλειας, ταυτότητα, αντίγραφα ασφαλείας, απόκριση σε περιστατικά ή ανάκαμψη για υπηρεσία εντός πεδίου εφαρμογής;
• Παρέχει τεκμήρια που απαιτούνται για ταξινόμηση περιστατικού ή κανονιστική κοινοποίηση;
• Απαιτεί σύμβαση πελάτη να καλύπτεται από το ΣΔΑΠ;
• Θα επηρέαζε ο συμβιβασμός του την εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα, νομική συμμόρφωση ή συνέχεια υπηρεσιών εντός του δηλωμένου πεδίου εφαρμογής;

Αν η απάντηση είναι ναι, η εξαίρεση χρειάζεται ισχυρά τεκμήρια, αντισταθμιστική διακυβέρνηση, αποδοχή κινδύνου και επίσημη έγκριση από την Ανώτατη Διοίκηση. Σε πολλές περιπτώσεις, δεν πρέπει να εξαιρείται.

Ένα σύγχρονο πεδίο εφαρμογής ΣΔΑΠ ISO 27001 πρέπει να περιλαμβάνει:

1. Καλυπτόμενες επιχειρησιακές υπηρεσίες και γραμμές προϊόντων.
2. Καλυπτόμενες νομικές οντότητες, οργανωτικές μονάδες και τοποθεσίες.
3. Τμήματα πελατών και δικαιοδοσίες που δημιουργούν υποχρεώσεις.
4. Κρίσιμες ή σημαντικές λειτουργίες και βασικές υπηρεσίες βάσει BIA.
5. Πληροφοριακά περιουσιακά στοιχεία, περιουσιακά στοιχεία ΤΠΕ και περιβάλλοντα νέφους.
6. Δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα και αποθετήρια PII.
7. Διαδικασίες ανάπτυξης, δοκιμών, υποστήριξης, παρακολούθησης και περιστατικών.
8. Προμηθευτές και υπηρεσίες εξωτερικής ανάθεσης που υποστηρίζουν υπηρεσίες εντός πεδίου εφαρμογής.
9. Διεπαφές και εξαρτήσεις με εταιρείες του ομίλου ή εξωτερικούς παρόχους.
10. Ρητές εξαιρέσεις με αιτιολόγηση, αποδοχή κινδύνου και έγκριση από την Ανώτατη Διοίκηση.

Έτσι το πεδίο εφαρμογής ISO 27001 μετατρέπεται σε θέση διακυβέρνησης σε επίπεδο Διοικητικού Συμβουλίου, όχι σε συντόμευση πιστοποίησης.

Κάντε το πεδίο εφαρμογής του ΣΔΑΠ έτοιμο για έλεγχο πριν το ορίσει ο ελεγκτής για εσάς

Η χειρότερη στιγμή για να εντοπίσετε πρόβλημα πεδίου εφαρμογής είναι κατά την πιστοποίηση, την εποπτική ανασκόπηση, τη δέουσα επιμέλεια πελάτη ή ένα ενεργό περιστατικό.

Ένα στενό πιστοποιητικό μπορεί να ικανοποιεί ένα checkbox προμηθειών, αλλά δεν θα αντέξει σοβαρό έλεγχο αν εξαιρεί τις υπηρεσίες, τις λειτουργίες ΤΠΕ, τους προμηθευτές και την επεξεργασία δεδομένων προσωπικού χαρακτήρα που δημιουργούν κανονιστική έκθεση. Το 2026, οι οργανισμοί που θα περνούν ελέγχους με αυτοπεποίθηση θα είναι εκείνοι που μπορούν να δείξουν έναν συνεκτικό χάρτη από ρυθμιζόμενη υπηρεσία σε περιουσιακό στοιχείο, προμηθευτή, δεδομένα προσωπικού χαρακτήρα, μέτρο ελέγχου, ιδιοκτήτη και τεκμήρια.

Ξεκινήστε με τρεις συγκεκριμένες ενέργειες:

1. Χρησιμοποιήστε το Zenith Blueprint Zenith Blueprint Φάση: Θεμελίωση και Ηγεσία ΣΔΑΠ, Βήμα 2, για να επανασυντάξετε το πεδίο εφαρμογής του ΣΔΑΠ γύρω από υπηρεσίες, λειτουργίες, επεξεργασία και εξαρτήσεις.
2. Χρησιμοποιήστε το Zenith Controls Zenith Controls για να χαρτογραφήσετε το Αποθετήριο Περιουσιακών Στοιχείων, τις νομικές υποχρεώσεις και την προστασία PII σε σχέση με τις προσδοκίες ελέγχου ISO 27001, NIS2, DORA, GDPR, NIST και COBIT 2019.
3. Ευθυγραμμίστε το πεδίο εφαρμογής πολιτικών χρησιμοποιώντας την Πολιτική Ασφάλειας Πληροφοριών της Clarysec Πολιτική Ασφάλειας Πληροφοριών, την Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης, την Πολιτική Διαχείρισης Κινδύνων Πολιτική Διαχείρισης Κινδύνων, την Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας και την Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή.

Αν το τρέχον πεδίο εφαρμογής του ΣΔΑΠ σας εξακολουθεί να μοιάζει με ετικέτα τμήματος, επανασχεδιάστε το ως όριο συμμόρφωσης. Κατεβάστε τα toolkits της Clarysec, χαρτογραφήστε μία ρυθμιζόμενη υπηρεσία από άκρο σε άκρο και μετατρέψτε το πεδίο εφαρμογής ISO 27001 σε τεκμήρια έτοιμα για έλεγχο για NIS2, DORA και GDPR.