Αναφορά περιστατικών DORA και μέτρα ελέγχου ISO 27001 το 2026

Είναι 08:17 ένα πρωινό Τρίτης του 2026. Η Sarah, CISO μιας ευρωπαϊκής FinTech, βλέπει έναν πίνακα ελέγχου να αναβοσβήνει πορτοκαλί και όχι κόκκινο. Μια κρίσιμη πλατφόρμα διακανονισμού πληρωμών επιβραδύνεται. Οι συναλλαγές δεν αποτυγχάνουν πλήρως, αλλά χρειάζονται τρεις φορές περισσότερο χρόνο από όσο επιτρέπει η συμφωνία επιπέδου υπηρεσιών. Το SOC βλέπει ασυνήθιστες απόπειρες αυθεντικοποίησης σε λογαριασμό διαχειριστή. Ο πάροχος υποδομής νέφους αναφέρει υποβάθμιση υπηρεσίας σε μία ζώνη διαθεσιμότητας. Η υποστήριξη πελατών αρχίζει να δέχεται κλήσεις από εταιρικούς πελάτες που ρωτούν γιατί καθυστερούν τα αρχεία πληρωμών.

Κανείς δεν γνωρίζει ακόμη αν πρόκειται για κυβερνοεπίθεση, αστοχία λειτουργικής ανθεκτικότητας, διακοπή υπηρεσίας προμηθευτή, περιστατικό προστασίας δεδομένων ή όλα αυτά ταυτόχρονα.

Η Sarah έχει ζήτημα DORA πριν ακόμη ολοκληρωθεί η τεχνική αποτύπωση των πραγματικών περιστατικών. Πρόκειται για μείζον περιστατικό σχετιζόμενο με ΤΠΕ; Επηρεάζει κρίσιμη ή σημαντική λειτουργία; Έχει υπερβεί το εσωτερικό όριο σοβαρότητας; Ποιος πρέπει να ειδοποιηθεί, πότε και με ποια τεκμήρια; Αν εμπλέκονται δεδομένα προσωπικού χαρακτήρα, έχει ξεκινήσει και η προθεσμία ειδοποίησης του GDPR; Αν ένας τρίτος πάροχος ΤΠΕ αποτελεί μέρος της αλυσίδας του περιστατικού, ποιος είναι υπεύθυνος για την παροχή των πραγματικών στοιχείων;

Εδώ οι χρηματοοικονομικές οντότητες εντοπίζουν το κενό μεταξύ του να διαθέτουν σχέδιο αντιμετώπισης περιστατικών και του να διαθέτουν λειτουργικό, ελέγξιμο μοντέλο αναφοράς περιστατικών DORA.

Η αναφορά περιστατικών DORA το 2026 απαιτεί κάτι περισσότερο από γρήγορη κλιμάκωση. Απαιτεί τεκμηριώσιμη αλυσίδα από την ανίχνευση έως την ταξινόμηση, από την ταξινόμηση έως την αναφορά στις εποπτικές αρχές, από την αναφορά έως την αποκατάσταση και από την αποκατάσταση έως τα διδάγματα που αντλήθηκαν. Το ISO/IEC 27001:2022 παρέχει τη δομή του συστήματος διαχείρισης. Τα μέτρα ελέγχου του Παραρτήματος A του ISO/IEC 27002:2022 παρέχουν τις πρακτικές ελεγκτικές προσδοκίες. Οι πολιτικές της Clarysec, ο οδικός χάρτης 30 βημάτων και ο οδηγός διασταυρούμενης συμμόρφωσης μετατρέπουν αυτές τις προσδοκίες σε υλοποίηση έτοιμη για τεκμηρίωση.

Γιατί αποτυγχάνει η αναφορά περιστατικών DORA υπό πίεση

Οι περισσότερες αποτυχίες στην αναφορά περιστατικών DORA δεν ξεκινούν από αμέλεια. Ξεκινούν από ασάφεια.

Ένας αναλυτής ασφάλειας βλέπει μια ειδοποίηση, αλλά δεν γνωρίζει αν πληροί τα κριτήρια περιστατικού σχετιζόμενου με ΤΠΕ κατά DORA. Ο υπεύθυνος υπηρεσιών πληροφορικής αντιμετωπίζει την υποβαθμισμένη απόδοση ως τεχνικό ζήτημα υπηρεσίας, ενώ η λειτουργία κανονιστικής συμμόρφωσης τη θεωρεί κανονιστικά σημαντικό συμβάν. Το Νομικό Τμήμα περιμένει επιβεβαίωση πριν κλιμακώσει. Ο κάτοχος της επιχειρησιακής διεργασίας δεν μπορεί ακόμη να ποσοτικοποιήσει τον αντίκτυπο στους πελάτες. Ο CISO ζητά τεκμήρια, αλλά τα σχετικά αρχεία καταγραφής είναι διάσπαρτα σε υπηρεσίες νέφους, τερματικά σημεία, συστήματα ταυτότητας, το SIEM και πλατφόρμες προμηθευτών.

Όταν ο οργανισμός συμφωνήσει στην ταξινόμηση, το παράθυρο αναφοράς βρίσκεται ήδη υπό πίεση.

Τα Articles 17 έως 21 του DORA δημιουργούν μια δομημένη προσδοκία για τη διαχείριση περιστατικών σχετιζόμενων με ΤΠΕ, την ταξινόμηση, την αναφορά, το περιεχόμενο της αναφοράς και τον χειρισμό από τις εποπτικές αρχές. Για τις χρηματοοικονομικές οντότητες, η πρακτική απαίτηση είναι σαφής: να παρακολουθούν, να διαχειρίζονται, να καταγράφουν, να ταξινομούν, να αναφέρουν, να επικαιροποιούν και να αντλούν διδάγματα από περιστατικά σχετιζόμενα με ΤΠΕ με τρόπο που μπορεί να ανασυντεθεί εκ των υστέρων.

Η Πολιτική Αντιμετώπισης Περιστατικών [IRP] της Clarysec ενσωματώνει τον DORA απευθείας στο πλαίσιο αναφοράς:

Κανονισμός DORA της ΕΕ (2022/2554): Article 17: απαιτήσεις αναφοράς περιστατικών ΤΠΕ για χρηματοπιστωτικά ιδρύματα προς τις αρμόδιες αρχές.

Η ίδια πολιτική συνδέει τη διαχείριση περιστατικών με τα μέτρα ελέγχου 5.25 έως 5.27 του ISO/IEC 27002:2022, καλύπτοντας τις αρμοδιότητες για την αξιολόγηση, την απόκριση, την επικοινωνία και τη βελτίωση των περιστατικών.

Για μικρότερες εταιρείες χρηματοοικονομικής τεχνολογίας και λιτές ρυθμιζόμενες οντότητες, η Πολιτική Αντιμετώπισης Περιστατικών - SME [IRP-SME] της Clarysec καθιστά την υποχρέωση πρακτικά εφαρμόσιμη, τονίζοντας ότι ο DORA απαιτεί από τις χρηματοοικονομικές οντότητες να ταξινομούν, να αναφέρουν και να παρακολουθούν περιστατικά και διαταραχές σχετιζόμενα με ΤΠΕ.

Αυτή η διατύπωση έχει σημασία. Η συμμόρφωση με τον DORA δεν είναι απλώς θέμα προτύπου αναφοράς. Ο οργανισμός πρέπει να ταξινομεί, να αναφέρει και να παρακολουθεί. Αυτό σημαίνει τεκμήρια για το αρχικό συμβάν, τα κριτήρια απόφασης, το επίπεδο σοβαρότητας, την απόφαση αναφοράς, τις επικοινωνίες, τις ενέργειες ανάκαμψης, τη συμμετοχή προμηθευτή και την παρακολούθηση μετά το περιστατικό.

Το ISO/IEC 27001:2022 ως κέντρο διοίκησης περιστατικών DORA

Ένα ώριμο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών κατά ISO/IEC 27001:2022 δεν πρέπει να μετατραπεί σε ακόμη ένα απομονωμένο σιλό συμμόρφωσης δίπλα στον DORA. Πρέπει να λειτουργεί ως κέντρο διοίκησης για την αναφορά περιστατικών DORA.

Το ISMS απαιτεί ήδη κυριότητα κινδύνων, επιλογή μέτρων ελέγχου, εσωτερικό έλεγχο, ανασκόπηση από τη διοίκηση, τεκμηριωμένες πληροφορίες, συνεχή βελτίωση και τεκμήρια λειτουργικής αποτελεσματικότητας των μέτρων ελέγχου. Ο DORA προσθέτει πίεση αναφοράς ειδική για τον κλάδο, αλλά το ISO/IEC 27001:2022 παρέχει τη δομή διακυβέρνησης ώστε η διαδικασία να είναι επαναλήψιμη.

Το Zenith Blueprint: Οδικός χάρτης 30 βημάτων για ελεγκτές [ZB] της Clarysec ενισχύει αυτή την ενοποίηση στο Βήμα 13, Σχεδιασμός αντιμετώπισης κινδύνων και Δήλωση Εφαρμοσιμότητας. Το Blueprint συνιστά την αντιστοίχιση μέτρων ελέγχου με κινδύνους και ρήτρες για ιχνηλασιμότητα, συμπεριλαμβανομένης της προσθήκης αναφοράς μέτρου ελέγχου του Παραρτήματος A στους κινδύνους και της επισήμανσης όταν τα μέτρα ελέγχου υποστηρίζουν GDPR, NIS2 ή DORA.

Για το περιστατικό διακανονισμού πληρωμών της Sarah, η καταχώριση στο Μητρώο Κινδύνων μπορεί να είναι:

«Διακοπή ή συμβιβασμός της πλατφόρμας επεξεργασίας πληρωμών.»

Τα αντιστοιχισμένα μέτρα ελέγχου του Παραρτήματος A του ISO/IEC 27001:2022 θα περιλάμβαναν τα 5.24, 5.25, 5.26, 5.27, 5.28, 6.8, 8.15 και 8.16, με σημείωση DORA για την ταξινόμηση και αναφορά μείζονος περιστατικού σχετιζόμενου με ΤΠΕ.

Το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης [ZC] της Clarysec λειτουργεί στη συνέχεια ως πυξίδα διασταυρούμενης συμμόρφωσης. Στο Zenith Controls, η Clarysec αντιστοιχίζει τα μέτρα ελέγχου ISO/IEC 27002:2022 με άλλα μέτρα ελέγχου ISO/IEC 27001:2022, συναφή πρότυπα, ελεγκτικές προσδοκίες και κανονισμούς όπως DORA, GDPR και NIS2. Δεν δημιουργεί ξεχωριστά «μέτρα ελέγχου Zenith». Δείχνει πώς τα υφιστάμενα μέτρα ελέγχου ISO λειτουργούν από κοινού και πώς ελέγχονται.

Η ροή εργασίας αναφοράς DORA μπορεί να θεωρηθεί ως αλυσίδα μέτρων ελέγχου:

Δεν μπορείτε να αναφέρετε κάτι που δεν ανιχνεύσατε. Δεν μπορείτε να ταξινομήσετε κάτι που δεν αξιολογήσατε. Δεν μπορείτε να τεκμηριώσετε μια απόφαση αναφοράς χωρίς αρχεία. Δεν μπορείτε να βελτιωθείτε χωρίς ανασκόπηση μετά το περιστατικό.

Μέτρο ελέγχου 6.8: Το ρολόι του DORA ξεκινά από τους ανθρώπους

Στο σενάριο της Sarah, το πρώτο χρήσιμο σήμα μπορεί να μην προέλθει από το SOC. Μπορεί να προέλθει από έναν υπεύθυνο σχέσεων που ακούει παράπονα πελατών, από έναν χρήστη του οικονομικού τμήματος που βλέπει αποτυχημένες παρτίδες διακανονισμού ή από έναν μηχανικό που παρατηρεί μη φυσιολογική καθυστέρηση.

Γι’ αυτό το μέτρο ελέγχου 6.8 του Παραρτήματος A του ISO/IEC 27001:2022, Αναφορά συμβάντων ασφάλειας πληροφοριών, είναι κρίσιμο για τον DORA. Μετατρέπει την αναφορά σε ευθύνη όλου του προσωπικού και όχι μόνο σε λειτουργία της ομάδας επιχειρήσεων ασφάλειας.

Στο Zenith Blueprint, Βήμα 16, Μέτρα ελέγχου προσωπικού II, η Clarysec αναφέρει:

Ένα αποτελεσματικό σύστημα αντιμετώπισης περιστατικών δεν ξεκινά με εργαλεία, αλλά με ανθρώπους.

Το Βήμα 16 συνιστά σαφείς διαύλους αναφοράς, εκπαίδευση ευαισθητοποίησης, κουλτούρα χωρίς απόδοση ευθυνών, αρχική αξιολόγηση περιστατικών, εμπιστευτικότητα και περιοδικές προσομοιώσεις. Το πιο χρήσιμο πρακτικό μήνυμα είναι απλό:

«Όταν έχεις αμφιβολία, ανέφερε.»

Αυτό αποτελεί αρχή ελέγχου για τον DORA. Αν οι εργαζόμενοι περιμένουν μέχρι να είναι βέβαιοι, ο οργανισμός χάνει χρόνο. Αν αναφέρουν νωρίς, ο οργανισμός μπορεί να αξιολογήσει, να ταξινομήσει και να αποφασίσει.

Στο Zenith Controls, το 6.8 αντιστοιχίζεται ως ανιχνευτικό μέτρο ελέγχου που υποστηρίζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα. Συνδέεται με το 5.24, επειδή οι δίαυλοι αναφοράς πρέπει να αποτελούν μέρος του σχεδίου περιστατικών. Τροφοδοτεί το 5.25, επειδή τα συμβάντα μπορούν να αξιολογηθούν μόνο αν αναφερθούν. Ενεργοποιεί το 5.26, επειδή η επίσημη απόκριση ξεκινά αφού αξιολογηθούν οι αναφορές.

Για τον DORA, αυτό υποστηρίζει τα Articles 17 και 18, όπου οι χρηματοοικονομικές οντότητες πρέπει να διαχειρίζονται, να ταξινομούν και να αναφέρουν μείζονα περιστατικά σχετιζόμενα με ΤΠΕ και σημαντικές κυβερνοαπειλές. Υποστηρίζει επίσης το GDPR Article 33 και το Recital 85, επειδή η εσωτερική αναφορά καθορίζει πόσο γρήγορα εντοπίζεται και κλιμακώνεται μια παραβίαση δεδομένων προσωπικού χαρακτήρα.

Μια πρακτική υλοποίηση της Clarysec είναι ένα μονοσέλιδο φύλλο οδηγιών «Πώς να αναφέρετε ένα περιστατικό ΤΠΕ». Πρέπει να περιλαμβάνει:

• Τι πρέπει να αναφέρεται, συμπεριλαμβανομένων διακοπών υπηρεσίας, ύποπτων μηνυμάτων email, χαμένων συσκευών, ασυνήθιστης συμπεριφοράς συστημάτων, ύποπτου συμβιβασμού προμηθευτή, μη εξουσιοδοτημένης πρόσβασης, διαρροής δεδομένων και υποβάθμισης υπηρεσίας με αντίκτυπο σε πελάτες.
• Πώς πρέπει να γίνεται η αναφορά, μέσω παρακολουθούμενου γραμματοκιβωτίου, κατηγορίας δελτίου, τηλεφωνικής γραμμής, καναλιού συνεργασίας ή πύλης SOC.
• Τι πρέπει να περιλαμβάνεται, όπως χρόνος, σύστημα, χρήστης, επιχειρησιακή διαδικασία, παρατηρούμενος αντίκτυπος, στιγμιότυπα οθόνης εφόσον είναι ασφαλές και αν ενδέχεται να επηρεάζονται πελάτες ή δεδομένα προσωπικού χαρακτήρα.
• Τι δεν πρέπει να γίνεται, συμπεριλαμβανομένης της μη διαγραφής αρχείων καταγραφής, της μη επανεκκίνησης κρίσιμων συστημάτων εκτός αν δοθεί οδηγία, της μη εξωτερικής επικοινωνίας με πελάτες χωρίς έγκριση και της μη διερεύνησης πέραν του ρόλου.
• Τι ακολουθεί, συμπεριλαμβανομένης της αρχικής αξιολόγησης περιστατικών, της ταξινόμησης, της κλιμάκωσης, της απόκρισης, της διατήρησης τεκμηρίων και της πιθανής κανονιστικής αξιολόγησης.

Ο στόχος δεν είναι να μετατραπεί κάθε εργαζόμενος σε ερευνητή. Είναι να καταστεί κάθε εργαζόμενος αξιόπιστη πηγή σήματος.

Μέτρο ελέγχου 5.25: Το σημείο απόφασης ταξινόμησης DORA

Η αναφορά μείζονων περιστατικών σχετιζόμενων με ΤΠΕ κατά DORA εξαρτάται από την ταξινόμηση. Εδώ το μέτρο ελέγχου 5.25 του Παραρτήματος A του ISO/IEC 27001:2022, Αξιολόγηση και απόφαση σχετικά με συμβάντα ασφάλειας πληροφοριών, γίνεται κεντρικό.

Το Zenith Blueprint, Βήμα 23, εξηγεί την πρακτική πρόκληση:

Δεν είναι κάθε ανωμαλία καταστροφή. Δεν σηματοδοτεί κάθε ειδοποίηση συμβιβασμό.

Στη συνέχεια περιγράφει τον σκοπό του 5.25 ως:

διάκριση του αβλαβούς από το επιβλαβές και γνώση του τι απαιτεί κλιμάκωση.

Για τον DORA, αυτή είναι η στιγμή κατά την οποία ένα συμβάν ασφάλειας, υποβάθμιση υπηρεσίας, διακοπή προμηθευτή, έκθεση δεδομένων ή επιχειρησιακή διαταραχή αξιολογείται έναντι των κριτηρίων μείζονος περιστατικού. Ο οργανισμός πρέπει να εξετάζει τον επιχειρησιακό αντίκτυπο, τις επηρεαζόμενες υπηρεσίες, τις κρίσιμες ή σημαντικές λειτουργίες, τους επηρεαζόμενους πελάτες και συναλλαγές, τη διάρκεια, τη γεωγραφική εξάπλωση, τον αντίκτυπο στα δεδομένα, τις επιπτώσεις στη φήμη και τον οικονομικό αντίκτυπο.

Στο Zenith Controls, το 5.25 αντιστοιχίζεται απευθείας στο DORA Article 18, Ταξινόμηση μείζονων περιστατικών ΤΠΕ. Είναι η δομημένη διαδικασία αξιολόγησης για να καθοριστεί αν ένα παρατηρούμενο συμβάν πληροί τα κριτήρια περιστατικού ασφάλειας. Συνδέεται επίσης με το 8.16, Δραστηριότητες παρακολούθησης, επειδή οι ειδοποιήσεις και τα δεδομένα καταγραφής πρέπει να υποβάλλονται σε αρχική αξιολόγηση, και με το 5.26, επειδή η ταξινόμηση ενεργοποιεί την απόκριση.

Εδώ αποτυγχάνουν πολλοί οργανισμοί στους ελέγχους. Έχουν δελτία, αλλά όχι αρχεία ταξινόμησης. Έχουν ετικέτες σοβαρότητας, αλλά όχι κριτήρια. Έχουν κανονιστικές αναφορές, αλλά όχι ίχνος αποφάσεων που αποδεικνύει γιατί ένα περιστατικό θεωρήθηκε ή δεν θεωρήθηκε μείζον.

Η Clarysec το αντιμετωπίζει ενσωματώνοντας την ταξινόμηση DORA στο μοντέλο σοβαρότητας περιστατικών. Στην εταιρική Πολιτική Αντιμετώπισης Περιστατικών, η ρήτρα 5.3.1 περιλαμβάνει ένα σαφές παράδειγμα Tier 1:

Tier 1: Κρίσιμο (π.χ. επιβεβαιωμένη παραβίαση δεδομένων, έξαρση ransomware, συμβιβασμός συστήματος παραγωγής)

Για μικρότερους οργανισμούς, η Πολιτική Αντιμετώπισης Περιστατικών - SME προσθέτει μια αυστηρή επιχειρησιακή προσδοκία:

Ο Γενικός Διευθυντής, με τη συνδρομή του παρόχου υπηρεσιών πληροφορικής, πρέπει να ταξινομεί όλα τα περιστατικά κατά σοβαρότητα εντός μίας ώρας από την ειδοποίηση.

Αυτός ο στόχος ταξινόμησης μίας ώρας είναι ισχυρός, επειδή επιβάλλει πειθαρχία διακυβέρνησης. Μια μικρότερη ρυθμιζόμενη οντότητα μπορεί να μην έχει SOC 24/7, αλλά μπορεί ακόμη να ορίσει ποιος ταξινομεί, ποιος συμβουλεύει και πόσο γρήγορα πρέπει να ληφθεί η απόφαση.

Αρχείο αρχικής αξιολόγησης περιστατικού DORA προς ISO

Για να είναι η ταξινόμηση τεκμηριώσιμη, δημιουργήστε αρχείο αρχικής αξιολόγησης περιστατικού DORA στο σύστημα δελτίων, GRC ή διαχείρισης περιστατικών. Το αρχείο πρέπει να δημιουργείται για κάθε δυνητικά ουσιώδες συμβάν ΤΠΕ, ακόμη και αν αργότερα υποβαθμιστεί.

Προσθέστε σημείωση απόφασης:

«Βάσει της διακοπής υπηρεσίας πληρωμών που επηρεάζει κρίσιμη επιχειρησιακή διαδικασία, της μη επιλυμένης βασικής αιτίας και του δυνητικού αντικτύπου σε πελάτες, το συμβάν κλιμακώνεται ως δυνητικό μείζον περιστατικό σχετιζόμενο με ΤΠΕ. Η λειτουργία συμμόρφωσης και το Νομικό Τμήμα πρέπει να αξιολογήσουν τις απαιτήσεις κανονιστικής ειδοποίησης. Έχει ξεκινήσει η διατήρηση τεκμηρίων.»

Αυτό το ενιαίο αρχείο υποστηρίζει την παρακολούθηση κατά DORA Article 17, την ταξινόμηση κατά Article 18, τις αποφάσεις αναφοράς κατά Article 19, την αξιολόγηση του Παραρτήματος A 5.25 του ISO/IEC 27001:2022, την αναφορά 6.8, την απόκριση 5.26 και τον χειρισμό τεκμηρίων 5.28.

Μέτρα ελέγχου 5.24 και 5.26: Σχεδιασμός, ρόλοι και απόκριση

Όταν συμβεί ένα περιστατικό DORA, το σχέδιο απόκρισης πρέπει να έχει ήδη απαντήσει σε δύσκολες ερωτήσεις.

Ποιος έχει την αρμοδιότητα ταξινόμησης; Ποιος επικοινωνεί με την αρμόδια αρχή; Ποιος εγκρίνει την αρχική ειδοποίηση; Ποιος επικοινωνεί με τους πελάτες; Ποιος επικοινωνεί με τον τρίτο πάροχο ΤΠΕ; Ποιος αποφασίζει αν το περιστατικό ενεργοποιεί και ειδοποίηση κατά GDPR; Ποιος διατηρεί τα τεκμήρια; Ποιος έχει την ευθύνη για την τελική αναφορά;

Το μέτρο ελέγχου 5.24 του Παραρτήματος A του ISO/IEC 27001:2022, Σχεδιασμός και προετοιμασία διαχείρισης περιστατικών ασφάλειας πληροφοριών, απαντά σε αυτές τις ερωτήσεις πριν από την κρίση. Το μέτρο ελέγχου 5.26, Απόκριση σε περιστατικά ασφάλειας πληροφοριών, διασφαλίζει ότι το σχέδιο μετατρέπεται σε ελεγχόμενη δράση κατά τη διάρκεια του περιστατικού.

Στο Zenith Controls, το 5.24 συνδέεται με τα DORA Articles 17 έως 21 επειδή επιχειρησιακά υλοποιεί τεκμηριωμένη, δοκιμασμένη και αναθεωρημένη απόκριση σε περιστατικά, συμπεριλαμβανομένης της εσωτερικής κλιμάκωσης, της εξωτερικής κανονιστικής ειδοποίησης, της επικοινωνίας με τα ενδιαφερόμενα μέρη και των διδαγμάτων που αντλήθηκαν.

Το ISO/IEC 27035-1:2023 το υποστηρίζει αυτό επεκτείνοντας τη διαχείριση περιστατικών πέρα από τις διαδικασίες απόκρισης, σε πολιτική, σχεδιασμό, ικανότητες, σχέσεις, μηχανισμούς υποστήριξης, ευαισθητοποίηση, εκπαίδευση και τακτικές δοκιμές. Το ISO/IEC 27035-2:2023 εξειδικεύει περαιτέρω τη διαδικασία διαχείρισης περιστατικών από την προετοιμασία έως τα διδάγματα που αντλήθηκαν.

Το Zenith Blueprint, Βήμα 23, παρέχει άμεση οδηγία υλοποίησης:

Διασφαλίστε ότι διαθέτετε επικαιροποιημένο σχέδιο αντιμετώπισης περιστατικών (5.24), που καλύπτει προετοιμασία, κλιμάκωση, απόκριση και επικοινωνία.

Ένα σχέδιο αντιμετώπισης περιστατικών έτοιμο για DORA πρέπει να ορίζει:

• Την ομάδα απόκρισης σε περιστατικά ΤΠΕ και τους αναπληρωτές της.
• Την αρμοδιότητα για ταξινόμηση σοβαρότητας και κλιμάκωση αναφοράς DORA.
• Αρμοδιότητες του Νομικού Τμήματος, της Συμμόρφωσης, της Προστασίας Δεδομένων, των Επικοινωνιών, της Πληροφορικής, της Ασφάλειας, των προμηθευτών και των κατόχων επιχειρησιακών διεργασιών.
• Κριτήρια ταξινόμησης μείζονος περιστατικού σχετιζόμενου με ΤΠΕ.
• Διαδικασίες για αρχική, ενδιάμεση και τελική κανονιστική αναφορά.
• Αξιολόγηση ειδοποιήσεων GDPR, NIS2, συμβατικών υποχρεώσεων, κυβερνοασφάλισης και Διοικητικού Συμβουλίου.
• Βήματα περιορισμού, εκρίζωσης, ανάκαμψης και επικύρωσης.
• Απαιτήσεις διατήρησης τεκμηρίων.
• Διαδικασίες κλιμάκωσης προμηθευτή και πρόσβασης σε αρχεία καταγραφής.
• Παρακολούθηση διδαγμάτων που αντλήθηκαν και διορθωτικών ενεργειών.

Η Πολιτική Αντιμετώπισης Περιστατικών - SME συνδέει επίσης τα χρονοδιαγράμματα απόκρισης με νομικές απαιτήσεις:

Τα χρονοδιαγράμματα απόκρισης, συμπεριλαμβανομένων της ανάκτησης δεδομένων και των υποχρεώσεων ειδοποίησης, πρέπει να τεκμηριώνονται και να ευθυγραμμίζονται με τις νομικές απαιτήσεις, όπως η απαίτηση ειδοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα εντός 72 ωρών κατά τον GDPR.

Αυτό είναι κρίσιμο, επειδή ένα μεμονωμένο περιστατικό ΤΠΕ μπορεί να εξελιχθεί σε μείζον περιστατικό DORA, παραβίαση δεδομένων προσωπικού χαρακτήρα κατά GDPR, σημαντικό περιστατικό NIS2, συμβατικό γεγονός ειδοποίησης πελατών και ζήτημα διαχείρισης προμηθευτή. Το σχέδιο πρέπει να συντονίζει αυτές τις επικαλύψεις αντί να τις αντιμετωπίζει ως ξεχωριστούς κόσμους.

Μέτρα ελέγχου 8.15 και 8.16: Τα αρχεία καταγραφής καθιστούν την αναφορά τεκμηριώσιμη

Η αναφορά περιστατικών DORA εξαρτάται από πραγματικά στοιχεία. Τα πραγματικά στοιχεία εξαρτώνται από την καταγραφή και την παρακολούθηση.

Στο σενάριο διακανονισμού πληρωμών, η Sarah χρειάζεται να γνωρίζει πότε ξεκίνησε η υποβάθμιση, ποια συστήματα επηρεάστηκαν, αν χρησιμοποιήθηκαν προνομιούχοι λογαριασμοί, αν δεδομένα εξήλθαν από το περιβάλλον, αν η διακοπή του παρόχου νέφους συμφωνεί με την εσωτερική τηλεμετρία και πότε ολοκληρώθηκε η ανάκαμψη.

Το μέτρο ελέγχου 8.15 του Παραρτήματος A του ISO/IEC 27001:2022, Καταγραφή, και το 8.16, Δραστηριότητες παρακολούθησης, υποστηρίζουν αυτή τη βάση τεκμηρίων. Στο Zenith Controls, και τα δύο συνδέονται με το 5.24, επειδή ο σχεδιασμός αντιμετώπισης περιστατικών πρέπει να περιλαμβάνει αξιοποιήσιμα δεδομένα καταγραφής και ικανότητα παρακολούθησης. Το μέτρο ελέγχου 8.16 συνδέεται επίσης με το 5.25, επειδή οι ειδοποιήσεις πρέπει να οδηγούνται μέσω αρχικής αξιολόγησης σε αποφάσεις.

Η Πολιτική Καταγραφής και Παρακολούθησης - SME [LMP-SME] της Clarysec περιλαμβάνει μια πρακτική απαίτηση κλιμάκωσης:

Οι ειδοποιήσεις υψηλής προτεραιότητας πρέπει να κλιμακώνονται στον Γενικό Διευθυντή και στον Συντονιστή Προστασίας Δεδομένων εντός 24 ωρών

Για οντότητες που υπάγονται στον DORA, τα δυνητικά μείζονα περιστατικά ΤΠΕ συνήθως απαιτούν ταχύτερο μοντέλο επιχειρησιακής κλιμάκωσης, ιδίως όταν επηρεάζονται κρίσιμες ή σημαντικές λειτουργίες. Παρ’ όλα αυτά, το πρότυπο διακυβέρνησης είναι ορθό: οι ειδοποιήσεις υψηλής προτεραιότητας δεν μπορούν να παραμένουν εντός της Πληροφορικής. Πρέπει να φτάνουν στους ρόλους επιχειρησιακής λειτουργίας, προστασίας δεδομένων και διοίκησης.

Ένα μοντέλο καταγραφής έτοιμο για DORA πρέπει να περιλαμβάνει:

• Κεντρικοποιημένη καταγραφή για κρίσιμα συστήματα, πλατφόρμες ταυτότητας, τερματικά σημεία, υπηρεσίες νέφους, εργαλεία ασφάλειας δικτύου και επιχειρησιακές εφαρμογές.
• Συγχρονισμό χρόνου μεταξύ συστημάτων ώστε οι χρονογραμμές περιστατικών να είναι αξιόπιστες.
• Κατηγοριοποίηση ειδοποιήσεων ευθυγραμμισμένη με τη σοβαρότητα περιστατικού και την ταξινόμηση DORA.
• Διατήρηση αρχείων καταγραφής ευθυγραμμισμένη με κανονιστικές, συμβατικές και εγκληματολογικές ανάγκες.
• Ελέγχους πρόσβασης που προστατεύουν την ακεραιότητα των αρχείων καταγραφής.
• Διαδικασίες για τη λήψη στιγμιοτύπων αρχείων καταγραφής κατά τη διάρκεια μείζονων περιστατικών.
• Απαιτήσεις πρόσβασης σε αρχεία καταγραφής προμηθευτών για κρίσιμες υπηρεσίες ΤΠΕ.

Οι ελεγκτές δεν θα αποδεχθούν το «το έχει το SIEM» ως επαρκές τεκμήριο. Θα ρωτήσουν αν υπήρχαν τα σωστά αρχεία καταγραφής, αν οι ειδοποιήσεις ανασκοπήθηκαν, αν η κλιμάκωση έγινε εγκαίρως και αν τα αρχεία καταγραφής διατηρήθηκαν μόλις το περιστατικό κατέστη δυνητικά αναφερόμενο.

Μέτρο ελέγχου 5.28: Συλλογή τεκμηρίων και αλυσίδα επιμέλειας

Σε ένα μείζον περιστατικό σχετιζόμενο με ΤΠΕ, τα τεκμήρια εξυπηρετούν τρεις σκοπούς: τεχνική διερεύνηση, κανονιστική λογοδοσία και νομική τεκμηρίωση θέσης.

Αν τα τεκμήρια είναι ελλιπή, αντικατασταθούν, αλλοιωθούν ή δεν τεκμηριωθούν, ο οργανισμός μπορεί να δυσκολευτεί να αποδείξει τι συνέβη. Μπορεί επίσης να δυσκολευτεί να δικαιολογήσει την απόφαση ταξινόμησης.

Η Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας [ECF] της Clarysec αναφέρει:

Αρχείο Καταγραφής Αλυσίδας Επιμέλειας πρέπει να συνοδεύει όλα τα φυσικά ή ψηφιακά τεκμήρια από τον χρόνο απόκτησης έως την αρχειοθέτηση ή μεταφορά και πρέπει να τεκμηριώνει:

Η έκδοση SME, Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας - SME [ECF-SME], διατηρεί την απαίτηση απλή:

Κάθε στοιχείο ψηφιακού τεκμηρίου πρέπει να καταγράφεται με:

Το επιχειρησιακό δίδαγμα είναι άμεσο. Ο χειρισμός τεκμηρίων δεν μπορεί να ξεκινά αφού το ζητήσει το Νομικό Τμήμα. Πρέπει να είναι ενσωματωμένος στην αντιμετώπιση περιστατικών.

Το ISO/IEC 27006-1:2024 ενισχύει αυτή την ελεγκτική προσδοκία δίνοντας έμφαση σε διαδικασίες για την αναγνώριση, συλλογή και διατήρηση τεκμηρίων από περιστατικά ασφάλειας πληροφοριών. Για τον DORA, το ίδιο σύνολο τεκμηρίων μπορεί να υποστηρίξει την αρχική ειδοποίηση, τις ενδιάμεσες επικαιροποιήσεις, την τελική αναφορά, την ανασκόπηση μετά το περιστατικό και τα ερωτήματα των εποπτικών αρχών.

Ένας πρακτικός κατάλογος ελέγχου τεκμηρίων για περιστατικά σχετιζόμενα με DORA πρέπει να περιλαμβάνει:

• Δελτίο περιστατικού και σημειώσεις αρχικής αξιολόγησης περιστατικών.
• Χρονογραμμή ανίχνευσης, κλιμάκωσης, ταξινόμησης, αναφοράς, περιορισμού, ανάκαμψης και κλεισίματος.
• Ειδοποιήσεις SIEM και συσχετισμένα αρχεία καταγραφής.
• Τεχνουργήματα τερματικών σημείων και διακομιστών.
• Αρχεία καταγραφής ταυτότητας και προνομιούχας πρόσβασης.
• Περιλήψεις δικτυακής κίνησης.
• Κατάσταση παρόχου νέφους και αρχεία καταγραφής ελέγχου.
• Επικοινωνίες προμηθευτών και δηλώσεις περιστατικών.
• Αρχεία επιχειρηματικού αντικτύπου, συμπεριλαμβανομένων πελατών, υπηρεσιών, συναλλαγών και χρόνου διακοπής.
• Προσχέδια και υποβολές κανονιστικών ειδοποιήσεων.
• Αποφάσεις και εγκρίσεις διοίκησης.
• Ανάλυση βασικής αιτίας.
• Διδάγματα που αντλήθηκαν και διορθωτικές ενέργειες.

Τα τεκμήρια πρέπει να δείχνουν τόσο τα τεχνικά πραγματικά στοιχεία όσο και τις αποφάσεις διακυβέρνησης. Η αναφορά DORA δεν αφορά μόνο το τι συνέβη στα συστήματα. Αφορά επίσης τον τρόπο με τον οποίο η διοίκηση αναγνώρισε, αξιολόγησε, κλιμάκωσε, έλεγξε και βελτίωσε με βάση το περιστατικό.

Μέτρο ελέγχου 5.27: Διδάγματα που αντλήθηκαν και συνεχής βελτίωση

Ένα περιστατικό DORA δεν κλείνει όταν υποβληθεί η τελική αναφορά. Κλείνει όταν ο οργανισμός έχει μάθει από αυτό, έχει αναθέσει διορθωτικές ενέργειες, έχει επικαιροποιήσει τα μέτρα ελέγχου και έχει επαληθεύσει τη βελτίωση.

Το μέτρο ελέγχου 5.27 του Παραρτήματος A του ISO/IEC 27001:2022, Μάθηση από περιστατικά ασφάλειας πληροφοριών, συνδέει την αναφορά DORA με τον κύκλο συνεχούς βελτίωσης του ISO/IEC 27001:2022. Στο Zenith Controls, το 5.24 συνδέεται με το 5.27, επειδή η διαχείριση περιστατικών είναι ελλιπής χωρίς ανάλυση βασικής αιτίας, διδάγματα που αντλήθηκαν και βελτίωση μέτρων ελέγχου.

Το Zenith Blueprint, Βήμα 23, καθοδηγεί τους οργανισμούς να επικαιροποιούν το σχέδιο με διδάγματα που αντλήθηκαν και να παρέχουν στοχευμένη κατάρτιση στην αντιμετώπιση περιστατικών και τον χειρισμό τεκμηρίων. Αυτό είναι ιδιαίτερα σημαντικό για τον DORA, επειδή επαναλαμβανόμενες καθυστερήσεις ταξινόμησης, ελλιπή τεκμήρια προμηθευτών, αδύναμα αρχεία καταγραφής ή ασαφείς επικοινωνίες μπορούν να εξελιχθούν σε εποπτικές ανησυχίες.

Ένα πρότυπο διδαγμάτων που αντλήθηκαν πρέπει να καταγράφει:

• Τι συνέβη και πότε.
• Ποιες κρίσιμες ή σημαντικές λειτουργίες επηρεάστηκαν.
• Αν η ταξινόμηση ήταν έγκαιρη και ακριβής.
• Αν οι αποφάσεις αναφοράς DORA ελήφθησαν με επαρκή τεκμήρια.
• Αν αξιολογήθηκαν τα εναύσματα ειδοποίησης κατά GDPR, NIS2, συμβατικών υποχρεώσεων ή πελατών.
• Αν οι προμηθευτές ανταποκρίθηκαν εντός των συμφωνημένων χρονοδιαγραμμάτων.
• Αν διατηρήθηκαν τα αρχεία καταγραφής και τα τεκμήρια ψηφιακής διερεύνησης.
• Ποια μέτρα ελέγχου απέτυχαν ή έλειπαν.
• Ποιες πολιτικές, playbooks, εκπαιδεύσεις ή τεχνικά μέτρα ελέγχου πρέπει να βελτιωθούν.
• Ποιος έχει την ευθύνη για κάθε διορθωτική ενέργεια και έως πότε.

Αυτό τροφοδοτεί επίσης την ανασκόπηση από τη διοίκηση κατά ISO/IEC 27001:2022. Οι τάσεις περιστατικών πρέπει να ανασκοπούνται από την ηγεσία και να μην θάβονται σε τεχνικές ανασκοπήσεις μετά το συμβάν.

Διασταυρούμενη συμμόρφωση: DORA, GDPR, NIS2, NIST και COBIT 2019

Ο DORA είναι ο κύριος κανονισμός για τις χρηματοοικονομικές οντότητες, αλλά η αναφορά περιστατικών σπάνια ανήκει σε ένα μόνο πλαίσιο.

Ένα μεμονωμένο περιστατικό ΤΠΕ μπορεί να περιλαμβάνει αναφορά μείζονος περιστατικού σχετιζόμενου με ΤΠΕ κατά DORA, ειδοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα κατά GDPR, αναφορά σημαντικού περιστατικού NIS2, υποχρεώσεις συμβάσεων πελατών, ειδοποίηση κυβερνοασφάλισης και αναφορά στο Διοικητικό Συμβούλιο.

Το Zenith Controls βοηθά στη μείωση αυτής της πολυπλοκότητας αντιστοιχίζοντας τα μέτρα ελέγχου ISO/IEC 27002:2022 μεταξύ πλαισίων. Για παράδειγμα:

Από την οπτική του NIST, το ίδιο μοντέλο υποστηρίζει αποτελέσματα Detect, Respond και Recover. Από την οπτική ελέγχου COBIT 2019 και ISACA, το ζήτημα είναι η διακυβέρνηση: αν η διαχείριση περιστατικών, η συνέχεια, ο κίνδυνος, η συμμόρφωση, οι αρμοδιότητες προμηθευτών και η παρακολούθηση επιδόσεων ελέγχονται.

Οι πιο ώριμοι οργανισμοί δεν δημιουργούν ξεχωριστές ροές εργασίας για κάθε πλαίσιο. Δημιουργούν μία διαδικασία διαχείρισης περιστατικών με κανονιστικές επικαλύψεις. Το δελτίο καταγράφει μία φορά τα ίδια βασικά πραγματικά στοιχεία και στη συνέχεια διακλαδίζεται σε DORA, GDPR, NIS2, συμβατική, ασφαλιστική ή κλαδική αναφορά όταν απαιτείται.

Πώς θα ελέγξουν οι ελεγκτές τη διαδικασία περιστατικών DORA

Μια διαδικασία αναφοράς περιστατικών έτοιμη για DORA πρέπει να αντέχει διαφορετικές ελεγκτικές οπτικές.

Ένας ελεγκτής ISO/IEC 27001:2022 θα εξετάσει αν το ISMS έχει επιλέξει και υλοποιήσει τα συναφή μέτρα ελέγχου του Παραρτήματος A, αν η Δήλωση Εφαρμοσιμότητας υποστηρίζει αυτά τα μέτρα ελέγχου, αν υπάρχουν αρχεία περιστατικών και αν ο εσωτερικός έλεγχος και η ανασκόπηση από τη διοίκηση περιλαμβάνουν την απόδοση της διαχείρισης περιστατικών.

Το Zenith Controls παραπέμπει στη μεθοδολογία ελέγχου ISO/IEC 19011:2018 για τα 5.24, 5.25 και 6.8. Για το 5.24, οι ελεγκτές εξετάζουν το σχέδιο αντιμετώπισης περιστατικών ως προς τους τύπους περιστατικών, τις ταξινομήσεις σοβαρότητας, τους ανατεθειμένους ρόλους, τις λίστες επαφών, τις διαδρομές κλιμάκωσης, τις οδηγίες κανονιστικής αναφοράς και τις αρμοδιότητες επικοινωνίας. Για το 5.25, εξετάζουν αν υπάρχουν τεκμηριωμένα κριτήρια ταξινόμησης, όπως μήτρες σοβαρότητας ή δέντρα αποφάσεων βάσει αντικτύπου στο σύστημα, ευαισθησίας δεδομένων και διάρκειας. Για το 6.8, αξιολογούν τους μηχανισμούς αναφοράς, τις μετρικές χρόνου έως την αναφορά και τα τεκμήρια ότι τα αναφερόμενα συμβάντα καταγράφονται, αξιολογούνται αρχικά και επιλύονται.

Μια εποπτική ανασκόπηση DORA θα εστιάσει στο αν τα μείζονα περιστατικά σχετιζόμενα με ΤΠΕ ανιχνεύονται, ταξινομούνται, αναφέρονται, επικαιροποιούνται και κλείνουν σύμφωνα με τις κανονιστικές προσδοκίες. Ο ελεγκτής μπορεί να ζητήσει δείγμα περιστατικού και να το ιχνηλατήσει από την πρώτη ειδοποίηση έως την τελική αναφορά.

Ένας ελεγκτής προστασίας δεδομένων θα εστιάσει στο αν αξιολογήθηκε ο κίνδυνος παραβίασης δεδομένων προσωπικού χαρακτήρα και αν ενεργοποιήθηκαν οι υποχρεώσεις των GDPR Article 33 και Article 34. Το BS EN 17926:2023 είναι σχετικό εδώ, επειδή προσθέτει αρμοδιότητες περιστατικών προστασίας δεδομένων, κριτήρια ειδοποίησης, χρονισμό και ευθυγράμμιση με τις προσδοκίες γνωστοποίησης προς τις εποπτικές αρχές.

Τα ίδια τεκμήρια μπορούν να απαντήσουν σε πολλαπλές ελεγκτικές ερωτήσεις, αν είναι σωστά δομημένα από την αρχή.

Κατάλογος ελέγχου ετοιμότητας αναφοράς περιστατικών DORA για το 2026

Πριν από την επόμενη άσκηση επιτραπέζιου σεναρίου, τον εσωτερικό έλεγχο ή την εποπτική ανασκόπηση, ελέγξτε τον οργανισμό σας έναντι αυτού του καταλόγου:

• Γνωρίζουν οι εργαζόμενοι πώς να αναφέρουν ύποπτα περιστατικά ΤΠΕ;
• Υπάρχει ειδικός δίαυλος αναφοράς περιστατικών;
• Καταγράφονται και αξιολογούνται αρχικά με συνέπεια τα συμβάντα ασφάλειας;
• Υπάρχει τεκμηριωμένη μήτρα σοβαρότητας και ταξινόμησης μείζονων περιστατικών DORA;
• Απαιτείται ταξινόμηση εντός καθορισμένου χρόνου μετά την ειδοποίηση;
• Έχουν αντιστοιχιστεί οι κρίσιμες ή σημαντικές λειτουργίες σε συστήματα και προμηθευτές;
• Αξιολογούνται τα εναύσματα ειδοποίησης DORA, GDPR, NIS2, συμβατικών υποχρεώσεων, ασφάλισης και πελατών σε μία ροή εργασίας;
• Έχουν οριστεί ρόλοι περιστατικών σε Πληροφορική, Ασφάλεια, Νομικό Τμήμα, Συμμόρφωση, Προστασία Δεδομένων, Επικοινωνίες και κατόχους επιχειρησιακών διεργασιών;
• Είναι τα αρχεία καταγραφής επαρκή για την ανασύνθεση χρονογραμμών περιστατικών;
• Διατηρούνται τα τεκμήρια με αλυσίδα επιμέλειας;
• Έχουν δοκιμαστεί οι υποχρεώσεις περιστατικών προμηθευτών και τα δικαιώματα πρόσβασης σε αρχεία καταγραφής;
• Πραγματοποιούνται ασκήσεις επιτραπέζιων σεναρίων με ρεαλιστικά σενάρια DORA;
• Παρακολουθούνται τα διδάγματα που αντλήθηκαν έως την ολοκλήρωση των διορθωτικών ενεργειών;
• Ανασκοπούνται οι μετρικές περιστατικών στην ανασκόπηση από τη διοίκηση;
• Έχει αντιστοιχιστεί η Δήλωση Εφαρμοσιμότητας με τα σχετικά με DORA μέτρα ελέγχου ISO/IEC 27001:2022;

Αν η απάντηση σε οποιοδήποτε από αυτά είναι «μερικώς», το ζήτημα δεν αφορά μόνο τη συμμόρφωση. Αφορά τη λειτουργική ανθεκτικότητα.

Δημιουργήστε μοντέλο αναφοράς περιστατικών DORA έτοιμο για τεκμηρίωση

Η αναφορά περιστατικών DORA το 2026 είναι δοκιμή διακυβέρνησης υπό πίεση. Οι οργανισμοί που θα αποδώσουν καλά δεν θα είναι εκείνοι με τα μεγαλύτερα έγγραφα αντιμετώπισης περιστατικών. Θα είναι εκείνοι με σαφείς διαύλους αναφοράς, γρήγορη ταξινόμηση, αξιόπιστα αρχεία καταγραφής, διατηρημένα τεκμήρια, εκπαιδευμένους ανθρώπους, δοκιμασμένη κλιμάκωση προμηθευτών και ιχνηλασιμότητα μεταξύ πλαισίων.

Η Clarysec μπορεί να σας βοηθήσει να δημιουργήσετε αυτό το λειτουργικό μοντέλο.

Ξεκινήστε αντιστοιχίζοντας τους κινδύνους περιστατικών και τη Δήλωση Εφαρμοσιμότητας με το Zenith Blueprint: Οδικός χάρτης 30 βημάτων για ελεγκτές. Στη συνέχεια, ευθυγραμμίστε τα μέτρα ελέγχου περιστατικών σας με το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης. Εφαρμόστε τη διαδικασία στην πράξη με την Πολιτική Αντιμετώπισης Περιστατικών, την Πολιτική Αντιμετώπισης Περιστατικών - SME, την Πολιτική Καταγραφής και Παρακολούθησης - SME, την Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας και την Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας - SME της Clarysec.

Αν η ομάδα ηγεσίας σας θέλει εμπιστοσύνη πριν από το επόμενο πραγματικό περιστατικό, εκτελέστε μια άσκηση επιτραπέζιου σεναρίου για μείζον περιστατικό σχετιζόμενο με ΤΠΕ κατά DORA με την εργαλειοθήκη της Clarysec και παράγετε το πακέτο τεκμηρίων που θα ανέμενε να δει ένας ελεγκτής ή μια εποπτική αρχή.