Ταξινόμηση σοβαρότητας περιστατικών για DORA, NIS2 και GDPR

Η κλήση περιστατικού στις 02:17 που μετατρέπεται σε κανονιστική απόφαση

Στις 02:17 ένα πρωινό Πέμπτης, η Sarah, Επικεφαλής Ασφάλειας Πληροφοριών της FinScale, βλέπει την πρώτη ειδοποίηση: μη φυσιολογική κίνηση API, απότομη αύξηση αποτυχημένων ελέγχων ταυτότητας και καθυστέρηση στον πίνακα ελέγχου πληρωμών πάνω από 3000ms. Μέσα σε λίγα λεπτά, η υποστήριξη πελατών αναφέρει σφάλματα στην κατάσταση πληρωμών. Ο πάροχος υπηρεσιών νέφους δηλώνει ότι δεν υπάρχει περιστατικό σε επίπεδο πλατφόρμας. Το SOC εντοπίζει ύποπτα διακριτικά πρόσβασης από δύο γεωγραφικές περιοχές. Η ομάδα προϊόντος επιβεβαιώνει ότι ο πίνακας ελέγχου επανήλθε σε λειτουργία μετά από 19 λεπτά, αλλά δώδεκα πελάτες έχουν ήδη ανοίξει αιτήματα υποστήριξης.

Έως τις 03:05, η Sarah συμμετέχει στη γέφυρα κρίσης με τον επικεφαλής διαχείρισης περιστατικού, τον Νομικό Σύμβουλο, τον Συντονιστή Προστασίας Δεδομένων, τον επικεφαλής λειτουργιών νέφους και τον εκτελεστικό χορηγό. Το τεχνικό ερώτημα είναι σχετικά σαφές: τι συνέβη στην πύλη API; Τα κανονιστικά ερωτήματα είναι δυσκολότερα:

1. Είναι αυτό μείζον περιστατικό σχετιζόμενο με ΤΠΕ κατά DORA;
2. Είναι σημαντικό περιστατικό κατά NIS2;
3. Υπάρχει παραβίαση δεδομένων προσωπικού χαρακτήρα κατά GDPR που απαιτεί κοινοποίηση;
4. Μπορεί ο οργανισμός να αποδείξει πώς κατέληξε σε αυτές τις απαντήσεις;

Η εσφαλμένη απάντηση μπορεί να δημιουργήσει κανονιστική έκθεση. Η καθυστερημένη απάντηση μπορεί να οδηγήσει σε απώλεια προθεσμίας αναφοράς. Η μη τεκμηριωμένη απάντηση μπορεί να αποτύχει σε έλεγχο ISO/IEC 27001:2022 μήνες αργότερα.

Αυτή είναι η πρόκληση της αντιμετώπισης περιστατικών το 2026. Πολλοί οργανισμοί διαθέτουν σχέδιο αντιμετώπισης περιστατικών, διαδικασίες ψηφιακής διερεύνησης, εγχειρίδια ενεργειών για την προστασία δεδομένων και πρότυπα επικοινωνίας κρίσης. Λιγότεροι διαθέτουν ένα τεκμηριώσιμο μοντέλο ταξινόμησης σοβαρότητας περιστατικών που μετατρέπει ένα θορυβώδες συμβάν ασφάλειας σε τεκμηριωμένη απόφαση έναντι των απαιτήσεων τεκμηρίωσης των DORA, NIS2, GDPR και ISO/IEC 27001:2022.

Η λύση δεν είναι τρεις ξεχωριστές διαδικασίες αρχικής αξιολόγησης. Είναι ένα ενιαίο, διοικούμενο μοντέλο σοβαρότητας με διακριτά κανονιστικά επίπεδα, μετρήσιμα όρια, κανόνες κλιμάκωσης, αρχεία αποφάσεων και απαιτήσεις συλλογής τεκμηρίων. Στην πράξη, η σοβαρότητα περιστατικού δεν πρέπει να είναι μια ετικέτα που επιλέγεται υπό πίεση. Πρέπει να είναι ελεγχόμενη επιχειρησιακή απόφαση που αντέχει σε έλεγχο από ρυθμιστικές αρχές, ελεγκτές, μέλη Διοικητικού Συμβουλίου, πελάτες και τον DPO.

Γιατί η ταξινόμηση σοβαρότητας περιστατικών είναι πλέον έλεγχος σε επίπεδο Διοικητικού Συμβουλίου

Η ταξινόμηση περιστατικών ήταν παλαιότερα κυρίως τεχνική: σοβαρότητα κακόβουλου λογισμικού, επηρεαζόμενοι κεντρικοί υπολογιστές, εκμεταλλευόμενες ευπάθειες και αν υπήρξε εξαγωγή δεδομένων. Το 2026 είναι επίσης νομική, χρηματοοικονομική, κοινωνική και συμβατική.

Το DORA καθιστά την ψηφιακή επιχειρησιακή ανθεκτικότητα υποχρέωση διακυβέρνησης για τις χρηματοοικονομικές οντότητες. Το διοικητικό όργανο αναμένεται να ορίζει, να εγκρίνει, να εποπτεύει και να παραμένει υπεύθυνο για το πλαίσιο διαχείρισης κινδύνων ΤΠΕ. Αυτό περιλαμβάνει την επιχειρησιακή συνέχεια ΤΠΕ, τα σχέδια αντιμετώπισης και ανάκαμψης, τους διαύλους αναφοράς μείζονων περιστατικών, τον κίνδυνο τρίτων παρόχων ΤΠΕ και τα διδάγματα που αντλήθηκαν.

Το NIS2 αυξάνει τις απαιτήσεις διακυβέρνησης για τις βασικές και σημαντικές οντότητες. Το Article 20 απαιτεί από τα διοικητικά όργανα να εγκρίνουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύουν την εφαρμογή τους και να παρακολουθούν εκπαίδευση. Συνδέει επίσης αστοχίες στη διαχείριση κινδύνων και στην αναφορά περιστατικών με σοβαρές εποπτικές συνέπειες. Για βασικές οντότητες, οι βάσεις υπολογισμού των μέγιστων διοικητικών προστίμων μπορούν να φθάσουν τουλάχιστον τα EUR 10,000,000 ή το 2 τοις εκατό του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο. Για σημαντικές οντότητες, η βάση είναι τουλάχιστον EUR 7,000,000 ή 1,4 τοις εκατό του κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο.

Το GDPR προσθέτει διαφορετική οπτική. Μια παραβίαση δεδομένων προσωπικού χαρακτήρα δεν περιορίζεται σε επιβεβαιωμένη δημόσια γνωστοποίηση ή κλεμμένα αρχεία. Περιλαμβάνει την τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη κοινολόγηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα. Οι υπεύθυνοι επεξεργασίας πρέπει να αξιολογούν τον κίνδυνο για τα φυσικά πρόσωπα και να αποδεικνύουν λογοδοσία για την απόφαση κοινοποίησης ή μη κοινοποίησης.

Το ISO/IEC 27001:2022 παρέχει τη βάση τεκμηρίωσης για αυτές τις υποχρεώσεις. Οι ρήτρες 4.1 έως 4.4 απαιτούν από τον οργανισμό να κατανοεί το πλαίσιο λειτουργίας του, τις απαιτήσεις των ενδιαφερόμενων μερών, το πεδίο εφαρμογής, τις διεπαφές και τις εξαρτήσεις. Οι ρήτρες 5.1 έως 5.3 απαιτούν δέσμευση της ηγεσίας, πολιτική, ρόλους, αρμοδιότητες και αναφορά. Οι ρήτρες 6.1.1 έως 6.1.3 απαιτούν σχεδιασμό βάσει κινδύνου, αξιολόγηση κινδύνου, αντιμετώπιση κινδύνου και Δήλωση Εφαρμοσιμότητας. Οι ρήτρες 8.1 έως 8.3 απαιτούν επιχειρησιακό έλεγχο, έλεγχο αλλαγών, διατηρούμενα τεκμήρια και επανεξέταση όταν αλλάζουν οι συνθήκες κινδύνου. ISO/IEC 27001:2022

Όταν πραγματοποιείται η κλήση περιστατικού, το ερώτημα δεν πρέπει να είναι «Ποιος θεωρεί ότι αυτό είναι κρίσιμο;». Πρέπει να είναι «Τι απαιτούν από εμάς τώρα τα εγκεκριμένα κριτήρια, τα νομικά εναύσματα, τα τεκμήρια και οι κανόνες κλιμάκωσης;»

Ένα συμβάν, τρία κανονιστικά συστήματα ταξινόμησης

Τα DORA, NIS2 και GDPR δεν χρησιμοποιούν την ίδια ορολογία για τα περιστατικά. Αυτός είναι ο βασικός λόγος για τον οποίο οι οργανισμοί δυσκολεύονται κατά την πρώτη ώρα.

Το DORA Article 17 απαιτεί από τις χρηματοοικονομικές οντότητες να καθιερώσουν διαδικασία διαχείρισης περιστατικών σχετιζόμενων με ΤΠΕ, η οποία ανιχνεύει, διαχειρίζεται και κοινοποιεί περιστατικά ΤΠΕ, καταγράφει περιστατικά σχετιζόμενα με ΤΠΕ και σημαντικές κυβερνοαπειλές, αντιμετωπίζει τις βασικές αιτίες, χρησιμοποιεί δείκτες έγκαιρης προειδοποίησης, κατηγοριοποιεί και ταξινομεί περιστατικά, αναθέτει ρόλους, διαχειρίζεται επικοινωνίες, κλιμακώνει μείζονα περιστατικά στην ανώτερη διοίκηση και αποκαθιστά ασφαλείς λειτουργίες.

Το DORA Article 18 απαιτεί ταξινόμηση με χρήση κριτηρίων όπως επηρεαζόμενοι πελάτες, επηρεαζόμενοι αντισυμβαλλόμενοι, συναλλαγές, διάρκεια, χρόνος διακοπής, γεωγραφική έκταση, απώλεια δεδομένων που επηρεάζει τη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα ή την εμπιστευτικότητα, την κρισιμότητα των επηρεαζόμενων υπηρεσιών και τον οικονομικό αντίκτυπο. Το DORA Article 19 απαιτεί αναφορά μείζονων περιστατικών σχετιζόμενων με ΤΠΕ και επικοινωνία με πελάτες όταν επηρεάζονται τα χρηματοοικονομικά τους συμφέροντα.

Το NIS2 Article 23 ορίζει ως σημαντικό περιστατικό εκείνο που έχει προκαλέσει ή είναι ικανό να προκαλέσει σοβαρή επιχειρησιακή διαταραχή ή οικονομική ζημία, ή έχει επηρεάσει ή είναι ικανό να επηρεάσει τρίτους προκαλώντας σημαντική υλική ή μη υλική ζημία. Απαιτεί έγκαιρη προειδοποίηση εντός 24 ωρών από τη στιγμή που ο οργανισμός λαμβάνει γνώση του σημαντικού περιστατικού, κοινοποίηση περιστατικού εντός 72 ωρών, ενδιάμεσες αναφορές κατόπιν αιτήματος και τελική αναφορά εντός ενός μήνα από την κοινοποίηση του περιστατικού. Όπου εφαρμόζεται, οι επηρεαζόμενοι αποδέκτες υπηρεσιών πρέπει επίσης να ενημερώνονται για μέτρα ή διορθωτικές ενέργειες που μπορούν να λάβουν.

Το GDPR θέτει ερώτημα κινδύνου για την προστασία δεδομένων. Προκάλεσε παραβίαση ασφάλειας καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη κοινολόγηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα; Εάν ναι, ο υπεύθυνος επεξεργασίας πρέπει να αξιολογήσει τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Εάν η παραβίαση είναι πιθανό να οδηγήσει σε κίνδυνο, η εποπτική αρχή πρέπει γενικά να ειδοποιηθεί εντός 72 ωρών από τη γνώση του περιστατικού. Εάν είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο, ενδέχεται να απαιτείται ενημέρωση των επηρεαζόμενων προσώπων χωρίς αδικαιολόγητη καθυστέρηση.

Ένα μεμονωμένο περιστατικό χρειάζεται επομένως ταυτόχρονη ταξινόμηση.

Για τις χρηματοοικονομικές οντότητες, το DORA αποτελεί την ειδική τομεακή νομική πράξη της Ένωσης για τις υποχρεώσεις διαχείρισης κινδύνων ΤΠΕ και αναφοράς περιστατικών που επικαλύπτονται με το NIS2. Αυτό δεν καθιστά το NIS2 άνευ σημασίας. Μπορεί ακόμη να έχει σημασία για τη συνεργασία, τις ροές πληροφοριών, υπηρεσίες εκτός της περιμέτρου DORA, μη χρηματοοικονομικές οντότητες του ομίλου, υπηρεσίες νέφους, διαχειριζόμενες υπηρεσίες και συμβατικές υποχρεώσεις προς πελάτες. Το μοντέλο σοβαρότητας πρέπει να καταγράφει όχι μόνο το αποτέλεσμα, αλλά και τη συλλογιστική εφαρμοσιμότητας.

Το μοντέλο της Clarysec: ταξινομήστε το συμβάν, όχι την αίσθηση

Η Clarysec ξεκινά από το μέτρο ελέγχου 5.25 του ISO/IEC 27002:2022, αξιολόγηση και απόφαση για συμβάντα ασφάλειας πληροφοριών, ως άγκυρα διασταυρούμενης συμμόρφωσης. Στο Zenith Controls: The Cross-Compliance Guide Zenith Controls, το θέμα αυτό αντιστοιχίζεται μέσω της εγγραφής «Αξιολόγηση και απόφαση για συμβάντα ασφάλειας πληροφοριών» για το μέτρο ελέγχου 5.25, με υποστήριξη από τον «Σχεδιασμό και προετοιμασία διαχείρισης περιστατικών ασφάλειας πληροφοριών» για το μέτρο ελέγχου 5.24 και τη «Συλλογή τεκμηρίων» για το μέτρο ελέγχου 5.28.

Η σημαντικότερη στιγμή συμμόρφωσης συχνά δεν είναι ο περιορισμός. Είναι το σημείο διακλάδωσης όπου ένα συμβάν ασφάλειας γίνεται κανονιστικό περιστατικό ή όπου καταγράφεται τεκμηριωμένα ως συμβάν χαμηλότερης σοβαρότητας.

Το Zenith Blueprint: An Auditor’s 30-Step Roadmap της Clarysec Zenith Blueprint περιγράφει αυτή τη στιγμή στη φάση Controls in Action, Step 23:

«Δεν είναι κάθε ανωμαλία καταστροφή. Δεν σηματοδοτεί κάθε ειδοποίηση συμβιβασμό. Στον πραγματικό κόσμο, οι ομάδες ασφάλειας και οι επιχειρησιακές μονάδες κατακλύζονται από θόρυβο, απόπειρες σύνδεσης, ανωμαλίες αρχείων καταγραφής, μικρές παραβιάσεις πολιτικής και δραστηριότητα shadow IT. Η πραγματική πρόκληση δεν είναι μόνο η ανίχνευση, αλλά η διάκριση του αβλαβούς από το επιβλαβές και η γνώση του τι απαιτεί κλιμάκωση.»

Η πρόταση αυτή αποτυπώνει το επιχειρησιακό πρόβλημα. Μια ειδοποίηση SIEM δεν ισοδυναμεί αυτόματα με μείζον περιστατικό DORA. Μια προσωρινή διακοπή υπηρεσίας δεν ισοδυναμεί αυτόματα με σημαντικό περιστατικό NIS2. Ένα ύποπτο ερώτημα βάσης δεδομένων δεν ισοδυναμεί αυτόματα με περιστατικό που πρέπει να κοινοποιηθεί βάσει GDPR. Καθένα μπορεί να καταστεί κοινοποιήσιμο ανάλογα με τον αντίκτυπο, το εύρος, τα δεδομένα, τα επηρεαζόμενα μέρη και τα τεκμήρια.

Το Zenith Blueprint, στη φάση Risk Management, Step 10, συνιστά επίσης οι ορισμοί αντικτύπου να προσαρμόζονται στην επιχειρησιακή κλίμακα και στην κανονιστική έκθεση:

«Κατά τον ορισμό του αντικτύπου, είναι σκόπιμο να συσχετίζετε τα επίπεδα με τη συγκεκριμένη επιχειρησιακή σας κλίμακα. Για παράδειγμα, “Μείζων χρηματοοικονομικός αντίκτυπος = απώλεια > $100k” (προσαρμόστε το στο δικό σας πλαίσιο). Εξετάστε επίσης τον κανονιστικό αντίκτυπο: για παράδειγμα, μια παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί αυτομάτως να είναι “Μείζων” ή “Σοβαρή” λόγω προστίμων και απαιτήσεων κοινοποίησης βάσει GDPR, ακόμη και αν η άμεση χρηματοοικονομική απώλεια δεν είναι σαφής.»

Αυτή είναι η αρχή σχεδιασμού για την ταξινόμηση σοβαρότητας περιστατικών το 2026: η σοβαρότητα είναι επιχειρησιακός αντίκτυπος συν νομικός αντίκτυπος συν αξιοπιστία τεκμηρίων.

Πρακτική ταξινομία σοβαρότητας περιστατικών για DORA, NIS2 και GDPR

Μια τεκμηριώσιμη ταξινομία πρέπει να διαχωρίζει την εσωτερική σοβαρότητα από την κανονιστική ταξινόμηση. Η εσωτερική σοβαρότητα καθορίζει την επείγουσα αντιμετώπιση, την κατανομή πόρων και την κλιμάκωση προς τη διοίκηση. Η κανονιστική ταξινόμηση καθορίζει την κοινοποίηση, τη νομική ανασκόπηση και την εξωτερική επικοινωνία.

Το επίπεδο εσωτερικής σοβαρότητας δεν είναι η τελική κανονιστική απάντηση. Είναι ο τρόπος λειτουργίας. Ένα συμβάν SEV 3 μπορεί να καταστεί κοινοποιήσιμο βάσει GDPR μετά από ανασκόπηση αρχείων καταγραφής. Μια διακοπή SEV 2 μπορεί να μην είναι μείζον περιστατικό DORA εάν δεν πληρούνται τα όρια αντικτύπου. Ένα περιστατικό ransomware SEV 1 μπορεί να ενεργοποιήσει ταυτόχρονα DORA, NIS2, GDPR, συμβάσεις πελατών και συντονισμό με διωκτικές αρχές.

Ένας πιο αναλυτικός πίνακας ταξινόμησης βοηθά την ομάδα να περάσει από την ειδοποίηση στην ενέργεια.

Το μοντέλο πρέπει να ενσωματώνεται σε πολιτική και να μη μένει στη δυνατότερη φωνή στη γέφυρα κρίσης. Η SME Incident Response Policy-sme Incident Response Policy-sme - SME, Απαιτήσεις διακυβέρνησης, ρήτρα 5.3.1, ορίζει:

«Ο Γενικός Διευθυντής, με συμβολή από τον πάροχο υπηρεσιών πληροφορικής, πρέπει να ταξινομεί όλα τα περιστατικά κατά σοβαρότητα εντός μίας ώρας από την ειδοποίηση.»

Η ίδια SME πολιτική, Αντιμετώπιση κινδύνων και εξαιρέσεις, ρήτρα 7.4.1, προσθέτει:

«Όταν εμπλέκονται δεδομένα πελατών, ο Γενικός Διευθυντής πρέπει να αξιολογεί τις νομικές υποχρεώσεις κοινοποίησης με βάση την εφαρμοσιμότητα του GDPR, του NIS2 ή του DORA.»

Για μεγαλύτερους οργανισμούς, η επιχειρησιακή Incident Response Policy Incident Response Policy, Απαιτήσεις διακυβέρνησης, ρήτρα 5.3, τυποποιεί την ίδια έννοια:

«Η ταξινόμηση περιστατικών πρέπει να ακολουθεί πολυεπίπεδο μοντέλο:»

Η διατύπωση της πολιτικής έχει σημασία, επειδή οι ρυθμιστικές αρχές και οι ελεγκτές θα ρωτήσουν αν τα κριτήρια ταξινόμησης υπήρχαν πριν από το περιστατικό. Ένας πίνακας που επινοείται εκ των υστέρων αποτελεί αδύναμο τεκμήριο. Ένας πίνακας που έχει εγκριθεί, έχει αποτελέσει αντικείμενο εκπαίδευσης, έχει ασκηθεί και χρησιμοποιείται με συνέπεια είναι τεκμηριώσιμος.

Το αρχείο αποφάσεων: το σημαντικότερο τεχνούργημα τεκμηρίων

Όταν ελεγκτές, ρυθμιστικές αρχές ή μέλη Διοικητικού Συμβουλίου ανασκοπούν ένα περιστατικό, σπάνια ρωτούν μόνο «Τι συνέβη;». Ρωτούν «Πότε το γνωρίζατε, ποιος αποφάσισε, με βάση ποια τεκμήρια και γιατί δεν κοινοποιήσατε νωρίτερα;»

Για αυτόν τον λόγο, η Clarysec συνιστά αρχείο αποφάσεων σοβαρότητας για κάθε συμβάν SEV 3 και άνω, καθώς και για κάθε συμβάν που αφορά δεδομένα προσωπικού χαρακτήρα, κρίσιμες υπηρεσίες, χρηματοοικονομικούς πελάτες, διαχειριζόμενες υπηρεσίες, υποδομή νέφους ή διασυνοριακό αντίκτυπο.

Αυτό αντιστοιχίζεται άμεσα με το ISO/IEC 27001:2022. Η ρήτρα 8.1 απαιτεί οι διαδικασίες να σχεδιάζονται, να υλοποιούνται και να ελέγχονται, με επαρκείς τεκμηριωμένες πληροφορίες που διατηρούνται για να αποδεικνύεται ότι λειτούργησαν όπως είχε προγραμματιστεί. Οι ρήτρες 8.2 και 8.3 απαιτούν επανεξέταση όταν προκύπτουν σημαντικές αλλαγές και διατήρηση τεκμηρίων αντιμετώπισης κινδύνων. Τα μέτρα ελέγχου του Παραρτήματος A A.5.24 έως A.5.28 παρέχουν τη ραχοκοκαλιά διαχείρισης περιστατικών: σχεδιασμός και προετοιμασία, αξιολόγηση συμβάντος και απόφαση, απόκριση, μάθηση από περιστατικά και συλλογή τεκμηρίων.

Η SME Data Protection and Privacy Policy-sme Data Protection and Privacy Policy-sme - SME, Εφαρμογή και συμμόρφωση, ρήτρα 8.3.2, υποστηρίζει την πλευρά GDPR του μοντέλου:

«Ο Συντονιστής Προστασίας Δεδομένων θα προσδιορίσει τη σοβαρότητα, θα εκκινήσει ενέργειες περιορισμού και θα τεκμηριώσει την υπόθεση»

Η αξιολόγηση προστασίας δεδομένων δεν πρέπει να ξεκινά όταν το κανονιστικό χρονόμετρο γίνεται ασφυκτικό. Ανήκει μέσα στη ροή εργασιών αρχικής αξιολόγησης.

Πρακτικό παράδειγμα: ταξινόμηση του περιστατικού API της Sarah

Επιστροφή στη FinScale. Πρόκειται για πλατφόρμα B2B fintech που χρησιμοποιεί υποδομή νέφους, εξωτερικό πάροχο αναλυτικής απάτης και πάροχο διαχειριζόμενης ασφάλειας. Είναι χρηματοοικονομική οντότητα καλυπτόμενη από το DORA για ορισμένες δραστηριότητες. Είναι επίσης πάροχος ψηφιακών υπηρεσιών με λειτουργίες σχετικές με NIS2 σε ένα κράτος μέλος. Επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πελατών ως υπεύθυνος επεξεργασίας για υπηρεσίες λογαριασμών και ως εκτελών την επεξεργασία για ορισμένους εταιρικούς πελάτες.

Στις 02:17 ανιχνεύεται μη φυσιολογική κίνηση API. Στις 02:35 ανοίγει το δελτίο περιστατικού. Στις 03:00 η Sarah ολοκληρώνει την αρχική αξιολόγηση με τον επικεφαλής διαχείρισης περιστατικού.

Πρώτον, ορίζεται η εσωτερική σοβαρότητα. Το περιστατικό επηρέασε τη διαθεσιμότητα του πίνακα ελέγχου πελατών για 19 λεπτά, περιλάμβανε ύποπτα διακριτικά πρόσβασης και άγγιξε κρίσιμη λειτουργία που απευθύνεται σε πελάτες. Ταξινομείται ως SEV 3 Μέτριο εν αναμονή επιβεβαίωσης, με κλιμάκωση στον επικεφαλής διαχείρισης περιστατικού, τον Συντονιστή Προστασίας Δεδομένων, τον Νομικό Σύμβουλο και τον ιδιοκτήτη υπηρεσίας.

Δεύτερον, ολοκληρώνεται ο έλεγχος DORA. Η ομάδα ελέγχει επηρεαζόμενους πελάτες, αντισυμβαλλομένους, συναλλαγές, διάρκεια, χρόνο διακοπής, γεωγραφική έκταση, απώλεια δεδομένων, κρισιμότητα και οικονομικό αντίκτυπο. Δεν επιβεβαιώνονται αποτυχημένες ή αλλοιωμένες συναλλαγές. Ο χρόνος διακοπής είναι περιορισμένος. Δεν αποδεικνύεται απώλεια δεδομένων. Ωστόσο, επειδή μπορεί να επηρεάζεται κρίσιμο στοιχείο χρηματοοικονομικής υπηρεσίας και τα χρηματοοικονομικά συμφέροντα πελατών, το περιστατικό παραμένει υπό παρακολούθηση DORA και μπορεί να επαναταξινομηθεί.

Τρίτον, καταγράφεται ο έλεγχος NIS2. Η ομάδα σημειώνει ότι το DORA είναι το κύριο τομεακό καθεστώς αναφοράς για τις υποχρεώσεις της καλυπτόμενης χρηματοοικονομικής οντότητας. Ελέγχει επίσης αν το περιστατικό επηρεάζει υπηρεσίες ή πελάτες εκτός της περιμέτρου DORA. Σε αυτό το στάδιο δεν επιβεβαιώνεται σοβαρή επιχειρησιακή διαταραχή ή σημαντική ζημία.

Τέταρτον, ξεκινά ο έλεγχος GDPR. Τα ύποπτα διακριτικά ενδέχεται να επέτρεψαν πρόσβαση σε δεδομένα του πίνακα ελέγχου πελατών. Ο Συντονιστής Προστασίας Δεδομένων τεκμηριώνει κατηγορίες δεδομένων, επηρεαζόμενους χρήστες, εύρος διακριτικού, αρχεία καταγραφής που ανασκοπήθηκαν, αν τα δεδομένα προβλήθηκαν ή εξήχθησαν, και δικλίδες ασφαλείας όπως λήξη διακριτικού και έλεγχοι πρόσβασης.

Έως τις 04:20, η ανάλυση αρχείων καταγραφής δείχνει ότι δύο διακριτικά χρησιμοποιήθηκαν για πρόσβαση σε μεταδεδομένα πίνακα ελέγχου για 41 πελάτες, συμπεριλαμβανομένων ονομάτων, αναγνωριστικών λογαριασμών και κατάστασης συναλλαγών, αλλά όχι διαπιστευτηρίων πληρωμής ή εγγράφων ταυτοποίησης. Η ομάδα επικαιροποιεί το περιστατικό σε SEV 2 Μείζον, επειδή επηρεάστηκε η εμπιστευτικότητα δεδομένων προσωπικού χαρακτήρα και ενδέχεται να απαιτείται επικοινωνία με πελάτες. Ο DPO αξιολογεί τον κίνδυνο GDPR για τα φυσικά πρόσωπα. Η απόφαση DORA επανεξετάζεται με βάση τον αντίκτυπο σε πελάτες, τον αντίκτυπο σε συναλλαγές και τον οικονομικό αντίκτυπο.

Αυτή είναι η πρακτική αξία του μοντέλου. Η αρχική ταξινόμηση δεν είναι τελικό νομικό συμπέρασμα. Είναι απόφαση βάσει τεκμηρίων που μπορεί να επικαιροποιηθεί καθώς εξελίσσονται τα πραγματικά περιστατικά.

Καταγραφή, παρακολούθηση και ψηφιακά τεκμήρια διερεύνησης: το επίπεδο απόδειξης

Ένα μοντέλο σοβαρότητας χωρίς τεκμήρια είναι άποψη σύσκεψης. Η προσδοκία για το 2026 είναι ότι η ταξινόμηση υποστηρίζεται από αρχεία καταγραφής, παρακολούθηση, διατηρημένα τεχνουργήματα και αλυσίδα επιμέλειας.

Η SME Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme - SME, Εφαρμογή και συμμόρφωση, ρήτρα 8.3.4, ορίζει:

«Οι διερευνήσεις παραβιάσεων πρέπει να υποστηρίζονται από επαρκή αρχεία καταγραφής για την τήρηση της Αρχής λογοδοσίας βάσει GDPR και DORA»

Ο χειρισμός ψηφιακής διερεύνησης είναι εξίσου σημαντικός. Η SME Evidence Collection and Forensics Policy-sme Evidence Collection and Forensics Policy-sme - SME, Απαιτήσεις διακυβέρνησης, ρήτρα 5.3.1, απαιτεί:

«Πρέπει να τηρείται ένα απλό αρχείο καταγραφής αλυσίδας επιμέλειας (π.χ. αρχείο Excel ή πρότυπο έγγραφο) για κάθε περιστατικό.»

Για επιχειρησιακά περιβάλλοντα, η Evidence Collection and Forensics Policy Evidence Collection and Forensics Policy, Απαιτήσεις διακυβέρνησης, ρήτρα 5.5, απαιτεί:

«Όλα τα συλλεχθέντα τεκμήρια πρέπει να ταυτοποιούνται μοναδικά, να επισημαίνονται και να αποθηκεύονται σε ασφαλές αποθετήριο με:»

Το Zenith Blueprint, στη φάση Controls in Action, Step 23, εξηγεί γιατί αυτό έχει σημασία για το μέτρο ελέγχου 5.28 του ISO/IEC 27002:2022:

«Όταν συμβαίνει ένα περιστατικό ασφάλειας πληροφοριών, ένα από τα πιο κρίσιμα αλλά συχνά παραβλεπόμενα στοιχεία της απόκρισης είναι τα τεκμήρια. Όχι αρχεία καταγραφής, όχι στιγμιότυπα οθόνης, όχι ασύνδετες αφηγήσεις, αλλά ορθά διατηρημένα τεκμήρια που σέβονται την αλυσίδα επιμέλειας και είναι ανθεκτικά σε αλλοίωση.»

Ένας πρακτικός φάκελος τεκμηρίων για μείζον ή δυνητικά κοινοποιήσιμο περιστατικό πρέπει να περιλαμβάνει:

• Δελτίο περιστατικού και χρονοδιάγραμμα
• Αρχείο αποφάσεων σοβαρότητας και ιστορικό επαναταξινόμησης
• Ειδοποιήσεις SIEM, ειδοποιήσεις EDR, αρχεία καταγραφής νέφους και αρχεία καταγραφής ταυτότητας
• Αρχεία καταγραφής πρόσβασης σε δεδομένα και αρχεία καταγραφής εξαγωγής
• Καταχωρίσεις αποθετηρίου επηρεαζόμενων περιουσιακών στοιχείων και υπηρεσιών
• Εκτίμηση αντικτύπου σε πελάτες, συναλλαγές και γεωγραφική έκταση
• Φύλλο ελέγχου DORA, NIS2 και GDPR
• Αξιολόγηση DPO ή νομική αξιολόγηση
• Εγκρίσεις επικοινωνιών και απεσταλμένα μηνύματα
• Αρχείο αλυσίδας επιμέλειας
• Ανάλυση βασικής αιτίας
• Διορθωτικές ενέργειες και διδάγματα που αντλήθηκαν

Αυτός ο φάκελος τεκμηρίων υποστηρίζει επίσης τα μέτρα ελέγχου του Παραρτήματος A του ISO/IEC 27001:2022 A.8.15 για καταγραφή, A.8.16 για δραστηριότητες παρακολούθησης, A.5.28 για συλλογή τεκμηρίων, A.5.27 για μάθηση από περιστατικά ασφάλειας πληροφοριών, A.5.31 για νομικές, καταστατικές, κανονιστικές και συμβατικές απαιτήσεις, και A.5.34 για ιδιωτικότητα και προστασία προσωπικά αναγνωρίσιμων πληροφοριών.

Αντιστοίχιση διασταυρούμενης συμμόρφωσης: δημιουργήστε μία φορά, απαντήστε σε πολλούς ελεγκτές

Τα ισχυρότερα μοντέλα σοβαρότητας περιστατικών δημιουργούνται μία φορά και αντιστοιχίζονται πολλές φορές. Το Zenith Controls έχει σχεδιαστεί ως πυξίδα διασταυρούμενης συμμόρφωσης για αυτή την εργασία. Για το συγκεκριμένο θέμα, οι βασικές εγγραφές ISO/IEC 27002:2022 είναι 5.24 σχεδιασμός και προετοιμασία διαχείρισης περιστατικών ασφάλειας πληροφοριών, 5.25 αξιολόγηση και απόφαση για συμβάντα ασφάλειας πληροφοριών, 5.26 απόκριση σε περιστατικά ασφάλειας πληροφοριών, 5.27 μάθηση από περιστατικά ασφάλειας πληροφοριών και 5.28 συλλογή τεκμηρίων.

Τα μέτρα ελέγχου αυτά συνδέονται φυσικά με το σύστημα διαχείρισης ISO/IEC 27001:2022. Οι ρήτρες 4, 5, 6 και 8 ορίζουν πεδίο εφαρμογής, ηγεσία, κριτήρια κινδύνου, αντιμετώπιση και επιχειρησιακά τεκμήρια. Το ISO/IEC 27002:2022 παρέχει τη γλώσσα υλοποίησης ελέγχων. Η προσέγγιση επιχειρησιακής συνέχειας τύπου ISO 22301 υποστηρίζει όρια διαταραχής, προτεραιότητες ανάκαμψης και διαχείριση κρίσεων. Οι πρακτικές διαχείρισης περιστατικών τύπου ISO/IEC 27035 υποστηρίζουν δομημένη ανίχνευση, αναφορά, αξιολόγηση, απόκριση και μάθηση. Η διακυβέρνηση προστασίας δεδομένων τύπου ISO/IEC 27701 υποστηρίζει ρόλους παραβίασης δεδομένων προσωπικού χαρακτήρα, ζητήματα υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, τεκμήρια προστασίας δεδομένων και λογοδοσία.

Το ίδιο μοντέλο αντιστοιχίζεται στο NIST Cybersecurity Framework 2.0. Η λειτουργία GOVERN απαιτεί οι νομικές, κανονιστικές, συμβατικές υποχρεώσεις, καθώς και οι υποχρεώσεις προστασίας δεδομένων και πολιτικών ελευθεριών, να είναι κατανοητές και να τελούν υπό διαχείριση. Αναμένει επίσης να έχουν οριστεί διάθεση ανάληψης κινδύνου, ρόλοι, αρμοδιότητες, πολιτικές και εποπτεία. Οι λειτουργίες DETECT, RESPOND και RECOVER υποστηρίζουν αρχική αξιολόγηση, ανάλυση, κλιμάκωση, περιορισμό, αποκατάσταση, επικοινωνίες και βελτίωση.

Το όφελος είναι πρακτικό. Όταν ένας επόπτης DORA ζητά το σκεπτικό για μείζον περιστατικό σχετιζόμενο με ΤΠΕ, μια αρχή NIS2 ρωτά για την απόφαση έγκαιρης προειδοποίησης εντός 24 ωρών, μια Αρχή Προστασίας Δεδομένων ρωτά γιατί έγινε ή δεν έγινε κοινοποίηση GDPR και ένας ελεγκτής ISO ρωτά αν το ISMS λειτούργησε όπως είχε προγραμματιστεί, ο οργανισμός μπορεί να απαντήσει από το ίδιο σύνολο τεκμηρίων.

Πώς θα ελέγξουν το μοντέλο σας οι ελεγκτές και οι ρυθμιστικές αρχές

Ένας ελεγκτής ISO/IEC 27001:2022 συνήθως ξεκινά από το πεδίο εφαρμογής και τις νομικές απαιτήσεις. Θα ρωτήσει αν τα DORA, NIS2, GDPR, οι συμβάσεις πελατών και οι υποχρεώσεις τρίτων παρόχων ΤΠΕ έχουν αναγνωριστεί ως απαιτήσεις ενδιαφερόμενων μερών. Στη συνέχεια θα ακολουθήσει τη διαδρομή προς τα κριτήρια κινδύνου, τη Δήλωση Εφαρμοσιμότητας, τις διαδικασίες περιστατικών, τα επιχειρησιακά αρχεία και τη διατήρηση τεκμηρίων. Θέλει απόδειξη ότι η διαδικασία ταξινόμησης δεν επινοήθηκε κατά τη διάρκεια του περιστατικού.

Ένας επόπτης DORA ή μια ομάδα Εσωτερικού Ελέγχου θα αναζητήσει βρόχο κύκλου ζωής: διαδικασία διαχείρισης περιστατικών, δείκτες έγκαιρης προειδοποίησης, κριτήρια ταξινόμησης, κλιμάκωση μείζονος περιστατικού, επικοινωνία με πελάτες, βασική αιτία, τελικά στοιχεία αντικτύπου, δοκιμές ανθεκτικότητας και εποπτεία από το διοικητικό όργανο. Θα ρωτήσει επίσης αν ελήφθησαν υπόψη οι εξαρτήσεις από τρίτους παρόχους ΤΠΕ, ιδίως όπου εμπλέκονται πάροχοι νέφους, SaaS, διαχειριζόμενης ασφάλειας ή εξωτερικής ανάθεσης.

Ένας ελεγκτής ή αρχή με εστίαση στο NIS2 θα ελέγξει αν η οντότητα μπορεί να αναγνωρίζει σημαντικά περιστατικά, να τηρεί τα σταδιακά χρονοδιαγράμματα, να επικοινωνεί με επηρεαζόμενους αποδέκτες υπηρεσιών και να παρέχει τεκμήρια αξιολόγησης διασυνοριακού αντικτύπου. Θα συνδέσει τον χειρισμό περιστατικών με τα μέτρα διαχείρισης κινδύνων του Article 21, συμπεριλαμβανομένων της επιχειρησιακής συνέχειας, της διαχείρισης κρίσεων, της ασφάλειας εφοδιαστικής αλυσίδας, του ελέγχου πρόσβασης, της διαχείρισης περιουσιακών στοιχείων και της εκπαίδευσης.

Ένας DPO ή εποπτική αρχή GDPR θα εξετάσει αν ο οργανισμός αναγνώρισε δεδομένα προσωπικού χαρακτήρα, ρόλους, υποκείμενα δεδομένων, κατηγορίες, επηρεαζόμενα συστήματα, τύπο παραβίασης και κίνδυνο για φυσικά πρόσωπα. Θα ελέγξει αν ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει λογοδοσία και αν οι κοινοποιήσεις από εκτελούντες την επεξεργασία προς υπευθύνους επεξεργασίας ήταν έγκαιρες και πλήρεις.

Ένας ελεγκτής τύπου ISACA ή COBIT 2019 θα εστιάσει στα τεκμήρια διακυβέρνησης. Ποιος ενέκρινε την ταξινομία σοβαρότητας; Ποιος κατέχει τον κίνδυνο; Ποιες μετρικές αναφέρονται στη διοίκηση; Πώς διαχειρίζονται οι εξαιρέσεις; Πώς μετατρέπονται τα διδάγματα που αντλήθηκαν σε βελτιώσεις ελέγχων;

Συνήθη μοτίβα αστοχίας στην ταξινόμηση περιστατικών

Η πρώτη αστοχία είναι η σκέψη με μία μόνο ετικέτα. Οι ομάδες ταξινομούν ένα συμβάν ως υψηλό, μεσαίο ή χαμηλό, αλλά δεν αξιολογούν ξεχωριστά τα εναύσματα DORA, NIS2 και GDPR. Το αποτέλεσμα είναι μια ετικέτα σοβαρότητας που δεν μπορεί να εξηγήσει απόφαση αναφοράς.

Η δεύτερη αστοχία είναι η μεροληψία υπέρ της επιβεβαιωμένης παραβίασης. Οι ομάδες περιμένουν απόλυτη απόδειξη εξαγωγής δεδομένων πριν εμπλέξουν την προστασία δεδομένων ή τη νομική υπηρεσία. Η αξιολόγηση παραβίασης βάσει GDPR συχνά ξεκινά από πιθανή μη εξουσιοδοτημένη πρόσβαση, απώλεια, αλλοίωση ή κοινολόγηση, όχι μόνο από επιβεβαιωμένη δημοσίευση δεδομένων.

Η τρίτη αστοχία είναι η σύγχυση χρόνου. Τα χρονοδιαγράμματα NIS2 και GDPR εξαρτώνται από τη γνώση και την αξιολόγηση. Αν το δελτίο περιστατικού δεν καταγράφει χρόνο γνώσης, χρόνο ταξινόμησης και χρόνο κλιμάκωσης, ο οργανισμός μπορεί να δυσκολευτεί να αποδείξει την έγκαιρη ενέργεια.

Η τέταρτη αστοχία είναι η ψηφιακή διερεύνηση μετά τον καθαρισμό. Οι μηχανικοί πραγματοποιούν περιοδική αλλαγή κλειδιών, επανακατασκευάζουν κεντρικούς υπολογιστές και διαγράφουν προσωρινά τεκμήρια πριν ενεργοποιηθεί διαδικασία διατήρησης τεκμηρίων διερεύνησης. Αυτό μπορεί να καταστρέψει αποδείξεις που απαιτούνται για κανονιστική, συμβατική ή νομική ανασκόπηση.

Η πέμπτη αστοχία είναι η τύφλωση έναντι προμηθευτών. Τα DORA, NIS2 και NIST CSF 2.0 δίνουν όλα έμφαση στον κίνδυνο τρίτων μερών και εφοδιαστικής αλυσίδας. Εάν ένας πάροχος υπηρεσιών νέφους, πάροχος διαχειριζόμενων υπηρεσιών (MSPs), επεξεργαστής πληρωμών, πάροχος ταυτότητας ή προμηθευτής SaaS αποτελεί μέρος της αλυσίδας του περιστατικού, το μοντέλο ταξινόμησης πρέπει να περιλαμβάνει τον αντίκτυπο προμηθευτή και τις συμβατικές υποχρεώσεις κοινοποίησης.

Λίστα ελέγχου υλοποίησης της Clarysec για το 2026

Για την εφαρμογή στην πράξη ενός τεκμηριώσιμου μοντέλου ταξινόμησης σοβαρότητας περιστατικών, η Clarysec συνιστά την ακόλουθη ακολουθία:

1. Επιβεβαιώστε την κανονιστική εφαρμοσιμότητα σε DORA, NIS2, GDPR, συμβάσεις πελατών και τομεακούς κανόνες.
2. Επικαιροποιήστε το πεδίο εφαρμογής του ISMS και τις απαιτήσεις ενδιαφερόμενων μερών βάσει ISO/IEC 27001:2022.
3. Ορίστε εσωτερικά επίπεδα σοβαρότητας με μετρήσιμα όρια για χρόνο διακοπής, δεδομένα, πελάτες, γεωγραφία, οικονομική ζημία και κρισιμότητα.
4. Προσθέστε ξεχωριστές ερωτήσεις ελέγχου DORA, NIS2 και GDPR στη ροή εργασιών του δελτίου περιστατικού.
5. Ορίστε εναύσματα κλιμάκωσης για τον επικεφαλής διαχείρισης περιστατικού, τον DPO, τη νομική υπηρεσία, την ανώτερη διοίκηση και το Διοικητικό Συμβούλιο.
6. Δημιουργήστε πρότυπο αρχείου αποφάσεων σοβαρότητας.
7. Συνδέστε την ταξινόμηση με τη συλλογή τεκμηρίων και τις διαδικασίες αλυσίδας επιμέλειας.
8. Επικυρώστε την κάλυψη καταγραφής για συμβάντα ταυτότητας, νέφους, εφαρμογών, βάσεων δεδομένων, δικτύου και προμηθευτών.
9. Εκτελέστε ασκήσεις επί χάρτου για σενάρια μείζονος περιστατικού DORA, σημαντικού περιστατικού NIS2 και παραβίασης GDPR.
10. Τροφοδοτήστε τα διδάγματα που αντλήθηκαν στην αντιμετώπιση κινδύνων, τη Δήλωση Εφαρμοσιμότητας, την εκπαίδευση και τις δοκιμές ανθεκτικότητας.

Το Zenith Blueprint, στη φάση Controls in Action, Step 16, ενισχύει την ανθρώπινη πλευρά αυτού του μοντέλου: οι αναφορές πρέπει να καταγράφονται, να αξιολογούνται αρχικά, να κλιμακώνονται μέσω του σχεδίου αντιμετώπισης περιστατικών και ακόμη και τα μικρά συμβάντα πρέπει να παρακολουθούνται, επειδή οι τάσεις αποκαλύπτουν αδυναμίες ελέγχων. Προωθεί νοοτροπία αναφοράς με χαμηλό όριο: «Όταν υπάρχει αμφιβολία, αναφέρετε.»

Αυτό το πολιτισμικό σημείο είναι κρίσιμο. Ένα μοντέλο σοβαρότητας αποτυγχάνει αν οι εργαζόμενοι καθυστερούν την αναφορά επειδή φοβούνται υπερβολική αντίδραση. Ο στόχος είναι ταχεία αναφορά, πειθαρχημένη αρχική αξιολόγηση και τεκμηριώσιμη ταξινόμηση.

Μετατρέψτε την αβεβαιότητα περιστατικού σε τεκμήρια έτοιμα για έλεγχο

Το 2026, η ταξινόμηση σοβαρότητας περιστατικών δεν είναι πλέον απόφαση μόνο του SOC. Είναι ρυθμιζόμενη διαδικασία διακυβέρνησης που πρέπει να συνδέει τα κριτήρια μείζονος περιστατικού σχετιζόμενου με ΤΠΕ του DORA, τα όρια σημαντικού περιστατικού του NIS2, τον κίνδυνο παραβίασης βάσει GDPR και τα τεκμήρια ISO/IEC 27001:2022.

Οι οργανισμοί που αποδίδουν καλύτερα κατά τη διάρκεια περιστατικών δεν θα είναι εκείνοι με τον πιο ογκώδη φάκελο απόκρισης. Θα είναι εκείνοι που μπορούν να απαντήσουν γρήγορα σε τέσσερα ερωτήματα και να αποδείξουν αργότερα κάθε απάντηση:

• Τι συνέβη;
• Πόσο σοβαρό είναι;
• Ποιες κανονιστικές υποχρεώσεις μπορεί να εφαρμόζονται;
• Ποια τεκμήρια υποστηρίζουν την απόφαση;

Η Clarysec βοηθά τους οργανισμούς να χτίσουν αυτή τη γέφυρα μέσω προτύπων πολιτικών, ταξινομιών σοβαρότητας, αρχείων αποφάσεων, ασκήσεων επί χάρτου και αντιστοιχίσεων διασταυρούμενης συμμόρφωσης. Ξεκινήστε με τις πολιτικές περιστατικών, επικυρώστε τα κριτήρια κινδύνου σας στο Zenith Blueprint Zenith Blueprint και χρησιμοποιήστε το Zenith Controls Zenith Controls για να αντιστοιχίσετε τα μέτρα ελέγχου ISO/IEC 27002:2022 5.24, 5.25, 5.26, 5.27 και 5.28 σε DORA, NIS2, GDPR, NIST CSF και ελεγκτικές προσδοκίες.

Αν η ομάδα σας δεν μπορεί να απαντήσει στο ερώτημα «Είναι αυτό μείζον κατά DORA, σημαντικό κατά NIS2 ή κοινοποιήσιμο βάσει GDPR;» εντός της πρώτης ώρας, το επόμενο βήμα δεν είναι άλλο ένα γενικό σχέδιο αντιμετώπισης περιστατικών. Το επόμενο βήμα είναι ένα τεκμηριώσιμο επιχειρησιακό μοντέλο ταξινόμησης σοβαρότητας περιστατικών, δοκιμασμένο πριν φτάσει η επόμενη κλήση στις 02:17.

Είστε έτοιμοι να αντικαταστήσετε τον πανικό με διαδικασία; Κατεβάστε τα πρότυπα πολιτικών της Clarysec για αντιμετώπιση περιστατικών και συλλογή τεκμηρίων, ανασκοπήστε την τρέχουσα ταξινομία σοβαρότητας σε σχέση με το Zenith Blueprint ή ζητήστε αξιολόγηση ετοιμότητας από την Clarysec για να δημιουργήσετε ένα μοντέλο ταξινόμησης περιστατικών για DORA, NIS2, GDPR και ISO/IEC 27001, έτοιμο για έλεγχο.