Ευθύνη διοικητικού οργάνου κατά NIS2: τεκμήρια ISO 27001

Το email έφτασε στα εισερχόμενα της Μαρίας στις 08:15, Δευτέρα πρωί. Ως CISO ενός ταχέως αναπτυσσόμενου ευρωπαϊκού παρόχου υπηρεσιών νέφους, είχε συνηθίσει τα επείγοντα μηνύματα, όμως αυτό ήταν διαφορετικό.

Ο Οικονομικός Διευθυντής (CFO) είχε προωθήσει ένα ερωτηματολόγιο ασφάλειας πελάτη στον Διευθύνοντα Σύμβουλο (CEO), στη γραμματεία του διοικητικού συμβουλίου και στη Μαρία. Το θέμα ήταν σύντομο: «Απαιτούνται τεκμήρια λογοδοσίας οργάνου διοίκησης κατά NIS2 πριν από την ανανέωση».

Ο πελάτης δεν ζητούσε ακόμη μία αναφορά δοκιμών διείσδυσης. Ήθελε να γνωρίζει αν το διοικητικό συμβούλιο είχε εγκρίνει μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, πώς εποπτεύεται η υλοποίηση, αν τα διευθυντικά στελέχη έχουν λάβει εκπαίδευση σε θέματα κυβερνοκινδύνου, πώς κλιμακώνονται τα σημαντικά περιστατικά και πώς ανασκοπούνται οι κίνδυνοι προμηθευτών σε επίπεδο διοίκησης. Ο CEO πρόσθεσε μία γραμμή: «Μαρία, ποια είναι η έκθεσή μας και πώς αποδεικνύουμε τη δέουσα επιμέλεια; Το διοικητικό συμβούλιο το χρειάζεται την επόμενη εβδομάδα».

Αυτή είναι η στιγμή που η NIS2 γίνεται πραγματικότητα για πολλούς παρόχους SaaS, υπηρεσιών νέφους, MSP, MSSP, κέντρα δεδομένων, fintech και παρόχους ψηφιακών υποδομών. Η Οδηγία (ΕΕ) 2022/2555 δεν αντιμετωπίζει την κυβερνοασφάλεια ως πρόβλημα του τεχνικού τμήματος. Μετατρέπει τον κυβερνοκίνδυνο σε ζήτημα λογοδοσίας του οργάνου διοίκησης.

Το NIS2 Article 20 απαιτεί από τα όργανα διοίκησης βασικών και σημαντικών οντοτήτων να εγκρίνουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύουν την υλοποίησή τους και να παρακολουθούν εκπαίδευση. Επιτρέπει επίσης στα κράτη μέλη να θεσπίζουν ευθύνη για παραβάσεις. Στη συνέχεια, το Article 21 ορίζει την πρακτική βάση αναφοράς: ανάλυση κινδύνων, πολιτικές ασφάλειας, χειρισμός περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια εφοδιαστικής αλυσίδας, ασφαλή απόκτηση και ανάπτυξη, αξιολόγηση αποτελεσματικότητας, κυβερνοϋγιεινή, εκπαίδευση, κρυπτογραφία, ασφάλεια ανθρώπινου δυναμικού, έλεγχος πρόσβασης, διαχείριση περιουσιακών στοιχείων και αυθεντικοποίηση.

Για οργανισμούς που χρησιμοποιούν ήδη το ISO/IEC 27001:2022, η δομή είναι γνώριμη. Η διαφορά βρίσκεται στο κοινό και στο βάρος της τεκμηρίωσης. Το ερώτημα δεν είναι πλέον μόνο «Έχουμε ελέγχους ασφάλειας;». Είναι «Μπορεί το διοικητικό συμβούλιο να αποδείξει ότι ενέκρινε, κατανόησε, χρηματοδότησε, ανασκόπησε, αμφισβήτησε και βελτίωσε αυτούς τους ελέγχους;».

Εδώ το ISO/IEC 27001:2022 μετατρέπεται σε τεκμηριώσιμο σύστημα διακυβέρνησης. Η προσέγγιση της Clarysec είναι να χρησιμοποιεί το ISO/IEC 27001:2022 ως βάση τεκμηρίωσης, το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές Zenith Blueprint ως διαδρομή υλοποίησης, τις πολιτικές της Clarysec ως τεκμήρια έτοιμα για το διοικητικό συμβούλιο και το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης Zenith Controls ως οδηγό χαρτογράφησης μεταξύ πλαισίων για NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 και απαιτήσεις ελέγχου.

Γιατί η ευθύνη του διοικητικού οργάνου κατά NIS2 αλλάζει τη συζήτηση για την κυβερνοασφάλεια

Η NIS2 δεν ζητά από τους διοικητικούς συμβούλους να γίνουν μηχανικοί τειχών προστασίας. Τους ζητά να ασκούν διακυβέρνηση. Αυτή η διάκριση έχει σημασία.

Ένας CISO μπορεί να παρουσιάσει αναφορές ευπαθειών, κάλυψη MFA, πίνακες ελέγχου προστασίας τερματικών σημείων και βαθμολογίες στάσης ασφάλειας νέφους. Αυτά είναι χρήσιμα επιχειρησιακά σήματα, αλλά δεν αποδεικνύουν αυτόματα εποπτεία από το όργανο διοίκησης. Μια ρυθμιστική αρχή, ένας εταιρικός πελάτης, ένας ελεγκτής πιστοποίησης ή ένας αξιολογητής του χρηματοοικονομικού τομέα θα αναζητήσει αλυσίδα τεκμηρίων διακυβέρνησης:

1. Ο οργανισμός αξιολόγησε αν η NIS2 εφαρμόζεται και τεκμηρίωσε τη βάση.
2. Το διοικητικό συμβούλιο ή η Ανώτατη Διοίκηση ενέκρινε το πλαίσιο διαχείρισης κινδύνων κυβερνοασφάλειας.
3. Καθορίστηκαν η διάθεση ανάληψης κινδύνου και τα όρια ανοχής κινδύνου.
4. Οι υψηλοί κυβερνοκίνδυνοι κλιμακώθηκαν και ανασκοπήθηκαν.
5. Οι αποφάσεις αντιμετώπισης κινδύνων εγκρίθηκαν, συμπεριλαμβανομένου του αποδεκτού υπολειπόμενου κινδύνου.
6. Οι διαδικασίες αναφοράς περιστατικών αποτυπώνουν τις υποχρεώσεις 24 ωρών, 72 ωρών και τελικής αναφοράς, όπου εφαρμόζονται.
7. Οι εξαρτήσεις από προμηθευτές και υπηρεσίες νέφους έχουν χαρτογραφηθεί και υπάγονται σε διακυβέρνηση.
8. Η ανασκόπηση της διοίκησης περιλαμβάνει ευρήματα ελέγχου, τάσεις περιστατικών, μετρικές και ενέργειες βελτίωσης.
9. Τα διευθυντικά στελέχη έλαβαν εκπαίδευση ανάλογη με τη λογοδοσία τους.
10. Οι αποφάσεις, οι εξαιρέσεις και οι κλιμακώσεις είναι ιχνηλάσιμες.

Εδώ αποτυγχάνουν πολλά παλαιότερα εγχειρίδια ασφάλειας. Η αγορά ενός εργαλείου «συμβατού με NIS2» δεν αποδεικνύει εποπτεία διοικητικού συμβουλίου. Η υπογραφή μιας πολιτικής και η αρχειοθέτησή της δεν αποδεικνύουν εφαρμογή. Η πλήρης ανάθεση της κυβερνοασφάλειας στον CISO δεν ικανοποιεί την υποχρέωση εποπτείας ενός οργάνου διοίκησης.

Το ISO/IEC 27001:2022 λύνει αυτό το πρόβλημα επειδή πλαισιώνει την ασφάλεια πληροφοριών ως στρατηγικό σύστημα διαχείρισης βάσει κινδύνου, ενσωματωμένο στις διαδικασίες του οργανισμού. Οι ρήτρες του σχετικά με το πλαίσιο, τα ενδιαφερόμενα μέρη, τις νομικές υποχρεώσεις, το πεδίο εφαρμογής, την ηγεσία και δέσμευση, την αξιολόγηση κινδύνων, την αντιμετώπιση κινδύνων, τον επιχειρησιακό σχεδιασμό και έλεγχο, την αξιολόγηση επιδόσεων, τον εσωτερικό έλεγχο, την ανασκόπηση της διοίκησης και τη συνεχή βελτίωση δημιουργούν τη δομή που χρειάζεται ένα διοικητικό συμβούλιο για τη δέουσα επιμέλεια.

Το Zenith Blueprint το καθιστά πρακτικό στη φάση θεμελίωσης και ηγεσίας του ISMS, στο Βήμα 3:

«Η Clause 5.1 αφορά την ηγεσία και δέσμευση. Το ISO 27001 απαιτεί από την Ανώτατη Διοίκηση να επιδεικνύει ηγεσία εγκρίνοντας το ISMS, παρέχοντας πόρους, προωθώντας την ευαισθητοποίηση, διασφαλίζοντας την ανάθεση ρόλων, ενσωματώνοντας το ISMS στις επιχειρησιακές διαδικασίες και υποστηρίζοντας τη συνεχή βελτίωση.»

Αυτό είναι το λειτουργικό μοντέλο πίσω από το NIS2 Article 20. Το διοικητικό συμβούλιο δεν χρειάζεται να εγκρίνει κάθε τεχνικό αίτημα, αλλά πρέπει να εγκρίνει το μοντέλο διακυβέρνησης, να κατανοεί τους ουσιώδεις κινδύνους, να διασφαλίζει πόρους και να εποπτεύει την υλοποίηση.

Το πακέτο τεκμηρίων διοικητικού συμβουλίου που πραγματικά απαιτεί η NIS2

Συνηθισμένο λάθος είναι η αντιμετώπιση των τεκμηρίων NIS2 ως νομικού σημειώματος συν έναν φάκελο πολιτικών. Αυτό σπάνια ικανοποιεί έναν σοβαρό αξιολογητή. Η λογοδοσία του διοικητικού συμβουλίου απαιτεί απόδειξη ενεργής διακυβέρνησης, όχι παθητική τεκμηρίωση.

Ένα ισχυρό πακέτο τεκμηρίων διοικητικού συμβουλίου για NIS2 πρέπει να συνδέει τις νομικές υποχρεώσεις με αποφάσεις διοικητικού συμβουλίου, ελέγχους και κύκλους ανασκόπησης.

Η ισχύς αυτού του πακέτου είναι η ιχνηλασιμότητα. Κάθε τεκμήριο απαντά σε ερώτημα διακυβέρνησης και παραπέμπει σε μηχανισμό ISO/IEC 27001:2022. Αυτό δίνει στον CISO, στον CEO και στο διοικητικό συμβούλιο μια τεκμηριώσιμη αφήγηση: η κυβερνοασφάλεια δεν είναι συλλογή εργαλείων, είναι σύστημα υπό διακυβέρνηση.

Μετατροπή πολιτικών σε λογοδοσία επιπέδου διοικητικού συμβουλίου

Στο αρχικό σενάριο, ο CEO της Μαρίας μπορεί να μπει στον πειρασμό να απαντήσει στον πελάτη με ένα πιστοποιητικό ISO και μερικές πολιτικές. Αυτό δεν αρκεί για τη λογοδοσία οργάνου διοίκησης κατά NIS2. Ο οργανισμός χρειάζεται τεκμήρια ότι η αρμοδιότητα έχει ανατεθεί, οι αποφάσεις καταγράφονται και οι κίνδυνοι κλιμακώνονται αντικειμενικά.

Οι πολιτικές της Clarysec έχουν σχεδιαστεί ώστε να δημιουργούν αυτή την ιχνηλασιμότητα.

Για μικρότερους οργανισμούς, η Information Security Policy-sme Information Security Policy - SME, clause 4.1.1, ορίζει ότι η Ανώτατη Διοίκηση:

«Διατηρεί τη συνολική λογοδοσία για την ασφάλεια πληροφοριών.»

Αυτή η πρόταση έχει σημασία. Αποτρέπει ένα συνηθισμένο αντι-πρότυπο, όπου ιδρυτές, CEOs ή εκτελεστικές ομάδες αναθέτουν άτυπα όλη τη λογοδοσία για την ασφάλεια στο τμήμα πληροφορικής, χωρίς να διατηρούν ουσιαστική εποπτεία.

Για μεγαλύτερους οργανισμούς, η Πολιτική Διαχείρισης Κινδύνων Risk Management Policy, clause 4.1.1, ορίζει ότι η ηγεσία:

«Εγκρίνει το πλαίσιο διαχείρισης κινδύνων και καθορίζει αποδεκτή διάθεση ανάληψης κινδύνου και όρια ανοχής κινδύνου.»

Αυτό αποτελεί τεκμήριο έτοιμο για διοικητικό συμβούλιο για το NIS2 Article 20. Μια δήλωση διάθεσης ανάληψης κινδύνου, όρια ανοχής και ένα επίσημο μοντέλο αρμοδιοτήτων κινδύνου δείχνουν πώς λειτουργούν στην πράξη η έγκριση και η κλιμάκωση.

Η clause 5.6 της ίδιας πολιτικής προσθέτει:

«Η Μήτρα αρμοδιοτήτων κινδύνου πρέπει να ορίζει με σαφήνεια τα κατώφλια κλιμάκωσης προς την Ανώτατη Διοίκηση ή το Διοικητικό Συμβούλιο.»

Αυτό είναι ένα από τα σημαντικότερα τεκμήρια για τη διακυβέρνηση NIS2. Χωρίς κατώφλια κλιμάκωσης, το διοικητικό συμβούλιο βλέπει μόνο όσα κάποιος επιλέγει να κλιμακώσει. Με κατώφλια, ο υψηλός υπολειπόμενος κίνδυνος, οι μη επιλυμένες κρίσιμες ευπάθειες, η σημαντική συγκέντρωση προμηθευτών, τα μείζονα περιστατικά, τα ευρήματα ελέγχου και οι εξαιρέσεις άνω της ανοχής μεταφέρονται αυτόματα στην εποπτεία της εκτελεστικής διοίκησης.

Η Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης Governance Roles and Responsibilities Policy ενισχύει την αλυσίδα τεκμηρίων:

«Η διακυβέρνηση πρέπει να υποστηρίζει την ενσωμάτωση με άλλους τομείς (π.χ. κίνδυνος, νομικό τμήμα, πληροφορική, ανθρώπινο δυναμικό), και οι αποφάσεις του ISMS πρέπει να είναι ιχνηλάσιμες στην πηγή τους (π.χ. αρχεία ελέγχου, αρχεία ανασκόπησης, πρακτικά συνεδριάσεων).»

Για SMEs, η Governance Roles and Responsibilities Policy-sme Governance Roles and Responsibilities Policy - SME ορίζει:

«Όλες οι σημαντικές αποφάσεις ασφάλειας, εξαιρέσεις και κλιμακώσεις πρέπει να καταγράφονται και να είναι ιχνηλάσιμες.»

Αυτές οι ρήτρες μετατρέπουν την εποπτεία διοικητικού συμβουλίου από συζήτηση σε διαδρομή ελέγχου.

Η αλυσίδα τεκμηρίων ISO/IEC 27001:2022 για το NIS2 Article 20

Ένα διοικητικό συμβούλιο μπορεί να εφαρμόσει στην πράξη το NIS2 Article 20 μέσω σαφούς αλυσίδας τεκμηρίων ISO/IEC 27001:2022.

Πρώτον, καθορίστε πλαίσιο και πεδίο εφαρμογής. Το ISO/IEC 27001:2022 απαιτεί από τον οργανισμό να προσδιορίζει εσωτερικά και εξωτερικά ζητήματα, ενδιαφερόμενα μέρη, νομικές, κανονιστικές και συμβατικές απαιτήσεις, όρια του ISMS, διεπαφές, εξαρτήσεις και αλληλεπιδρώσες διαδικασίες. Για πάροχο SaaS ή υπηρεσιών νέφους, το πεδίο εφαρμογής του ISMS πρέπει να προσδιορίζει ρητά τις υπηρεσίες στην ΕΕ, τα περιβάλλοντα νέφους, τις λειτουργίες υποστήριξης, τους κρίσιμους προμηθευτές, τα ρυθμιζόμενα τμήματα πελατών και την έκθεση σε NIS2.

Δεύτερον, αποδείξτε ηγεσία. Το ISO/IEC 27001:2022 απαιτεί από την Ανώτατη Διοίκηση να ευθυγραμμίζει τους στόχους ασφάλειας με τη στρατηγική κατεύθυνση, να ενσωματώνει τις απαιτήσεις του ISMS στις επιχειρησιακές διαδικασίες, να παρέχει πόρους, να επικοινωνεί τη σημασία, να αναθέτει αρμοδιότητες και να προωθεί τη συνεχή βελτίωση. Για τη NIS2, αυτό γίνεται τεκμήριο ότι το όργανο διοίκησης ενέκρινε και εποπτεύει τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας.

Τρίτον, εφαρμόστε επαναλήψιμη αξιολόγηση κινδύνων και αντιμετώπιση κινδύνων. Το ISO/IEC 27001:2022 απαιτεί κριτήρια κινδύνου, αναγνώριση κινδύνων, υπεύθυνο κινδύνου, ανάλυση πιθανότητας και συνεπειών, επιλογές αντιμετώπισης, επιλογή ελέγχων, σύγκριση με το Annex A, Δήλωση Εφαρμοσιμότητας, Σχέδιο Αντιμετώπισης Κινδύνων και έγκριση υπολειπόμενου κινδύνου.

Το Zenith Blueprint, στη φάση διαχείρισης κινδύνων, Βήμα 13, καθιστά ρητό το σημείο έγκρισης:

«Έγκριση διοίκησης: Οι αποφάσεις αντιμετώπισης κινδύνων και η SoA πρέπει να ανασκοπούνται και να εγκρίνονται από την Ανώτατη Διοίκηση. Η διοίκηση πρέπει να ενημερώνεται για τους βασικούς κινδύνους και τις προτεινόμενες αντιμετωπίσεις, τους κινδύνους που προτείνονται για αποδοχή και τους ελέγχους που σχεδιάζονται προς υλοποίηση.»

Για τη NIS2, αυτή η ενημέρωση δεν πρέπει να είναι εφάπαξ. Το πακέτο διοικητικού συμβουλίου πρέπει να δείχνει τους τρέχοντες κορυφαίους κινδύνους, τις τάσεις, την πρόοδο αντιμετώπισης, τον αποδεκτό υπολειπόμενο κίνδυνο, τις εκπρόθεσμες ενέργειες, την έκθεση σε κρίσιμους προμηθευτές, τα θέματα περιστατικών και τους βασικούς δείκτες αποτελεσματικότητας.

Τέταρτον, λειτουργήστε και τηρήστε τεκμήρια. Η clause 8.1 του ISO/IEC 27001:2022 απαιτεί επιχειρησιακό σχεδιασμό και έλεγχο. Οι έλεγχοι του Annex A υποστηρίζουν ασφάλεια προμηθευτών, διακυβέρνηση νέφους, απόκριση σε περιστατικά, επιχειρησιακή συνέχεια, διαχείριση ευπαθειών, αντίγραφα ασφαλείας, καταγραφή, παρακολούθηση, ασφαλή ανάπτυξη, ασφάλεια εφαρμογών, αρχιτεκτονική, δοκιμές, εξωτερική ανάθεση, διαχωρισμό και διαχείριση αλλαγών.

Πέμπτον, αξιολογήστε και βελτιώστε. Ο εσωτερικός έλεγχος, οι μετρήσεις, η ανασκόπηση της διοίκησης, οι διορθωτικές ενέργειες και η συνεχής βελτίωση μετατρέπουν έναν κατάλογο ελέγχων σε σύστημα υπό διακυβέρνηση.

Η εταιρική Πολιτική Ασφάλειας Πληροφοριών Information Security Policy ενσωματώνει αυτή την προσδοκία ανασκόπησης της διοίκησης:

«Οι δραστηριότητες ανασκόπησης από τη διοίκηση (σύμφωνα με ISO/IEC 27001 Clause 9.3) πρέπει να διεξάγονται τουλάχιστον ετησίως και να περιλαμβάνουν:»

Η αξία δεν είναι μόνο ότι πραγματοποιείται συνάντηση. Η αξία είναι ότι η ανασκόπηση δημιουργεί τεκμήρια: εισροές, αποφάσεις, ενέργειες, υπευθύνους, προθεσμίες και παρακολούθηση.

Η Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy - SME, clause 5.4.3, κλείνει τον κύκλο:

«Τα ευρήματα ελέγχου και οι ενημερώσεις κατάστασης πρέπει να περιλαμβάνονται στη διαδικασία ανασκόπησης της διοίκησης του ISMS.»

Αυτή είναι η διαφορά μεταξύ «κάναμε έλεγχο» και «η διοίκηση ανασκόπησε τα αποτελέσματα του ελέγχου και κατεύθυνε την αποκατάσταση».

Χαρτογράφηση διασταυρούμενης συμμόρφωσης: NIS2, DORA, GDPR, NIST CSF 2.0 και COBIT 2019

Η NIS2 σπάνια έρχεται μόνη της. Ένας πάροχος υπηρεσιών νέφους μπορεί να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα βάσει GDPR. Ένας πελάτης fintech μπορεί να επιβάλλει απαιτήσεις προμηθευτών που απορρέουν από τον DORA. Ένας εταιρικός πελάτης στις ΗΠΑ μπορεί να ζητήσει ευθυγράμμιση με το NIST CSF 2.0. Μια Επιτροπή Ελέγχου του διοικητικού συμβουλίου μπορεί να μιλά τη γλώσσα του COBIT 2019.

Η απάντηση δεν είναι η δημιουργία ξεχωριστών φακέλων συμμόρφωσης. Η απάντηση είναι η χρήση του ISO/IEC 27001:2022 ως κεντρικού συστήματος τεκμηρίωσης.

Το Zenith Controls βοηθά τις ομάδες να ενοποιούν, χαρτογραφώντας τον έλεγχο 5.4 του ISO/IEC 27002:2022, αρμοδιότητες της διοίκησης, σε πρότυπα, κανονισμούς και μεθοδολογίες ελέγχου.

Στο Zenith Controls, η καταχώριση για τον έλεγχο 5.4 του ISO/IEC 27002:2022 «Αρμοδιότητες της διοίκησης» ταξινομεί τον τύπο ελέγχου ως «Προληπτικό», τον συνδέει με εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα και τον τοποθετεί υπό επιχειρησιακή ικανότητα εστιασμένη στη διακυβέρνηση.

Αυτό έχει σημασία επειδή το NIS2 Article 20 είναι προληπτική διακυβέρνηση. Η έγκριση και η εποπτεία από την ηγεσία μειώνουν την πιθανότητα ο κυβερνοκίνδυνος να γίνει αόρατος, υποχρηματοδοτημένος ή μη διαχειριζόμενος.

Το Zenith Controls συνδέει επίσης τις αρμοδιότητες της διοίκησης με συναφείς ελέγχους ISO/IEC 27002:2022: 5.1 Πολιτικές για την Ασφάλεια Πληροφοριών, 5.2 Ρόλοι και αρμοδιότητες ασφάλειας πληροφοριών, 5.35 Ανεξάρτητη ανασκόπηση της ασφάλειας πληροφοριών, 5.36 Συμμόρφωση με πολιτικές, κανόνες και πρότυπα για την ασφάλεια πληροφοριών και 5.8 Ασφάλεια στη διαχείριση έργων. Η λογοδοσία διοικητικού συμβουλίου δεν μπορεί να σταθεί μόνη της. Χρειάζεται πολιτικές, ρόλους, διασφάλιση, παρακολούθηση συμμόρφωσης και ενσωμάτωση σε επίπεδο έργου.

Η ευρύτερη αντιστοίχιση είναι ιδιαίτερα χρήσιμη για αναφορά προς τη διοίκηση.

Ο DORA αξίζει ιδιαίτερη προσοχή. Το NIS2 Article 4 αναγνωρίζει ότι ειδικές τομεακές νομικές πράξεις της ΕΕ μπορούν να υπερισχύουν επικαλυπτόμενων διατάξεων NIS2 όταν εφαρμόζονται ισοδύναμα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας ή κοινοποίησης περιστατικών. Ο DORA είναι το βασικό παράδειγμα για τις χρηματοοικονομικές οντότητες. Εφαρμόζεται από τις 17 Ιανουαρίου 2025 και δημιουργεί ενιαίο πλαίσιο διαχείρισης κινδύνων ΤΠΕ, αναφοράς περιστατικών, δοκιμών ανθεκτικότητας, διαχείρισης κινδύνου τρίτων μερών και εποπτείας για τις χρηματοοικονομικές υπηρεσίες.

Ένας πάροχος SaaS ή υπηρεσιών νέφους μπορεί να μην ρυθμίζεται άμεσα όπως μια τράπεζα, όμως ο DORA μπορεί να φτάσει σε αυτόν μέσω συμβάσεων πελατών. Οι χρηματοοικονομικές οντότητες πρέπει να διαχειρίζονται κινδύνους τρίτων παρόχων ΤΠΕ, να τηρούν μητρώα συμβάσεων υπηρεσιών ΤΠΕ, να διενεργούν δέουσα επιμέλεια, να αξιολογούν τον κίνδυνο συγκέντρωσης, να περιλαμβάνουν δικαιώματα ελέγχου και επιθεώρησης, να καθορίζουν δικαιώματα λύσης σύμβασης και να διατηρούν στρατηγικές εξόδου. Αυτό σημαίνει ότι οι πάροχοι που εξυπηρετούν χρηματοοικονομικούς πελάτες πρέπει να αναμένουν αιτήματα τεκμηρίων που μοιάζουν πολύ με τα ερωτήματα διακυβέρνησης διοικητικού συμβουλίου της NIS2.

Το GDPR προσθέτει λογοδοσία για τα δεδομένα προσωπικού χαρακτήρα. Το Article 5(2) απαιτεί από τους υπευθύνους επεξεργασίας να είναι υπεύθυνοι και να μπορούν να αποδείξουν συμμόρφωση. Το Article 32 απαιτεί ασφάλεια της επεξεργασίας, συμπεριλαμβανομένων τακτικών δοκιμών, εκτίμησης και αξιολόγησης της αποτελεσματικότητας τεχνικών και οργανωτικών μέτρων. Όταν επηρεάζονται δεδομένα προσωπικού χαρακτήρα, οι ροές εργασιών περιστατικών πρέπει να ενσωματώνουν την αξιολόγηση παραβίασης κατά GDPR με την κλιμάκωση σημαντικών περιστατικών κατά NIS2.

Το NIST CSF 2.0 προσθέτει γλώσσα φιλική προς τα στελέχη μέσω της λειτουργίας GOVERN. Δίνει έμφαση στο πλαίσιο του οργανισμού, στη στρατηγική διαχείρισης κινδύνων, στους ρόλους και αρμοδιότητες, στην πολιτική, στην εποπτεία και στη διαχείριση κινδύνων εφοδιαστικής αλυσίδας. Το COBIT 2019 προσθέτει λεξιλόγιο διακυβέρνησης οικείο στις επιτροπές ελέγχου, ιδίως μέσω του EDM03 για βελτιστοποίηση κινδύνου και των στόχων MEA για παρακολούθηση και διασφάλιση.

Sprint 90 ημερών για τεκμήρια διοικητικού συμβουλίου κατά NIS2

Ένα πρακτικό sprint τεκμηρίωσης μπορεί να βοηθήσει τους οργανισμούς να κινηθούν γρήγορα χωρίς να δημιουργήσουν παράλληλη γραφειοκρατία.

Ημέρες 1 έως 30: Καθορισμός λογοδοσίας

Ξεκινήστε με ένα μητρώο λογοδοσίας NIS2 που καταγράφει:

• Ανάλυση ταξινόμησης οντότητας, συμπεριλαμβανομένης αιτιολόγησης για βασική, σημαντική, έμμεση έκθεση ή εκτός πεδίου εφαρμογής.
• Υπηρεσίες εντός πεδίου εφαρμογής, όπως SaaS, υπηρεσίες νέφους, διαχειριζόμενες υπηρεσίες, κέντρο δεδομένων, DNS, υπηρεσίες εμπιστοσύνης ή υπηρεσίες σχετιζόμενες με επικοινωνίες.
• Κράτη μέλη της ΕΕ όπου παρέχονται υπηρεσίες.
• Επηρεαζόμενοι τομείς πελατών, ιδίως χρηματοοικονομικές υπηρεσίες, υγεία, μεταφορές, ενέργεια, δημόσια διοίκηση και ψηφιακή υποδομή.
• Εφαρμοστέες υποχρεώσεις, συμπεριλαμβανομένων NIS2 Article 20, Article 21 και Article 23.
• Συναφείς υποχρεώσεις από DORA, GDPR, συμβάσεις πελατών και κυβερνοασφάλιση.
• Υπεύθυνος διοίκησης και συχνότητα αναφοράς προς το διοικητικό συμβούλιο.

Συνδέστε το με το πλαίσιο ISO/IEC 27001:2022, τα ενδιαφερόμενα μέρη, το μητρώο υποχρεώσεων και το πεδίο εφαρμογής του ISMS. Στη συνέχεια, επικαιροποιήστε τη Μήτρα αρμοδιοτήτων κινδύνου χρησιμοποιώντας την απαίτηση της Πολιτικής Διαχείρισης Κινδύνων για καθορισμό κατωφλίων κλιμάκωσης προς την Ανώτατη Διοίκηση ή το διοικητικό συμβούλιο.

Χρήσιμα εναύσματα κλιμάκωσης περιλαμβάνουν υπολειπόμενο κίνδυνο άνω της διάθεσης ανάληψης κινδύνου, μη αποδεκτές κρίσιμες ευπάθειες μετά το SLA, κίνδυνο συγκέντρωσης προμηθευτών, μη επιλυμένα ευρήματα ελέγχου υψηλής σοβαρότητας, περιστατικά που μπορεί να ενεργοποιήσουν αναφορά NIS2, εξαιρέσεις σε απαιτήσεις MFA, αντιγράφων ασφαλείας, καταγραφής, κρυπτογράφησης ή απόκρισης σε περιστατικά και ουσιώδεις αλλαγές αρχιτεκτονικής νέφους.

Ημέρες 31 έως 60: Έγκριση αντιμετώπισης κινδύνων

Χρησιμοποιήστε το Βήμα 13 του Zenith Blueprint για να προετοιμάσετε πακέτο απόφασης διοικητικού συμβουλίου για το Σχέδιο Αντιμετώπισης Κινδύνων και τη Δήλωση Εφαρμοσιμότητας. Το πακέτο πρέπει να περιλαμβάνει:

• Τους κορυφαίους 10 κυβερνοκινδύνους.
• Προτεινόμενη επιλογή αντιμετώπισης για κάθε κίνδυνο.
• Επιλεγμένες ομάδες ελέγχων.
• Υπολειπόμενο κίνδυνο μετά την αντιμετώπιση.
• Κινδύνους που προτείνονται για αποδοχή.
• Απαιτούμενες αποφάσεις προϋπολογισμού ή πόρων.
• Εξαρτήσεις από προμηθευτές, Νομικό Τμήμα, Ανθρώπινο Δυναμικό, προϊόν και πληροφορική.
• Ζητούμενη απόφαση διοίκησης.

Το αποτέλεσμα πρέπει να είναι υπογεγραμμένη έγκριση ή έγκριση που έχει καταγραφεί σε πρακτικά. Μια παρουσίαση διαφανειών από μόνη της δεν αρκεί.

Χαρτογραφήστε επίσης τα μέτρα του NIS2 Article 21 στις ρήτρες του ISO/IEC 27001:2022 και στους ελέγχους του Annex A. Αυτό επιτρέπει στον οργανισμό να δείξει ότι η NIS2 αντιμετωπίζεται μέσω του ISMS και όχι μέσω αποσυνδεδεμένης λίστας ελέγχου.

Ημέρες 61 έως 90: Δοκιμή αναφοράς περιστατικών και ανασκόπηση τεκμηρίων

Το NIS2 Article 23 απαιτεί σταδιακή αναφορά για σημαντικά περιστατικά: έγκαιρη προειδοποίηση εντός 24 ωρών, ειδοποίηση περιστατικού εντός 72 ωρών, ενδιάμεσες ενημερώσεις όπου απαιτείται ή ζητείται και τελική αναφορά το αργότερο εντός ενός μήνα από την ειδοποίηση.

Διενεργήστε άσκηση επιτραπέζιου σεναρίου με τον χορηγό από το διοικητικό συμβούλιο, τον CEO, τον CISO, το Νομικό Τμήμα, τις επικοινωνίες, την ομάδα επιτυχίας πελατών και τις λειτουργίες. Χρησιμοποιήστε ρεαλιστικό σενάριο, όπως εσφαλμένη ρύθμιση παραμέτρων σε περιβάλλον νέφους που εκθέτει μεταδεδομένα πελατών, διαταράσσει τη διαθεσιμότητα υπηρεσίας και επηρεάζει ρυθμιζόμενο πελάτη.

Δοκιμάστε ποιος αποφασίζει αν το περιστατικό μπορεί να είναι σημαντικό, ποιος επικοινωνεί με τον νομικό σύμβουλο, ποιος ειδοποιεί τις αρμόδιες αρχές ή το CSIRT όπου απαιτείται, ποιος εγκρίνει τις επικοινωνίες προς πελάτες, πώς διατηρούνται τα τεκμήρια, πώς αξιολογούνται παράλληλα οι υποχρεώσεις παραβίασης κατά GDPR και πώς ενημερώνεται το διοικητικό συμβούλιο κατά τις πρώτες 24 ώρες.

Στη συνέχεια, πραγματοποιήστε επίσημη ανασκόπηση της διοίκησης. Το Zenith Blueprint, στη φάση Έλεγχος, Ανασκόπηση και Βελτίωση, Βήμα 28, εξηγεί γιατί:

«Η ανασκόπηση της διοίκησης δεν είναι απλώς παρουσίαση· αφορά τη λήψη αποφάσεων.»

Η ανασκόπηση αυτή πρέπει να περιλαμβάνει ευρήματα ελέγχου, πρόοδο αντιμετώπισης κινδύνων, ετοιμότητα για περιστατικά, κινδύνους προμηθευτών, μετρικές, αποφάσεις, ανατεθειμένες ενέργειες και υπευθύνους παρακολούθησης.

Η συνάντηση ανασκόπησης της διοίκησης που λειτουργεί πραγματικά

Πολλές ανασκοπήσεις της διοίκησης αποτυγχάνουν επειδή δομούνται ως ενημερώσεις κατάστασης. Μια ανασκόπηση της διοίκησης έτοιμη για NIS2 πρέπει να είναι συνάντηση λήψης αποφάσεων.

Η ημερήσια διάταξη πρέπει να περιλαμβάνει:

1. Αλλαγές σε NIS2, DORA, GDPR, συμβατικές και πελατειακές απαιτήσεις.
2. Αλλαγές στο επιχειρησιακό πλαίσιο, στις υπηρεσίες, στις εξαγορές, στους προμηθευτές, στην αρχιτεκτονική νέφους και στα ρυθμιζόμενα τμήματα πελατών.
3. Κατάσταση κορυφαίων κινδύνων ασφάλειας πληροφοριών και υπολειπόμενος κίνδυνος έναντι της διάθεσης ανάληψης κινδύνου.
4. Πρόοδος του Σχεδίου Αντιμετώπισης Κινδύνων και εκπρόθεσμες ενέργειες.
5. Τάσεις περιστατικών, σημαντικά γεγονότα, παρ’ ολίγον συμβάντα και ετοιμότητα αναφοράς.
6. Κίνδυνοι προμηθευτών και εξαρτήσεων ΤΠΕ, συμπεριλαμβανομένων ζητημάτων συγκέντρωσης και εξόδου.
7. Αποτελέσματα εσωτερικών ελέγχων, εξωτερικών ελέγχων, αξιολογήσεων πελατών και δοκιμών διείσδυσης.
8. Ευαισθητοποίηση σε θέματα ασφάλειας και ολοκλήρωση εκπαίδευσης στελεχών.
9. Μετρικές για έλεγχο πρόσβασης, διαχείριση ευπαθειών, αντίγραφα ασφαλείας, καταγραφή, παρακολούθηση, ασφαλή ανάπτυξη και δοκιμές συνέχειας.
10. Απαιτούμενες αποφάσεις, συμπεριλαμβανομένων αποδοχής κινδύνου, προϋπολογισμού, στελέχωσης, εξαιρέσεων πολιτικής, αποκατάστασης προμηθευτών και βελτιώσεων ελέγχων.

Η εκπαίδευση στελεχών είναι ιδιαίτερα σημαντική. Το NIS2 Article 20 απαιτεί από τα μέλη του οργάνου διοίκησης να παρακολουθούν εκπαίδευση. Η Πολιτική Ευαισθητοποίησης και Εκπαίδευσης για την Ασφάλεια Πληροφοριών Information Security Awareness and Training Policy, clause 5.1.2.4, περιλαμβάνει ρητά θέματα εκπαίδευσης στελεχών:

«Διευθυντικά στελέχη (π.χ. διακυβέρνηση, αποδοχή κινδύνου, νομικές υποχρεώσεις)»

Η εκπαίδευση στελεχών στον κυβερνοκίνδυνο πρέπει να εστιάζει στα δικαιώματα λήψης αποφάσεων, στην ευθύνη, στην κλιμάκωση, στη διάθεση ανάληψης κινδύνου, στη διακυβέρνηση κρίσεων, στην αναφορά περιστατικών και στις ρυθμιστικές υποχρεώσεις. Δεν πρέπει να περιορίζεται στην ευαισθητοποίηση για ηλεκτρονικό ψάρεμα.

Πώς οι ελεγκτές και οι πελάτες θα δοκιμάσουν την εποπτεία του διοικητικού συμβουλίου

Διαφορετικοί αξιολογητές θα χρησιμοποιήσουν διαφορετική γλώσσα, αλλά θα ελέγξουν το ίδιο βασικό ερώτημα: υπάγεται η κυβερνοασφάλεια σε διακυβέρνηση;

Το Zenith Controls είναι πολύτιμο επειδή περιλαμβάνει χαρτογραφήσεις μεθοδολογίας ελέγχου. Για τις αρμοδιότητες της διοίκησης, παραπέμπει στις αρχές και τη διεξαγωγή ελέγχων του ISO/IEC 19011:2018, στις πρακτικές ελέγχου ISMS του ISO/IEC 27007:2020, στη clause 5.1 του ISO/IEC 27001:2022, στα COBIT 2019 EDM01 και EDM03, στο ISACA ITAF Section 1401 και στα NIST SP 800-53A PM-1 και PM-2. Για την ανεξάρτητη ανασκόπηση, χαρτογραφεί στις clauses 9.2 και 9.3 του ISO/IEC 27001:2022, στον σχεδιασμό ελέγχων και στις πρακτικές τεκμηρίων του ISO/IEC 27007, στο ISACA ITAF Section 2400 και στις μεθόδους αξιολόγησης NIST. Για τη συμμόρφωση με πολιτικές, χαρτογραφεί στις clauses 9.1, 9.2 και 10.1 του ISO/IEC 27001:2022, στη συλλογή τεκμηρίων ISO/IEC 19011, στο COBIT 2019 MEA01 και στην αξιολόγηση συνεχούς παρακολούθησης NIST.

Το δίδαγμα είναι απλό. Η λογοδοσία του διοικητικού συμβουλίου δεν τεκμηριώνεται μόνο με την παρουσία σε συνεδριάσεις. Τεκμηριώνεται με ενημερωμένες αποφάσεις, τεκμηριωμένες εγκρίσεις, ιεράρχηση βάσει κινδύνου, κατανομή πόρων και παρακολούθηση.

Συνήθεις παγίδες που σπάνε την αλυσίδα τεκμηρίων

Οι οργανισμοί που δυσκολεύονται με τη λογοδοσία οργάνου διοίκησης κατά NIS2 συνήθως εμπίπτουν σε προβλέψιμα μοτίβα.

Πρώτον, συγχέουν τη λειτουργία τεχνικών ελέγχων με τη διακυβέρνηση. Η κάλυψη MFA, οι ειδοποιήσεις SIEM, η εγκατάσταση EDR και τα ποσοστά επιτυχίας αντιγράφων ασφαλείας έχουν σημασία, αλλά το διοικητικό συμβούλιο χρειάζεται πλαίσιο κινδύνου, αποφάσεις αντιμετώπισης και διασφάλιση ότι οι έλεγχοι λειτουργούν.

Δεύτερον, εγκρίνουν πολιτικές αλλά όχι αντιμετώπιση κινδύνων. Μια υπογεγραμμένη πολιτική ασφάλειας δεν αποδεικνύει ότι το διοικητικό συμβούλιο ενέκρινε αναλογικά μέτρα κυβερνοασφάλειας. Το Σχέδιο Αντιμετώπισης Κινδύνων και η SoA είναι ισχυρότερα τεκμήρια, επειδή συνδέουν κινδύνους, ελέγχους, υπολειπόμενο κίνδυνο και έγκριση διοίκησης.

Τρίτον, δεν διαθέτουν κατώφλια κλιμάκωσης. Χωρίς Μήτρα αρμοδιοτήτων κινδύνου, η κλιμάκωση εξαρτάται από πρόσωπα. Η διακυβέρνηση NIS2 χρειάζεται αντικειμενικά εναύσματα.

Τέταρτον, διαχωρίζουν την απόκριση σε περιστατικά από τη ρυθμιστική αναφορά. Οι ροές εργασιών αναφοράς NIS2, DORA και GDPR πρέπει να ενσωματωθούν πριν από μια κρίση.

Πέμπτον, αγνοούν τη διακυβέρνηση προμηθευτών. Το NIS2 Article 21 περιλαμβάνει ασφάλεια εφοδιαστικής αλυσίδας και παραμέτρους ευπαθειών προμηθευτών. Πελάτες που επηρεάζονται από τον DORA μπορεί να αναμένουν βαθύτερη διακυβέρνηση τρίτων παρόχων ΤΠΕ, συμπεριλαμβανομένων δέουσας επιμέλειας, δικαιωμάτων ελέγχου, κινδύνου συγκέντρωσης, δικαιωμάτων λύσης και στρατηγικών εξόδου.

Έκτον, δεν εκπαιδεύουν τα διευθυντικά στελέχη. Η εκπαίδευση στελεχών στον κυβερνοκίνδυνο δεν είναι προαιρετική τυπική άσκηση στο πλαίσιο της NIS2. Αποτελεί μέρος της αλυσίδας τεκμηρίων διακυβέρνησης.

Πώς φαίνεται η ορθή πρακτική

Μετά από 90 ημέρες, ένας αξιόπιστος φάκελος τεκμηρίων διοικητικού συμβουλίου για NIS2 πρέπει να περιέχει:

• Αξιολόγηση εφαρμοσιμότητας.
• Πεδίο εφαρμογής του ISMS και μητρώο υποχρεώσεων.
• Δήλωση δέσμευσης ηγεσίας.
• Διάθεση ανάληψης κινδύνου και όρια ανοχής κινδύνου.
• Μήτρα αρμοδιοτήτων κινδύνου.
• Μητρώο κυβερνοκινδύνων.
• Σχέδιο Αντιμετώπισης Κινδύνων.
• Δήλωση Εφαρμοσιμότητας.
• Πρακτικά έγκρισης διοικητικού συμβουλίου.
• Αρχεία εκπαίδευσης στελεχών.
• Αναφορά άσκησης επιτραπέζιου σεναρίου για περιστατικό.
• Πίνακας ελέγχου κινδύνων προμηθευτών.
• Αναφορά εσωτερικού ελέγχου.
• Πρακτικά ανασκόπησης της διοίκησης και σύστημα παρακολούθησης ενεργειών.

Αυτός ο φάκελος απαντά στο ερωτηματολόγιο πελάτη που έλαβε η Μαρία τη Δευτέρα το πρωί. Ακόμη σημαντικότερο, βοηθά το διοικητικό συμβούλιο να ασκεί διακυβέρνηση στον κυβερνοκίνδυνο πριν ένα περιστατικό, ένας έλεγχος ή μια ρυθμιστική αρχή δοκιμάσει δημόσια τον οργανισμό.

Μετατρέψτε την ευθύνη διοικητικού συμβουλίου κατά NIS2 σε διακυβέρνηση έτοιμη για έλεγχο

Η NIS2 έχει αλλάξει τη συζήτηση για την κυβερνοασφάλεια. Τα όργανα διοίκησης πρέπει να εγκρίνουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύουν την υλοποίηση και να παρακολουθούν εκπαίδευση. Το Article 21 απαιτεί ολοκληρωμένο σύνολο τεχνικών, επιχειρησιακών και οργανωτικών μέτρων. Το Article 23 συμπιέζει την αναφορά περιστατικών σε σταδιακό χρονοδιάγραμμα που απαιτεί προετοιμασία πριν από την κρίση.

Το ISO/IEC 27001:2022 παρέχει το σύστημα διαχείρισης. Η Clarysec παρέχει τη διαδρομή υλοποίησης, τη γλώσσα πολιτικών, τις χαρτογραφήσεις διασταυρούμενης συμμόρφωσης και το μοντέλο ελεγκτικών τεκμηρίων.

Αν το διοικητικό συμβούλιό σας ρωτά «Τι πρέπει να εγκρίνουμε και πώς αποδεικνύουμε την εποπτεία;», ξεκινήστε με τρεις ενέργειες:

1. Χρησιμοποιήστε το Zenith Blueprint Βήμα 3, Βήμα 13 και Βήμα 28 για να δομήσετε τη δέσμευση ηγεσίας, την έγκριση αντιμετώπισης κινδύνων και την ανασκόπηση της διοίκησης.
2. Χρησιμοποιήστε πολιτικές της Clarysec όπως η Πολιτική Διαχείρισης Κινδύνων, η Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης, η Πολιτική Ασφάλειας Πληροφοριών και τα αντίστοιχα SME για να επισημοποιήσετε τη λογοδοσία και την ιχνηλασιμότητα.
3. Χρησιμοποιήστε το Zenith Controls για να χαρτογραφήσετε την εποπτεία διοικητικού συμβουλίου κατά NIS2 σε ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 και απαιτήσεις μεθοδολογίας ελέγχου.

Η Clarysec μπορεί να σας βοηθήσει να δημιουργήσετε το πακέτο διοικητικού συμβουλίου, να επικαιροποιήσετε την αλυσίδα τεκμηρίων του ISMS, να προετοιμάσετε την ανασκόπηση της διοίκησης και να μετατρέψετε τη λογοδοσία NIS2 σε επαναλήψιμη διαδικασία διακυβέρνησης κυβερνοκινδύνων που μπορούν να κατανοήσουν ελεγκτές, πελάτες και διευθυντικά στελέχη. Κατεβάστε τις σχετικές εργαλειοθήκες της Clarysec ή ζητήστε αξιολόγηση για να μετατρέψετε την ευθύνη του διοικητικού συμβουλίου σε τεκμήρια έτοιμα για έλεγχο.