Τεκμήρια καταχώρισης NIS2 στο πλαίσιο ISO 27001:2022

Το μήνυμα έφτασε στα εισερχόμενα της Άννας με έναν ήσυχο γδούπο που έμοιαζε περισσότερο με σειρήνα. Ως CISO της CloudFlow, ενός ταχέως αναπτυσσόμενου παρόχου B2B SaaS που εξυπηρετεί πελάτες σε όλη την ΕΕ, ήταν εξοικειωμένη με ερωτηματολόγια ασφάλειας, ελέγχους προμηθειών και ελέγχους επιτήρησης ISO 27001. Αυτό το μήνυμα ήταν διαφορετικό.

Το θέμα έγραφε: «Αίτημα πληροφοριών σχετικά με την εθνική εφαρμογή της Οδηγίας (ΕΕ) 2022/2555 (NIS2)». Η εθνική αρχή κυβερνοασφάλειας ζητούσε από την CloudFlow να επιβεβαιώσει την ταξινόμησή της, να προετοιμάσει στοιχεία καταχώρισης οντότητας, να προσδιορίσει τις υπηρεσίες εντός πεδίου εφαρμογής και να είναι έτοιμη να αποδείξει μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας.

Η Άννα είχε ένα πιστοποιητικό ISO 27001:2022 κορνιζαρισμένο στον τοίχο. Οι πωλήσεις το αξιοποιούσαν σε συμφωνίες με μεγάλους εταιρικούς πελάτες. Το Διοικητικό Συμβούλιο είχε εγκρίνει την πολιτική ασφάλειας πληροφοριών. Ο Εσωτερικός Έλεγχος είχε πρόσφατα κλείσει δύο ευρήματα. Όμως το ερώτημα μπροστά της ήταν πιο απαιτητικό από την κατάσταση πιστοποίησης.

Μπορούσε η CloudFlow να αποδείξει, γρήγορα και τεκμηριωμένα, ότι το ISMS της κατά ISO 27001:2022 κάλυπτε τις υποχρεώσεις NIS2;

Εκεί είναι που πολλοί οργανισμοί κάνουν τη λάθος κίνηση. Αντιμετωπίζουν την καταχώριση οντότητας NIS2 ως διοικητική υποβολή, όπως μια ενημέρωση σε εμπορικό μητρώο ή φορολογική πύλη. Δεν είναι. Η καταχώριση είναι η είσοδος στην ορατότητα έναντι της εποπτικής αρχής. Μετά από αυτή την είσοδο, η αρμόδια αρχή μπορεί να ζητήσει αιτιολόγηση πεδίου εφαρμογής, αρχεία εγκρίσεων του Διοικητικού Συμβουλίου, διαδικασίες αναφοράς περιστατικών, τεκμήρια κινδύνων προμηθευτών, σημεία επαφής, μετρικές αποτελεσματικότητας ελέγχων και απόδειξη ότι ο οργανισμός γνωρίζει ποιες υπηρεσίες είναι κρίσιμες.

Για παρόχους SaaS, υπηρεσιών νέφους, διαχειριζόμενων υπηρεσιών, διαχειριζόμενης ασφάλειας, κέντρων δεδομένων, ψηφιακών υποδομών και ορισμένους παρόχους του χρηματοοικονομικού τομέα, το πραγματικό ερώτημα δεν είναι πλέον «Έχουμε πολιτική ασφάλειας;». Είναι «Μπορούμε να παρουσιάσουμε αλυσίδα τεκμηρίων από τη νομική υποχρέωση έως το πεδίο εφαρμογής του ISMS, την αντιμετώπιση κινδύνων, τη λειτουργία ελέγχων και την εποπτεία από τη διοίκηση;»

Το ισχυρότερο πρόγραμμα ετοιμότητας για την εφαρμογή του NIS2 δεν είναι ένα παράλληλο υπολογιστικό φύλλο. Είναι ένα ιχνηλάσιμο μοντέλο τεκμηρίων μέσα στο ISO 27001:2022.

Η καταχώριση NIS2 είναι ουσιαστικά ζήτημα τεκμηρίων

Το NIS2 εφαρμόζεται ευρέως σε δημόσιες ή ιδιωτικές οντότητες σε τομείς που απαριθμούνται στο Παράρτημα I και στο Παράρτημα II και πληρούν ή υπερβαίνουν το σχετικό όριο μεσαίας επιχείρησης. Καλύπτει επίσης ορισμένες οντότητες ανεξαρτήτως μεγέθους, συμπεριλαμβανομένων παρόχων δημόσιων δικτύων ή υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχων υπηρεσιών εμπιστοσύνης, μητρώων TLD, παρόχων υπηρεσιών DNS, μοναδικών παρόχων βασικών υπηρεσιών και οντοτήτων των οποίων η διατάραξη θα μπορούσε να επηρεάσει τη δημόσια ασφάλεια, την υγεία, τον συστημικό κίνδυνο ή την εθνική ή περιφερειακή κρισιμότητα.

Για τις εταιρείες τεχνολογίας, οι ψηφιακές κατηγορίες είναι ιδιαίτερα σημαντικές. Το Παράρτημα I περιλαμβάνει την ψηφιακή υποδομή, όπως παρόχους υπηρεσιών υπολογιστικού νέφους, παρόχους υπηρεσιών κέντρων δεδομένων, παρόχους δικτύων διανομής περιεχομένου, παρόχους υπηρεσιών εμπιστοσύνης, παρόχους υπηρεσιών DNS και παρόχους δημόσιων δικτύων ή υπηρεσιών ηλεκτρονικών επικοινωνιών. Το Παράρτημα I περιλαμβάνει επίσης τη διαχείριση υπηρεσιών ΤΠΕ για υπηρεσίες business-to-business, συμπεριλαμβανομένων παρόχων διαχειριζόμενων υπηρεσιών και παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας. Το Παράρτημα II περιλαμβάνει ψηφιακούς παρόχους, όπως επιγραμμικές αγορές, επιγραμμικές μηχανές αναζήτησης και πλατφόρμες υπηρεσιών κοινωνικής δικτύωσης.

Αυτό σημαίνει ότι ένας οργανισμός μπορεί να εμπίπτει στο πεδίο εφαρμογής του NIS2 χωρίς να θεωρεί τον εαυτό του «κρίσιμη υποδομή». Μια εταιρεία B2B SaaS με λειτουργικότητα διαχειριζόμενης ασφάλειας, μια πλατφόρμα νέφους που υποστηρίζει ρυθμιζόμενους πελάτες ή ένας πάροχος που γειτνιάζει με τον χώρο του fintech μπορεί ξαφνικά να χρειάζεται φάκελο καταχώρισης, μοντέλο επικοινωνίας με αρμόδια αρχή και τεκμηριωμένη αφήγηση ελέγχων.

Το NIS2 διακρίνει επίσης τις βασικές και τις σημαντικές οντότητες. Οι βασικές οντότητες υπόκεινται γενικά σε πιο προληπτικό μοντέλο εποπτείας, ενώ οι σημαντικές οντότητες συνήθως εποπτεύονται μετά από τεκμήρια μη συμμόρφωσης ή περιστατικά. Η διάκριση έχει σημασία, αλλά δεν αναιρεί την ανάγκη προετοιμασίας. Και οι δύο κατηγορίες χρειάζονται διακυβέρνηση, διαχείριση κινδύνων, αναφορά περιστατικών, ασφάλεια προμηθευτών και τεκμήρια.

Οι χρηματοοικονομικές οντότητες πρέπει επίσης να λαμβάνουν υπόψη το DORA. Το NIS2 Article 4 αναγνωρίζει ότι, όταν μια κλαδική νομική πράξη της Ένωσης επιβάλλει τουλάχιστον ισοδύναμες υποχρεώσεις διαχείρισης κινδύνων κυβερνοασφάλειας και αναφοράς περιστατικών, οι κλαδικοί αυτοί κανόνες εφαρμόζονται στους αντίστοιχους τομείς. Το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025 και θεσπίζει διαχείριση κινδύνων ΤΠΕ, αναφορά μειζόνων περιστατικών σχετιζόμενων με ΤΠΕ, δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, ανταλλαγή πληροφοριών, διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ, συμβατικούς ελέγχους και εποπτεία κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ. Για καλυπτόμενες χρηματοοικονομικές οντότητες, το DORA είναι το κύριο πλαίσιο κυβερνοανθεκτικότητας για αλληλεπικαλυπτόμενες απαιτήσεις, αλλά οι διεπαφές με το NIS2 και ο συντονισμός με εθνικές αρχές μπορεί να εξακολουθούν να έχουν σημασία.

Το συμπέρασμα είναι απλό. Μην περιμένετε το πεδίο της πύλης ή το email της ρυθμιστικής αρχής για να αρχίσετε να δημιουργείτε τεκμήρια. Κάθε απάντηση καταχώρισης συνεπάγεται ένα μελλοντικό ερώτημα ελέγχου.

Ξεκινήστε από το πεδίο εφαρμογής του ISMS, όχι από τη φόρμα της πύλης

Το ISO 27001:2022 είναι χρήσιμο επειδή υποχρεώνει τον οργανισμό να ορίσει το πλαίσιο, τα ενδιαφερόμενα μέρη, τις ρυθμιστικές υποχρεώσεις, το πεδίο εφαρμογής, τους κινδύνους, τα σχέδια αντιμετώπισης κινδύνων, τη λειτουργία ελέγχων, την παρακολούθηση, τον εσωτερικό έλεγχο, την ανασκόπηση από τη διοίκηση και τη βελτίωση.

Οι ρήτρες 4.1 έως 4.4 απαιτούν από τον οργανισμό να προσδιορίζει εσωτερικά και εξωτερικά ζητήματα, να αναγνωρίζει τα ενδιαφερόμενα μέρη και τις απαιτήσεις τους, να αποφασίζει ποιες απαιτήσεις καλύπτονται μέσω του ISMS, να ορίζει το πεδίο εφαρμογής του ISMS λαμβάνοντας υπόψη διεπαφές και εξαρτήσεις, να τεκμηριώνει το πεδίο αυτό και να λειτουργεί τις διαδικασίες του ISMS.

Για το NIS2, αυτό το πεδίο εφαρμογής πρέπει να απαντά σε πρακτικά ερωτήματα:

• Ποιες υπηρεσίες στην ΕΕ, νομικές οντότητες, θυγατρικές, πλατφόρμες, στοιχεία υποδομής και επιχειρησιακές μονάδες είναι σχετικές;
• Ποια κατηγορία του Παραρτήματος I ή του Παραρτήματος II μπορεί να εφαρμόζεται;
• Είναι ο οργανισμός βασική οντότητα, σημαντική οντότητα, καλυπτόμενος από το DORA, εκτός πεδίου εφαρμογής ή εν αναμονή εθνικής ταξινόμησης;
• Ποιες υπηρεσίες είναι κρίσιμες για πελάτες, δημόσια ασφάλεια, χρηματοοικονομική σταθερότητα, υγειονομική περίθαλψη, ψηφιακή υποδομή ή άλλους ρυθμιζόμενους τομείς;
• Ποιοι πάροχοι υπηρεσιών νέφους, MSPs, MSSPs, κέντρα δεδομένων, υπεργολάβοι και άλλοι προμηθευτές υποστηρίζουν αυτές τις υπηρεσίες;
• Ποια κράτη μέλη, αρμόδιες αρχές, CSIRTs, Αρχές Προστασίας Δεδομένων και χρηματοοικονομικές εποπτικές αρχές μπορεί να είναι σχετικές;

Το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές της Clarysec Zenith Blueprint τοποθετεί αυτή την εργασία νωρίς, στο Βήμα 2, Ανάγκες ενδιαφερόμενων μερών και πεδίο εφαρμογής ISMS. Καθοδηγεί τους οργανισμούς να αναγνωρίζουν ρυθμιστικές και λοιπές αρχές, να εξετάζουν νομικές και ρυθμιστικές απαιτήσεις, να εξετάζουν συμβάσεις και συμφωνίες, να διεξάγουν συνεντεύξεις με ενδιαφερόμενα μέρη και να λαμβάνουν υπόψη αναμενόμενα πρότυπα του κλάδου.

Στοιχείο ενέργειας 4.2: Συντάξτε κατάλογο όλων των σημαντικών ενδιαφερόμενων μερών και καταγράψτε τις απαιτήσεις τους που σχετίζονται με την ασφάλεια πληροφοριών. Να είστε διεξοδικοί – σκεφτείτε οποιονδήποτε θα διαμαρτυρόταν ή θα αντιμετώπιζε συνέπειες αν η ασφάλειά σας αποτύγχανε ή αν σας έλειπε ένας συγκεκριμένος έλεγχος. Αυτός ο κατάλογος θα καθοδηγήσει όσα πρέπει να τηρείτε ή να ικανοποιείτε μέσω του ISMS σας και θα τροφοδοτήσει την αξιολόγηση κινδύνου και την επιλογή ελέγχων.

Αυτό είναι το σωστό σημείο εκκίνησης για την καταχώριση NIS2. Πριν από την υποβολή, δημιουργήστε ένα σύντομο υπόμνημα πεδίου εφαρμογής NIS2 που συνδέει το επιχειρηματικό μοντέλο με τις κατηγορίες του Παραρτήματος I ή του Παραρτήματος II, τεκμηριώνει παραδοχές μεγέθους και υπηρεσιών, καταγράφει την ερμηνεία της εθνικής νομοθεσίας, αναγνωρίζει τις αρμόδιες αρχές και δηλώνει αν εφαρμόζονται επίσης το DORA, το GDPR, συμβάσεις πελατών ή κλαδικοί κανόνες.

Η πολιτική της Clarysec για ΜΜΕ Νομική και Κανονιστική Συμμόρφωση Legal and Regulatory Compliance Policy - SME ορίζει με σαφήνεια τον σκοπό:

«Η παρούσα πολιτική ορίζει την προσέγγιση του οργανισμού για τον εντοπισμό, την κάλυψη και την απόδειξη συμμόρφωσης με νομικές, ρυθμιστικές και συμβατικές υποχρεώσεις.»

Για μεγαλύτερα προγράμματα, η Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης της Clarysec Legal and Regulatory Compliance Policy είναι ακόμη πιο ρητή:

«Όλες οι νομικές και ρυθμιστικές υποχρεώσεις πρέπει να αντιστοιχίζονται σε συγκεκριμένες πολιτικές, ελέγχους και υπευθύνους εντός του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ISMS).»

Αυτή η πρόταση αποτελεί τη βάση της ετοιμότητας εφαρμογής. Αν μια ρυθμιστική αρχή ρωτήσει πώς αναγνωρίστηκαν οι υποχρεώσεις NIS2, η απάντηση δεν πρέπει να είναι «μας συμβούλεψε το νομικό τμήμα». Η απάντηση πρέπει να είναι ένα τεκμηριωμένο μητρώο, συνδεδεμένο με το πεδίο εφαρμογής, τους κινδύνους, τους υπευθύνους ελέγχων, τις διαδικασίες, τα διατηρούμενα τεκμήρια και την ανασκόπηση από τη διοίκηση.

Δημιουργήστε την αλυσίδα τεκμηρίων NIS2 μέσα στο ISO 27001:2022

Το NIS2 Article 21 απαιτεί από τις βασικές και σημαντικές οντότητες να εφαρμόζουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση κινδύνων στα δίκτυα και τα πληροφοριακά συστήματα που χρησιμοποιούνται για λειτουργίες ή παροχή υπηρεσιών. Τα μέτρα πρέπει να λαμβάνουν υπόψη την πρόοδο της τεχνολογίας, τα σχετικά ευρωπαϊκά και διεθνή πρότυπα όπου εφαρμόζονται, το κόστος, την έκθεση σε κίνδυνο, το μέγεθος, την πιθανότητα και τη σοβαρότητα των περιστατικών, καθώς και τον κοινωνικό και οικονομικό αντίκτυπο.

Το Article 21(2) απαριθμεί ελάχιστους τομείς, συμπεριλαμβανομένων της ανάλυσης κινδύνων και των πολιτικών ασφάλειας πληροφοριακών συστημάτων, του χειρισμού περιστατικών, της επιχειρησιακής συνέχειας, των αντιγράφων ασφαλείας, της ανάκαμψης από καταστροφή, της διαχείρισης κρίσεων, της ασφάλειας εφοδιαστικής αλυσίδας, της ασφαλούς απόκτησης και ανάπτυξης, του χειρισμού ευπαθειών, της αξιολόγησης αποτελεσματικότητας, της κυβερνοϋγιεινής, της εκπαίδευσης, της κρυπτογραφίας, της ασφάλειας ανθρώπινου δυναμικού, του ελέγχου πρόσβασης, της διαχείρισης περιουσιακών στοιχείων, της πολυπαραγοντικής ή συνεχούς αυθεντικοποίησης και των ασφαλών επικοινωνιών όπου ενδείκνυται.

Το ISO 27001:2022 αντιστοιχίζεται φυσικά σε αυτή τη δομή. Οι ρήτρες 6.1.1 έως 6.1.3 απαιτούν αξιολόγηση κινδύνου και αντιμετώπιση κινδύνου, συμπεριλαμβανομένων κριτηρίων αποδοχής κινδύνου, υπευθύνων κινδύνου, ανάλυσης πιθανότητας και συνεπειών, σχεδίου αντιμετώπισης κινδύνων, σύγκρισης με τους ελέγχους του Παραρτήματος A και Δήλωσης Εφαρμοσιμότητας. Η ρήτρα 8 απαιτεί επιχειρησιακό σχεδιασμό και έλεγχο, τεκμήρια ότι οι διαδικασίες λειτούργησαν όπως είχε προγραμματιστεί, έλεγχο αλλαγών, έλεγχο εξωτερικά παρεχόμενων διαδικασιών, επαναλαμβανόμενες αξιολογήσεις κινδύνου και τεκμηριωμένα αποτελέσματα αντιμετώπισης. Η ρήτρα 9.1 απαιτεί παρακολούθηση, μέτρηση, ανάλυση και αξιολόγηση. Η ρήτρα 9.2 απαιτεί εσωτερικό έλεγχο. Η ρήτρα 10.2 απαιτεί ενέργειες για μη συμμορφώσεις και διορθωτικά μέτρα.

Η Πολιτική Διαχείρισης Κινδύνων της Clarysec Risk Management Policy - SME το μετατρέπει αυτό σε λειτουργικό κανόνα:

«Όλοι οι αναγνωρισμένοι κίνδυνοι πρέπει να καταγράφονται στο Μητρώο Κινδύνων.»

Η εταιρική Πολιτική Διαχείρισης Κινδύνων Risk Management Policy συνδέει την αντιμετώπιση κινδύνων με την επιλογή ελέγχων ISO 27001:2022:

«Οι αποφάσεις ελέγχων που προκύπτουν από τη διαδικασία αντιμετώπισης κινδύνων πρέπει να αποτυπώνονται στη SoA.»

Αυτό έχει σημασία επειδή τα τεκμήρια NIS2 πρέπει να είναι ιχνηλάσιμα. Αν μια αρχή ρωτήσει γιατί υπάρχει ένας έλεγχος, δείξτε την υποχρέωση, τον κίνδυνο, την απόφαση αντιμετώπισης, τον υπεύθυνο ελέγχου, την εγγραφή στη SoA, τη διαδικασία και τα τεκμήρια. Αν η αρχή ρωτήσει γιατί δεν επιλέχθηκε ένας έλεγχος, δείξτε την αιτιολόγηση στη SoA, την εγκεκριμένη αποδοχή κινδύνου και την ανασκόπηση από τη διοίκηση.

Η καλύτερη αλυσίδα τεκμηρίων είναι βαρετή με τον καλύτερο δυνατό τρόπο. Κάθε υποχρέωση έχει υπεύθυνο. Κάθε υπεύθυνος έχει έλεγχο. Κάθε έλεγχος έχει τεκμήρια. Κάθε εξαίρεση έχει έγκριση. Κάθε εύρημα ελέγχου έχει διορθωτικά μέτρα.

Εντάξτε τη διακυβέρνηση του Article 20 στα τεκμήρια του Διοικητικού Συμβουλίου

Το NIS2 Article 20 μεταφέρει την κυβερνοασφάλεια στην αίθουσα του Διοικητικού Συμβουλίου. Τα διοικητικά όργανα πρέπει να εγκρίνουν τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας που υιοθετούνται για το Article 21, να εποπτεύουν την εφαρμογή τους και μπορεί να φέρουν ευθύνη για παραβάσεις. Τα μέλη των διοικητικών οργάνων πρέπει να παρακολουθούν εκπαίδευση, ενώ οι οντότητες ενθαρρύνονται να παρέχουν τακτική εκπαίδευση κυβερνοασφάλειας στους εργαζομένους.

Ένα Διοικητικό Συμβούλιο δεν μπορεί απλώς να αναθέσει το NIS2 στην Πληροφορική. Τα τεκμήρια πρέπει να δείχνουν ότι η διοίκηση κατανόησε την ανάλυση πεδίου εφαρμογής NIS2, ενέκρινε την προσέγγιση διαχείρισης κινδύνων, ανασκόπησε ουσιώδεις κινδύνους, διέθεσε πόρους, παρακολούθησε την εφαρμογή, ανασκόπησε περιστατικά και ασκήσεις και έλαβε εκπαίδευση.

Οι ρήτρες 5.1 έως 5.3 του ISO 27001:2022 υποστηρίζουν αυτό το μοντέλο διακυβέρνησης απαιτώντας δέσμευση της Ανώτατης Διοίκησης, ευθυγράμμιση των στόχων ασφάλειας πληροφοριών με την επιχειρησιακή στρατηγική, ενσωμάτωση των απαιτήσεων ISMS στις επιχειρησιακές διαδικασίες, πόρους, επικοινωνία, λογοδοσία και αναφορά της απόδοσης του ISMS στην Ανώτατη Διοίκηση.

Η Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης της Clarysec Governance Roles and Responsibilities Policy ορίζει τον ρόλο του συνδέσμου ασφάλειας ως αυτόν που:

«Λειτουργεί ως κύριος σύνδεσμος με ελεγκτές, ρυθμιστικές αρχές και ανώτερη ηγεσία για θέματα ασφάλειας πληροφοριών.»

Αυτός ο ρόλος πρέπει να κατονομάζεται στο πακέτο τεκμηρίων καταχώρισης NIS2. Δεν πρέπει να υπονοείται. Αρχές, ελεγκτές και πελάτες θέλουν να γνωρίζουν ποιος συντονίζει την επικοινωνία με τις ρυθμιστικές αρχές, ποιος έχει την ευθύνη της αναφοράς περιστατικών, ποιος τηρεί το νομικό μητρώο, ποιος επικαιροποιεί τις επαφές αρχών και ποιος αναφέρει στο Διοικητικό Συμβούλιο.

Ένα πρακτικό σύνολο τεκμηρίων διακυβέρνησης περιλαμβάνει:

• Έγκριση από το Διοικητικό Συμβούλιο του πλαισίου διαχείρισης κινδύνων κυβερνοασφάλειας.
• Πρακτικά ανασκόπησης από τη διοίκηση που καλύπτουν πεδίο εφαρμογής NIS2, κινδύνους, περιστατικά, προμηθευτές και ετοιμότητα.
• Αρχεία εκπαίδευσης για μέλη διοικητικών οργάνων και εργαζομένους.
• Μήτρα RACI για υποχρεώσεις NIS2, ελέγχους ISO 27001:2022, αναφορά περιστατικών, διασφάλιση προμηθευτών και ρυθμιστική επικοινωνία.
• Τεκμήρια ότι οι υποχρεώσεις NIS2 περιλαμβάνονται στον εσωτερικό έλεγχο και στην παρακολούθηση συμμόρφωσης.
• Παρακολούθηση διορθωτικών ενεργειών για κενά, εκπρόθεσμους κινδύνους, εξαιρέσεις και αποτυχημένες δοκιμές.

Τα Articles 32 και 33 καθιστούν επίσης σημαντική την ποιότητα των τεκμηρίων, προσδιορίζοντας παράγοντες σοβαρής παράβασης όπως επαναλαμβανόμενες παραβιάσεις, μη κοινοποίηση ή μη αποκατάσταση σημαντικών περιστατικών, μη αντιμετώπιση αδυναμιών μετά από δεσμευτικές οδηγίες, παρεμπόδιση ελέγχων ή παρακολούθησης και ψευδείς ή βαριά ανακριβείς πληροφορίες. Τα αδύναμα τεκμήρια μπορεί να εξελιχθούν σε πρόβλημα εφαρμογής ακόμη και όταν υπάρχουν τεχνικοί έλεγχοι.

Προετοιμάστε τεκμήρια επαφής με αρχές και αναφοράς περιστατικών πριν από τις 02:00

Οι πιο επώδυνες αστοχίες αναφοράς περιστατικών συχνά ξεκινούν με ένα βασικό ερώτημα: «Ποιον ειδοποιούμε;» Κατά τη διάρκεια ransomware, αστοχίας DNS, συμβιβασμού υπηρεσιών νέφους ή έκθεσης δεδομένων, οι ομάδες χάνουν χρόνο αναζητώντας το σωστό CSIRT, την αρμόδια αρχή, την Αρχή Προστασίας Δεδομένων, τον χρηματοοικονομικό επόπτη, το κανάλι διωκτικών αρχών, το πρότυπο πελάτη και τον εσωτερικό εγκρίνοντα.

Το NIS2 Article 23 απαιτεί κοινοποίηση χωρίς αδικαιολόγητη καθυστέρηση σημαντικών περιστατικών που επηρεάζουν την παροχή υπηρεσιών. Σημαντικό περιστατικό είναι εκείνο που έχει προκαλέσει ή θα μπορούσε να προκαλέσει σοβαρή επιχειρησιακή διατάραξη ή οικονομική απώλεια, ή έχει επηρεάσει ή θα μπορούσε να επηρεάσει άλλους προκαλώντας σημαντική υλική ή μη υλική ζημία. Το χρονοδιάγραμμα είναι κλιμακωτό: έγκαιρη προειδοποίηση εντός 24 ωρών από τη στιγμή που η οντότητα λαμβάνει γνώση, κοινοποίηση περιστατικού εντός 72 ωρών, ενδιάμεσες ενημερώσεις κατόπιν αιτήματος και τελική αναφορά εντός ενός μήνα μετά την κοινοποίηση των 72 ωρών ή μετά τον χειρισμό του περιστατικού για συνεχιζόμενα περιστατικά. Όπου ενδείκνυται, οι αποδέκτες υπηρεσιών πρέπει επίσης να ενημερώνονται για σημαντικά περιστατικά ή σημαντικές κυβερνοαπειλές και μέτρα προστασίας.

Το Zenith Blueprint, στη φάση Controls in Action, Βήμα 22, αντιμετωπίζει την επαφή με τις αρχές ως ετοιμότητα, όχι ως πανικό:

Η αρχή εδώ είναι απλή: αν ο οργανισμός σας γινόταν στόχος κυβερνοεπίθεσης, εμπλεκόταν σε παραβίαση δεδομένων ή βρισκόταν υπό διερεύνηση , ποιος θα επικοινωνούσε με τις αρχές; Πώς θα γνώριζε τι να πει; Υπό ποιες συνθήκες θα ενεργοποιούνταν αυτή η επαφή; Αυτά τα ερωτήματα πρέπει να απαντώνται εκ των προτέρων , όχι εκ των υστέρων.

Το Zenith Controls: The Cross-Compliance Guide της Clarysec Zenith Controls καλύπτει το ISO/IEC 27002:2022 control 5.5, επαφή με αρχές. Ταξινομεί τον έλεγχο ως προληπτικό και διορθωτικό, συνδεδεμένο με την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, καθώς και με τις έννοιες Identify, Protect, Respond και Recover. Συνδέει επίσης το control 5.5 με τα ISO/IEC 27002:2022 controls 5.24 σχεδιασμός και προετοιμασία διαχείρισης περιστατικών ασφάλειας πληροφοριών, 6.8 αναφορά συμβάντων ασφάλειας πληροφοριών, 5.7 threat intelligence, 5.6 επαφή με ομάδες ειδικού ενδιαφέροντος και 5.26 απόκριση σε περιστατικά ασφάλειας πληροφοριών.

Από οπτική διασταυρούμενης συμμόρφωσης, το Zenith Controls αντιστοιχίζει την επαφή με αρχές στο NIS2 Article 23, την κοινοποίηση παραβίασης GDPR, την αναφορά περιστατικών DORA, το NIST SP 800-53 IR-6 Incident Reporting και πρακτικές εξωτερικής κλιμάκωσης COBIT 2019. Ένα μητρώο επαφών αρχών μπορεί να εξυπηρετήσει πολλαπλές υποχρεώσεις, εφόσον έχει σχεδιαστεί σωστά.

Η Πολιτική αντιμετώπισης περιστατικών της Clarysec Incident Response Policy - SME καθιστά ρητή τη νομική αρχική αξιολόγηση:

«Όταν εμπλέκονται δεδομένα πελατών, ο Γενικός Διευθυντής πρέπει να αξιολογεί τις νομικές υποχρεώσεις κοινοποίησης με βάση τη δυνατότητα εφαρμογής του GDPR, του NIS2 ή του DORA.»

Ένα ισχυρό πακέτο τεκμηρίων επαφής με αρχές πρέπει να περιλαμβάνει:

• Στοιχεία επικοινωνίας αρμόδιας αρχής και CSIRT ανά κράτος μέλος και υπηρεσία.
• Επαφές Αρχών Προστασίας Δεδομένων για κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα κατά GDPR.
• Επαφές χρηματοοικονομικής εποπτείας, εφόσον εφαρμόζεται το DORA.
• Διαδρομές επικοινωνίας με διωκτικές αρχές και υπηρεσίες κυβερνοεγκλήματος.
• Εξουσιοδοτημένους εσωτερικούς επικοινωνούντες και αναπληρωτές.
• Κατώφλια περιστατικών για NIS2, GDPR, DORA, συμβάσεις πελατών και κυβερνοασφάλιση.
• Πρότυπα αναφορών 24 ωρών, 72 ωρών, ενδιάμεσης ενημέρωσης και τελικής αναφοράς ενός μήνα.
• Αρχεία ασκήσεων επιτραπέζιων σεναρίων που δοκιμάζουν εξωτερική κοινοποίηση.
• Αρχεία προηγούμενων κοινοποιήσεων, αποφάσεων μη κοινοποίησης και νομικής αιτιολόγησης.

Αντιστοιχίστε το NIS2 Article 21 σε ελέγχους ISO 27001 και τεκμήρια πολιτικής

Ένα πιστοποιητικό από μόνο του δεν απαντά στο ερώτημα μιας ρυθμιστικής αρχής. Μια αντιστοίχιση ελέγχων το απαντά. Ο ακόλουθος πίνακας δίνει στις ομάδες ασφάλειας και συμμόρφωσης μια πρακτική γέφυρα μεταξύ των τομέων του NIS2 Article 21, των ελέγχων ISO/IEC 27002:2022, των σημείων αναφοράς πολιτικών Clarysec και των τεκμηρίων.

Το Zenith Controls της Clarysec καλύπτει επίσης το ISO/IEC 27002:2022 control 5.31, νομικές, καταστατικές, ρυθμιστικές και συμβατικές απαιτήσεις, ως προληπτικό έλεγχο με αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα. Συνδέει το 5.31 με την ιδιωτικότητα και την προστασία PII, τη διατήρηση αρχείων, την ανεξάρτητη ανασκόπηση και τη συμμόρφωση με εσωτερικές πολιτικές. Επίσης αντιστοιχίζει το 5.31 στην αρχή λογοδοσίας του GDPR, στη συμμόρφωση εφοδιαστικής αλυσίδας NIS2, στη διαχείριση κινδύνων ΤΠΕ του DORA, στη διακυβέρνηση NIST CSF, στους προγραμματικούς ελέγχους NIST SP 800-53 και στην εξωτερική εποπτεία συμμόρφωσης COBIT 2019.

«Το Control 5.31 διασφαλίζει ότι όλες οι σχετικές νομικές, ρυθμιστικές, καταστατικές και συμβατικές απαιτήσεις που σχετίζονται με την ασφάλεια πληροφοριών αναγνωρίζονται, τεκμηριώνονται και διαχειρίζονται συνεχώς.»

Αυτό ακριβώς θέλει να δει μια εθνική αρχή μετά την καταχώριση: όχι απλώς ότι το NIS2 περιλαμβάνεται σε έναν κατάλογο, αλλά ότι ο οργανισμός διαθέτει ζωντανό μηχανισμό για την αναγνώριση, αντιστοίχιση, εφαρμογή, παρακολούθηση και επικαιροποίηση υποχρεώσεων.

Μην αποσυνδέετε το NIS2 από το DORA, το GDPR, τους προμηθευτές και το νέφος

Τα τεκμήρια NIS2 σπάνια υπάρχουν μεμονωμένα.

Το NIS2 Article 21(2)(d) απαιτεί ασφάλεια εφοδιαστικής αλυσίδας, συμπεριλαμβανομένων των πτυχών ασφάλειας στις σχέσεις με προμηθευτές και παρόχους υπηρεσιών. Το Article 21(3) απαιτεί οι αποφάσεις κινδύνου προμηθευτών να λαμβάνουν υπόψη ευπάθειες, τη συνολική ποιότητα προϊόντων, πρακτικές κυβερνοασφάλειας, διαδικασίες ασφαλούς ανάπτυξης και σχετικές συντονισμένες αξιολογήσεις κινδύνου εφοδιαστικής αλυσίδας σε επίπεδο ΕΕ.

Το Παράρτημα A του ISO 27001:2022 παρέχει την επιχειρησιακή γέφυρα μέσω των A.5.19 έως A.5.23. Για οργανισμούς SaaS και νέφους, αυτοί οι έλεγχοι συχνά καθορίζουν αν τα τεκμήρια καταχώρισης είναι επιφανειακά ή ουσιαστικά τεκμηριωμένα.

Το DORA οξύνει την εικόνα των προμηθευτών για τις χρηματοοικονομικές οντότητες. Τα Articles 28 έως 30 απαιτούν διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ, μητρώο συμβάσεων υπηρεσιών ΤΠΕ, διάκριση υπηρεσιών που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, προσυμβατική αξιολόγηση κινδύνου, δέουσα επιμέλεια, συμβατικές απαιτήσεις ασφάλειας, δικαιώματα ελέγχου και επιθεώρησης, δικαιώματα λύσης, δοκιμασμένες στρατηγικές εξόδου, αξιολόγηση υπεργολαβικής ανάθεσης, διαφάνεια τοποθεσίας δεδομένων, υποστήριξη περιστατικών, συνεργασία με αρχές και ρυθμίσεις μετάβασης. Αν ένας πάροχος SaaS εξυπηρετεί πελάτες που ρυθμίζονται από το DORA, οι συμβάσεις του και το πακέτο διασφάλισης μπορεί να εξεταστούν ακόμη και αν ο ίδιος δεν είναι χρηματοοικονομική οντότητα.

Η πολιτική της Clarysec για ασφάλεια τρίτων μερών και προμηθευτών - SME Third-party and supplier security policy - SME πρέπει επομένως να συνδεθεί με το πακέτο τεκμηρίων NIS2. Η ετοιμότητα προμηθευτών πρέπει να περιλαμβάνει:

• Απογραφή προμηθευτών και ταξινόμηση κρισιμότητας.
• Δέουσα επιμέλεια προμηθευτών και αξιολογήσεις κινδύνου.
• Συμβατικές ρήτρες για ασφάλεια, υποστήριξη περιστατικών, δικαιώματα ελέγχου, τοποθεσία δεδομένων, υπεργολαβική ανάθεση και έξοδο.
• Μήτρες κοινής ευθύνης νέφους.
• Αρχεία παρακολούθησης για κρίσιμους παρόχους.
• Δοκιμές εξόδου και ανάκαμψης για κρίσιμες υπηρεσίες.
• Διαδικασίες κοινοποίησης και κλιμάκωσης περιστατικών προμηθευτών.

Το GDPR πρέπει επίσης να ενσωματώνεται. Ένα σημαντικό περιστατικό NIS2 μπορεί επίσης να αποτελεί παραβίαση δεδομένων προσωπικού χαρακτήρα αν παραβιαστούν δεδομένα πελατών, εργαζομένων ή χρηστών. Το GDPR απαιτεί από τους υπευθύνους επεξεργασίας να αποδεικνύουν λογοδοσία και, όταν πληρούνται τα κατώφλια κοινοποίησης, να ενημερώνουν την εποπτική αρχή εντός 72 ωρών από τη στιγμή που λαμβάνουν γνώση παραβίασης δεδομένων προσωπικού χαρακτήρα. Η ροή εργασίας απόκρισης σε περιστατικά πρέπει να αξιολογεί παράλληλα τις υποχρεώσεις NIS2, GDPR, DORA, συμβατικές και πελατειακές.

Συναρμολογήστε πακέτο τεκμηρίων NIS2 σε μία εβδομάδα

Ένας πάροχος SaaS, MSP, MSSP, υπηρεσιών νέφους ή εταιρεία ψηφιακής υποδομής μπορεί να σημειώσει ουσιαστική πρόοδο σε μία στοχευμένη εβδομάδα.

Ημέρα 1, ταξινομήστε την οντότητα και τις υπηρεσίες. Χρησιμοποιήστε τη δήλωση πεδίου εφαρμογής ISMS και το μητρώο ενδιαφερόμενων μερών. Προσθέστε υπόμνημα πεδίου εφαρμογής NIS2 που αναγνωρίζει κατηγορίες του Παραρτήματος I ή του Παραρτήματος II, υπηρεσίες στην ΕΕ, κράτη μέλη, πελάτες, εξαρτήσεις, παραδοχές μεγέθους και αν εφαρμόζονται το DORA ή κλαδικοί κανόνες. Καταγράψτε την αβεβαιότητα ταξινόμησης ως κίνδυνο αν η νομική ερμηνεία δεν είναι οριστική.

Ημέρα 2, επικαιροποιήστε το μητρώο νομικών και ρυθμιστικών υποχρεώσεων. Προσθέστε τα NIS2 Articles 20, 21 και 23, απαιτήσεις καταχώρισης βάσει εθνικής νομοθεσίας, υποχρεώσεις παραβίασης GDPR, υποχρεώσεις DORA όπου σχετίζονται και βασικές συμβατικές απαιτήσεις κοινοποίησης. Αντιστοιχίστε κάθε υποχρέωση σε πολιτική, υπεύθυνο, έλεγχο, πηγή τεκμηρίων και συχνότητα ανασκόπησης.

Ημέρα 3, επικαιροποιήστε την αξιολόγηση και την αντιμετώπιση κινδύνου. Συμπεριλάβετε νομικό, ρυθμιστικό, επιχειρησιακό, προμηθευτικό, χρηματοοικονομικό, φήμης και κοινωνικό αντίκτυπο στα κριτήρια κινδύνου. Προσθέστε κινδύνους όπως αποτυχία καταχώρισης, εσφαλμένη ταξινόμηση οντότητας, απώλεια προθεσμίας έγκαιρης προειδοποίησης 24 ωρών, μη διαθέσιμες επαφές αρχών, διακοπή προμηθευτή που επηρεάζει κρίσιμες υπηρεσίες, ανεπαρκής εποπτεία από το Διοικητικό Συμβούλιο και αδυναμία τεκμηρίωσης της αποτελεσματικότητας ελέγχων.

Ημέρα 4, ανανεώστε τη SoA. Επιβεβαιώστε τους σχετικούς με το NIS2 ελέγχους, συμπεριλαμβανομένων A.5.5 επαφή με αρχές, A.5.19 έως A.5.23 έλεγχοι προμηθευτών και νέφους, A.5.24 έως A.5.28 έλεγχοι περιστατικών, A.5.29 ασφάλεια κατά τη διάρκεια διατάραξης, A.5.30 ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια, A.5.31 νομικές απαιτήσεις, A.5.34 ιδιωτικότητα, A.8.8 διαχείριση ευπαθειών, A.8.13 αντίγραφα ασφαλείας, A.8.15 καταγραφή, A.8.16 δραστηριότητες παρακολούθησης, A.8.24 κρυπτογραφία και ελέγχους ασφαλούς ανάπτυξης A.8.25 έως A.8.32.

Ημέρα 5, δοκιμάστε την αναφορά περιστατικών. Εκτελέστε άσκηση επιτραπέζιου σεναρίου: μια εσφαλμένη ρύθμιση παραμέτρων σε περιβάλλον νέφους εκθέτει δεδομένα πελατών και διαταράσσει την υπηρεσία σε δύο κράτη μέλη. Ξεκινήστε το χρονόμετρο. Μπορεί η ομάδα να ταξινομήσει το συμβάν, να αξιολογήσει κατώφλια GDPR, NIS2, DORA, συμβατικά και πελατειακά, να προετοιμάσει έγκαιρη προειδοποίηση 24 ωρών, να συντάξει κοινοποίηση 72 ωρών, να διατηρήσει τεκμήρια και να αναθέσει ανάλυση βασικής αιτίας;

Ημέρα 6, συλλέξτε τεκμήρια. Δημιουργήστε φάκελο έτοιμο για ρυθμιστική αρχή με το υπόμνημα πεδίου εφαρμογής, το νομικό μητρώο, το μητρώο κινδύνων, τη SoA, τον κατάλογο επαφών αρχών, το playbook περιστατικών, το μητρώο προμηθευτών, τα πρακτικά Διοικητικού Συμβουλίου, τα αρχεία εκπαίδευσης, τα αρχεία καταγραφής, τις αναφορές παρακολούθησης, τις δοκιμές αντιγράφων ασφαλείας, τις αναφορές ευπαθειών, το πεδίο εφαρμογής εσωτερικού ελέγχου και το αρχείο διορθωτικών ενεργειών.

Ημέρα 7, ανασκόπηση από τη διοίκηση. Παρουσιάστε το πακέτο ετοιμότητας στην ηγεσία. Καταγράψτε εγκρίσεις, υπολειπόμενους κινδύνους, ανοικτές ενέργειες, προθεσμίες, πόρους και λογοδοσία υπευθύνων. Αν επίκειται καταχώριση, επισυνάψτε το ευρετήριο τεκμηρίων στο αρχείο απόφασης καταχώρισης.

Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης της Clarysec για ΜΜΕ Audit and Compliance Monitoring Policy-sme - SME προβλέπει αυτή την ανάγκη:

«Τα τεκμήρια πρέπει να ευθυγραμμίζονται με τις υποχρεώσεις NIS2 όταν ο οργανισμός χαρακτηρίζεται σημαντική οντότητα ή εμπίπτει με άλλον τρόπο στο πεδίο εφαρμογής της εθνικής νομοθεσίας»

Η εταιρική Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης Audit and Compliance Monitoring Policy δηλώνει τον στόχο:

«Να παράγει τεκμήρια με ισχυρή τεκμηρίωση και διαδρομή ελέγχου προς υποστήριξη ρυθμιστικών ερωτημάτων, δικαστικών διαδικασιών ή αιτημάτων διασφάλισης πελατών.»

Αυτός είναι ο στόχος: τεκμήρια με ισχυρή τεκμηρίωση πριν φτάσει το αίτημα.

Προετοιμαστείτε για διαφορετικές οπτικές ελέγχου

Ένας ελεγκτής πιστοποίησης, μια εθνική αρχή, ένας ελεγκτής πελάτη, ένας ελεγκτής ιδιωτικότητας και μια ομάδα διασφάλισης προμηθευτών δεν θα κάνουν τα ίδια ερωτήματα. Ένα ισχυρό πακέτο τεκμηρίων NIS2 λειτουργεί για όλους.

Για το ISO/IEC 27002:2022 control 5.5, οι ελεγκτές αναμένουν συνήθως τεκμηριωμένες επαφές αρχών, ανατεθειμένες αρμοδιότητες, συντήρηση επαφών, playbooks απόκρισης σε περιστατικά και σαφήνεια βάσει σεναρίων. Ένα απλό ερώτημα ελέγχου μπορεί να αποκαλύψει την ωριμότητα: «Σε περίπτωση ransomware, ποιος επικοινωνεί με τις διωκτικές αρχές ή το εθνικό CSIRT;» Αν η απάντηση εξαρτάται από το αν κάποιος θυμάται ένα όνομα, ο έλεγχος δεν είναι έτοιμος.

Η Πολιτική Καταγραφής και Παρακολούθησης της Clarysec Logging and Monitoring Policy - SME ενισχύει την απαίτηση τεκμηρίων:

«Τα αρχεία καταγραφής πρέπει να είναι διαθέσιμα και κατανοητά για εξωτερικούς ελεγκτές ή ρυθμιστικές αρχές κατόπιν αιτήματος»

Η Πολιτική Ασφάλειας Πληροφοριών της Clarysec Information Security Policy θέτει το ευρύτερο εταιρικό πρότυπο:

«Όλοι οι εφαρμοζόμενοι έλεγχοι πρέπει να μπορούν να ελεγχθούν, να υποστηρίζονται από τεκμηριωμένες διαδικασίες και από διατηρούμενα τεκμήρια λειτουργίας.»

Αυτό είναι το κριτήριο ελέγχου σε μία πρόταση. Αν ένας έλεγχος δεν μπορεί να τεκμηριωθεί, δεν θα έχει ιδιαίτερο βάρος όταν μια αρμόδια αρχή ζητήσει απόδειξη.

Τελική λίστα ελέγχου τεκμηρίων καταχώρισης NIS2

Χρησιμοποιήστε αυτή τη λίστα ελέγχου πριν από την καταχώριση ή πριν απαντήσετε σε αίτημα εθνικής αρχής.

• Τεκμηριώστε την ανάλυση πεδίου εφαρμογής NIS2, συμπεριλαμβανομένων της αιτιολόγησης Παραρτήματος I ή Παραρτήματος II, των περιγραφών υπηρεσιών, των παραδοχών μεγέθους, της παρουσίας σε κράτη μέλη και της ταξινόμησης οντότητας.
• Προσδιορίστε αν το DORA εφαρμόζεται άμεσα ή έμμεσα μέσω πελατών του χρηματοοικονομικού τομέα και συμβάσεων υπηρεσιών ΤΠΕ.
• Επικαιροποιήστε το πεδίο εφαρμογής του ISMS ώστε να περιλαμβάνει σχετικές υπηρεσίες, εξαρτήσεις, εξωτερικά ανατεθειμένες διαδικασίες και ρυθμιστικές διεπαφές.
• Προσθέστε NIS2, GDPR, DORA, κλαδικούς κανόνες και συμβατικές απαιτήσεις στο μητρώο νομικών και ρυθμιστικών υποχρεώσεων.
• Αντιστοιχίστε κάθε υποχρέωση σε πολιτικές, ελέγχους, υπευθύνους, τεκμήρια, συχνότητα ανασκόπησης και αναφορά στη διοίκηση.
• Επιβεβαιώστε την έγκριση και την εποπτεία του Διοικητικού Συμβουλίου για τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας.
• Διατηρείτε αρχεία εκπαίδευσης κυβερνοασφάλειας για τη διοίκηση και τους εργαζομένους.
• Επικαιροποιήστε τα κριτήρια κινδύνου ώστε να περιλαμβάνουν ρυθμιστικό αντίκτυπο, διακοπή υπηρεσιών, ζημία πελατών, διασυνοριακό αντίκτυπο και εξάρτηση από προμηθευτές.
• Καταγράψτε τους κινδύνους που σχετίζονται με το NIS2 στο μητρώο κινδύνων και συνδέστε τους με σχέδια αντιμετώπισης κινδύνων.
• Επικαιροποιήστε τη SoA με τους σχετικούς με το NIS2 ελέγχους του Παραρτήματος A και την κατάσταση εφαρμογής.
• Διατηρείτε καταλόγους επαφών αρχών και διαδικασίες κοινοποίησης για CSIRTs, αρμόδιες αρχές, Αρχές Προστασίας Δεδομένων, χρηματοοικονομικές εποπτικές αρχές και διωκτικές αρχές.
• Δοκιμάστε τη ροή εργασίας έγκαιρης προειδοποίησης 24 ωρών, κοινοποίησης 72 ωρών, ενδιάμεσης ενημέρωσης και τελικής αναφοράς ενός μήνα.
• Διατηρείτε τεκμήρια προμηθευτών και νέφους, συμπεριλαμβανομένων δέουσας επιμέλειας, συμβάσεων, δικαιωμάτων ελέγχου, παρακολούθησης, υπεργολαβικής ανάθεσης και σχεδίων εξόδου.
• Τεκμηριώστε την αποτελεσματικότητα ελέγχων μέσω αρχείων καταγραφής, μετρικών, ελέγχων, πινάκων ελέγχου, αποτελεσμάτων δοκιμών και διορθωτικών ενεργειών.
• Προετοιμάστε ευρετήριο τεκμηρίων ώστε οποιοδήποτε αίτημα ρυθμιστικής αρχής, πελάτη ή ελεγκτή να μπορεί να απαντηθεί γρήγορα.

Το επόμενο βήμα με την Clarysec

Η καταχώριση οντότητας NIS2 δεν είναι η γραμμή τερματισμού. Είναι το σημείο όπου ο οργανισμός σας γίνεται ορατός στην εθνική εποπτεία κυβερνοασφάλειας. Το σωστό ερώτημα δεν είναι «Μπορούμε να καταχωριστούμε;». Το σωστό ερώτημα είναι «Αν η αρχή ζητήσει τεκμήρια μετά την καταχώριση, μπορούμε να παράγουμε μια συνεκτική αφήγηση ISO 27001:2022 σε ώρες, όχι σε εβδομάδες;»

Η Clarysec βοηθά τους οργανισμούς να δημιουργήσουν αυτή την αφήγηση μέσω του Zenith Blueprint Zenith Blueprint, του Zenith Controls Zenith Controls και πρακτικών συνόλων πολιτικών ISO 27001:2022 που συνδέουν νομικές υποχρεώσεις, αντιμετώπιση κινδύνων, αναφορά περιστατικών, ασφάλεια προμηθευτών, καταγραφή, παρακολούθηση, ελεγκτικά τεκμήρια και λογοδοσία της διοίκησης.

Πραγματοποιήστε ανασκόπηση κενών τεκμηρίων NIS2 έναντι του υφιστάμενου ISMS σας. Ξεκινήστε με το υπόμνημα πεδίου εφαρμογής, το νομικό μητρώο, το μητρώο κινδύνων, τη SoA, τον κατάλογο επαφών αρχών, τη ροή εργασίας αναφοράς περιστατικών, το μητρώο προμηθευτών και τον φάκελο ελεγκτικών τεκμηρίων. Αν αυτά τα τεχνουργήματα είναι ελλιπή ή ασύνδετα, η Clarysec μπορεί να σας βοηθήσει να τα μετατρέψετε σε πακέτο τεκμηρίων έτοιμο για ρυθμιστική αρχή πριν το ζητήσει η εθνική σας αρχή.