⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
ET EN BG CS DA DE EL ES FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

ISO 27001 ISMSi kohaldamisala NIS2, DORA ja GDPR nõuete jaoks

Igor Petreski
14 min read
#Riskijuhtimine #Audit #ISMS #Tarnijahaldus #Andmekaitse #Talitluspidevus #Varahaldus
ISO 27001 ISMSi kohaldamisala kaardistus NIS2, DORA ja GDPR nõuetele vastavuseks

Maria, kiiresti kasvava Euroopa finantstehnoloogiaettevõtte infoturbejuht, arvas, et ISO 27001 järelevalveaudit on kontrolli all.

Sertifikaat oli värske. Kohaldatavusdeklaratsioon (SoA) näis küps. Kohaldamisala kirjeldus hõlmas „ettevõtte infoturbe juhtimissüsteemi, mis toetab SaaS-platvormi toimimist“. Tootmiskeskkonna pilvekeskkond oli dokumenteeritud. Intsidentidele reageerimise kord oli olemas. Riskiregistris olid omanikud, kuupäevad ja jääkriski hinnangud.

Seejärel esitas audiitor ühe lihtsa küsimuse:

„Millised selle SaaS-platvormi osad kuuluvad ka teie NIS2 registreeringu kohaldamisalasse, millised allhanketeenused toetavad teie finantsklientide DORA kriitilisi või olulisi funktsioone ning kus täpselt töödeldakse GDPR alla kuuluvaid isikuandmeid?“

Ruum jäi vaikseks.

Õigusosakond avas vastavuskohustuste arvutustabeli. Tootejuhtimine avas arhitektuuriskeemi. Andmekaitseametnik avas töötlemistoimingute registri (RoPA). Hankeosakond avas tarnijate nimekirja. Käituse meeskond avas talitluspidevuse ja katastroofitaaste plaani. Ükski neist ei kattunud täielikult.

ISMSi kohaldamisala ütles „SaaS-platvorm“. NIS2 hindamine tuvastas digitaalse taristu teenused mitmes liikmesriigis. Kliendilepingud kirjeldasid platvormi reguleeritud finantstegevuste toetajana. GDPR registrikirjed hõlmasid identiteediandmeid, telemeetriaandmeid, IP-aadresse, maksete metaandmeid, tugipileteid ja alltöövõtjalt ostetud analüütikat. Katastroofitaaste plaan hõlmas tootmiskeskkonda, kuid mitte klienditoe platvormi, mida kasutati rikkumistega seotud teavituseks. Tarnijate taustakontroll hõlmas majutusteenuse osutajat, kuid mitte hallatud tuvastusteenuse pakkujat, kes oli ühendatud tootmiskeskkonna logidega.

See on 2026. aasta ISMSi kohaldamisala probleem. ISO 27001 sertifitseerimine on endiselt väärtuslik, kuid kitsas „minimaalselt toimiv kohaldamisala“ võib muutuda vastutuseks, kui järelevalveasutused, kliendid ja audiitorid eeldavad, et sama juhtimissüsteem selgitab NIS2 olulisi teenuseid, DORA kriitilisi või olulisi funktsioone ning GDPR töötlemise piire.

ISO/IEC 27001:2022, NIS2, DORA ja GDPR kontekstis ei ole nõrk kohaldamisala pelgalt halduslik puudus. See on esimene doominokivi. Kui kohaldamisala on vale, on riskihindamine puudulik, SoA eksitav, tarnijakontrollid jätavad kriitilised teenuseosutajad kõrvale, intsidentidest teatamise tähtajad muutuvad ebakindlaks ning andmekaitsealane vastutus killustub meeskondade vahel.

Miks ISO 27001 ISMSi kohaldamisala on nüüd regulatiivne piir

ISO/IEC 27001:2022 punkt 4.3 nõuab, et organisatsioon määraks kindlaks ISMSi piirid ja kohaldatavuse, arvestades sisemisi ja väliseid asjaolusid, huvitatud osapoolte nõudeid ning liideseid ja sõltuvusi teiste organisatsioonidega ISO/IEC 27001:2022.

See sõnastus on 2026. aastal olulisem kui varasemates sertifitseerimistsüklites. NIS2, DORA, GDPR, pilveteenuste allhange, kliendilepingud, kontserni tehnoloogiateenused ja hallatud teenusepakkujad ei ole kõrvalmärkused. Need on ISMSi piiri sisendid.

NIS2 tõstab oluliste ja tähtsate üksuste juhtimise panuseid. See nõuab, et juhtorganid kinnitaksid küberriskide juhtimise meetmed, teeksid järelevalvet nende rakendamise üle ja läbiksid koolituse. NIS2 Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid, sealhulgas riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist ja arendust, tõhususe hindamist, küberhügieeni, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ning vajaduse korral mitmefaktorilist autentimist.

DORA muudab finantsüksuste jaoks kohaldamisala käsitlust. Seda kohaldatakse alates 17. jaanuarist 2025 ning sellega kehtestatakse ühtsed nõuded IKT-riski juhtimisele, IKT-ga seotud intsidentidest teatamisele, digitaalse tegevuskerksuse testimisele, teabe jagamisele ja kolmandast isikust IKT-teenuseosutajatega seotud riskide juhtimisele. DORA Article 6 nõuab dokumenteeritud IKT-riski juhtimise raamistikku. DORA Article 8 nõuab IKT-toega ärifunktsioonide, teabevarade ja IKT-varade tuvastamist, klassifitseerimist ja dokumenteerimist, sealhulgas sõltuvusi. DORA Article 28 nõuab kolmandast isikust IKT-teenuseosutajatega seotud riskide juhtimist.

GDPR lisab isikuandmete mõõtme. Seda kohaldatakse automatiseeritud või struktureeritud isikuandmete töötlemisele, sealhulgas töötlemisele ELis asuvate tegevuskohtade poolt ning teatud ELi-väliste vastutavate töötlejate või volitatud töötlejate poolt, kes pakuvad liidus asuvatele inimestele kaupu või teenuseid või jälgivad nende käitumist. GDPR Article 30 nõuab töötlemistoimingute registreid, Article 32 nõuab töötlemise turvalisust ning Article 33 sätestab rikkumisest teatamise ootused.

Kaitstav ISMSi kohaldamisala ei ole seetõttu kirjutatud osakondade ümber. See kirjutatakse reguleeritud teenuste, kriitiliste või oluliste funktsioonide, isikuandmete töötlemise, toetavate varade ja kolmandate osapoolte sõltuvuste ümber.

Viga: ISO 27001, NIS2, DORA ja GDPR käsitlemine eraldi programmidena

Paljudes organisatsioonides kordub järgmine muster:

  • Turvameeskond koostab ISO 27001 kohaldamisala.
  • Õigusosakond hindab NIS2 kohaldatavust.
  • Riskijuhtimise või vastavusfunktsioon haldab DORA kohustusi.
  • Andmekaitsefunktsioon hoiab GDPR töötlemistoimingute registrit.
  • Hankeosakond vastutab tarnijate nimekirja eest.
  • Käituse meeskond vastutab talitluspidevuse ja katastroofitaaste eest.

Iga meeskond võib teha mõistlikku tööd. Probleem seisneb selles, et reguleeritud tegelikkus lõikab neist kõigist läbi.

Pilvekeskkonnas majutatud kliendi identiteediteenus võib samal ajal toetada NIS2 teenuse osutamist, DORA reguleeritud klienditegevusi ja GDPR isikuandmete töötlemist. Hallatud tuvastusteenuse pakkuja võib olla turbetarnija, intsidentidele reageerimise sõltuvus, logiandmete volitatud töötleja või alltöötleja ning oluline sisend regulatiivsete teavitamisotsuste tegemisel. Tugiplatvormi võidakse pidada „tootmisväliseks“, kuigi see käsitleb isikuandmetega seotud rikkumiste kommunikatsiooni ja klientide tõenditaotlusi.

ISMS on parim koht nende kohustuste integreerimiseks, sest ISO 27001 sunnib esitama ühe distsiplineeritud küsimuse: mis on piiri sees, mis on väljaspool ja miks?

Claryseci Zenith Blueprint: audiitori 30-sammuline tegevuskava Zenith Blueprint käsitleb seda ISMSi aluste ja juhtimise etapis, samm 2: sidusrühmade vajadused ja ISMSi kohaldamisala:

„Kui kontekst on mõistetud ja sidusrühmade nõuded tuvastatud, nõuab punkt 4.3 ISMSi piiride ja kohaldatavuse määramist, et kehtestada selle kohaldamisala. ISMSi kohaldamisala on oluline määratlus, mis sätestab, mis kuulub teie turbejuhtimise programmi alla ja mis mitte.“

Zenith Blueprint rõhutab ka punkti, mida paljud kohaldamisala kirjeldused endiselt ei kata:

„Kui annate oma IT-taristu allhankena pilveteenuse pakkujale, ei välista see seda kohaldamisalast; pigem hõlmate kohaldamisalasse selle suhte juhtimise ja pilvevarad.“

Allhange nihutab teostuse. See ei kõrvalda vastutust.

ISO 27001 kohaldamisala nelja piiri mudel 2026. aastaks

NIS2, DORA ja GDPR mõjualas olevatele organisatsioonidele soovitab Clarysec määratleda ISO 27001 ISMSi kohaldamisala nelja omavahel seotud piiri kaudu.

PiirPeamine kohaldamisala küsimusTüüpiline tõendusmaterjalRegulatiivne asjakohasus
Teenuse piirMilliseid teenuseid osutatakse klientidele, kodanikele, patsientidele, finantsüksustele või teistele reguleeritud sidusrühmadele?Teenusekataloog, NIS2 kohaldatavuse hindamine, kliendilepingud, arhitektuuriskeemidNIS2 olulise või tähtsa üksuse klassifitseerimine ja teenuse mõjuanalüüs
Funktsiooni piirMillised äriprotsessid või IKT-teenused toetavad kriitilisi või olulisi funktsioone?BIA, DORA kriitiliste funktsioonide kaardistus, kerksusstrateegia, RTO ja RPO kirjedDORA IKT-riski juhtimine, talitluspidevuse testimine ja kolmandate osapoolte risk
Töötlemise piirKus isikuandmeid kogutakse, säilitatakse, kasutatakse, edastatakse, logitakse, toetatakse või kustutatakse?RoPA, andmevoogude kaardid, DPIA-d, volitatud töötlejate loend, säilitustähtajadGDPR vastutus, töötlemise turvalisus ja rikkumisele reageerimine
Sõltuvuse piirMillised tarnijad, pilveteenused, alltöövõtjad ja sisemised jagatud teenused toetavad eeltoodut?Tarnijaregister, lepingud, pilveinventuur, väljumisplaanid, seirekirjedNIS2 tarneahela turve, DORA kolmandast isikust IKT-teenuseosutajate risk ja ISO 27001 tarnijakontrollid

Nõrk kohaldamisala kirjeldus ütleb ainult „SaaS-platvorm“. Tugevam kirjeldus ütleb, millised äriteenused, süsteemid, keskkonnad, asukohad, andmetöötlustoimingud, personalirühmad, tarnijasuhted ja juhtimisprotsessid on hõlmatud.

Kaitstavam versioon võiks olla järgmine:

„ISMS hõlmab ettevõtte ELi SaaS makseanalüütika platvormi infoturbe juhtimist, riskijuhtimist, käitamist ja pidevat täiustamist, sealhulgas tootmis- ja tootmisväliseid pilvekeskkondi, kliendi identiteediteenuseid, haldusliideseid, tugitegevusi, logimis- ja seireplatvorme, intsidentidele reageerimist, talitluspidevust, tarnijahaldust ning kõiki teenust toetavaid isikuandmete töötlemise tegevusi. ISMS hõlmab allhankena kasutatava pilvemajutuse, hallatud tuvastuse ja klienditoe tööriistade juhtimist, kui neid kasutatakse teenuse osutamiseks, kerksuse tagamiseks, turbeseireks või GDPR-iga seotud kommunikatsiooniks.“

See kohaldamisala ei ole lihtsalt pikem. See sobib auditiks paremini, sest seob teenused, varad, töötlemise ja sõltuvused.

Kuidas Claryseci poliitikad muudavad kohaldamisala juhtimiskeeleks

Kohaldamisala ei tohi elada eraldiseisvas dokumendis. See peab olema kooskõlas infoturbepoliitika, õigusliku ja regulatiivse nõuetelevastavuse, riskijuhtimise, andmekaitse, tarnijahaldamise, auditikriteeriumide ja talitluspidevuse planeerimisega.

Enterprise’i Infoturbepoliitika Infoturbepoliitika kõrvaldab välistustega seotud ebaselguse:

„Kõik selle kohaldamisala välistused või piirangud tuleb dokumenteerida ISMSi kohaldamisala kirjelduses ning põhjendada tippjuhtkonna ametliku heakskiiduga.“

See säte on oluline, kui äriüksus väidab, et klienditugi jääb platvormist väljapoole, kuigi tugiagendid pääsevad ligi kliendi identifikaatoritele ja käsitlevad rikkumistega seotud kommunikatsiooni. Välistus on võimalik ainult siis, kui see on dokumenteeritud, põhjendatud ja heaks kiidetud.

Enterprise’i Õigusnormidele vastavuse poliitika Õigusnormidele vastavuse poliitika muudab õigusliku kaardistuse operatiivseks:

„Kõik õiguslikud ja regulatiivsed kohustused tuleb kaardistada konkreetsete poliitikate, kontrollimeetmete ja omanikega infoturbe juhtimissüsteemis (ISMS).“

See on sild õigusliku kohaldatavuse ja kohaldatavusdeklaratsiooni vahel. NIS2 Article 21 ei tohi jääda õigusmemorandumisse. DORA kolmandast isikust IKT-teenuseosutajatega seotud kohustused ei tohi jääda üksnes hankesuunistesse. GDPR Article 30 ja Article 32 kohustused ei tohi asuda ainult andmekaitseregistris. Neil peavad olema kaardistatud omanikud, kontrollimeetmed ja tõendid.

Enterprise’i Riskijuhtimise poliitika Riskijuhtimise poliitika laiendab kohaldamisala kolmandatele osapooltele:

„See poliitika kohaldub kõigile organisatsiooniüksustele, äriprotsessidele, süsteemidele, personalile ja kolmandate osapoolte kaasamistele, mis on seotud teabevarade käitlemise, arendamise, säilitamise või haldamisega.“

See sõnastus on kooskõlas NIS2 tarneahela turbe, DORA kolmandast isikust IKT-teenuseosutajate riski ning GDPR vastutava töötleja või volitatud töötleja vastutusega.

Enterprise’i Andmekaitse ja privaatsuspoliitika Andmekaitse ja privaatsuspoliitika seob privaatsuse kohaldamisala töötlemisega:

„See poliitika kohaldub kõigile organisatsiooniüksustele, personalile ja süsteemidele, mis osalevad isikuandmete (PII) töötlemises, sealhulgas:“

Põhimõte on määrav. Kui süsteem töötleb PII-d, ei saa see olla ISMSile nähtamatu põhjusel, et see on „ainult tugi“, „tootmisväline“ või „turunduse omandis“.

Enterprise’i Talitluspidevuse ja katastroofitaaste poliitika Talitluspidevuse ja katastroofitaaste poliitika seob kohaldamisala BIA tulemustega:

„See poliitika kohaldub kõigile organisatsiooniüksustele, infosüsteemidele, äriprotsessidele, personalile ja kolmandate osapoolte teenustele, mis on ärimõju analüüsi (BIA) tulemuste alusel klassifitseeritud kriitilisteks või olulisteks.“

See säte sobitub loomulikult DORA kriitiliste või oluliste funktsioonide ja NIS2 teenuse järjepidevusega.

Väiksemate organisatsioonide puhul hoiavad Claryseci VKE-poliitikad sõnastuse lühikese, säilitades sama loogika. VKE Auditi ja vastavuse seire poliitika-sme Auditi ja vastavuse seire poliitika-sme - VKE määratleb auditi katvuse järgmiselt:

„Kõik kontrollimeetmed ja süsteemid, mis kuuluvad infoturbe juhtimissüsteemi (ISMS) kohaldamisalasse“

VKE Andmekaitse ja privaatsuspoliitika-sme Andmekaitse ja privaatsuspoliitika-sme - VKE määratleb privaatsuse kohaldamisala järgmiselt:

„Iga süsteem, rakendus või asukoht, kus isikuandmeid säilitatakse või edastatakse“

VKE Riskijuhtimise poliitika-sme Riskijuhtimise poliitika-sme - VKE hoiab allhankena osutatavad teenused nähtavana:

„Kogu teave, teenused ja varad, mida hallatakse sisemiselt või kolmandate osapoolte kaudu“

Sellised lühikesed sätted on mõjusad, sest takistavad sertifitseerimispiiril välistamast reguleeritud andmeid, pilveteenuseid või tarnija hallatavaid varasid.

Varade register on koht, kus kohaldamisala muutub tegelikkuseks

Kohaldamisala kirjeldus on usaldusväärne ainult siis, kui seda saab seostada varade, omanike, tarnijate, andmevoogude ja tõendusmaterjaliga.

Zenith Blueprint juhendab riskijuhtimise etapis, samm 9: varade, ohtude ja nõrkuste tuvastamine, organisatsioone loetlema ISMSi kohaldamisalas olevad varad ning fikseerima omaniku, asukoha ja klassifikatsiooni. See annab praktilise näite:

„Kliendiandmebaas – omanik IT-osakond – majutatud AWS-is – sisaldab isiku- ja finantsandmeid (kõrge tundlikkus).“

Sama samm lisab kohaldamisala meeldetuletuse, mis on otseselt asjakohane NIS2 ja GDPR jaoks:

„Veenduge, et isikuandmete varad oleksid märgistatud (GDPR asjakohasuse jaoks) ja kriitiliste teenuste varad oleksid märgitud (võimaliku NIS2 kohaldatavuse jaoks, kui tegutsete reguleeritud sektoris).“

Claryseci Zenith Controls: ristvastavuse juhend Zenith Controls käsitleb ISO/IEC 27002:2022 kontrolli 5.9, teabe ja muude seotud varade registrit, kui aluseks olevat ristvastavuse kontrollimeedet. Selle atribuudid klassifitseerivad kontrolli ennetavaks, konfidentsiaalsust, terviklust ja käideldavust toetavaks, küberturbe tuvastamise kontseptsiooniga kooskõlas olevaks, varahalduse operatiivvõimekusega seotud ning juhtimise, ökosüsteemi ja kaitse valdkondadesse kuuluvaks.

Zenith Controls selgitab GDPR ja NIS2 asjakohasust otse:

„Ilma täpse ja ajakohase varade registrita ei saa organisatsioonid hinnata ega rakendada asjakohaseid kaitsemeetmeid.“

NIS2 puhul toetab varade register olulisi või tähtsaid teenuseid toetavate kriitiliste süsteemide ja komponentide tuvastamist. DORA puhul muudab DORA Article 8 IKT-varade ja teabevarade tuvastamise digitaalse tegevuskerksuse keskseks osaks. GDPR puhul toetab varade register andmevoogude kaardistamist, RoPA kvaliteeti ja rikkumisele reageerimist.

Toetavad ISO standardid tugevdavad sama loogikat. ISO/IEC 27005:2024 tugevdab varade tuvastamist infoturbe riskihindamises. ISO 22301:2019 toetab talitluspidevuseks vajalike ressursside tuvastamist. ISO/IEC 19770-1:2017 toetab IT-varahalduse küpsust. ISO/IEC 27017:2015 ja ISO/IEC 27018:2019 toetavad pilvespetsiifilisi kontrollimeetmeid ning PII kaitset avalikes pilvedes. ISO/IEC 27701:2019 laiendab privaatsusteabe haldust. ISO/IEC 29100:2011 lisab privaatsuspõhimõtteid, nagu läbipaistvus, andmete minimaalsus ja turvameetmed.

Praktiline kohaldamisala harjutus SaaS- ja fintech-meeskondadele

Alustage ühest reguleeritud teenusest, mitte kogu ettevõttest. Näiteks: „ELi makseanalüütika SaaS finantsasutustele“.

Seejärel koostage teenuse-varade-töötlemise kaart.

Kohaldamisala elementNäidiskirjeMiks see kuulub kohaldamisalasse
Reguleeritud teenusELi makseanalüütika SaaSVõib toetada NIS2 digitaalse teenuse klassifikatsiooni ja kliendi regulatiivseid kohustusi
Kriitiline või oluline funktsioonTehingute seire juhtpaneel reguleeritud finantsklientideleKliendid võivad käsitleda seda DORA kriitilisi või olulisi funktsioone toetavana
Isikuandmete töötlemineKasutaja identiteet, kliendi kontaktandmed, IP-aadressid, tugipiletid, auditilogidGDPR kohaldub automatiseeritud või struktureeritud isikuandmete töötlemisele
PõhivaradTootmiskeskkonna pilvetenant, andmebaasiklaster, API-lüüs, IAM, CI/CD torustik, seirepinuVajalik ISO 27001 riskihindamiseks, NIS2 varahalduseks ja DORA IKT-nähtavuseks
Peamised tarnijadPilveteenuse pakkuja, hallatud tuvastusteenuse pakkuja, klienditoe SaaS, e-posti teenus, varundusteenuse pakkujaVajalik NIS2 tarneahela turbe ja DORA kolmandast isikust IKT-teenuseosutajate riski jaoks
Talitluspidevuse sõltuvusedVarukoopiate hoidla, katastroofitaaste piirkond, tugikommunikatsioon, intsidendisildVajalik DORA kerksuse ja NIS2 talitluspidevuse jaoks
Tõendusmaterjali omanikudInfoturbejuht, andmekaitseametnik, arendusjuht, hankejuht, teenuseomanikVajalik auditivastutuse ja juhtkonna ülevaatuse jaoks

Üksikasjalikum varade näidis võiks välja näha nii.

Vara nimi või kirjeldusOmanikToetatav äriteenusRegulatiivne asjakohasusISMSi kohaldamisalas?Põhjendus
Kliendi autentimisteenusPlatvormijuhtKasutaja sisselogimine ja MFADORA, GDPR, NIS2JahKriitiline platvormile juurdepääsuks ja töötleb isikuandmeid
Vahekeskkonna andmebaasDevOps-meeskondEeltootmise testimineGDPRJahTöötleb pseudonüümitud isikuandmeid ja võib mõjutada tootmiskeskkonna turvet
Kolmanda osapoole maksete APITootejuhtPõhiline maksete töötlemineDORA, GDPRJah, tarnija juhtimineToetab kriitilise teenuse osutamist ning töötleb isiku- või finantsandmeid
Sisemine wikiIT-juhtSisemine dokumentatsioonISO 27001JahSisaldab konfiguratsiooniandmeid, protseduure ja turbedokumentatsiooni
R&D isoleeritud võrkR&D juhtTulevane teadus- ja arendustegevusPraegu ei kohalduEiÕhkvahega eraldatud, puuduvad tootmisandmed, PII ja kriitiline funktsioon; välistus on ametlikult heaks kiidetud

Järgmisena kasutage Zenith Blueprint sammu 13: riskikäsitluse planeerimine ja kohaldatavusdeklaratsioon. Juhend suunab kasutajaid koostama SoA-d malli abil, mis loetleb kõik Annex A kontrollimeetmed, ning otsustama kohaldatavuse riskikäsitluse, õiguslike või lepinguliste nõuete, kohaldamisala asjakohasuse ja organisatsioonilise konteksti alusel. Selles öeldakse:

„Iga kontrolli (rea) puhul SoA lehel otsustage, kas see on teie ISMSi jaoks kohaldatav.“

Ülaltoodud näite puhul peab SoA arvestama tarnijate turbe, pilveteenuste, intsidendihalduse, talitluspidevuse, õiguslike ja regulatiivsete nõuete, privaatsuse, nõrkuste halduse, varukoopiate, logimise, seire, krüptograafia, turvalise arenduse, turvatestimise ja muudatuste juhtimise kontrollimeetmeid.

Praktiline töövoog on järgmine:

  1. Looge Riskiregistrisse ja SoA koostajasse vahekaart „ISMSi kohaldamisala kaardistus“.
  2. Lisage üks rida iga reguleeritud teenuse või tootesarja kohta.
  3. Siduge iga teenus varade, andmetüüpide, tarnijate, asukohtade ja äriliste omanikega.
  4. Märkige NIS2 asjakohasus, DORA asjakohasus ja GDPR töötlemise asjakohasus.
  5. Lisage riskistsenaariumid teenuse mittekäideldavuse, isikuandmetega seotud rikkumise, tarnija tõrke, pilve väärkonfiguratsiooni, kriitilise nõrkuse ja intsidendist teatamise ebaõnnestumise kohta.
  6. Valige SoA kontrollimeetmed nende riskide ja kohustuste alusel.
  7. Dokumenteerige välistused, kompenseerivad kontrollimeetmed ja riski aktsepteerimine.
  8. Hankige tippjuhtkonna heakskiit lõplikele piiridele ja välistustele.
  9. Kasutage lõplikku piiri siseauditi, juhtkonna ülevaatuse ja tarnijate seire sisendina.

Tulemus ei ole lihtsalt parem kohaldamisala kirjeldus. See on kaitstav ahel reguleeritud teenusest vara, tarnija, andmete, kontrollimeetme, omaniku ja tõendusmaterjalini.

Ristvastavuse kaardistus: üks kohaldamisala, mitu kohustust

Hästi määratletud ISO 27001 ISMS muutub töökorralduslikuks kihiks, kus NIS2, DORA, GDPR, NIST CSF ja COBIT ootused saab omavahel kooskõlla viia.

ISO/IEC 27002:2022 kontrollPeamine kohaldamisala väärtusNIS2 asjakohasusDORA asjakohasusGDPR asjakohasusNIST CSF ja COBIT asjakohasus
5.9 Teabe ja muude seotud varade registerTuvastab varad, omanikud, asukohad, klassifikatsiooni ja teenusesõltuvusedToetab Article 21 varahaldust ja teenuseid toetavate süsteemide tuvastamistToetab Article 8 IKT-varade, teabevarade ja funktsioonide tuvastamistToetab RoPA täpsust, töötlemise turvalisust ja rikkumise uurimistKaardistub NIST CSF ID.AM ja COBIT 2019 BAI09 Manage Assets praktikaga
5.31 Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõudedSeob kohustused poliitikate, kontrollimeetmete, omanike ja tõendusmaterjaligaToetab NIS2 kohustuste ja tarneahela vastavuse juhtimistToetab IKT-riski juhtimist, aruandlust ja kolmandate osapoolte kohustusiToetab vastutust ja õigusnormidele vastavustKaardistub NIST CSF GOVERN ja COBIT 2019 MEA03 Managed Compliance with External Requirements praktikaga
5.34 PII privaatsus ja kaitseTagab, et isikuandmete töötlemine on nähtav ja kaitstudToetab teenusesaajate andmete kaitset, kui see on asjakohaneToetab IKT-teenuste andmete terviklust, turvet ja konfidentsiaalsustToetab GDPR Article 32 ja lõimitud andmekaitse ootusiToetab privaatsuse juhtimist ja operatiivset privaatsushaldust

ISO/IEC 27002:2022 kontrolli 5.31, õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded, puhul seob Zenith Controls vastavuskohustused privaatsuse, PII kaitse, kirjete säilitamise, sõltumatu läbivaatamise ja sisepoliitika järgimisega. See kaardistub loomulikult GDPR vastutuse, NIS2 tarneahela vastavuse, DORA IKT-riski juhtimise ja nõuetelevastavuse, NIST CSF juhtimise ning COBIT 2019 välise vastavuse seirega.

ISO/IEC 27002:2022 kontrolli 5.34, PII privaatsus ja kaitse, puhul seob Zenith Controls privaatsuse varade registri, pilveteenuste, klassifitseerimise, teabe edastamise, juurdepääsukontrolli, identiteedihalduse ja projektimuudatuste läbivaatamisega. Selle GDPR kaardistus hõlmab töötlemise turvalisust ja lõimitud andmekaitset. Selle DORA kaardistus toetab andmete terviklust, turvet ja konfidentsiaalsust, sealhulgas IKT-teenustes käsitletavaid isikuandmeid.

Põhimõte on lihtne: ärge looge nelja omavahel ühendamata vastavusprogrammi. Looge üks kohaldamisalaga ISMS, mis suudab selgitada, kuidas kohustused täidetakse, tõendatakse ja auditeeritakse.

Intsidentidest teatamise kohaldamisala: kus piirid mõjutavad regulatiivseid tähtaegu

Vale kohaldamisala muutub intsidentide ajal valusalt nähtavaks.

NIS2 Article 23 nõuab olulistest intsidentidest etapiviisilist teatamist, sealhulgas varajast hoiatust 24 tunni jooksul, intsidenditeavitust 72 tunni jooksul, vahearuandeid nõudmise korral ja lõpparuannet ühe kuu jooksul. Samuti võib olla nõutav mõjutatud teenusesaajate teavitamine.

DORA nõuab, et finantsüksused tuvastaksid, haldaksid, klassifitseeriksid ja teavitaksid suurtest IKT-ga seotud intsidentidest selliste kriteeriumide alusel nagu mõjutatud kliendid või vastaspooled, kestus, seisakuaeg, geograafiline ulatus, andmekadu, mõjutatud teenuste kriitilisus ja majanduslik mõju. Kliente tuleb põhjendamatu viivituseta teavitada, kui suur IKT-intsident mõjutab nende finantshuve.

GDPR isikuandmetega seotud rikkumisest teatamine sõltub sellest, kas rikkumine põhjustab isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu.

Kui tugiplatvorm, logikeskkond, identiteediteenus, klienditeavituse kanal või hallatud tuvastusteenuse pakkuja asub väljaspool ISMSi kohaldamisala, ei pruugi intsidendimeeskonnad teada, kas sündmus käivitab NIS2, DORA, GDPR, kliendilepingu aruandluse või kõik need korraga. See ebakindlus kulutab teatamistähtaja ära.

Küps kohaldamisala hõlmab intsidentidega seotud sõltuvusi: tuvastusvahendeid, logihoidlaid, forensika hoidlaid, kliendikommunikatsiooni kanaleid, tugivahendeid, varunduskeskkondi, intsidendisildu ning tarnijaid, kes osalevad triaažis või taastamises.

Kuidas audiitorid ja järelevalveasutused teie ISMSi kohaldamisala testivad

Tugev kohaldamisala peab proovivõtule vastu. Nõrk kohaldamisala variseb kokku, kui audiitorid võrdlevad dokumente tegelikkusega.

Auditi vaadeMida audiitor testibTüüpiliselt nõutav tõendusmaterjal
ISO 27001 audiitorKas kohaldamisala arvestab konteksti, huvitatud osapoolte nõudeid, liideseid, sõltuvusi ja dokumenteeritud välistusiISMSi kohaldamisala kirjeldus, huvitatud osapoolte register, õigusregister, varade register, SoA, juhtkonna heakskiit
NIST-keskne hindajaKas varad, tarnijad, riskivastused, seire ja intsidendikriteeriumid on kooskõlas määratud piirigaCurrent ja Target Profiles, varade register, riskiregister, tegevuskava, seire katvus, intsidendiplaanid
COBIT 2019 audiitorKas juhtimine hõlmab väliseid kohustusi, kriitilisi teenuseid, vastavuse seiret ja vastutustJuhatuse aruanded, vastavuskaardistused, teenuse omamine, riskitöölauad, MEA03-stiilis seire
ISACA ITAF audiitorKas tõendusmaterjal on piisav, asjakohane ja jälgitav kohustustest kontrollimeetmete ning tulemusteniValimisse võetud varad, tarnijalepingud, logid, õigusregister, auditijäljed, intervjuud omanikega
DORA ülevaatajaKas kriitilisi või olulisi funktsioone toetavad IKT-varad ja kolmandate osapoolte teenused on tuvastatud ja testitudIKT-register, kriitiliste funktsioonide kaardistus, lepingud, väljumisplaanid, testitulemused, intsidendikirjed
PrivaatsusaudiitorKas isikuandmete töötlemine on inventeeritud, kaitstud ja seotud kontrollimeetmetegaRoPA, DPIA-d, volitatud töötlejate lepingud, juurdepääsulogid, säilitamise tõendid, rikkumise protseduurid

Zenith Controls annab kasulikud auditi ootused ISO/IEC 27002:2022 kontrolli 5.9 kohta. ISO/IEC 19011-stiilis audiitorid küsivad registrit varakult, et määrata teiste hindamiste kohaldamisala ning teha füüsiliste, tarkvara- ja pilvevarade pistelisi kontrolle. ISO/IEC 27007-stiilis audiitorid küsivad, kuidas ja millal registrit ajakohastatakse, otsides seoseid hangete, muudatuste juhtimise ja kasutuselt kõrvaldamisega. NIST SP 800-53A-stiilis audiitorid kontrollivad, et registriandmed sisaldavad vara tüüpi, omanikku, asukohta, vajaduse korral võrguaadressi ja staatust ning et pilve-, virtuaal- ja mobiilvarad on hõlmatud.

Kontrolli 5.31 puhul märgib Zenith Controls, et sertifitseerimisaudiitorid ootavad vastavusregistrit või seaduste ja lepingute loendit, millele viidatakse SoA-s ja riskikäsitluse plaanides. COBIT audiitorid otsivad vastavuse omanikke, hindamisi ja aruandlust kõrgemale juhtkonnale. ISACA ITAF audiitorid võtavad tõendusmaterjalist valimeid, et kinnitada, et organisatsioon mitte ainult ei tunne oma kohustusi, vaid tagab aktiivselt nende täitmise.

Kontrolli 5.34 puhul vaatavad audiitorid läbi privaatsuspoliitikad, andmeregistrid, DPIA-d, koolituslogid, krüptimise tõendid, juurdepääsukontrollid, DSAR-i näidised, lõimitud andmekaitse tõendusmaterjali ja PII-ga seotud intsidendikirjed. Kohaldamisala kirjeldus, mis välistab isikuandmeid töötleva süsteemi, seatakse kiiresti kahtluse alla.

Juhatuse küsimus: mida ei saa välistada?

Tippjuhtkond küsib sageli, kas äriüksus, asukoht, tarnija või süsteem võib jääda ISMSi kohaldamisalast välja. Mõnikord on vastus jah. Kuid mitte siis, kui välistus takistab organisatsioonil täita õiguslikke, regulatiivseid, lepingulisi või teenuse turvalisuse kohustusi.

Kasutage enne mis tahes piirangu heakskiitmist seda välistustesti:

  • Kas üksus, süsteem või tarnija toetab NIS2-ga reguleeritud teenust?
  • Kas see toetab DORA kriitilist või olulist funktsiooni organisatsiooni või selle reguleeritud klientide jaoks?
  • Kas see kogub, säilitab, edastab, logib, toetab või kustutab isikuandmeid?
  • Kas see pakub kohaldamisalas olevale teenusele turbeseiret, identiteediteenust, varundust, intsidentidele reageerimist või taastet?
  • Kas see annab tõendusmaterjali, mida on vaja intsidendi klassifitseerimiseks või regulatiivseks teavitamiseks?
  • Kas kliendileping nõuab selle hõlmamist ISMSiga?
  • Kas selle kompromiteerimine mõjutaks määratud kohaldamisala piires konfidentsiaalsust, terviklust, käideldavust, õigusnormidele vastavust või teenuse järjepidevust?

Kui vastus on jah, vajab välistus tugevat tõendusmaterjali, kompenseerivat juhtimist, riski aktsepteerimist ja tippjuhtkonna ametlikku heakskiitu. Paljudel juhtudel ei tohiks seda välistada.

Kaasaegne ISO 27001 ISMSi kohaldamisala peab hõlmama järgmist:

  1. Hõlmatud äriteenused ja tootesarjad.
  2. Hõlmatud juriidilised isikud, organisatsiooniüksused ja asukohad.
  3. Kohustusi määravad kliendisegmendid ja jurisdiktsioonid.
  4. Kriitilised või olulised funktsioonid ning BIA-põhised olulised teenused.
  5. Teabevarad, IKT-varad ja pilvekeskkonnad.
  6. Isikuandmete töötlemise tegevused ja PII-hoidlad.
  7. Arendus-, testimis-, toe-, seire- ja intsidendiprotsessid.
  8. Tarnijad ja allhanketeenused, mis toetavad kohaldamisalas olevaid teenuseid.
  9. Liidesed ja sõltuvused kontserni ettevõtete või väliste teenuseosutajatega.
  10. Selgesõnalised välistused koos põhjenduse, riski aktsepteerimise ja tippjuhtkonna heakskiiduga.

Nii muutub ISO 27001 kohaldamisala juhatuse tasandi juhtimispositsiooniks, mitte sertifitseerimise otseteeks.

Muutke oma ISMSi kohaldamisala auditivalmiks enne, kui audiitor selle teie eest määratleb

Halvim aeg kohaldamisala probleemi avastamiseks on sertifitseerimise, järelevalvelise läbivaatamise, kliendi taustakontrolli või aktiivse intsidendi ajal.

Kitsas sertifikaat võib rahuldada hanke kontrollkasti, kuid see ei pea vastu sisulisele kontrollile, kui see välistab teenused, IKT-funktsioonid, tarnijad ja isikuandmete töötlemise, mis tekitavad regulatiivse kokkupuute. 2026. aastal läbivad auditid kindlalt need organisatsioonid, kes suudavad näidata üht sidusat kaarti reguleeritud teenusest vara, tarnija, isikuandmete, kontrollimeetme, omaniku ja tõendusmaterjalini.

Alustage kolmest konkreetsest tegevusest:

  1. Kasutage Zenith Blueprint Zenith Blueprint etappi: ISMSi alused ja juhtimine, samm 2, et sõnastada oma ISMSi kohaldamisala ümber teenuste, funktsioonide, töötlemise ja sõltuvuste põhjal.
  2. Kasutage Zenith Controls Zenith Controls, et kaardistada varade register, õiguslikud kohustused ja PII kaitse ISO 27001, NIS2, DORA, GDPR, NIST ja COBIT 2019 auditi ootuste lõikes.
  3. Viige poliitika kohaldamisala kooskõlla Claryseci Infoturbepoliitika Infoturbepoliitika, Õigusnormidele vastavuse poliitika Õigusnormidele vastavuse poliitika, Riskijuhtimise poliitika Riskijuhtimise poliitika, Andmekaitse ja privaatsuspoliitika Andmekaitse ja privaatsuspoliitika ning Talitluspidevuse ja katastroofitaaste poliitika Talitluspidevuse ja katastroofitaaste poliitika abil.

Kui teie praegune ISMSi kohaldamisala loeb endiselt nagu osakonna silt, ehitage see ümber vastavuspiiriks. Laadige alla Claryseci tööriistakomplektid, kaardistage üks reguleeritud teenus otsast lõpuni ning muutke oma ISO 27001 kohaldamisala auditivalmiks tõendusmaterjaliks NIS2, DORA ja GDPR jaoks.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Küberriski kvantitatiivne hindamine NIS2 ja DORA jaoks

Küberriski kvantitatiivne hindamine NIS2 ja DORA jaoks

Praktiline juhend infoturbejuhtidele, nõuetelevastavuse juhtidele ja juhtorganitele: kuidas teisendada kvalitatiivsed küberriskid finantsiliseks riskipositsiooniks, ISO 27001 tõendusmaterjaliks, NIS2 järelevalveks ja DORA IKT tegevuskerksuse otsusteks.