EUCS-i pilveteenuste sertifitseerimise tõendusmaterjal 2026. aasta audititeks
Nõupidamisruumi projektori kuma valgustas Amelia nägu, kui ta vaatas slaidi pealkirjaga „2026. aasta vastavushorisont“. Kiiresti kasvava finantstehnoloogia ettevõtte infoturbejuhina oli tal ekraanil kolm lühendit ja nende taga üks korduv operatiivne probleem: NIS2, DORA ja GDPR viisid kõik tagasi samade pilveplatvormideni.
DORA audiitor soovis tõendusmaterjali pilveteenuste IKT kolmanda osapoole riskijuhtimise kohta, sest need teenused majutasid makserakendusi. NIS2 pädev asutus oli liigitanud ettevõtte oluliseks üksuseks ja küsis, kuidas juhitakse tarneahela turvet. Andmekaitseametnik valmistus GDPR ülevaatuseks, mille fookuses olid volitatud töötleja turve, andmete asukoht ja valmisolek rikkumisteks. Seejärel edastas hankeüksus lühikese e-kirja pilveanalüütika teenuseosutajalt:
„Valmistume EUCS-i sertifitseerimiseks. Kas see võib asendada teie tarnija turbeülevaatuse?“
Hõivatud infoturbejuhi, vastavusjuhi või asutaja jaoks on ahvatlev vastus jah. Euroopa pilveteenuste küberturvalisuse sertifikaat kõlab täpselt sellise tõendusmaterjalina, mis peaks vähendama küsimustikke, rahustama audiitoreid ja rahuldama kliente.
Täpsem vastus on siiski parem: EUCS-i pilveteenuste sertifitseerimine võib muutuda tugevaks tõendusmaterjaliks pilveteenuse osutaja kohta, kuid ainult siis, kui see on seotud teie enda ISO/IEC 27001:2022 riskihindamise, kohaldatavusavalduse, tarnijaregistri, pilveteenuste registri, lepinguliste kontrollimeetmete, intsidentidele reageerimise tööjuhiste ja GDPR vastutuse kirjetega.
See eristus on oluline. NIS2 muudab tarneahela turbe ja digitaristu toimepidevuse järelevalveküsimuseks. DORA kohaselt jäävad finantsüksused IKT kolmanda osapoole riski eest vastutavaks ka siis, kui pilveteenused on sisse ostetud. GDPR nõuab, et vastutavad töötlejad ja volitatud töötlejad suudaksid tõendada vastutustundlikku, seaduslikku ja turvalist töötlemist. ISO/IEC 27001:2022 nõuab määratletud kohaldamisalaga riskipõhist juhtimissüsteemi, mis arvestab õiguslike, regulatiivsete, lepinguliste ja kolmandatest osapooltest tulenevate sõltuvustega.
EUCS ei kõrvalda neid kohustusi. See annab struktureeritud tõendusmaterjali, mida hinnata, ühtlustada, vaidlustada ja taaskasutada.
Clarysec’i lähenemine on lihtne: käsitlege EUCS-i suure väärtusega sisendina tarnija kohta kindluse saamiseks, mitte vastavuse otseteena. Dokumendis Zenith Controls: ristvastavuse juhend algab pilveteenustega seotud kindluse klaster ISO/IEC 27002:2022 kontrollimeetmest 5.23, pilveteenuste kasutamise infoturve, ning seob selle kontrollimeetmega 5.20, infoturbe käsitlemine tarnijalepingutes, ja kontrollimeetmega 5.22, tarnijateenuste seire, läbivaatamine ja muudatuste juhtimine. Need kolm kontrollimeedet moodustavad kaitstava EUCS-i tõendusmaterjali läbivaatuse selgroo.
Miks pilveteenuste kohta saadav kindlus satub NIS2, DORA ja GDPR mõjul surve alla
- aastaks ei ole pilveteenuste kohta kindluse saamine enam pelgalt hanke töövoog. See on juhatuse, regulaatori ja auditi teema.
NIS2 direktiiv, Directive (EU) 2022/2555, laiendab elutähtsate ja oluliste üksuste küberturvalisuse kohustusi. Selle kohaldamisala hõlmab paljusid sektoreid, mis sõltuvad suurel määral pilveteenustest, ning selle digitaristu maastik hõlmab pilveteenuse osutajaid, andmekeskuste teenuseosutajaid, sisuedastusvõrke, usaldusteenuse osutajaid, DNS-teenuse osutajaid ja TLD nimeregistreid. Fookuses on ka hallatud teenuse osutajad ja hallatud turvateenuse osutajad.
Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid, sealhulgas riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist ja arendust, haavatavuste käsitlemist, tõhususe hindamist, küberhügieeni, krüptograafiat, juurdepääsukontrolli, varahaldust ja autentimist. Article 23 kehtestab etapiviisilised intsidentidest teavitamise ootused, sealhulgas varajase hoiatuse 24 tunni jooksul ja intsidenditeate 72 tunni jooksul, arvestades direktiivi ja riiklikku rakendamist. Article 24 võimaldab liikmesriikidel teatavatel asjaoludel nõuda Euroopa küberturvalisuse sertifitseerimisskeemide alusel sertifitseeritud IKT-toodete, -teenuste või -protsesside kasutamist. Article 25 soodustab asjakohaste Euroopa ja rahvusvaheliste standardite kasutamist.
DORA, Regulation (EU) 2022/2554, on finantsüksuste suhtes veelgi otsesem. Alates 17. jaanuarist 2025 nõuab see finantsorganisatsioonidelt IKT-riski juhtimist, olulistest IKT-ga seotud intsidentidest teatamist, digitaalse operatsioonilise toimepidevuse testimist ja IKT kolmanda osapoole riski juhtimist. Selle kohaldamisalasse kuuluvate üksuste puhul toimib DORA sektoripõhise liidu õigusaktina vastavate küberturvalisuse kohustuste jaoks, mis kattuvad NIS2 riiklike normidega.
DORA ei luba vastutust allhankesse anda. Articles 28 to 30 nõuavad, et finantsüksused teeksid taustakontrolli, hindaksid kontsentratsiooniriski, peaksid lepinguliste kokkulepete registreid, lisaksid kohustuslikud lepingulised kaitsemeetmed, säilitaksid auditi- ja juurdepääsuõigused, tagaksid intsidendiabi, teeksid koostööd pädevate asutustega ning hoiaksid töös väljumisstrateegiaid IKT-teenustele, mis toetavad kriitilisi või olulisi funktsioone.
GDPR, Regulation (EU) 2016/679, lisab vastutuse ja andmekaitse kihi. Article 5 nõuab, et vastutavad töötlejad järgiksid andmekaitsepõhimõtteid ja suudaksid vastavust tõendada. Article 28 reguleerib suhteid volitatud töötlejatega ja nõuab volitatud töötlejatelt piisavaid tagatisi. Article 32 nõuab asjakohaseid tehnilisi ja korralduslikke meetmeid töötlemise turvalisuse tagamiseks.
Tulemuseks on koondumisprobleem. Üks pilveteenuse osutaja võib olla DORA alusel kriitiline IKT kolmas osapool, NIS2 tarneahelas otsene tarnija ning GDPR alusel volitatud töötleja või alltöötleja. Kui kindlust juhitakse eraldiseisvate küsimustike, sertifikaadi-PDF-ide ja lepingukaustade kaudu, muutub iga audit tõendusmaterjali taastamise harjutuseks.
EUCS võib seda kaost vähendada, kuid ainult siis, kui see lõimitakse juhitud tõendusmudelisse.
Mida EUCS suudab tõendada ja mida mitte
EU Cybersecurity Certification Scheme for Cloud Services, mida tavaliselt nimetatakse EUCS-iks, on loodud Euroopa pilveteenuste kindlust andva mehhanismina laiema EL-i küberturvalisuse sertifitseerimisraamistiku all. Selle praktiline väärtus ei seisne ainult märgises. Väärtus on sertifikaadi aluseks olevas kohaldamisalas, kindlustasemes, hinnatud teenustes, regioonides, juriidilistes isikutes, hindamise piirides, kehtivusperioodis ja järelevalvemudelis.
Õige küsimus pilveteenuse kohta kindluse saamisel ei ole lihtsalt „Kas sellel teenuseosutajal on EUCS?“ Õige küsimus on järgmine:
- Millised konkreetsed pilveteenused on hõlmatud?
- Millised regioonid, andmete asukohad ja juriidilised isikud on hõlmatud?
- Milline kindlustase kehtib?
- Millist hindamismeetodit kasutati?
- Millised jagatud vastutuse eeldused jäävad kliendile?
- Millist tõendusmaterjali saab avaldada klientidele, regulaatoritele ja audiitoritele?
- Kuidas mõjutab sertifikaat auditeerimisõigusi, intsidentidest teavitamist, alltöövõtjate läbipaistvust ja väljumisplaani?
Pilvesertifikaat katab harva teie konfiguratsiooni. Kui teie organisatsioon keelab MFA, teeb salvestusruumi avalikuks, annab ülemäärased haldusõigused, jätab privilegeeritud juurdepääsu logimata või konfigureerib regioonid valesti, ei päästa teenuseosutaja sertifikaat teie auditit.
Seetõttu kuulub EUCS tõendusmaatriksisse, mitte pjedestaalile. See võib toetada teenuseosutaja poole kindlust, kuid organisatsioon peab siiski tõendama oma juhtimis-, konfiguratsiooni-, lepingulisi ja seirekontrolle.
Zenith Blueprint: audiitori 30 sammu tegevuskava teeb selle selgeks riskijuhtimise etapis, 13. samm: riskikäsitluse kavandamine ja kohaldatavusavaldus:
SoA on sisuliselt sildav dokument: see seob teie riskihindamise ja riskikäsitluse tegelike kontrollimeetmetega, mis teil olemas on. Selle täitmisel kontrollite ühtlasi üle, kas mõni kontrollimeede jäi lisamata.
See on EUCS-i jaoks õige mõttemudel. Sertifikaat on tarnija tõendusmaterjal. Teie kohaldatavusavaldus selgitab, miks seotud kontrollimeetmed on kohaldatavad, kuidas organisatsioon rakendas jagatud vastutuse enda osa, milline tarnija tõendusmaterjal aktsepteeriti ja millised jääkriskid alles jäid.
ISO 27001 selgroog EUCS-i tõendusmaterjalile
ISO/IEC 27001:2022 annab EUCS-ile koha, kuhu kuuluda. Selle punktid nõuavad, et organisatsioonid mõistaksid sisemisi ja väliseid tegureid, tuvastaksid huvitatud osapooled ja nõuded, määratleksid ISMS-i kohaldamisala, määraksid juhtkonna vastutused, hindaksid riske, valiksid kontrollimeetmed, hoiaksid ajakohasena kohaldatavusavaldust ja täiustaksid süsteemi pidevalt.
Pilveteenuste kohta kindluse saamiseks peaks EUCS jõudma vähemalt kuude ISMS-i artefakti.
| ISMS-i artefakt | Kuidas EUCS-i kasutada | Audiitori küsimus |
|---|---|---|
| ISMS-i kohaldamisala | Tuvastage pilveteenused, regioonid, juriidilised isikud, kliendiandmed ja allhankesõltuvused | Kas ISMS hõlmab olulisi pilvesõltuvusi ja allhanketeenuseid? |
| Riskiregister | Registreerige teenuseosutaja tõrgete, väärkonfiguratsioonide, andmete asukoha, alltöötlejate ja intsidentidest teavitamise riskid | Kas pilveriske hinnatakse ärimõju ja jagatud vastutuse suhtes? |
| Tarnija taustakontroll | Kasutage EUCS-i tõendusmaterjalina ning kontrollige seejärel kohaldamisala, kindlustaset, kehtivust ja puudujääke | Kas sertifikaat katab täpselt kasutatava teenuse? |
| Kohaldatavusavaldus | Siduge pilve-, tarnija-, juurdepääsu-, logimis-, intsidendi- ja talitluspidevuse kontrollimeetmed riskide ja regulatsioonidega | Kas kontrollimeetmete valik on põhjendatud ja jälgitav? |
| Pilveteenuste register | Registreerige teenuseosutaja, eesmärk, andmetüübid, asukohad, juurdepääs ja lepinguandmed | Kas organisatsioon suudab tuvastada kõik heakskiidetud pilveteenused? |
| Lepingute ja auditi toimik | Säilitage sertifikaadid, kokkulepped, auditeerimisõigused, teavitamistingimused, alltöövõtjate tingimused ja väljumissätted | Kas organisatsioon suudab tõendada jõustatavaid tarnijakohustusi? |
Clarysec’i poliitikakogu muudab need nõuded tegevusdistsipliiniks.
VKE Pilveteenuste kasutamise poliitika - VKE, jaotis Juhtimisnõuded, punkt 5.2, kehtestab heakskiidetud pilveteenustele baastaseme:
Heakskiidetud pilveteenused peavad vastama järgmistele baaskriteeriumidele: 5.2.1 Teenuseosutajal on tugev maine käideldavuse ja turvalisuse osas 5.2.2 Mitmetegurilist autentimist (MFA) toetatakse ja seda saab lubada 5.2.3 Andmete asukoht ja privaatsustavad vastavad kohaldatavatele õiguslikele nõuetele (nt GDPR) 5.2.4 Teenus pakub turvalisi juurdepääsukontrolle, logimist ja andmekaitsevõimekust
EUCS-i sertifikaat võib toetada punkti 5.2.1 ning osaliselt punkte 5.2.3 ja 5.2.4. See ei tõenda, et teie rentnikus on MFA lubatud, logimine konfigureeritud, andmete asukoht jõustatud või haldusjuurdepääs üle vaadatud.
Suuremate organisatsioonide puhul tõstab Pilveteenuste kasutamise poliitika, jaotis Juhtimisnõuded, punkt 5.2, lati kõrgemale:
Kogu pilvekasutus peab enne aktiveerimist läbima riskipõhise taustakontrolli, sealhulgas teenuseosutaja hindamise, õigusliku vastavuse valideerimise ja kontrollimeetmete valideerimise ülevaatused.
See lause on poliitika lähtekoht, mida iga EUCS-i läbivaatus peab järgima: teenuseosutaja hindamine, õigusliku vastavuse valideerimine ja kontrollimeetmete valideerimine, mitte pime aktsepteerimine.
EUCS-i sidumine ISO 27001, NIS2, DORA ja GDPR nõuetega
EUCS muutub auditivalmiks siis, kui sertifikaadi faktid seotakse kohustustega. Infoturbejuht peaks looma pilveteenuste kindluse ristvastavusmaatriksi, mis teisendab teenuseosutaja tõendusmaterjali taaskasutatavaks kontrollitõendusmaterjaliks.
| EUCS-i tõendusmaterjali element | Seos ISO 27001 ja ISO 27002-ga | Seos NIS2-ga | Seos DORA-ga | Seos GDPR-iga |
|---|---|---|---|---|
| Sertifikaadi kohaldamisala ja hõlmatud teenused | Toetab tarnijariski hindamist ning kontrollimeetmeid 5.19, 5.20, 5.22 ja 5.23 | Toetab tarneahela turbe ja sertifitseerimise tõendusmaterjali | Toetab IKT-teenuse osutaja taustakontrolli ja registri täpsust | Toetab volitatud töötleja ja alltöötleja hindamist |
| Kindlustase ja hindamismeetod | Toetab kontrollimeetmete valideerimist ja SoA põhjendust | Näitab proportsionaalsust riski ja teenuse kriitilisuse suhtes | Toetab kriitilise või olulise funktsiooni hindamist | Toetab vastutust majutatud isikuandmete eest |
| Andmete asukoha ja jurisdiktsiooni tõendusmaterjal | Toetab õiguslike, regulatiivsete ja lepinguliste nõuete kaardistamist | Toetab teenuse järjepidevuse ja tarneahela riski analüüsi | Toetab kontsentratsiooni- ja alltöövõturiski hindamist | Toetab andmete asukoha ja edastamisriski analüüsi |
| Intsidenditeavituse kohustused | Toetab intsidendiplaneerimist ja tarnijalepingute kontrollimeetmeid | Toetab valmisolekut olulistest intsidentidest teatamiseks | Toetab oluliste IKT-intsidentide teavitamise sõltuvusi | Toetab valmisolekut isikuandmetega seotud rikkumistele reageerimiseks |
| Alltöövõtjate ja tarneahela tõendusmaterjal | Toetab tarnijate seiret ja muudatuste juhtimist | Toetab tarnijapõhist haavatavuste hindamist | Toetab alltöövõtuahela ja kontsentratsiooniriski analüüsi | Toetab volitatud töötlejate ahela vastutust |
| Väljumise ja andmete tagastamise tõendusmaterjal | Toetab talitluspidevust, lõpetamist ja andmete turvalist käitlemist | Toetab kõigi ohtude suhtes toimepidevust ja talitluspidevust | Toetab testitud väljumisstrateegiaid kriitilistele IKT-teenustele | Toetab kustutamise, säilitamise ja töötlemise piiramise tõendusmaterjali |
See tabel ei ole mõeldud ainult vastavusdokumentatsiooniks. See on sild teenuseosutaja antava kindluse ja teie organisatsiooni vastutuse vahel.
NIS2 küsib, kas teie üksus rakendas asjakohaseid ja proportsionaalseid meetmeid. DORA küsib, kas finantsüksus juhib IKT kolmanda osapoole riski taustakontrolli, lepingute, seire ja väljumisplaanide kaudu. GDPR küsib, kas isikuandmete töötlemine on seaduslik, turvaline ja tõendatav. ISO/IEC 27001:2022 küsib, kas see kõik on lõimitud riskipõhisesse juhtimissüsteemi.
Praktiline näide: EUCS-i läbivaatus pilveanalüütika teenuseosutaja puhul
Naaseme Amelia finantstehnoloogia ettevõtte Northstar Pay juurde. Ettevõte soovib kasutusele võtta pilveanalüütika platvormi pettuste tuvastamiseks ja tehinguaruandluseks. Teenuseosutaja esitab EUCS-i sertifikaadi ja väidab, et see peaks turbeülevaatuse katma.
Clarysec struktureeriks tõendusmaterjali läbivaatuse kuueks sammuks.
Samm 1: ajakohastage pilveteenuste register
Pilveteenuste kasutamise poliitika - VKE, jaotis Juhtimisnõuded, punkt 5.3, nõuab registrit, kus on kirjas pilveteenuse nimi, eesmärk, vastutav omanik, andmetüübid, riik või regioon, juurdepääsuõigused, halduskontod, lepinguandmed, uuendamise kuupäevad ja tugikontaktid.
Ettevõtete puhul algab Pilveteenuste kasutamise poliitika, jaotis Juhtimisnõuded, punkt 5.1, omandivastutusest:
Organisatsioon peab pidama keskset pilveteenuste registrit, mille omanik on infoturbejuht ja mis sisaldab järgmist:
Northstar Pay registreerib teenuse enne heakskiitu, mitte pärast tootmiskeskkonnas kasutuselevõttu.
| Registriväli | Näidiskirje |
|---|---|
| Pilveteenus | Teenuseosutaja analüütikaplatvorm |
| Ärieesmärk | Pettuseanalüütika ja tehingutrendide aruandlus |
| Rakenduse omanik | Andmeplatvormide juht |
| Andmetüübid | Kliendi identifikaatorid, tehingu metaandmed, pseudonüümitud analüütikasündmused |
| Andmete asukoht | Ainult EL-i regioon, lepinguliselt piiratud |
| Juurdepääs | SSO, MFA, nimelised halduskontod, vähima privileegi rollid |
| Tõendusmaterjal | EUCS-i sertifikaat, ISO 27001 sertifikaat, turbeülevaate dokument, DPA, leping, alltöötlejate loend |
| Läbivaatamise kuupäev | Iga-aastane läbivaatus ja läbivaatus olulise teenusemuudatuse korral |
Samm 2: valideerige sertifikaadi kohaldamisala
Meeskond kontrollib, kas EUCS-i sertifikaat katab täpselt analüütikateenuse, juurutusmudeli, regiooni ja juriidilise isiku, mida Northstar Pay kasutab. Kui sertifikaat katab taristuteenused, kuid välistab analüütikamooduli, on tõendusmaterjali väärtus piiratud.
Siin ebaõnnestuvad paljud auditid. Teenuseosutaja ütleb „sertifitseeritud“, kuid klient ei suuda näidata, et sertifikaat kohaldub teenusele, mis töötleb reguleeritud andmeid.
Samm 3: siduge EUCS riskikäsitluse ja SoA-ga
Kasutades Zenith Blueprinti 13. sammu, seob Northstar Pay sertifikaadi riskiregistri ja kohaldatavusavaldusega.
| Riskistsenaarium | EUCS-i tõendusmaterjali väärtus | Kliendi poolel endiselt vajalik kontrollimeede |
|---|---|---|
| Loata juurdepääs analüütikaandmetele | Toetab teenuseosutaja taristu turbe kohta saadavat kindlust | Jõustada SSO, MFA, RBAC, administraatoriõiguste läbivaatus ja logimine |
| Andmed salvestatakse väljaspool heakskiidetud regiooni | Võib toetada teenuseosutaja asukohakontrolle | Lepinguline ainult EL-is salvestamine, rentniku konfiguratsioon ja perioodiline kontroll |
| Teenuseosutaja viivitab intsidendist teatamisega | Võib toetada intsidendiprotsessi kohta saadavat kindlust | Lepingulised teavitamisajad, eskalatsioonikontaktid ja intsidendijuhis |
| Alltöötleja muudatus mõjutab riski | Võib toetada tarneahela juhtimist | Lepingu kinnitamise õigused, alltöötlejate seire ja kordushindamine |
| Pilveteenuse katkestus mõjutab aruandlust | Võib toetada käideldavuse kontrollimeetmeid | Talitluspidevusplaan, RTO ja RPO analüüs, varundus- või ekspordistrateegia |
Seejärel märgib SoA ISO/IEC 27002:2022 kontrollimeetmed 5.20, 5.22 ja 5.23 kohaldatavaks, sest organisatsioon kasutab pilveteenuseid reguleeritud töötlemiseks ja oluliste analüütikatöövoogude jaoks.
Samm 4: kinnitage lepinguklauslid ja auditeerimisõigused
VKE Kolmandate osapoolte ja tarnijate turbepoliitika - VKE, jaotis Juhtimisnõuded, punkt 5.3, nõuab kohustuslikke lepinguklausleid:
Lepingud peavad sisaldama kohustuslikke klausleid, mis hõlmavad järgmist: 5.3.1 Konfidentsiaalsus ja mitteavaldamine 5.3.2 Infoturbekohustused 5.3.3 Andmekaitserikkumisest teavitamise tähtajad (nt 24–72 tunni jooksul) 5.3.4 Auditeerimisõigused või vastavuse tõendusmaterjali kättesaadavus 5.3.5 Piirangud edasisele alltöövõtule ilma heakskiiduta 5.3.6 Lõpetamistingimused, sealhulgas andmete turvaline tagastamine või hävitamine
EUCS-i tõendusmaterjal ja lepingulised õigused täidavad erinevaid eesmärke. Sertifikaat toetab kindlust. Leping loob jõustatavuse.
Kolmandate osapoolte ja tarnijate turbepoliitika, jaotis Poliitika rakendamise nõuded, punkt 6.1.2.2, hõlmab selgesõnaliselt järgmist:
Auditiaruannete läbivaatus (nt SOC 2, ISO 27001, ISAE 3402)
EUCS kuulub samasse tõendusmaterjali perekonda koos muude kindlust andvate aruannetega. See ei tohi asendada lepingu läbivaatust, auditeerimisõigusi, intsidendiabi ega väljumisstrateegia klausleid, mida DORA nõuab.
Samm 5: jõustage andmete asukoht reguleeritud andmete puhul
Pilveteenuste kasutamise poliitika, jaotis Poliitika rakendamise nõuded, punkt 6.6.2, sätestab:
Andmete asukoha nõuded tuleb jõustada lepinguliselt (nt ainult EL-is salvestamine GDPR-reguleeritud andmete puhul).
GDPR vastutuse jaoks on kasulik sertifikaat, mis kirjeldab regionaalseid kontrollimeetmeid. Sellest siiski ei piisa. Northstar Pay vajab andmetöötluslepingut, lepingulist ainult EL-is salvestamise sõnastust, rentniku konfiguratsiooni tõendusmaterjali ja meetodit muudatuste seireks.
Kui analüütikaplatvorm võimaldab administraatoritel regioone valida, peab auditi toimik sisaldama konfiguratsiooni ekraanitõmmiseid, eksporditud seadeid või muid kirjeid, mis näitavad heakskiidetud EL-i regiooni.
Samm 6: planeerige iga-aastased ja sündmuspõhised läbivaatused
Kolmandate osapoolte ja tarnijate turbepoliitika - VKE, jaotis Poliitika rakendamise nõuded, punkt 6.3.1, nõuab kriitiliste või kõrge riskiga tarnijate iga-aastast läbivaatust, et kontrollida turvalisi juurdepääsumeetodeid, kehtivaid turvasertifikaate või ajakohastatud kontrollitõendusmaterjali, intsidendiajalugu ja lepingulist vastavust.
Läbivaatus peab käivituma ka siis, kui teenuseosutaja muudab alltöötlejaid, regioone, teenuseid, identiteediarhitektuuri, krüptimismudelit, intsidendiajalugu või sertifikaadi staatust. Kindlust andev tõendusmaterjal vananeb ja tarnijarisk ei ole staatiline.
Clarysec’i EUCS-i tõendusmaterjali pakett
Küps EUCS-i kindluspakett sisaldab rohkem kui sertifikaadi PDF-i. Clarysec struktureerib tõendusmaterjali seitsmesse jaotisse.
| Tõendusmaterjali jaotis | Sisu | Miks see on oluline |
|---|---|---|
| 1. Pilvekasutuse heakskiit | Äripõhjendus, omanik, riskihinnang, heakskiiduotsus | Näitab pilveteenuste kontrollitud hankimist ja kasutamist |
| 2. Teenuseosutaja kohta saadav kindlus | EUCS-i sertifikaat, muud sertifikaadid, turbeülevaade, jagatud vastutuse mudel | Näitab tarnija turbe tõendusmaterjali ja kohaldamisala |
| 3. Õigus ja privaatsus | DPA, andmete asukoha tingimused, alltöötlejate loend, seadusliku töötlemise kaardistus | Toetab GDPR vastutust ja lepingunõudeid |
| 4. Tehniline konfiguratsioon | MFA, SSO, RBAC, krüptimine, logimine, varundus, võrgupiirangud | Tõendab jagatud vastutuse kliendipoolset osa |
| 5. Tarnijaleping | Turbekohustused, auditi tõendusmaterjali õigused, intsidenditeavitus, alltöövõtt, lõpetamine | Toetab ISO, NIS2 ja DORA tarnijajuhtimist |
| 6. Intsident ja toimepidevus | Teenuseosutaja eskalatsioonitee, tööjuhise integreerimine, RTO ja RPO, testikirjed | Toetab NIS2 teavitamist ja DORA operatsioonilist toimepidevust |
| 7. Seire ja läbivaatus | Iga-aastane läbivaatus, sertifikaadi kehtivus, intsidendid, teenusemuudatused, erandid | Toetab tarnijate pidevat seiret ja pidevat täiustamist |
Õigusnormidele vastavuse poliitika, jaotis Poliitika rakendamise nõuded, punkt 6.2.1, sõnastab tegevuspõhimõtte:
Kõik õiguslikud ja regulatiivsed kohustused tuleb siduda konkreetsete poliitikate, kontrollimeetmete ja omanikega infoturbe juhtimissüsteemis (ISMS).
See on erinevus sertifikaatide kogumise ja kaitstava vastavuse töökorraldusmudeli loomise vahel.
Intsidendi- ja toimepidevustõendusmaterjal: kus EUCS-ist ei piisa
NIS2 ja DORA muudavad mõlemad intsidendi- ja toimepidevusvalmiduse tõsiseks pilvejuhtimise proovikiviks.
Pilveteenuse osutaja EUCS-i sertifikaat võib näidata, et teenuseosutajal on intsidendihalduse kontrollimeetmed. Teie organisatsioon peab siiski teadma, kes saab teavitused, kuidas teavitusi triaažitakse, kuidas tõendusmaterjali säilitatakse, kuidas hinnatakse mõju isikuandmetele ja kes suhtleb regulaatorite, klientide ja sisemise juhtkonnaga.
NIS2 puhul peavad teenuseosutaja teavitamistingimused toetama varajase hoiatuse ja intsidenditeate kohustusi. DORA puhul peavad pilveintsidendid jõudma IKT-ga seotud intsidendi klassifitseerimise, eskaleerimise, teavitamise ja kliendikommunikatsiooni protsessidesse. GDPR puhul peab rikkumise töövoog toetama hindamist, kas toimus isikuandmetega seotud rikkumine ning kas järelevalveasutuse või mõjutatud isikute teavitamine on nõutav.
NIST CSF 2.0 on siin kasulik integratsioonikeel. Selle GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND ja RECOVER funktsioonid aitavad organisatsioonidel teisendada õiguslikud kohustused ja tehnilised kontrollimeetmed operatiivseteks tulemusteks. Selle tarneahela tulemused nõuavad, et tarnijad oleksid teada, prioriseeritud, lepinguliselt juhitud, seiratud, kaasatud intsidendiplaneerimisse ja hallatud lepingu lõpetamisel. Selle reageerimise ja taastamise tulemused hõlmavad triaaži, eskaleerimist, kolmandate osapoolte koordineerimist, sidusrühmade teavitamist, taastamise elluviimist ja taastamise kontrolli.
Sertifikaat läheb toimikusse. Valmisolekut tõendab tööjuhis.
Kuidas audiitorid EUCS-i tõendusmaterjali testivad
Erinevad audiitorid lähenevad pilveteenuste kohta kindluse saamisele eri nurkade alt. Ristvastavuse tõendusmudel takistab samade faktide uuesti kokkupanemist iga läbivaatuse jaoks.
| Auditi vaade | Millele audiitor keskendub | Millist tõendusmaterjali oodatakse |
|---|---|---|
| ISO 27001 audiitor | ISMS-i kohaldamisala, riskihindamine, SoA, tarnijakontrollid, pilvejuhtimine, pidev täiustamine | Pilveteenuste register, riskiregister, SoA, tarnijahindamine, leping, konfiguratsioonikirjed, läbivaatuse tõendusmaterjal |
| NIS2 järelevalvaja või hindaja | Juhtkonna heakskiit, Article 21 meetmed, tarneahela turve, valmisolek intsidentidest teavitamiseks | Juhatuse aruandlus, tarnijariski analüüs, intsidendijuhis, talitluspidevuse tõendusmaterjal, teavitustöövoog |
| DORA audiitor | IKT kolmandate osapoolte register, kriitilise või olulise funktsiooni hindamine, lepingud, auditeerimisõigused, väljumisplaanid, toimepidevuse testimine | IKT lepinguregister, taustakontroll, kontsentratsiooniriski analüüs, Article 30 lepinguklauslid, testikirjed, väljumisstrateegia |
| GDPR läbivaataja | Vastutus, töötlemise eesmärk, andmekategooriad, andmete asukoht, turve, valmisolek rikkumisteks | RoPA sisendid, DPA, andmete asukoha tingimused, juurdepääsukontrollid, rikkumise hindamise töövoog, volitatud töötleja tõendusmaterjal |
| NIST CSF hindaja | Praegune ja sihtprofiil, juhtimine, tarneahela riskijuhtimine, seire, reageerimine ja taastamine | Profiili puudujääkide analüüs, tarnija elutsükli kirjed, seirearuanded, intsidendiõppused, taastamise valideerimine |
| COBIT 2019 või ISACA audiitor | Juhtimiseesmärgid, juhtkonna vastutus, teenuseosutajate järelevalve, riski optimeerimine, vastavuse seire | Juhtimiskoosolekute protokollid, kontrollimeetmete omanikud, tulemusmõõdikud, kolmandate osapoolte järelevalve kirjed, vastavuse juhtpaneel |
Zenith Blueprint, kontrollimeetmete rakendamise etapp, 23. samm, hoiatab, et pilvekontrolle uuritakse põhjalikult:
Seda kontrollimeedet uuritakse sageli väga põhjalikult. Audiitorid küsivad:
✓ „Milliseid pilveteenuseid te kasutate?“ ✓ „Kes need heaks kiitis?“ ✓ „Kuidas tagate andmete kaitse?“
Need küsimused on EUCS-i abil kindluse saamise tuum. Sertifikaat võib aidata vastata, kuidas on tõendatud teenuseosutaja poolne kaitse, kuid see ei saa vastata, milliseid teenuseid kasutatakse või kes need heaks kiitis, kui teie pilveteenuste register ja heakskiidu töövoog ei ole ajakohased.
Levinud EUCS-i kindluse vead, mida vältida
Esimene viga on käsitleda EUCS-i universaalse läbipääsuna. See on kohaldamisalaga piiratud tõendusmaterjal. Kui sertifikaat ei kata teie ostetud teenust, regiooni, juurutusmudelit või juriidilist isikut, võib selle kindlust andev väärtus olla piiratud.
Teine viga on ajada teenuseosutaja kontrollimeetmed segamini kliendi kontrollimeetmetega. Teenuseosutaja sertifitseerimine ei tõenda rentniku MFA-d, RBAC-d, logimist, krüptimisseadeid, varukoopiaid, haldusjuurdepääsu läbivaatust ega seiret.
Kolmas viga on DORA lepingunõuete tähelepanuta jätmine. Finantsüksused vajavad kirjalikke õigusi ja kohustusi, sealhulgas teenusekirjeldusi, andmete asukohti, infoturbenõudeid, juurdepääsu- ja auditeerimisõigusi, teenustasemeid, intsidendiabi, koostööd asutustega, lõpetamisõigusi ja väljumisstrateegiaid kriitiliste või oluliste funktsioonide jaoks.
Neljas viga on GDPR tõendusmaterjali ignoreerimine. Andmete asukoha sõnastus, alltöötlejate läbipaistvus, rikkumiste käsitlemine, seaduslik töötlemine ja vastutuse kirjed jäävad vajalikuks. EUCS võib toetada Article 32 turbealast tõendusmaterjali, kuid see ei määra teie õiguslikku alust, töötlemise eesmärki ega säilitamise reegleid.
Viies viga on sertifikaadi staatuse seire puudumine. Kui sertifitseering aegub, kohaldamisala muutub, järelevalveleiud ilmnevad või teenuseosutaja muudab arhitektuuri, peab teie tarnijariski läbivaatus muudatust kajastama.
Praktiline 2026. aasta EUCS-i läbivaatuse kontrollnimekiri
Kasutage seda kontrollnimekirja enne, kui aktsepteerite EUCS-i pilveteenuse osutaja kohta kindlust andva tõendusmaterjalina:
- Kinnitage sertifitseerimisskeem, kindlustase, sertifikaadi omanik ja kehtivusperiood.
- Kinnitage täpsed teenused, regioonid, juurutusmudelid ja kohaldamisalas olevad juriidilised isikud.
- Võrrelge sertifikaadi kohaldamisala oma pilveteenuste registri kirjega.
- Siduge tõendusmaterjal ISO/IEC 27002:2022 kontrollimeetmetega 5.20, 5.22 ja 5.23.
- Ajakohastage riskiregister ja SoA sertifikaadi tõendusmaterjali ning jääkriskiga.
- Valideerige kliendipoolsed kontrollimeetmed, eelkõige identiteet, MFA, logimine, krüptimine, varundus ja administraatorijuurdepääs.
- Kinnitage andmete asukoha, alltöötlejate, rikkumisteavituse, auditi tõendusmaterjali ja lõpetamise klauslid.
- Siduge intsidentidest teavitamise teed NIS2, DORA ja GDPR tähtaegadega.
- Vaadake läbi kontsentratsioonirisk ja väljumisstrateegia kriitiliste või oluliste teenuste puhul.
- Planeerige iga-aastane läbivaatus ja sündmuspõhine kordushindamine.
Muutke EUCS-i tõendusmaterjal oma ISMS-is toimivaks
EUCS-i pilveteenuste sertifitseerimine võib 2026. aastal oluliselt parandada pilveteenuse osutaja kohta saadavat kindlust. See võib vähendada küsimustikuväsimust, tugevdada tarnijate taustakontrolli ning toetada ISO 27001, NIS2, DORA ja GDPR tõendusmaterjali. Kuid see muutub kaitstavaks ainult siis, kui see on seotud teie juhtimissüsteemiga.
Clarysec aitab organisatsioonidel muuta pilvesertifitseerimise tõendusmaterjali auditivalmis vastavustoiminguteks lahenduste Zenith Blueprint, Zenith Controls, Pilveteenuste kasutamise poliitika, Pilveteenuste kasutamise poliitika - VKE, Kolmandate osapoolte ja tarnijate turbepoliitika - VKE, Kolmandate osapoolte ja tarnijate turbepoliitika ja Õigusnormidele vastavuse poliitika kaudu.
Kui teie 2026. aasta teekaart hõlmab EUCS-i, NIS2 valmisolekut, DORA IKT kolmanda osapoole riski, GDPR pilvetöötlust või ISO/IEC 27001:2022 sertifitseerimist, alustage ühest praktilisest tegevusest: looge pilveteenuste register, lisage teenuseosutaja kohta kindlust andev tõendusmaterjal ning siduge iga kriitiline pilveteenus riskide, lepingute, kontrollimeetmete ja omanikega. Seal muutub pilveteenuste kohta saadav kindlus kaitstavaks.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
