⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
ET EN BG CS DA DE EL ES FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

NIS2 juhtorgani vastutus: ISO 27001 tõendusmaterjal

Igor Petreski
14 min read
#Riskijuhtimine #Audit #ISMS #Intsidentidele reageerimine #Talitluspidevus #Tarnijahaldus
NIS2 juhtorgani vastutuse ja ISO 27001 juhtimistõendite skeem

E-kiri jõudis Maria postkasti esmaspäeva hommikul kell 08:15. Kiiresti kasvava Euroopa pilveteenuse pakkuja infoturbejuhina oli ta harjunud kiireloomuliste sõnumitega, kuid see tundus teistsugune.

Finantsjuht oli edastanud kliendi turbeküsimustiku tegevjuhile, juhatuse sekretärile ja Mariale. Teemarida oli lühike: „Enne lepingu uuendamist nõutakse NIS2 juhtorgani vastutuse tõendusmaterjali.“

Klient ei küsinud järjekordset läbistustestimise aruannet. Ta soovis teada, kas juhatus on küberturbe riskijuhtimise meetmed heaks kiitnud, kuidas nende rakendamise üle järelevalvet tehakse, kas tippjuhid on saanud küberriskide koolitust, kuidas olulisi intsidente eskaleeritakse ja kuidas tarnijariske juhtkonna tasandil läbi vaadatakse. Tegevjuht lisas ühe lause: „Maria, milline on meie riskikokkupuude ja kuidas me tõendame nõutavat hoolsust? Juhatus vajab seda järgmisel nädalal.“

Just sel hetkel muutub NIS2 paljude SaaS-i, pilveteenuste, MSP-de, MSSP-de, andmekeskuste, fintech-ettevõtete ja digitaalse taristu pakkujate jaoks reaalseks. Direktiiv (EL) 2022/2555 ei käsitle küberturvet tehnilise osakonna probleemina. See muudab küberriski juhtorgani vastutuse küsimuseks.

NIS2 Article 20 nõuab, et oluliste ja tähtsate üksuste juhtorganid kiidaksid heaks küberturbe riskijuhtimise meetmed, teeksid järelevalvet nende rakendamise üle ja läbiksid koolituse. Samuti võimaldab see liikmesriikidel kehtestada vastutuse rikkumiste eest. Article 21 määratleb seejärel praktilise baastaseme: riskianalüüs, turbepoliitikad, intsidentide käsitlemine, talitluspidevus, tarneahela turve, turvaline hankimine ja arendus, tõhususe hindamine, küberhügieen, koolitus, krüptograafia, personaliturve, juurdepääsukontroll, varahaldus ja autentimine.

Organisatsioonidele, kes juba kasutavad ISO/IEC 27001:2022 standardit, on struktuur tuttav. Erinevus seisneb sihtrühmas ja tõenduskoormuses. Küsimus ei ole enam ainult selles: „Kas meil on turvameetmed olemas?“ Küsimus on: „Kas juhatus suudab tõendada, et ta on need meetmed heaks kiitnud, neist aru saanud, neid rahastanud, läbi vaadanud, vaidlustanud ja parendanud?“

Siin muutub ISO/IEC 27001:2022 kaitstavaks juhtimissüsteemiks. Clarysec lähenemine kasutab ISO/IEC 27001:2022 standardit tõendusraamistikuna, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprinti rakendusteekonnana, Clarysec poliitikaid juhatusele esitamiseks sobivate artefaktidena ning Zenith Controls: The Cross-Compliance Guide Zenith Controlsi raamistikülese vastendamisjuhendina NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ja auditiootuste jaoks.

Miks NIS2 juhtorgani vastutus muudab küberturbe arutelu

NIS2 ei nõua juhatuse liikmetelt tulemüüriinseneriks hakkamist. See nõuab neilt juhtimist. See eristus on oluline.

Infoturbejuht võib näidata haavatavusaruandeid, MFA katvust, lõppseadmete kaitse juhtpaneele ja pilveturbe asendi skoore. Need on kasulikud operatiivsed signaalid, kuid need ei tõenda automaatselt juhtorgani järelevalvet. Regulaator, äriklient, sertifitseerimisaudiitor või finantssektori hindaja otsib juhtimise tõendusahelat:

  1. Organisatsioon hindas, kas NIS2 kohaldub, ja dokumenteeris aluse.
  2. Juhatus või tippjuhtkond kiitis heaks küberturbe riskijuhtimise raamistiku.
  3. Riskivalmidus ja taluvuslävendid määratleti.
  4. Kõrged küberriskid eskaleeriti ja vaadati läbi.
  5. Riskikäsitluse otsused kiideti heaks, sealhulgas aktsepteeritud jääkrisk.
  6. Intsidentidest teatamise protseduurid kajastavad kohaldumise korral 24 tunni, 72 tunni ja lõpparuande kohustusi.
  7. Tarnija- ja pilvesõltuvused on kaardistatud ning juhitud.
  8. Juhtkonnapoolne ülevaatus hõlmab auditileide, intsidentide suundumusi, mõõdikuid ja parendustegevusi.
  9. Tippjuhid said nende vastutusele vastavat koolitust.
  10. Otsused, erandid ja eskaleerimised on jälgitavad.

Siin ebaõnnestuvad paljud vanad turbekäsiraamatud. „NIS2 nõuetele vastava“ tööriista ostmine ei tõenda juhatuse järelevalvet. Poliitika allkirjastamine ja kausta panemine ei näita rakendamist. Küberturbe täielik delegeerimine infoturbejuhile ei täida juhtorgani järelevalvekohustust.

ISO/IEC 27001:2022 lahendab selle probleemi, sest käsitleb infoturvet strateegilise, riskipõhise juhtimissüsteemina, mis on integreeritud organisatsiooni protsessidesse. Selle punktid konteksti, huvitatud osapoolte, õiguslike kohustuste, kohaldamisala, eestvedamise, riskihindamise, riskikäsitluse, operatiivse ohje, tulemuslikkuse hindamise, siseauditi, juhtkonnapoolse ülevaatuse ja pideva parendamise kohta loovad struktuuri, mida juhatus vajab hoolsuskohustuse täitmiseks.

Zenith Blueprint muudab selle praktiliseks ISMS-i aluste ja eestvedamise faasis, 3. sammus:

„Clause 5.1 käsitleb täielikult eestvedamist ja pühendumust. ISO 27001 nõuab, et tippjuhtkond näitaks eestvedamist ISMS-i toetamise, ressursside tagamise, teadlikkuse edendamise, rollide määramise, ISMS-i äriprotsessidesse integreerimise ja pideva parendamise toetamise kaudu.“

See on NIS2 Article 20 aluseks olev toimemudel. Juhatus ei pea kinnitama iga tehnilist piletit, kuid ta peab heaks kiitma juhtimismudeli, mõistma olulisi riske, tagama ressursid ja tegema järelevalvet rakendamise üle.

Juhatuse tõenduspakett, mida NIS2 tegelikult nõuab

Levinud viga on käsitleda NIS2 tõendusmaterjali õigusliku memo ja poliitikakaustana. Tõsist hindajat see harva rahuldab. Juhatuse vastutus vajab aktiivse juhtimise tõendust, mitte passiivset dokumentatsiooni.

Tugev NIS2 juhatuse tõenduspakett peab siduma õiguslikud kohustused juhatuse otsuste, turvameetmete ja läbivaatamistsüklitega.

TõendusartefaktJuhatuse vastutuse küsimus, millele see vastabISO/IEC 27001:2022 tugipunktClarysec allikas
NIS2 kohaldatavuse hindamineKas oleme oluline üksus, tähtis üksus, kaudselt mõjutatud või kohaldamisalast väljas?Clauses 4.1 to 4.4Zenith Blueprint, 1. samm ja 2. samm
ISMS-i kohaldamisala ja sõltuvuste kaartMillised teenused, asukohad, tarnijad, liidesed ja protsessid on juhtimise all?Clauses 4.1 to 4.4Zenith Blueprint, ISMS-i aluste faas
Küberriskide registerMillised on meie suurimad küberriskid ja kes nende eest vastutab?Clauses 6.1.1 and 6.1.2Risk Management Policy
Riskikäsitlusplaan ja SoAMillised turvameetmed on valitud, miks ning kes kiitis jääkriski heaks?Clause 6.1.3Zenith Blueprint, 13. samm
Juhatuse protokollid ja otsuste logiKas juhtkond kiitis meetmed heaks, esitas neile väljakutseid ja tegi järelevalvet?Clauses 5.1, 5.3, 9.3Governance Roles and Responsibilities Policy
Intsidendi eskaleerimise ja teavitamise protseduurKas suudame täita NIS2 etapiviisilisi teatamistähtaegu?Clauses 8.1, 9.1, Annex A intsidendikontrollidIntsidentidele reageerimise tööriistakomplekt ja juhtkonnapoolne ülevaatus
Tarnijariskide juhtpaneelKas kriitilised tarnijad ja pilvesõltuvused on juhitud?Clause 8.1 ja Annex A tarnijakontrollidZenith Controls raamistikülesed vastendused
Tippjuhtide koolituskirjeKas juhtorgani liikmed on läbinud asjakohase koolituse?Clause 7.2 ja teadlikkuse kontrollimeetmedInformation Security Awareness and Training Policy
Siseauditi ja juhtkonnapoolse ülevaatuse väljundidKas rakendamist kontrollitakse sõltumatult ja parendatakse?Clauses 9.2, 9.3, 10.1Audit and Compliance Monitoring Policy - SME

Selle paketi tugevus on jälgitavus. Iga artefakt vastab juhtimisküsimusele ja viitab ISO/IEC 27001:2022 mehhanismile. See annab infoturbejuhile, tegevjuhile ja juhatusele kaitstava narratiivi: küberturve ei ole tööriistade kogum, vaid juhitud süsteem.

Poliitikate muutmine juhatuse tasandi vastutuseks

Avasituatsioonis võib Maria tegevjuhil tekkida kiusatus vastata kliendile ISO sertifikaadi ja mõne poliitikaga. Sellest NIS2 juhtorgani vastutuse jaoks ei piisa. Organisatsioon vajab tõendeid, et vastutus on määratud, otsused on dokumenteeritud ja riskid eskaleeritakse objektiivselt.

Clarysec poliitikad on loodud sellist jälgitavust tekitama.

Väiksemate organisatsioonide jaoks sätestab Information Security Policy-sme Information Security Policy - SME, clause 4.1.1, et tippjuhtkond:

„Säilitab üldise vastutuse infoturbe eest.“

See lause on oluline. See välistab levinud vastumustri, kus asutajad, tegevjuhid või juhtkonnad delegeerivad mitteametlikult kogu turbevastutuse IT-le, säilitamata sisulist järelevalvet.

Suuremate organisatsioonide jaoks sätestab Risk Management Policy Risk Management Policy, clause 4.1.1, et juhtkond:

„Kiidab heaks riskijuhtimise raamistiku ning määratleb aktsepteeritava riskivalmiduse ja taluvuslävendid.“

See on NIS2 Article 20 jaoks juhatusele esitamiseks sobiv tõendusmaterjal. Riskivalmiduse avaldus, taluvuslävendid ja ametlik riskivolituste mudel näitavad, kuidas heakskiitmine ja eskaleerimine praktikas toimivad.

Sama poliitika clause 5.6 lisab:

„Riskivolituste maatriks peab selgelt määratlema tippjuhtkonnale või juhatusele eskaleerimise lävendid.“

See on üks olulisemaid artefakte NIS2 juhtimise jaoks. Ilma eskaleerimislävenditeta näeb juhatus ainult seda, mida keegi otsustab eskaleerida. Lävendite olemasolul liiguvad kõrge jääkrisk, lahendamata kriitilised haavatavused, oluline tarnijate kontsentratsioon, suuremad intsidendid, auditileiud ja taluvust ületavad erandid automaatselt juhtkonna järelevalvesse.

Governance Roles and Responsibilities Policy Governance Roles and Responsibilities Policy tugevdab tõendusahelat:

„Juhtimine peab toetama integreerimist teiste valdkondadega (nt risk, õigus, IT, HR) ning ISMS-i otsused peavad olema jälgitavad nende allikani (nt auditikirjed, läbivaatamise logid, koosoleku protokollid).“

VKE-de jaoks sätestab Governance Roles and Responsibilities Policy-sme Governance Roles and Responsibilities Policy - SME:

„Kõik olulised turbeotsused, erandid ja eskaleerimised tuleb registreerida ning need peavad olema jälgitavad.“

Need sätted muudavad juhatuse järelevalve vestlusest auditijäljeks.

ISO/IEC 27001:2022 tõendusahel NIS2 Article 20 jaoks

Juhatus saab NIS2 Article 20 rakendada selge ISO/IEC 27001:2022 tõendusahela kaudu.

Esiteks tuleb määratleda kontekst ja kohaldamisala. ISO/IEC 27001:2022 nõuab, et organisatsioon määraks kindlaks sisemised ja välised teemad, huvitatud osapooled, õiguslikud, regulatiivsed ja lepingulised nõuded, ISMS-i piirid, liidesed, sõltuvused ja koostoimivad protsessid. SaaS-i või pilveteenuse pakkuja puhul peab ISMS-i kohaldamisala selgelt tuvastama EL-i teenused, pilvekeskkonnad, tugitegevused, kriitilised tarnijad, reguleeritud kliendisegmendid ja NIS2 riskikokkupuute.

Teiseks tuleb tõendada eestvedamist. ISO/IEC 27001:2022 nõuab, et tippjuhtkond viiks turbe-eesmärgid kooskõlla strateegilise suunaga, integreeriks ISMS-i nõuded äriprotsessidesse, tagaks ressursid, teavitaks olulisusest, määraks vastutused ja edendaks pidevat parendamist. NIS2 kontekstis muutub see tõendiks, et juhtorgan on küberturbe riskijuhtimise meetmed heaks kiitnud ja nende üle järelevalvet teinud.

Kolmandaks tuleb teha korratav riskihindamine ja riskikäsitlus. ISO/IEC 27001:2022 nõuab riskikriteeriume, riskide tuvastamist, riskiomanikke, tõenäosuse ja mõju analüüsi, käsitlusvalikuid, turvameetmete valikut, Annex A võrdlust, kohaldatavuse deklaratsiooni, riskikäsitlusplaani ja jääkriski heakskiitu.

Zenith Blueprint, riskijuhtimise faas, 13. samm, teeb heakskiidukoha selgesõnaliseks:

„Juhtkonna heakskiit: riskikäsitluse otsused ja SoA tuleb tippjuhtkonna poolt läbi vaadata ja heaks kiita. Juhtkonda tuleb teavitada peamistest riskidest ja kavandatud käsitlustest, aktsepteerimiseks esitatud riskidest ning rakendamiseks kavandatud kontrollimeetmetest.“

NIS2 puhul ei tohi see briifing olla ühekordne tegevus. Juhatuse pakett peab näitama praeguseid suurimaid riske, trendi, käsitluse edenemist, aktsepteeritud jääkriski, tähtaja ületanud tegevusi, kriitilist tarnijakokkupuudet, intsidenditeemasid ja peamisi tõhususe mõõdikuid.

Neljandaks tuleb toimida ja säilitada tõendusmaterjal. ISO/IEC 27001:2022 clause 8.1 nõuab tegevuse planeerimist ja ohjet. Annex A kontrollimeetmed toetavad tarnijate turvet, pilvejuhtimist, intsidentidele reageerimist, talitluspidevust, haavatavuste haldust, varukoopiaid, logimist, seiret, turvalist arendust, rakendusturvet, arhitektuuri, testimist, allhanget, ülesannete lahusust ja muudatuste juhtimist.

Viiendaks tuleb hinnata ja parendada. Siseaudit, mõõtmine, juhtkonnapoolne ülevaatus, parandusmeetmed ja pidev parendamine muudavad kontrollikataloogi juhitud süsteemiks.

Ettevõtte Information Security Policy Information Security Policy sisaldab juhtkonnapoolse ülevaatuse ootust:

„Juhtkonnapoolse ülevaatuse tegevused (vastavalt ISO/IEC 27001 Clause 9.3) tuleb läbi viia vähemalt kord aastas ning need peavad hõlmama järgmist:“

Väärtus ei seisne ainult selles, et koosolek toimub. Väärtus seisneb selles, et ülevaatus loob tõendusmaterjali: sisendid, otsused, tegevused, omanikud, tähtajad ja järeltegevused.

Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy - SME, clause 5.4.3, sulgeb tsükli:

„Auditileiud ja olekuülevaated tuleb lisada ISMS-i juhtkonnapoolse ülevaatuse protsessi.“

See on erinevus väidete „meil oli audit“ ja „juhtkond vaatas audititulemused läbi ning suunas parandusmeetmed“ vahel.

Raamistikülesed vastendused: NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT 2019

NIS2 ei saabu enamasti üksi. Pilveteenuse pakkuja võib töödelda isikuandmeid GDPR alusel. Fintech-klient võib kehtestada DORA-st tulenevaid tarnijanõudeid. USA äriklient võib küsida vastavust NIST CSF 2.0 raamistikule. Juhatuse auditikomitee võib rääkida COBIT 2019 keeles.

Lahendus ei ole eraldi vastavuskaustade loomine. Lahendus on kasutada ISO/IEC 27001:2022 standardit keskse tõendussüsteemina.

Zenith Controls aitab meeskondadel konsolideerida, vastendades ISO/IEC 27002:2022 control 5.4, Management responsibilities, eri standardite, regulatsioonide ja auditimeetoditega.

Zenith Controlsis klassifitseerib ISO/IEC 27002:2022 control 5.4 „Management responsibilities“ kirje kontrollitüübi „Preventive“ alla, seob selle konfidentsiaalsuse, tervikluse ja käideldavusega ning paigutab selle juhtimisele suunatud operatiivse võimekuse alla.

See on oluline, sest NIS2 Article 20 on ennetav juhtimine. Juhtkonna heakskiit ja järelevalve vähendavad tõenäosust, et küberrisk muutub nähtamatuks, alarahastatuks või juhitamatuks.

Zenith Controls seob juhtkonna vastutused ka seotud ISO/IEC 27002:2022 kontrollimeetmetega: 5.1 Policies for information security, 5.2 Information security roles and responsibilities, 5.35 Independent review of information security, 5.36 Compliance with policies, rules, and standards for information security ning 5.8 Security in project management. Juhatuse vastutus ei saa seista eraldi. See vajab poliitikaid, rolle, kindlustandvaid tegevusi, vastavuse seiret ja projektitasandi integreerimist.

Laiem vastendustabel on eriti kasulik juhtkonna aruandluses.

Nõuete teemaNIS2DORAGDPRNIST CSF 2.0COBIT 2019Clarysec tõendusfookus
Juhtkonna vastutusArticle 20 heakskiit, järelevalve, koolitus, vastutusArticles 5 and 6 juhtorgani vastutus ja IKT-riskijuhtimise raamistikArticle 5(2) vastutus ja Article 24 vastutusGOVERN, eriti GV.RR, GV.RM ja GV.OVEDM03 riskide optimeerimineJuhatuse protokollid, rollikirjeldused, koolituskirjed
Riskijuhtimise meetmedArticle 21 tehnilised, operatiivsed ja korralduslikud meetmedIKT-riskijuhtimise raamistikArticle 32 töötlemise turvalisusGOVERN, IDENTIFY, PROTECTAPO13 hallatav turveRiskiregister, käsitlusplaan, SoA
Intsidentidest teatamineArticle 23 varajane hoiatus, intsidenditeavitus, lõpparuanneArticles 17 to 20 oluliste IKT-ga seotud intsidentide teavitamineArticles 33 and 34 isikuandmetega seotud rikkumisest teatamine, kui kohaldubRESPOND ja RECOVERDSS02 hallatavad teenusetaotlused ja intsidendidEskaleerimismaatriks, tööjuhised, simulatsioonid
TarnijajuhtimineArticle 21(2)(d) tarneahela turveArticles 28 to 30 IKT kolmandate osapoolte riskVolitatud töötlejate ja turbe kohustusedGV.SC küberturbe tarneahela riskijuhtimineAPO10 hallatavad tarnijadTarnijaregister, hoolsuskontroll, lepingulised kontrollimeetmed
Tõhusus ja kindlustunneArticle 21(2)(f) poliitikad ja protseduurid tõhususe hindamiseksArticle 6 IKT-riskijuhtimise raamistiku läbivaatamine ja auditiootusedArticle 32(1)(d) regulaarne testimine ja hindamineGV.OV järelevalve, ID.RA riskihindamine, DE.CM pidev seireMEA01 ja MEA03 seire ja vastavusSiseaudit, juhtkonnapoolne ülevaatus, parandusmeetmed

DORA väärib eraldi tähelepanu. NIS2 Article 4 tunnistab, et sektoripõhised EL-i õigusaktid võivad asendada kattuvaid NIS2 sätteid, kui kohaldatakse samaväärseid küberturbe riskijuhtimise või intsidenditeavituse meetmeid. DORA on peamine näide finantsüksuste jaoks. Seda kohaldatakse alates 17. jaanuarist 2025 ning see loob finantsteenuste jaoks ühtse IKT-riskijuhtimise, intsidenditeavituse, vastupidavuse testimise, kolmandate osapoolte riskijuhtimise ja järelevalveraamistiku.

SaaS-i või pilveteenuse pakkuja ei pruugi olla otseselt reguleeritud nagu pank, kuid DORA võib siiski jõuda temani kliendilepingute kaudu. Finantsüksused peavad juhtima IKT kolmandate osapoolte riski, pidama IKT-teenuste lepingute registreid, tegema hoolsuskontrolli, hindama kontsentratsiooniriski, lisama auditi- ja kontrolliõigused, määratlema lõpetamisõigused ning hoidma väljumisstrateegiaid. See tähendab, et finantskliente teenindavad pakkujad peaksid ootama tõendusmaterjali taotlusi, mis sarnanevad väga NIS2 juhatuse juhtimisküsimustega.

GDPR lisab vastutuse isikuandmete eest. Article 5(2) nõuab, et vastutavad töötlejad vastutaksid vastavuse eest ja suudaksid seda tõendada. Article 32 nõuab töötlemise turvalisust, sealhulgas tehniliste ja korralduslike meetmete tõhususe regulaarset testimist, hindamist ja ülevaatamist. Kui mõjutatud on isikuandmed, peavad intsidendi töövood integreerima GDPR rikkumise hindamise NIS2 olulise intsidendi eskaleerimisega.

NIST CSF 2.0 lisab juhtkonnale sobiva keele GOVERN-funktsiooni kaudu. See rõhutab organisatsiooni konteksti, riskijuhtimise strateegiat, rolle ja vastutusi, poliitikat, järelevalvet ning tarneahela riskijuhtimist. COBIT 2019 lisab auditikomiteedele tuttava juhtimissõnavara, eriti EDM03 kaudu riskide optimeerimise ning MEA eesmärkide kaudu seire ja kindlustandvate tegevuste jaoks.

90-päevane NIS2 juhatuse tõendussprint

Praktiline tõendussprint aitab organisatsioonidel kiiresti edasi liikuda ilma paralleelset bürokraatiat loomata.

Päevad 1–30: vastutuse määratlemine

Alustage NIS2 vastutusregistrist, kuhu kantakse:

  • Üksuse klassifitseerimise analüüs, sealhulgas oluline üksus, tähtis üksus, kaudne kokkupuude või kohaldamisalast väljas olemise põhjendus.
  • Kohaldamisalasse kuuluvad teenused, näiteks SaaS, pilv, hallatavad teenused, andmekeskus, DNS, usaldusteenused või sidega seotud teenused.
  • EL-i liikmesriigid, kus teenuseid osutatakse.
  • Mõjutatud kliendisektorid, eriti finantsteenused, tervishoid, transport, energia, avalik haldus ja digitaalne taristu.
  • Kohaldatavad kohustused, sealhulgas NIS2 Article 20, Article 21 ja Article 23.
  • Seotud kohustused DORA, GDPR, kliendilepingute ja küberkindlustuse alusel.
  • Juhtkonna omanik ja juhatusele aruandmise sagedus.

Siduge see ISO/IEC 27001:2022 konteksti, huvitatud osapoolte, kohustuste registri ja ISMS-i kohaldamisalaga. Seejärel ajakohastage riskivolituste maatriksit, kasutades Risk Management Policy nõuet, et eskaleerimislävendid tuleb määratleda tippjuhtkonnale või juhatusele.

Kasulikud eskaleerimispäästikud hõlmavad riskivalmidust ületavat jääkriski, SLA ületanud aktsepteerimata kriitilisi haavatavusi, tarnijate kontsentratsiooniriski, lahendamata kõrge tõsidusega auditileide, intsidente, mis võivad käivitada NIS2 teavitamise, erandeid MFA, varundamise, logimise, krüptimise või intsidentidele reageerimise nõuetest ning olulisi pilvearhitektuuri muudatusi.

Päevad 31–60: riskikäsitluse heakskiitmine

Kasutage Zenith Blueprint 13. sammu, et koostada juhatuse otsustuspakett riskikäsitlusplaani ja kohaldatavuse deklaratsiooni jaoks. Pakett peab sisaldama:

  • 10 peamist küberriski.
  • Iga riski kavandatud käsitlusvalikut.
  • Valitud kontrollirühmi.
  • Jääkriski pärast käsitlemist.
  • Aktsepteerimiseks esitatud riske.
  • Vajalikku eelarve- või ressursiotsust.
  • Sõltuvusi tarnijatest, õigusfunktsioonist, personalist, tootest ja IT-st.
  • Juhtkonnalt nõutavat otsust.

Väljund peab olema allkirjastatud või protokollitud heakskiit. Slaidipakist üksi ei piisa.

Samuti vastendage NIS2 Article 21 meetmed ISO/IEC 27001:2022 punktide ja Annex A kontrollimeetmetega. See võimaldab organisatsioonil näidata, et NIS2 käsitletakse ISMS-i kaudu, mitte eraldiseisva kontrollnimekirjana.

Päevad 61–90: intsidenditeavituse testimine ja tõendusmaterjali läbivaatamine

NIS2 Article 23 nõuab oluliste intsidentide etapiviisilist teavitamist: varajane hoiatus 24 tunni jooksul, intsidenditeavitus 72 tunni jooksul, vaheuuendused, kui neid nõutakse või küsitakse, ning lõpparuanne hiljemalt ühe kuu jooksul pärast teavitamist.

Viige läbi lauaõppus juhatuse sponsori, tegevjuhi, infoturbejuhi, õigusfunktsiooni, kommunikatsiooni, kliendiedu ja operatsioonide osalusel. Kasutage realistlikku stsenaariumi, näiteks pilve väärkonfiguratsiooni, mis avaldab kliendi metaandmed, häirib teenuse käideldavust ja mõjutab reguleeritud klienti.

Testige, kes otsustab, kas intsident võib olla oluline, kes võtab ühendust õigusnõustajaga, kes teavitab pädevaid asutusi või CSIRT-i, kui see on nõutav, kes kinnitab kliendikommunikatsiooni, kuidas tõendusmaterjal säilitatakse, kuidas GDPR rikkumiskohustusi paralleelselt hinnatakse ja kuidas juhatust esimese 24 tunni jooksul teavitatakse.

Seejärel korraldage ametlik juhtkonnapoolne ülevaatus. Zenith Blueprint, auditi, ülevaatuse ja parendamise faas, 28. samm, selgitab põhjust:

„Juhtkonnapoolne ülevaatus ei ole pelgalt esitlus; see on otsuste tegemine.“

See ülevaatus peab hõlmama auditileide, riskikäsitluse edenemist, intsidendivalmidust, tarnijariske, mõõdikuid, otsuseid, määratud tegevusi ja järeltegevuste omanikke.

Juhtkonnapoolse ülevaatuse koosolek, mis tegelikult toimib

Paljud juhtkonnapoolsed ülevaatused ebaõnnestuvad, sest need on üles ehitatud olekuülevaadetena. NIS2 jaoks valmis juhtkonnapoolne ülevaatus peab olema otsustuskoosolek.

Päevakord peab hõlmama järgmist:

  1. Muudatused NIS2, DORA, GDPR, lepingulistes ja kliendinõuetes.
  2. Muudatused ärikontekstis, teenustes, omandamistes, tarnijates, pilvearhitektuuris ja reguleeritud kliendisegmentides.
  3. Peamiste infoturberiskide staatus ja jääkrisk võrreldes riskivalmidusega.
  4. Riskikäsitlusplaani edenemine ja tähtaja ületanud tegevused.
  5. Intsidentide suundumused, olulised sündmused, napilt välditud juhtumid ja teavitamisvalmidus.
  6. Tarnijate ja IKT-sõltuvuste riskid, sealhulgas kontsentratsiooni- ja väljumisprobleemid.
  7. Siseauditite, välisauditite, kliendihindamiste ja läbistustestide tulemused.
  8. Turbateadlikkuse ja tippjuhtide koolituse läbimine.
  9. Juurdepääsukontrolli, haavatavuste halduse, varukoopiate, logimise, seire, turvalise arenduse ja talitluspidevuse testide mõõdikud.
  10. Vajalikud otsused, sealhulgas riski aktsepteerimine, eelarve, personal, poliitika erandid, tarnijate parandusmeetmed ja kontrollimeetmete parendamine.

Tippjuhtide koolitus on eriti oluline. NIS2 Article 20 nõuab, et juhtorgani liikmed läbiksid koolituse. Information Security Awareness and Training Policy Information Security Awareness and Training Policy, clause 5.1.2.4, sisaldab selgesõnaliselt tippjuhtide koolitusteemasid:

„Tippjuhid (nt juhtimine, riski aktsepteerimine, õiguslikud kohustused)“

Tippjuhtide küberkoolitus peab keskenduma otsustusõigustele, vastutusele, eskaleerimisele, riskivalmidusele, kriisijuhtimisele, intsidentidest teatamisele ja regulatiivsetele kohustustele. See ei tohi piirduda andmepüügi teadlikkusega.

Kuidas audiitorid ja kliendid juhatuse järelevalvet testivad

Eri hindajad kasutavad erinevat keelt, kuid nad testivad sama põhiküsimust: kas küberturve on juhitud?

Zenith Controls on väärtuslik, sest sisaldab auditimetoodika vastendusi. Juhtkonna vastutuste puhul viitab see ISO/IEC 19011:2018 auditi põhimõtetele ja läbiviimisele, ISO/IEC 27007:2020 ISMS-i auditipraktikatele, ISO/IEC 27001:2022 clause 5.1, COBIT 2019 EDM01 ja EDM03, ISACA ITAF Section 1401 ning NIST SP 800-53A PM-1 ja PM-2. Sõltumatu läbivaatamise puhul vastendab see ISO/IEC 27001:2022 clauses 9.2 and 9.3, ISO/IEC 27007 auditi planeerimise ja tõendusmaterjali praktikad, ISACA ITAF Section 2400 ning NIST hindamismeetodid. Poliitikate järgimise puhul vastendab see ISO/IEC 27001:2022 clauses 9.1, 9.2 and 10.1, ISO/IEC 19011 tõendusmaterjali kogumise, COBIT 2019 MEA01 ning NIST pideva seire hindamise.

Audiitori vaadeMida küsitakseOodatav tõendusmaterjalLevinud puudus
ISO/IEC 27001:2022 audiitorKuidas tippjuhtkond näitab eestvedamist, kiidab heaks riskikäsitluse ja vaatab läbi ISMS-i toimivuse?Poliitikate heakskiidud, riskiregister, SoA heakskiit, juhtkonnapoolse ülevaatuse protokollid, siseauditi väljundidJuhtkonnapoolne ülevaatus on olemas, kuid puuduvad otsused või tegevuste jälgimine
NIS2-le keskenduv hindajaKas juhtorgan kiitis küberturbe meetmed heaks ja tegi rakendamise üle järelevalvet?Juhatuse protokollid, eskaleerimismaatriks, tippjuhtide koolituskirjed, Article 21 baastaseme vastendusTurbemeetmed on heaks kiitnud ainult infoturbejuht, juhatuse tasandi jälgitavus puudub
NIST CSF 2.0 hindajaKas juhtimise tulemused, riskivalmidus, rollid, ressursid, järelevalve ja tarneahela risk on integreeritud ettevõtte riskijuhtimisse?Praegused ja sihtprofiilid, puudujääkide plaan, juhtkonna aruandlus, mõõdikudNIST-i kasutatakse kontrollnimekirjana ilma juhtimise omanikuta
COBIT 2019 või ISACA audiitorKas juhtimine hindab, suunab ja seirab küberriskide juhtimist?Juhtimismandaadid, riskivalmidus, juhtkonna aruandlus, kindlustandvate tegevuste tulemusedJuhatus saab tehnilisi mõõdikuid, kuid puudub riskipõhine otsustuskontekst
DORA klient või finantssektori hindajaKas IKT-riskid, intsidendid, vastupidavus ja kolmandate osapoolte sõltuvused on juhitud ja dokumenteeritud?IKT-sõltuvuste kaart, tarnijaregister, hoolsuskontroll, auditiõigused, intsidendi elutsükkelTarnijarisk piirdub küsimustikega, puudub kontsentratsiooni- või väljumisanalüüs
GDPR audiitor või privaatsushindajaKas organisatsioon suudab tõendada isikuandmete töötlemise turvalisust ja vastutust?Andmekaardid, õigusliku aluse mudel, rikkumise hindamise protsess, turbekontrollidPrivaatsuse ja turbe tõendusmaterjal on eraldi ja vastuoluline

Õppetund on lihtne. Juhatuse vastutust ei tõenda üksnes kohalolek. Seda tõendavad informeeritud otsused, dokumenteeritud heakskiidud, riskipõhine prioriseerimine, ressursside eraldamine ja järeltegevused.

Levinud vead, mis katkestavad tõendusahela

Organisatsioonid, kellel on raskusi NIS2 juhtorgani vastutusega, langevad tavaliselt etteaimatavatesse mustritesse.

Esiteks aetakse tehniliste kontrollimeetmete toimimine segi juhtimisega. MFA katvus, SIEM-i teavitused, EDR-i juurutamine ja varunduse edukusmäärad on olulised, kuid juhatus vajab riskikonteksti, käsitlusotsuseid ja kindlust, et kontrollimeetmed toimivad.

Teiseks kiidetakse heaks poliitikad, kuid mitte riskikäsitlus. Allkirjastatud turbepoliitika ei tõenda, et juhatus kiitis heaks proportsionaalsed küberturbe meetmed. Riskikäsitlusplaan ja SoA on tugevam tõendusmaterjal, sest need seovad riskid, kontrollimeetmed, jääkriski ja juhtkonna heakskiidu.

Kolmandaks puuduvad eskaleerimislävendid. Ilma riskivolituste maatriksita sõltub eskaleerimine inimestest. NIS2 juhtimine vajab objektiivseid päästikuid.

Neljandaks eraldatakse intsidentidele reageerimine regulatiivsest teatamisest. NIS2, DORA ja GDPR teavitustöövood tuleb enne kriisi integreerida.

Viiendaks eiratakse tarnijajuhtimist. NIS2 Article 21 hõlmab tarneahela turvet ja tarnijate haavatavustega seotud kaalutlusi. DORA-st mõjutatud kliendid võivad eeldada põhjalikumat IKT kolmandate osapoolte juhtimist, sealhulgas hoolsuskontrolli, auditiõigusi, kontsentratsiooniriski, lõpetamisõigusi ja väljumisstrateegiaid.

Kuuendaks ei koolitata tippjuhte. Tippjuhtide küberkoolitus ei ole NIS2 alusel vabatahtlik vormitäide. See on osa juhtimise tõendusahelast.

Milline näeb hea välja

90 päeva järel peab usaldusväärne NIS2 juhatuse tõenduskaust sisaldama järgmist:

  • Kohaldatavuse hindamine.
  • ISMS-i kohaldamisala ja kohustuste register.
  • Juhtkonna pühendumuse avaldus.
  • Riskivalmidus ja taluvuslävendid.
  • Riskivolituste maatriks.
  • Küberriskide register.
  • Riskikäsitlusplaan.
  • Kohaldatavuse deklaratsioon.
  • Juhatuse heakskiidu protokollid.
  • Tippjuhtide koolituskirjed.
  • Intsidendi lauaõppuse aruanne.
  • Tarnijariskide juhtpaneel.
  • Siseauditi aruanne.
  • Juhtkonnapoolse ülevaatuse protokollid ja tegevuste jälgija.

See kaust vastab kliendiküsimustikule, mille Maria esmaspäeva hommikul sai. Veel olulisem on, et see aitab juhatusel küberriski juhtida enne, kui intsident, audit või regulaator organisatsiooni avalikult proovile paneb.

Muutke NIS2 juhtorgani vastutus auditiks valmis juhtimiseks

NIS2 on muutnud küberturbe arutelu. Juhtorganid peavad küberturbe riskijuhtimise meetmed heaks kiitma, nende rakendamise üle järelevalvet tegema ja koolituse läbima. Article 21 nõuab integreeritud tehniliste, operatiivsete ja korralduslike meetmete kogumit. Article 23 surub intsidenditeavituse etapiviisilisse ajakavasse, mis nõuab valmisolekut enne kriisi.

ISO/IEC 27001:2022 annab juhtimissüsteemi. Clarysec annab rakendusteekonna, poliitikakeele, raamistikülesed vastendused ja audititõendite mudeli.

Kui teie juhatus küsib: „Mida peame heaks kiitma ja kuidas tõendame järelevalvet?“, alustage kolmest tegevusest:

  1. Kasutage Zenith Blueprint 3. sammu, 13. sammu ja 28. sammu, et struktureerida juhtkonna pühendumus, riskikäsitluse heakskiit ja juhtkonnapoolne ülevaatus.
  2. Kasutage Clarysec poliitikaid, nagu Risk Management Policy, Governance Roles and Responsibilities Policy, Information Security Policy ja VKE-de vasted, et vormistada vastutus ja jälgitavus.
  3. Kasutage Zenith Controls lahendust, et vastendada NIS2 juhatuse järelevalve ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ja auditimetoodika ootustega.

Clarysec aitab teil koostada juhatuse paketi, ajakohastada ISMS-i tõendusahelat, valmistada ette juhtkonnapoolset ülevaatust ning muuta NIS2 vastutuse korratavaks küberriskide juhtimise protsessiks, millest audiitorid, kliendid ja tippjuhid aru saavad. Laadige alla asjakohased Clarysec tööriistakomplektid või taotlege hindamist, et muuta juhatuse vastutus auditiks valmis tõendusmaterjaliks.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles