NIS2 tõendusmaterjali vastendamine ISO 27001:2022-ga 2026. aastaks

2026. aasta NIS2 probleem ei ole teadlikkus, vaid tõendamine

On esmaspäeva hommik, kell 08:35. Kiiresti kasvava B2B pilve- ja hallatud teenuste pakkuja hiljuti ametisse nimetatud infoturbejuht Maria liitub kvartalipõhise juhatuse riskikoosolekuga, sülearvutis avatud mahukas NIS2 puudujääkide hinnang. Esimene slaid näib rahustav. Poliitikad on olemas. Riskihindamine on olemas. Intsidentidele reageerimine on dokumenteeritud. Tarnijad on loetletud. Haavatavuste skannimine toimub iga kuu.

Seejärel esitab koosoleku juhataja küsimuse, mis muudab kogu arutelu:

„Kas suudame tõendada, et need meetmed toimisid eelmisel kvartalil, ja kas suudame näidata, millised ISO 27001:2022 kontrollimeetmed, omanikud ja kirjed toetavad iga NIS2 kohustust?“

Ruum jääb vaikseks.

Õigusosakond teab, et ettevõte kuulub NIS2 kohaldamisalasse, sest osutab EL-i klientidele hallatud IKT- ja pilveteenuseid. Vastavusfunktsioon teab, et Article 21 nõuab tehnilisi, operatiivseid ja organisatsioonilisi küberturbe riskijuhtimise meetmeid. IT-operatsioonid teavad, et meeskond paigaldab turvapaiku, vaatab tarnijaid läbi ja seirab logisid. Kuid tõendusmaterjal on hajutatud piletihaldussüsteemide, SIEM-i eksportide, poliitikakaustade, arvutustabelite, pilvekonsoolide, tarnijaportaalide ja koosolekumärkmete vahel.

Keegi ei suuda kiiresti näidata kaitstavat ahelat NIS2 Article 21 ning ISO 27001:2022 kohaldamisala, riski, kontrollimeetme, poliitika, omaniku, protseduuri, toimimiskirje ja auditileiu vahel.

See on 2026. aasta tegelik väljakutse.

Paljud organisatsioonid ei küsi enam: „Kas me kuulume NIS2 kohaldamisalasse?“ Nad küsivad keerulisemat küsimust: „Kas suudame tõendada, et meie NIS2 tehnilised meetmed tegelikult toimivad?“ Vastus ei saa olla ühekordne vastendustabel. See peab olema elav tegevusmudel infoturbe juhtimissüsteemi (ISMS) sees, kus õiguslikud kohustused teisendatakse riskideks, poliitikateks, kontrollimeetmeteks, omanikeks, tõendusmaterjaliks ja pidevaks parendamiseks.

Clarysec’i mudel kasutab ISO/IEC 27001:2022 standardit juhtimissüsteemi selgroona, NIS2 Article 21 regulatiivsete kohustuste kogumina, poliitikapunkte operatiivse reeglistikuna, Zenith Blueprint: audiitori 30-sammuline teekaart rakendusteena ning Zenith Controls: ristvastavuse juhend ristvastavuse kaardina ISO 27001:2022, NIS2, DORA, GDPR, NIST CSF ja COBIT-põhise kindlustandmise jaoks.

Alusta kohaldamisalast, sest NIS2 tõendusmaterjal algab enne kontrollimeetmeid

Levinud NIS2 viga on liikuda otse mitmetegurilise autentimise (MFA), logimise, intsidentidele reageerimise ja haavatavuste halduse juurde enne üksuse kohaldamisala, teenuse kohaldamisala ja jurisdiktsioonilise kohaldamisala kinnitamist.

NIS2 kohaldub reguleeritud sektorites tegutsevatele hõlmatud avaliku ja erasektori üksustele, mis vastavad suuruse ja tegevuse kriteeriumidele; teatud üksusetüübid on hõlmatud sõltumata suurusest. Asjakohased digi- ja IKT-kategooriad hõlmavad pilveteenuse pakkujaid, andmekeskusteenuse pakkujaid, sisuedastusvõrgu pakkujaid, usaldusteenuse pakkujaid, avaliku elektroonilise side teenuse pakkujaid, hallatud teenuse pakkujaid, hallatud turbeteenuse pakkujaid, veebipõhiseid kauplemiskohti, veebipõhiseid otsingumootoreid ja sotsiaalvõrgustiku platvorme.

Pilveteenuse pakkujate, SaaS-platvormide, MSP-de, MSSP-de ja digitaristu pakkujate jaoks ei ole kohaldamisala määramine teoreetiline. Article 3 nõuab liikmesriikidelt, et nad eristaksid elutähtsaid ja olulisi üksusi. Article 27 nõuab, et ENISA peaks registrit mitme digi- ja IKT-teenuse pakkuja kohta, sealhulgas DNS-teenuse pakkujad, TLD-nimeregistrid, domeeninime registreerimisteenuse pakkujad, pilveteenuse pakkujad, andmekeskusteenuse pakkujad, sisuedastusvõrgu pakkujad, hallatud teenuse pakkujad, hallatud turbeteenuse pakkujad, veebipõhised kauplemiskohad, veebipõhised otsingumootorid ja sotsiaalvõrgustiku platvormid.

ISO 27001:2022 annab selleks õige struktuuri. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks väliseid ja sisemisi teemasid, huvitatud osapooli, nõudeid, liideseid ja sõltuvusi ning määratleks seejärel ISMS-i kohaldamisala. NIS2 tuleb fikseerida siin, mitte jätta õigusosakonna memosse.

Praktiline NIS2 kohaldamisala kirje peab sisaldama järgmist:

• Juriidilise isiku ja EL-is asutamise analüüs
• NIS2 sektor ja teenusekategooria
• Elutähtsa või olulise üksuse staatus, kui see on kinnitatud riigisisese õiguse või pädeva asutuse määramisega
• ENISA registri asjakohasus, kui kohaldub
• Klientidele osutatavad kriitilised teenused
• Neid teenuseid toetavad võrgu- ja infosüsteemid
• Sõltuvused pilve-, andmekeskuse-, telekommunikatsiooni-, turbeseire-, identiteedi- ja tarkvarapakkujatest
• Seosed DORA, GDPR-i, kliendilepingute ja sektoripõhiste kohustustega
• Tõendusmaterjali hoidlad, süsteemiomanikud ja läbivaatamise sagedus

Siin tuleb õigesti eristada ka DORA. NIS2 tunnistab, et kui sektoripõhine EL-i õigusakt kehtestab samaväärsed küberturbe riskijuhtimise või intsidendist teatamise kohustused, kohaldub vastavate NIS2 sätete asemel sektoripõhine kord. Hõlmatud finantssektori üksuste puhul on DORA üldjuhul kohaldatav küberturbe ja IKT intsidentidest teatamise raamistik. DORA kohaldub alates 17. jaanuarist 2025 ning hõlmab IKT-riskijuhtimist, intsidenditeavitust, digitaalse operatsioonilise toimepidevuse testimist, IKT kolmanda osapoole riski ja kriitiliste IKT kolmanda osapoole teenusepakkujate järelevalvet.

Fintech-kontsernil võivad seetõttu sama kontsernistruktuuri sees olla erinevad vastavuskäsitlused. Makseüksus võib olla peamiselt DORA kohaldamisalas. MSP tütarettevõte võib kuuluda otse NIS2 alla. Ühine pilveplatvorm võib toetada mõlemat. Küps vastus ei ole kontrollimeetmete dubleerimine. Küps vastus on üks ISMS-i tõendusmudel, mis teenindab mitut regulatiivset vaatenurka.

ISO 27001:2022 kui NIS2 vastavuse tegevussüsteem

NIS2 Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid võrgu- ja infosüsteemidega seotud riskide juhtimiseks ning intsidendi mõju ennetamiseks või minimeerimiseks teenuse saajatele ja teistele teenustele.

ISO 27001:2022 sobib selle nõude rakendamiseks hästi, sest see kehtestab kolm distsipliini.

Esiteks juhtimine. Punktid 5.1 kuni 5.3 nõuavad tippjuhtkonna pühendumust, kooskõla strateegilise suunaga, ressursside tagamist, kommunikatsiooni, vastutuste määramist ja dokumenteeritud infoturbepoliitikat. See haakub otseselt NIS2 Article 20 nõudega, mille kohaselt juhtorganid peavad küberturbe riskijuhtimise meetmed heaks kiitma, jälgima nende rakendamist ja läbima koolituse.

Teiseks riskikäsitlus. Punktid 6.1.1 kuni 6.1.3 nõuavad korratavat riskihindamise protsessi, riskiomanikke, riskide hindamist, käsitlusvariante, kontrollimeetmete valikut, kohaldatavusdeklaratsiooni, riski käsitlemise plaani ja jääkriski heakskiitu.

Kolmandaks operatiivne ohje. Punkt 8.1 nõuab, et organisatsioon kavandaks, rakendaks ja ohjaks ISMS-i protsesse, säilitaks dokumenteeritud teabe, ohjaks muudatusi ning juhiks ISMS-i jaoks asjakohaseid väljastpoolt osutatavaid protsesse, tooteid ja teenuseid.

See muudab NIS2 õiguslikust kontrollnimekirjast kontrollimeetmete tegevusmudeliks.

Igal real peab olema omanik, kirjete allikas ja valimimeetod. Kui need puuduvad, on organisatsioonil kontrollimeetme kavatsus, mitte toimiv kontrollimeede.

Poliitika on koht, kus NIS2 muutub operatiivseks käitumiseks

Poliitikaid käsitletakse sageli mallidena. NIS2 puhul on see ohtlik. Regulaatorit või audiitorit ei veena poliitikakaust, kui poliitikad ei määra omanikke, ei defineeri kirjeid, ei seo nõudeid riskidega ega tekita tõendusmaterjali.

Ettevõtte Õigusnormidele vastavuse poliitika kehtestab aluse punktis 6.2.1:

Kõik õiguslikud ja regulatiivsed kohustused tuleb vastendada konkreetsete poliitikate, kontrollimeetmete ja omanikega Information Security Management Systemi (ISMS) raames.

See punkt on sild NIS2 ja ISO 27001:2022 vahel. NIS2 Article 21 ei ole lihtsalt välise nõudena loetletud. See jaotatakse poliitikast tulenevateks kohustusteks, vastendatakse kontrollimeetmetega, määratakse omanikele ja testitakse tõendusmaterjali abil.

Väiksemate organisatsioonide jaoks hoiab VKE Õigusnormidele vastavuse poliitika sama kontseptsiooni lihtsana. Punkt 5.1.1 nõuab:

Tegevjuht peab pidama lihtsat ja struktureeritud vastavusregistrit, milles on loetletud:

Lause on teadlikult praktiline. VKE-d ei vaja alustamiseks keerukat GRC-rakendust. Nad vajavad vastavusregistrit, mis hõlmab kohustust, kohaldatavust, omanikku, poliitikat, tõendusmaterjali ja läbivaatamise sagedust.

Seejärel teisendab riskikäsitlus kohustuse tegevuseks. Ettevõtte Riskijuhtimise poliitika punkt 6.4.2 sätestab:

Riskijuht peab tagama, et käsitlusmeetmed on realistlikud, ajaliselt piiritletud ja vastendatud ISO/IEC 27001 Annex A kontrollimeetmetega.

VKE-de jaoks annab Riskijuhtimise poliitika - VKE punkt 5.1.2 minimaalse toimiva riskikirje:

Iga riskikirje peab sisaldama: kirjeldust, tõenäosust, mõju, skoori, omanikku ja riski käsitlemise plaani.

Need punktid on olulised, sest NIS2 on selgelt riskipõhine ja proportsionaalne. Article 21 eeldab, et meetmed kajastavad tehnika taset, asjakohaseid standardeid, rakenduskulu, riskikokkupuudet, suurust, intsidendi tõenäosust ja tõsidust, sealhulgas ühiskondlikku ja majanduslikku mõju. Riskiregister ilma omanike ja käsitlusplaanideta ei suuda proportsionaalsust tõendada.

Ettevõtte Infoturbepoliitika lõpetab tõenduspõhimõtte punktis 6.6.1:

Kõik rakendatud kontrollimeetmed peavad olema auditiks sobivad, toetatud dokumenteeritud protseduuridega ja säilitatud tõendusmaterjaliga nende toimimise kohta.

See eristab NIS2 programmi NIS2 tõendusprogrammist.

Clarysec’i tee vastendamisest toimimiseni

Zenith Blueprint on väärtuslik, sest peegeldab audiitorite mõtteviisi. Nad ei küsi ainult, kas kontrollimeede on olemas. Nad küsivad, miks see valiti, kus see on dokumenteeritud, kuidas see toimib, kes seda omab, milline tõendusmaterjal seda tõendab ja kuidas organisatsioon seda parendab.

Riskijuhtimise etapis suunab samm 13 meeskondi lisama jälgitavust riskide, kontrollimeetmete ja punktide vahel:

✓ Vastenda kontrollimeetmed riskidega: oma Riskiregistri käsitlusplaanis loetlesid iga riski jaoks teatud kontrollimeetmed. Saad lisada igale riskile veeru „Annex A kontrollimeetme viide“ ja loetleda kontrollimeetmete numbrid.

NIS2 puhul tähendab see, et riskiregister ja kohaldatavusdeklaratsioon peavad näitama, miks sellised kontrollimeetmed nagu 8.8 Management of technical vulnerabilities, 5.19 Information security in supplier relationships ja 5.24 Incident management planning and preparation on kohaldatavad.

Zenith Blueprint samm 14 muudab regulatiivse vastenduse selgesõnaliseks:

Iga regulatsiooni kohta, kui see kohaldub, võid koostada lihtsa vastendustabeli (näiteks aruande lisana), milles on loetletud regulatsiooni peamised turbenõuded ning vastavad kontrollimeetmed/poliitikad sinu ISMS-is.

See väldib killustumist. GDPR-i isikuandmete turve, NIS2 intsidenditeavitus, DORA IKT toimepidevuse testimine ja klientide turbenõuded võivad kõik tugineda samale tõendusmaterjalile: juurdepääsuõiguste ülevaatused, haavatavuste kõrvaldamine, logimiskirjed, varundustestid, tarnijate läbivaatused ja intsidendiaruanded.

Samm 19 liigub kavandamisest toimimiseni:

Seo iga selline dokument asjakohase kontrollimeetmega oma SoA-s või ISMS-i käsiraamatus. Need toimivad rakendamise tõendina ja sisemise viitena.

Sammu 19 dokumentatsioonikomplekt hõlmab lõppseadmete turvet, juurdepääsuhaldust, autentimist, turvalise konfiguratsiooni lähtealuseid, logimist ja seiret, paikade haldust, haavatavuste haldust, mahutavuse planeerimist ning IT-operatsioonide aruandlust. Need on täpselt need operatiivsed dokumendid, mida on vaja NIS2 tehniliste meetmete auditikõlblikuks muutmiseks.

Samm 26 selgitab, kuidas audititõendus tuleb koguda:

Tõendusmaterjali kogudes kirjenda oma leiud. Märgi, kus asjad vastavad nõudele (positiivsed leiud) ja kus mitte (võimalikud mittevastavused või tähelepanekud).

NIS2 puhul tähendab see tõendusmaterjali valimite tegemist enne, kui regulaator, kliendipoolne hindaja või sertifitseerimisaudiitor seda küsib.

Zenith Controls’i roll ristvastavuses

Zenith Controls ei ole eraldi kontrolliraamistik. See on Clarysec’i ristvastavuse juhend ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 kontrollimeetmete vastendamiseks seotud kontrollimeetmete, auditi ootuste ja väliste raamistikega. See aitab meeskondadel mõista, kuidas üks ISO 27001:2022 kontrollimeede saab toetada NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT-põhist kindlustandmist.

Kolm ISO 27001:2022 kontrollimeedet on NIS2 tõendusmaterjali vastendamisel eriti olulised.

Kontrollimeede 5.1 Policies for information security on lähtekoht, sest NIS2 Article 21 hõlmab riskianalüüsi ja infosüsteemide turbepoliitikaid. Kui NIS2 tehniline meede ei kajastu poliitikas, on seda raske juhtida ja keeruline järjepidevalt auditeerida.

Kontrollimeede 5.36 Compliance with policies, rules and standards for information security on tegelikkuse kontroll. See seob poliitikanõuded tegeliku vastavusega sisereeglitele, standarditele ja välistele kohustustele. NIS2 mõttes on see koht, kus organisatsioon küsib, kas ta teeb seda, mida tema Article 21 vastendus väidab.

Kontrollimeede 8.8 Management of technical vulnerabilities on üks keerukamaid 2026. aasta testimisvaldkondi. Haavatavuste haldus on otseselt seotud turvalise hankimise, arenduse, hoolduse, haavatavuste käsitlemise ja avalikustamisega. See toetab ka DORA testimist ja puuduste kõrvaldamist, GDPR-i turbevastutust, NIST CSF-i Identify ja Protect tulemusi ning ISO 27001 auditi valimit.

Toetavad standardid võivad kavandit täpsustada ilma lisasertifikaate nõudmata. ISO/IEC 27002:2022 annab rakendusjuhised Annex A kontrollimeetmetele. ISO/IEC 27005 toetab infoturbe riskijuhtimist. ISO/IEC 27017 toetab pilveturvet. ISO/IEC 27018 toetab isikut tuvastava teabe kaitset avaliku pilve volitatud töötleja stsenaariumides. ISO 22301 toetab talitluspidevust. ISO/IEC 27035 toetab intsidendihaldust. ISO/IEC 27036 toetab tarnijasuhete turvet.

Eesmärk ei ole standardite lisamine nende endi pärast. Eesmärk on parem tõendusmaterjali kavandamine.

Praktiline näide: koosta NIS2 haavatavuste tõenduspakett

Võtame Maria SaaS-platvormi. See teenindab EL-i tootmissektori kliente ning sõltub pilveteenustest, avatud lähtekoodiga komponentidest, CI/CD torustikest ja hallatud seirest. Tema puudujääkide aruanne ütleb „haavatavuste haldus rakendatud“, kuid tõendusmaterjal on hajutatud skannerite, Jira, GitHubi, pilvekonfiguratsiooni tööriistade ja muudatusepiletite vahel.

NIS2 jaoks valmis tõenduspaketi saab koostada ühe keskendunud sprindiga.

Samm 1: määra riskistsenaarium

Risk: internetile avatud rakenduses, sõltuvuses või pilvekomponendis olev ärakasutatav haavatavus põhjustab teenusekatkestuse, loata juurdepääsu või kliendiandmete avalikuks saamise.

Riskiregister peab sisaldama kirjeldust, tõenäosust, mõju, skoori, omanikku ja riski käsitlemise plaani. Käsitlusplaan peab viitama ISO 27001:2022 kontrollimeetmele 8.8 Management of technical vulnerabilities ning seotud kontrollimeetmetele varade registri, turvalise arenduse, logimise, juurdepääsukontrolli, tarnijahalduse ja intsidentidele reageerimise kohta.

Samm 2: vastenda risk NIS2 Article 21-ga

Risk toetab Article 21 nõudeid turvalise hankimise, arenduse ja hoolduse, haavatavuste käsitlemise ja avalikustamise, riskianalüüsi, intsidentide käsitlemise, tarneahela turbe ning kontrollimeetmete tõhususe hindamise kohta.

Samm 3: kinnista toimimisreeglid poliitikas

Kasuta haavatavuste halduse protseduuri, turvalise arenduse standardit, paikade halduse nõudeid, turbetestimise poliitikat ja audititõendite reegleid.

Ettevõtte Turbetestimise ja Red Teamingu poliitika punkt 6.1 sätestab:

Testide liigid: Turbetestimise programm peab hõlmama vähemalt järgmist: (a) haavatavuse skannimine, mis koosneb võrkude ja rakenduste automatiseeritud iganädalastest või igakuistest skannimistest teadaolevate haavatavuste tuvastamiseks; (b) penetratsioonitestimine, mis koosneb konkreetsete süsteemide või rakenduste käsitsi põhjalikust testimisest kvalifitseeritud testijate poolt, et tuvastada keerukaid nõrkusi; ja (c) red team harjutused, mis koosnevad tegelike rünnete stsenaariumipõhistest simulatsioonidest, sealhulgas sotsiaalne manipulatsioon ja muud taktikad, et testida organisatsiooni tuvastus- ja reageerimisvõimekust tervikuna.

See punkt loob kaitstava testimise baastaseme. See haakub ka DORA ootusega korduvaks, riskipõhiseks digitaalse operatsioonilise toimepidevuse testimiseks hõlmatud finantssektori üksuste puhul.

Samm 4: määra tõendusmaterjali metaandmed

Auditi ja vastavuse seire poliitika - VKE punkt 6.2.3 sätestab:

Metaandmed (nt kes selle kogus, millal ja millisest süsteemist) tuleb dokumenteerida.

Haavatavuste tõendusmaterjali puhul peab pakett hõlmama järgmist:

• Skanneri nimi ja konfiguratsioon
• Skannimise kuupäev ja kellaaeg
• Varade kohaldamisala ja välistused
• Kriitilised ja kõrge tõsidusega leiud
• Pileti number ja omanik
• Paiga või maandamismeetme otsus
• Riski aktsepteerimise otsus, kui kohaldub
• Puuduse kõrvaldamise kuupäev
• Valideerimisskannimine
• Muudatuskirje link
• Erandi omanik ja aegumiskuupäev

Samm 5: lisa logimise tõendusmaterjal

Logimis- ja seirepoliitika - VKE punkt 5.4.4 hõlmab süsteemilogisid, näiteks:

Süsteemilogid: konfiguratsioonimuudatused, haldustoimingud, tarkvara paigaldused, paikamistegevus

Ainult paikamispilet ei pruugi tõendada, et muudatus tegelikult toimus. Konfiguratsioonilogid, haldustoimingud ja tarkvara paigaldamise kirjed tugevdavad tõendusahelat.

Samm 6: tee valimiaudit

Vali eelmisest kvartalist viis kriitilist või kõrge tõsidusega haavatavust. Kontrolli iga elemendi puhul, et vara oli registris, skanner tuvastas leiu, pilet avati SLA jooksul, omanik määrati, puuduse kõrvaldamine vastas tõsidusele ja ärakasutatavusele, logid näitavad muudatust, valideerimine kinnitab sulgemist ning igal erandil on riskiomaniku heakskiit koos aegumiskuupäevaga.

See sprint loob NIS2 jaoks valmis haavatavuste tõenduspaketi ja ISO 27001:2022 siseauditi valimi.

Tarnijaturve on ökosüsteemi juhtimine

NIS2 Article 21 nõuab tarneahela turvet, sealhulgas otseste tarnijate ja teenusepakkujatega seotud suhete turbeaspekte. Samuti eeldab see, et organisatsioonid arvestavad tarnijate haavatavusi, tootekvaliteeti, tarnijate küberturbepraktikaid ja turvalise arenduse praktikaid.

Just siin oli Maria puudujääkide aruande esimene versioon kõige nõrgem. See loetles tarnijad, kuid ei tõendanud hoolsuskontrolli, lepingulisi turbeklausleid, seiret ega väljumisvalmidust.

Kolmandate osapoolte ja tarnijate turbepoliitika annab poliitikapõhise ankru. Seotud rakendamist võivad toetada Turvalise arenduse poliitika, Infoturbe teadlikkuse ja koolituse poliitika, Haavatavuste ja paikade halduse poliitika, Krüptograafiliste kontrollimeetmete poliitika, Juurdepääsukontrolli poliitika ja Kaugtööpoliitika.

Üks tarnijate tõendusregister saab toetada NIS2, DORA ja ISO 27001:2022 nõudeid.

See tabel väldib dubleerivaid küsimustikke, dubleerivaid registreid ja vastuolulist kontrollivastutust.

Üks intsidenditöövoog NIS2, DORA ja GDPR jaoks

NIS2 Article 23 nõuab olulistest intsidentidest teatamist põhjendamatu viivituseta. See kehtestab etapiviisilise ajakava: varajane hoiatus 24 tunni jooksul teadlikuks saamisest, intsidenditeavitus 72 tunni jooksul koos esialgse tõsiduse või mõju hinnangu ja olemasolevate kompromiteerimise indikaatoritega, vaheuuendused taotluse korral ning lõpparuanne hiljemalt üks kuu pärast intsidenditeavitust.

DORA-l on finantssektori üksuste jaoks sarnane elutsükkel: tuvastamine, klassifitseerimine, logimine, tõsiduse hindamine, eskaleerimine, kliendisuhtlus, asutustele teatamine, algpõhjuse analüüs ja puuduste kõrvaldamine. GDPR lisab isikuandmetega seotud rikkumise analüüsi, sealhulgas vastutava töötleja ja volitatud töötleja rollid, mõju andmesubjektidele ning 72-tunnise teavitamise ajakava, kui see kohaldub.

Õige disain ei ole kolm intsidendiprotsessi. Õige disain on üks intsidenditöövoog regulatiivsete otsustusharudega.

Intsidentidele reageerimise poliitika - VKE punkt 5.4.1 sätestab:

Kõik intsidendiuurimised, leiud ja parandusmeetmed tuleb kirjendada intsidentide registris, mida peab tegevjuht.

Tugev intsidentide register peab sisaldama järgmist:

GDPR-i seost ei tohi alahinnata. NIS2 pädevad asutused võivad teavitada GDPR-i järelevalveasutusi, kui küberturbe riskijuhtimise või aruandluse puudused võivad kaasa tuua isikuandmetega seotud rikkumise. Seetõttu peab ISMS muutma privaatsushinnangu intsidendi triaaži osaks, mitte järelmõtteks.

Kuidas audiitorid ja regulaatorid sinu NIS2 tõendusmaterjali testivad

2026. aastaks valmis organisatsioon peab arvestama, et sama kontrollimeedet testitakse eri vaatenurkadest.

ISO 27001:2022 audiitor alustab ISMS-ist. Ta küsib, kas NIS2 kohustused on tuvastatud huvitatud osapoolte nõuetena, kas ISMS-i kohaldamisala katab asjakohased teenused ja sõltuvused, kas riskid on hinnatud ja käsitletud, kas kohaldatavusdeklaratsioon põhjendab kohaldatavaid kontrollimeetmeid ning kas kirjed tõendavad toimimist.

NIS2 pädev asutus keskendub õiguslikele tulemustele. Ta võib küsida, kas kõik Article 21 meetmed on käsitletud, kas kontrollimeetmed on asjakohased ja proportsionaalsed, kas juhtkond on meetmed heaks kiitnud ja teostab nende üle järelevalvet ning kas intsidenditeavitus suudab täita nõutud tähtaegu.

DORA järelevalvaja testib hõlmatud finantssektori üksuste puhul IKT-riskijuhtimist, intsidentide klassifitseerimist, toimepidevuse testimist, kolmanda osapoole riski, lepingulisi kokkuleppeid, kontsentratsiooniriski ja väljumisstrateegiaid.

GDPR-i ülevaataja testib, kas tehnilised ja korralduslikud meetmed kaitsevad isikuandmeid, kas rikkumise hindamine on lõimitud intsidentide käsitlemisse, kas vastutava töötleja ja volitatud töötleja rollid on selged ning kas vastutuse tõendamise kirjed on olemas.

NIST CSF 2.0 või COBIT 2019-põhine hindaja keskendub juhtimisele, riskivastutusele, tulemusmõõdikutele, praegustele ja sihttulemustele, protsessivõimekusele ning kooskõlale ettevõtte riskivalmidusega.

Ettevõtte Auditi ja vastavuse seire poliitika punkt 3.4 kirjeldab tõendusmaterjali eesmärki:

Luua kaitstav tõendusmaterjal ja auditijälg regulatiivsete päringute, kohtumenetluste või klientidele kindluse andmise taotluste toetuseks.

See on tegevusstandard, mille poole NIS2 meeskonnad peavad liikuma.

Juhtkonna vastutus: juhatus ei saa NIS2 vastutust ära delegeerida

NIS2 Article 20 nõuab elutähtsate ja oluliste üksuste juhtorganitelt küberturbe riskijuhtimise meetmete heakskiitmist, nende rakendamise järelevalvet ja koolituse läbimist. Juhtorganite liikmeid võib rikkumiste eest vastutusele võtta, arvestades riigisiseseid vastutuseeskirju.

See haakub ISO 27001:2022 juhtimisnõuetega. Tippjuhtkond peab tagama, et infoturbepoliitika ja eesmärgid oleksid kooskõlas strateegilise suunaga, ISMS-i nõuded oleksid lõimitud äriprotsessidesse, ressursid oleksid tagatud, olulisus oleks kommunikeeritud, vastutused määratud ja pidev parendamine edendatud.

Juhatus ei vaja tooreid skanneriekspordifaile ega täielikke SIEM-i logisid. Ta vajab otsustamiseks sobivat kindlust.

Kvartaalne NIS2 juhatuse tõenduspakett peab sisaldama järgmist:

1. Kohaldamisala ja regulatiivse staatuse muudatused
2. Peamised NIS2 riskid ja käsitluse staatus
3. Article 21 kontrollimeetmete tõhususe juhtpaneel
4. Olulised intsidendid, peaaegu juhtumid ja teavitusotsused
5. Tarnija- ja pilveriski erandid
6. Siseauditi leiud, parandusmeetmed ja tähtaja ületanud tõendusmaterjal

See pakett annab juhtkonnale teabe, mida on vaja meetmete heakskiitmiseks, erandite vaidlustamiseks ja jääkriski aktsepteerimiseks.

Clarysec’i 2026. aasta tegevusmudel

NIS2 tehniliste meetmete rakendamine ISO 27001:2022 abil nõuab lihtsat, kuid distsiplineeritud mudelit:

• Määra NIS2, DORA, GDPR ja lepingulised kohustused ISMS-i sees
• Vastenda kohustused riskide, poliitikate, kontrollimeetmete, omanike ja tõendusmaterjaliga
• Kasuta kohaldatavusdeklaratsiooni kontrollimeetmete tõeallikana
• Koosta tõenduspaketid kõrge riskiga Article 21 valdkondade jaoks
• Lõimi intsidenditeavitus ühte regulatiivsesse töövoogu
• Käsitle tarnijaturvet elutsüklina, mitte küsimustikuna
• Tee siseauditeid tegelike valimite põhjal
• Esita aruandluses kontrollimeetmete tõhusus juhtorganitele
• Parenda intsidentide, auditileidude, testide ja regulatiivsete muudatuste põhjal

Maria jaoks oli pöördepunkt arusaam, et tal ei ole vaja eraldi NIS2 projekti. Tal oli vaja tugevamat ISMS-i tõendusmootorit.

Clarysec’i poliitikad, Zenith Blueprint ja Zenith Controls on loodud koos toimima. Poliitikad määratlevad oodatava käitumise ja kirjed. Zenith Blueprint annab 30-sammulise rakendus- ja auditeekonna. Zenith Controls annab ristvastavuse vastenduse, et NIS2, ISO 27001:2022, DORA, GDPR, NIST CSF ja COBIT-põhist kindlustandmist saaks juhtida ühe sidusa programmina.

Järgmine samm: koosta NIS2 ja ISO 27001:2022 vaheline tõenduskaart

Kui sinu NIS2 töö elab endiselt puudujääkide arvutustabelis, on 2026. aastal aeg muuta see operatiivseks.

Alusta ühest kõrge riskiga tehnilisest meetmest, näiteks haavatavuste haldusest, intsidentide käsitlemisest või tarnijaturbest. Vastenda see ISO 27001:2022 riskide, poliitikate, Annex A kontrollimeetmete, omanike, protseduuride ja tõendusmaterjaliga. Seejärel võta eelmise kvartali kirjetest valim ja küsi keeruline küsimus: kas see rahuldaks regulaatorit, kliendipoolset hindajat ja ISO 27001:2022 audiitorit?

Clarysec saab aidata sul selle vastuse üles ehitada poliitikateegi, Zenith Blueprint ja Zenith Controls abil.

Eesmärk ei ole rohkem dokumentatsiooni. Eesmärk on kaitstav ja korratav tõendusmaterjal selle kohta, et sinu NIS2 tehnilised meetmed tegelikult toimivad.