NIS2 registreerimise tõendusmaterjal ISO 27001:2022 raamistikus

E-kiri jõudis Anna postkasti vaikse mütsatusega, mis tundus pigem sireenina. CloudFlow’ infoturbejuhina kiiresti kasvavas B2B SaaS-i pakkujas, mis teenindas kliente üle kogu EL-i, oli ta harjunud turbeküsimustike, hankeauditite ja ISO 27001 järelevalveaudititega. See teade oli teistsugune.

Teemareal seisis: „Teabenõue direktiivi (EL) 2022/2555 (NIS2) riigisisese rakendamise kohta.“ Riiklik küberturbe pädev asutus soovis, et CloudFlow kinnitaks oma klassifikatsiooni, valmistaks ette üksuse registreerimisandmed, tuvastaks kohaldamisalasse kuuluvad teenused ja oleks valmis tõendama küberturbe riskijuhtimise meetmeid.

Annal oli seinal raamitud ISO 27001:2022 sertifikaat. Müük kasutas seda suurklientide tehingutes. Juhatus oli infoturbepoliitika heaks kiitnud. Siseaudit oli hiljuti sulgenud kaks leidu. Kuid tema ees olev küsimus oli teravam kui sertifitseerimise staatus.

Kas CloudFlow suudaks kiiresti ja kaitstavalt tõendada, et tema ISO 27001:2022 ISMS katab NIS2 kohustused?

Just siin teevad paljud organisatsioonid vale sammu. Nad käsitlevad NIS2 üksuse registreerimist haldusliku toiminguna, justkui äriregistri või maksuportaali andmete uuendamisena. See ei ole nii. Registreerimine on uks järelevalveasutuste vaatevälja. Pärast selle ukse avamist võib pädev asutus küsida kohaldamisala põhjendust, juhatuse heakskiidukirjeid, intsidentidest teavitamise protseduure, tarnijariski tõendusmaterjali, kontaktpunkte, kontrollimeetmete tõhususe mõõdikuid ja tõendit selle kohta, et organisatsioon teab, millised teenused on kriitilised.

SaaS-i, pilveteenuste, hallatavate teenuste, hallatud turvateenuste, andmekeskuste, digitaalse taristu ja teatud finantssektori teenuseosutajate puhul ei ole tegelik küsimus enam „Kas meil on turbepoliitika?“. Küsimus on: „Kas suudame näidata tõendusahelat õiguslikust kohustusest ISMS-i kohaldamisala, riskikäsitluse, kontrollimeetme toimimise ja juhtkonnapoolse järelevalveni?“

Kõige tugevam NIS2 nõuete täitmise valmisoleku programm ei ole paralleelne arvutustabel. See on ISO 27001:2022 sees toimiv jälgitav tõendusmudel.

NIS2 registreerimine on tegelikult tõendusmaterjali probleem

NIS2 kohaldub laialdaselt avaliku või erasektori üksustele, mis tegutsevad I lisas ja II lisas loetletud sektorites ning vastavad asjakohase keskmise suurusega ettevõtte künnisele või ületavad selle. See hõlmab ka teatud üksusi sõltumata suurusest, sealhulgas avalike elektroonilise side võrkude või teenuste osutajaid, usaldusteenuse pakkujaid, TLD registreid, DNS-teenuse pakkujaid, oluliste teenuste ainuteenuseosutajaid ning üksusi, mille häire võib mõjutada avalikku ohutust, tervist, süsteemset riski või riiklikku või piirkondlikku kriitilisust.

Tehnoloogiaettevõtete jaoks on digitaalsed kategooriad eriti olulised. I lisa hõlmab digitaalset taristut, näiteks pilveteenuse pakkujaid, andmekeskuse teenusepakkujaid, sisuedastusvõrgu pakkujaid, usaldusteenuse pakkujaid, DNS-teenuse pakkujaid ning avalike elektroonilise side võrkude või teenuste osutajaid. I lisa hõlmab ka ettevõtetevaheliste teenuste IKT-teenusehaldust, sealhulgas hallatud teenusepakkujaid ja hallatud turvateenuse pakkujaid. II lisa hõlmab digiteenuse osutajaid, nagu veebipõhised turuplatsid, veebipõhised otsingumootorid ja sotsiaalvõrgustiku teenuste platvormid.

See tähendab, et organisatsioon võib sattuda NIS2 kohaldamisalasse, ilma et ta peaks end „kriitiliseks taristuks“. Hallatud turbefunktsionaalsusega B2B SaaS-i ettevõttel, reguleeritud kliente toetaval pilveplatvormil või finantstehnoloogia lähistel tegutseval teenuseosutajal võib äkki vaja minna registreerimistoimikut, pädeva asutusega suhtlemise mudelit ja kaitstavat kontrollimeetmete käsitlust.

NIS2 eristab ka olulisi ja tähtsaid üksusi. Oluliste üksuste suhtes kohaldatakse üldjuhul proaktiivsemat järelevalvemudelit, samas kui tähtsaid üksusi kontrollitakse tavaliselt pärast mittevastavuse või intsidentide tõendusmaterjali ilmnemist. Eristus on oluline, kuid see ei kõrvalda ettevalmistuse vajadust. Mõlemad kategooriad vajavad juhtimist, riskijuhtimist, intsidentidest teavitamist, tarnijate turvet ja tõendusmaterjali.

Finantsüksused peavad arvestama ka DORA-ga. NIS2 Article 4 tunnistab, et kui sektoripõhine liidu õigusakt kehtestab vähemalt samaväärsed küberturbe riskijuhtimise ja intsidentidest teavitamise kohustused, kohaldatakse vastavates valdkondades neid sektoripõhiseid reegleid. DORA kohaldub alates 17. jaanuarist 2025 ning kehtestab IKT-riski juhtimise, olulistest IKT-ga seotud intsidentidest teavitamise, digitaalse operatsioonilise toimepidevuse testimise, teabe jagamise, IKT kolmanda osapoole riskijuhtimise, lepingulised kontrollimeetmed ja kriitiliste IKT kolmandate osapoolte teenuseosutajate järelevalve. Hõlmatud finantsüksuste jaoks on DORA kattuvate nõuete puhul esmane küberkerksuse raamistik, kuid NIS2 liidesed ja riigisisene ametkondlik koordineerimine võivad endiselt olulised olla.

Õppetund on lihtne. Ära oota portaali välju ega regulaatori e-kirja enne tõendusmaterjali loomist. Iga registreerimisvastus tähendab tulevast auditi küsimust.

Alusta ISMS-i kohaldamisalast, mitte portaali vormist

ISO 27001:2022 on kasulik, sest see sunnib organisatsiooni määratlema konteksti, huvitatud pooled, regulatiivsed kohustused, kohaldamisala, riskid, käsitlusplaanid, kontrollimeetmete toimimise, seire, siseauditi, juhtkonnapoolse läbivaatamise ja parendamise.

Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon määraks kindlaks sisemised ja välised teemad, tuvastaks huvitatud pooled ja nende nõuded, otsustaks, milliseid nõudeid ISMS-i kaudu käsitletakse, määratleks ISMS-i kohaldamisala liideseid ja sõltuvusi arvesse võttes, dokumenteeriks selle kohaldamisala ning käitaks ISMS-i protsesse.

NIS2 puhul peab see kohaldamisala vastama praktilistele küsimustele:

• Millised EL-i teenused, juriidilised isikud, tütarettevõtted, platvormid, taristukomponendid ja äriüksused on asjakohased?
• Milline I lisa või II lisa kategooria võib kohalduda?
• Kas organisatsioon on oluline, tähtis, DORA kohaldamisalasse kuuluv, väljaspool kohaldamisala või ootab riiklikku klassifikatsiooni?
• Millised teenused on kriitilised klientidele, avalikule ohutusele, finantsstabiilsusele, tervishoiule, digitaalsele taristule või muudele reguleeritud sektoritele?
• Millised pilveteenuse pakkujad, MSP-d, MSSP-d, andmekeskused, alltöövõtjad ja muud tarnijad neid teenuseid toetavad?
• Millised liikmesriigid, pädevad asutused, CSIRT-id, andmekaitseasutused ja finantsjärelevalveasutused võivad olla asjakohased?

Clarysec’i Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint paigutab selle töö varasesse etappi, sammu 2 „Huvitatud poolte vajadused ja ISMS-i kohaldamisala“. See juhendab organisatsioone tuvastama regulaatoreid ja asutusi, läbi vaatama õiguslikke ja regulatiivseid nõudeid, läbi vaatama lepinguid ja kokkuleppeid, tegema intervjuusid sidusrühmadega ning arvestama eeldatavaid valdkonnastandardeid.

Tegevuspunkt 4.2: Koosta kõigi oluliste huvitatud poolte loend ja märgi üles nende infoturbega seotud nõuded. Ole põhjalik – mõtle kõigile, kes kaebaksid või kellele tekiksid tagajärjed, kui sinu turve ebaõnnestuks või kui sul puuduks teatud kontrollimeede. See loend suunab, millele pead oma ISMS-i kaudu vastama või mida täitma, ning annab sisendi riskihindamisse ja kontrollimeetmete valikusse.

See on NIS2 registreerimise õige lähtekoht. Enne esitamist koosta lühike NIS2 kohaldamisala memo, mis seob ärimudeli I lisa või II lisa kategooriatega, dokumenteerib suuruse ja teenuste eeldused, fikseerib riigisisese õiguse tõlgenduse, tuvastab pädevad asutused ning märgib, kas kohaldub ka DORA, GDPR, kliendilepingud või sektorireeglid.

Clarysec’i VKE õigusnormidele vastavuse poliitika Legal and Regulatory Compliance Policy - SME määratleb eesmärgi selgelt:

„See poliitika määratleb organisatsiooni lähenemisviisi õiguslike, regulatiivsete ja lepinguliste kohustuste tuvastamisele, täitmisele ning vastavuse tõendamisele.“

Suuremate programmide puhul on Clarysec’i õigusnormidele vastavuse poliitika Legal and Regulatory Compliance Policy veelgi selgesõnalisem:

„Kõik õiguslikud ja regulatiivsed kohustused tuleb vastendada konkreetsete poliitikate, kontrollimeetmete ja omanikega infoturbe juhtimissüsteemi (ISMS) raames.“

See lause on rakendusvalmiduse alus. Kui regulaator küsib, kuidas NIS2 kohustused tuvastati, ei tohiks vastus olla „õigusnõustaja soovitas“. Vastus peab olema dokumenteeritud register, mis on seotud kohaldamisala, riskide, kontrollimeetmete omanike, protseduuride, säilitatava tõendusmaterjali ja juhtkonnapoolse läbivaatamisega.

Loo NIS2 tõendusahel ISO 27001:2022 sees

NIS2 Article 21 nõuab, et olulised ja tähtsad üksused rakendaksid asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ja organisatsioonilisi meetmeid, et juhtida riske võrgu- ja infosüsteemidele, mida kasutatakse tegevuseks või teenuse osutamiseks. Meetmed peavad arvestama tehnika taset, vajaduse korral asjakohaseid Euroopa ja rahvusvahelisi standardeid, kulu, riskikokkupuudet, suurust, intsidentide tõenäosust ja raskusastet ning ühiskondlikku ja majanduslikku mõju.

Article 21(2) loetleb miinimumvaldkonnad, sealhulgas riskianalüüsi ja infosüsteemide turbepoliitikad, intsidentide käsitlemise, talitluspidevuse, varukoopiad, katastroofitaaste, kriisijuhtimise, tarneahela turbe, turvalise hankimise ja arenduse, haavatavuste käsitlemise, tõhususe hindamise, küberhügieeni, koolituse, krüptograafia, personaliturbe, juurdepääsukontrolli, varahalduse, mitmefaktorilise või pideva autentimise ning vajaduse korral turvalise side.

ISO 27001:2022 sobitub selle struktuuriga loomulikult. Punktid 6.1.1 kuni 6.1.3 nõuavad riskihindamist ja riskikäsitlust, sealhulgas riski aktsepteerimise kriteeriume, riskiomanikke, tõenäosuse ja tagajärgede analüüsi, riski käsitlemise plaani, võrdlust lisa A kontrollimeetmetega ning kohaldatavusdeklaratsiooni. Punkt 8 nõuab tegevuse planeerimist ja ohjet, tõendusmaterjali selle kohta, et protsessid toimisid kavandatult, muudatuste ohjet, väljastpoolt osutatavate protsesside kontrolli, korduvaid riskihindamisi ja dokumenteeritud käsitlustulemusi. Punkt 9.1 nõuab seiret, mõõtmist, analüüsi ja hindamist. Punkt 9.2 nõuab siseauditit. Punkt 10.2 nõuab tegutsemist mittevastavuste ja parandusmeetmete osas.

Clarysec’i riskijuhtimise poliitika Risk Management Policy - SME muudab selle tegevusreegliks:

„Kõik tuvastatud riskid tuleb registreerida riskiregistris.“

Ettevõtte riskijuhtimise poliitika Risk Management Policy seob riskikäsitluse ISO 27001:2022 kontrollimeetmete valikuga:

„Riskikäsitluse protsessist tulenevad kontrollimeetmete otsused tuleb kajastada SoA-s.“

See on oluline, sest NIS2 tõendusmaterjal peab olema jälgitav. Kui asutus küsib, miks kontrollimeede eksisteerib, viita kohustusele, riskile, käsitlusotsusele, kontrollimeetme omanikule, SoA kandele, protseduurile ja tõendusmaterjalile. Kui asutus küsib, miks kontrollimeedet ei valitud, viita SoA põhjendusele, heakskiidetud riski aktsepteerimisele ja juhtkonnapoolsele läbivaatamisele.

Parim tõendusahel on heas mõttes igav. Igal kohustusel on omanik. Igal omanikul on kontrollimeede. Igal kontrollimeetmel on tõendusmaterjal. Igal erandil on heakskiit. Igal auditileiul on parandusmeede.

Too Article 20 juhtimine juhtorgani tõendusmaterjali

NIS2 Article 20 viib küberturbe juhtorgani tasandile. Juhtorganid peavad heaks kiitma Article 21 alusel vastu võetud küberturbe riskijuhtimise meetmed, jälgima nende rakendamist ning võivad rikkumiste eest vastutada. Juhtorgani liikmed peavad läbima koolituse ning üksusi julgustatakse pakkuma töötajatele regulaarset küberturbe koolitust.

Juhtorgan ei saa NIS2 vastutust lihtsalt IT-le delegeerida. Tõendusmaterjal peab näitama, et juhtkond mõistis NIS2 kohaldamisala analüüsi, kiitis heaks riskijuhtimise lähenemisviisi, vaatas läbi olulised riskid, eraldas ressursid, jälgis rakendamist, vaatas läbi intsidendid ja õppused ning sai koolitust.

ISO 27001:2022 punktid 5.1 kuni 5.3 toetavad seda juhtimismudelit, nõudes tippjuhtkonna pühendumust, infoturbe eesmärkide kooskõla äristrateegiaga, ISMS-i nõuete integreerimist äriprotsessidesse, ressursse, teabevahetust, vastutust ja ISMS-i toimivuse aruandlust tippjuhtkonnale.

Clarysec’i juhtimisrollide ja vastutuste poliitika Governance Roles and Responsibilities Policy määratleb turbekontakti rolli järgmiselt:

„Tegutseb infoturbe küsimustes peamise kontaktisikuna audiitorite, regulaatorite ja kõrgema juhtkonnaga suhtlemisel.“

See roll tuleb NIS2 registreerimise tõenduspaketis nimeliselt määrata. Seda ei tohi jätta eeldusena. Asutused, audiitorid ja kliendid tahavad teada, kes koordineerib regulatiivset suhtlust, kes vastutab intsidentidest teavitamise eest, kes haldab õigusregistrit, kes uuendab asutuste kontakte ja kes annab juhtorganile aru.

Praktiline juhtimise tõenduspakett hõlmab järgmist:

• Juhtorgani heakskiit küberturbe riskijuhtimise raamistikule.
• Juhtkonnapoolse läbivaatamise protokollid, mis hõlmavad NIS2 kohaldamisala, riske, intsidente, tarnijaid ja valmisolekut.
• Koolituskirjed juhtorgani liikmete ja töötajate kohta.
• RACI maatriks NIS2 kohustuste, ISO 27001:2022 kontrollimeetmete, intsidentidest teavitamise, tarnijate kinnituse ja regulatiivse suhtluse kohta.
• Tõendusmaterjal, et NIS2 kohustused on kaasatud siseauditisse ja vastavusseiresse.
• Parandusmeetmete jälgimine lünkade, tähtaja ületanud riskide, erandite ja ebaõnnestunud testide kohta.

Articles 32 ja 33 muudavad tõendusmaterjali kvaliteedi samuti oluliseks, tuues välja tõsiste rikkumiste tegurid, nagu korduvad rikkumised, olulistest intsidentidest teavitamata jätmine või nende kõrvaldamata jätmine, puuduste kõrvaldamata jätmine pärast siduvaid juhiseid, auditite või seire takistamine ning vale või raskelt ebatäpse teabe esitamine. Nõrk tõendusmaterjal võib muutuda rakendamisprobleemiks isegi siis, kui tehnilised kontrollimeetmed on olemas.

Valmista asutuste kontaktid ja intsidentidest teavitamise tõendusmaterjal ette enne kella 02:00

Kõige valusamad intsidentidest teavitamise tõrked algavad sageli lihtsast küsimusest: „Keda me teavitame?“ Lunavara, DNS-i tõrke, pilve kompromiteerimise või andmete avalikustumise ajal kaotavad meeskonnad aega õige CSIRT-i, pädeva asutuse, andmekaitseasutuse, finantsjärelevalveasutuse, õiguskaitsekanali, kliendimalli ja sisemise heakskiitja otsimisele.

NIS2 Article 23 nõuab põhjendamatu viivituseta teavitamist olulistest intsidentidest, mis mõjutavad teenuse osutamist. Oluline intsident on selline, mis on põhjustanud või võib põhjustada tõsise tegevushäire või finantskahju või on mõjutanud või võib mõjutada teisi, põhjustades märkimisväärset varalist või mittevaralist kahju. Ajajoon on etapiline: varajane hoiatus 24 tunni jooksul teadasaamisest, intsidenditeavitus 72 tunni jooksul, vaheuuendused taotluse korral ning lõpparuanne ühe kuu jooksul pärast 72-tunnist teavitust või käimasolevate intsidentide puhul pärast intsidendi käsitlemist. Kui asjakohane, tuleb teenuse saajaid teavitada ka olulistest intsidentidest või olulistest küberohtudest ja kaitsemeetmetest.

Zenith Blueprint, kontrollimeetmete rakendamise etapi samm 22, käsitleb kontakti asutustega valmisolekuna, mitte paanikana:

Põhimõte on lihtne: kui sinu organisatsioon satuks küberrünnaku sihtmärgiks, oleks seotud andmekaitserikkumisega või oleks uurimise all, kes võtaks asutustega ühendust? Kuidas ta teaks, mida öelda? Millistel tingimustel selline kontakt algatataks? Nendele küsimustele tuleb vastata ette, mitte tagantjärele.

Clarysec’i Zenith Controls: The Cross-Compliance Guide Zenith Controls käsitleb ISO/IEC 27002:2022 kontrolli 5.5 „Kontakt asutustega“. See liigitab kontrollimeetme ennetavaks ja korrigeerivaks, seob selle konfidentsiaalsuse, tervikluse ja käideldavusega ning ühendab selle tuvastamise, kaitsmise, reageerimise ja taastamise kontseptsioonidega. Samuti seob see kontrolli 5.5 ISO/IEC 27002:2022 kontrollidega 5.24 „Infoturbeintsidentide halduse planeerimine ja ettevalmistus“, 6.8 „Infoturbesündmustest teatamine“, 5.7 „Ohuteave“, 5.6 „Kontakt erihuvigruppidega“ ja 5.26 „Infoturbeintsidentidele reageerimine“.

Ristvastavuse vaates vastendab Zenith Controls kontakti asutustega NIS2 Article 23, GDPR rikkumisteavituse, DORA intsidentidest teavitamise, NIST SP 800-53 IR-6 intsidenditeavituse ja COBIT 2019 välise eskaleerimise praktikatega. Üks asutuste kontaktide register võib teenida mitut kohustust, kui see on õigesti kavandatud.

Clarysec’i intsidentidele reageerimise poliitika Incident Response Policy - SME teeb õigusliku triaaži selgeks:

„Kui kaasatud on kliendiandmed, peab tegevjuht hindama õiguslikke teavitamiskohustusi GDPR, NIS2 või DORA kohaldatavuse alusel.“

Tugev asutuste kontaktide tõenduspakett peab sisaldama järgmist:

• Pädeva asutuse ja CSIRT-i kontaktandmed liikmesriigi ja teenuse kaupa.
• Andmekaitseasutuste kontaktid GDPR isikuandmetega seotud rikkumistest teavitamiseks.
• Finantsjärelevalve kontaktid, kui DORA kohaldub.
• Õiguskaitse- ja küberkuritegevuse kontaktteed.
• Volitatud sisekommunikatsiooni eest vastutajad ja asendajad.
• Intsidendilävendid NIS2, GDPR, DORA, kliendilepingute ja küberkindlustuse jaoks.
• 24-tunnise, 72-tunnise, vaheuuenduse ja ühe kuu aruande mallid.
• Välise teavitamise testimise lauaõppuste kirjed.
• Varasemate teavituste, teavitamata jätmise otsuste ja õiguslike põhjenduste kirjed.

Vastenda NIS2 Article 21 ISO 27001 kontrollimeetmete ja poliitika tõendusmaterjaliga

Ainuüksi sertifikaat ei vasta regulaatori küsimusele. Kontrollimeetmete vastendus vastab. Järgmine tabel annab turbe- ja vastavusmeeskondadele praktilise silla NIS2 Article 21 valdkondade, ISO/IEC 27002:2022 kontrollimeetmete, Clarysec’i poliitikaaluste ja tõendusmaterjali vahel.

Clarysec’i Zenith Controls käsitleb ka ISO/IEC 27002:2022 kontrolli 5.31 „Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded“ ennetava kontrollimeetmena, millel on mõju konfidentsiaalsusele, terviklusele ja käideldavusele. See seob 5.31 privaatsuse ja PII kaitse, kirjete säilitamise, sõltumatu läbivaatamise ning sisepoliitikatele vastavusega. Samuti vastendab see 5.31 GDPR vastutuse, NIS2 tarneahela vastavuse, DORA IKT-riski juhtimise, NIST CSF juhtimise, NIST SP 800-53 programmi kontrollimeetmete ja COBIT 2019 välise vastavusjärelevalvega.

„Kontroll 5.31 tagab, et kõik asjakohased infoturbega seotud õiguslikud, regulatiivsed, seadusest tulenevad ja lepingulised nõuded tuvastatakse, dokumenteeritakse ja neid hallatakse pidevalt.“

Just seda soovib riiklik asutus pärast registreerimist näha: mitte ainult seda, et NIS2 on loetletud, vaid seda, et organisatsioonil on toimiv mehhanism kohustuste tuvastamiseks, vastendamiseks, rakendamiseks, seiramiseks ja uuendamiseks.

Ära eralda NIS2 nõudeid DORA-st, GDPR-ist, tarnijatest ja pilvest

NIS2 tõendusmaterjal eksisteerib harva eraldiseisvalt.

NIS2 Article 21(2)(d) nõuab tarneahela turvet, sealhulgas tarnijate ja teenuseosutajatega suhete turbeaspekte. Article 21(3) nõuab, et tarnijariski otsustes arvestataks haavatavusi, toodete üldist kvaliteeti, küberturbepraktikaid, turvalise arenduse protseduure ja asjakohaseid koordineeritud EL-i tarneahela riskihindamisi.

ISO 27001:2022 lisa A annab tegevusliku silla kontrollide A.5.19 kuni A.5.23 kaudu. SaaS-i ja pilveorganisatsioonide puhul määravad need kontrollimeetmed sageli, kas registreerimise tõendusmaterjal on pealiskaudne või kaitstav.

DORA muudab finantsüksuste jaoks tarnijapildi täpsemaks. Articles 28 kuni 30 nõuavad IKT kolmanda osapoole riskijuhtimist, IKT teenuselepingute registrit, kriitilisi või olulisi funktsioone toetavate teenuste eristamist, lepingueelset riskihindamist, hoolsuskontrolli, lepingulisi turbenõudeid, auditi- ja kontrolliõigusi, lõpetamisõigusi, testitud väljumisstrateegiaid, alltöövõtu hindamist, andmete asukoha läbipaistvust, intsidendiabi, koostööd asutustega ja üleminekukorraldusi. Kui SaaS-i pakkuja teenindab DORA-ga reguleeritud kliente, võidakse tema lepinguid ja kinnituste paketti kontrollida isegi siis, kui ta ise ei ole finantsüksus.

Clarysec’i kolmandate osapoolte ja tarnijate turbepoliitika - VKE Third-party and supplier security policy - SME tuleb seetõttu siduda NIS2 tõenduspaketiga. Tarnijate valmisolek peab hõlmama järgmist:

• Tarnijate register ja kriitilisuse klassifitseerimine.
• Tarnijate hoolsuskontroll ja riskihindamised.
• Lepinguklauslid turbe, intsidendiabi, auditeerimisõiguste, andmete asukoha, alltöövõtu ja väljumise kohta.
• Pilve jagatud vastutuse maatriksid.
• Kriitiliste teenuseosutajate seirekirjed.
• Kriitiliste teenuste väljumise ja taastamise testimine.
• Tarnijaintsidentidest teavitamise ja eskaleerimise protseduurid.

Integreerida tuleb ka GDPR. NIS2 oluline intsident võib olla ka isikuandmetega seotud rikkumine, kui kliendi, töötaja või kasutaja andmed on kompromiteeritud. GDPR nõuab, et vastutavad töötlejad tõendaksid vastutust ning teavitaksid järelevalveasutust 72 tunni jooksul pärast isikuandmetega seotud rikkumisest teadasaamist, kui teavitamiskünnised on täidetud. Sinu intsidentidele reageerimise töövoog peab hindama NIS2, GDPR, DORA, lepingulisi ja kliendikohustusi paralleelselt.

Koosta ühe nädalaga NIS2 tõenduspakett

SaaS-i pakkuja, MSP, MSSP, pilveteenuse pakkuja või digitaalse taristu ettevõte saab ühe fokusseeritud nädalaga märkimisväärselt edasi liikuda.

1. päev, klassifitseeri üksus ja teenused. Kasuta ISMS-i kohaldamisala avaldust ja huvitatud poolte registrit. Lisa NIS2 kohaldamisala memo, mis tuvastab I lisa või II lisa kategooriad, EL-i teenused, liikmesriigid, kliendid, sõltuvused, suuruse eeldused ning selle, kas DORA või sektorireeglid kohalduvad. Kui õiguslik tõlgendus ei ole lõplik, registreeri klassifikatsiooni ebakindlus riskina.

2. päev, uuenda õiguslike ja regulatiivsete kohustuste registrit. Lisa NIS2 Articles 20, 21 ja 23, riigisisese õiguse alusel kehtivad registreerimisnõuded, GDPR rikkumiskohustused, vajaduse korral DORA kohustused ning peamised lepingulised teavitamisnõuded. Vastenda iga kohustus poliitika, omaniku, kontrollimeetme, tõendusallika ja läbivaatamise sagedusega.

3. päev, uuenda riskihindamist ja riskikäsitlust. Lisa riskikriteeriumidesse õiguslik, regulatiivne, tegevuslik, tarnija-, finants-, maine- ja ühiskondlik mõju. Lisa riskid, nagu registreerimata jätmine, vale üksuse klassifikatsioon, 24-tunnise varajase hoiatuse möödalaskmine, kättesaamatud asutuste kontaktid, kriitilisi teenuseid mõjutav tarnijakatkestus, ebapiisav juhtorgani järelevalve ja võimetus tõendada kontrollimeetmete tõhusust.

4. päev, värskenda SoA-d. Kinnita NIS2-ga seotud kontrollimeetmed, sealhulgas A.5.5 kontakt asutustega, A.5.19 kuni A.5.23 tarnija- ja pilvekontrollid, A.5.24 kuni A.5.28 intsidentide kontrollid, A.5.29 turve häire ajal, A.5.30 IKT valmisolek talitluspidevuseks, A.5.31 õiguslikud nõuded, A.5.34 privaatsus, A.8.8 haavatavuste haldus, A.8.13 varukoopiad, A.8.15 logimine, A.8.16 seiretegevused, A.8.24 krüptograafia ning turvalise arenduse kontrollid A.8.25 kuni A.8.32.

5. päev, testi intsidentidest teavitamist. Vii läbi lauaõppus: pilve väärkonfiguratsioon avalikustab kliendiandmed ja häirib teenust kahes liikmesriigis. Käivita kell. Kas meeskond suudab sündmuse klassifitseerida, hinnata GDPR, NIS2, DORA, lepingulisi ja kliendilävendeid, koostada 24-tunnise varajase hoiatuse, valmistada ette 72-tunnise teavituse, säilitada tõendusmaterjali ja määrata algpõhjuse analüüsi?

6. päev, kogu tõendusmaterjal. Loo regulaatorile esitamiseks valmis kaust, mis sisaldab kohaldamisala memo, õigusregistrit, riskiregistrit, SoA-d, asutuste kontaktide loendit, intsidendi tööjuhist, tarnijaregistrit, juhtorgani protokolle, koolituskirjeid, logisid, seirearuandeid, varukoopiate teste, haavatavuste aruandeid, siseauditi kohaldamisala ja parandusmeetmete logi.

7. päev, juhtkonnapoolne läbivaatamine. Esita valmisolekupakett juhtkonnale. Registreeri heakskiidud, jääkriskid, avatud tegevused, tähtajad, ressursid ja omanike vastutus. Kui registreerimisel on tähtaeg, lisa tõendusmaterjali register registreerimisotsuse kirjele.

Clarysec’i VKE-de auditi ja vastavusseire poliitika Audit and Compliance Monitoring Policy-sme - SME näeb seda vajadust ette:

„Tõendusmaterjal peab olema kooskõlas NIS2 kohustustega, kui organisatsioon on määratud tähtsaks üksuseks või kuulub muul viisil riigisisese õiguse kohaldamisalasse.“

Ettevõtte auditi ja vastavusseire poliitika Audit and Compliance Monitoring Policy sõnastab eesmärgi:

„Luua kaitstav tõendusmaterjal ja auditijälg regulatiivsete päringute, õigusmenetluste või klientidele kindluse andmise taotluste toetamiseks.“

See on eesmärk: kaitstav tõendusmaterjal enne päringu saabumist.

Valmistu erinevateks auditivaadeteks

Sertifitseerimisaudiitor, riiklik asutus, kliendiaudiitor, privaatsusaudiitor ja tarnijakinnituse meeskond ei küsi identseid küsimusi. Tugev NIS2 tõenduspakett töötab nende kõigi jaoks.

ISO/IEC 27002:2022 kontrolli 5.5 puhul eeldavad audiitorid tavaliselt dokumenteeritud asutuste kontakte, määratud vastutusi, kontaktide ajakohasena hoidmist, intsidentidele reageerimise tööjuhiseid ja stsenaariumipõhist selgust. Lihtne auditiküsimus võib küpsuse paljastada: „Lunavara korral – kes võtab ühendust õiguskaitseasutuste või riikliku CSIRT-iga?“ Kui vastus sõltub sellest, et keegi mäletab nime, ei ole kontrollimeede valmis.

Clarysec’i logimis- ja seirepoliitika Logging and Monitoring Policy - SME kinnitab tõendusmaterjali ootust:

„Logid peavad olema välisaudiitoritele või regulaatoritele taotluse korral kättesaadavad ja arusaadavad.“

Clarysec’i infoturbepoliitika Information Security Policy seab laiema ettevõtte standardi:

„Kõik rakendatud kontrollimeetmed peavad olema auditiks sobivad, toetatud dokumenteeritud protseduuridega ja säilitatava tõendusmaterjaliga nende toimimise kohta.“

See on auditi test ühes lauses. Kui kontrollimeedet ei saa tõendada, ei oma see pädeva asutuse tõenduspäringu korral kuigi suurt kaalu.

Lõplik NIS2 registreerimise tõendusmaterjali kontrollnimekiri

Kasuta seda kontrollnimekirja enne registreerimist või enne riikliku asutuse päringule vastamist.

• Dokumenteeri NIS2 kohaldamisala analüüs, sealhulgas I lisa või II lisa põhjendus, teenuste kirjeldused, suuruse eeldused, liikmesriikide jalajälg ja üksuse klassifikatsioon.
• Tuvasta, kas DORA kohaldub otse või kaudselt finantssektori klientide ja IKT teenuselepingute kaudu.
• Uuenda ISMS-i kohaldamisala, et see hõlmaks asjakohaseid teenuseid, sõltuvusi, allhankena osutatavaid protsesse ja regulatiivseid liideseid.
• Lisa NIS2, GDPR, DORA, sektorireeglid ja lepingulised nõuded õiguslike ja regulatiivsete kohustuste registrisse.
• Vastenda iga kohustus poliitikate, kontrollimeetmete, omanike, tõendusmaterjali, läbivaatamise sageduse ja juhtkonna aruandlusega.
• Kinnita juhtorgani heakskiit ja järelevalve küberturbe riskijuhtimise meetmete üle.
• Säilita juhtkonna ja töötajate küberturbe koolituskirjed.
• Uuenda riskikriteeriume, et hõlmata regulatiivset mõju, teenusekatkestust, kliendikahju, piiriülest mõju ja tarnijasõltuvust.
• Registreeri NIS2-ga seotud riskid riskiregistris ja seo need käsitlusplaanidega.
• Uuenda SoA-d NIS2-ga seotud lisa A kontrollimeetmete ja rakendamise staatusega.
• Hoia ajakohasena asutuste kontaktide loendeid ja teavitamisprotseduure CSIRT-ide, pädevate asutuste, andmekaitseasutuste, finantsjärelevalveasutuste ja õiguskaitseasutuste jaoks.
• Testi 24-tunnise varajase hoiatuse, 72-tunnise teavituse, vaheuuenduse ja ühe kuu lõpparuande töövoogu.
• Säilita tarnijate ja pilve tõendusmaterjal, sealhulgas hoolsuskontroll, lepingud, auditeerimisõigused, seire, alltöövõtt ja väljumisplaanid.
• Tõenda kontrollimeetmete tõhusust logide, mõõdikute, auditite, näidikupaneelide, testitulemuste ja parandusmeetmete kaudu.
• Koosta tõendusmaterjali indeks, et igale regulaatori, kliendi või audiitori päringule saaks kiiresti vastata.

Clarysec’i järgmine samm

NIS2 üksuse registreerimine ei ole finišijoon. See on punkt, kus sinu organisatsioon muutub riiklikule küberturbejärelevalvele nähtavaks. Õige küsimus ei ole „Kas saame registreeruda?“. Õige küsimus on: „Kui asutus küsib pärast registreerimist tõendusmaterjali, kas suudame esitada sidusa ISO 27001:2022 loo tundidega, mitte nädalatega?“

Clarysec aitab organisatsioonidel seda lugu üles ehitada Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls ja praktiliste ISO 27001:2022 poliitikakogumite kaudu, mis seovad õiguslikud kohustused, riskikäsitluse, intsidentidest teavitamise, tarnijate turbe, logimise, seire, audititõenduse ja juhtkonna vastutuse.

Tee oma praeguse ISMS-i suhtes NIS2 tõendusmaterjali lünkade ülevaatus. Alusta kohaldamisala memost, õigusregistrist, riskiregistrist, SoA-st, asutuste kontaktide loendist, intsidentidest teavitamise töövoost, tarnijaregistrist ja auditi tõendusmaterjali kaustast. Kui need artefaktid on puudulikud või omavahel ühendamata, saab Clarysec aidata need muuta regulaatorile esitamiseks valmis tõenduspaketiks enne, kui riiklik asutus seda küsib.