NIS2 ja DORA kontaktregistrid ISO 27001 tõendusmaterjalina
Kell 02:17 toimunud intsident: kui kontaktloendist saab kontrollimeede
Teisipäeval kell 02:17 näeb SOC-i analüütik mustrit, mida keegi näha ei soovi. Eelisõigustega teenusekonto on autenditud ebatavalisest geograafilisest asukohast, kliendiandmeid on järjestikuste päringutega vaadatud ning hallatud tuvastusteenuse pakkuja on avanud kõrge kriitilisusega juhtumipileti. Mõne minuti jooksul kinnitab intsidendijuht kahtlust: lunavara indikaatorid levivad lateraalselt, kriitilise tootmisteenuse kvaliteet on halvenenud ja kliendiandmed võivad olla kaasatud.
Tehniline reageerimine algab kiiresti. Lõppseadmed isoleeritakse, identiteedilogid kogutakse, pilvetõmmised säilitatakse ja hallatud turbeteenuse pakkuja liitub kriisikõnega. Seejärel algab külmem paanika.
Infoturbejuht küsib: „Keda me teavitame?“
Õigusfunktsioon ütleb, et andmekaitseasutuse kaasamine võib olla vajalik. DPO küsib, kas tegemist on isikuandmete rikkumisega. Tegevjuht ütleb, et pilveteenuse pakkujaga tuleb eskaleerida ettevõttetaseme toe klausli alusel. Vastavusjuht küsib, kas üksus on NIS2 tähenduses oluline või tähtis üksus või kas DORA kohaldub, sest teenus toetab reguleeritud finantsüksust. Juhatus soovib teada, mis peab juhtuma esimese 24 tunni jooksul.
Keegi ei vaidlusta teavitamise vajadust. Probleem on selles, et kontaktandmed, kinnitamise tee, õiguslikud käivitavad tingimused ja tõendusmaterjali nõuded on hajutatud vanasse talitluspidevuse tabelisse, tarnijalepingutesse, e-kirjalõimedesse, aegunud vastavuswikisse ja ühe inimese telefoni.
See ei ole pelgalt operatiivne ebamugavus. 2026. aastal on see vastavuspuudujääk.
NIS2 on muutnud etapiviisilise intsidenditeavituse juhtimiskohustuseks, sealhulgas oluliste intsidentide puhul 24 tunni jooksul esitatava varajase hoiatuse, 72 tunni jooksul esitatava teavituse ja ühe kuu jooksul esitatava lõpparuande. DORA on loonud finantsüksustele eraldi digitaalse tegevuskerksuse korra, mis hõlmab IKT-intsidendihaldust, klassifitseerimist, järelevalvelist aruandlust, IKT kolmandatest isikutest tulenevat riski ja kriisikommunikatsiooni. GDPR jääb asjakohaseks alati, kui kaasatud on isikuandmed. ISO/IEC 27001:2022 muudab need kohustused auditeeritavaks juhtimissüsteemi tõendusmaterjaliks.
Regulatiivsete kontaktide register võib kõlada halduslikult. Tegelikult see seda ei ole. See on ühenduslüli intsidentidele reageerimise, õigusliku teavitamise, talitluspidevuse, tarnijatega koordineerimise, juhtkonna vastutuse ja audititõendusmaterjali vahel.
Clarysec käsitleb seda tõendusmaterjali, mitte paberitöö probleemina. Dokumendis Zenith Blueprint: Audiitori 30-sammuline teekaart Zenith Blueprint selgitab samm 22 etapis „Controls in Action“, miks kontakt ametiasutustega peab olema eelnevalt määratud:
Kontroll 5.5 tagab, et organisatsioon on valmis vajaduse korral väliste ametiasutustega suhtlema mitte reaktiivselt ega paanikaolukorras, vaid eelnevalt määratletud, struktureeritud ja hästi mõistetud kanalite kaudu.
See on kell 02:17 toimunud intsidendi tegelik õppetund. Regulaatori teavitusportaali, CSIRT-i valvekontakti, DPO asenduskontakti, finantsjärelevalve teavituskanali ja tarnija eskaleerimistee leidmise aeg on enne intsidenti, mitte siis, kui teavituskell juba tiksub.
Miks regulatiivsete kontaktide registrid muutusid 2026. aastal vastavusprioriteediks
Paljudel organisatsioonidel on juba hädaolukorra kontaktloendid. Probleem on selles, et NIS2 ja DORA nõuavad nimede ja telefoninumbrite loendist distsiplineeritumat lahendust. Need nõuavad täpset, rollipõhist ja tõendusmaterjaliks valmis kontaktide juhtimist, mis on seotud õiguslike käivitavate tingimuste, eskaleerimisvolituste, aruandlustähtaegade ja tarnijasõltuvustega.
NIS2 kohaldub laiale ringile olulistele ja tähtsatele üksustele sellistes sektorites nagu energeetika, transport, pangandus, finantsturu taristu, tervishoid, joogivesi, reovesi, digitaalne taristu, IKT-teenuste haldus, avalik haldus ja kosmos. See hõlmab ka paljusid digiteenuse osutajaid, sealhulgas pilveteenuseid, andmekeskuse teenuseid, sisuedastusvõrke, hallatud teenusepakkujaid, hallatud turbeteenuse pakkujaid, veebipõhiseid kauplemiskohti, veebipõhiseid otsingumootoreid ja sotsiaalvõrgustikuplatvorme. Liikmesriigid pidid koostama oluliste ja tähtsate üksuste loendid 17. aprilliks 2025 ning ajakohastama neid vähemalt iga kahe aasta järel. Paljude pilve-, SaaS-, hallatud teenuse ja digiplatvormi pakkujate jaoks on regulatiivne kokkupuude liikunud teoreetilisest operatiivseks.
DORA kohaldub alates 17. jaanuarist 2025 finantsüksustele, nagu krediidiasutused, makseasutused, e-raha asutused, investeerimisühingud, krüptovarateenuse osutajad, kauplemiskohad, väärtpaberite keskdepositooriumid, kesksed vastaspooled, kindlustus- ja edasikindlustusandjad ning muud hõlmatud finantssektori organisatsioonid. DORA on väga oluline ka IKT kolmandatest isikutest teenuseosutajate ökosüsteemi jaoks, sest finantsüksused peavad haldama teenuseosutajaid, kes toetavad kriitilisi või olulisi funktsioone. DORA Article 17 nõuab IKT-ga seotud intsidendihalduse protsessi, Article 18 kehtestab klassifitseerimisootused ja Article 19 reguleerib olulistest IKT-ga seotud intsidentidest pädevale asutusele teatamist.
GDPR lisab privaatsuse mõõtme. Küberintsident võib muutuda isikuandmetega seotud rikkumiseks, kui see hõlmab isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist, loata avalikustamist või neile juurdepääsu. Vastutav töötleja peab suutma tõendada vastutust, hinnata riski üksikisikutele ning vajaduse korral teavitada järelevalveasutust ja võimalikke mõjutatud andmesubjekte.
Küps regulatiivsete kontaktide register peab seetõttu surve all vastama viiele küsimusele:
- Milline CSIRT, pädev asutus, finantsjärelevalve, andmekaitseasutus ja õiguskaitse kontakt kohaldub selle juriidilise isiku, jurisdiktsiooni ja teenuse suhtes?
- Milline sisemine roll on volitatud kontakti algatama, sõnastust heaks kiitma ja teavitusi esitama?
- Milliste tarnijatega tuleb ühendust võtta ohjeldamiseks, logide saamiseks, taastamiseks, tõendusmaterjali säilitamiseks või lepinguliseks teavitamiseks?
- Milline kliendi, vastaspoole või avalikkuse teavitamise tee käivitub igal kriitilisusastmel?
- Kuidas tõendame, et register vaadati üle, seda testiti ja seda kasutati õigesti?
Vastus ei saa asuda ainult õigusfunktsiooni postkastis ega infoturbejuhi mälus. See peab olema kontrollitud ISMS-i kirje.
Mida sisaldab tõendusmaterjaliks valmis NIS2 ja DORA kontaktregister
Regulatiivsete kontaktide register tuleb kavandada kasutamiseks tegeliku intsidendi ajal. Kui intsidendijuht peab tegema esimese eskaleerimisotsuse mõne minuti jooksul, ei saa register olla ebamäärane veebisaitide loend. See peab olema struktureeritud, verifitseeritud ja seotud reageerimise tööjuhisega.
| Registri väli | Miks see intsidendi korral oluline on | Tõendusväärtus |
|---|---|---|
| Asutuse või sidusrühma tüüp | Eristab CSIRT-i, pädevat asutust, finantsjärelevalvet, andmekaitseasutust, õiguskaitset, tarnijat, kliendirühma ja sisemist rolli | Näitab, et huvitatud osapooled ja teavituskanalid on tuvastatud |
| Konkreetse asutuse või üksuse nimi | Määrab täpse regulaatori, järelevalveasutuse, teenuseosutaja, kliendirühma või sisemise funktsiooni | Vähendab vale adressaadi ja vale jurisdiktsiooni riski |
| Jurisdiktsioon ja juriidiline isik | Väldib vale riigi või vale üksuse teavitamist piiriülestes kontsernides | Toetab kohaldamisala, kohaldatavuse ja regulatiivse kaardistuse tõendamist |
| Käivitav tingimus | Seob kontakti NIS2 olulise intsidendi, DORA olulise IKT-ga seotud intsidendi, GDPR isikuandmetega seotud rikkumise või lepingulise teavitusega | Näitab dokumenteeritud otsustusloogikat |
| Esmane kontaktkanal | Annab portaali, e-posti, telefoni, turvalise sõnumikanali või kõrge prioriteediga tugikanali | Toetab õigeaegset teavitamist ja eskaleerimist |
| Varukontaktkanal | Tagab toimepidevuse, kui põhikanal ei ole kättesaadav | Tõendab teabevahetuse järjepidevust |
| Volitatud sisemine omanik | Määrab, kes võib ühendust võtta, teabe heaks kiita või teavituse esitada | Toetab vastutust ja ülesannete lahusust |
| Enne kontakti nõutav tõendusmaterjal | Loetleb faktid, kriitilisuse hinnangu, mõjutatud teenused, IOC-d, kliendimõju ja õigusliku läbivaatuse staatuse | Toetab õigeaegset, kuid kontrollitud teavitamist |
| Viimase valideerimise kuupäev ja valideerija | Kinnitab perioodilist läbivaatust ja vähendab aegunud kontaktide riski | Annab audititõendusmaterjali hoolduse kohta |
| Testi või õppuse viide | Seob kontakti lauaõppuste, simulatsioonide või tegeliku intsidendi kasutusega | Näitab operatiivset tõhusust |
| Säilitamiskoht | Viitab ISMS-ile, GRC-platvormile, piletihaldussüsteemile või tõendusmaterjali hoidlale | Toetab korratavust ja auditi käigus kättesaadavust |
Täielik register peaks hõlmama vähemalt kuut kontaktiperekonda.
Esiteks ametlikud küberturbeasutused: riiklikud CSIRT-id, pädevad asutused, vajaduse korral ühtsed kontaktpunktid ja valdkondlikud küberturbeasutused.
Teiseks DORA finantsjärelevalveasutused: pädevad asutused ja teavituskanalid, mida kasutatakse oluliste IKT-ga seotud intsidentide esmaste, vahe- ja lõpparuannete esitamiseks.
Kolmandaks privaatsusasutused: andmekaitseasutused, juhtiva järelevalveasutuse loogika piiriülese töötlemise korral ja DPO eskaleerimisteed.
Neljandaks õiguskaitse: küberkuritegevuse üksused, pettuste üksused ning hädaolukorra kontaktid väljapressimise, lunavara, loata juurdepääsu ja tõendusmaterjali säilitamise jaoks.
Viiendaks tarnijad ja IKT kolmandatest isikutest teenuseosutajad: pilveteenuse pakkujad, hallatud turbeteenuse pakkujad, hallatud teenusepakkujad, identiteediplatvormid, maksetöötlejad, digitaalse kohtuekspertiisi teenuseosutajad ja õigusnõustaja.
Kuuendaks sisemised eskaleerimisrollid: intsidendijuht, infoturbejuht, DPO, peajurist, kommunikatsiooni eest vastutav isik, talitluspidevuse eest vastutav isik, tippjuhtkonna heakskiitja, juhatuse kontaktisik ja teenuseomanik.
Register peaks hõlmama ka erihuvigruppe, kui need on asjakohased, näiteks ISAC-id või valdkondlikud teabejagamiskogukonnad. Need ei ole regulaatorid, kuid võivad muutuda olulisteks kanaliteks ohuteabe jagamisel ja koordineeritud reageerimisel.
Zenith Blueprint muudab selle sammuga 22 praktiliseks:
Looge või ajakohastage protseduure ametiasutustega suhtlemiseks turbesündmuste ajal (5.5), sealhulgas kohalike CERT-ide, regulaatorite ja õiguskaitseasutuste kontaktandmed. Hoidke sarnast kontaktloendit turbefoorumites või valdkonnapõhistes gruppides osalemiseks (5.6). Säilitage see teave kättesaadavas, kuid juurdepääsukontrolliga kaitstud asukohas ning lisage see oma intsidentidele reageerimise tööjuhisesse.
Viimane lause on oluline. Kui register ei ole intsidentidele reageerimise tööjuhises, ei kasutata seda tõenäoliselt siis, kui surve on tegelik.
Kontaktregistri näidisstruktuur FinTech- või SaaS-teenusepakkujale
Kujutlege fintech-SaaS-i pakkujat, kes toetab EL-i klientide makseanalüütikat. Ta kasutab pilveteenuse pakkujat, hallatud tuvastusteenuse pakkujat, identiteediplatvormi, klienditoe platvormi ja välist õigusnõustajat. Sõltuvalt rollist võib ta olla finantsüksus, IKT kolmandast isikust teenuseosutaja, NIS2 kohaldamisalas olev digiteenuse osutaja või GDPR alusel isikuandmete volitatud töötleja.
Praktiline register võiks alata järgmiselt:
| Asutuse või üksuse tüüp | Konkreetne asutus või nimi | Kontaktpunkt | Esmane meetod | Varumeetod | Kontakti käivitav tingimus | Omanik |
|---|---|---|---|---|---|---|
| NIS2 CSIRT | Riiklik CSIRT | Intsidentidele reageerimise vastuvõtt | Turvaline portaal | Hädaolukorra e-post | Teenuseid mõjutav oluline küberintsident | CISO |
| DORA järelevalveasutus | Riiklik finantsjärelevalveasutus | IKT-intsidentide aruandluslaud | Järelevalveasutuse portaal | Määratud telefon | Oluline IKT-ga seotud intsident | Vastavusjuht |
| GDPR andmekaitseasutus | Andmekaitseasutus | Rikkumisteavituste üksus | Veebivorm | DPO kontakt asutusega | Isikuandmetega seotud rikkumise riskihindamine näitab, et teavitamine võib olla nõutav | DPO |
| Õiguskaitse | Riiklik küberkuritegevuse üksus | Valveametnik | Ametlik teavitusliin | Kohalik kontaktametnik | Kahtlustatav kuritegelik tegevus, väljapressimine või tõendusmaterjali säilitamise vajadus | Õigusvaldkonna juht |
| Kriitiline pilveteenuse pakkuja | Pilveteenuse pakkuja nimi | Ettevõttetaseme turbetugi | Kõrge prioriteediga piletite portaal | Tehniline kliendihaldur | Intsident, mis mõjutab tenant’it, logisid, ohjeldamist või taastamist | Pilvetoimingute juht |
| Hallatud tuvastusteenuse pakkuja | MDR-teenuse pakkuja nimi | SOC-i eskaleerimisjuht | 24x7 eskaleerimisliin | Konto eskaleerimiskontakt | Kinnitatud kõrge kriitilisusega tuvastus või kohtuekspertiisi toe vajadus | Intsidendijuht |
| Sisemine tippjuht | Tegevjuht või delegeeritud tippjuht | Tippjuhtkonna eskaleerimine | Otsene mobiil | Tippjuhi assistent | Iga intsident, mis nõuab välist teavitamist või avaliku mõju otsust | CISO |
| Sisekommunikatsioon | PR- või kommunikatsioonijuht | Kriisikommunikatsiooni juht | Otsene mobiil | Koostöökanal | Vajalik võib olla kliendi-, meedia- või turukommunikatsioon | Peajurist |
Kirjed ei tohi sisaldada tarbetuid isikuandmeid. Kasutage võimaluse korral rollipõhiseid kontakte, kaitske tundlikke kontaktandmeid ja tagage võrguühenduseta kättesaadavus suure katkestuse ajal. Register, millele pääseb ligi ainult samadest süsteemidest, mida lunavaraintsident mõjutab, ei ole toimepidev.
Registri sidumine ISO/IEC 27001:2022 tõendusmaterjaliga
Audiitorid ei tuvasta organisatsiooni mittevastavust tavaliselt seetõttu, et tabel puudub. Nad tuvastavad selle seetõttu, et organisatsioon ei suuda tõendada, et tabel on täielik, ajakohane, heaks kiidetud, kaitstud, testitud ja seotud tegelike protsessidega.
ISO/IEC 27001:2022 algab organisatsiooni kontekstist. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks sisemisi ja väliseid teemasid, tuvastaks huvitatud osapooled ja nende nõuded, määratleks ISMS-i kohaldamisala ning mõistaks liideseid ja sõltuvusi. Regulatiivsete kontaktide register on tugev tõendusmaterjal selle kohta, et õiguslikud, regulatiivsed, lepingulised ja sidusrühmade nõuded on tõlgitud operatiivseteks suheteks.
Järgneb juhtimine. Punktid 5.1 kuni 5.3 nõuavad, et tippjuhtkond näitaks eestvedamist, määraks vastutused, tagaks teabevahetuse ja toetaks ISMS-i. Kui register määrab, kes on volitatud teavitama CSIRT-i, järelevalveasutust või andmekaitseasutust, kes kiidab heaks väliskommunikatsiooni ja kes raporteerib intsidendi staatust tippjuhtkonnale, toetab see juhtimise tõendusmaterjali.
Riskide planeerimine muudab kohustused tegevuseks. Punktid 6.1.1 kuni 6.1.3 nõuavad riskihindamise ja riskikäsitluse protsessi, võrdlust lisaga A, kohaldatavusdeklaratsiooni (SoA), riskikäsitlusplaani ja jääkriski aktsepteerimist. Register peaks kajastuma käsitlusplaanis selliste riskide puhul nagu õigusliku teavitamise ebaõnnestumine, intsidendi eskaleerimise viivitus, tarnija reageerimise ebaõnnestumine, piiriülese teavituse viga ja talitluspidevuse kommunikatsiooni katkemine.
Lisa A kontrollimeetmete alused on selged:
| ISO/IEC 27001:2022 kontrollimeede | Kontrollimeetme nimi | Registri asjakohasus |
|---|---|---|
| A.5.5 | Kontakt ametiasutustega | Määratleb eelnevalt ametiasutuste kontaktid intsidentide ja regulatiivsete sündmuste jaoks |
| A.5.6 | Kontakt erihuvigruppidega | Toetab valdkondlikku teabejagamist ja ohuteabe koordineerimist |
| A.5.19 | Infoturve tarnijasuhetes | Seob tarnijakontaktid turbekohustuste ja eskaleerimisteedega |
| A.5.20 | Infoturbe käsitlemine tarnijalepingutes | Tagab, et teavitus- ja tugikanalid on lepinguliselt toetatud |
| A.5.21 | Infoturbe juhtimine IKT tarneahelas | Seob kriitilised IKT-teenuseosutajad reageerimise ja taastamise töövoogudega |
| A.5.22 | Tarnijateenuste seire, läbivaatamine ja muudatuste juhtimine | Hoiab tarnijakontaktid ajakohased, kui teenused või teenuseosutajad muutuvad |
| A.5.23 | Infoturve pilveteenuste kasutamisel | Toetab pilveintsidendi eskaleerimist, tõendusmaterjalile juurdepääsu ja taastamist |
| A.5.24 | Infoturbeintsidentide halduse planeerimine ja ettevalmistus | Lõimib registri intsidentidele reageerimise kavandamisse |
| A.5.25 | Infoturbesündmuste hindamine ja otsustamine | Seob käivitavad tingimused teatamiskohustuslikkuse hindamise ja otsustuslogidega |
| A.5.26 | Infoturbeintsidentidele reageerimine | Toetab reageerimise ajal välist koordineerimist |
| A.5.27 | Infoturbeintsidentidest õppimine | Käivitab registri ajakohastamise pärast intsidente ja õppusi |
| A.5.28 | Tõendite kogumine | Toetab säilitatud teavitusi, kättesaamiskinnitusi, kõnemärkmeid ja regulaatori tagasisidet |
| A.5.29 | Infoturve häire ajal | Tagab, et teabevahetuskanalid jäävad häire ajal kättesaadavaks |
| A.5.30 | IKT valmisolek talitluspidevuseks | Seob kontaktide juhtimise talitluspidevuse ja taastamise plaanidega |
| A.5.31 | Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded | Kaardistab kontaktid õiguslike ja lepinguliste teavituskohustustega |
| A.5.34 | Privaatsus ja PII kaitse | Tagab DPO ja andmekaitseasutuse teede integreerimise isikuandmetega seotud rikkumiste korral |
| A.8.15 | Logimine | Annab teavitamiseks vajalikud faktid ja tõendusmaterjali |
| A.8.16 | Seiretegevused | Võimaldab varajast tuvastust ja õigeaegset eskaleerimist teavitustöövoogudesse |
Dokumendis Zenith Controls: Ristvastavuse juhend Zenith Controls käsitletakse kontakti ametiasutustega kontrollina 5.5, millel on ennetavad ja korrigeerivad omadused. See toetab konfidentsiaalsust, terviklust ja käideldavust ning seostub küberturbe mõistetega Identify, Protect, Respond ja Recover. Zenith Controls seob selle intsidendiplaanide, sündmustest teavitamise, ohuteabe, erihuvigruppide ja intsidentidele reageerimisega. Samuti selgitab see, miks eelnevalt loodud kontaktid regulaatorite, õiguskaitseasutuste, riiklike CERT-ide või andmekaitseasutustega võimaldavad kiiremat eskaleerimist ja juhiste saamist selliste sündmuste ajal nagu olulised rikkumised või lunavararünded.
Kontrollimeede ei ole isoleeritud. Zenith Controls kaardistab ka kontrolli 6.8, infoturbesündmustest teavitamine, tuvastava kontrollimeetmena, mis on seotud intsidendiplaanide, sündmuse hindamise, reageerimise, õppetundide, teadlikkuse, seire ja distsiplinaarmenetlusega. Kontroll 5.24, infoturbeintsidentide halduse planeerimine ja ettevalmistus, seostub sündmuse hindamise, õppetundide, logimise, seire, häire ajal turbe, talitluspidevuse ja kontaktiga ametiasutustega. Auditi narratiiv muutub tugevamaks, kui sündmustest teavitatakse, neid hinnatakse, eskaleeritakse, edastatakse, tõendatakse ja täiustatakse.
NIS2, DORA ja GDPR: üks register, erinevad õiguslikud tähtajad
Üks intsident võib käivitada mitu õiguslikku töövoogu. Loata juurdepääs SaaS-teenusepakkuja juures võib olla NIS2 oluline intsident, GDPR isikuandmetega seotud rikkumine ja lepinguline klienditeavituse sündmus. Finantsüksuse katkestus võib olla DORA oluline IKT-ga seotud intsident, nõudes samal ajal ka GDPR analüüsi ja tarnijatega koordineerimist.
NIS2 nõuab, et olulised ja tähtsad üksused teavitaksid oma CSIRT-i või pädevat asutust põhjendamatu viivituseta olulistest intsidentidest, mis mõjutavad teenuse osutamist. Etapiviisiline teavitusmudel hõlmab varajast hoiatust põhjendamatu viivituseta ja 24 tunni jooksul teada saamisest, intsidenditeavitust põhjendamatu viivituseta ja 72 tunni jooksul, taotluse korral vahearuandeid ning lõpparuannet ühe kuu jooksul pärast intsidenditeavitust. Kui intsident on endiselt pooleli, võib nõutav olla ka edenemisaruandlus.
DORA nõuab, et finantsüksused hoiaksid töös IKT-ga seotud intsidendihalduse protsessi, mis tuvastab, haldab ja teavitab intsidentidest, registreerib intsidendid ja olulised küberohud, klassifitseerib raskusastme ja kriitilisuse, määrab rollid, määratleb eskaleerimise ja kommunikatsiooni, raporteerib olulistest intsidentidest kõrgemale juhtkonnale ning toetab õigeaegset taastumist. Oluliste IKT-ga seotud intsidentide aruandlus järgib esmase, vahe- ja lõpparuandluse loogikat ning klassifitseerimine põhineb teguritel nagu mõjutatud kliendid, kestus, geograafiline ulatus, andmekadu, teenuste kriitilisus ja majanduslik mõju.
GDPR lisab isikuandmetega seotud rikkumise hindamise. Kontaktregister ei otsusta õiguslikku teatamiskohustuslikkust iseseisvalt. See tagab, et õiged inimesed saavad otsustada kiiresti, kasutades ajakohaseid kanaleid ja dokumenteeritud kriteeriume.
Clarysec poliitikateegis tehakse see operatiivseks. VKE Incident Response Policy Incident Response Policy - SME punkt 5.1.1 sätestab:
Tegevjuht (GM) vastutab kõigi intsidendi eskaleerimisotsuste, regulatiivsete teavituste ja väliskommunikatsiooni autoriseerimise eest.
Sama VKE poliitika punkt 7.4.1 lisab:
Kui kaasatud on kliendiandmed, peab tegevjuht hindama õiguslikke teavituskohustusi GDPR, NIS2 või DORA kohaldatavuse alusel.
Ettevõttekeskkondade jaoks kehtestab Incident Response Policy Incident Response Policy punkt 5.5 kommunikatsiooniraamistiku:
Kogu intsidendiga seotud teabevahetus peab järgima kommunikatsiooni- ja eskalatsioonimaatriksit, tagades:
Punkt 6.4.2 lisab tõendusmaterjali nõude:
Kõik rikkumisteavitused tuleb enne esitamist dokumenteerida ja heaks kiita ning koopiad tuleb säilitada ISMS-is.
Siin muutub register ISO tõendusmaterjaliks. Küsimus ei ole ainult selles, kellele helistada. Küsimus on selles, kuidas näidata, kes oli volitatud, mida hinnati, mis kiideti heaks, mis esitati ja kus säilitatud koopia asub.
Clarysec tõendusmudel: neli koos toimivat artefakti
Tugev regulatiivsete kontaktide võimekus vajab nelja artefakti, mis toimivad ühe tõendusahelana.
Regulatiivsete kontaktide register tuvastab kontaktid, kanalid, käivitavad tingimused ja omanikud. Kommunikatsiooni- ja eskalatsioonimaatriks määrab, kes mida teeb. Otsustuslogi registreerib klassifitseerimise, teatamiskohustuslikkuse hindamise, õigusliku läbivaatuse ja heakskiidu. Teavituste tõenduspakett säilitab esitatud teated, portaalikinnitused, e-kirjad, kõnemärkmed, regulaatori tagasiside, tarnijate vastused ja lõpparuanded.
Clarysec Legal and Regulatory Compliance Policy Legal and Regulatory Compliance Policy - SME teeb registri mõiste selgesõnaliseks. Punkt 5.5.2 sätestab:
Peamised vastavustingimused (nt rikkumisest teavitamise tähtajad ja andmekäitluse klauslid) tuleb eraldada ja jälgida vastavusregistris.
Vastavusregister peaks toitma regulatiivsete kontaktide registrit. Õiguslik nõue võib öelda „NIS2 varajane hoiatus 24 tunni jooksul“, samal ajal kui kontaktregister määrab riikliku CSIRT-i portaali, varuvalvenumbri, volitatud esitaja, õigusliku läbivaataja, nõutava tõendusmaterjali ja säilitamistee.
Talitluspidevuse poliitikad tugevdavad sama ootust. VKE Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy - SME punkt 5.2.1.1 viitab:
kontaktloenditele ja alternatiivsetele kommunikatsiooniplaanidele
Ettevõtte Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy punkt 5.3.3 nõuab, et talitluspidevuse korraldus oleks:
toetatud ajakohaste kontaktloendite ja eskaleerimisvoogudega
Mudelis on koht ka tarnijate juhtimisel. VKE Third-Party and Supplier Security Policy Third-Party and Supplier Security Policy - SME punkt 5.4.3 nõuab:
määratud kontaktisikut
NIS2 ja DORA puhul ei saa see kontakt olla üldine. Kui kriitiline pilveteenuse pakkuja, hallatud turbeteenuse pakkuja, identiteedipakkuja või maksetöötleja toetab reguleeritud teenust, peab register määrama operatiivse kontakti, turbeintsidendi kontakti, lepingulise teavituskanali ja eskaleerimistee tõendusmaterjali taotluste jaoks.
Koostage register ühe tööseansi jooksul
Kasuliku registri saab koostada kiiresti, kui õiged inimesed on ruumis. Planeerige kahetunnine seanss infoturbejuhi, DPO, õigusnõustaja, tarnijahalduri, talitluspidevuse eest vastutava isiku, intsidendijuhi ja vastavuse omaniku osalusel.
Alustage vastavusregistrist. Eraldage NIS2, DORA, GDPR, lepingulised ja valdkondlikud aruandluskohustused. Kirjutage üles tähtajad, teatamiskohustuslikkuse kriteeriumid ja tõendusmaterjali nõuded.
Avage intsidentidele reageerimise tööjuhis. Iga intsidendikategooria, näiteks lunavara, loata juurdepääs, teenuse katkestus, andmete väljaviimine, tarnijaintsident ja pilveregiooni tõrge, puhul määrake vajalikud väliskontaktid.
Täitke regulatiivsete kontaktide register asutuse, jurisdiktsiooni, käivitava tingimuse, esmase kanali, varukanali, omaniku, heakskiitja, vajaliku tõendusmaterjali, viimase valideerimise kuupäeva ja säilitamiskohaga.
Siduge tarnijakontaktid. Iga kriitilise või olulise funktsiooni puhul määrake teenuseosutaja turbeintsidendi kontakt, lepinguline teavituskanal, auditikontakt ja hädaolukorra eskaleerimistee.
Vaadake poliitikate suhtes üle. Kinnitage, et eskaleerimisvolitus vastab Incident Response Policy nõuetele, teavituste tõendusmaterjal säilitatakse ISMS-is, talitluspidevuse kontaktloendid on kooskõlas ja tarnijakontaktidel on määratud omanikud.
Testige ühte stsenaariumi. Kasutage fokuseeritud lauaõppust: „Kliendiandmete avalikustumine tuvastati kell 02:17, see mõjutab EL-i kliente ja võib olla põhjustatud kompromiteeritud identiteedipakkuja autentimisandmetest.“ Paluge meeskonnal tuvastada, kas CSIRT-i, andmekaitseasutuse, finantsjärelevalve, tarnija ja kliendi teavitused võivad olla nõutavad. Eesmärk ei ole sundida õppuse ajal lõplikku õiguslikku järeldust. Eesmärk on tõendada, kust kontaktid leitakse, kes kontakti heaks kiidab, millist tõendusmaterjali on vaja ja kuhu otsused logitakse.
Koostage tõenduspakett. Salvestage registri versioon, koosolekul osalejad, heakskiidud, stsenaariumimärkmed, otsustuslogi, tegevuspunktid ja ajakohastatud tööjuhise viide.
Siin muutub Zenith Blueprint samm 23 praktiliseks:
Veenduge, et teil on ajakohane intsidentidele reageerimise plaan (5.24), mis hõlmab ettevalmistust, eskaleerimist, reageerimist ja kommunikatsiooni. Määratlege, mis on teatamiskohustuslik turbesündmus (5.25) ning kuidas otsustusprotsess käivitatakse ja dokumenteeritakse. Valige hiljutine sündmus või viige läbi lauaõppus, et oma plaani valideerida.
Õppus ei pea olema keerukas. See peab tõendama valmisolekut.
Ristvastavuse kaardistus: üks register, mitu raamistikku
Regulatiivsete kontaktide registri väärtus seisneb selles, et see vähendab dubleerivat vastavustööd. Üks tõendusmaterjaliks valmis artefakt võib toetada ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT 2019 juhtimisootusi.
| Raamistik | Mida register toetab | Tõendusmaterjal, mida audiitorid või hindajad ootavad |
|---|---|---|
| ISO/IEC 27001:2022 | Huvitatud osapooled, õiguslikud nõuded, kontakt ametiasutustega, intsidendihaldus, tarnijate juhtimine, talitluspidevus ja tõendite kogumine | Kohaldamisala, kohaldatavusdeklaratsioon (SoA), register, heakskiidud, läbivaatamise ajalugu, lauaõppuste kirjed ja intsidendilogid |
| NIS2 | Kontakt CSIRT-i või pädeva asutusega, etapiviisiline olulise intsidendi teavitus, juhtkonna vastutus ja tarneahela koordineerimine | Teatamiskohustuslikkuse otsus, 24-tunnise varajase hoiatuse tõendusmaterjal, 72-tunnise teavituse tõendusmaterjal, lõpparuanne ja juhatuse järelevalve |
| DORA | Pädevale asutusele aruandlus, intsidendi klassifitseerimine, olulise IKT-intsidendi kommunikatsioon, IKT kolmandatest isikutest teenuseosutajatega koordineerimine ja kriisikommunikatsioon | Esmaste, vahe- ja lõpparuannete kirjed, kriitilisuse klassifikatsioon, tarnijaregister ja talitluspidevuse testikirjed |
| GDPR | Andmekaitseasutuse teavitamise töövoog, DPO eskaleerimine, isikuandmetega seotud rikkumise hindamine ja vastutus | Rikkumise hindamine, vastutava või volitatud töötleja rollianalüüs, andmekaitseasutuse kontakt, esitatud teated ja andmesubjektide teavitamise otsused |
| NIST CSF 2.0 | GOVERN-tulemused sidusrühmade, kohustuste, rollide, poliitika, järelevalve ja tarneahela riskijuhtimise kohta | Current Profile, Target Profile, lünkade analüüs, POA&M, sidusrühmade kaart ja tarnijatega koordineerimise tõendusmaterjal |
| COBIT 2019 | Sidusrühmade vajaduste, riski, vastavuse, intsidentide käsitlemise ja kolmandate osapoolte korralduste juhtimine | RACI, protsessi toimivuse tõendusmaterjal, kontrollide seire, kinnituskirjed ja juhtkonna läbivaatamise tõendusmaterjal |
NIST CSF 2.0 on eriti kasulik integratsioonikihina. Selle GOVERN-funktsioon eeldab, et organisatsioonid mõistavad sidusrühmi, õiguslikke ja regulatiivseid kohustusi, kriitilisi teenuseid, sõltuvusi, riskivalmidust, rolle, poliitikaid, järelevalvet ja tarnijariski. Selle CSF-profiilid aitavad organisatsioonidel dokumenteerida Current Profile’i, määratleda Target Profile’i, analüüsida lünki ja koostada prioritiseeritud tegevuskava. Regulatiivsete kontaktide register võib olla konkreetne tõendusmaterjal, mis sulgeb lõhe praeguse ja sihtseisundi intsidendihalduse vahel.
Tarneahela puhul eeldab NIST CSF 2.0, et tarnijatel, klientidel ja partneritel on määratletud küberturbe rollid ja vastutused, tarnija kriitilisus on teada, küberturbenõuded on lepingutesse integreeritud, tarnijariske hinnatakse ning asjakohased tarnijad kaasatakse intsidendiplaanidesse, reageerimisse ja taastamisse. See kaardistub otse DORA IKT kolmandatest isikutest tuleneva riski ja NIS2 tarneahela ootustega.
Kuidas audiitorid ja järelevalveasutused sama registrit testivad
Hästi hooldatud registrit vaadeldakse erinevalt sõltuvalt läbivaataja vaatenurgast.
ISO/IEC 27001:2022 audiitor alustab kohaldamisalast ja huvitatud osapooltest. Ta küsib, kuidas organisatsioon tuvastas kohaldatavad asutused, õiguslikud kohustused, lepingulised teavituskohustused ja allhankesõltuvused. Seejärel jälgib ta registri seost kohaldatavusdeklaratsiooni, intsidentidele reageerimise plaani, talitluspidevuse plaani ja tõendusmaterjali säilitamisega. Ta võib valida ühe kontakti ja küsida tõendit viimase valideerimise kohta.
NIS2 hindaja keskendub sellele, kas üksus on tuvastanud õige CSIRT-i või pädeva asutuse ning kas olulise intsidendi lävendid on operatiivseks tehtud. Ta otsib protsessi, mis suudab toetada 24-tunnist varajast hoiatust, 72-tunnist teavitust ja lõpparuandlust. Samuti vaatab ta juhtorgani järelevalvet, sest NIS2 Article 20 muudab küberturbe juhtimise juhtkonna vastutuseks.
DORA järelevalveasutus või siseauditi meeskond testib, kas register toetab intsidendihaldust, klassifitseerimist, oluliste IKT-ga seotud intsidentide aruandlust, kriisikommunikatsiooni, kõrgema juhtkonna aruandlust, tarnijatega koordineerimist ja operatiivset taastamist. Nad võivad küsida, kas kontaktid on olemas IKT kolmandatest isikutest teenuseosutajate jaoks, kes toetavad kriitilisi või olulisi funktsioone, ning kas kommunikatsioonikohustused kajastuvad lepingutes.
GDPR audiitor või DPO läbivaatamine keskendub isikuandmetega seotud rikkumise hindamisele. Nad küsivad, kas DPO ja privaatsuse õiguslikud kontaktid kaasatakse varakult, kas vastutava ja volitatud töötleja rollid on selged, kas õige järelevalveasutus on tuvastatud ning kas andmesubjektide teavitamise otsused on registreeritud.
NIST CSF hindaja käsitleb registrit GOVERN-tulemuste tõendusmaterjalina: sidusrühmade ootused, õiguslikud kohustused, rollid, poliitikad, järelevalve ja tarneahela risk. COBIT 2019 või ISACA-stiilis audiitor uurib, kas sidusrühmade vajadused on tõlgitud juhtimis- ja halduspraktikateks, kas vastutused on määratud ning kas protsessi toimivust seiratakse.
Sama artefakt peab neile kõigile küsimustele vastu pidama. Seetõttu peab register olema kontrollitud, omanikuga seotud, üle vaadatud, juurdepääsukontrolliga kaitstud ja testitud.
Levinud veamustrid kontaktide juhtimises
Organisatsioonid ei kuku tavaliselt läbi seetõttu, et neil puuduvad kontaktid täielikult. Nad kukuvad läbi seetõttu, et kontakte ei saa tegeliku intsidendi ajal usaldada.
| Veamuster | Miks see riski tekitab | Praktiline parandus |
|---|---|---|
| Regulaatori kontakt on ainult avaleht | Meeskonnad kaotavad aega tegeliku teavitustee leidmisele | Valideeri portaal, e-post, telefon ja varukanalid |
| DPO-l puudub asendaja | Töövälisel ajal privaatsusotsused seiskuvad | Määra ja koolita privaatsuse varukontaktid |
| Tarnijakontaktid on peidetud lepingutesse | Intsidendimeeskonnad ei saa kiiresti eskaleerida | Eralda turbe-, lepingulised ja tugikontaktid registrisse |
| BCDR-loend ja IR-maatriks on vastuolus | Meeskonnad järgivad vastuolulisi eskaleerimisteid | Ühita mõlemad kirjed ühe omaniku ja läbivaatamistsükli kaudu |
| Viimase läbivaatamise kuupäev puudub | Audiitorid ei saa hooldust kontrollida | Lisa valideerimiskuupäevad, valideerijad ja heakskiidu tõendusmaterjal |
| Õiguskaitse on välja jäetud | Lunavara või väljapressimisele reageerimisel puudub tõendusmaterjali tugi | Lisa küberkuritegevuse ja tõendusmaterjali säilitamise kontaktid |
| NIS2 ja DORA tähtajad ei ole integreeritud | Ainult GDPR-i töövood jätavad valdkondlikud kohustused katmata | Kaardista käivitavad tingimused NIS2, DORA, GDPR ja lepingutega |
| Register on ainult mõjutatud süsteemides võrgus | Katkestus või lunavara blokeerib juurdepääsu | Säilita kaitstud võrguühenduseta ja alternatiivsed juurdepääsuteed |
| Teavitusi ei säilitata | Vastavusfunktsioon ei saa tõendada, mida esitati | Säilita teated, kättesaamiskinnitused, heakskiidud ja kirjavahetus ISMS-is |
| Lauaõppused jätavad teavitamise vahele | Protsess jääb teoreetiliseks | Testi kontakti otsimist, heakskiitmist, esitamist ja tõendusmaterjali säilitamist |
Iga probleem loob prognoositava auditileiu. Parandus on sama prognoositav: joondage register poliitikaga, integreerige see intsidentidele reageerimisse, valideerige kontaktid, testige töövoogu ja säilitage tõendusmaterjal.
Juhatuse ja juhtkonna vastutus
NIS2 nõuab, et juhtorganid kiidaksid heaks küberturbe riskijuhtimise meetmed, teostaksid järelevalvet nende rakendamise üle ja läbiksid koolituse. DORA Article 5 paneb juhtorganile vastutuse IKT-riskikorralduse määratlemise, heakskiitmise, järelevalve ja vastutuse eest, sealhulgas poliitikad, rollid, IKT talitluspidevus, reageerimise ja taastamise plaanid, IKT kolmandate isikute poliitika, teadlikkus ja koolitus. ISO/IEC 27001:2022 nõuab juhtkonnalt ISMS-i joondamist strateegilise suunaga, ressursside tagamist, vastutuste määramist ja pideva täiustamise toetamist.
Juhatus ei pea CSIRT-i telefoninumbrit pähe õppima. Küll aga vajab ta kindlust, et teavitamisvalmidus on olemas, sellel on omanik, seda testitakse ja see vaadatakse üle.
Kvartaalne juhtimispakett peaks sisaldama:
- regulatiivsete kontaktide registri läbivaatamise staatust
- muutusi kohaldatavates asutustes, järelevalveasutustes või jurisdiktsioonides
- avatud lünki tarnijate intsidendikontaktides
- lauaõppuste tulemusi ja õppetunde
- tõendusmaterjali teavituse heakskiitmise töövoo testimise kohta
- mõõdikuid tuvastamisest eskaleerimisotsuseni kuluva aja kohta
- NIS2, DORA, GDPR ja lepinguliste aruandluskohustuste ajakohastusi
- juhtkonna aktsepteerimist nõudvaid jääkriske
See nihutab registri operatiivsest tabelist juhtimiskontrolliks.
Kuidas Clarysec aitab luua auditiks valmis kontaktide juhtimist
Clarysec ühendab poliitikateksti, rakendamise järjestuse ja raamistikestülese kontrollide kaardistuse üheks tõendusteeks.
Poliitikateek määrab vastutuse ja nõutavad kirjed. Incident Response Policy kehtestab eskaleerimise, teavituse heakskiitmise ja säilitamise ootused. Legal and Regulatory Compliance Policy nõuab, et vastavustingimusi, näiteks rikkumisest teavitamise tähtaegu, jälgitaks. Business Continuity Policy and Disaster Recovery Policy nõuab ajakohaseid kontaktloendeid ja alternatiivseid kommunikatsiooniplaane. Third-Party and Supplier Security Policy nõuab määratud tarnijakontakte.
Zenith Blueprint annab rakendamise järjestuse. ISMS Foundation & Leadership etapi samm 5 käsitleb kommunikatsiooni, teadlikkust ja pädevust, sealhulgas väliseid sidusrühmi, ajastust, kommunikaatorite rolle ja kommunikatsiooniplaane. Samm 22 lõimib ametiasutuste ja erihuvigruppide kontaktid organisatsioonilistesse kontrollimeetmetesse. Samm 23 valideerib intsidendihalduse, teatamiskohustusliku sündmuse otsused, kohtuekspertiisi tõendusmaterjali säilitamise ja õppetunnid.
Zenith Controls juhend annab ristvastavuse kompassi. See näitab, kuidas kontakt ametiasutustega seostub intsidendiplaanide, sündmustest teavitamise, ohuteabe, erihuvigruppide ja intsidentidele reageerimisega. Samuti näitab see, miks infoturbesündmustest teavitamine ja intsidentideks ettevalmistus on vajalikud kaaslased. Kontaktregister on tõhus ainult siis, kui sündmustest teatatakse ja neid hinnatakse piisavalt vara, et register käivituks.
VKE-de jaoks tähendab see lihtsat, kuid kaitstavat registrit, selget vastutust ja proportsionaalset tõendusmaterjali. Ettevõtete jaoks tähendab see integratsiooni jurisdiktsioonide, juriidiliste isikute, äriüksuste, tarnijate, regulaatorite, järelevalveasutuste, CSIRT-ide ja juhatuse aruandluse vahel.
Järgmised sammud: koostage register enne, kui kell käivitub
Kui teie organisatsioon valmistub NIS2, DORA, GDPR rikkumisteavituse valmisolekuks või ISO/IEC 27001:2022 sertifitseerimiseks, ärge oodake tegelikku intsidenti, et avastada, kas teie kontaktide juhtimine toimib.
Alustage sel nädalal nelja tegevusega:
- Looge või värskendage regulatiivsete kontaktide register CSIRT-ide, pädevate asutuste, finantsjärelevalvete, andmekaitseasutuste, õiguskaitse, kriitiliste tarnijate ja sisemiste eskaleerimisrollide jaoks.
- Kaardistage iga kontakt käivitava tingimuse, omaniku, kinnitamise tee, tõendusmaterjali nõude ja säilitamiskohaga.
- Viige läbi üks lauaõppus, mis keskendub teavitusotsustele, kontaktile ametiasutusega, tarnijatega koordineerimisele ja tõendusmaterjali säilitamisele.
- Ajakohastage ISMS-i kirjed, sealhulgas vastavusregister, intsidentidele reageerimise tööjuhis, talitluspidevuse kontaktloendid ja tarnijate kontaktikirjed.
Clarysec aitab seda kiiresti rakendada, kasutades Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls ning meie VKE ja ettevõtete poliitikateeke, sealhulgas Incident Response Policy Incident Response Policy, Legal and Regulatory Compliance Policy Legal and Regulatory Compliance Policy - SME, Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy ja Third-Party and Supplier Security Policy Third-Party and Supplier Security Policy - SME.
24-tunnine kell ei peatu, kuni teie meeskond otsib õiget kontakti. Koostage register nüüd, testige seda ja tehke sellest osa oma ISO tõendusmaterjalist enne, kui järgmine intsident määrab ajakava teie eest.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
