EUCS-pilvisertifioinnin auditointinäyttö vuoden 2026 auditointeihin
Neuvotteluhuoneen projektorin valo osui Amelian kasvoihin, kun hän katsoi diaa, jonka otsikko oli “2026 Compliance Horizon”. Nopeasti kasvavan fintech-yhtiön tietoturvajohtajana hänellä oli näytöllä kolme lyhennettä ja niiden taustalla yksi toistuva operatiivinen ongelma: NIS2, DORA ja GDPR johtivat kaikki takaisin samoihin pilvialustoihin.
DORA-auditoija pyysi näyttöä maksusovelluksia ylläpitävien pilvipalvelujen ICT-kolmansien osapuolten riskienhallinnasta. NIS2:n mukainen toimivaltainen viranomainen oli luokitellut yhtiön tärkeäksi toimijaksi ja kysyi, miten toimitusketjun tietoturvaa hallitaan. Tietosuojavastaava valmistautui GDPR-katselmukseen, jonka painopisteinä olivat henkilötietojen käsittelijän tietoturva, tietojen sijainti ja valmius tietoturvaloukkauksiin. Hankinta välitti tämän jälkeen lyhyen sähköpostin pilvipohjaisen analytiikkapalvelun tarjoajalta:
“Valmistaudumme EUCS-sertifiointiin. Voiko tämä korvata toimittajan tietoturvakatselmuksenne?”
Kiireiselle tietoturvajohtajalle, vaatimustenmukaisuudesta vastaavalle henkilölle tai perustajalle houkutteleva vastaus on kyllä. Eurooppalainen pilvipalvelujen kyberturvallisuussertifiointi kuulostaa juuri sellaiselta näyttökohteelta, jonka pitäisi vähentää kyselyitä, rauhoittaa auditoijia ja vakuuttaa asiakkaat.
Parempi vastaus on täsmällisempi: EUCS-pilvisertifioinnista voi tulla vahvaa näyttöä pilvipalveluntarjoajan varmentamisesta, mutta vain silloin, kun se on kytketty organisaation omaan ISO/IEC 27001:2022 -riskien arviointiin, soveltuvuuslausuntoon, toimittajarekisteriin, pilvipalvelurekisteriin, sopimusperusteisiin kontrolleihin, poikkeamien toimintamalleihin ja GDPR:n osoitusvelvollisuutta koskeviin tallenteisiin.
Tällä erolla on merkitystä. NIS2 tekee toimitusketjun tietoturvasta ja digitaalisen infrastruktuurin häiriönsietokyvystä valvontakysymyksen. DORA:n mukaan finanssialan toimijat ovat edelleen vastuussa ICT-kolmansien osapuolten riskeistä myös silloin, kun pilvipalvelut on ulkoistettu. GDPR edellyttää, että rekisterinpitäjät ja henkilötietojen käsittelijät pystyvät osoittamaan käsittelyn olevan lainmukaista, turvallista ja osoitusvelvollisuuden mukaista. ISO/IEC 27001:2022 edellyttää rajattua, riskiperusteista hallintajärjestelmää, jossa otetaan huomioon lakisääteiset, sääntelyyn perustuvat, sopimusperusteiset ja kolmansien osapuolten riippuvuudet.
EUCS ei poista näitä velvoitteita. Se tarjoaa rakenteisen näyttökohteen, jota voidaan arvioida, normalisoida, haastaa ja käyttää uudelleen.
Clarysecin lähestymistapa on yksinkertainen: EUCS:ää käsitellään arvokkaana toimittajan varmentamisen syötteenä, ei vaatimustenmukaisuuden oikopolkuna. Julkaisussa Zenith Controls: The Cross-Compliance Guide pilvipalvelujen varmentamisen kontrollikokonaisuus alkaa ISO/IEC 27002:2022 -hallintakeinosta 5.23, pilvipalvelujen käytön tietoturva, ja kytkeytyy hallintakeinoon 5.20, tietoturvan huomioiminen toimittajasopimuksissa, sekä hallintakeinoon 5.22, toimittajapalvelujen seuranta, katselmointi ja muutoksenhallinta. Nämä kolme hallintakeinoa muodostavat puolustettavan EUCS-näytön katselmoinnin rungon.
Miksi pilvipalvelujen varmentaminen kuormittuu NIS2:n, DORA:n ja GDPR:n alla
Vuoteen 2026 mennessä pilvipalvelujen varmentaminen ei ole enää pelkkä hankintaprosessin työvaihe. Se on hallituksen, viranomaisen ja auditoinnin aihe.
NIS2-direktiivi, direktiivi (EU) 2022/2555, laajentaa keskeisten ja tärkeiden toimijoiden kyberturvallisuusvelvoitteita. Sen soveltamisalaan kuuluu useita toimialoja, jotka tukeutuvat vahvasti pilvipalveluihin, ja digitaalisen infrastruktuurin kokonaisuuteen sisältyvät pilvipalveluntarjoajat, datakeskuspalvelujen tarjoajat, sisällönjakeluverkot, luottamuspalvelujen tarjoajat, DNS-palveluntarjoajat ja TLD-nimirekisterit. Myös hallinnoidut palveluntarjoajat ja hallinnoidut tietoturvapalvelujen tarjoajat ovat tarkastelun kohteena.
Article 21 edellyttää asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä, mukaan lukien riskianalyysi, poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun tietoturva, turvallinen hankinta ja kehittäminen, haavoittuvuuksien käsittely, vaikuttavuuden arviointi, kyberhygienia, kryptografia, pääsynhallinta, omaisuudenhallinta ja todennus. Article 23 asettaa vaiheittaiset poikkeamien ilmoittamista koskevat odotukset, mukaan lukien ennakkovaroitus 24 tunnin kuluessa ja poikkeamailmoitus 72 tunnin kuluessa, direktiivin ja kansallisen täytäntöönpanon mukaisesti. Article 24 antaa jäsenvaltioille tietyissä tilanteissa mahdollisuuden edellyttää eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien mukaisesti sertifioitujen ICT-tuotteiden, -palvelujen tai -prosessien käyttöä. Article 25 kannustaa asiaankuuluvien eurooppalaisten ja kansainvälisten standardien käyttöön.
DORA, asetus (EU) 2022/2554, on finanssialan toimijoille vielä suorempi. Se edellyttää 17. tammikuuta 2025 alkaen, että finanssialan organisaatiot hallitsevat ICT-riskiä, raportoivat merkittävistä ICT:hen liittyvistä poikkeamista, testaavat digitaalista operatiivista häiriönsietokykyä ja hallinnoivat ICT-kolmansien osapuolten riskejä. Soveltamisalaansa kuuluville toimijoille DORA toimii toimialakohtaisena unionin säädöksenä niiden kyberturvallisuusvelvoitteiden osalta, jotka ovat päällekkäisiä NIS2:n kansallisten sääntöjen kanssa.
DORA ei salli vastuun ulkoistamista. Articles 28 to 30 edellyttävät, että finanssialan toimijat tekevät toimittajan huolellisuusarvioinnin, arvioivat keskittymäriskiä, ylläpitävät sopimusjärjestelyjen rekistereitä, sisällyttävät sopimuksiin pakolliset suojalausekkeet, säilyttävät auditointi- ja pääsyoikeudet, varmistavat poikkeamatilanteiden tuen, tekevät yhteistyötä toimivaltaisten viranomaisten kanssa ja ylläpitävät exit-strategioita ICT-palveluille, jotka tukevat kriittisiä tai tärkeitä toimintoja.
GDPR, asetus (EU) 2016/679, lisää osoitusvelvollisuuden ja tietosuojan vaatimustason. Article 5 edellyttää, että rekisterinpitäjät noudattavat tietosuojaperiaatteita ja pystyvät osoittamaan niiden noudattamisen. Article 28 koskee henkilötietojen käsittelijäsuhteita ja edellyttää käsittelijöiltä riittäviä takeita. Article 32 edellyttää asianmukaisia teknisiä ja organisatorisia toimenpiteitä käsittelyn turvallisuuden varmistamiseksi.
Tuloksena on lähentymisongelma. Yksi pilvipalveluntarjoaja voi olla DORA:n mukainen kriittinen ICT-kolmas osapuoli, NIS2-toimitusketjun suora toimittaja sekä GDPR:n mukainen henkilötietojen käsittelijä tai alikäsittelijä. Jos varmentamista hallitaan toisistaan irrallisilla kyselylomakkeilla, sertifiointipdf-tiedostoilla ja sopimuskansioilla, jokainen auditointi muuttuu jälkikäteiseksi uudelleenrakentamiseksi.
EUCS voi vähentää tätä epäselvyyttä, mutta vain silloin, kun se otetaan osaksi hallittua näyttömallia.
Mitä EUCS voi osoittaa ja mitä se ei voi osoittaa
EU Cybersecurity Certification Scheme for Cloud Services, josta käytetään yleisesti nimitystä EUCS, on suunniteltu tarjoamaan eurooppalainen pilvipalvelujen varmentamismekanismi laajemman EU:n kyberturvallisuuden sertifiointikehyksen puitteissa. Sen käytännön arvo ei ole pelkässä merkinnässä. Arvo syntyy taustalla olevasta sertifikaatin soveltamisalasta, varmuustasosta, arvioiduista palveluista, alueista, oikeushenkilöistä, arvioinnin rajauksista, voimassaoloajasta ja valvontamallista.
Oikea pilvipalvelujen varmentamista koskeva kysymys ei ole vain: “Onko tällä palveluntarjoajalla EUCS?” Oikeat kysymykset ovat:
- Mitkä täsmälliset pilvipalvelut kuuluvat sertifioinnin piiriin?
- Mitkä alueet, tietojen sijainnit ja oikeushenkilöt kuuluvat soveltamisalaan?
- Mikä varmuustaso soveltuu?
- Mitä arviointimenetelmää käytettiin?
- Mitkä jaetun vastuun oletukset jäävät asiakkaalle?
- Mitä näyttöä voidaan luovuttaa asiakkaille, viranomaisille ja auditoijille?
- Miten sertifikaatti vaikuttaa auditointioikeuksiin, poikkeamailmoituksiin, alihankkijoiden läpinäkyvyyteen ja exit-suunnitteluun?
Pilvisertifikaatti kattaa harvoin organisaation oman konfiguraation. Jos organisaatio poistaa MFA:n käytöstä, altistaa tallennustilan, myöntää liiallisia ylläpito-oikeuksia, jättää etuoikeutetun pääsyn kirjaamatta lokiin tai määrittää alueet virheellisesti, palveluntarjoajan sertifiointi ei pelasta auditointia.
Siksi EUCS kuuluu näyttömatriisiin, ei jalustalle. Se voi tukea palveluntarjoajan puolen varmentamista, mutta organisaation on edelleen osoitettava oma hallinnointinsa, konfiguraationsa, sopimusperusteiset kontrollinsa ja seurantakontrollinsa.
Zenith Blueprint: An Auditor’s 30-Step Roadmap tekee tämän selväksi riskienhallintavaiheessa, Step 13, Risk Treatment Planning and Statement of Applicability:
SoA on käytännössä siltadokumentti: se yhdistää riskien arvioinnin ja riskien käsittelyn käytössä oleviin todellisiin kontrolleihin. Kun täytät sen, tarkistat samalla, onko jokin kontrolli jäänyt huomaamatta.
Tämä on oikea ajattelumalli EUCS:lle. Sertifikaatti on toimittajaa koskevaa näyttöä. Soveltuvuuslausunto selittää, miksi liittyvät kontrollit ovat sovellettavia, miten organisaatio on toteuttanut oman osuutensa jaetusta vastuusta, mikä toimittajan näyttö hyväksyttiin ja mitä jäännösriskejä jää jäljelle.
ISO 27001 -rakenne EUCS-näytölle
ISO/IEC 27001:2022 antaa EUCS:lle paikan hallintajärjestelmässä. Sen lausekkeet edellyttävät, että organisaatiot ymmärtävät sisäiset ja ulkoiset tekijät, tunnistavat sidosryhmät ja vaatimukset, määrittävät ISMS:n soveltamisalan, osoittavat johtamisvastuut, arvioivat riskit, valitsevat kontrollit, ylläpitävät soveltuvuuslausuntoa ja parantavat toimintaansa jatkuvasti.
Pilvipalvelujen varmentamisessa EUCS:n tulisi näkyä vähintään kuudessa ISMS-artefaktissa.
| ISMS-artefakti | Miten EUCS:ää tulisi käyttää | Auditoijan kysymys |
|---|---|---|
| ISMS:n soveltamisala | Tunnista pilvipalvelut, alueet, oikeushenkilöt, asiakastiedot ja ulkoistetut riippuvuudet | Sisältyvätkö olennaiset pilviriippuvuudet ja ulkoistetut palvelut ISMS:n soveltamisalaan? |
| Riskirekisteri | Kirjaa palveluntarjoajan epäonnistumiseen, virheelliseen konfiguraatioon, tietojen sijaintiin, alikäsittelijöihin ja poikkeamien raportointiin liittyvät riskit | Arvioidaanko pilviriskit liiketoimintavaikutusten ja jaetun vastuun perusteella? |
| Toimittajan huolellisuusarviointi | Käytä EUCS:ää näyttönä ja tarkista sen jälkeen soveltamisala, varmuustaso, voimassaolo ja puutteet | Kattaako sertifikaatti juuri käytössä olevan palvelun? |
| Soveltuvuuslausunto | Kytke pilvi-, toimittaja-, pääsynhallinta-, lokitus-, poikkeama- ja jatkuvuuskontrollit riskeihin ja sääntelyyn | Onko kontrollien valinta perusteltu ja jäljitettävissä? |
| Pilvipalvelurekisteri | Kirjaa palveluntarjoaja, käyttötarkoitus, tietotyypit, sijainnit, pääsy ja sopimustiedot | Pystyykö organisaatio tunnistamaan kaikki hyväksytyt pilvipalvelut? |
| Sopimus- ja auditointiaineisto | Säilytä sertifiointi, sopimukset, auditointioikeudet, ilmoitusehdot, alihankintaa koskevat ehdot ja exit-ehdot | Pystyykö organisaatio osoittamaan täytäntöönpanokelpoiset toimittajavelvoitteet? |
Clarysecin politiikkakirjasto muuttaa nämä vaatimukset operatiiviseksi toimintamalliksi.
Pk-yrityksille suunnatun Pilvipalvelujen käyttöpolitiikka - pk-yritys -asiakirjan Hallinnointivaatimukset-osio, lauseke 5.2, asettaa perustason hyväksytyille pilvipalveluille:
Hyväksyttyjen pilvipalvelujen on täytettävä seuraavat vähimmäiskriteerit: 5.2.1 Palveluntarjoajalla on vahva maine saatavuuden ja tietoturvan osalta 5.2.2 Multi-factor authentication (MFA) on tuettu ja voidaan ottaa käyttöön 5.2.3 Tietojen sijaintia ja tietosuojaa koskevat käytännöt täyttävät sovellettavat lakisääteiset vaatimukset (esim. GDPR) 5.2.4 Palvelu tarjoaa turvalliset pääsynhallintatoiminnot, lokituksen ja tietosuojakyvykkyydet
EUCS-sertifikaatti voi tukea lauseketta 5.2.1 sekä osia lausekkeista 5.2.3 ja 5.2.4. Se ei osoita, että organisaation tenantissa MFA on otettu käyttöön, lokitus on konfiguroitu, tietojen sijainti on pakotettu tai ylläpito-oikeudet on katselmoitu.
Suuremmille organisaatioille suunnatun Pilvipalvelujen käyttöpolitiikka -asiakirjan Hallinnointivaatimukset-osio, lauseke 5.2, nostaa vaatimustasoa:
Kaikelle pilvipalvelujen käytölle on tehtävä riskiperusteinen huolellisuusarviointi ennen käyttöönottoa, mukaan lukien palveluntarjoajan arviointi, lakisääteisen vaatimustenmukaisuuden validointi ja kontrollien validointikatselmukset.
Tämä lause on politiikkavaatimus, jota jokaisen EUCS-katselmoinnin tulee noudattaa: palveluntarjoajan arviointi, lakisääteisen vaatimustenmukaisuuden validointi ja kontrollien validointi, ei sokea hyväksyntä.
EUCS:n yhdistäminen ISO 27001-, NIS2-, DORA- ja GDPR-vaatimuksiin
EUCS:stä tulee auditointia varten käyttökelpoinen, kun sertifikaattia koskevat tosiasiat yhdistetään velvoitteisiin. Tietoturvajohtajan tulisi rakentaa vaatimustenmukaisuuden poikkileikkaava pilvipalvelujen varmentamismatriisi, joka muuntaa palveluntarjoajan näytön uudelleenkäytettäväksi kontrollinäytöksi.
| EUCS-näytön osa | Merkitys ISO 27001- ja ISO 27002 -viitekehyksissä | Merkitys NIS2:n kannalta | Merkitys DORA:n kannalta | Merkitys GDPR:n kannalta |
|---|---|---|---|---|
| Sertifikaatin soveltamisala ja katetut palvelut | Tukee toimittajariskin arviointia ja kontrolleja 5.19, 5.20, 5.22 ja 5.23 | Tukee toimitusketjun tietoturvaa ja sertifiointinäyttöä | Tukee ICT-palveluntarjoajan huolellisuusarviointia ja rekisterin tarkkuutta | Tukee henkilötietojen käsittelijän ja alikäsittelijän arviointia |
| Varmuustaso ja arviointimenetelmä | Tukee kontrollien validointia ja SoA-perusteluja | Osoittaa oikeasuhteisuutta riskiin ja palvelun kriittisyyteen nähden | Tukee kriittisen tai tärkeän toiminnon arviointia | Tukee pilvessä ylläpidettyjä henkilötietoja koskevaa osoitusvelvollisuutta |
| Tietojen sijaintia ja lainkäyttöaluetta koskeva näyttö | Tukee lakisääteisten, sääntelyyn perustuvien ja sopimusperusteisten vaatimusten kartoitusta | Tukee palvelun jatkuvuutta ja toimitusketjuriskin analysointia | Tukee keskittymä- ja alihankintariskin arviointia | Tukee tietojen sijainnin ja siirtoriskin arviointia |
| Poikkeamailmoituksia koskevat sitoumukset | Tukee poikkeamasuunnittelua ja toimittajasopimusten kontrolleja | Tukee valmiutta merkittävien poikkeamien raportointiin | Tukee merkittävien ICT-poikkeamien raportointiriippuvuuksia | Tukee valmiutta henkilötietojen tietoturvaloukkauksiin reagoimiseen |
| Alihankkijoita ja toimitusketjua koskeva näyttö | Tukee toimittajien seurantaa ja muutoksenhallintaa | Tukee toimittajakohtaista haavoittuvuuksien arviointia | Tukee alihankintaketjun ja keskittymäriskin analysointia | Tukee henkilötietojen käsittelijäketjun osoitusvelvollisuutta |
| Exit- ja tietojen palauttamista koskeva näyttö | Tukee jatkuvuutta, palvelun päättämistä ja tietojen turvallista käsittelyä | Tukee kaikkiin uhkatyyppeihin perustuvaa häiriönsietokykyä ja jatkuvuutta | Tukee testattuja exit-strategioita kriittisille ICT-palveluille | Tukee poistamista, säilytystä ja käsittelyn rajoittamista koskevaa näyttöä |
Tämä taulukko ei ole tarkoitettu vain vaatimustenmukaisuusdokumentaatiota varten. Se on silta palveluntarjoajan varmentamisen ja organisaation oman osoitusvelvollisuuden välillä.
NIS2 kysyy, onko toimija toteuttanut asianmukaiset ja oikeasuhteiset toimenpiteet. DORA kysyy, hallinnoiko finanssialan toimija ICT-kolmansien osapuolten riskiä huolellisuusarvioinnin, sopimusten, seurannan ja exit-suunnittelun avulla. GDPR kysyy, onko henkilötietojen käsittely lainmukaista, turvallista ja osoitettavissa. ISO/IEC 27001:2022 kysyy, onko tämä kaikki integroitu riskiperusteiseen hallintajärjestelmään.
Käytännön esimerkki: EUCS-katselmointi pilvianalytiikan palveluntarjoajalle
Palataan Amelian fintech-yhtiöön, Northstar Payhin. Yhtiö haluaa ottaa käyttöön pilvipohjaisen analytiikka-alustan petosten havaitsemista ja tapahtumaraportointia varten. Palveluntarjoaja esittää EUCS-sertifikaatin ja väittää, että sen pitäisi riittää tietoturvakatselmukseen.
Clarysec jäsentäisi näytön katselmoinnin kuuteen vaiheeseen.
Vaihe 1: Päivitä pilvipalvelurekisteri
Pilvipalvelujen käyttöpolitiikka - pk-yritys -asiakirjan Hallinnointivaatimukset-osio, lauseke 5.3, edellyttää rekisteriä, johon kirjataan pilvipalvelun nimi, käyttötarkoitus, vastuullinen omistaja, tietotyypit, maa tai alue, käyttöoikeudet, ylläpitotilit, sopimustiedot, uusimispäivät ja tukiyhteystiedot.
Yrityksille suunnatun Pilvipalvelujen käyttöpolitiikka -asiakirjan Hallinnointivaatimukset-osio, lauseke 5.1, alkaa omistajuudesta:
Organisaation on ylläpidettävä keskitettyä pilvipalvelurekisteriä, jonka omistajana toimii CISO ja joka sisältää:
Northstar Pay kirjaa palvelun ennen hyväksyntää, ei vasta tuotantokäyttöönoton jälkeen.
| Rekisterikenttä | Esimerkkimerkintä |
|---|---|
| Pilvipalvelu | Palveluntarjoajan analytiikka-alusta |
| Liiketoimintatarkoitus | Petosanalytiikka ja tapahtumatrendien raportointi |
| Sovellusomistaja | Data-alustoista vastaava johtaja |
| Tietotyypit | Asiakastunnisteet, tapahtumien metatiedot, pseudonymisoidut analytiikkatapahtumat |
| Tietojen sijainti | Vain EU-alue, sopimuksella rajoitettu |
| Pääsy | SSO, MFA, nimetyt ylläpitäjätilit, vähimmän oikeuden periaatteen mukaiset roolit |
| Näyttö | EUCS-sertifikaatti, ISO 27001 -sertifikaatti, tietoturvan whitepaper, DPA, sopimus, alikäsittelijäluettelo |
| Katselmointipäivä | Vuosittainen katselmointi sekä katselmointi olennaisen palvelumuutoksen yhteydessä |
Vaihe 2: Validoi sertifikaatin soveltamisala
Tiimi varmistaa, kattaako EUCS-sertifikaatti juuri sen analytiikkapalvelun, käyttöönottomallin, alueen ja oikeushenkilön, jota Northstar Pay käyttää. Jos sertifikaatti kattaa infrastruktuuripalvelut mutta jättää analytiikkamoduulin ulkopuolelle, näytön arvo on rajallinen.
Tässä moni auditointi epäonnistuu. Palveluntarjoaja sanoo olevansa “sertifioitu”, mutta asiakas ei pysty osoittamaan, että sertifikaatti koskee palvelua, jossa käsitellään sääntelyn alaisia tietoja.
Vaihe 3: Yhdistä EUCS riskien käsittelyyn ja SoA:han
Käyttämällä Zenith Blueprint -julkaisun Step 13 -vaihetta Northstar Pay yhdistää sertifikaatin riskirekisteriin ja soveltuvuuslausuntoon.
| Riskiskenaario | EUCS-näytön arvo | Asiakkaan puolella edelleen vaadittava kontrolli |
|---|---|---|
| Luvaton pääsy analytiikkadataan | Tukee palveluntarjoajan infrastruktuurin tietoturvan varmentamista | Pakota SSO, MFA, RBAC, ylläpitokäyttöoikeuksien katselmointi ja lokitus |
| Tietoja tallennetaan hyväksytyn alueen ulkopuolelle | Voi tukea palveluntarjoajan sijaintikontrolleja | Sopimusperusteinen vain EU:ssa tapahtuva tallennus, tenantin konfiguraatio ja säännöllinen varmennus |
| Palveluntarjoaja viivästyy poikkeaman raportoinnissa | Voi tukea poikkeamaprosessin varmentamista | Sopimusperusteiset ilmoitusajat, eskalointiyhteystiedot ja poikkeamien toimintamalli |
| Alikäsittelijän muutos vaikuttaa riskiin | Voi tukea toimitusketjun hallinnointia | Sopimuksen mukaiset hyväksymisoikeudet, alikäsittelijöiden seuranta ja uudelleenarviointi |
| Pilvipalvelukatkos vaikuttaa raportointiin | Voi tukea saatavuuskontrolleja | Liiketoiminnan jatkuvuussuunnitelma, RTO- ja RPO-analyysi, varmuuskopiointi- tai vientistrategia |
Tämän jälkeen SoA kirjaa ISO/IEC 27002:2022 -hallintakeinot 5.20, 5.22 ja 5.23 sovellettaviksi, koska organisaatio käyttää pilvipalveluja sääntelyn alaiseen käsittelyyn ja tärkeisiin analytiikkatyönkulkuihin.
Vaihe 4: Vahvista sopimuslausekkeet ja auditointioikeudet
Pk-yrityksille suunnatun Kolmansien osapuolten ja toimittajien tietoturvapolitiikka - pk-yritys -asiakirjan Hallinnointivaatimukset-osio, lauseke 5.3, edellyttää pakollisia sopimuslausekkeita:
Sopimusten on sisällettävä pakolliset lausekkeet, jotka kattavat: 5.3.1 Luottamuksellisuuden ja salassapidon 5.3.2 Tietoturvavelvoitteet 5.3.3 Henkilötietojen tietoturvaloukkauksista ilmoittamisen määräajat (esim. 24–72 tunnin kuluessa) 5.3.4 Auditointioikeudet tai vaatimustenmukaisuusnäytön saatavuuden 5.3.5 Rajoitukset jatkoalihankinnalle ilman hyväksyntää 5.3.6 Päättämisehdot, mukaan lukien tietojen turvallinen palauttaminen tai hävittäminen
EUCS-näyttö ja sopimusperusteiset oikeudet palvelevat eri tarkoituksia. Sertifikaatti tukee varmentamista. Sopimus luo täytäntöönpanokelpoisuuden.
Suurille organisaatioille suunnatun Kolmannen osapuolen ja toimittajaturvallisuuspolitiikka -asiakirjan Politiikan toimeenpanovaatimukset-osio, lauseke 6.1.2.2, sisältää nimenomaisesti:
Auditointiraporttien katselmointi (esim. SOC 2, ISO 27001, ISAE 3402)
EUCS kuuluu tähän näyttöperheeseen muiden varmentamisraporttien rinnalle. Sen ei tule korvata sopimuskatselmointia, auditointioikeuksia, poikkeamatilanteiden tukea tai exit-strategialausekkeita, joita DORA edellyttää.
Vaihe 5: Pakota tietojen sijainti sääntelyn alaisille tiedoille
Pilvipalvelujen käyttöpolitiikka -asiakirjan Politiikan toimeenpanovaatimukset-osio, lauseke 6.6.2, toteaa:
Tietojen sijaintia koskevat vaatimukset on pantava täytäntöön sopimusperusteisesti (esim. vain EU:ssa tapahtuva tallennus GDPR:n alaisille tiedoille).
GDPR:n osoitusvelvollisuuden kannalta alueellisia kontrolleja kuvaava sertifikaatti on hyödyllinen. Se ei kuitenkaan yksin riitä. Northstar Pay tarvitsee tietojenkäsittelysopimuksen, sopimuslausekkeen vain EU:ssa tapahtuvasta tallennuksesta, tenantin konfiguraationäytön ja menetelmän muutosten seurantaan.
Jos analytiikka-alusta antaa ylläpitäjille mahdollisuuden valita alueita, auditointiaineistoon on sisällytettävä konfiguraatiokuvakaappauksia, vietyjä asetuksia tai muita tallenteita, jotka osoittavat hyväksytyn EU-alueen.
Vaihe 6: Aikatauluta vuosittaiset ja tapahtumaperusteiset katselmoinnit
Kolmansien osapuolten ja toimittajien tietoturvapolitiikka - pk-yritys -asiakirjan Politiikan toimeenpanovaatimukset-osio, lauseke 6.3.1, edellyttää kriittisten tai korkean riskin toimittajien vuosittaista katselmointia turvallisten pääsymenetelmien, voimassa olevien tietoturvasertifiointien tai päivitetyn kontrollinäytön, poikkeamahistorian ja sopimuksenmukaisuuden varmistamiseksi.
Katselmoinnin tulee käynnistyä myös silloin, kun palveluntarjoaja muuttaa alikäsittelijöitä, alueita, palveluja, identiteettiarkkitehtuuria, salausmallia, poikkeamahistoriaa tai sertifikaatin tilaa. Varmentamisnäyttö vanhenee, eikä toimittajariski ole staattinen.
Clarysecin EUCS-näyttöpaketti
Kypsä EUCS-varmentamispaketti sisältää muutakin kuin sertifikaatin PDF-tiedoston. Clarysec jäsentää näytön seitsemään osioon.
| Näyttöosio | Sisältö | Miksi se on tärkeä |
|---|---|---|
| 1. Pilvipalvelun hyväksyntä | Liiketoimintaperuste, omistaja, riskiluokitus, hyväksyntäpäätös | Osoittaa pilvipalvelujen hallitun hankinnan ja käytön |
| 2. Palveluntarjoajan varmentaminen | EUCS-sertifikaatti, muut sertifioinnit, tietoturvayleiskuva, jaetun vastuun malli | Osoittaa toimittajan tietoturvanäytön ja soveltamisalan |
| 3. Laki ja tietosuoja | DPA, tietojen sijaintia koskevat ehdot, alikäsittelijäluettelo, lainmukaisen käsittelyn kartoitus | Tukee GDPR:n osoitusvelvollisuutta ja sopimusvaatimuksia |
| 4. Tekninen konfiguraatio | MFA, SSO, RBAC, salaus, lokitus, varmuuskopiointi, verkkorajoitukset | Osoittaa jaetun vastuun asiakkaalle kuuluvan osuuden |
| 5. Toimittajasopimus | Tietoturvavelvoitteet, oikeudet auditointinäyttöön, poikkeamailmoitukset, alihankinta, päättäminen | Tukee ISO-, NIS2- ja DORA-vaatimusten mukaista toimittajahallintaa |
| 6. Poikkeamat ja häiriönsietokyky | Palveluntarjoajan eskalointipolku, toimintamallin integrointi, RTO ja RPO, testitallenteet | Tukee NIS2-raportointia ja DORA:n mukaista operatiivista häiriönsietokykyä |
| 7. Seuranta ja katselmointi | Vuosittainen katselmointi, sertifikaatin voimassaolo, poikkeamat, palvelumuutokset, poikkeukset | Tukee toimittajien jatkuvaa seurantaa ja jatkuvaa parantamista |
Laki- ja sääntelyvaatimusten noudattamisen politiikka -asiakirjan Politiikan toimeenpanovaatimukset-osio, lauseke 6.2.1, tiivistää toimintaperiaatteen:
Kaikki lakisääteiset ja sääntelyvelvoitteet on yhdistettävä tiettyihin politiikkoihin, kontrolleihin ja omistajiin tietoturvallisuuden hallintajärjestelmässä (ISMS).
Tämä erottaa sertifikaattien keräämisen puolustettavan vaatimustenmukaisuuden toimintamallin rakentamisesta.
Poikkeama- ja häiriönsietokykynäyttö: missä EUCS ei riitä
NIS2 ja DORA tekevät poikkeama- ja häiriönsietokykyvalmiudesta vakavan testin pilvipalvelujen hallinnalle.
Pilvipalveluntarjoajan EUCS-sertifikaatti voi osoittaa, että palveluntarjoajalla on poikkeamien hallinnan kontrolleja. Organisaation on silti tiedettävä, kuka vastaanottaa ilmoitukset, miten hälytykset luokitellaan ja priorisoidaan, miten näyttö säilytetään, miten henkilötietovaikutus arvioidaan ja kuka viestii viranomaisille, asiakkaille ja sisäiselle johdolle.
NIS2:n osalta palveluntarjoajan ilmoitusehtojen on tuettava ennakkovaroitus- ja poikkeamailmoitusvelvoitteita. DORA:n osalta pilvipoikkeamien on syötettävä ICT:hen liittyvien poikkeamien luokitteluun, eskalointiin, raportointiin ja asiakasviestintään. GDPR:n osalta tietoturvaloukkausten työnkulun on tuettava arviointia siitä, onko henkilötietojen tietoturvaloukkaus tapahtunut ja edellyttääkö se ilmoitusta valvontaviranomaiselle tai vaikutuksen kohteena oleville henkilöille.
NIST CSF 2.0 toimii tässä hyödyllisenä integrointikielenä. Sen GOVERN-, IDENTIFY-, PROTECT-, DETECT-, RESPOND- ja RECOVER-toiminnot auttavat organisaatioita muuttamaan lakisääteiset velvoitteet ja tekniset kontrollit operatiivisiksi tuloksiksi. Sen toimitusketjua koskevat lopputulemat edellyttävät, että toimittajat tunnetaan, priorisoidaan, hallitaan sopimusperusteisesti, niitä seurataan, ne sisällytetään poikkeamasuunnitteluun ja niitä hallitaan sopimussuhteen päättyessä. Sen reagointi- ja palautumistulokset kattavat triagen, eskaloinnin, kolmansien osapuolten koordinoinnin, sidosryhmien tiedottamisen, palautumisen toteutuksen ja palautuksen varmennuksen.
Sertifikaatti kuuluu aineistoon. Toimintamalli osoittaa valmiuden.
Miten auditoijat testaavat EUCS-näyttöä
Eri auditoijat lähestyvät pilvipalvelujen varmentamista eri näkökulmista. Vaatimustenmukaisuuden poikkileikkaava näyttömalli estää samojen tosiasioiden kokoamisen uudelleen jokaista katselmointia varten.
| Auditointinäkökulma | Mihin auditoija keskittyy | Odotettu näyttö |
|---|---|---|
| ISO 27001 -auditoija | ISMS:n soveltamisala, riskien arviointi, SoA, toimittajakontrollit, pilvipalvelujen hallinnointi, jatkuva parantaminen | Pilvipalvelurekisteri, riskirekisteri, SoA, toimittaja-arviointi, sopimus, konfiguraatiotallenteet, katselmointinäyttö |
| NIS2-valvoja tai -arvioija | Johdon hyväksyntä, Article 21 -toimenpiteet, toimitusketjun tietoturva, poikkeamien raportointivalmius | Hallitusraportointi, toimittajariskianalyysi, poikkeamien toimintamalli, liiketoiminnan jatkuvuusnäyttö, ilmoitustyönkulku |
| DORA-auditoija | ICT-kolmansien osapuolten rekisteri, kriittisen tai tärkeän toiminnon arviointi, sopimukset, auditointioikeudet, exit-suunnitelmat, häiriönsietokyvyn testaus | ICT-sopimusrekisteri, huolellisuusarviointi, keskittymäriskin analyysi, Article 30 -sopimuslausekkeet, testitallenteet, exit-strategia |
| GDPR-katselmoija | Osoitusvelvollisuus, käsittelyn tarkoitus, tietoluokat, tietojen sijainti, tietoturva, valmius tietoturvaloukkauksiin | RoPA-syötteet, DPA, tietojen sijaintia koskevat ehdot, pääsynhallinta, tietoturvaloukkauksen arvioinnin työnkulku, henkilötietojen käsittelijää koskeva näyttö |
| NIST CSF -arvioija | Current and Target Profiles, hallinnointi, toimitusketjun riskienhallinta, seuranta, reagointi ja palautuminen | Profiilien puuteanalyysi, toimittajan elinkaaritallenteet, seurantatiedot, poikkeamaharjoitukset, palautuksen validointi |
| COBIT 2019- tai ISACA-auditoija | Hallinnointitavoitteet, johdon vastuu, palveluntarjoajien valvonta, riskien optimointi, vaatimustenmukaisuuden seuranta | Hallinnointikokousten pöytäkirjat, kontrollien omistajuus, suorituskykymittarit, kolmansien osapuolten valvontatallenteet, vaatimustenmukaisuusnäkymä |
Zenith Blueprint, Controls in Action -vaihe, Step 23, varoittaa, että pilvikontrolleja tarkastellaan usein erityisen tarkasti:
Tätä kontrollia tarkastellaan usein erittäin perusteellisesti. Auditoijat kysyvät:
✓ “Mitä pilvipalveluja käytätte?” ✓ “Kuka hyväksyi ne?” ✓ “Miten varmistatte, että tiedot on suojattu?”
Nämä kysymykset ovat EUCS-varmentamisen ydin. Sertifikaatti voi auttaa vastaamaan siihen, miten palveluntarjoajan puolen suojaus on todennettu, mutta se ei voi vastata siihen, mitä palveluja käytetään tai kuka ne hyväksyi, elleivät pilvipalvelurekisteri ja hyväksyntätyönkulku ole ajan tasalla.
Yleiset EUCS-varmentamisen virheet, joita on vältettävä
Ensimmäinen virhe on käsitellä EUCS:ää yleispätevänä hyväksyntänä. Se on soveltamisalaltaan rajattua näyttöä. Jos sertifikaatti ei kata ostettua palvelua, aluetta, käyttöönottomallia tai oikeushenkilöä, sen varmentamisarvo voi olla rajallinen.
Toinen virhe on sekoittaa palveluntarjoajan kontrollit asiakkaan kontrolleihin. Palveluntarjoajan sertifiointi ei osoita tenantin MFA:ta, RBAC-määrityksiä, lokitusta, salausasetuksia, varmuuskopioita, ylläpito-oikeuksien katselmointeja tai seurantaa.
Kolmas virhe on DORA:n sopimusvaatimusten sivuuttaminen. Finanssialan toimijat tarvitsevat kirjalliset oikeudet ja velvoitteet, mukaan lukien palvelukuvaukset, tietojen sijainnit, tietoturvavaatimukset, pääsy- ja auditointioikeudet, palvelutasot, poikkeamatilanteiden tuki, yhteistyö viranomaisten kanssa, päättämisoikeudet ja exit-strategiat kriittisille tai tärkeille toiminnoille.
Neljäs virhe on GDPR-näytön sivuuttaminen. Tietojen sijaintia koskeva sopimuskieli, alikäsittelijöiden läpinäkyvyys, tietoturvaloukkausten käsittely, lainmukainen käsittely ja osoitusvelvollisuuden tallenteet ovat edelleen tarpeen. EUCS voi tukea Article 32 -artiklan mukaista tietoturvanäyttöä, mutta se ei määritä organisaation oikeusperustetta, käsittelyn tarkoitusta tai säilytyssääntöjä.
Viides virhe on sertifikaatin tilan seurannan laiminlyönti. Jos sertifiointi vanhenee, soveltamisala muuttuu, valvontahavaintoja ilmenee tai palveluntarjoaja muuttaa arkkitehtuuriaan, toimittajariskin katselmoinnin on katettava muutos.
Käytännön EUCS-katselmoinnin tarkistuslista vuodelle 2026
Käytä tätä tarkistuslistaa ennen kuin hyväksyt EUCS:n pilvipalveluntarjoajan varmentamisnäytöksi:
- Vahvista sertifiointijärjestelmä, varmuustaso, sertifikaatin haltija ja voimassaoloaika.
- Vahvista tarkat palvelut, alueet, käyttöönottomallit ja soveltamisalaan kuuluvat oikeushenkilöt.
- Vertaa sertifikaatin soveltamisalaa pilvipalvelurekisterin merkintään.
- Yhdistä näyttö ISO/IEC 27002:2022 -hallintakeinoihin 5.20, 5.22 ja 5.23.
- Päivitä riskirekisteri ja SoA sertifikaattinäytöllä ja jäännösriskillä.
- Validoi asiakkaan puolen kontrollit, erityisesti identiteetti, MFA, lokitus, salaus, varmuuskopiot ja ylläpitäjäpääsy.
- Vahvista tietojen sijaintia, alikäsittelijöitä, tietoturvaloukkausten ilmoittamista, auditointinäyttöä ja päättämistä koskevat lausekkeet.
- Kytke poikkeamailmoituspolut NIS2-, DORA- ja GDPR-määräaikoihin.
- Katselmoi keskittymäriski ja exit-strategia kriittisille tai tärkeille palveluille.
- Aikatauluta vuosittainen katselmointi ja tapahtumaperusteinen uudelleenarviointi.
Tee EUCS-näytöstä toimiva osa ISMS:ää
EUCS-pilvisertifiointi voi parantaa olennaisesti pilvipalveluntarjoajien varmentamista vuonna 2026. Se voi vähentää kyselyväsymystä, vahvistaa toimittajan huolellisuusarviointia ja tukea ISO 27001-, NIS2-, DORA- ja GDPR-näyttöä. Siitä tulee kuitenkin puolustettavaa vasta, kun se yhdistetään organisaation hallintajärjestelmään.
Clarysec auttaa organisaatioita muuttamaan pilvisertifiointinäytön auditointivalmiiksi vaatimustenmukaisuuden toimintamalliksi tuotteiden Zenith Blueprint, Zenith Controls, Pilvipalvelujen käyttöpolitiikka, Pilvipalvelujen käyttöpolitiikka - pk-yritys, Kolmansien osapuolten ja toimittajien tietoturvapolitiikka - pk-yritys, Kolmannen osapuolen ja toimittajaturvallisuuspolitiikka ja Laki- ja sääntelyvaatimusten noudattamisen politiikka avulla.
Jos vuoden 2026 tiekarttaasi sisältyy EUCS, NIS2-valmius, DORA:n mukainen ICT-kolmansien osapuolten riski, GDPR:n mukainen pilvikäsittely tai ISO/IEC 27001:2022 -sertifiointi, aloita yhdestä käytännön toimesta: rakenna pilvipalvelurekisteri, liitä siihen palveluntarjoajan varmentamisnäyttö ja yhdistä jokainen kriittinen pilvipalvelu riskeihin, sopimuksiin, kontrolleihin ja omistajiin. Siinä pilvipalvelujen varmentamisesta tulee puolustettavaa.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
