NIS2 ja hallituksen vastuu: ISO 27001 -näyttö

Sähköposti saapui Marian Saapuneet-kansioon maanantaiaamuna klo 08.15. Nopeasti kasvavan eurooppalaisen pilvipalveluntarjoajan tietoturvajohtajana hän oli tottunut kiireellisiin viesteihin, mutta tämä tuntui erilaiselta.

Talousjohtaja oli välittänyt asiakkaan tietoturvakyselyn toimitusjohtajalle, hallituksen sihteerille ja Marialle. Aihe oli lyhyt: ”NIS2:n johdon osoitusvelvollisuutta koskeva näyttö vaaditaan ennen uusimista.”

Asiakas ei pyytänyt taas yhtä penetraatiotestausraporttia. Se halusi tietää, oliko hallitus hyväksynyt kyberturvallisuuden riskienhallintatoimenpiteet, miten toteutusta valvottiin, olivatko johtoelimen jäsenet saaneet kyberriskikoulutusta, miten merkittävät poikkeamat eskaloitiin ja miten toimittajariskejä katselmoitiin johdon tasolla. Toimitusjohtaja lisäsi yhden rivin: ”Maria, mikä on altistumamme ja miten osoitamme asianmukaisen huolellisuuden? Hallitus tarvitsee tämän ensi viikolla.”

Tässä kohdassa NIS2 muuttuu todelliseksi monille SaaS-, pilvi-, MSP-, MSSP-, datakeskus-, fintech- ja digitaalisen infrastruktuurin palveluntarjoajille. Direktiivi (EU) 2022/2555 ei käsittele kyberturvallisuutta teknisen osaston ongelmana. Se muuttaa kyberriskin johdon osoitusvelvollisuuteen kuuluvaksi kysymykseksi.

NIS2 Article 20 edellyttää, että keskeisten ja tärkeiden toimijoiden johtoelimet hyväksyvät kyberturvallisuuden riskienhallintatoimenpiteet, valvovat niiden toteutusta ja osallistuvat koulutukseen. Se antaa jäsenvaltioille myös mahdollisuuden säätää vastuusta rikkomusten osalta. Article 21 määrittää tämän jälkeen käytännön perustason: riskianalyysi, tietoturvapolitiikat, poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun turvallisuus, turvallinen hankinta ja kehittäminen, vaikuttavuuden arviointi, kyberhygienia, koulutus, kryptografia, henkilöstöturvallisuus, pääsynhallinta, omaisuudenhallinta ja todennus.

Organisaatioille, jotka jo käyttävät ISO/IEC 27001:2022 -standardia, rakenne on tuttu. Ero on kohderyhmässä ja näyttövaatimuksessa. Kysymys ei enää ole vain: ”Onko meillä tietoturvakontrollit?” Kysymys on: ”Voiko hallitus osoittaa hyväksyneensä, ymmärtäneensä, rahoittaneensa, katselmoineensa, haastaneensa ja parantaneensa näitä kontrolleja?”

Tässä ISO/IEC 27001:2022 muuttuu puolustettavaksi hallinnointijärjestelmäksi. Clarysecin lähestymistapa on käyttää ISO/IEC 27001:2022 -standardia näyttörunkona, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint -opasta toteutuspolkuna, Clarysec-politiikkoja hallitustasolle valmiina artefakteina ja Zenith Controls: The Cross-Compliance Guide Zenith Controls -opasta viitekehysten välisenä kartoitusohjeena NIS2:n, DORA:n, GDPR:n, NIST CSF 2.0:n, COBIT 2019:n ja auditointiodotusten osalta.

Miksi NIS2:n mukainen hallituksen vastuu muuttaa kyberturvallisuuskeskustelua

NIS2 ei edellytä, että hallituksen jäsenistä tulee palomuuriasiantuntijoita. Se edellyttää, että he johtavat ja valvovat. Tällä erolla on merkitystä.

Tietoturvajohtaja voi näyttää haavoittuvuusraportteja, MFA-kattavuutta, päätelaitesuojausmittareita ja pilviympäristön tietoturvan tilaa kuvaavia pisteytyksiä. Ne ovat hyödyllisiä operatiivisia signaaleja, mutta ne eivät automaattisesti osoita johdon valvontaa. Sääntelyviranomainen, yritysasiakas, sertifiointiauditoija tai finanssialan arvioija etsii hallinnointinäytön ketjua:

1. Organisaatio arvioi, sovelletaanko NIS2-vaatimuksia, ja dokumentoi perusteen.
2. Hallitus tai ylin johto hyväksyi kyberturvallisuuden riskienhallinnan viitekehyksen.
3. Riskinottohalukkuus ja riskinsietokynnykset määritettiin.
4. Korkeat kyberriskit eskaloitiin ja katselmoitiin.
5. Riskien käsittelyä koskevat päätökset hyväksyttiin, mukaan lukien hyväksytty jäännösriski.
6. Poikkeamien ilmoittamismenettelyt huomioivat soveltuvin osin 24 tunnin, 72 tunnin ja loppuraportin velvoitteet.
7. Toimittaja- ja pilviriippuvuudet on kartoitettu ja niiden hallinnointi on järjestetty.
8. Johdon katselmointi sisältää auditointihavainnot, poikkeamatrendit, mittarit ja parannustoimenpiteet.
9. Johto sai vastuutaan vastaavaa koulutusta.
10. Päätökset, poikkeukset ja eskaloinnit ovat jäljitettävissä.

Tässä monet vanhat tietoturvan pelikirjat epäonnistuvat. ”NIS2-yhteensopivaksi” markkinoidun työkalun ostaminen ei osoita hallituksen valvontaa. Politiikan allekirjoittaminen ja arkistoiminen ei osoita toteutusta. Kyberturvallisuuden delegointi kokonaan tietoturvajohtajalle ei täytä johtoelimen valvontavelvollisuutta.

ISO/IEC 27001:2022 ratkaisee tämän ongelman, koska se jäsentää tietoturvallisuuden strategiseksi, riskiperusteiseksi johtamisjärjestelmäksi, joka on integroitu organisaation prosesseihin. Sen kohdat, jotka käsittelevät toimintaympäristöä, sidosryhmiä, lakisääteisiä velvoitteita, soveltamisalaa, johtajuutta, riskien arviointia, riskien käsittelyä, operatiivista ohjausta, suorituskyvyn arviointia, sisäistä auditointia, johdon katselmointia ja jatkuvaa parantamista, luovat rakenteen, jota hallitus tarvitsee asianmukaisen huolellisuuden osoittamiseen.

Zenith Blueprint tekee tästä käytännöllistä ISMS Foundation & Leadership -vaiheessa, vaiheessa 3:

”Clause 5.1 käsittelee johtajuutta ja sitoutumista. ISO 27001 edellyttää, että ylin johto osoittaa johtajuutta hyväksymällä ISMS:n, tarjoamalla resurssit, edistämällä tietoisuutta, varmistamalla roolien määrittelyn, integroimalla ISMS:n liiketoimintaprosesseihin ja tukemalla jatkuvaa parantamista.”

Tämä on NIS2 Article 20:n taustalla oleva toimintamalli. Hallituksen ei tarvitse hyväksyä jokaista teknistä tikettiä, mutta sen on hyväksyttävä hallintomalli, ymmärrettävä olennaiset riskit, varmistettava resurssit ja valvottava toteutusta.

Hallituksen näyttöpaketti, jota NIS2 käytännössä edellyttää

Yleinen virhe on käsitellä NIS2-näyttöä oikeudellisena muistiona ja politiikkakansiona. Se riittää harvoin vakavasti otettavalle arvioijalle. Hallituksen osoitusvelvollisuus edellyttää näyttöä aktiivisesta hallinnoinnista, ei passiivista dokumentaatiota.

Vahvan NIS2-hallituksen näyttöpaketin tulee yhdistää lakisääteiset velvoitteet hallituksen päätöksiin, kontrolleihin ja katselmointisykleihin.

Tämän paketin vahvuus on jäljitettävyys. Jokainen näyttöaineisto vastaa hallinnointikysymykseen ja osoittaa ISO/IEC 27001:2022 -mekanismiin. Tämä antaa tietoturvajohtajalle, toimitusjohtajalle ja hallitukselle puolustettavan kertomuksen: kyberturvallisuus ei ole kokoelma työkaluja, vaan hallinnoitu järjestelmä.

Politiikkojen muuttaminen hallitustason osoitusvelvollisuudeksi

Avausskenaariossa Marian toimitusjohtaja saattaa haluta vastata asiakkaalle ISO-sertifikaatilla ja muutamalla politiikalla. Se ei riitä NIS2:n johdon osoitusvelvollisuuteen. Organisaatio tarvitsee näyttöä siitä, että vastuut on määritetty, päätökset kirjataan ja riskit eskaloidaan objektiivisesti.

Clarysec-politiikat on suunniteltu luomaan tämä jäljitettävyys.

Pienemmissä organisaatioissa Information Security Policy-sme Information Security Policy - SME, kohta 4.1.1, toteaa, että ylin johto:

”Säilyttää kokonaisvastuun tietoturvallisuudesta.”

Tällä lauseella on merkitystä. Se estää yleisen epätoivotun toimintamallin, jossa perustajat, toimitusjohtajat tai johtoryhmät delegoivat epämuodollisesti kaiken tietoturvavastuun IT:lle ilman merkityksellistä valvontaa.

Suuremmissa organisaatioissa Risk Management Policy Risk Management Policy, kohta 4.1.1, toteaa, että johto:

”Hyväksyy riskienhallinnan viitekehyksen ja määrittää hyväksyttävän riskinottohalukkuuden ja riskinsietokynnykset.”

Tämä on hallitukselle valmista näyttöä NIS2 Article 20:tä varten. Riskinottohalukkuutta koskeva lausuma, riskinsietokynnykset ja muodollinen riskivaltuusmalli osoittavat, miten hyväksyntä ja eskalointi toimivat käytännössä.

Saman politiikan kohta 5.6 lisää:

”Riskivaltuusmatriisin tulee määrittää selkeästi eskalointikynnykset ylimmälle johdolle tai hallitukselle.”

Tämä on yksi NIS2-hallinnoinnin tärkeimmistä artefakteista. Ilman eskalointikynnyksiä hallitus näkee vain sen, mitä joku päättää eskaloida. Kynnysten avulla korkea jäännösriski, ratkaisemattomat kriittiset haavoittuvuudet, merkittävä toimittajakeskittymä, vakavat poikkeamat, auditointihavainnot ja riskinsietokyvyn ylittävät poikkeukset siirtyvät automaattisesti ylimmän johdon valvontaan.

Governance Roles and Responsibilities Policy Governance Roles and Responsibilities Policy vahvistaa näyttöketjua:

”Hallinnoinnin tulee tukea integraatiota muihin toimintoihin (esim. riskienhallinta, lakiasiat, IT, HR), ja ISMS-päätösten tulee olla jäljitettävissä lähteeseensä (esim. auditointitallenteet, katselmointilokit, kokouspöytäkirjat).”

Pk-yrityksille Governance Roles and Responsibilities Policy-sme Governance Roles and Responsibilities Policy - SME toteaa:

”Kaikki merkittävät tietoturvapäätökset, poikkeukset ja eskaloinnit on kirjattava ja niiden on oltava jäljitettävissä.”

Nämä kohdat muuttavat hallituksen valvonnan keskustelusta auditointijäljeksi.

ISO/IEC 27001:2022 -näyttöketju NIS2 Article 20:tä varten

Hallitus voi viedä NIS2 Article 20:n käytäntöön selkeän ISO/IEC 27001:2022 -näyttöketjun avulla.

Ensiksi määritetään toimintaympäristö ja soveltamisala. ISO/IEC 27001:2022 edellyttää, että organisaatio määrittää sisäiset ja ulkoiset asiat, sidosryhmät, lakisääteiset, sääntelyperusteiset ja sopimusperusteiset vaatimukset, ISMS:n rajat, rajapinnat, riippuvuudet ja vuorovaikutuksessa olevat prosessit. SaaS- tai pilvipalveluntarjoajalla ISMS:n soveltamisalan tulisi nimenomaisesti tunnistaa EU-palvelut, pilviympäristöt, tukitoiminnot, kriittiset toimittajat, säännellyt asiakassegmentit ja NIS2-altistuma.

Toiseksi osoitetaan johtajuus. ISO/IEC 27001:2022 edellyttää, että ylin johto yhdenmukaistaa tietoturvatavoitteet strategisen suunnan kanssa, integroi ISMS-vaatimukset liiketoimintaprosesseihin, tarjoaa resurssit, viestii merkityksestä, määrittää vastuut ja edistää jatkuvaa parantamista. NIS2:n osalta tästä tulee näyttöä siitä, että johtoelin hyväksyi kyberturvallisuuden riskienhallintatoimenpiteet ja valvoi niitä.

Kolmanneksi toteutetaan toistettava riskien arviointi ja riskien käsittely. ISO/IEC 27001:2022 edellyttää riskikriteerejä, riskien tunnistamista, riskinomistajia, todennäköisyys- ja vaikutusanalyysiä, käsittelyvaihtoehtoja, kontrollien valintaa, liite A -vertailua, soveltuvuuslausuntoa, riskienkäsittelysuunnitelmaa ja jäännösriskin hyväksyntää.

Zenith Blueprint, Risk Management -vaihe, vaihe 13, tekee hyväksyntäkohdan selväksi:

”Johdon hyväksyntä: riskien käsittelyä koskevat päätökset ja SoA tulisi katselmoida ja hyväksyä ylimmän johdon toimesta. Johdolle tulisi esittää keskeiset riskit ja ehdotetut käsittelyt, hyväksyttäväksi ehdotetut riskit sekä toteutettavaksi suunnitellut kontrollit.”

NIS2:n osalta tämän tiedottamisen ei tulisi olla kertaluonteista. Hallituspaketin tulisi näyttää nykyiset merkittävimmät riskit, trendi, käsittelyn eteneminen, hyväksytty jäännösriski, myöhässä olevat toimenpiteet, kriittinen toimittaja-altistuma, poikkeamateemat ja keskeiset vaikuttavuusmittarit.

Neljänneksi toimitaan ja säilytetään näyttö. ISO/IEC 27001:2022 kohta 8.1 edellyttää operatiivista suunnittelua ja ohjausta. Liite A:n kontrollit tukevat toimittajaturvallisuutta, pilvipalvelujen hallinnointia, tietoturvapoikkeamiin reagointia, liiketoiminnan jatkuvuutta, haavoittuvuuksien hallintaa, varmuuskopioita, lokitusta, seurantaa, turvallista kehittämistä, sovellusturvallisuutta, arkkitehtuuria, testausta, ulkoistusta, tehtävien eriyttämistä ja muutoksenhallintaa.

Viidenneksi arvioidaan ja parannetaan. Sisäinen auditointi, mittaaminen, johdon katselmointi, korjaavat toimenpiteet ja jatkuva parantaminen muuttavat kontrollikatalogin hallinnoiduksi järjestelmäksi.

Yritystason Information Security Policy Information Security Policy sisällyttää tämän johdon katselmointia koskevan odotuksen:

”Johdon katselmustoiminnot (ISO/IEC 27001 Clause 9.3:n mukaisesti) on toteutettava vähintään vuosittain ja niiden on sisällettävä:”

Arvo ei ole vain siinä, että kokous pidetään. Arvo syntyy siitä, että katselmointi tuottaa näyttöä: syötteet, päätökset, toimenpiteet, omistajat, määräajat ja seuranta.

Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy - SME, kohta 5.4.3, sulkee silmukan:

”Auditointihavainnot ja tilapäivitykset on sisällytettävä ISMS:n johdon katselmointiprosessiin.”

Tämä on ero sen välillä, että ”meillä oli auditointi”, ja sen välillä, että ”johto katselmoi auditointitulokset ja ohjasi korjaavat toimenpiteet”.

Vaatimustenmukaisuuden ristikartoitus: NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT 2019

NIS2 ei yleensä tule yksin. Pilvipalveluntarjoaja voi käsitellä henkilötietoja GDPR:n mukaisesti. Fintech-asiakas voi asettaa DORA-lähtöisiä toimittajavaatimuksia. Yhdysvaltalainen yritysasiakas voi pyytää yhdenmukaisuutta NIST CSF 2.0:n kanssa. Hallituksen auditointikomitea voi käyttää COBIT 2019 -sanastoa.

Ratkaisu ei ole erillisten vaatimustenmukaisuuskansioiden rakentaminen. Ratkaisu on käyttää ISO/IEC 27001:2022 -standardia keskitettynä näyttöjärjestelmänä.

Zenith Controls auttaa tiimejä yhdistämään työtä kartoittamalla ISO/IEC 27002:2022 -standardin kontrollin 5.4, johdon vastuut, standardien, säädösten ja auditointimenetelmien yli.

Zenith Controls -oppaassa ISO/IEC 27002:2022 -kontrollin 5.4 ”Johdon vastuut” kirjaus luokittelee kontrollityypiksi ”ennaltaehkäisevä”, liittää sen luottamuksellisuuteen, eheyteen ja saatavuuteen sekä sijoittaa sen hallinnointiin painottuvaan operatiiviseen kyvykkyyteen.

Tällä on merkitystä, koska NIS2 Article 20 on ennaltaehkäisevää hallinnointia. Johdon hyväksyntä ja valvonta vähentävät todennäköisyyttä, että kyberriski jää näkymättömäksi, aliresursoiduksi tai hallitsemattomaksi.

Zenith Controls yhdistää johdon vastuut myös niihin liittyviin ISO/IEC 27002:2022 -kontrolleihin: 5.1 Tietoturvallisuutta koskevat politiikat, 5.2 Tietoturvaroolit ja -vastuut, 5.35 Tietoturvallisuuden riippumaton katselmointi, 5.36 Tietoturvallisuutta koskevien politiikkojen, sääntöjen ja standardien noudattaminen sekä 5.8 Tietoturva projektinhallinnassa. Hallituksen osoitusvelvollisuus ei voi seistä yksin. Se tarvitsee politiikat, roolit, varmennuksen, vaatimustenmukaisuuden seurannan ja projektitason integraation.

Laajempi ristikartoitus on erityisen hyödyllinen johdon raportoinnissa.

DORA ansaitsee erityishuomion. NIS2 Article 4 tunnistaa, että sektorikohtaiset EU:n säädökset voivat syrjäyttää päällekkäiset NIS2-säännökset, jos niissä sovelletaan vastaavia kyberturvallisuuden riskienhallinta- tai poikkeamailmoitustoimenpiteitä. DORA on keskeinen esimerkki finanssialan toimijoille. Sitä sovelletaan 17. tammikuuta 2025 alkaen, ja se luo finanssipalveluille yhtenäisen ICT-riskienhallinnan, poikkeamaraportoinnin, häiriönsietokyvyn testauksen, kolmansien osapuolten riskienhallinnan ja valvonnan viitekehyksen.

SaaS- tai pilvipalveluntarjoaja ei välttämättä ole suoraan pankin tavoin säännelty, mutta DORA voi silti tulla vastaan asiakassopimusten kautta. Finanssialan toimijoiden on hallittava ICT-toimittajariskiä, ylläpidettävä rekistereitä ICT-palvelusopimuksista, tehtävä huolellisuusarviointeja, arvioitava keskittymäriskiä, sisällytettävä auditointi- ja tarkastusoikeudet, määritettävä irtisanomisoikeudet ja ylläpidettävä exit-strategioita. Tämä tarkoittaa, että finanssiasiakkaita palvelevien palveluntarjoajien on syytä odottaa näyttöpyyntöjä, jotka muistuttavat hyvin paljon NIS2:n hallitushallinnointia koskevia kysymyksiä.

GDPR lisää osoitusvelvollisuuden henkilötietojen osalta. Article 5(2) edellyttää, että rekisterinpitäjät ovat vastuussa vaatimusten noudattamisesta ja pystyvät osoittamaan sen. Article 32 edellyttää käsittelyn turvallisuutta, mukaan lukien teknisten ja organisatoristen toimenpiteiden vaikuttavuuden säännöllinen testaaminen, arviointi ja katselmointi. Kun henkilötiedot ovat vaikutuksen kohteena, poikkeamien työnkulkujen on integroitava GDPR:n mukainen loukkauksen arviointi NIS2:n merkittävän poikkeaman eskalointiin.

NIST CSF 2.0 lisää johdolle soveltuvan kielen GOVERN-toiminnon kautta. Se korostaa organisaation toimintaympäristöä, riskienhallintastrategiaa, rooleja ja vastuita, politiikkaa, valvontaa ja toimitusketjuriskien hallintaa. COBIT 2019 lisää hallitusten auditointikomiteoille tutun hallinnointisanaston erityisesti EDM03:n riskien optimoinnin ja MEA-tavoitteiden seurannan ja varmennuksen kautta.

90 päivän NIS2-hallituksen näyttösprintti

Käytännöllinen näyttösprintti voi auttaa organisaatioita etenemään nopeasti ilman rinnakkaisen byrokratian luomista.

Päivät 1–30: Määritä osoitusvelvollisuus

Aloita NIS2-osoitusvelvollisuusrekisterillä, johon kirjataan:

• Toimijan luokitteluanalyysi, mukaan lukien keskeinen toimija, tärkeä toimija, epäsuora altistuma tai soveltamisalan ulkopuolelle jäämisen perustelu.
• Soveltamisalaan kuuluvat palvelut, kuten SaaS, pilvipalvelut, hallitut palvelut, datakeskus, DNS, luottamuspalvelut tai viestintään liittyvät palvelut.
• EU:n jäsenvaltiot, joissa palveluja tarjotaan.
• Vaikutuksen kohteena olevat asiakassektorit, erityisesti finanssipalvelut, terveydenhuolto, liikenne, energia, julkishallinto ja digitaalinen infrastruktuuri.
• Sovellettavat velvoitteet, mukaan lukien NIS2 Article 20, Article 21 ja Article 23.
• Liittyvät velvoitteet DORA:sta, GDPR:stä, asiakassopimuksista ja kybervakuutuksesta.
• Johdon omistaja ja hallitukselle raportoinnin tiheys.

Liitä tämä ISO/IEC 27001:2022 -standardin toimintaympäristöön, sidosryhmiin, velvoitteiden rekisteriin ja ISMS:n soveltamisalaan. Päivitä sen jälkeen riskivaltuusmatriisi hyödyntämällä Risk Management Policy -vaatimusta, jonka mukaan eskalointikynnykset on määritettävä ylimmälle johdolle tai hallitukselle.

Hyödyllisiä eskalointiherätteitä ovat riskinottohalukkuuden ylittävä jäännösriski, palvelutasosopimuksen ylittäneet hyväksymättömät kriittiset haavoittuvuudet, toimittajakeskittymäriski, ratkaisemattomat korkean tason auditointihavainnot, NIS2-raportoinnin mahdollisesti laukaisevat poikkeamat, poikkeukset MFA-, varmuuskopiointi-, lokitus-, salaus- tai tietoturvapoikkeamiin reagointivaatimuksiin sekä olennaiset pilviarkkitehtuurin muutokset.

Päivät 31–60: Hyväksy riskien käsittely

Käytä Zenith Blueprint -oppaan vaihetta 13 valmistellaksesi hallituksen päätöspaketin riskienkäsittelysuunnitelmalle ja soveltuvuuslausunnolle. Paketin tulisi sisältää:

• 10 merkittävintä kyberriskiä.
• Ehdotettu käsittelyvaihtoehto kullekin riskille.
• Valitut kontrolliryhmät.
• Jäännösriski käsittelyn jälkeen.
• Hyväksyttäväksi ehdotetut riskit.
• Tarvittavat budjetti- tai resurssipäätökset.
• Riippuvuudet toimittajista, lakiasioista, HR:stä, tuotteesta ja IT:stä.
• Pyydetty johdon päätös.

Tuotoksena tulisi olla allekirjoitettu tai pöytäkirjattu hyväksyntä. Pelkkä diasarja ei riitä.

Kartoita myös NIS2 Article 21 -toimenpiteet ISO/IEC 27001:2022 -kohtiin ja liite A:n kontrolleihin. Näin organisaatio voi osoittaa, että NIS2-vaatimuksia käsitellään ISMS:n kautta eikä irrallisella tarkistuslistalla.

Päivät 61–90: Testaa poikkeamaraportointi ja katselmoi näyttö

NIS2 Article 23 edellyttää merkittävien poikkeamien vaiheittaista raportointia: ennakkovaroitus 24 tunnin kuluessa, poikkeamailmoitus 72 tunnin kuluessa, välipäivitykset vaadittaessa tai pyydettäessä sekä loppuraportti viimeistään kuukauden kuluttua ilmoituksesta.

Järjestä pöytäharjoitus hallituksen sponsorin, toimitusjohtajan, tietoturvajohtajan, lakiasioiden, viestinnän, asiakasmenestyksen ja operaatioiden kanssa. Käytä realistista skenaariota, kuten pilven virheellistä konfiguraatiota, joka altistaa asiakkaan metatietoja, häiritsee palvelun saatavuutta ja vaikuttaa säänneltyyn asiakkaaseen.

Testaa, kuka päättää, voiko poikkeama olla merkittävä, kuka ottaa yhteyttä oikeudelliseen neuvonantajaan, kuka ilmoittaa toimivaltaisille viranomaisille tai CSIRT:lle tarvittaessa, kuka hyväksyy asiakasviestinnän, miten näyttö säilytetään, miten GDPR-loukkausvelvoitteet arvioidaan rinnakkain ja miten hallitusta päivitetään ensimmäisten 24 tunnin aikana.

Pidä sen jälkeen muodollinen johdon katselmointi. Zenith Blueprint, Audit, Review & Improvement -vaihe, vaihe 28, selittää miksi:

”Johdon katselmointi ei ole vain esitys; kyse on päätösten tekemisestä.”

Tämän katselmoinnin tulisi sisältää auditointihavainnot, riskien käsittelyn eteneminen, valmius poikkeamatilanteisiin, toimittajariskit, mittarit, päätökset, määritetyt toimenpiteet ja seurantavastuulliset.

Johdon katselmointikokous, joka todella toimii

Monet johdon katselmoinnit epäonnistuvat, koska ne rakennetaan tilannepäivityksiksi. NIS2-valmiin johdon katselmoinnin tulisi olla päätöskokous.

Asialistan tulisi sisältää:

1. Muutokset NIS2-, DORA-, GDPR-, sopimus- ja asiakasvaatimuksissa.
2. Muutokset liiketoimintaympäristössä, palveluissa, yritysostoissa, toimittajissa, pilviarkkitehtuurissa ja säännellyissä asiakassegmenteissä.
3. Tärkeimpien tietoturvariskien tila ja jäännösriski suhteessa riskinottohalukkuuteen.
4. Riskienkäsittelysuunnitelman eteneminen ja myöhässä olevat toimenpiteet.
5. Poikkeamatrendit, merkittävät tapahtumat, läheltä piti -tilanteet ja raportointivalmius.
6. Toimittaja- ja ICT-riippuvuusriskit, mukaan lukien keskittymä- ja exit-huolet.
7. Sisäisten tarkastusten, ulkoisten auditointien, asiakasarviointien ja penetraatiotestien tulokset.
8. Tietoturvatietoisuuden ja johdon koulutusten suorittaminen.
9. Mittarit pääsynhallinnasta, haavoittuvuuksien hallinnasta, varmuuskopioista, lokituksesta, seurannasta, turvallisesta kehittämisestä ja jatkuvuustesteistä.
10. Vaadittavat päätökset, mukaan lukien riskin hyväksyminen, budjetti, henkilöstöresursointi, politiikkapoikkeukset, toimittajien korjaavat toimenpiteet ja kontrolliparannukset.

Johdon koulutus on erityisen tärkeää. NIS2 Article 20 edellyttää, että johtoelimen jäsenet osallistuvat koulutukseen. Information Security Awareness and Training Policy Information Security Awareness and Training Policy, kohta 5.1.2.4, sisältää nimenomaisesti johdon koulutusteemat:

”Ylin johto (esim. hallinnointi, riskin hyväksyminen, lakisääteiset velvoitteet)”

Johdon kyberkoulutuksen tulisi keskittyä päätöksenteko-oikeuksiin, vastuuseen, eskalointiin, riskinottohalukkuuteen, kriisinhallintaan, poikkeamien ilmoittamiseen ja sääntelyvelvoitteisiin. Sen ei tulisi rajoittua tietojenkalastelutietoisuuteen.

Miten auditoijat ja asiakkaat testaavat hallituksen valvontaa

Eri arvioijat käyttävät eri kieltä, mutta he testaavat samaa peruskysymystä: onko kyberturvallisuus hallinnoitu?

Zenith Controls on arvokas, koska se sisältää auditointimenetelmien kartoituksia. Johdon vastuiden osalta se viittaa ISO/IEC 19011:2018 -auditointiperiaatteisiin ja toteutukseen, ISO/IEC 27007:2020 -ISMS-auditointikäytäntöihin, ISO/IEC 27001:2022 -standardin kohtaan 5.1, COBIT 2019 EDM01:een ja EDM03:een, ISACA ITAF Section 1401:een sekä NIST SP 800-53A PM-1:een ja PM-2:een. Riippumattoman katselmoinnin osalta se kartoittaa ISO/IEC 27001:2022 -standardin kohdat 9.2 ja 9.3, ISO/IEC 27007:n auditointisuunnittelun ja näyttökäytännöt, ISACA ITAF Section 2400:n sekä NIST-arviointimenetelmät. Politiikkojen noudattamisen osalta se kartoittaa ISO/IEC 27001:2022 -standardin kohdat 9.1, 9.2 ja 10.1, ISO/IEC 19011 -standardin näyttöjen keräämisen, COBIT 2019 MEA01:n sekä NIST:n jatkuvan seurannan arvioinnin.

Opetus on yksinkertainen. Hallituksen osoitusvelvollisuutta ei osoiteta pelkällä läsnäololla. Se osoitetaan tietoon perustuvilla päätöksillä, dokumentoiduilla hyväksynnöillä, riskiperusteisella priorisoinnilla, resurssien kohdentamisella ja seurannalla.

Yleiset sudenkuopat, jotka katkaisevat näyttöketjun

Organisaatiot, joilla on vaikeuksia NIS2:n johdon osoitusvelvollisuuden kanssa, ajautuvat yleensä ennakoitaviin toimintamalleihin.

Ensinnäkin ne sekoittavat teknisten kontrollien käytön hallinnointiin. MFA-kattavuus, SIEM-hälytykset, EDR-käyttöönotto ja varmuuskopioinnin onnistumisasteet ovat tärkeitä, mutta hallitus tarvitsee riskikontekstin, käsittelypäätökset ja varmennuksen siitä, että kontrollit toimivat.

Toiseksi ne hyväksyvät politiikat, mutta eivät riskien käsittelyä. Allekirjoitettu tietoturvapolitiikka ei osoita, että hallitus hyväksyi suhteelliset kyberturvallisuustoimenpiteet. Riskienkäsittelysuunnitelma ja SoA ovat vahvempaa näyttöä, koska ne yhdistävät riskit, kontrollit, jäännösriskin ja johdon hyväksynnän.

Kolmanneksi niiltä puuttuvat eskalointikynnykset. Ilman riskivaltuusmatriisia eskalointi riippuu henkilöistä. NIS2-hallinnointi tarvitsee objektiiviset herätteet.

Neljänneksi ne erottavat tietoturvapoikkeamiin reagoinnin sääntelyraportoinnista. NIS2-, DORA- ja GDPR-raportointityönkulut on integroitava ennen kriisiä.

Viidenneksi ne sivuuttavat toimittajahallinnoinnin. NIS2 Article 21 sisältää toimitusketjun turvallisuuden ja toimittajien haavoittuvuuksiin liittyvät näkökohdat. DORA-lähtöiset asiakkaat voivat odottaa syvällisempää ICT-kolmansien osapuolten hallinnointia, mukaan lukien huolellisuusarviointi, auditointioikeudet, keskittymäriski, irtisanomisoikeudet ja exit-strategiat.

Kuudenneksi ne eivät kouluta johtoa. Johdon kyberkoulutus ei ole NIS2:n mukaan vapaaehtoista näyteikkunarekvisiittaa. Se on osa hallinnoinnin näyttöketjua.

Miltä hyvä näyttää

90 päivän jälkeen uskottavan NIS2-hallituksen näyttökansion tulisi sisältää:

• Soveltuvuuden arviointi.
• ISMS:n soveltamisala ja velvoitteiden rekisteri.
• Johdon sitoutumislausuma.
• Riskinottohalukkuus ja riskinsietokynnykset.
• Riskivaltuusmatriisi.
• Kyberriskirekisteri.
• Riskienkäsittelysuunnitelma.
• Soveltuvuuslausunto.
• Hallituksen hyväksyntäpöytäkirjat.
• Johdon koulutussuoritukset.
• Poikkeamien pöytäharjoitusraportti.
• Toimittajariskimittaristo.
• Sisäisen auditoinnin raportti.
• Johdon katselmoinnin pöytäkirjat ja toimenpiteiden seurantataulukko.

Tämä kansio vastaa asiakkaan kyselyyn, jonka Maria sai maanantaiaamuna. Vielä tärkeämpää on, että se auttaa hallitusta hallinnoimaan kyberriskiä ennen kuin poikkeama, auditointi tai sääntelyviranomainen testaa organisaatiota julkisesti.

Muuta NIS2:n hallitusvastuu auditointivalmiudeksi

NIS2 on muuttanut kyberturvallisuuskeskustelua. Johtoelinten on hyväksyttävä kyberturvallisuuden riskienhallintatoimenpiteet, valvottava toteutusta ja osallistuttava koulutukseen. Article 21 edellyttää integroitua teknisten, operatiivisten ja organisatoristen toimenpiteiden kokonaisuutta. Article 23 tiivistää poikkeamaraportoinnin vaiheistettuun aikatauluun, joka vaatii valmistautumista ennen kriisiä.

ISO/IEC 27001:2022 antaa johtamisjärjestelmän. Clarysec antaa toteutuspolun, politiikkakielen, vaatimustenmukaisuuden ristikartoitukset ja auditointinäyttömallin.

Jos hallituksesi kysyy: ”Mitä meidän on hyväksyttävä ja miten osoitamme valvonnan?”, aloita kolmella toimenpiteellä:

1. Käytä Zenith Blueprint -oppaan vaiheita 3, 13 ja 28 johtajuuden sitoutumisen, riskien käsittelyn hyväksynnän ja johdon katselmoinnin jäsentämiseen.
2. Käytä Clarysec-politiikkoja, kuten Risk Management Policy, Governance Roles and Responsibilities Policy, Information Security Policy sekä pk-yrityksille tarkoitettuja vastineita, osoitusvelvollisuuden ja jäljitettävyyden virallistamiseen.
3. Käytä Zenith Controls -opasta NIS2:n hallitusvalvonnan kartoittamiseen ISO/IEC 27001:2022 -standardiin, ISO/IEC 27002:2022 -standardiin, DORA:an, GDPR:ään, NIST CSF 2.0:aan, COBIT 2019:ään ja auditointimenetelmien odotuksiin.

Clarysec voi auttaa rakentamaan hallituspaketin, päivittämään ISMS-näyttöketjun, valmistelemaan johdon katselmoinnin ja muuttamaan NIS2:n osoitusvelvollisuuden toistettavaksi kyberriskien hallinnointiprosessiksi, jonka auditoijat, asiakkaat ja johto ymmärtävät. Lataa tarvittavat Clarysec-työkalupakit tai pyydä arviointi, jotta hallitusvastuu muuttuu auditointivalmiiksi näytöksi.