NIS2-rekisteröinnin todentava aineisto ISO 27001:2022:ssa

Sähköposti saapui Annan postilaatikkoon hiljaisella tömähdyksellä, joka tuntui enemmän hälytykseltä kuin tavalliselta viestiltä. CloudFlow’n tietoturvajohtajana hän oli tottunut tietoturvakyselyihin, hankinta-auditointeihin ja ISO 27001 -seuranta-auditointeihin. CloudFlow oli nopeasti kasvava B2B SaaS -palveluntarjoaja, jonka asiakkaat toimivat eri puolilla EU:ta. Tämä viesti oli kuitenkin erilainen.

Otsikkorivillä luki: “Information Request Regarding National Implementation of Directive (EU) 2022/2555 (NIS2).” Kansallinen kyberturvallisuusviranomainen pyysi CloudFlow’ta vahvistamaan luokittelunsa, valmistelemaan toimijan rekisteröintitiedot, tunnistamaan soveltamisalaan kuuluvat palvelut ja varautumaan osoittamaan kyberturvallisuusriskien hallintatoimenpiteet.

Annalla oli seinällä kehystetty ISO 27001:2022 -sertifikaatti. Myynti hyödynsi sitä yritysasiakkuuksissa. Hallitus oli hyväksynyt tietoturvapolitiikan. Sisäinen tarkastus oli hiljattain sulkenut kaksi havaintoa. Hänen edessään oleva kysymys oli kuitenkin terävämpi kuin sertifiointitilanne.

Pystyisikö CloudFlow osoittamaan nopeasti ja puolustettavasti, että sen ISO 27001:2022 -pohjainen tietoturvallisuuden hallintajärjestelmä (ISMS) kattaa NIS2-velvoitteet?

Tässä kohtaa moni organisaatio tekee väärän liikkeen. NIS2-toimijarekisteröintiä käsitellään hallinnollisena ilmoituksena, kuten yritysrekisterin tai veroportaalin päivittämistä. Sitä se ei ole. Rekisteröinti avaa oven viranomaisvalvonnan näkyvyydelle. Sen jälkeen toimivaltainen viranomainen voi pyytää soveltamisalan perusteluja, hallituksen hyväksyntätallenteita, poikkeamien ilmoittamismenettelyjä, toimittajariskinäyttöä, yhteyspisteitä, hallintakeinojen tehokkuusmittareita ja näyttöä siitä, että organisaatio tietää, mitkä palvelut ovat kriittisiä.

SaaS-, pilvi-, hallittujen palvelujen, hallittujen tietoturvapalvelujen, datakeskusten, digitaalisen infrastruktuurin ja tiettyjen rahoitussektorin palveluntarjoajien todellinen kysymys ei enää ole “Onko meillä tietoturvapolitiikka?” vaan “Pystymmekö osoittamaan näyttöketjun oikeudellisesta velvoitteesta ISMS:n soveltamisalaan, riskien käsittelyyn, hallintakeinojen toimintaan ja johdon valvontaan?”

Vahvin NIS2:n soveltamiseen valmistava ohjelma ei ole rinnakkainen taulukkolaskenta. Se on ISO 27001:2022:n sisään rakennettu jäljitettävä todentavan aineiston malli.

NIS2-rekisteröinti on pohjimmiltaan todentavan aineiston ongelma

NIS2 koskee laajasti julkisia ja yksityisiä toimijoita liitteessä I ja liitteessä II luetelluilla sektoreilla, kun ne täyttävät tai ylittävät sovellettavan keskisuuren yrityksen kynnysarvon. Se kattaa myös tietyt toimijat koosta riippumatta, mukaan lukien yleisten sähköisten viestintäverkkojen tai -palvelujen tarjoajat, luottamuspalvelujen tarjoajat, TLD-rekisterit, DNS-palveluntarjoajat, välttämättömien palvelujen ainoat tarjoajat sekä toimijat, joiden häiriö voisi vaikuttaa yleiseen turvallisuuteen, kansanterveyteen, järjestelmäriskiin tai kansalliseen tai alueelliseen kriittisyyteen.

Teknologiayrityksille digitaaliset kategoriat ovat erityisen tärkeitä. Liite I sisältää digitaalisen infrastruktuurin, kuten pilvipalveluntarjoajat, datakeskuspalvelujen tarjoajat, sisällönjakeluverkkojen tarjoajat, luottamuspalvelujen tarjoajat, DNS-palveluntarjoajat sekä yleisten sähköisten viestintäverkkojen tai -palvelujen tarjoajat. Liite I sisältää myös yritysten välisen ICT-palvelunhallinnan, mukaan lukien hallinnoidut palveluntarjoajat (MSP) ja hallinnoidut tietoturvapalveluntarjoajat (MSSP). Liite II sisältää digitaaliset palveluntarjoajat, kuten verkkomarkkinapaikat, verkkohakukoneet ja sosiaalisen verkostoitumisen palvelualustat.

Tämä tarkoittaa, että organisaatio voi päätyä NIS2:n soveltamisalaan pitämättä itseään “kriittisenä infrastruktuurina”. B2B SaaS -yritys, jolla on hallitun tietoturvan toiminnallisuuksia, säänneltyjä asiakkaita palveleva pilvialusta tai fintech-toimialaa lähellä oleva palveluntarjoaja voi yhtäkkiä tarvita rekisteröintiaineiston, toimivaltaisen viranomaisen yhteydenpitomallin ja puolustettavan kuvauksen hallintakeinoista.

NIS2 erottaa toisistaan myös keskeiset ja tärkeät toimijat. Keskeisiin toimijoihin kohdistuu yleensä ennakoivampi valvontamalli, kun taas tärkeitä toimijoita valvotaan tavallisesti vaatimustenvastaisuutta tai poikkeamia koskevan näytön perusteella. Erottelulla on merkitystä, mutta se ei poista valmistautumisen tarvetta. Molemmat kategoriat tarvitsevat hallinnointia, riskienhallintaa, poikkeamien ilmoittamista, toimittajaturvallisuutta ja todentavaa aineistoa.

Rahoitusalan toimijoiden on huomioitava myös DORA. NIS2 Article 4 tunnistaa, että jos sektorikohtainen unionin säädös asettaa vähintään vastaavat kyberturvallisuusriskien hallintaa ja poikkeamien ilmoittamista koskevat velvoitteet, kyseisiä sektorikohtaisia sääntöjä sovelletaan vastaaviin osa-alueisiin. DORA:a sovelletaan 17. tammikuuta 2025 alkaen, ja se määrittää ICT-riskien hallinnan, merkittävien ICT:hen liittyvien poikkeamien ilmoittamisen, digitaalisen operatiivisen häiriönsietokyvyn testauksen, tietojen jakamisen, ICT:n kolmannen osapuolen riskienhallinnan, sopimusperusteiset hallintakeinot sekä kriittisten ICT-kolmannen osapuolen palveluntarjoajien valvonnan. DORA:n piiriin kuuluville rahoitusalan toimijoille DORA on ensisijainen kyberhäiriönsietokyvyn viitekehys päällekkäisille vaatimuksille, mutta NIS2-rajapinnoilla ja kansallisten viranomaisten koordinoinnilla voi edelleen olla merkitystä.

Opetus on yksinkertainen. Älä odota portaalikenttää tai viranomaisen sähköpostia ennen todentavan aineiston rakentamista. Jokainen rekisteröintivastaus sisältää tulevan auditointikysymyksen.

Aloita ISMS:n soveltamisalasta, älä portaalilomakkeesta

ISO 27001:2022 on hyödyllinen, koska se pakottaa organisaation määrittämään toimintaympäristön, sidosryhmät, sääntelyvelvoitteet, soveltamisalan, riskit, riskienkäsittelysuunnitelmat, hallintakeinojen toiminnan, seurannan, sisäisen tarkastuksen, johdon katselmoinnin ja parantamisen.

Kohdat 4.1–4.4 edellyttävät, että organisaatio määrittää sisäiset ja ulkoiset seikat, tunnistaa sidosryhmät ja niiden vaatimukset, päättää mitkä vaatimukset käsitellään ISMS:n kautta, määrittää ISMS:n soveltamisalan huomioimalla rajapinnat ja riippuvuudet, dokumentoi soveltamisalan ja käyttää ISMS-prosesseja.

NIS2:n osalta soveltamisalan tulee vastata käytännön kysymyksiin:

• Mitkä EU:ssa tarjottavat palvelut, oikeushenkilöt, tytäryhtiöt, alustat, infrastruktuurikomponentit ja liiketoimintayksiköt ovat merkityksellisiä?
• Mikä liitteen I tai liitteen II kategoria voi soveltua?
• Onko organisaatio keskeinen, tärkeä, DORA:n piirissä, soveltamisalan ulkopuolella vai odottaako se kansallista luokittelua?
• Mitkä palvelut ovat kriittisiä asiakkaille, yleiselle turvallisuudelle, rahoitusvakaudelle, terveydenhuollolle, digitaaliselle infrastruktuurille tai muille säännellyille sektoreille?
• Mitkä pilvipalveluntarjoajat, MSP:t, MSSP:t, datakeskukset, alihankkijat ja muut toimittajat tukevat näitä palveluja?
• Mitkä jäsenvaltiot, toimivaltaiset viranomaiset, CSIRT-yksiköt, tietosuojaviranomaiset ja rahoitusvalvojat voivat olla merkityksellisiä?

Clarysecin Zenith Blueprint: auditoijan 30 vaiheen tiekartta Zenith Blueprint sijoittaa tämän työn varhaiseen vaiheeseen, vaiheeseen 2, jossa käsitellään sidosryhmien tarpeita ja ISMS:n soveltamisalaa. Se ohjaa organisaatioita tunnistamaan sääntelyviranomaiset ja muut viranomaiset, katselmoimaan lakisääteiset ja sääntelyyn perustuvat vaatimukset, katselmoimaan sopimukset ja järjestelyt, toteuttamaan sidosryhmähaastattelut ja huomioimaan odotetut alan standardit.

Toimenpide 4.2: Laadi luettelo kaikista merkittävistä sidosryhmistä ja kirjaa niiden tietoturvaan liittyvät vaatimukset. Ole perusteellinen – ajattele jokaista, joka voisi valittaa tai kärsiä seurauksia, jos tietoturvanne epäonnistuisi tai jos teiltä puuttuisi tietty hallintakeino. Tämä luettelo ohjaa sitä, mitä teidän tulee noudattaa tai täyttää ISMS:n kautta, ja se syöttää tietoa riskien arviointiin ja hallintakeinojen valintaan.

Tämä on oikea lähtökohta NIS2-rekisteröinnille. Laadi ennen ilmoittamista lyhyt NIS2-soveltamisalamuistio, joka yhdistää liiketoimintamallin liitteen I tai liitteen II kategorioihin, dokumentoi kokoa ja palveluja koskevat oletukset, kirjaa kansallisen lainsäädännön tulkinnan, tunnistaa toimivaltaiset viranomaiset ja toteaa, sovelletaanko myös DORA:a, GDPR:ää, asiakassopimuksia tai sektorikohtaisia sääntöjä.

Clarysecin pk-yrityksille tarkoitettu laki- ja sääntelyvaatimusten noudattamisen politiikka Laki- ja sääntelyvaatimusten noudattamisen politiikka - pk-yritys määrittää tarkoituksen selkeästi:

“Tämä politiikka määrittää organisaation lähestymistavan lakisääteisten, sääntelyyn perustuvien ja sopimusperusteisten velvoitteiden tunnistamiseen, täyttämiseen ja vaatimustenmukaisuuden osoittamiseen.”

Laajemmille ohjelmille Clarysecin laki- ja sääntelyvaatimusten noudattamisen politiikka Laki- ja sääntelyvaatimusten noudattamisen politiikka on vielä täsmällisempi:

“Kaikki lakisääteiset ja sääntelyyn perustuvat velvoitteet on kartoitettava tietoturvallisuuden hallintajärjestelmässä (ISMS) tiettyihin politiikkoihin, hallintakeinoihin ja omistajiin.”

Tämä lause on soveltamisvalmiuden perusta. Jos sääntelyviranomainen kysyy, miten NIS2-velvoitteet tunnistettiin, vastauksen ei tulisi olla “lakiosasto neuvoi meitä”. Vastauksen tulee olla dokumentoitu rekisteri, joka on yhdistetty soveltamisalaan, riskeihin, hallintakeinojen omistajiin, menettelyihin, säilytettyyn todentavaan aineistoon ja johdon katselmointiin.

Rakenna NIS2:n todentavan aineiston ketju ISO 27001:2022:n sisälle

NIS2 Article 21 edellyttää, että keskeiset ja tärkeät toimijat toteuttavat asianmukaiset ja oikeasuhtaiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä verkko- ja tietojärjestelmille, joita käytetään toiminnassa tai palvelujen tuottamisessa. Toimenpiteissä on otettava huomioon tekniikan taso, soveltuvat eurooppalaiset ja kansainväliset standardit, kustannukset, riskialtistus, koko, poikkeamien todennäköisyys ja vakavuus sekä yhteiskunnalliset ja taloudelliset vaikutukset.

Article 21(2) luettelee vähimmäisalueet, mukaan lukien riskianalyysi ja tietojärjestelmien turvallisuuspolitiikat, poikkeamien käsittely, liiketoiminnan jatkuvuus, varmuuskopiot, katastrofipalautus, kriisinhallinta, toimitusketjun turvallisuus, turvallinen hankinta ja kehittäminen, haavoittuvuuksien käsittely, vaikuttavuuden arviointi, kyberhygienia, koulutus, kryptografia, henkilöstöturvallisuus, pääsynhallinta, omaisuudenhallinta, monivaiheinen tai jatkuva todennus sekä tarvittaessa turvallinen viestintä.

ISO 27001:2022 sopii tähän rakenteeseen luontevasti. Kohdat 6.1.1–6.1.3 edellyttävät riskien arviointia ja riskien käsittelyä, mukaan lukien riskin hyväksymiskriteerit, riskinomistajat, todennäköisyyden ja seurausten analysointi, riskienkäsittelysuunnitelma, vertailu liite A:n hallintakeinoihin sekä soveltuvuuslausunto. Kohta 8 edellyttää operatiivista suunnittelua ja ohjausta, näyttöä siitä, että prosessit toimivat suunnitellusti, muutosten hallintaa, ulkoisesti tuotettujen prosessien ohjausta, toistuvia riskien arviointeja ja dokumentoituja käsittelytuloksia. Kohta 9.1 edellyttää seurantaa, mittaamista, analysointia ja arviointia. Kohta 9.2 edellyttää sisäistä tarkastusta. Kohta 10.2 edellyttää toimenpiteitä poikkeamien ja korjaavien toimenpiteiden käsittelyyn.

Clarysecin riskienhallintapolitiikka Riskienhallintapolitiikka - pk-yritys muuntaa tämän toimintasäännöksi:

“Kaikki tunnistetut riskit on kirjattava riskirekisteriin.”

Yritystason riskienhallintapolitiikka Riskienhallintapolitiikka yhdistää riskien käsittelyn ISO 27001:2022:n hallintakeinojen valintaan:

“Riskienkäsittelyprosessista seuraavat hallintakeinopäätökset tulee kuvata soveltuvuuslausunnossa (SoA).”

Tällä on merkitystä, koska NIS2:n todentavan aineiston tulee olla jäljitettävissä. Jos viranomainen kysyy, miksi hallintakeino on käytössä, osoita velvoite, riski, käsittelypäätös, hallintakeinon omistaja, SoA-merkintä, menettely ja näyttö. Jos viranomainen kysyy, miksi hallintakeinoa ei valittu, osoita SoA-perustelu, hyväksytty riskin hyväksyminen ja johdon katselmointi.

Paras todentavan aineiston ketju on hyvällä tavalla tylsä. Jokaisella velvoitteella on omistaja. Jokaisella omistajalla on hallintakeino. Jokaisella hallintakeinolla on näyttö. Jokaisella poikkeuksella on hyväksyntä. Jokaisella auditointihavainnolla on korjaava toimenpide.

Muunna Article 20:n hallinnointi hallitustason näytöksi

NIS2 Article 20 tuo kyberturvallisuuden hallituksen pöydälle. Johtoelinten on hyväksyttävä Article 21:n mukaiset kyberturvallisuusriskien hallintatoimenpiteet, valvottava niiden toteutusta, ja ne voidaan saattaa vastuuseen rikkomuksista. Johtoelinten jäsenten on osallistuttava koulutukseen, ja toimijoita kannustetaan tarjoamaan työntekijöille säännöllistä kyberturvallisuuskoulutusta.

Hallitus ei voi vain delegoida NIS2:ta IT:lle. Todentavan aineiston tulee osoittaa, että johto ymmärsi NIS2-soveltamisalan analyysin, hyväksyi riskienhallintatavan, katselmoi olennaiset riskit, osoitti resurssit, seurasi toteutusta, katselmoi poikkeamat ja harjoitukset sekä sai koulutusta.

ISO 27001:2022:n kohdat 5.1–5.3 tukevat tätä hallinnointimallia edellyttämällä ylimmän johdon sitoutumista, tietoturvatavoitteiden yhteensovittamista liiketoimintastrategian kanssa, ISMS-vaatimusten integrointia liiketoimintaprosesseihin, resursseja, viestintää, osoitusvelvollisuutta sekä ISMS:n suorituskyvystä raportointia ylimmälle johdolle.

Clarysecin Hallinnointirooleja ja vastuita koskeva politiikka Hallinnointirooleja ja vastuita koskeva politiikka määrittää tietoturvayhteyshenkilön roolin henkilönä, joka:

“Toimii ensisijaisena yhteyshenkilönä auditoijiin, sääntelyviranomaisiin ja ylempään johtoon tietoturva-asioissa.”

Tämä rooli tulee nimetä NIS2-rekisteröinnin todentavan aineiston paketissa. Sitä ei tule jättää implisiittiseksi. Viranomaiset, auditoijat ja asiakkaat haluavat tietää, kuka koordinoi sääntely-yhteyksiä, kuka omistaa poikkeamien ilmoittamisen, kuka ylläpitää lakirekisteriä, kuka päivittää viranomaisyhteystiedot ja kuka raportoi hallitukselle.

Käytännöllinen hallinnointiin liittyvä todentava aineisto sisältää:

• Hallituksen hyväksynnän kyberturvallisuuden riskienhallinnan viitekehykselle.
• Johdon katselmointipöytäkirjat, jotka kattavat NIS2-soveltamisalan, riskit, poikkeamat, toimittajat ja valmiuden.
• Johtoelinten jäsenten ja työntekijöiden koulutustallenteet.
• RACI-matriisin NIS2-velvoitteille, ISO 27001:2022 -hallintakeinoille, poikkeamien ilmoittamiselle, toimittajavarmennukselle ja sääntelyviestinnälle.
• Näytön siitä, että NIS2-velvoitteet sisältyvät sisäiseen tarkastukseen ja vaatimustenmukaisuuden seurantaan.
• Korjaavien toimenpiteiden seurannan puutteille, myöhässä oleville riskeille, poikkeuksille ja epäonnistuneille testeille.

Articles 32 ja 33 tekevät myös todentavan aineiston laadusta tärkeän, koska niissä tunnistetaan vakavia rikkomustekijöitä, kuten toistuvat rikkomukset, merkittävien poikkeamien ilmoittamatta tai korjaamatta jättäminen, puutteiden korjaamatta jättäminen sitovien ohjeiden jälkeen, auditointien tai seurannan estäminen sekä väärien tai törkeän epätarkkojen tietojen antaminen. Heikko todentava aineisto voi muuttua soveltamisongelmaksi, vaikka tekniset hallintakeinot olisivat olemassa.

Valmistele viranomaisyhteystiedot ja poikkeamien ilmoittamista koskeva näyttö ennen kello 02:00

Kivuliaimmat poikkeamien ilmoittamisen epäonnistumiset alkavat usein peruskysymyksestä: “Kenelle ilmoitamme?” Kiristyshaittaohjelman, DNS-häiriön, pilvipalvelun vaarantumisen tai tietojen altistumisen aikana tiimit menettävät aikaa etsiessään oikeaa CSIRT-yksikköä, toimivaltaista viranomaista, tietosuojaviranomaista, rahoitusvalvojaa, lainvalvontakanavaa, asiakasmallipohjaa ja sisäistä hyväksyjää.

NIS2 Article 23 edellyttää merkittävien palvelun tuottamiseen vaikuttavien poikkeamien ilmoittamista ilman aiheetonta viivytystä. Merkittävä poikkeama on sellainen, joka on aiheuttanut tai voisi aiheuttaa vakavan operatiivisen häiriön tai taloudellisen tappion, tai joka on vaikuttanut tai voisi vaikuttaa muihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. Aikataulu on vaiheistettu: ennakkovaroitus 24 tunnin kuluessa tietoon tulosta, poikkeamailmoitus 72 tunnin kuluessa, välipäivitykset pyynnöstä ja loppuraportti kuukauden kuluessa 72 tunnin ilmoituksesta tai jatkuvien poikkeamien osalta poikkeaman käsittelyn päätyttyä. Tarvittaessa palvelun vastaanottajille on myös ilmoitettava merkittävistä poikkeamista tai merkittävistä kyberuhkista ja suojatoimenpiteistä.

Zenith Blueprint, hallintakeinojen käytännön toteutuksen vaihe, vaihe 22, käsittelee yhteydenpitoa viranomaisiin valmistautumisena, ei paniikkina:

Periaate on yksinkertainen: jos organisaatioonne kohdistuisi kyberhyökkäys, se olisi osallisena henkilötietojen tietoturvaloukkauksessa tai tutkinnan kohteena, kuka soittaisi viranomaisille? Mistä hän tietäisi, mitä sanoa? Millä edellytyksillä tällainen yhteydenotto käynnistettäisiin? Näihin kysymyksiin on vastattava etukäteen, ei jälkikäteen.

Clarysecin Zenith Controls: vaatimustenmukaisuuksien välinen opas Zenith Controls kattaa ISO/IEC 27002:2022:n hallintakeinon 5.5, yhteydenpito viranomaisiin. Se luokittelee hallintakeinon ennaltaehkäiseväksi ja korjaavaksi, kytkee sen luottamuksellisuuteen, eheyteen ja saatavuuteen sekä yhdistää sen tunnistamisen, suojaamisen, reagoinnin ja palautumisen käsitteisiin. Se yhdistää hallintakeinon 5.5 myös ISO/IEC 27002:2022 -hallintakeinoihin 5.24 tietoturvapoikkeamien hallinnan suunnittelu ja valmistelu, 6.8 tietoturvatapahtumien raportointi, 5.7 uhkatiedustelu, 5.6 yhteydenpito erityisryhmiin ja 5.26 reagointi tietoturvapoikkeamiin.

Vaatimustenmukaisuuksien välisestä näkökulmasta Zenith Controls kartoittaa yhteydenpidon viranomaisiin NIS2 Article 23:een, GDPR:n henkilötietojen tietoturvaloukkausten ilmoittamiseen, DORA:n poikkeamailmoittamiseen, NIST SP 800-53 IR-6 Incident Reporting -vaatimukseen ja COBIT 2019:n ulkoisiin eskalointikäytäntöihin. Yksi viranomaisyhteysrekisteri voi palvella useita velvoitteita, jos se on suunniteltu asianmukaisesti.

Clarysecin tietoturvapoikkeamien hallintapolitiikka Tietoturvapoikkeamien hallintapolitiikka - pk-yritys tekee oikeudellisesta luokittelusta nimenomaista:

“Kun kyse on asiakastiedoista, toimitusjohtajan on arvioitava oikeudelliset ilmoitusvelvoitteet GDPR:n, NIS2:n tai DORA:n soveltuvuuden perusteella.”

Vahvan viranomaisyhteyksien todentavan aineiston paketin tulee sisältää:

• Toimivaltaisen viranomaisen ja CSIRT-yksikön yhteystiedot jäsenvaltion ja palvelun mukaan.
• Tietosuojaviranomaisten yhteystiedot GDPR:n mukaista henkilötietojen tietoturvaloukkausilmoitusta varten.
• Rahoitusvalvojien yhteystiedot, jos DORA soveltuu.
• Lainvalvonta- ja kyberrikollisuusyhteyksien reitit.
• Valtuutetut sisäiset viestijät ja varahenkilöt.
• Poikkeamakynnykset NIS2:lle, GDPR:lle, DORA:lle, asiakassopimuksille ja kybervakuutukselle.
• 24 tunnin, 72 tunnin, välipäivityksen ja kuukauden loppuraportin mallipohjat.
• Pöytäharjoitusten tallenteet ulkoisen ilmoittamisen testaamisesta.
• Tallenteet aiemmista ilmoituksista, päätöksistä olla ilmoittamatta ja oikeudellisista perusteluista.

Kartoita NIS2 Article 21 ISO 27001 -hallintakeinoihin ja politiikkanäyttöön

Pelkkä sertifikaatti ei vastaa sääntelyviranomaisen kysymykseen. Hallintakeinokartoitus vastaa. Seuraava taulukko tarjoaa tietoturva- ja vaatimustenmukaisuustiimeille käytännöllisen sillan NIS2 Article 21 -alueiden, ISO/IEC 27002:2022 -hallintakeinojen, Clarysecin politiikka-ankkureiden ja todentavan aineiston välille.

Clarysecin Zenith Controls kattaa myös ISO/IEC 27002:2022:n hallintakeinon 5.31, lakisääteiset, sääntelyyn perustuvat ja sopimusperusteiset vaatimukset, ennaltaehkäisevänä hallintakeinona, jolla on vaikutus luottamuksellisuuteen, eheyteen ja saatavuuteen. Se kytkee 5.31:n henkilötietojen suojaan, tallenteiden säilytykseen, riippumattomaan katselmointiin ja sisäisten politiikkojen noudattamiseen. Se kartoittaa 5.31:n myös GDPR:n osoitusvelvollisuuteen, NIS2:n toimitusketjun vaatimustenmukaisuuteen, DORA:n ICT-riskien hallintaan, NIST CSF -hallinnointiin, NIST SP 800-53 -ohjelmahallintakeinoihin ja COBIT 2019:n ulkoisen vaatimustenmukaisuuden valvontaan.

“Hallintakeino 5.31 varmistaa, että kaikki tietoturvaan liittyvät olennaiset lakisääteiset, sääntelyyn perustuvat ja sopimusperusteiset vaatimukset tunnistetaan, dokumentoidaan ja niitä hallitaan jatkuvasti.”

Juuri tämän kansallinen viranomainen haluaa nähdä rekisteröinnin jälkeen: ei pelkästään sitä, että NIS2 on lueteltu, vaan että organisaatiolla on elävä mekanismi velvoitteiden tunnistamiseen, kartoittamiseen, toteuttamiseen, seurantaan ja päivittämiseen.

Älä erota NIS2:ta DORA:sta, GDPR:stä, toimittajista ja pilvestä

NIS2:n todentava aineisto on harvoin olemassa erillään muusta.

NIS2 Article 21(2)(d) edellyttää toimitusketjun turvallisuutta, mukaan lukien toimittajiin ja palveluntarjoajiin liittyvien suhteiden tietoturvanäkökohdat. Article 21(3) edellyttää, että toimittajariskiä koskevissa päätöksissä huomioidaan haavoittuvuudet, tuotteiden yleinen laatu, kyberturvallisuuskäytännöt, turvallisen kehityksen menettelyt ja asiaankuuluvat koordinoidut EU:n toimitusketjuriskien arvioinnit.

ISO 27001:2022 liite A tarjoaa operatiivisen sillan hallintakeinojen A.5.19–A.5.23 kautta. SaaS- ja pilviorganisaatioissa nämä hallintakeinot ratkaisevat usein, onko rekisteröinnin todentava aineisto pinnallista vai puolustettavaa.

DORA terävöittää rahoitusalan toimijoiden toimittajakuvaa. Articles 28–30 edellyttävät ICT:n kolmannen osapuolen riskienhallintaa, ICT-palvelusopimusten rekisteriä, kriittisiä tai tärkeitä toimintoja tukevien palvelujen erottelua, sopimusta edeltävää riskien arviointia, huolellisuusarviointeja, sopimusperusteisia tietoturvavaatimuksia, auditointi- ja tarkastusoikeuksia, irtisanomisoikeuksia, testattuja exit-strategioita, alihankinnan arviointia, tietojen sijainnin läpinäkyvyyttä, poikkeamissa avustamista, yhteistyötä viranomaisten kanssa ja siirtymäjärjestelyjä. Jos SaaS-palveluntarjoaja palvelee DORA-säänneltyjä asiakkaita, sen sopimuksia ja varmennuspakettia voidaan tarkastella, vaikka se ei itse olisi rahoitusalan toimija.

Clarysecin kolmansien osapuolten ja toimittajien tietoturvapolitiikka - pk-yritys Kolmansien osapuolten ja toimittajien tietoturvapolitiikka - pk-yritys tulee siksi kytkeä NIS2:n todentavan aineiston pakettiin. Toimittajavalmiuden tulee sisältää:

• Toimittajaluettelo ja kriittisyysluokittelu.
• Toimittajien huolellisuusarvioinnit ja riskien arvioinnit.
• Sopimuslausekkeet tietoturvasta, poikkeama-avusta, auditointioikeuksista, tietojen sijainnista, alihankinnasta ja exitistä.
• Pilvipalvelujen jaetun vastuun matriisit.
• Seurantatallenteet kriittisistä palveluntarjoajista.
• Kriittisten palvelujen exit- ja palautustestaus.
• Toimittajapoikkeamien ilmoittamis- ja eskalointimenettelyt.

Myös GDPR on integroitava. NIS2:n merkittävä poikkeama voi olla myös henkilötietojen tietoturvaloukkaus, jos asiakas-, työntekijä- tai käyttäjätietoja vaarantuu. GDPR edellyttää rekisterinpitäjiltä osoitusvelvollisuuden täyttämistä ja, kun ilmoituskynnykset täyttyvät, ilmoitusta valvontaviranomaiselle 72 tunnin kuluessa henkilötietojen tietoturvaloukkauksesta tietoiseksi tulemisesta. Tietoturvapoikkeamiin reagoinnin työnkulun on arvioitava NIS2-, GDPR-, DORA-, sopimus- ja asiakasvelvoitteet rinnakkain.

Kokoa yhden viikon NIS2-aineistopaketti

SaaS-palveluntarjoaja, MSP, MSSP, pilvipalveluntarjoaja tai digitaalisen infrastruktuurin yritys voi edetä merkittävästi yhden kohdennetun viikon aikana.

Päivä 1, luokittele toimija ja palvelut. Käytä ISMS:n soveltamisalakuvausta ja sidosryhmärekisteriä. Lisää NIS2-soveltamisalamuistio, joka tunnistaa liitteen I tai liitteen II kategoriat, EU-palvelut, jäsenvaltiot, asiakkaat, riippuvuudet, kokooletukset sekä sen, soveltuvatko DORA tai sektorikohtaiset säännöt. Kirjaa luokittelun epävarmuus riskiksi, jos oikeudellinen tulkinta ei ole lopullinen.

Päivä 2, päivitä lakisääteisten ja sääntelyvelvoitteiden rekisteri. Lisää NIS2 Articles 20, 21 ja 23, kansallisen lainsäädännön mukaiset rekisteröintivaatimukset, GDPR:n tietoturvaloukkausvelvoitteet, DORA-velvoitteet soveltuvin osin sekä keskeiset sopimusperusteiset ilmoitusvaatimukset. Kartoita jokainen velvoite politiikkaan, omistajaan, hallintakeinoon, todentavan aineiston lähteeseen ja katselmointitiheyteen.

Päivä 3, päivitä riskien arviointi ja käsittely. Sisällytä riskikriteereihin oikeudelliset, sääntelyyn liittyvät, operatiiviset, toimittaja-, taloudelliset, maineeseen kohdistuvat ja yhteiskunnalliset vaikutukset. Lisää riskejä, kuten rekisteröinnin laiminlyönti, virheellinen toimijaluokittelu, 24 tunnin ennakkovaroituksen puuttuminen, viranomaisyhteystietojen puuttuminen, kriittisiin palveluihin vaikuttava toimittajakatkos, riittämätön hallituksen valvonta ja kyvyttömyys osoittaa hallintakeinojen tehokkuus.

Päivä 4, päivitä SoA. Vahvista NIS2:n kannalta merkitykselliset hallintakeinot, mukaan lukien A.5.5 yhteydenpito viranomaisiin, A.5.19–A.5.23 toimittaja- ja pilvihallintakeinot, A.5.24–A.5.28 poikkeamahallintakeinot, A.5.29 tietoturva häiriön aikana, A.5.30 ICT-valmius liiketoiminnan jatkuvuutta varten, A.5.31 oikeudelliset vaatimukset, A.5.34 tietosuoja, A.8.8 haavoittuvuuksien hallinta, A.8.13 varmuuskopiot, A.8.15 lokitus, A.8.16 seurantatoiminnot, A.8.24 kryptografia ja turvallisen kehityksen hallintakeinot A.8.25–A.8.32.

Päivä 5, testaa poikkeamien ilmoittaminen. Toteuta pöytäharjoitus: pilven virheellinen konfiguraatio altistaa asiakastietoja ja häiritsee palvelua kahdessa jäsenvaltiossa. Käynnistä kello. Pystyykö tiimi luokittelemaan tapahtuman, arvioimaan GDPR-, NIS2-, DORA-, sopimus- ja asiakaskynnykset, valmistelemaan 24 tunnin ennakkovaroituksen, laatimaan 72 tunnin ilmoituksen, säilyttämään todistusaineiston ja osoittamaan juurisyyanalyysin?

Päivä 6, kokoa todentava aineisto. Luo valvontaviranomaiselle valmis kansio, joka sisältää soveltamisalamuistion, lakirekisterin, riskirekisterin, SoA:n, viranomaisyhteyshenkilöluettelon, poikkeamien toimintamallin, toimittajarekisterin, hallituksen pöytäkirjat, koulutustallenteet, lokit, seurantaraportit, varmuuskopiointitestit, haavoittuvuusraportit, sisäisen tarkastuksen soveltamisalan ja korjaavien toimenpiteiden lokin.

Päivä 7, johdon katselmointi. Esitä valmiuspaketti johdolle. Kirjaa hyväksynnät, jäännösriskit, avoimet toimenpiteet, määräajat, resurssit ja omistajien osoitusvelvollisuus. Jos rekisteröinti on määrä tehdä, liitä todentavan aineiston hakemisto rekisteröintipäätöksen tallenteeseen.

Clarysecin pk-yrityksille tarkoitettu auditointi- ja vaatimustenmukaisuuden seurantapolitiikka Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka - pk-yritys ennakoi tämän tarpeen:

“Todentava aineisto on yhdenmukaistettava NIS2-velvoitteiden kanssa, jos organisaatio on nimetty tärkeäksi toimijaksi tai kuuluu muuten kansallisen lainsäädännön soveltamisalaan”

Yritystason auditointi- ja vaatimustenmukaisuuden seurantapolitiikka Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka määrittää tavoitteen:

“Tuottaa puolustettavaa todentavaa aineistoa ja auditointijälki sääntelyviranomaisten tiedustelujen, oikeudellisten menettelyjen tai asiakkaiden varmentamispyyntöjen tueksi.”

Tämä on tavoite: puolustettava todentava aineisto ennen kuin pyyntö saapuu.

Valmistaudu erilaisiin auditointinäkökulmiin

Sertifiointiauditoija, kansallinen viranomainen, asiakasauditoija, tietosuojan auditoija ja toimittajavarmennustiimi eivät kysy samoja kysymyksiä. Vahva NIS2-aineistopaketti toimii niiden kaikkien näkökulmasta.

ISO/IEC 27002:2022:n hallintakeinon 5.5 osalta auditoijat odottavat yleisesti dokumentoituja viranomaisyhteystietoja, määritettyjä vastuita, yhteystietojen ylläpitoa, tietoturvapoikkeamiin reagoinnin toimintamalleja ja skenaariopohjaista selkeyttä. Yksinkertainen auditointikysymys voi paljastaa kypsyystason: “Kiristyshaittaohjelmatilanteessa kuka ottaa yhteyttä lainvalvontaan tai kansalliseen CSIRT-yksikköön?” Jos vastaus riippuu siitä, että joku muistaa nimen, hallintakeino ei ole valmis.

Clarysecin lokitus- ja valvontapolitiikka Lokitus- ja valvontapolitiikka - pk-yritys vahvistaa todentavan aineiston odotusta:

“Lokien on oltava saatavilla ja ymmärrettäviä ulkoisille auditoijille tai sääntelyviranomaisille pyynnöstä”

Clarysecin tietoturvapolitiikka Tietoturvapolitiikka asettaa laajemman yritystason standardin:

“Kaikkien toteutettujen hallintakeinojen tulee olla auditoitavissa, ja niitä on tuettava dokumentoiduilla menettelyillä sekä säilytetyllä näytöllä toiminnasta.”

Tämä on auditointitesti yhdessä lauseessa. Jos hallintakeinosta ei ole näyttöä, sillä ei ole paljon painoarvoa, kun toimivaltainen viranomainen pyytää todisteita.

Lopullinen NIS2-rekisteröinnin todentavan aineiston tarkistuslista

Käytä tätä tarkistuslistaa ennen rekisteröintiä tai ennen vastaamista kansallisen viranomaisen pyyntöön.

• Dokumentoi NIS2-soveltamisalan analyysi, mukaan lukien liitteen I tai liitteen II perustelu, palvelukuvaukset, kokooletukset, jäsenvaltiojalanjälki ja toimijaluokittelu.
• Tunnista, soveltuuko DORA suoraan tai epäsuorasti rahoitussektorin asiakkaiden ja ICT-palvelusopimusten kautta.
• Päivitä ISMS:n soveltamisala kattamaan asiaankuuluvat palvelut, riippuvuudet, ulkoistetut prosessit ja sääntelyrajapinnat.
• Lisää NIS2, GDPR, DORA, sektorikohtaiset säännöt ja sopimusperusteiset vaatimukset laki- ja sääntelyvelvoitteiden rekisteriin.
• Kartoita jokainen velvoite politiikkoihin, hallintakeinoihin, omistajiin, todentavaan aineistoon, katselmointitiheyteen ja johdon raportointiin.
• Vahvista hallituksen hyväksyntä ja valvonta kyberturvallisuuden riskienhallintatoimenpiteille.
• Ylläpidä johdon ja työntekijöiden kyberturvallisuuskoulutuksen tallenteita.
• Päivitä riskikriteerit sisältämään sääntelyvaikutukset, palveluhäiriöt, asiakashaitat, rajat ylittävät vaikutukset ja toimittajariippuvuudet.
• Kirjaa NIS2:een liittyvät riskit riskirekisteriin ja linkitä ne riskienkäsittelysuunnitelmiin.
• Päivitä SoA NIS2:n kannalta merkityksellisillä liite A:n hallintakeinoilla ja toteutustilalla.
• Ylläpidä viranomaisyhteystietoluetteloita ja ilmoitusmenettelyjä CSIRT-yksiköille, toimivaltaisille viranomaisille, tietosuojaviranomaisille, rahoitusvalvojille ja lainvalvontaviranomaisille.
• Testaa 24 tunnin ennakkovaroituksen, 72 tunnin ilmoituksen, välipäivityksen ja kuukauden loppuraportin työnkulku.
• Ylläpidä toimittaja- ja pilvinäyttöä, mukaan lukien huolellisuusarvioinnit, sopimukset, auditointioikeudet, seuranta, alihankinta ja exit-suunnitelmat.
• Osoita hallintakeinojen tehokkuus lokien, mittareiden, auditointien, mittaristojen, testitulosten ja korjaavien toimenpiteiden avulla.
• Laadi todentavan aineiston hakemisto, jotta kaikkiin sääntelyviranomaisen, asiakkaan tai auditoijan pyyntöihin voidaan vastata nopeasti.

Clarysecin seuraava askel

NIS2-toimijarekisteröinti ei ole maaliviiva. Se on kohta, jossa organisaatiosi tulee kansallisen kyberturvallisuusvalvonnan näkyviin. Oikea kysymys ei ole “Voimmeko rekisteröityä?” Oikea kysymys on “Jos viranomainen pyytää todentavaa aineistoa rekisteröinnin jälkeen, pystymmekö tuottamaan johdonmukaisen ISO 27001:2022 -kertomuksen tunneissa, emme viikoissa?”

Clarysec auttaa organisaatioita rakentamaan tämän kertomuksen Zenith Blueprintin Zenith Blueprint, Zenith Controlsin Zenith Controls ja käytännöllisten ISO 27001:2022 -politiikkapakettien avulla. Ne yhdistävät oikeudelliset velvoitteet, riskien käsittelyn, poikkeamien ilmoittamisen, toimittajaturvallisuuden, lokituksen, seurannan, auditointinäytön ja johdon osoitusvelvollisuuden.

Toteuta NIS2-todentavan aineiston puutearviointi nykyistä ISMS:ääsi vasten. Aloita soveltamisalamuistiosta, lakirekisteristä, riskirekisteristä, SoA:sta, viranomaisyhteyshenkilöluettelosta, poikkeamien ilmoittamisen työnkulusta, toimittajarekisteristä ja auditointinäyttökansiosta. Jos nämä artefaktit ovat puutteellisia tai irrallisia, Clarysec voi auttaa muuntamaan ne valvontaviranomaiselle valmiiksi aineistopaketiksi ennen kuin kansallinen viranomainen pyytää sitä.