Rialachas CISA KEV le haghaidh ISO 27001, NIS2 agus DORA
An leochaileacht Dé hAoine a tháinig chun bheith ina ceist don bhord
Tá sé 16:40 tráthnóna Dé hAoine. Cuireann ceannaire an SOC foláireamh CISA KEV ar aghaidh, deimhníonn an scanóir leochaileachtaí nochtadh ar thairseach atá os comhair an idirlín, agus tá taifead comhoiriúnach ag ENISA EUVD ar leochaileacht atá á saothrú. Tá paiste eisithe ag an díoltóir, ach tugann úinéir na timpeallachta táirgthe rabhadh go bhféadfadh cur i bhfeidhm láithreach cur isteach ar sheirbhís atá os comhair custaiméirí. Fiafraíonn an fheidhm dlí an bhféadfadh sonraí pearsanta a bheith i gceist. Fiafraíonn ceannaire DORA an dtacaíonn an t-ardán le feidhm chriticiúil nó thábhachtach. Fiafraíonn comhordaitheoir NIS2 an bhféadfadh sé seo dul i méid ina theagmhas suntasach.
Cuireann an Príomhoifigeach Slándála Faisnéise (CISO) an t-aon cheist atá tábhachtach:
“An féidir linn a chruthú go ndearnamar an cinneadh ceart, sách tapa, leis na formheasanna cearta?”
Sin í an fhadhb cheart i rialachas leochaileachtaí ar eol go bhfuil siad á saothrú in 2026. Ní bhaineann sí le CVEanna a shainaithint amháin, ná le paistí a bhrú amach níos tapa. Baineann sí le faisnéis saothraithe a thiontú ina samhail oibríochta inchosanta: iontógáil, triáis, tosaíochtú, athrú éigeandála, rialuithe cúiteacha, uaschéimniú soláthraithe, formheas eisceachtaí, coinneáil fianaise, tuairisciú don bhainistíocht agus cinntí leigheasacha atá réidh don rialálaí.
Tá SLAanna leochaileachtaí ag go leor eagraíochtaí cheana féin. Tá fothaí faisnéise bagairtí ag cuid acu. Tá roinnt acu ag rith bainistíocht leanúnach nochta. Ach nuair atá leochaileacht á saothrú cheana féin san fhiántas, athraíonn comhthéacs an riosca. Níor cheart do leochaileacht ar eol go bhfuil sí á saothrú agus atá liostaithe in CISA KEV nó ENISA EUVD fanacht sa scuaine chéanna le gnáth-riaráiste paistí. Ba cheart di conair rialachais eile a spreagadh, mar nach riosca teoiriciúil í a thuilleadh.
Tá seasamh Clarysec simplí: ba cheart leigheas atá tiomáinte ag saothrú a bhainistiú mar phróiseas gnó a tháirgeann fianaise, ní mar ruathar teicniúil neamhfhoirmiúil. Is féidir an próiseas sin a thógáil ar ISO/IEC 27001:2022 ISO/IEC 27001:2022, a threisiú le ISO/IEC 27002:2022 ISO/IEC 27002:2022, agus a mhapáil le hionchais rialachais NIS2, DORA, GDPR, NIST CSF 2.0 agus COBIT 19.
Ó phaistiú go rialachas inchruthaithe
Is minic a thosaíonn bainistíocht leochaileachtaí thraidisiúnta le déine: scór CVSS, criticiúlacht sócmhainne, nochtadh agus infhaighteacht paiste. Cuireann rialachas atá tiomáinte ag saothrú ceist níos géire leis: an bhfuil an leochaileacht seo á húsáid ag ionsaitheoirí cheana féin, agus an bhfuil sócmhainní, soláthraithe, seirbhísí scamall nó sreafaí sonraí lena mbaineann againn?
Athraíonn an t-aistriú sin an sreabhadh oibre. Ba cheart do leochaileacht ar eol go bhfuil sí á saothrú na nithe seo a spreagadh:
- Bailíochtú faisnéise bagairtí ó fhoinsí iontaofa amhail CISA, ENISA, CERTanna náisiúnta, díoltóirí, ISACanna agus MSSPanna.
- Comhghaolú sócmhainní, lena n-áirítear nochtadh idirlín, feidhm ghnó, aicmiú sonraí agus spleáchas ar sholáthraithe.
- Cinnteoireacht riosca éigeandála, lena n-áirítear paistiú láithreach, leithlisiú, feidhm a dhíchumasú, seachbhóthar a chur i bhfeidhm, faireachán a dhéanamh nó glacadh sealadach le riosca iarmharach.
- Formheas athraithe le hinrianaitheacht, fiú nuair a chuirtear an t-athrú ar aghaidh go práinneach.
- Gabháil fianaise, lena n-áirítear stampaí ama, formheasanna, logaí, gabhálacha scáileáin, torthaí scanadh, ráitis díoltóra agus taifid rialuithe cúiteacha.
- Tuairisciú don bhainistíocht, go háirithe nuair a théann an leochaileacht i bhfeidhm ar sheirbhísí criticiúla, sonraí pearsanta, seirbhísí airgeadais rialáilte nó seirbhísí riachtanacha nó tábhachtacha faoi NIS2.
- Bailíochtú iar-leigheas agus ceachtanna foghlamtha.
Tugann ISO 27001:2022 creat rialachais don sreabhadh oibre seo. Éilíonn clásail 4.1 go 4.4 ar an eagraíocht saincheisteanna inmheánacha agus seachtracha, páirtithe leasmhara, ceanglais dhlíthiúla agus rialála, comhéadain agus spleáchais a thuiscint, agus ansin raon feidhme an ISMS a shainiú agus a chothabháil. I rialachas leochaileachtaí, ciallaíonn sé sin nach mór don raon feidhme na córais fhíora, seirbhísí scamall, tríú páirtithe agus seirbhísí rialáilte a áireamh ina bhféadfadh nochtadh do leochaileachtaí atá á saothrú tionchar gnó a chruthú.
Bogann clásail 5.1 go 5.3 an cheist thar oibríochtaí TF. Ní mór don ardbhainistíocht an ISMS a ailíniú leis an treo straitéiseach, freagrachtaí a shannadh, acmhainní a leithdháileadh, tábhacht na comhréireachta a chur in iúl agus tuairisciú feidhmíochta a fháil. Go praiticiúil, ní ticéad paiste amháin é meaitseáil CISA KEV ar sheirbhís chriticiúil. Is imeacht cuntasachta feidhmiúcháin é.
Soláthraíonn clásail 6.1.1 go 6.1.3 cnámh droma an riosca: critéir riosca, úinéirí riosca, measúnú dóchúlachta agus iarmhairtí, roghanna cóireála, an Ráiteas Infheidhmeachta, an Plean Cóireála Riosca agus glacadh le riosca iarmharach. Is é seo an sásra a thiontaíonn “níorbh fhéidir linn paistiú fós” ina eisceacht dhoiciméadaithe, fhormheasta agus theoranta ó thaobh ama de le rialuithe cúiteacha.
Bíonn tábhacht le clásal 8.1 ansin nuair a bhogann an fhoireann ón gcinneadh go dtí an cur i gcrích. Éilíonn sé pleanáil agus rialú oibríochtúil, lena n-áirítear rialú ar athruithe pleanáilte agus athbhreithniú ar athruithe neamhbheartaithe. In imeacht KEV, ní mór don eagraíocht gníomhú go tapa gan smacht a chailleadh.
Triantán rialuithe Clarysec do leochaileachtaí atá á saothrú
Láimhseálann Zenith Controls: The Cross-Compliance Guide Clarysec Zenith Controls rialachas leochaileachtaí ar eol go bhfuil siad á saothrú mar chomhcheangal de thrí phríomhthéama rialaithe ISO/IEC 27002:2022. Luaitear ann na rialuithe a bhaineann leis an ábhar mar “Threat intelligence (5.7)”, “Management of Technical Vulnerabilities (8.8)” agus “Change Management (8.32).”
Le chéile, cruthaíonn na rialuithe sin triantán praiticiúil:
| Ceist rialachais | Téama rialaithe ISO/IEC 27002:2022 | Fianaise oibríochtúil |
|---|---|---|
| Conas a bhí a fhios againn go raibh tábhacht leis an leochaileacht seo? | 5.7 Threat intelligence | Iontógáil CISA KEV nó ENISA EUVD, fógra comhairleach díoltóra, foláireamh CERT, nótaí bailíochtaithe, fiosrú maidir le sócmhainní lena mbaineann |
| Conas a rinneamar measúnú uirthi agus í a leigheas? | 8.8 Management of technical vulnerabilities | Taifead leochaileachta, toradh scanadh, rátáil riosca, úinéir, SLA, paiste nó seachbhóthar, scanadh fíorúcháin |
| Conas a d’athraíomar an timpeallacht táirgthe go sábháilte? | 8.32 Change management | Ticéad athraithe éigeandála, formheas, toradh tástála, plean ais-rollta, loga imlonnaithe, athbhreithniú iar-athraithe |
Cuireann an triantán seo cosc ar theip choitianta iniúchta: bainistíocht leochaileachtaí a láimhseáil mar aschur scanóra seachas mar shlabhra cinnteoireachta rialaithe. Ní fhiafróidh iniúchóir, rialálaí ná foireann dearbhaithe custaiméara amháin ar cuireadh paiste i bhfeidhm. Fiafróidh siad conas a bhí a fhios ag an eagraíocht, conas a tosaíodh an obair, conas a formheasadh í, conas a cuireadh i bhfeidhm í agus conas a fíoraíodh an cinneadh.
Déanann Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint é seo nithiúil sa chéim Controls in Action, Céim 22, áit a n-insíonn sé d’fhoirne clár faisnéise bagairtí a thógáil:
Bunaigh liosta doiciméadaithe d’fhoinsí faisnéise bagairtí (5.7), ó dhíoltóirí, ISACanna nó foinsí oscailte, agus cinntigh conas a bhailíochtaítear an fhaisnéis agus conas a chomhtháthaítear í i gcinnteoireacht. Sainigh cé a fhaigheann nuashonruithe bagairtí agus conas a chuirtear i bhfeidhm iad (m.sh., tosaíochtú paistí, oiliúint feasachta).
I gCéim 19, cuireann Zenith Blueprint bainistíocht leochaileachtaí i láthair mar shláinteachas cibear nua-aimseartha agus leagann sé béim ar leigheas luathaithe do leochaileachtaí criticiúla:
Tá bainistiú leochaileachtaí ar cheann de na réimsí is criticiúla de shláinteachas cibear nua-aimseartha. Cé go soláthraíonn ballaí dóiteáin agus uirlisí frithvíris cosaint, is féidir iad a lagú má fhágtar córais gan phaiste nó seirbhísí míchumraithe nochta.
Tugann sé rabhadh freisin nach mór fionnachtana scanadh gan a chartlannú go neamhghníomhach. Ní mór iad a thriáisiú, a shannadh agus a rianú go dúnadh. Is é an disciplín sin go díreach a éilíonn rialachas CISA KEV agus ENISA EUVD.
Tiontaíonn beartas práinn ina rialacha
Ní oibríonn samhail rialachais ach nuair a léirítear í i mbeartas. Sannann Beartas um Bainistíocht Leochaileachtaí agus Paistí fiontair Clarysec Beartas um Bainistíocht Leochaileachtaí agus Paistí, dá dtagraítear freisin i gcomhthéacsanna toolkit mar P19 Beartas um Bainistíocht Leochaileachtaí agus Paistí, an ceanglas faireacháin agus uaschéimnithe go soiléir:
Déan faireachán ar fhógraí comhairleacha bagairtí (m.sh., CVE, CISA KEV, feasacháin díoltóra) agus uaschéimnigh leochaileachtaí criticiúla.
Ón rannán “Rólanna agus freagrachtaí”, clásal beartais 4.5.1.
Sainmhíníonn an beartas fiontair céanna ionchas leigheasacha docht do leochaileachtaí criticiúla:
Criticiúil (CVSS 9.0-10.0): Athbhreithniú láithreach; spriocdháta paistí uasta 72 uair an chloig.
Ón rannán “Ceanglais rialachais”, clásal beartais 5.2.1.
Do FBManna, déanann Vulnerability and Patch Management Policy-sme Clarysec Vulnerability and Patch Management Policy-sme - SME, dá dtagraítear freisin mar P19S Vulnerability and Patch Management Policy-sme, an coincheap céanna oibríochtúil agus díreach:
Fógraí comhairleacha bagairtí iontaofa (m.sh., CISA, ENISA, foláirimh CERT náisiúnta)
Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.2.1.3.
Socraíonn sé an caighdeán praiticiúil paistithe freisin:
Ní mór paistí criticiúla a chur i bhfeidhm laistigh de 3 lá ón eisiúint, go háirithe do chórais atá os comhair an idirlín
Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.1.1.
Tá tábhacht leis an bhfrása “go háirithe do chórais atá os comhair an idirlín”. Ní mór do rialachas leochaileachtaí ar eol go bhfuil siad á saothrú tosaíocht a thabhairt do chórais nochta, seirbhísí cianrochtana, bonneagar aitheantais, gléasanna imeallacha, painéil riaracháin SaaS agus córais a phróiseálann sonraí íogaire nó rialáilte.
Ach cad a tharlaíonn nuair nach féidir leis an ngnó paistiú laistigh den SLA? Dúnann an beartas fiontair an lúb:
Mura féidir leochaileacht a leigheas laistigh de na SLAanna sainithe mar gheall ar shrianta oibríochtúla, teicniúla nó díoltóra, ní mór Iarratas Eisceachta foirmiúil a chur isteach.
Ón rannán “Cóireáil riosca agus eisceachtaí”, clásal beartais 7.1.
Éilíonn an leagan FBM logaí paistí a thacaíonn le hiniúchthacht:
Ní mór ainm an ghléis, an nuashonrú a cuireadh i bhfeidhm, dáta an phaiste agus an chúis le haon mhoill a bheith sna logaí
Ón rannán “Ceanglais rialachais”, clásal beartais 5.4.2.
Cruthaíonn na clásail bheartais seo cnámh droma na fianaise. Ligeann siad don CISO a rá: tá rialacha againn maidir le hiontógáil faisnéise, tosaíochtú, spriocdhátaí paistí, eisceachtaí agus cúiseanna moille. Sin í an difríocht idir paistiú imoibríoch agus leigheas rialaithe.
Athrú éigeandála gan smacht a chailleadh
Is minic a chuireann leochaileachtaí ar eol go bhfuil siad á saothrú brú ar athruithe éigeandála. D’fhéadfadh sé a bheith faillíoch fanacht leis an gcéad chruinniú eile den Bhord Comhairleach um Athruithe. D’fhéadfadh sé a bheith meargánta bainistíocht athruithe a sheachaint go hiomlán. Is é an freagra rialú athraithe luathaithe agus inrianaithe.
Deir Beartas bainistíochta athruithe fiontair Clarysec Beartas bainistíochta athruithe, dá dtagraítear freisin mar P05 Change Management Policy:
Féadfaidh athruithe éigeandála dul ar aghaidh le formheas briathartha luathaithe nó formheas tarmligthe ó rólanna údaraithe.
Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.5.1.
Do FBManna, aithníonn Beartas bainistíochta athruithe Clarysec Change Management Policy - SME an réaltacht oibríochtúil chéanna:
Féadfar athruithe éigeandála nó neamhphleanáilte a chur i bhfeidhm láithreach mar fhreagairt ar bhristí criticiúla nó bagairtí. Mar sin féin:
Ón rannán “Cóireáil riosca agus eisceachtaí”, clásal beartais 7.4.1.
Is sa nath “mar sin féin” atá an rialachas. Ba cheart don athrú éigeandála an truicear, na córais lena mbaineann, an cinneadh riosca, an formheastóir, am an chur i bhfeidhm, toradh bailíochtaithe agus athbhreithniú cúlghabhálach a dhoiciméadú fós. Déanann Zenith Blueprint, sa chéim Controls in Action, Céim 21, cur síos ar bhainistíocht athruithe mar shreabhadh oibre in-athdhéanta ina ndéantar athruithe a mheas, a údarú, a chur i bhfeidhm agus a athbhreithniú. Tugann sé rabhadh go dtarlaíonn go leor teagmhas ní mar gheall ar ionsaitheoirí, ach mar gheall ar athrú míbhainistithe: riail balla dóiteáin a osclaíodh róleathan, socrú dífhabhtaithe fágtha cumasaithe nó spleáchas dearmadta tar éis imirce.
Maidir le leigheas leochaileachta ar eol go bhfuil sí á saothrú, ba cheart don fhianaise íosta athraithe éigeandála na nithe seo a áireamh:
| Mír fianaise | Cén fáth a bhfuil tábhacht léi |
|---|---|
| Foinse bagartha agus stampa ama | Léiríonn sí cathain a tháinig saothrú gníomhach ar eolas don eagraíocht |
| Liosta sócmhainní lena mbaineann | Cruthaíonn sé anailís raon feidhme agus tosaíochtú |
| Úinéir gnó agus úinéir riosca | Léiríonn sé cinnteoireacht chuntasach |
| Cinneadh paiste nó seachbhóthair | Léiríonn sé an rogha cóireála a roghnaíodh |
| Formheas éigeandála | Léiríonn sé údarú rialaithe faoi bhrú |
| Nóta tástála nó ais-rollta | Léiríonn sé gur breithníodh riosca oibríochtúil |
| Logaí imlonnaithe | Léiríonn siad gur tharla an cur i bhfeidhm |
| Scanadh bailíochtaithe nó seiceáil cumraíochta | Léiríonn sé éifeachtacht an leighis |
| Taifead eisceachta mura ndearnadh paistiú | Léiríonn sé gur láimhseáladh riosca iarmharach go foirmiúil |
| Fógra don bhainistíocht | Léiríonn sé uaschéimniú i gcás nochtadh criticiúil |
Ní maorlathas é seo. Is é seo an rian iniúchta inmharthana íosta do chinneadh a rinneadh faoi bhrú ó fhreasúra.
CISA KEV agus ENISA EUVD a mhapáil le fianaise ISO 27001
Ní éilíonn ISO 27001:2022 foinse shonrach faisnéise bagairtí. Éilíonn sé ar an eagraíocht ceanglais a shainaithint, riosca a bhainistiú, rialuithe a chur i bhfeidhm, faisnéis dhoiciméadaithe a choinneáil agus feabhsú. Is féidir le CISA KEV agus ENISA EUVD a bheith ina n-ionchuir údarásacha don chóras bainistíochta sin.
| Gníomhaíocht atá tiomáinte ag saothrú | Fianaise ISO 27001:2022 agus Iarscríbhinn A |
|---|---|
| Clár foinsí KEV agus EUVD a chothabháil | Fianaise chlásail 4.1, 4.2, 4.4 agus Iarscríbhinn A 5.7 |
| CVEanna atá á saothrú a chomhghaolú le sócmhainní agus soláthraithe | Fianaise measúnaithe riosca faoi chlásal 6.1, Iarscríbhinn A 5.9, 5.19, 5.20, 5.21, 5.22 agus 5.23 |
| Tosaíocht a thabhairt do sheirbhísí atá os comhair an idirlín agus do sheirbhísí criticiúla | Critéir riosca chlásal 6.1 agus tosaíochtú cóireála |
| Paistí nó maoluithe a chur i bhfeidhm | Iarscríbhinn A 8.8 Management of technical vulnerabilities |
| Formheas athraithe éigeandála a úsáid | Clásal 8.1 agus Iarscríbhinn A 8.32 Change management |
| Moilleanna agus eisceachtaí a thaifeadadh | Glacadh le riosca iarmharach agus Plean Cóireála Riosca faoi chlásal 6.1.3 |
| Fianaise a chaomhnú | Iarscríbhinn A 5.28 Collection of evidence agus faisnéis dhoiciméadaithe faoi chlásal 7.5 |
| Treochtaí a thuairisciú don bhainistíocht | Feidhmíocht agus athbhreithniú bainistíochta faoi chlásail 5.3, 9.1 agus 9.3 |
| Rialuithe a nuashonrú tar éis teagmhais nó neasteagmhais | Iarscríbhinn A 5.27 Learning from information security incidents agus feabhsú faoi chlásal 10 |
Molann Zenith Blueprint, céim na Bainistíochta Riosca, Céim 13, inrianaitheacht idir rioscaí, rialuithe agus clásail:
Déan crostagairt do rialacháin: Má chuirtear rialuithe áirithe i bhfeidhm go sonrach chun cloí le GDPR, NIS2 nó DORA, is féidir é sin a nótáil sa Chlár rioscaí (mar chuid den údar le tionchar riosca) nó i nótaí an SoA.
I gcás leochaileachta ar eol go bhfuil sí á saothrú, níor cheart don iontráil sa Chlár rioscaí “Paiste CVE” amháin a rá. Ba cheart di foinse na bagartha, an tseirbhís lena mbaineann, ábharthacht rialála, úinéir riosca, cóireáil, tagairtí rialaithe agus suíomh na fianaise a shainaithint.
Mapáil traschomhlíonta do NIS2, DORA, GDPR agus tuairisciú rialachais
Is é luach an rialachais atá tiomáinte ag saothrú ná gur féidir le sreabhadh oibre rialaithe amháin ceisteanna rialála iolracha a fhreagairt. Is féidir leis an ticéad céanna, an taifead athraithe, an fhoirm eisceachta, ríomhphost an tsoláthraí agus an scanadh bailíochtaithe tacú le hinsintí fianaise éagsúla nuair a mhapáiltear iad d’aon ghnó.
| Creat | Ceanglais ábhartha | Conas a sholáthraíonn rialachas atá tiomáinte ag saothrú fianaise |
|---|---|---|
| ISO/IEC 27001:2022 | Clásail 6.1.2, 6.1.3 agus 8.1, Iarscríbhinn A 5.7, 8.8 agus 8.32 | Léiríonn sé measúnú riosca, cóireáil riosca, rialú oibríochtúil, faisnéis bagairtí, bainistíocht leochaileachtaí agus athrú rialaithe |
| Treoir NIS2 | Article 20, Article 21 agus Article 23 | Léiríonn sé maoirseacht bainistíochta, láimhseáil leochaileachtaí, sláinteachas cibear, breithniú slabhra soláthair agus measúnú tuairiscithe teagmhais |
| DORA | Articles 5, 6, 9, 13, 17, 28 agus 30 | Léiríonn sé rialachas TFC, bainistíocht riosca TFC, cosaint, faisnéis bagairtí, bainistíocht teagmhas agus rialú riosca tríú páirtí |
| GDPR | Articles 5(2), 25 agus 32 | Léiríonn sé cuntasacht, cosaint sonraí de réir deartha agus de réir réamhshocraithe, agus bearta slándála teicniúla agus eagraíochtúla cuí |
| NIST CSF 2.0 | GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND agus RECOVER | Aistríonn sé an sreabhadh oibre ina riosca feidhmiúcháin, comhthéacs sócmhainní, rialuithe, sonraí teiliméadrachta, uaschéimniú agus torthaí téarnaimh |
| COBIT 19 | Rialachas, barrfheabhsú riosca, faireachán feidhmíochta agus dearbhú | Léiríonn sé cearta cinnteoireachta, úinéireacht, méadrachtaí, ailíniú le goile riosca, maoirseacht eisceachtaí agus dearbhú neamhspleách |
Athraíonn NIS2 an comhrá d’eintitis riachtanacha agus thábhachtacha mar go ndéanann Article 20 cuntasacht chomhlachta bainistíochta den chibearshlándáil. Éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla cuí agus comhréireacha, lena n-áirítear láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, láimhseáil agus nochtadh leochaileachtaí, sláinteachas cibear, rialú rochtana, bainistíocht sócmhainní agus fíordheimhniú.
Cuireann Article 23 tuairisciú céimnithe le haghaidh teagmhas suntasach leis, lena n-áirítear luathrabhadh laistigh de 24 uair an chloig, fógra laistigh de 72 uair an chloig agus tuarascáil deiridh laistigh de mhí amháin tar éis an fhógra teagmhais. Ní teagmhas intuairiscithe go huathoibríoch í meaitseáil CISA KEV nó ENISA EUVD. Ach ba cheart di measúnú teagmhais doiciméadaithe a spreagadh nuair atá saothrú, cur isteach ar sheirbhísí, díobháil do chustaiméirí nó tionchar sonraí inchreidte.
Cuireann DORA lionsa earnáilsonrach leis d’eintitis airgeadais. Tá feidhm aige ón 17 Eanáir 2025 agus éilíonn sé rialachas, bainistíocht riosca TFC dhoiciméadaithe, tástáil, athléimneacht, bainistíocht teagmhas agus rialú riosca tríú páirtí TFC. Tá Article 13 thar a bheith ábhartha mar éilíonn sé cumais maidir le leochaileacht agus faisnéis bagairtí cibear, ceachtanna foghlamtha agus faireachán ar fhorbairtí teicneolaíochta. Éilíonn Article 17 próiseas bainistíochta teagmhas a bhaineann le TFC a thaifeadann teagmhais agus bagairtí cibear suntasacha, a dhéanann aicmiú de réir tosaíochta agus déine, a uaschéimníonn, a shainaithníonn bunchúiseanna agus a athshlánaíonn oibríochtaí slána.
Cuireann DORA Articles 28 agus 30 disciplín soláthraithe i bhfeidhm freisin. Má bhraitheann ardán íocaíochta ar WAF scamall, bunachar sonraí bainistithe, soláthraí aitheantais nó inneall sreafa oibre SaaS lena mbaineann leochaileacht ar eol go bhfuil sí á saothrú, ní leor an fhianaise a stopadh ag “deir an díoltóir gur paisteáladh é”. Ba cheart go n-áireodh sí fógra soláthraí, measúnú criticiúlachta, cearta conarthacha a úsáideadh, rialuithe cúiteacha, measúnú tionchair ar chustaiméirí agus fíorú iar-leigheas.
Cuireann GDPR an cheist atá dírithe ar shonraí leis. Éilíonn Article 32 slándáil na próiseála, agus cruthaíonn Article 5(2) cuntasacht. Ba cheart don athbhreithniú príobháideachais tosú roimh shárú dearbhaithe, ní tar éis cruthúnas ar eis-scagadh sonraí.
| Ceist fianaise GDPR | Freagra praiticiúil |
|---|---|
| An bpróiseálann an tsócmhainn lena mbaineann sonraí pearsanta? | Tagairt don fhardal sonraí agus don ról rialaitheora nó próiseálaí |
| Cad iad na catagóirí sonraí pearsanta atá i gceist? | Aicmiú sonraí agus cuspóir próiseála |
| An bhféadfadh saothrú difear a dhéanamh do rúndacht, sláine nó infhaighteacht? | Measúnú tionchair CIA |
| An raibh criptiú, rialuithe rochtana nó deighilt i bhfeidhm? | Fianaise rialaithe agus tagairt cumraíochta |
| Ar cuireadh amhras faoi shárú sonraí pearsanta nó ar deimhníodh é? | Measúnú teagmhais agus athbhreithniú dlí |
| Ar breithníodh fógra don údarás maoirseachta? | Taifead cinnidh sáraithe GDPR |
| An raibh tionchar ar ábhair sonraí? | Measúnú tionchair agus cumarsáide |
Taifead praiticiúil leigheas KEV agus EUVD
Smaoinigh ar chás réadúil. Léiríonn ENISA EUVD agus CISA KEV saothrú gníomhach leochaileachta a théann i bhfeidhm ar sheirbhís aistrithe comhad atá os comhair an idirlín. Tacaíonn an tseirbhís le hionduchtú custaiméirí agus stórálann sí sonraí pearsanta teoranta. Tá paiste díoltóra ann, ach iarrann úinéir an fheidhmchláir fuinneog chothabhála agus braitheann comhpháirt SaaS ghaolmhar amháin ar leigheas soláthraí.
Cruthaigh taifead amháin sa chlár rialachais leochaileachtaí leis na réimsí seo:
| Réimse | Iontráil shamplach |
|---|---|
| Foinse faisnéise | CISA KEV, ENISA EUVD, feasachán díoltóra, fógra comhairleach CERT náisiúnta |
| Dáta agus am sainaitheanta | 2026-05-29 16:40 UTC |
| Leochaileacht | Aitheantóir CVE, táirge díoltóra, leaganacha lena mbaineann |
| Stádas saothraithe | Ar eol go bhfuil sí á saothrú, saothrú poiblí ar fáil, dearbhaíonn an díoltóir spriocdhíriú gníomhach |
| Comhghaolú sócmhainní | Tairseach aistrithe comhad ionduchtaithe atá os comhair an idirlín, táirgeadh |
| Seirbhís ghnó | Ionduchtú custaiméirí, sreabhadh oibre rialáilte custaiméirí |
| Tionchar sonraí | Sonraí pearsanta i láthair, aitheantóirí teoranta agus doiciméid uaslódáilte |
| Bratacha rialála | Raon feidhme ISMS ISO 27001, measúnú seirbhíse NIS2, fianaise GDPR Article 32, DORA má bhaineann tacaíocht seirbhíse airgeadais leis |
| Rátáil riosca tosaigh | Criticiúil mar gheall ar shaothrú gníomhach agus nochtadh idirlín |
| Cinneadh cóireála | Paiste éigeandála laistigh de 24 uair an chloig, riail WAF láithreach, logáil mhéadaithe |
| Conair athraithe | Athrú éigeandála le formheas tarmligthe |
| Formheastóir | Ionadaí CISO agus úinéir seirbhíse |
| Rialuithe cúiteacha | Srian IP, paiste fíorúil WAF, riail EDR, faireachán SIEM, teorainneacha uaslódála sealadacha |
| Eisceacht riachtanach | Riachtanach don chomhpháirt SaaS amháin atá ag fanacht le leigheas soláthraí |
| Bailíochtú | Scanóir glan, leagan fíoraithe, logaí athbhreithnithe le haghaidh táscairí |
| Suíomh fianaise | Nasc ticéid, fiosrú SIEM, taifead athraithe, loga paistí, gabháil scáileáin, fógra díoltóra |
| Ceachtanna foghlamtha | Cuir an tseirbhís leis an tseiceáil sheachtainiúil nochta agus leis an playbook fógra soláthraí |
Ansin cuir rialacha beartais Clarysec i bhfeidhm:
- Úsáid Beartas um Bainistíocht Leochaileachtaí agus Paistí fiontair má oibríonn tú eagraíocht níos mó le rólanna foirmiúla, SLAanna agus uaschéimniú.
- Úsáid Vulnerability and Patch Management Policy-sme FBM má theastaíonn samhail éadrom ach iniúchta uait.
- Úsáid Beartas bainistíochta athruithe fiontair nó Beartas bainistíochta athruithe FBM chun formheas éigeandála, tástáil, imlonnú agus athbhreithniú cúlghabhálach a dhoiciméadú.
- Nasc an taifead leis an gClár rioscaí agus leis an Ráiteas Infheidhmeachta mar a mholtar in Zenith Blueprint, Céim 13.
- Clibeáil na rialuithe in Zenith Controls mar 5.7, 8.8 agus 8.32, ansin cuir fianaise tacaíochta le haghaidh bainistíocht soláthraithe, rialachas scamall, logáil, bainistíocht teagmhas agus leanúnachas gnó nuair is ábhartha.
Ar deireadh, caomhnaigh fianaise iniúchta. Sainmhíníonn Beartas Faireacháin Iniúchta agus Comhlíonta fiontair Clarysec Beartas Faireacháin Iniúchta agus Comhlíonta, dá dtagraítear freisin mar P33 Beartas Faireacháin Iniúchta agus Comhlíonta, cuspóir sainráite:
Fianaise inchosanta agus rian iniúchta a ghiniúint mar thaca le fiosrúcháin rialála, imeachtaí dlíthiúla nó iarrataí dearbhaithe custaiméara.
Ón rannán “Cuspóirí”, clásal beartais 3.4.
Sin é cuspóir an tsreafa oibre. Ní hamháin go bhfuil leochaileacht á socrú agat. Tá fianaise inchosanta á táirgeadh agat gur ghníomhaigh an eagraíocht go comhréireach, go tráthúil agus faoi smacht.
Conas a thástálfaidh iniúchóirí an cinneadh KEV céanna
Ba cheart do phróiseas aibí do leochaileachtaí ar eol go bhfuil siad á saothrú seasamh faoi lionsaí éagsúla iniúchta.
Tosóidh iniúchóir ISO 27001:2022 le raon feidhme an ISMS, páirtithe leasmhara, oibleagáidí rialála, modh measúnaithe riosca, Ráiteas Infheidhmeachta agus faisnéis dhoiciméadaithe. Fiafróidh siad an bhfuil faisnéis bagairtí comhtháite i measúnú riosca, an bhfuil bainistíocht leochaileachtaí in-athdhéanta, an bhfuil athruithe éigeandála rialaithe, an nglacann an t-úinéir riosca ceart leis an riosca iarmharach agus an gcoinnítear fianaise.
Díreoidh measúnóir atá dírithe ar NIS2 ar chuntasacht bainistíochta, bearta bainistíochta riosca Article 21, leochaileachtaí soláthraithe, láimhseáil teagmhas, leanúnachas gnó agus measúnú teagmhais shuntasaigh Article 23. Beidh suim acu i stampaí ama, uaschéimniú, taifid cinnidh agus cibé ar cuireadh comhlachtaí bainistíochta ar an eolas nuair ba chuí.
Fiafróidh iniúchóir DORA nó údarás inniúil cibé ar ghabh creat bainistíochta riosca TFC an tsócmhainn lena mbaineann, an fheidhm ghnó, an spleáchas agus an tseirbhís tríú páirtí. Beidh siad ag súil le haicmiú teagmhais, taifid ar bhagairtí cibear suntasacha, uaschéimniú bainistíochta, obair leantach ar bhunchúis, fianaise soláthraithe, tástáil agus rianú leighis.
Fiafróidh athbhreithneoir GDPR an raibh sonraí pearsanta i gceist, an bhféadfadh rúndacht, sláine nó infhaighteacht a bheith buailte, cad iad na bearta teicniúla agus eagraíochtúla a bhí i bhfeidhm, ar measadh fógra sáraithe agus an bhfuil fianaise chuntasachta ann.
Féadfaidh measúnóir NIST CSF 2.0 an CSF Core agus Profiles a úsáid chun tástáil a dhéanamh an bhfuil torthaí rialachais, sainaithinte, cosanta, braite, freagartha agus téarnaimh sainithe agus tomhaiste. D’fhéadfadh Spriocphróifíl phraiticiúil a rá: “Triáistítear gach leochaileacht ar eol go bhfuil sí á saothrú agus a théann i bhfeidhm ar shócmhainní criticiúla atá os comhair an idirlín laistigh de 24 uair an chloig, déantar cóireáil uirthi laistigh de 72 uair an chloig nó déantar eisceacht fhoirmiúil di le rialuithe cúiteacha agus formheas úinéara riosca.”
Fiafróidh iniúchóir COBIT 19 cé atá cuntasach, an bhfuil cuspóirí rialachais sainithe, an spreagann goile riosca an phráinn, an ndéantar táscairí feidhmíochta a athbhreithniú, an ndéantar faireachán ar eisceachtaí agus an ndéanann feidhmeanna dearbhaithe an próiseas a thástáil go neamhspleách.
Ba cheart don taifead fianaise céanna iad uile a fhreagairt. Sin é luach na hinnealtóireachta traschomhlíonta.
Na méadrachtaí ba cheart don bhord a fheiceáil
Ní gá do bhoird liosta de gach CVE. Teastaíonn méadrachtaí ar chaighdeán cinnteoireachta uathu a léiríonn nochtadh, freagrúlacht agus riosca iarmharach. Maidir le rialachas leochaileachtaí ar eol go bhfuil siad á saothrú, molann Clarysec tuarascáil ghearr bhainistíochta leis na nithe seo:
| Méadrach | Cén fáth a bhfuil tábhacht leis |
|---|---|
| Líon na meaitseálacha KEV nó EUVD sa tréimhse seo | Léiríonn sé méid an nochta bagairtí |
| Céatadán a théann i bhfeidhm ar shócmhainní atá os comhair an idirlín | Léiríonn sé riosca dhromchla ionsaithe sheachtraigh |
| Céatadán a théann i bhfeidhm ar sheirbhísí criticiúla nó sonraí pearsanta | Léiríonn sé ábharthacht ghnó agus rialála |
| Am airmheánach go triáis | Léiríonn sé luas iontógála |
| Am airmheánach go leigheas | Léiríonn sé éifeachtacht oibríochtúil |
| Líon sáruithe SLA | Léiríonn sé saincheisteanna feidhmíochta rialuithe |
| Eisceachtaí oscailte de réir úinéara riosca | Léiríonn sé cuntasacht riosca iarmharaigh |
| Moilleanna leighis de bharr soláthraithe | Léiríonn sé riosca spleáchais tríú páirtí |
| Imeachtaí saothraithe dearbhaithe | Léiríonn sé ábharthacht teagmhais |
| Sócmhainní leochaileacha athfhillteacha | Léiríonn sé fadhbanna sistéamacha sláinteachais |
Tacaíonn na méadrachtaí seo le hathbhreithniú bainistíochta ISO 27001, cuntasacht bainistíochta NIS2, tuairisciú riosca TFC DORA agus cumarsáid rialachais NIST CSF. Cuidíonn siad freisin le húinéirí gnó a thuiscint cén fáth nach “sonraí TF” iad acmhainn phaistithe, cáilíocht an fhardail sócmhainní, conarthaí soláthraithe agus fuinneoga cothabhála. Is cinntí athléimneachta iad.
Patrúin teipe choitianta le deireadh a chur leo
I measúnuithe Clarysec, teipeann ar rialachas leochaileachtaí ar eol go bhfuil siad á saothrú ar bhealaí intuartha de ghnáth.
Ar dtús, bíonn foinsí faisnéise neamhfhoirmiúil. Leanann innealtóir slándála amháin CISA KEV, leanann duine eile feasacháin díoltóra, agus braitheann an tríú duine ar aschur scanóra. Níl aon chlár faisnéise bagairtí doiciméadaithe ann, ná riail bailíochtaithe, ná úinéireacht.
Ar an dara dul síos, bíonn comhghaolú sócmhainní lag. Tá a fhios ag an eagraíocht go bhfuil CVE ann ach ní féidir léi a shainaithint go tapa cá ritheann an táirge, an bhfuil sé os comhair an idirlín, cé leis é, cad iad na sonraí a phróiseálann sé nó cén soláthraí a bhainistíonn é.
Ar an tríú dul síos, bíonn athrú éigeandála ró-mhall nó ró-neamhrialaithe. Fanann foirne laethanta ar fhormheas, nó paistíonn siad an timpeallacht táirgthe gan nótaí ais-rollta, bailíochtú ná athbhreithniú cúlghabhálach.
Ar an gceathrú dul síos, bíonn eisceachtaí doiléir. Ní glacadh le riosca é “ní féidir paistiú mar gheall ar thionchar gnó”. Ní mór d’eisceacht cheart an srian, na sócmhainní lena mbaineann, rialuithe cúiteacha, riosca iarmharach, formheastóir, dáta éaga agus minicíocht athbhreithnithe a shainiú.
Ar an gcúigiú dul síos, bíonn fianaise scaipthe. Bíonn gabhálacha scáileáin scanóra, formheasanna comhrá, ríomhphoist díoltóra, fiosruithe SIEM agus taifid athraithe i suíomhanna éagsúla. Le linn iniúchta nó fiosrúcháin rialála, ní féidir leis an eagraíocht amlíne an chinnidh a atógáil.
Ní níos mó torainn atá mar leigheas. Is sreabhadh oibre rialachais aonair atá tiomáinte ag saothrú é, a chomhtháthaíonn próisis faisnéise, riosca, athraithe, teagmhais, soláthraithe agus fianaise.
Tóg d’inneall fianaise atá tiomáinte ag saothrú
Fanfaidh leochaileachtaí ar eol go bhfuil siad á saothrú ina n-ábhar imní oibríochtúil ardtoirte in 2026. Déanann CISA KEV agus ENISA EUVD faisnéis saothraithe níos infheicthe, ach ní shásaíonn infheictheacht amháin ionchais fianaise ISO 27001:2022, NIS2, DORA ná GDPR. Teastaíonn próiseas rialaithe uait a thiontaíonn faisnéis ina gníomh agus gníomh ina chruthúnas.
Tosaigh le ceithre bheart:
- Tóg clár faisnéise bagairtí ag úsáid Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, céim Controls in Action, Céim 22.
- Ailínigh rialacha beartais le Beartas um Bainistíocht Leochaileachtaí agus Paistí Clarysec Beartas um Bainistíocht Leochaileachtaí agus Paistí nó Vulnerability and Patch Management Policy-sme Vulnerability and Patch Management Policy-sme - SME.
- Úsáid Zenith Controls: The Cross-Compliance Guide Zenith Controls chun 5.7 Threat intelligence, 8.8 Management of Technical Vulnerabilities agus 8.32 Change Management a mhapáil le riachtanais fianaise ISO, NIS2, DORA, GDPR, NIST agus COBIT.
- Tástáil cás fíor KEV nó EUVD amháin ó cheann ceann go ceann, ón iontógáil go leigheas, láimhseáil eisceachtaí, athrú éigeandála, bailíochtú agus tuairisciú don bhainistíocht.
Is féidir le Clarysec cabhrú leat é seo a thiontú ina shamhail oibríochta atá ag obair agus réidh don iniúchadh: beartais, cláir, teimpléid fianaise, mapálacha traschomhlíonta agus tuairisciú ar leibhéal an bhoird a dhéanann leigheas atá tiomáinte ag saothrú inchosanta os comhair an iniúchóra, an rialálaí agus do chustaiméirí.
Íoslódáil Zenith Blueprint, fiosraigh Zenith Controls, nó iarr measúnú ullmhachta Clarysec chun do shreabhadh oibre rialachais CISA KEV agus ENISA EUVD a thógáil sula dtiocfaidh an chéad leochaileacht Dé hAoine eile chun bheith ina ceist don bhord.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
