⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
GA EN BG CS DA DE EL ES ET FI FR HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 19

Raon feidhme ISMS ISO 27001 le haghaidh NIS2, DORA agus GDPR

Igor Petreski
14 min read
#Bainistíocht riosca #Iniúchadh #ISMS #Bainistíocht soláthraithe #Cosaint sonraí #Leanúnachas gnó #Bainistíocht sócmhainní
Mapáil raon feidhme ISMS ISO 27001 le haghaidh comhlíonadh NIS2, DORA agus GDPR

Cheap Maria, an CISO i gcuideachta fintech Eorpach a bhí ag fás go tapa, go raibh iniúchadh faireachais ISO 27001 faoi smacht aici.

Bhí an deimhniú úr. Bhí cuma aibí ar an ráiteas infheidhmeachta. Chlúdaigh an ráiteas raon feidhme “an córas corparáideach bainistíochta slándála faisnéise a thacaíonn le hoibríochtaí ardáin SaaS.” Bhí an timpeallacht táirgthe néil doiciméadaithe. Bhí nós imeachta freagartha ar theagmhais ann. Bhí úinéirí, dátaí agus rátálacha riosca iarmharaigh sa chlár rioscaí.

Ansin chuir an t-iniúchóir ceist shimplí amháin:

“Cé na codanna den ardán SaaS seo atá laistigh den raon feidhme freisin do chlárú NIS2, cé na seirbhísí seachfhoinsithe a thacaíonn le feidhmeanna criticiúla nó tábhachtacha DORA do bhur gcustaiméirí airgeadais, agus cá díreach a bpróiseáiltear sonraí pearsanta faoi GDPR?”

Tháinig tost ar an seomra.

D’oscail an fhoireann dlí scarbhileog d’oibleagáidí rialála. D’oscail an fhoireann táirgí léaráid ailtireachta. D’oscail an tOifigeach Cosanta Sonraí na taifid ar ghníomhaíochtaí próiseála. D’oscail Soláthar an liosta soláthraithe. D’oscail Oibríochtaí na pleananna athshlánaithe ó thubaiste. Ní raibh aon cheann acu comhoiriúnach lena chéile.

Dúirt raon feidhme an ISMS “ardán SaaS.” D’aithin measúnú NIS2 seirbhísí bonneagair dhigitigh i roinnt Ballstát. Chuir conarthaí custaiméirí síos ar an ardán mar thacaíocht d’oibríochtaí airgeadais rialáilte. Áiríodh i dtaifid GDPR sonraí aitheantais, teiliméadracht, seoltaí IP, meiteashonraí íocaíochta, ticéid tacaíochta agus anailísíocht fhochonraithe. Chlúdaigh na pleananna athshlánaithe ó thubaiste an timpeallacht táirgthe, ach níor chlúdaigh siad an t-ardán tacaíochta custaiméirí a úsáidtear le haghaidh cumarsáidí sáraithe. Chlúdaigh dícheall cuí soláthraithe an soláthraí óstála, ach níor chlúdaigh sé an tseirbhís bhainistithe braite atá nasctha le logaí táirgthe.

Seo í fadhb raon feidhme ISMS in 2026. Tá deimhniú ISO 27001 luachmhar i gcónaí, ach féadfaidh “íosraon feidhme inmharthana” cúng a bheith ina dhliteanas nuair a bhíonn maoirseoirí, custaiméirí agus iniúchóirí ag súil go míneoidh an córas bainistíochta céanna seirbhísí riachtanacha NIS2, feidhmeanna criticiúla nó tábhachtacha DORA agus teorainneacha próiseála GDPR.

Maidir le ISO/IEC 27001:2022, NIS2, DORA agus GDPR, ní locht riaracháin amháin é raon feidhme lag. Is é an chéad dhoiminó é. Má tá an raon feidhme mícheart, tá an measúnú riosca neamhiomlán, tá an SoA míthreorach, fágtar soláthraithe criticiúla ar lár ó rialuithe soláthraithe, éiríonn cloig tuairiscithe teagmhas éiginnte agus scoilteann cuntasacht phríobháideachais thar fhoirne.

Cén fáth ar teorainn rialála anois é raon feidhme ISMS ISO 27001

Éilíonn ISO/IEC 27001:2022 Clásal 4.3 ar eagraíocht teorainneacha agus infheidhmeacht an ISMS a chinneadh, agus saincheisteanna inmheánacha agus seachtracha, ceanglais páirtithe leasmhara, agus comhéadain agus spleáchais le heagraíochtaí eile á gcur san áireamh ISO/IEC 27001:2022.

Tá níos mó tábhachta ag baint leis an teanga sin in 2026 ná mar a bhí i dtimthriallta deimhniúcháin roimhe seo. Ní nótaí imeallacha iad NIS2, DORA, GDPR, seachfhoinsiú néil, conarthaí custaiméirí, seirbhísí teicneolaíochta grúpa ná soláthraithe seirbhíse bainistithe. Is ionchuir iad i dteorainn an ISMS.

Ardaíonn NIS2 an tairseach rialachais d’eintitis riachtanacha agus thábhachtacha. Éilíonn sé ar chomhlachtaí bainistíochta bearta bainistíochta riosca cibearshlándála a fhormheas, maoirseacht a dhéanamh ar a gcur chun feidhme agus oiliúint a fháil. Éilíonn NIS2 Airteagal 21 bearta teicniúla, oibríochtúla agus eagraíochtúla atá iomchuí agus comhréireach, lena n-áirítear anailís riosca, láimhseáil teagmhas, leanúnachas gnó, slándáil an tslabhra soláthair, éadáil agus forbairt shlán, measúnú éifeachtachta, sláinteachas cibearshlándála, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana, bainistíocht sócmhainní agus fíordheimhniú ilfhachtóra nuair is iomchuí.

Athraíonn DORA an comhrá maidir le raon feidhme d’eintitis airgeadais. Tá feidhm aige ón 17 Eanáir 2025 agus bunaíonn sé ceanglais aonfhoirmeacha do bhainistíocht riosca TFC, tuairisciú teagmhas a bhaineann le TFC, tástáil athléimneachta oibríochtúla digití, socruithe comhroinnte faisnéise agus bainistíocht riosca tríú páirtí TFC. Éilíonn DORA Airteagal 6 creat doiciméadaithe bainistíochta riosca TFC. Éilíonn DORA Airteagal 8 sainaithint, aicmiú agus doiciméadú ar fheidhmeanna gnó a dtacaíonn TFC leo, sócmhainní faisnéise agus sócmhainní TFC, lena n-áirítear spleáchais. Éilíonn DORA Airteagal 28 bainistíocht riosca tríú páirtí TFC.

Cuireann GDPR ais na sonraí pearsanta leis. Tá feidhm aige maidir le próiseáil uathoibrithe nó struchtúrtha sonraí pearsanta, lena n-áirítear próiseáil ag bunaíochtaí AE agus ag rialaitheoirí nó próiseálaithe áirithe nach bhfuil san AE a thairgeann earraí nó seirbhísí do dhaoine san Aontas nó a dhéanann faireachán ar a n-iompar. Éilíonn GDPR Airteagal 30 taifid ar ghníomhaíochtaí próiseála, éilíonn Airteagal 32 slándáil na próiseála, agus socraíonn Airteagal 33 ionchais maidir le fógra sáraithe.

Dá bhrí sin, ní scríobhtar raon feidhme ISMS inchosanta thart ar ranna. Scríobtar é thart ar sheirbhísí rialáilte, feidhmeanna criticiúla nó tábhachtacha, próiseáil sonraí pearsanta, sócmhainní tacaíochta agus spleáchais tríú páirtí.

An botún: ISO 27001, NIS2, DORA agus GDPR a láimhseáil mar chláir ar leith

Feictear patrún coitianta i go leor eagraíochtaí:

  • Dréachtaíonn Slándáil raon feidhme ISO 27001.
  • Déanann Dlí measúnú ar infheidhmeacht NIS2.
  • Bainistíonn Riosca nó Comhlíonadh oibleagáidí DORA.
  • Coinníonn Príobháideachas taifid GDPR ar ghníomhaíochtaí próiseála.
  • Is le Soláthar an liosta soláthraithe.
  • Is le hOibríochtaí leanúnachas gnó agus athshlánú ó thubaiste.

D’fhéadfadh gach foireann a bheith ag déanamh obair réasúnta. Is í an fhadhb go ngearrann an réaltacht rialáilte trasna orthu go léir.

D’fhéadfadh seirbhís aitheantais custaiméirí i dtimpeallacht néil tacú le soláthar seirbhíse NIS2, oibríochtaí custaiméirí rialáilte faoi DORA agus próiseáil sonraí pearsanta GDPR ag an am céanna. D’fhéadfadh soláthraí bainistithe braite a bheith ina sholáthraí slándála, ina spleáchas freagartha ar theagmhais, ina phróiseálaí nó ina fhophróiseálaí sonraí logaí agus ina ionchur lárnach i gcinntí fógra rialála. D’fhéadfadh ardán tacaíochta a bheith measta mar “neamhtháirgthe,” agus é fós ag láimhseáil cumarsáidí sáraithe sonraí pearsanta agus iarrataí fianaise ó chustaiméirí.

Is é an ISMS an áit is fearr chun na hoibleagáidí sin a chomhtháthú toisc go gcuireann ISO 27001 ceist smachtaithe amháin: cad atá laistigh den teorainn, cad atá lasmuigh di, agus cén fáth?

Téann Zenith Blueprint: Treochlár 30 céim d’iniúchóir de chuid Clarysec Zenith Blueprint i ngleic leis seo sa chéim Bonnú agus Ceannaireacht ISMS, Céim 2: Ceanglais Páirtithe Leasmhara agus Raon Feidhme ISMS:

“Agus an comhthéacs tuigthe agus ceanglais páirtithe leasmhara sainaitheanta, iarrann Clásal 4.3 ort teorainneacha agus infheidhmeacht an ISMS a chinneadh chun a raon feidhme a bhunú. Is sainmhíniú ríthábhachtach é raon feidhme an ISMS a leagann síos cad atá san áireamh faoi do chlár bainistíochta slándála, agus cad nach bhfuil.”

Cuireann Zenith Blueprint béim freisin ar phointe a chailleann go leor ráiteas raon feidhme fós:

“Má sheachfhoinsíonn tú do bhonneagar TF chuig soláthraí néil, ní fhágann sé sin lasmuigh den raon feidhme é; ina ionad sin, áiríonn tú bainistíocht an chaidrimh sin agus na sócmhainní néil mar chuid den raon feidhme.”

Aistríonn seachfhoinsiú an forghníomhú. Ní scriosann sé cuntasacht.

An tsamhail ceithre theorainn do raon feidhme ISO 27001 in 2026

I gcás eagraíochtaí a bhfuil NIS2, DORA agus GDPR ag dul i bhfeidhm orthu, molann Clarysec raon feidhme ISMS ISO 27001 a shainiú trí cheithre theorainn nasctha.

TeorainnPríomhcheist raon feidhmeFianaise thipiciúilÁbharthacht rialála
Teorainn seirbhíseCé na seirbhísí a sholáthraítear do chustaiméirí, saoránaigh, othair, eintitis airgeadais nó páirtithe leasmhara rialáilte eile?Catalóg seirbhísí, measúnú infheidhmeachta NIS2, conarthaí custaiméirí, léaráidí ailtireachtaAicmiú NIS2 mar eintiteas riachtanach nó tábhachtach agus anailís tionchair seirbhíse
Teorainn feidhmeCé na próisis ghnó nó seirbhísí TFC a thacaíonn le feidhmeanna criticiúla nó tábhachtacha?BIA, mapáil feidhmeanna criticiúla DORA, straitéis athléimneachta, taifid RTO agus RPOBainistíocht riosca TFC DORA, tástáil athléimneachta oibríochtúla agus riosca tríú páirtí
Teorainn phróiseálaCá mbailítear, stóráiltear, úsáidtear, aistrítear, logáiltear, tacaítear nó scriostar sonraí pearsanta?RoPA, léarscáileanna sreafa sonraí, DPIAnna, liosta próiseálaithe, sceideal coinneálaCuntasacht GDPR, slándáil na próiseála agus freagairt ar sháruithe
Teorainn spleáchaisCé na soláthraithe, seirbhísí néil, fochonraitheoirí agus seirbhísí comhroinnte inmheánacha a thacaíonn leis an méid thuas?Clár soláthraithe, conarthaí, fardal néil, pleananna scoir, taifid faireacháinSlándáil an tslabhra soláthair NIS2, riosca tríú páirtí TFC DORA agus rialuithe soláthraithe ISO 27001

Ní deir ráiteas raon feidhme lag ach “an t-ardán SaaS.” Deir ráiteas níos láidre cé na seirbhísí gnó, córais, timpeallachtaí, láithreacha, gníomhaíochtaí próiseála sonraí, grúpaí pearsanra, caidrimh soláthraithe agus próisis bhainistíochta atá san áireamh.

D’fhéadfadh leagan níos inchosanta a léamh mar seo:

“Clúdaíonn an ISMS rialachas, bainistíocht riosca, oibriú agus feabhsú leanúnach slándála faisnéise d’ardán anailísíochta íocaíochtaí SaaS AE na cuideachta, lena n-áirítear timpeallachtaí táirgthe agus neamhtháirgthe sa néal, seirbhísí aitheantais custaiméirí, comhéadain riaracháin, oibríochtaí tacaíochta, ardáin logála agus faireacháin, freagairt ar theagmhais, leanúnachas gnó, bainistíocht soláthraithe agus gach gníomhaíocht próiseála sonraí pearsanta a thacaíonn leis an tseirbhís. Áirítear san ISMS bainistíocht óstála néil sheachfhoinsithe, braite bainistithe agus uirlisí tacaíochta custaiméirí a úsáidtear le haghaidh seachadadh seirbhíse, athléimneacht, faireachán slándála nó cumarsáidí a bhaineann le GDPR.”

Ní hamháin go bhfuil an raon feidhme sin níos faide. Tá sé níos in-iniúchta toisc go nascann sé seirbhísí, sócmhainní, próiseáil agus spleáchais.

Conas a aistríonn beartais Clarysec raon feidhme go teanga rialachais

Níor cheart do raon feidhme maireachtáil i ndoiciméad aonair. Ní mór dó ailíniú leis an mbeartas slándála faisnéise, comhlíonadh dlíthiúil agus rialála, bainistíocht riosca, príobháideachas, rialachas soláthraithe, critéir iniúchta agus pleanáil leanúnachais.

Cuireann Beartas Slándála Faisnéise Fiontair Beartas Slándála Faisnéise deireadh le débhríocht maidir le heisiamh:

“Ní mór aon eisiamh nó teorainneacha ar an raon feidhme seo a dhoiciméadú i Ráiteas Raon Feidhme an ISMS agus a chosaint le faomhadh foirmiúil ón ardbhainistíocht.”

Tá tábhacht leis an gclásal seo nuair a mhaíonn aonad gnó go bhfuil tacaíocht custaiméirí lasmuigh den ardán, cé go mbíonn gníomhairí tacaíochta ag rochtain aitheantóirí custaiméirí agus ag láimhseáil cumarsáidí sáraithe. Ní féidir eisiamh a dhéanamh ach má dhéantar é a dhoiciméadú, a chosaint agus a fhormheas.

Déanann Beartas um Chomhlíonadh Dlíthiúil agus Rialála Fiontair Beartas um Chomhlíonadh Dlíthiúil agus Rialála mapáil dhlíthiúil oibríochtúil:

“Ní mór gach oibleagáid dhlíthiúil agus rialála a mhapáil chuig beartais, rialuithe agus úinéirí sonracha laistigh den Chóras Bainistíochta Slándála Faisnéise (ISMS).”

Is é seo an droichead idir infheidhmeacht dhlíthiúil agus an ráiteas infheidhmeachta. Níor cheart do NIS2 Airteagal 21 fanacht i meamram dlíthiúil. Níor cheart d’oibleagáidí tríú páirtí TFC DORA fanacht i dtreoir soláthair amháin. Níor cheart d’oibleagáidí GDPR Airteagal 30 agus Airteagal 32 suí sa chlár príobháideachais amháin. Teastaíonn úinéirí, rialuithe agus fianaise mhapáilte uathu.

Leathnaíonn Beartas Bainistíochta Riosca Fiontair Beartas Bainistíochta Riosca an raon feidhme chuig tríú páirtithe:

“Tá feidhm ag an mbeartas seo maidir le gach aonad eagraíochtúil, próiseas gnó, córas, pearsanra agus caidreamh tríú páirtí a bhfuil baint acu le láimhseáil, forbairt, stóráil nó bainistíocht sócmhainní faisnéise.”

Ailíníonn an fhoclaíocht sin le slándáil an tslabhra soláthair NIS2, riosca tríú páirtí TFC DORA agus cuntasacht rialaitheora nó próiseálaí GDPR.

Ceanglaíonn Beartas um Chosaint Sonraí agus Príobháideachas Fiontair Beartas um Chosaint Sonraí agus Príobháideachas raon feidhme príobháideachais leis an bpróiseáil:

“Tá feidhm ag an mbeartas seo maidir le gach aonad eagraíochtúil, pearsanra agus córas a bhfuil baint acu le próiseáil faisnéise inaitheanta pearsanta (PII), lena n-áirítear: ”

Tá an prionsabal cinntitheach. Má phróiseálann córas PII, ní féidir leis a bheith dofheicthe don ISMS toisc gur “tacaíocht amháin,” “neamhtháirgthe” nó “faoi úinéireacht na margaíochta” é.

Ceanglaíonn Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste Fiontair Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste raon feidhme le torthaí BIA:

“Tá feidhm ag an mbeartas seo maidir le gach aonad eagraíochtúil, córas faisnéise, próiseas gnó, pearsanra agus seirbhís tríú páirtí atá aicmithe mar chriticiúil nó riachtanach bunaithe ar thorthaí na hAnailíse Tionchair ar an nGnó (BIA).”

Ailíníonn an clásal sin go nádúrtha le feidhmeanna criticiúla nó tábhachtacha DORA agus le leanúnachas seirbhíse NIS2.

I gcás eagraíochtaí níos lú, coinníonn beartais SME Clarysec an fhoclaíocht gonta agus caomhnaíonn siad an loighic chéanna. Sainmhíníonn Beartas Faireacháin Iniúchta agus Comhlíonta-sme SME Beartas Faireacháin Iniúchta agus Comhlíonta-sme - SME clúdach iniúchta mar:

“Gach rialú agus córas laistigh de raon feidhme an Chórais Bainistíochta Slándála Faisnéise (ISMS)”

Sainmhíníonn Beartas um Chosaint Sonraí agus Príobháideachas-sme SME Beartas um Chosaint Sonraí agus Príobháideachas-sme - SME raon feidhme príobháideachais mar:

“Aon chóras, feidhmchlár nó láthair ina stóráiltear nó ina dtarchuirtear sonraí pearsanta”

Coinníonn Beartas Bainistíochta Riosca-sme SME Beartas Bainistíochta Riosca-sme - SME seirbhísí seachfhoinsithe infheicthe:

“Gach faisnéis, seirbhís agus sócmhainn atá á mbainistiú go hinmheánach nó trí thríú páirtithe”

Tá clásail ghearra mar seo cumhachtach toisc go stopann siad teorainn deimhniúcháin ó shonraí rialáilte, seirbhísí néil nó sócmhainní arna mbainistiú ag soláthraithe a eisiamh.

Is é an fardal sócmhainní an áit a n-éiríonn raon feidhme fíor

Ní bhíonn ráiteas raon feidhme inchreidte ach amháin más féidir é a rianú chuig sócmhainní, úinéirí, soláthraithe, sreafaí sonraí agus fianaise.

Sa chéim Bainistíocht Riosca, Céim 9: Sócmhainní, Bagairtí agus Leochaileachtaí a Aithint, treoraíonn Zenith Blueprint d’eagraíochtaí sócmhainní i raon feidhme an ISMS a liostú agus úinéir, láthair agus aicmiú a thaifeadadh. Tugann sé sampla praiticiúil:

“Bunachar Sonraí Custaiméirí – faoi úinéireacht na Roinne TF – óstáilte ar AWS – tá sonraí pearsanta agus airgeadais ann (íogaireacht ard).”

Cuireann an chéim chéanna meabhrúchán raon feidhme leis atá ábhartha go díreach do NIS2 agus GDPR:

“Cinntigh go bhfuil sócmhainní sonraí pearsanta marcáilte (maidir le hábharthacht GDPR) agus go bhfuil sócmhainní seirbhíse criticiúla tugtha faoi deara (maidir le hinfheidhmeacht fhéideartha NIS2 má tá tú in earnáil rialáilte).”

Déileálann Zenith Controls: An Treoir Tras-Chomhlíonta de chuid Clarysec Zenith Controls le rialú 5.9 de ISO/IEC 27002:2022, Fardal faisnéise agus sócmhainní gaolmhara eile, mar rialú bunúsach tras-chomhlíonta. Aicmíonn a thréithe an rialú mar rialú coisctheach, a thacaíonn le rúndacht, sláine, infhaighteacht, ailínithe le coincheap cibearshlándála Identify, cumas oibríochtúil bainistíochta sócmhainní, agus fearainn rialachais, éiceachórais agus cosanta.

Míníonn Zenith Controls ábharthacht GDPR agus NIS2 go soiléir:

“Gan Fardal Sócmhainní cruinn agus cothrom le dáta, ní féidir le heagraíochtaí cosaintí iomchuí a mheas ná a chur chun feidhme.”

I gcás NIS2, tacaíonn fardal sócmhainní le córais chriticiúla agus comhpháirteanna a shainaithint a thacaíonn le seirbhísí riachtanacha nó tábhachtacha. I gcás DORA, déanann DORA Airteagal 8 sainaithint sócmhainní TFC agus sócmhainní faisnéise lárnach don athléimneacht oibríochtúil. I gcás GDPR, tacaíonn an fardal sócmhainní le mapáil sreafaí sonraí, cáilíocht RoPA agus freagairt ar sháruithe.

Neartaíonn caighdeáin tacaíochta ISO an loighic chéanna. Neartaíonn ISO/IEC 27005:2024 sainaithint sócmhainní i measúnú riosca slándála faisnéise. Tacaíonn ISO 22301:2019 le hacmhainní a aithint atá de dhíth le haghaidh leanúnachas gnó. Tacaíonn ISO/IEC 19770-1:2017 le haibíocht bainistíochta sócmhainní TF. Tacaíonn ISO/IEC 27017:2015 agus ISO/IEC 27018:2019 le rialuithe néal-shonracha agus le cosaint PII i néalta poiblí. Leathnaíonn ISO/IEC 27701:2019 bainistíocht faisnéise príobháideachais. Cuireann ISO/IEC 29100:2011 prionsabail phríobháideachais ar fáil, amhail trédhearcacht, íoslaghdú agus coimircí slándála.

Cleachtadh praiticiúil raon feidhme d’fhoirne SaaS agus fintech

Tosaigh le seirbhís rialáilte amháin, ní leis an gcuideachta ar fad. Mar shampla: “SaaS anailísíochta íocaíochtaí AE d’institiúidí airgeadais.”

Ansin tóg léarscáil ó sheirbhís go sócmhainn go próiseáil.

Eilimint raon feidhmeIontráil shamplachCén fáth a mbaineann sí leis an raon feidhme
Seirbhís rialáilteSaaS anailísíochta íocaíochtaí AED’fhéadfadh sí tacú le haicmiú seirbhíse digití NIS2 agus le hoibleagáidí rialála custaiméirí
Feidhm chriticiúil nó thábhachtachPainéal faireacháin idirbheart do chustaiméirí airgeadais rialáilteD’fhéadfadh custaiméirí í a láimhseáil mar thacaíocht d’fheidhmeanna criticiúla nó tábhachtacha DORA
Próiseáil sonraí pearsantaAitheantas úsáideora, sonraí teagmhála custaiméirí, seoltaí IP, ticéid tacaíochta, logaí iniúchtaTá feidhm ag GDPR maidir le próiseáil uathoibrithe nó struchtúrtha sonraí pearsanta
PríomhshócmhainníTionónta néil táirgthe, braisle bunachair sonraí, geata API, IAM, píblíne CI/CD, cruach faireacháinRiachtanach do mheasúnú riosca ISO 27001, bainistíocht sócmhainní NIS2 agus infheictheacht TFC DORA
PríomhsholáthraitheSoláthraí néil, soláthraí bainistithe braite, SaaS tacaíochta custaiméirí, seirbhís ríomhphoist, soláthraí cúltacaRiachtanach do shlándáil an tslabhra soláthair NIS2 agus do riosca tríú páirtí TFC DORA
Spleáchais leanúnachaisBoghta cúltaca, réigiún athshlánaithe ó thubaiste, cumarsáidí tacaíochta, droichead teagmhaisRiachtanach d’athléimneacht DORA agus do leanúnachas gnó NIS2
Úinéirí fianaiseCISO, OCS, Ceannaire Innealtóireachta, Ceannaire Soláthair, Úinéir SeirbhíseRiachtanach do chuntasacht iniúchta agus d’athbhreithniú bainistíochta

D’fhéadfadh sampla sócmhainní níos mionsonraithe a bheith mar seo.

Ainm nó tuairisc sócmhainneÚinéirSeirbhís ghnó a dtacaítear léiÁbharthacht rialálaI raon feidhme ISMS?Údar
Seirbhís Fíordheimhnithe CustaiméiríCeannaire ArdáinLogáil isteach úsáideora agus MFADORA, GDPR, NIS2Criticiúil do rochtain ar an ardán agus próiseálann sí sonraí pearsanta
Bunachar sonraí stáitsitheFoireann DevOpsTástáil réamhtháirgtheGDPRPróiseálann sé sonraí pearsanta faoi bhréagainm agus féadfaidh sé dul i bhfeidhm ar shlándáil táirgthe
API íocaíochtaí tríú páirtíCeannaire TáirgíPríomhphróiseáil íocaíochtaíDORA, GDPRTá, bainistíocht soláthraíTacaíonn sé le seachadadh seirbhíse criticiúla agus próiseálann sé sonraí pearsanta nó airgeadais
Vicí inmheánachBainisteoir TFDoiciméadacht inmheánachISO 27001Tá sonraí cumraíochta, nósanna imeachta agus doiciméadacht slándála ann
Líonra leithlisithe T&FCeannaire T&FTaighde amach anseoNíl sé infheidhme faoi láthairNílAer-bhearnaithe, gan sonraí táirgthe, gan PII, gan feidhm chriticiúil, eisiamh formheasta go foirmiúil

Ansin, bain úsáid as Zenith Blueprint Céim 13: Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta. Treoraíonn an treoir d’úsáideoirí an SoA a thógáil leis an teimpléad a liostaíonn gach rialú in Iarscríbhinn A agus infheidhmeacht a chinneadh bunaithe ar chóireáil riosca, ceanglais dhlíthiúla nó chonarthacha, ábharthacht raon feidhme agus comhthéacs eagraíochtúil. Deir sí:

“I gcás gach rialaithe (ró) sa bhileog SoA, cinneadh an bhfuil sé Infheidhme maidir le do ISMS.”

Maidir leis an sampla thuas, ba cheart don SoA rialuithe a mheas le haghaidh slándáil soláthraithe, seirbhísí néil, bainistíocht teagmhas, leanúnachas, ceanglais dhlíthiúla agus rialála, príobháideachas, bainistíocht leochaileachtaí, cúltacaí, logáil, faireachán, cripteagrafaíocht, forbairt shlán, tástáil slándála agus bainistíocht athruithe.

Seo sreabhadh oibre praiticiúil:

  1. Cruthaigh cluaisín “Mapáil Raon Feidhme ISMS” sa chlár rioscaí agus sa tógálaí SoA.
  2. Cuir ró amháin leis in aghaidh na seirbhíse rialáilte nó na líne táirge.
  3. Nasc gach seirbhís le sócmhainní, cineálacha sonraí, soláthraithe, láithreacha agus úinéirí gnó.
  4. Marcáil ábharthacht NIS2, ábharthacht DORA agus ábharthacht próiseála GDPR.
  5. Cuir cásanna riosca leis maidir le seirbhís neamh-infhaighte, sárú sonraí pearsanta, teip soláthraí, míchumraíocht néil, leochaileacht chriticiúil agus teip tuairiscithe teagmhais.
  6. Roghnaigh rialuithe SoA bunaithe ar na rioscaí agus na hoibleagáidí sin.
  7. Doiciméadaigh eisiamh, rialuithe cúitimh agus glacadh riosca.
  8. Faigh faomhadh ón ardbhainistíocht do na teorainneacha agus eisiamh deiridh.
  9. Cuir an teorainn deiridh isteach in iniúchadh inmheánach, athbhreithniú bainistíochta agus faireachán soláthraithe.

Ní hamháin gur ráiteas raon feidhme níos fearr an t-aschur. Is slabhra inchosanta é ó sheirbhís rialáilte go sócmhainn, soláthraí, sonraí, rialú, úinéir agus fianaise.

Mapáil tras-chomhlíonta: raon feidhme amháin, go leor oibleagáidí

Éiríonn ISMS ISO 27001 atá scóipeáilte go maith ina chiseal oibríochta inar féidir ionchais NIS2, DORA, GDPR, NIST CSF agus COBIT a réiteach.

Rialú ISO/IEC 27002:2022Príomhluach raon feidhmeÁbharthacht NIS2Ábharthacht DORAÁbharthacht GDPRÁbharthacht NIST CSF agus COBIT
5.9 Fardal faisnéise agus sócmhainní gaolmhara eileAithníonn sé sócmhainní, úinéirí, láithreacha, aicmiú agus spleáchais seirbhíseTacaíonn sé le bainistíocht sócmhainní Airteagal 21 agus le córais a thacaíonn le seirbhísí a shainaithintTacaíonn sé le sainaithint sócmhainní TFC, sócmhainní faisnéise agus feidhmeanna faoi Airteagal 8Tacaíonn sé le cruinneas RoPA, slándáil na próiseála agus imscrúdú sáraitheMapálann sé chuig NIST CSF ID.AM agus COBIT 2019 BAI09 Manage Assets
5.31 Ceanglais dhlíthiúla, reachtúla, rialála agus chonarthachaNascann sé oibleagáidí le beartais, rialuithe, úinéirí agus fianaiseTacaíonn sé le rialachas dualgas NIS2 agus comhlíonadh an tslabhra soláthairTacaíonn sé le bainistíocht riosca TFC, tuairisciú agus oibleagáidí tríú páirtíTacaíonn sé le cuntasacht agus comhlíonadh dlíthiúilMapálann sé chuig NIST CSF GOVERN agus COBIT 2019 MEA03 Managed Compliance with External Requirements
5.34 Príobháideachas agus cosaint PIICinntíonn sé go bhfuil próiseáil sonraí pearsanta infheicthe agus cosantaTacaíonn sé le cosaint sonraí faighteoirí seirbhíse nuair is ábharthaTacaíonn sé le sláine, slándáil agus rúndacht sonraí i seirbhísí TFCTacaíonn sé le GDPR Airteagal 32 agus ionchais maidir le cosaint sonraí de réir dearthaTacaíonn sé le rialachas príobháideachais agus bainistíocht phríobháideachais oibríochtúil

Maidir le rialú 5.31 de ISO/IEC 27002:2022, Ceanglais dhlíthiúla, reachtúla, rialála agus chonarthacha, nascann Zenith Controls oibleagáidí comhlíonta le príobháideachas, cosaint PII, coinneáil taifead, athbhreithniú neamhspleách agus comhlíonadh beartais inmheánaigh. Mapálann sé go nádúrtha chuig cuntasacht GDPR, comhlíonadh an tslabhra soláthair NIS2, bainistíocht riosca TFC agus comhlíonadh DORA, rialachas NIST CSF, agus faireachán comhlíonta seachtrach COBIT 2019.

Maidir le rialú 5.34 de ISO/IEC 27002:2022, Príobháideachas agus cosaint PII, nascann Zenith Controls príobháideachas le fardal sócmhainní, seirbhísí néil, aicmiú, aistriú faisnéise, rialú rochtana, bainistíocht aitheantais agus athbhreithnithe athruithe tionscadail. Clúdaíonn a mhapáil GDPR slándáil na próiseála agus cosaint sonraí de réir deartha. Tacaíonn a mhapáil DORA le sláine, slándáil agus rúndacht sonraí, lena n-áirítear sonraí pearsanta a láimhseáiltear i seirbhísí TFC.

Tá an prionsabal simplí: ná cruthaigh ceithre chlár comhlíonta dícheangailte. Cruthaigh ISMS scóipeáilte amháin atá in ann a mhíniú conas a shásaítear, a fhianaítear agus a n-iniúchtar oibleagáidí.

Raon feidhme tuairiscithe teagmhas: an áit a dtéann teorainneacha i bhfeidhm ar chloig rialála

Bíonn raon feidhme mícheart le feiceáil go pianmhar le linn teagmhas.

Éilíonn NIS2 Airteagal 23 tuairisciú céimnithe ar theagmhais shuntasacha, lena n-áirítear luathrabhadh laistigh de 24 uair an chloig, fógra teagmhais laistigh de 72 uair an chloig, tuarascálacha idirmheánacha nuair a iarrtar iad agus tuarascáil deiridh laistigh de mhí amháin. D’fhéadfadh cumarsáid le faighteoirí lena mbaineann a bheith de dhíth freisin.

Éilíonn DORA ar eintitis airgeadais teagmhais mhóra a bhaineann le TFC a bhrath, a bhainistiú, a aicmiú agus a thuairisciú trí chritéir amhail cliaint nó contrapháirtithe lena mbaineann, fad, aga neamhfhónaimh, leathadh geografach, caillteanais sonraí, criticiúlacht seirbhísí lena mbaineann agus tionchar eacnamaíoch. Ní mór cliaint a chur ar an eolas gan mhoill mhíchuí nuair a théann mórtheagmhas TFC i bhfeidhm ar a leasanna airgeadais.

Braitheann fógra sáraithe sonraí pearsanta GDPR ar cé acu an bhfuil scriosadh, caillteanas, athrú, nochtadh neamhúdaraithe nó rochtain neamhúdaraithe ar shonraí pearsanta mar thoradh ar shárú de thaisme nó neamhdhleathach.

Má shuíonn an t-ardán tacaíochta, an timpeallacht logaí, an tseirbhís aitheantais, an cainéal fógra custaiméirí nó an soláthraí bainistithe braite lasmuigh de raon feidhme an ISMS, b’fhéidir nach mbeidh a fhios ag foirne teagmhais an spreagann imeacht NIS2, DORA, GDPR, tuairisciú conartha custaiméara nó iad go léir. Ídíonn an éiginnteacht sin an clog tuairiscithe.

Áiríonn raon feidhme aibí spleáchais a bhaineann le teagmhais: uirlisí braite, stórtha logaí, stórtha fóiréinseacha, bealaí cumarsáide custaiméirí, uirlisí tacaíochta, timpeallachtaí cúltaca, droichid teagmhais agus soláthraithe a bhíonn páirteach i dtriáisiú nó i dtéarnamh.

Conas a thástálfaidh iniúchóirí agus maoirseoirí raon feidhme do ISMS

Seasann raon feidhme láidir le sampláil. Titeann raon feidhme lag as a chéile nuair a chuireann iniúchóirí doiciméid i gcomparáid leis an réaltacht.

Lionsa iniúchtaCad a thástálfaidh an t-iniúchóirFianaise thipiciúil a iarrtar
Iniúchóir ISO 27001An gcuireann an raon feidhme comhthéacs, ceanglais páirtithe leasmhara, comhéadain, spleáchais agus eisiamh doiciméadaithe san áireamhRáiteas raon feidhme ISMS, clár páirtithe leasmhara, clár dlíthiúil, fardal sócmhainní, SoA, faomhadh bainistíochta
Measúnóir dírithe ar NISTAn ailíníonn sócmhainní, soláthraithe, freagairtí riosca, faireachán agus critéir teagmhais leis an teorainn luaitePróifílí reatha agus spriocphróifílí, fardal sócmhainní, clár rioscaí, plean gníomhaíochta, clúdach faireacháin, pleananna teagmhais
Iniúchóir COBIT 2019An gclúdaíonn rialachas oibleagáidí seachtracha, seirbhísí criticiúla, faireachán ar chomhlíonadh agus cuntasachtTuarascálacha boird, mapálacha comhlíonta, úinéireacht seirbhíse, painéil riosca, faireachán de chineál MEA03
Iniúchóir ISACA ITAFAn bhfuil fianaise leordhóthanach, iomchuí agus inrianaithe ó oibleagáidí go rialuithe agus torthaíSócmhainní sampláilte, conarthaí soláthraithe, logaí, clár dlíthiúil, rianta iniúchta, agallaimh le húinéirí
Athbhreithneoir DORAAn bhfuil sócmhainní TFC agus seirbhísí tríú páirtí a thacaíonn le feidhmeanna criticiúla nó tábhachtacha sainaitheanta agus tástáilteClár TFC, mapáil feidhmeanna criticiúla, conarthaí, pleananna scoir, torthaí tástála, taifid teagmhais
Iniúchóir príobháideachaisAn bhfuil próiseáil sonraí pearsanta fardalaithe, cosanta agus nasctha le rialuitheRoPA, DPIAnna, comhaontuithe próiseálaithe, logaí rochtana, fianaise choinneála, nósanna imeachta sáraithe

Soláthraíonn Zenith Controls ionchais úsáideacha iniúchta do rialú 5.9 de ISO/IEC 27002:2022. Iarrann iniúchóirí de chineál ISO/IEC 19011 an fardal go luath chun meastóireachtaí eile a scóipeáil agus chun spotseiceálacha a dhéanamh ar shócmhainní fisiciúla, bogearraí agus néil. Fiafraíonn iniúchóirí de chineál ISO/IEC 27007 conas agus cathain a nuashonraítear an fardal, agus naisc á lorg acu le soláthar, bainistíocht athruithe agus díchoimisiúnú. Fíoraíonn iniúchóirí de chineál NIST SP 800-53A go n-áirítear i sonraí fardail cineál sócmhainne, úinéir, láthair, seoladh líonra nuair is infheidhme agus stádas, agus go bhfuil sócmhainní néil, fíorúla agus soghluaiste san áireamh.

Maidir le rialú 5.31, tugann Zenith Controls faoi deara go mbíonn iniúchóirí deimhniúcháin ag súil le clár comhlíonta nó liosta dlíthe agus conarthaí, tagartha sa SoA agus sna pleananna cóireála riosca. Lorgaíonn iniúchóirí COBIT úinéirí comhlíonta, measúnuithe agus tuairisciú don bhainistíocht shinsearach. Samplaíonn iniúchóirí ISACA ITAF fianaise chun a dheimhniú nach bhfuil a hoibleagáidí ar eolas ag an eagraíocht amháin, ach go gcinntíonn sí go gníomhach go gcomhlíontar iad.

Maidir le rialú 5.34, déanann iniúchóirí athbhreithniú ar bheartais phríobháideachais, fardail sonraí, DPIAnna, logaí oiliúna, fianaise chriptithe, rialuithe rochtana, samplaí DSAR, fianaise phríobháideachas trí dhearadh agus taifid teagmhais a bhaineann le PII. Tabharfar dúshlán go tapa do ráiteas raon feidhme a eisiann córas a phróiseálann sonraí pearsanta.

Ceist an bhoird: cad nach féidir a eisiamh?

Fiafraíonn an ardbhainistíocht go minic an féidir aonad gnó, láthair, soláthraí nó córas a choinneáil lasmuigh de raon feidhme an ISMS. Uaireanta is féidir. Ach ní féidir má chuireann an t-eisiamh cosc ar an eagraíocht oibleagáidí dlíthiúla, rialála, conarthacha nó slándála seirbhíse a chomhlíonadh.

Úsáid an tástáil eisiata seo sula bhformheastar aon teorannú teorann:

  • An dtacaíonn an t-aonad, an córas nó an soláthraí le seirbhís rialáilte faoi NIS2?
  • An dtacaíonn sé le feidhm chriticiúil nó thábhachtach DORA don eagraíocht nó dá custaiméirí rialáilte?
  • An mbailíonn, stórálann, tarchuireann, logálann, tacaíonn nó scriosann sé sonraí pearsanta?
  • An soláthraíonn sé faireachán slándála, aitheantas, cúltaca, freagairt ar theagmhais nó téarnamh do sheirbhís atá laistigh den raon feidhme?
  • An soláthraíonn sé fianaise atá de dhíth le haghaidh aicmiú teagmhais nó fógra rialála?
  • An gceanglaíonn conradh custaiméara go mbeadh sé clúdaithe ag an ISMS?
  • An ndéanfadh a chomhréiteach difear do rúndacht, sláine, infhaighteacht, comhlíonadh dlíthiúil nó leanúnachas seirbhíse laistigh den raon feidhme luaite?

Má tá an freagra dearfach, teastaíonn fianaise láidir, rialachas cúiteach, glacadh riosca agus faomhadh foirmiúil ón ardbhainistíocht don eisiamh. I mórán cásanna, níor cheart é a eisiamh.

Ba cheart do raon feidhme nua-aimseartha ISMS ISO 27001 na nithe seo a áireamh:

  1. Seirbhísí gnó agus línte táirge atá clúdaithe.
  2. Eintitis dhlíthiúla, aonaid eagraíochtúla agus láithreacha atá clúdaithe.
  3. Deighleoga custaiméirí agus dlínsí a thiomáineann oibleagáidí.
  4. Feidhmeanna criticiúla nó tábhachtacha agus seirbhísí riachtanacha bunaithe ar BIA.
  5. Sócmhainní faisnéise, sócmhainní TFC agus timpeallachtaí néil.
  6. Gníomhaíochtaí próiseála sonraí pearsanta agus stórtha PII.
  7. Próisis forbartha, tástála, tacaíochta, faireacháin agus teagmhais.
  8. Soláthraithe agus seirbhísí seachfhoinsithe a thacaíonn le seirbhísí atá laistigh den raon feidhme.
  9. Comhéadain agus spleáchais le cuideachtaí grúpa nó soláthraithe seachtracha.
  10. Eisiamh sainráite le húdar, glacadh riosca agus faomhadh ón ardbhainistíocht.

Seo mar a éiríonn raon feidhme ISO 27001 ina sheasamh rialachais ar leibhéal an bhoird, seachas ina aicearra deimhniúcháin.

Déan raon feidhme do ISMS réidh don iniúchadh sula sainíonn an t-iniúchóir duit é

Is é an t-am is measa le fadhb raon feidhme a aimsiú ná le linn deimhniúcháin, athbhreithniú maoirseachta, dícheall cuí custaiméara nó teagmhas beo.

D’fhéadfadh deimhniú cúng ticbhosca soláthair a shásamh, ach ní sheasfaidh sé le grinnscrúdú dáiríre má eisiann sé na seirbhísí, feidhmeanna TFC, soláthraithe agus próiseáil sonraí pearsanta a chruthaíonn nochtadh rialála. In 2026, is iad na heagraíochtaí a rachaidh trí iniúchtaí go muiníneach na cinn a bheidh in ann léarscáil chomhleanúnach amháin a thaispeáint ó sheirbhís rialáilte go sócmhainn, soláthraí, sonraí pearsanta, rialú, úinéir agus fianaise.

Tosaigh le trí ghníomh nithiúla:

  1. Úsáid Zenith Blueprint Zenith Blueprint Céim: Bonnú agus Ceannaireacht ISMS, Céim 2, chun raon feidhme do ISMS a athdhréachtú thart ar sheirbhísí, feidhmeanna, próiseáil agus spleáchais.
  2. Úsáid Zenith Controls Zenith Controls chun fardal sócmhainní, oibleagáidí dlíthiúla agus cosaint PII a mhapáil thar ionchais iniúchta ISO 27001, NIS2, DORA, GDPR, NIST agus COBIT 2019.
  3. Ailínigh raon feidhme beartais trí úsáid a bhaint as Beartas Slándála Faisnéise Clarysec Beartas Slándála Faisnéise, Beartas um Chomhlíonadh Dlíthiúil agus Rialála Beartas um Chomhlíonadh Dlíthiúil agus Rialála, Beartas Bainistíochta Riosca Beartas Bainistíochta Riosca, Beartas um Chosaint Sonraí agus Príobháideachas Beartas um Chosaint Sonraí agus Príobháideachas agus Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste.

Má léann raon feidhme reatha do ISMS fós cosúil le lipéad roinne, atóg é mar theorainn chomhlíonta. Íoslódáil uirlisí Clarysec, mapáil seirbhís rialáilte amháin ó cheann ceann, agus tiontaigh raon feidhme ISO 27001 ina fhianaise atá réidh don iniúchadh le haghaidh NIS2, DORA agus GDPR.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles