Fianaise ar TOManna GDPR Article 32 le ISO, NIS2 agus DORA
Tagann an ríomhphost isteach i mbosca isteach an Phríomh-Oifigigh Slándála Faisnéise (CISO) leis an meáchan aithnidiúil a bhíonn ag ábhar a d’fhéadfadh ráithe na cuideachta a athrú.
Tá ionchas mór fiontair ag iarraidh fianaise ar “bhearta teicniúla agus eagraíochtúla GDPR Article 32, mapáilte chuig ISO 27001:2022, NIS2 agus DORA nuair is infheidhme.” Ag an am céanna, tá an fheidhm dlí tar éis an Bord Stiúrthóirí a chur ar an eolas faoi dhliteanas bainistíochta NIS2 agus faoi ionchais athléimneachta oibríochtúla DORA. Tá treoir an Bhoird simplí ar an dromchla: comhlíonadh a chruthú, obair dhúbláilte a sheachaint, agus gan é seo a iompú ina thrí thionscadal ar leith.
Tá rialuithe ag an gcuideachta. Tá MFA cumasaithe. Ritheann cúltacaí. Déanann forbróirí athbhreithniú ar chód. Coinníonn an fhoireann phríobháideachais taifid ar ghníomhaíochtaí próiseála. Déanann an fhoireann bonneagair scanadh le haghaidh leochaileachtaí. Déantar athbhreithniú ar sholáthraithe le linn soláthair. Ach nuair a iarrann an t-ionchas fianaise, briseann an freagra ina phíosaí.
Tá tuarascáil an tsoláthraí aitheantais in áit amháin. Tá logaí cúltaca in áit eile. Níor nuashonraíodh an clár rioscaí ó scaoileadh an táirge deireanach. Tá fianaise slándála soláthraithe i ríomhphoist soláthair. Tá nótaí ó chleachtaí boird freagartha do theagmhais ann, ach ní féidir le haon duine a chruthú gur cuireadh na ceachtanna foghlamtha ar ais isteach sa chóireáil riosca. D’fhaomh an Bord Stiúrthóirí caiteachas slándála, ach níl an faomhadh nasctha le riosca TFC ná le cinneadh rialaithe doiciméadaithe.
Sin í an fhadhb cheart le bearta teicniúla agus eagraíochtúla GDPR Article 32, ar a dtugtar TOManna de ghnáth. Ní theipeann ar fhormhór na n-eagraíochtaí toisc nach bhfuil rialuithe acu. Teipeann orthu toisc nach féidir leo a léiriú go bhfuil na rialuithe bunaithe ar riosca, formheasta, curtha chun feidhme, faoi fhaireachán agus feabhsaithe.
Déanann cuntasacht GDPR an t-ionchas sin follasach. Éilíonn GDPR Article 5 go gcosnófar sonraí pearsanta le slándáil chuí i gcoinne próiseáil neamhúdaraithe nó neamhdhleathach agus i gcoinne caillteanais, scriosta nó damáiste de thaisme. Cuireann Article 5(2) freagracht ar an rialaitheoir comhlíonadh a léiriú. Tá sainmhínithe GDPR tábhachtach freisin. Tá sonraí pearsanta fairsing, clúdaíonn próiseáil beagnach gach oibríocht ar shonraí, is coimirce aitheanta é bréagainmniú, agus áirítear i sárú sonraí pearsanta scrios, caillteanas, athrú, nochtadh neamhúdaraithe nó rochtain neamhúdaraithe, bíodh sé de thaisme nó neamhdhleathach.
Dá bhrí sin, ní féidir le comhad fianaise Article 32 a bheith ina fhillteán de scáileáin randamacha. Ní mór dó a bheith ina chóras rialaithe beo.
Is é cur chuige Clarysec ná TOManna GDPR Article 32 a iompú ina inneall fianaise inrianaithe atá tógtha ar ISO/IEC 27001:2022 ISO/IEC 27001:2022, treisithe le bainistíocht riosca ISO/IEC 27005:2022, agus tras-tagartha d’oibleagáidí NIS2 agus DORA nuair a bhaineann siad leis. Ní páipéarachas ar mhaithe leis féin an sprioc. Is é an sprioc an eagraíocht a dhéanamh réidh le haghaidh iniúchta sula gcuireann custaiméir, iniúchóir, rialálaí nó comhalta Boird an cheist dheacair.
Cén fáth a dteipeann ar TOManna GDPR Article 32 sa chleachtas
Is minic a thuigtear Article 32 go mícheart mar liosta uirlisí slándála: criptiú, cúltacaí, logáil, rialú rochtana agus freagairt do theagmhais. Tá na bearta sin tábhachtach, ach ní bhíonn siad inchosanta ach amháin nuair atá siad oiriúnach don riosca agus nasctha le saolré sonraí pearsanta.
I gcás cuideachta SaaS a phróiseálann sonraí fostaithe custaiméirí, ní leor “úsáidimid criptiú”. Féadfaidh iniúchóir fiafraí cé na sonraí a chosnaíonn an criptiú, cá bhfuil criptiú riachtanach, conas a bhainistítear eochracha, an bhfuil cúltacaí criptithe, an bhfuil sonraí táirgthe mascáilte i dtástáil, cé atá in ann rialuithe a sheachbhóthar, agus conas a fhaomhtar eisceachtaí.
Gabhann Beartas um Chosaint Sonraí agus Príobháideachas fiontair Clarysec an prionsabal oibríochta:
“Ní mór bearta teicniúla agus eagraíochtúla (TOManna) a chur chun feidhme chun rúndacht, sláine agus infhaighteacht faisnéise pearsanta inaitheanta (PII) a chosaint ar feadh a saolré.”
Foinse: Beartas um Chosaint Sonraí agus Príobháideachas, Cuspóirí, clásal beartais 3.3. Beartas um Chosaint Sonraí agus Príobháideachas
Is é an frása “ar feadh a saolré” an áit a n-éiríonn go leor clár TOManna lag. D’fhéadfadh sonraí pearsanta a bheith cosanta sa timpeallacht táirgthe ach cóipeáilte isteach i gcórais anailísíochta, logaí, easpórtálacha tacaíochta, timpeallachtaí tástála, cúltacaí, ardáin díoltóirí agus gléasanna fostaithe. Cruthaíonn gach suíomh riosca slándála agus príobháideachais.
Éilíonn GDPR Article 6 bonn dleathach le haghaidh próiseála, lena n-áirítear toiliú, conradh, oibleagáid dhlíthiúil, leasanna ríthábhachtacha, cúram poiblí nó leasanna dlisteanacha. Nuair a athúsáidtear sonraí chun críche breise, ní mór comhoiriúnacht agus coimircí amhail criptiú nó bréagainmniú a mheas. I gcás sonraí riosca níos airde, méadaíonn ualach na fianaise. Cuireann GDPR Article 9 teorainneacha dochta ar chatagóirí speisialta sonraí pearsanta amhail sonraí sláinte, bithmhéadracht a úsáidtear le haghaidh aitheantais agus faisnéis íogair eile. Cuireann Article 10 srian ar shonraí maidir le ciontuithe coiriúla agus cionta.
Do SMEanna, cuireann Clarysec cóireáil riosca in iúl i dteanga phraiticiúil:
“Ní mór rialuithe a chur chun feidhme chun rioscaí sainaitheanta a laghdú, lena n-áirítear criptiú, anaithnidiú, diúscairt shlán agus srianadh rochtana.”
Foinse: Beartas um Chosaint Sonraí agus Príobháideachas - SME, Cóireáil riosca agus eisceachtaí, clásal beartais 7.2.1. Beartas um Chosaint Sonraí agus Príobháideachas - SME
Is bonnlíne láidir TOManna í sin. Chun a bheith réidh le haghaidh iniúchta, ní mór gach rialú a nascadh freisin le riosca, úinéir, ceanglas beartais, mír fianaise agus minicíocht athbhreithnithe.
Is é ISO 27001:2022 cnámh droma fianaise Article 32
Oibríonn ISO 27001:2022 go maith do GDPR Article 32 toisc go gcaitheann sé leis an tslándáil mar chóras bainistíochta, ní mar sheicliosta rialuithe dícheangailte. Éilíonn sé Córas Bainistíochta Slándála Faisnéise, nó ISMS, atá deartha chun rúndacht, sláine agus infhaighteacht a chaomhnú trí bhainistíocht riosca.
Is é raon feidhme an chéad chéim ríthábhachtach. Éilíonn clásail 4.1 go 4.4 de ISO 27001:2022 ar an eagraíocht saincheisteanna inmheánacha agus seachtracha a thuiscint, páirtithe leasmhara agus a gceanglais a shainaithint, a chinneadh cé na ceanglais a dtabharfaidh an ISMS aghaidh orthu, agus raon feidhme an ISMS a shainiú, lena n-áirítear comhéadain agus spleáchais le heagraíochtaí seachtracha. Maidir le TOManna Article 32, ba cheart go léireodh raon feidhme an ISMS próiseáil sonraí pearsanta, oibleagáidí custaiméirí, próiseálaithe, fophhróiseálaithe, ardáin scamall, cianobair, feidhmeanna tacaíochta agus timpeallachtaí táirgí.
Is í an cheannaireacht an dara céim. Éilíonn clásail 5.1 go 5.3 tiomantas ón ardbhainistíocht, Beartas Slándála Faisnéise, acmhainní, róil agus freagrachtaí, agus tuairisciú feidhmíochta. Tá sé seo tábhachtach toisc go mbraitheann GDPR Article 32, NIS2 agus DORA ar rialachas. Is fianaise lag é rialú gan úinéireacht, maoiniú ná athbhreithniú.
Déanann Beartas Slándála Faisnéise fiontair Clarysec é seo soiléir:
“Ní mór teorainneacha raoin feidhme sainithe, modheolaíocht measúnaithe riosca, cuspóirí intomhaiste agus rialuithe doiciméadaithe a bhfuil bonn cirt leo sa Ráiteas Infheidhmeachta (SoA) a bheith san ISMS.”
Foinse: Beartas Slándála Faisnéise, Ceanglais chun an beartas a chur chun feidhme, clásal beartais 6.1.2. Beartas Slándála Faisnéise
Leagann an beartas céanna síos an t-ionchas fianaise:
“Ní mór gach rialú curtha chun feidhme a bheith iniúchta, tacaithe ag nósanna imeachta doiciméadaithe agus ag fianaise choinnithe ar a oibriú.”
Foinse: Beartas Slándála Faisnéise, Ceanglais chun an beartas a chur chun feidhme, clásal beartais 6.6.1.
Éilíonn clásail 6.1.1 go 6.1.3 de ISO 27001:2022 ansin measúnú riosca, cóireáil riosca, Ráiteas Infheidhmeachta, faomhadh riosca iarmharach agus cuntasacht úinéara riosca. Éilíonn clásal 6.2 cuspóirí intomhaiste. Éilíonn clásail 7.5, 9.1, 9.2, 9.3 agus 10.2 faisnéis dhoiciméadaithe, faireachán, iniúchadh inmheánach, athbhreithniú bainistíochta agus gníomh ceartaitheach.
Do GDPR Article 32, cruthaíonn sé seo struchtúr inchosanta.
| Ceist fianaise GDPR Article 32 | Freagra fianaise ISO 27001:2022 |
|---|---|
| Conas a shocraigh sibh cé na TOManna atá oiriúnach? | Critéir measúnaithe riosca, clár rioscaí, scóráil dóchúlachta agus tionchair, Plean Cóireála Riosca |
| Cé na rialuithe atá infheidhme agus cén fáth? | Ráiteas Infheidhmeachta le bonn cirt le háireamh agus le heisiamh |
| Cé a d’fhaomh an riosca iarmharach? | Faomhadh úinéara riosca agus formheas bainistíochta |
| An bhfuil na rialuithe ag feidhmiú? | Logaí, ticéid, taifid athbhreithnithe, torthaí tástála, tuarascálacha faireacháin |
| An ndéantar athbhreithniú ar na rialuithe? | Tuarascálacha iniúchta inmheánaigh, miontuairiscí cruinnithe athbhreithnithe bainistíochta, loga gníomhartha ceartaitheacha |
| An gcuirtear rioscaí sonraí pearsanta san áireamh? | Iontrálacha riosca cosanta sonraí, ceanglais phríobháideachais sa raon feidhme, DPIA nó measúnú coibhéiseach nuair is infheidhme |
Neartaíonn ISO/IEC 27005:2022 an struchtúr seo. Molann sé d’eagraíochtaí ceanglais a shainaithint ó Iarscríbhinn A de ISO 27001:2022, ó rialacháin, conarthaí, caighdeáin earnála, rialacha inmheánacha agus rialuithe atá ann cheana, agus ansin iad a thabhairt isteach sa mheasúnú riosca agus sa chóireáil riosca. Éilíonn sé freisin critéir riosca agus critéir ghlactha riosca a chuireann san áireamh tosca dlíthiúla, rialála, oibríochtúla, soláthraithe, teicneolaíochta agus daonna, lena n-áirítear príobháideachas.
Tá Beartas Bainistíochta Riosca Clarysec ailínithe go díreach:
“Ní mór próiseas bainistíochta riosca foirmiúil a chothabháil i gcomhréir le ISO/IEC 27005 agus ISO 31000, a chlúdaíonn sainaithint riosca, anailís riosca, meastóireacht riosca, cóireáil riosca, faireachán riosca agus cumarsáid riosca.”
Foinse: Beartas Bainistíochta Riosca, Ceanglais rialachais, clásal beartais 5.1. Beartas Bainistíochta Riosca
Do SMEanna, éiríonn an ceanglas céanna simplí agus inghníomhaithe:
“Ní mór do gach iontráil riosca na nithe seo a leanas a áireamh: cur síos, dóchúlacht, tionchar, scór, úinéir agus Plean Cóireála Riosca.”
Foinse: Beartas Bainistíochta Riosca - SME, Ceanglais rialachais, clásal beartais 5.1.2. Beartas Bainistíochta Riosca - SME
Is tástáil thapa ar ullmhacht iniúchta í an abairt sin. Mura bhfuil úinéir ná Plean Cóireála Riosca ag riosca, ní riosca atá réidh le fianaise é fós.
Droichead Clarysec: riosca, SoA, rialuithe agus rialacháin
Caitheann Clarysec’s Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint le comhlíonadh mar obair inrianaitheachta. Sa chéim Bainistíocht Riosca, díríonn Step 13 ar phleanáil cóireála riosca agus ar an Ráiteas Infheidhmeachta. Míníonn sé gur cheart d’eagraíochtaí rialuithe a mhapáil chuig rioscaí, tagairtí rialuithe Iarscríbhinn A a chur le hiontrálacha cóireála riosca, tras-tagairt a dhéanamh do rialacháin sheachtracha, agus formheas bainistíochta a fháil.
Tá an Zenith Blueprint díreach faoi ról an SoA:
“Is doiciméad droichid é an SoA i ndáiríre: nascann sé do mheasúnú/cóireáil riosca leis na rialuithe iarbhír atá agat. Trí é a chomhlánú, seiceálann tú faoi dhó freisin an bhfuil aon rialuithe caillte agat.”
Foinse: Zenith Blueprint: An Auditor’s 30-Step Roadmap, céim Bainistíocht Riosca, Step 13: Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta (SoA). Zenith Blueprint
Cuireann Step 14 den Zenith Blueprint an tsraith tras-tagartha rialála leis. Molann sé d’eagraíochtaí doiciméadú a dhéanamh ar an gcaoi a gclúdaítear ceanglais GDPR, NIS2 agus DORA le beartais agus rialuithe. I gcás GDPR, leagann sé béim ar chosaint sonraí pearsanta i measúnuithe riosca agus i gcóireálacha riosca, lena n-áirítear criptiú mar bheart teicniúil agus freagairt do sháruithe mar chuid den timpeallacht rialaithe. I gcás NIS2, cuireann sé béim ar mheasúnú riosca, beartas slándála líonra, rialú rochtana, láimhseáil teagmhais agus leanúnachas gnó. I gcás DORA, díríonn sé ar bhainistíocht riosca TFC, freagairt do theagmhais, tuairisciú agus maoirseacht tríú páirtí TFC.
Sin é croílár mhodh Clarysec: ISMS amháin, clár rioscaí amháin, SoA amháin, leabharlann fianaise amháin, agus torthaí comhlíonta iolracha.
Tacaíonn Zenith Controls: The Cross-Compliance Guide Zenith Controls leis seo trí chabhrú le heagraíochtaí ábhair rialaithe ISO/IEC 27002:2022 ISO/IEC 27002:2022 a úsáid mar ancaire traschomhlíonta. I gcás GDPR Article 32, is minic a áirítear ar na hancairí is tábhachtaí Privacy and Protection of PII, rialú 5.34; Independent Review of Information Security, rialú 5.35; agus Use of Cryptography, rialú 8.24.
| Ancaire rialaithe ISO/IEC 27002:2022 in Zenith Controls | Cén fáth a bhfuil sé tábhachtach do TOManna Article 32 | Samplaí fianaise |
|---|---|---|
| 5.34 Privacy and Protection of PII | Nascann sé rialuithe slándála faisnéise le láimhseáil sonraí pearsanta agus oibleagáidí príobháideachais | Fardal sonraí, measúnú riosca príobháideachais, sceideal coinneála, taifid DPA, athbhreithnithe rochtana |
| 5.35 Independent Review of Information Security | Léiríonn sé dearbhú rialaithe oibiachtúil, iniúchthacht agus feabhsú | Tuarascáil iniúchta inmheánaigh, measúnú seachtrach, loga gníomhartha ceartaitheacha, athbhreithniú bainistíochta |
| 8.24 Use of Cryptography | Cosnaíonn sé rúndacht agus sláine sonraí faoi tharchur, ar fos agus i gcúltacaí | Caighdeán criptithe, taifid bainistíochta eochracha, fianaise ar chriptiú diosca, cumraíocht TLS, criptiú cúltaca |
Iompaíonn NIS2 TOManna ina saincheist chibearshlándála ar leibhéal an Bhoird
Caitheann go leor eagraíochtaí le TOManna GDPR mar fhreagracht na foirne príobháideachais. Athraíonn NIS2 an comhrá.
Baineann NIS2 le go leor eintiteas meánach agus mór in earnálacha liostaithe, agus i gcásanna áirithe beag beann ar mhéid. Áirítear ar earnálacha digiteacha agus teicneolaíochta atá clúdaithe soláthraithe ríomhaireachta scamall, soláthraithe ionad sonraí, líonraí seachadta inneachair, soláthraithe seirbhíse DNS, clárlanna TLD, soláthraithe seirbhíse iontaobhais, soláthraithe cumarsáide leictreonaí poiblí, soláthraithe seirbhíse bainistithe, soláthraithe seirbhíse slándála bainistithe, margaí ar líne, innill chuardaigh agus ardáin líonraithe shóisialta. Braitheann infheidhmeacht do SaaS agus do SMEanna teicneolaíochta ar earnáil, méid, ainmniú Ballstáit agus tionchar sistéamach nó trasteorann.
Cuireann NIS2 Article 20 freagracht cibearshlándála ar chomhlachtaí bainistíochta. Ní mór dóibh bearta bainistíochta riosca cibearshlándála a fhaomhadh, maoirseacht a dhéanamh ar a gcur chun feidhme agus oiliúint a dhéanamh. Féadfaidh eintitis riachtanacha fíneálacha riaracháin de EUR 10 milliún ar a laghad nó 2 faoin gcéad ar a laghad den láimhdeachas bliantúil domhanda a sheasamh. Féadfaidh eintitis thábhachtacha fíneálacha de EUR 7 milliún ar a laghad nó 1.4 faoin gcéad ar a laghad a sheasamh.
Tá NIS2 Article 21 ábhartha go díreach do TOManna Article 32 toisc go n-éilíonn sé bearta teicniúla, oibríochtúla agus eagraíochtúla atá cuí agus comhréireach. Ní mór do na bearta seo staid na teicneolaíochta, caighdeáin Eorpacha agus idirnáisiúnta, costas, nochtadh, méid, dóchúlacht, déine agus tionchar sochaíoch nó eacnamaíoch a chur san áireamh. Áirítear sna réimsí riachtanacha anailís riosca, beartais slándála, láimhseáil teagmhais, leanúnachas gnó, slándáil slabhra soláthair, sealbhú agus forbairt shlán, láimhseáil leochaileachtaí, measúnú éifeachtachta, sláinteachas cibear, oiliúint, cripteagrafaíocht, slándáil AD, rialú rochtana, bainistíocht sócmhainní, MFA nó fíordheimhniú leanúnach, agus cumarsáid shlán nuair is cuí.
Cuireann NIS2 Article 23 tuairisciú teagmhas céimnithe leis: rabhadh luath laistigh de 24 uair an chloig, fógra teagmhais laistigh de 72 uair an chloig, nuashonruithe idirmheánacha nuair a iarrtar iad, agus tuarascáil chríochnaitheach tráth nach déanaí ná mí amháin tar éis an fhógra 72 uair an chloig. Má cháilíonn sárú sonraí pearsanta freisin mar theagmhas suntasach NIS2, ní mór do do chomhad fianaise tacú le cinntí tuairiscithe príobháideachais agus cibearshlándála araon.
Ardaíonn DORA an caighdeán d’athléimneacht airgeadais agus do sholáthraithe TFC
Tá feidhm ag DORA ón 17 Eanáir 2025 agus cruthaíonn sé rialacha earnála airgeadais d’athléimneacht oibríochtúil dhigiteach. Clúdaíonn sé bainistíocht riosca TFC, tuairisciú ar mhórtheagmhais a bhaineann le TFC, tástáil athléimneachta oibríochtúla, comhroinnt faisnéise faoi bhagairtí cibear agus leochaileachtaí, riosca tríú páirtí TFC, ceanglais chonarthacha do sholáthraithe TFC, maoirseacht ar sholáthraithe seirbhíse tríú páirtí TFC criticiúla, agus maoirseacht.
I gcás eintitis airgeadais atá sainaitheanta freisin faoi rialacha náisiúnta NIS2, feidhmíonn DORA mar ghníomh dlíthiúil an Aontais atá earnáilshonrach do dhualgais forluiteacha bainistíochta riosca cibearshlándála agus tuairiscithe teagmhas. Sa chleachtas, ba cheart d’eintitis airgeadais atá clúdaithe tosaíocht a thabhairt do DORA sna réimsí forluiteacha sin agus comhordú a choinneáil le húdaráis inniúla NIS2 agus CSIRTanna nuair is ábhartha.
Maidir le fianaise GDPR Article 32, tá DORA tábhachtach ar dhá bhealach. Ar dtús, d’fhéadfadh gnólachtaí fintech a bheith go díreach sa raon feidhme mar eintitis airgeadais, lena n-áirítear institiúidí creidmheasa, institiúidí íocaíochta, soláthraithe seirbhíse faisnéise cuntas, institiúidí airgid leictreonaigh, gnólachtaí infheistíochta, soláthraithe seirbhíse cripteashócmhainní, ionaid trádála agus soláthraithe seirbhíse slua-mhaoinithe. Ar an dara dul síos, féadfaidh custaiméirí airgeadais caitheamh le soláthraithe SaaS, scamall, sonraí, bogearraí agus seirbhísí bainistithe mar sholáthraithe seirbhíse tríú páirtí TFC toisc go sainmhíníonn DORA seirbhísí TFC go leathan.
Éilíonn DORA Article 5 rialachas agus rialuithe inmheánacha le haghaidh bainistíocht riosca TFC, agus an comhlacht bainistíochta ag sainiú, ag faomhadh, ag maoirsiú agus ag fanacht freagrach as socruithe riosca TFC. Éilíonn Article 6 creat bainistíochta riosca TFC doiciméadaithe, lena n-áirítear straitéisí, beartais, nósanna imeachta, prótacail TFC agus uirlisí chun faisnéis agus sócmhainní TFC a chosaint. Éilíonn Article 17 próiseas bainistíochta teagmhas a bhaineann le TFC a chlúdaíonn brath, bainistíocht, fógra, taifeadadh, anailís bunchúise, táscairí luathrabhaidh, aicmiú, róil, cumarsáidí, uaschéimniú agus freagairt. Éilíonn Article 19 go dtuairiscítear mórtheagmhais a bhaineann le TFC d’údaráis inniúla.
Déanann DORA Articles 28 agus 30 de riosca tríú páirtí TFC fearann rialaithe rialáilte. Fanann eintitis airgeadais freagrach as comhlíonadh agus iad ag úsáid seirbhísí TFC. Teastaíonn straitéis riosca tríú páirtí, cláir chonarthacha, measúnuithe criticiúlachta, dícheall cuí, athbhreithniú ar riosca comhchruinnithe, cearta iniúchta agus cigireachta, truiceanna foirceanta, straitéisí scoir agus forálacha conarthacha uathu a chlúdaíonn láithreacha sonraí, infhaighteacht, barántúlacht, sláine, rúndacht, cúnamh teagmhais, téarnamh, leibhéil seirbhíse agus comhoibriú le húdaráis.
Maidir le Article 32, ciallaíonn sé seo gur cuid den chomhad TOManna iad soláthraithe. Ní féidir slándáil na próiseála a chruthú mura bhfuil próiseálaithe criticiúla, ardáin scamall, soláthraithe anailísíochta, uirlisí tacaíochta agus soláthraithe TFC faoi rialú.
Tógáil phraiticiúil seachtaine amháin ar fhianaise Article 32
Tosaíonn comhad fianaise láidir le cás riosca soiléir amháin.
Úsáid an sampla seo: “Rochtain neamhúdaraithe ar shonraí pearsanta custaiméirí san fheidhmchlár táirgthe.”
Cruthaigh nó athnuaigh an iontráil riosca. Cuir cur síos, dóchúlacht, tionchar, scór, úinéir agus Plean Cóireála Riosca san áireamh. Sann an t-úinéir do Cheann na hInnealtóireachta, don Bhainisteoir Slándála nó do ról cuntasach coibhéiseach. Rátáil an dóchúlacht bunaithe ar an tsamhail rochtana, ar an dromchla ionsaithe nochta, ar leochaileachtaí aitheanta agus ar theagmhais roimhe seo. Rátáil an tionchar bunaithe ar mhéid sonraí pearsanta, íogaireacht, conarthaí custaiméirí, iarmhairtí GDPR agus tionchar féideartha seirbhíse NIS2 nó DORA.
Roghnaigh cóireálacha amhail MFA do rochtain phribhléideach, Rialú Rochtana ar Bhonn Ról (RBAC), athbhreithnithe rochtana ráithiúla, criptiú ar fos, TLS, scanadh leochaileachta, logáil, foláirimh, cúltaca slán, nósanna imeachta freagartha do theagmhais agus mascáil sonraí i dtimpeallachtaí neamhtháirgthe.
Ansin mapáil an riosca chuig an SoA. Cuir tagairtí ISO/IEC 27002:2022 leis amhail 5.34 Privacy and Protection of PII, 8.24 Use of Cryptography, 5.15 Access Control, 5.18 Access Rights, 8.13 Information Backup, 8.15 Logging, 8.16 Monitoring Activities, 8.8 Management of Technical Vulnerabilities, 8.25 Secure Development Life Cycle agus 8.10 Information Deletion nuair is infheidhme. Cuir nótaí leis a léiríonn conas a thacaíonn na rialuithe seo le GDPR Article 32, NIS2 Article 21 agus bainistíocht riosca TFC DORA nuair is ábhartha.
Maidir le mapáil rialála, coinnigh ainmneacha na rialuithe cruinn agus seachain coibhéis bhréagach a bhrú orthu.
| Rialú ISO/IEC 27002:2022 | Ainm rialaithe | Cén fáth a gcuirtear san áireamh é | Mapáil rialála |
|---|---|---|---|
| 8.24 | Use of Cryptography | Cosnaíonn sé rúndacht agus sláine sonraí pearsanta faoi tharchur, ar fos agus i gcúltacaí | GDPR Art. 32; NIS2 Art. 21(2)(h) |
| 5.20 | Addressing information security within supplier agreements | Cinntíonn sé go bhfuil oibleagáidí slándála soláthraithe sainithe go conarthach agus gur féidir iad a fhorfheidhmiú | Rialuithe próiseálaithe GDPR; NIS2 Art. 21(2)(d); DORA Art. 28 agus Art. 30 |
| 5.24 | Information security incident management planning and preparation | Bunaíonn sé ullmhacht le haghaidh brath, uaschéimniú, measúnú agus tuairisciú | Cuntasacht sáraithe GDPR; NIS2 Art. 23; DORA Art. 17 agus Art. 19 |
| 8.13 | Information Backup | Tacaíonn sé le hinfhaighteacht, athshlánú agus athléimneacht tar éis cur isteach nó caillteanas sonraí | GDPR Art. 32; NIS2 Art. 21(2)(c); ionchais leanúnachais TFC DORA |
| 8.10 | Information Deletion | Tacaíonn sé le diúscairt shlán, cur chun feidhme coinneála agus íoslaghdú sonraí | Teorannú stórála GDPR agus Art. 32; ceanglais chonarthacha custaiméirí |
Anois tóg an fillteán fianaise. Tugann Beartas Faireacháin Iniúchta agus Comhlíonta SME Clarysec riail shimplí:
“Ní mór gach fianaise a stóráil i bhfillteán iniúchta láraithe.”
Foinse: Beartas Faireacháin Iniúchta agus Comhlíonta - SME, Ceanglais chun an beartas a chur chun feidhme, clásal beartais 6.2.1. Beartas Faireacháin Iniúchta agus Comhlíonta - SME
Don chás riosca amháin seo, ba cheart go mbeadh an méid seo sa fhillteán:
| Mír fianaise | Cad atá le stóráil | Cén fáth a bhfuil sé tábhachtach |
|---|---|---|
| Iontráil riosca | Cur síos riosca, úinéir, scór, Plean Cóireála Riosca agus cinneadh riosca iarmharaigh | Cruthaíonn sé roghnú TOManna bunaithe ar riosca |
| Sliocht SoA | Rialuithe infheidhme agus nótaí GDPR, NIS2, DORA | Taispeánann sé inrianaitheacht ó riosca go rialú |
| Athbhreithniú rochtana | Úsáideoirí a ndearnadh athbhreithniú orthu, cinntí, baint rochtana agus eisceachtaí | Cruthaíonn sé oibriú rialaithe rochtana |
| Tuarascáil MFA | Easpórtáil a léiríonn cur chun feidhme MFA pribhléidí | Tacaíonn sé le fianaise fhíordheimhnithe |
| Fianaise criptithe | Taifead cumraíochta, nóta ailtireachta nó taifead bainistíochta eochracha | Tacaíonn sé le rúndacht agus sláine |
| Taifead leochaileachta | Scanadh is déanaí, ticéid leigheasacha agus eisceachtaí glactha | Tacaíonn sé le laghdú riosca teicniúil |
| Cruthúnas logála | Sampla imeachta SIEM, riail foláirimh agus socrú coinneála | Tacaíonn sé le brath agus imscrúdú |
| Tástáil chúltaca | Toradh tástála athshlánaithe agus taifead clúdaigh cúltaca | Tacaíonn sé le hinfhaighteacht agus athléimneacht |
| Cleachtadh teagmhais | Nótaí ó chleachtaí boird, loga teagmhais tástála nó taifead ceachtanna foghlamtha | Tacaíonn sé le hullmhacht freagartha |
| Faomhadh bainistíochta | Miontuairiscí cruinnithe, formheas nó taifead glactha riosca | Tacaíonn sé le cuntasacht agus comhréireacht |
Níor cheart go stopfadh fianaise rochtana ag scáileáin. Cuireann an Beartas Rialaithe Rochtana - SME ceanglas oibríochtúil úsáideach leis:
“Ní mór don Bhainisteoir TF torthaí athbhreithnithe agus gníomhartha ceartaitheacha a dhoiciméadú.”
Foinse: Beartas Rialaithe Rochtana - SME, Ceanglais rialachais, clásal beartais 5.5.3. Beartas Rialaithe Rochtana - SME
Ní mór d’fhianaise cúltaca in-athshlánaitheacht a chruthú, ní hamháin jabanna rathúla. Deir an Beartas Cúltaca agus Athchóirithe - SME:
“Déantar tástálacha athshlánaithe ar a laghad go ráithiúil, agus déantar na torthaí a dhoiciméadú chun in-athshlánaitheacht a fhíorú.”
Foinse: Beartas Cúltaca agus Athchóirithe - SME, Ceanglais rialachais, clásal beartais 5.3.3. Beartas Cúltaca agus Athchóirithe - SME
Tugann sé seo lúb fianaise iomlán duit: cruthaíonn an rialachán an ceanglas, míníonn an riosca cén fáth a bhfuil sé tábhachtach, roghnaíonn an SoA an rialú, sainíonn an beartas an oibríocht, agus cruthaíonn fianaise choinnithe go n-oibríonn an rialú.
Rialuithe i bhfeidhm: beartas a iompú ina chruthúnas oibríochta
Díríonn céim Controls in Action den Zenith Blueprint, Step 19, ar fhíorú teicniúil. Molann sé athbhreithniú a dhéanamh ar chomhlíonadh slándála críochphointí, bainistíocht aitheantais agus rochtana, cumraíochtaí fíordheimhnithe, slándáil rialaithe foinse, acmhainn agus infhaighteacht, bainistíocht leochaileachtaí agus paistí, bonnlínte slána, cosaint ar bhogearraí mailíseacha, scriosadh agus íoslaghdú sonraí, mascadh agus sonraí tástála, DLP, cúltaca agus athshlánú, iomarcaíocht, logáil agus faireachán, agus sioncrónú ama.
Maidir le TOManna GDPR Article 32, is é Step 19 an áit a n-éiríonn teanga rialaithe theibí ina cruthúnas. Ba cheart do chomhad fianaise láidir a léiriú go bhfuil:
- Criptiú críochphointe cumasaithe agus faoi fhaireachán.
- MFA ag úsáideoirí pribhléideacha.
- Próisis iontrálaithe, aistrithe agus fágálaithe athmhuinteartha le taifid AD.
- Cuntais seirbhíse doiciméadaithe agus srianta.
- Stórtha cód faoi rialú rochtana agus scanadh rúin á dhéanamh.
- Scananna leochaileachta á ndéanamh agus á rianú go dtí leigheas.
- Sonraí táirgthe gan a bheith á gcóipeáil go hócáideach isteach i dtimpeallachtaí tástála.
- Beartais scriosta shlána agus choinneála curtha chun feidhme.
- Foláirimh DLP á n-athbhreithniú.
- Tástálacha athshlánaithe cúltaca ag cruthú in-athshlánaitheachta.
- Logaí láraithe, coinnithe agus in-athbhreithnithe.
- Sioncrónú ama ag tacú le himscrúdú iontaofa teagmhas.
Is í an nascacht an eochair. Is déantán TF é tuarascáil phaistí gan tagairt do riosca, do bheartas ná do SoA. Is fianaise réidh le haghaidh iniúchta í tuarascáil phaistí atá nasctha le GDPR Article 32, NIS2 Article 21, bainistíocht riosca TFC DORA agus Plean Cóireála Riosca ISO 27001:2022.
Comhad fianaise amháin, lionsaí iniúchta iolracha
Léifidh páirtithe leasmhara éagsúla an fhianaise TOManna chéanna ar bhealaí éagsúla. Féadfaidh athbhreithneoir príobháideachais díriú ar shonraí pearsanta, riachtanas, comhréireacht agus cuntasacht. Féadfaidh iniúchóir ISO 27001 díriú ar raon feidhme, cóireáil riosca, SoA agus fianaise ar oibriú. Féadfaidh údarás NIS2 díriú ar mhaoirseacht bainistíochta, bearta Article 21 agus ullmhacht tuairiscithe Article 23. Féadfaidh maoirseoir DORA nó custaiméir airgeadais díriú ar rialachas riosca TFC, tástáil athléimneachta agus spleáchais tríú páirtí.
Úsáideann Clarysec Zenith Controls mar threoir traschomhlíonta don aistriú seo.
| Lucht féachana | Cad a iarrfaidh siad | Conas ba cheart don fhianaise freagairt |
|---|---|---|
| Athbhreithneoir príobháideachais GDPR | An bhfuil TOManna oiriúnach don riosca sonraí pearsanta agus an féidir cuntasacht a léiriú? | Clár rioscaí, fardal sonraí, rialuithe príobháideachais, taifid choinneála, srianadh rochtana, fianaise criptithe agus taifid mheasúnaithe sáraithe |
| Iniúchóir ISO 27001:2022 | An bhfuil an ISMS laistigh de raon feidhme, bunaithe ar riosca, curtha chun feidhme, faoi fhaireachán agus feabhsaithe? | Raon feidhme, modheolaíocht riosca, SoA, iniúchadh inmheánach, athbhreithniú bainistíochta agus gníomhartha ceartaitheacha |
| Athbhreithneoir NIS2 | An bhfuil bearta cibearshlándála formheasta, comhréireach agus ag clúdach réimsí Article 21? | Faomhadh an Bhoird, beartais slándála, láimhseáil teagmhais, leanúnachas, riosca soláthraithe, oiliúint, MFA agus bainistíocht leochaileachtaí |
| Maoirseoir DORA nó custaiméir airgeadais | An bhfuil riosca TFC rialaithe, tástáilte agus athléimneach, lena n-áirítear riosca tríú páirtí TFC? | Creat riosca TFC, straitéis athléimneachta, próiseas teagmhais, fianaise tástála, clár soláthraithe agus pleananna scoir |
| Measúnóir dírithe ar NIST | An féidir leis an eagraíocht sainaithint, cosaint, brath, freagairt agus téarnamh a dhéanamh trí fhianaise in-athúsáidte? | Fardal sócmhainní agus sonraí, rialuithe cosanta, taifid faireacháin, logaí freagartha agus tástálacha athshlánaithe |
| Iniúchóir COBIT 2019 nó ISACA | An bhfuil rialachas cuntasach, tomhaiste agus ailínithe le cuspóirí fiontair? | Róil, tuairisciú bainistíochta, goile riosca, méadrachtaí feidhmíochta, torthaí dearbhaithe agus gníomhartha feabhsúcháin |
Cuireann sé seo cosc ar obair chomhlíonta dhúbláilte. In ionad pacáistí fianaise ar leith a thógáil do GDPR, NIS2 agus DORA, tóg comhad fianaise rialaithe amháin agus clibeáil gach mír de réir na n-oibleagáidí a dtacaíonn sí leo.
Bearnaí coitianta i gcláir TOManna Article 32
Is é dílleachtú rialuithe an bhearna is coitianta. Tá rialú ag cuideachta, amhail criptiú, ach ní féidir léi a mhíniú cén riosca a chóireálann sé, cén beartas a éilíonn é, cé leis é nó conas a dhéantar athbhreithniú air.
Is í fianaise lag soláthraithe an dara bearna. Faoi GDPR, tá próiseálaithe agus fophhróiseálaithe tábhachtach. Faoi NIS2, tá slándáil slabhra soláthair mar chuid de bhainistíocht riosca cibearshlándála. Faoi DORA, is fearann rialáilte é riosca tríú páirtí TFC le cláir, dícheall cuí, coimircí conarthacha, cearta iniúchta agus pleanáil scoir. Ní leor scarbhileog díoltóirí mura ndéantar spleáchais chriticiúla a mheasúnú ó thaobh riosca de agus a rialú.
Is í fianaise teagmhais an tríú bearna. Is minic a bhíonn pleananna freagartha do theagmhais ag eagraíochtaí ach gan cruthúnas go ndearnadh aicmiú, uaschéimniú, tuairisciú údaráis agus cumarsáid custaiméirí a thástáil. Ardaíonn NIS2 agus DORA ionchais anseo, agus ní mór measúnú sáraithe sonraí pearsanta GDPR a chomhtháthú sa sreabhadh oibre céanna.
Is é cruthúnas cúltaca an ceathrú bearna. Ní chruthaíonn jab cúltaca rathúil in-athshlánaitheacht. Déanann tástáil athshlánaithe dhoiciméadaithe é sin.
Is é athbhreithniú bainistíochta an cúigiú bearna. Ní mór do TOManna Article 32 a bheith comhréireach leis an riosca. Mura ndéanann an bhainistíocht athbhreithniú riamh ar rioscaí, teagmhais, saincheisteanna soláthraithe, buiséad, fionnachtana iniúchta agus riosca iarmharach, bíonn sé deacair comhréireacht a chruthú.
An tacar uirlisí deiridh atá réidh le haghaidh iniúchta
Soláthraíonn céim Audit, Review and Improvement den Zenith Blueprint, Step 30, an seicliosta deiridh ullmhachta. Áirítear ann raon feidhme agus comhthéacs an ISMS, Beartas Slándála Faisnéise sínithe, doiciméid mheasúnaithe agus chóireála riosca, SoA, beartais agus nósanna imeachta Iarscríbhinn A, taifid oiliúna chríochnaithe, taifid oibríochtúla, tuarascáil iniúchta inmheánaigh, loga gníomhartha ceartaitheacha, miontuairiscí athbhreithnithe bainistíochta, fianaise feabhsúcháin leanúnaigh agus taifid oibleagáidí comhlíonta.
Luaitear cuspóir an disciplín seo i mBeartas Faireacháin Iniúchta agus Comhlíonta fiontair Clarysec:
“Fianaise inchosanta agus rian iniúchta a ghiniúint mar thaca le fiosrúcháin rialála, imeachtaí dlíthiúla nó iarratais dearbhaithe custaiméirí.”
Foinse: Beartas Faireacháin Iniúchta agus Comhlíonta, Cuspóirí, clásal beartais 3.4. Beartas Faireacháin Iniúchta agus Comhlíonta
Ba cheart go mbeadh an méid seo a leanas i gcomhad fianaise TOManna Article 32 aibí:
| Catagóir fianaise | Ábhar íosta atá réidh le haghaidh iniúchta |
|---|---|
| Rialachas | Raon feidhme ISMS, faomhadh beartais, róil, cuspóirí, miontuairiscí athbhreithnithe bainistíochta |
| Riosca | Modheolaíocht riosca, clár rioscaí, Plean Cóireála Riosca, faomhuithe riosca iarmharaigh |
| SoA | Rialuithe infheidhme, eisiaimh, bonn cirt agus mapáil rialála |
| Príobháideachas | Fardal sonraí, rialuithe PII, fianaise coinneála, DPIA nó measúnú riosca príobháideachais nuair is infheidhme |
| Rialuithe teicniúla | MFA, athbhreithnithe rochtana, criptiú, bainistíocht leochaileachtaí, logáil, faireachán agus fianaise forbartha slána |
| Athléimneacht | Clúdach cúltaca, tástálacha athshlánaithe, pleananna leanúnachais, cleachtaí teagmhais agus méadrachtaí téarnaimh |
| Dearbhú soláthraithe | Clár soláthraithe, dícheall cuí, clásail chonarthacha, faireachán, cearta iniúchta agus pleanáil scoir |
| Feabhsú | Iniúchtaí inmheánacha, gníomhartha ceartaitheacha, ceachtanna foghlamtha agus athbhreithnithe ar fheidhmíocht rialuithe |
Na chéad chéimeanna eile: fianaise TOManna Article 32 a thógáil le Clarysec
Más gá duit bearta teicniúla agus eagraíochtúla GDPR Article 32 a chruthú, ná tosaigh trí scáileáin randamacha a bhailiú. Tosaigh le hinrianaitheacht.
- Sainigh raon feidhme an ISMS agus teorainneacha próiseála sonraí pearsanta.
- Sainaithin ceanglais GDPR, NIS2, DORA, chonarthacha agus chustaiméirí.
- Tóg critéir riosca trí ISO/IEC 27005:2022 agus goile riosca atá formheasta ag an mbainistíocht a úsáid.
- Cruthaigh nó athnuaigh an clár rioscaí.
- Mapáil gach cóireáil chuig rialuithe ISO 27001:2022 agus chuig an SoA.
- Úsáid Zenith Controls chun tras-tagairt a dhéanamh do rialuithe príobháideachais, cripteagrafaíochta, soláthraithe, teagmhais agus athbhreithnithe neamhspleácha thar ionchais chomhlíonta.
- Lean Zenith Blueprint Step 13 agus Step 14 chun rioscaí, rialuithe agus oibleagáidí rialála a nascadh.
- Úsáid Zenith Blueprint Step 19 chun rialuithe teicniúla atá i bhfeidhm a fhíorú.
- Úsáid Zenith Blueprint Step 30 chun an comhad fianaise deiridh atá réidh le haghaidh iniúchta a chur le chéile.
- Stóráil gach fianaise go lárnach, lipéadaigh í de réir riosca agus téama rialaithe, agus coinnigh gníomhartha ceartaitheacha infheicthe.
Is féidir le Clarysec cabhrú leat GDPR Article 32 a thiontú ó oibleagáid chomhlíonta doiléir ina chóras fianaise inchosanta, bunaithe ar riosca, atá ailínithe le ISO 27001:2022, NIS2 agus DORA.
Tosaigh leis an Zenith Blueprint, neartaigh é le beartais Clarysec, agus úsáid Zenith Controls chun gach TOM a dhéanamh inrianaithe, intástáilte agus réidh le haghaidh iniúchta.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
