⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
GA EN BG CS DA DE EL ES ET FI FR HR HU IT LT LV MT NL PL PT RO SK SL SV
DORA NIS2 GDPR NIST COBIT 2019

Aicmiú déine teagmhas le haghaidh DORA, NIS2 agus GDPR

Igor Petreski
14 min read
#Freagairt do Theagmhais #Iniúchadh #ISMS #Bainistíocht Riosca #Logáil agus Faireachán #Cosaint Sonraí #Bainistíocht Soláthraithe
Aicmiú déine teagmhas DORA NIS2 GDPR mapáilte chuig fianaise ISO 27001

Glao teagmhais 02:17 a éiríonn ina chinneadh rialála

Ag 02:17 maidin Déardaoin, feiceann Sarah, CISO FinScale, an chéad fholáireamh: trácht API neamhghnách, borrthaí i dteipeanna fíordheimhnithe agus moill os cionn 3000ms ar an bpainéal íocaíochta. Laistigh de chúpla nóiméad, tuairiscíonn tacaíocht custaiméirí earráidí i stádas íocaíochta. Deir an soláthraí néalríomhaireachta nach bhfuil teagmhas ar fud an ardáin ann. Feiceann an SOC tóicíní rochtana amhrasacha ó dhá réigiún gheografacha. Deimhníonn an fhoireann táirge go bhfuil an painéal ar líne arís tar éis 19 nóiméad, ach tá ticéid oscailte ag dhá chustaiméir déag cheana féin.

Faoi 03:05, tá Sarah ar dhroichead géarchéime leis an gceannasaí teagmhais, comhairle dlí, an Comhordaitheoir Príobháideachais, ceannaire oibríochtaí néalríomhaireachta agus an tUrraitheoir Feidhmiúcháin. Tá an cheist theicniúil sách soiléir: cad a tharla don gheata API? Tá na ceisteanna rialála níos deacra:

  1. An mórtheagmhas a bhaineann le TFC faoi DORA é seo?
  2. An teagmhas suntasach faoi NIS2 é?
  3. An bhfuil sárú sonraí pearsanta faoi GDPR ann a éilíonn fógra?
  4. An féidir leis an eagraíocht a chruthú conas a tháinig sí ar na freagraí sin?

Féadfaidh an freagra mícheart nochtadh rialála a chruthú. Féadfaidh freagra mall fuinneog tuairiscithe a chailleadh. Féadfaidh freagra gan doiciméadú teip in iniúchadh ISO/IEC 27001:2022 míonna ina dhiaidh sin.

Seo dúshlán na freagartha do theagmhais in 2026. Tá pleananna freagartha do theagmhais, nósanna imeachta fóiréinseacha, treoracha oibríochtúla príobháideachais agus teimpléid chumarsáide géarchéime ag go leor eagraíochtaí. Tá samhail inchosanta aicmithe déine teagmhas ag líon níos lú acu, samhail a athraíonn imeacht slándála torannach ina chinneadh doiciméadaithe trasna DORA, NIS2, GDPR agus ionchais fianaise ISO/IEC 27001:2022.

Ní trí phróiseas triáise ar leith an réiteach. Is samhail déine rialaithe amháin atá ann, le forleaganacha rialála ar leith, tairseacha intomhaiste, rialacha uaschéimnithe, logaí cinnidh agus ceanglais bailithe fianaise. I dtéarmaí praiticiúla, níor cheart gur lipéad a roghnaítear faoi bhrú é déine teagmhais. Ba cheart gur cinneadh rialaithe gnó é a sheasann do scrúdú ó rialálaithe, iniúchóirí, comhaltaí Boird, custaiméirí agus an DPO.

Cén fáth gur rialú ar leibhéal an Bhoird é aicmiú déine teagmhas anois

Ba ghné theicniúil den chuid is mó a bhí in aicmiú teagmhas tráth: déine bogearraí mailíseacha, óstaigh lena mbaineann, leochaileachtaí a shaothraítear agus cibé acu a rinneadh sonraí a eis-scaoileadh nó nár rinneadh. In 2026, tá gné dhlíthiúil, airgeadais, shochaíoch agus chonarthach aige freisin.

Déanann DORA athléimneacht oibríochtúil dhigiteach ina hoibleagáid rialachais d’eintitis airgeadais. Táthar ag súil go sainmhíneoidh, go gceadóidh agus go maoirseoidh an comhlacht bainistíochta an creat bainistíochta riosca TFC, agus go bhfanfaidh sé freagrach as. Áirítear leis sin leanúnachas gnó TFC, pleananna freagartha agus téarnaimh, bealaí tuairiscithe mórtheagmhas, riosca tríú páirtí TFC agus ceachtanna foghlamtha.

Ardaíonn NIS2 an geall rialachais d’eintitis riachtanacha agus thábhachtacha. Éilíonn Article 20 ar chomhlachtaí bainistíochta bearta bainistíochta riosca cibearshlándála a cheadú, maoirseacht a dhéanamh ar a gcur chun feidhme agus oiliúint a dhéanamh. Ceanglaíonn sé freisin teipeanna i mbainistíocht riosca agus i dtuairisciú teagmhas le hiarmhairtí maoirseachta tromchúiseacha. I gcás eintitis riachtanacha, féadfaidh bunlínte uasta fíneálacha riaracháin EUR 10,000,000 ar a laghad nó 2 faoin gcéad den láimhdeachas bliantúil domhanda iomlán a bhaint amach, cibé acu is airde. I gcás eintitis thábhachtacha, is é an bhunlíne EUR 7,000,000 ar a laghad nó 1.4 faoin gcéad den láimhdeachas, cibé acu is airde.

Cuireann GDPR lionsa eile leis. Ní bhaineann sárú sonraí pearsanta le nochtadh poiblí deimhnithe ná le comhaid ghoidte amháin. Áirítear leis scriosadh, caillteanas, athrú, nochtadh neamhúdaraithe nó rochtain neamhúdaraithe ar shonraí pearsanta, de thaisme nó go neamhdhleathach. Ní mór do rialaitheoirí an riosca do dhaoine aonair a mheas agus cuntasacht a léiriú maidir leis an gcinneadh fógra a thabhairt nó gan fógra a thabhairt.

Tugann ISO/IEC 27001:2022 cnámh droma fianaise do na hoibleagáidí sin. Éilíonn Clásail 4.1 go 4.4 ar an eagraíocht a comhthéacs, ceanglais páirtithe leasmhara, raon feidhme, comhéadain agus spleáchais a thuiscint. Éilíonn Clásail 5.1 go 5.3 tiomantas ceannaireachta, beartas, róil, freagrachtaí agus tuairisciú. Éilíonn Clásail 6.1.1 go 6.1.3 pleanáil bunaithe ar riosca, measúnú riosca, cóireáil riosca agus Ráiteas Infheidhmeachta. Éilíonn Clásail 8.1 go 8.3 rialú oibríochtúil, rialú athruithe, fianaise choinnithe agus athmheasúnú nuair a athraíonn coinníollacha riosca. ISO/IEC 27001:2022

Nuair a tharlaíonn glao an teagmhais, níor cheart gurb í an cheist “Cé a cheapann go bhfuil sé seo criticiúil?” Ba cheart gurb í: “Cad a éilíonn ár gcritéir cheadaithe, truiceanna dlíthiúla, fianaise agus rialacha uaschéimnithe orainn a dhéanamh anois?”

Imeacht amháin, trí chóras aicmithe rialála

Ní úsáideann DORA, NIS2 agus GDPR an teanga chéanna maidir le teagmhais. Sin an chúis lárnach a mbíonn eagraíochtaí ag streachailt sa chéad uair an chloig.

Éilíonn DORA Article 17 ar eintitis airgeadais próiseas bainistíochta teagmhas a bhaineann le TFC a bhunú a bhraitheann, a bhainistíonn agus a fhógraíonn teagmhais TFC, a thaifeadann teagmhais a bhaineann le TFC agus bagairtí suntasacha cibear, a thugann aghaidh ar bhunchúiseanna, a úsáideann táscairí luathrabhaidh, a chatagóiríonn agus a aicmíonn teagmhais, a shannann róil, a bhainistíonn cumarsáidí, a uaschéimníonn mórtheagmhais chuig bainistíocht shinsearach agus a athbhunaíonn oibríochtaí slána.

Éilíonn DORA Article 18 aicmiú de réir critéar amhail cliaint lena mbaineann, contrapháirtithe lena mbaineann, idirbhearta, fad, aga neamhfhónaimh, leathadh geografach, caillteanas sonraí a dhéanann difear d’infhaighteacht, barántúlacht, sláine nó rúndacht, criticiúlacht seirbhísí lena mbaineann agus tionchar eacnamaíoch. Éilíonn DORA Article 19 tuairisciú mórtheagmhas a bhaineann le TFC agus cumarsáid le cliaint i gcás ina mbíonn leasanna airgeadais i gceist.

Sainmhíníonn NIS2 Article 23 teagmhas suntasach mar theagmhas a chruthaigh, nó atá in ann a chruthú, cur isteach oibríochtúil tromchúiseach nó caillteanas airgeadais, nó a rinne difear, nó atá in ann difear a dhéanamh, do dhaoine eile trí dhamáiste ábhartha nó neamhábhartha suntasach a chruthú. Éilíonn sé luathrabhadh laistigh de 24 uair an chloig ón tráth a thagann an t-eintiteas ar an eolas faoin teagmhas suntasach, fógra teagmhais laistigh de 72 uair an chloig, tuarascálacha eatramhacha ar iarraidh agus tuarascáil dheiridh laistigh de mhí amháin ón bhfógra teagmhais. I gcás inarb infheidhme, ní mór faighteoirí seirbhíse lena mbaineann a chur ar an eolas freisin faoi bhearta nó leigheasanna is féidir leo a dhéanamh.

Cuireann GDPR ceist riosca príobháideachais. Ar chúisigh sárú slándála scriosadh, caillteanas, athrú, nochtadh neamhúdaraithe nó rochtain neamhúdaraithe ar shonraí pearsanta? Más amhlaidh, ní mór don rialaitheoir riosca do chearta agus saoirsí daoine nádúrtha a mheas. Más dócha go mbeidh riosca ann de thoradh an tsáraithe, de ghnáth ní mór fógra a thabhairt don údarás maoirseachta laistigh de 72 uair an chloig ón bhfeasacht. Más dócha go mbeidh ardriosca ann, d’fhéadfadh sé go mbeadh gá daoine aonair lena mbaineann a chur ar an eolas gan mhoill mhíchuí.

Dá bhrí sin, teastaíonn aicmiú comhuaineach ó theagmhas amháin.

Ceist aicmithePríomhchinneadhPríomhfhianaise atá de dhíth
DORAAn mórtheagmhas a bhaineann le TFC nó bagairt shuntasach chibear é seo d’eintiteas airgeadais cumhdaithe?Cliaint lena mbaineann, idirbhearta, aga neamhfhónaimh, leathadh geografach, caillteanas sonraí, criticiúlacht, tionchar eacnamaíoch, tionchar ar leas airgeadais cliant
NIS2An teagmhas suntasach é seo d’eintiteas riachtanach nó tábhachtach?Cur isteach oibríochtúil, caillteanas airgeadais, daoine lena mbaineann, damáiste ábhartha nó neamhábhartha, tionchar trasteorann, tionchar ar fhaighteoirí seirbhíse
GDPRAn sárú sonraí pearsanta é seo agus an gcruthaíonn sé riosca fógra?Sonraí pearsanta i gceist, ról rialaitheora nó próiseálaí, catagóirí sonraí, ábhair sonraí lena mbaineann, tionchar ar rúndacht, sláine nó infhaighteacht, coimircí, riosca aonair
ISO/IEC 27001:2022An féidir leis an eagraíocht a chruthú gur lean sí próiseas ceadaithe?Ticéad teagmhais, loga cinnidh déine, critéir riosca, taifead uaschéimnithe, logaí, slabhra coimeádta, cumarsáidí, bunchúis, ceachtanna foghlamtha

I gcás eintitis airgeadais, is é DORA gníomh dlí Aontais earnáilsonrach maidir le bainistíocht riosca TFC agus oibleagáidí tuairiscithe teagmhas a fhorluíonn le NIS2. Ní fhágann sé sin nach mbaineann NIS2 le hábhar. D’fhéadfadh sé a bheith ábhartha fós do chomhar, sreafaí faisnéise, seirbhísí lasmuigh d’imlíne DORA, eintitis ghrúpa neamhairgeadais, seirbhísí néalríomhaireachta, seirbhísí bainistithe agus oibleagáidí conarthacha custaiméirí. Ba cheart don tsamhail déine ní hamháin an toradh a thaifeadadh, ach loighic na hinfheidhmeachta freisin.

Samhail Clarysec: aicmigh an t-imeacht, ní an mothúchán

Tosaíonn Clarysec le rialú 5.25 de ISO/IEC 27002:2022, measúnú agus cinneadh ar imeachtaí slándála faisnéise, mar ancaire tras-chomhlíonta. In Zenith Controls: An Treoir Thras-Chomhlíonta Zenith Controls, déantar an t-ábhar seo a mhapáil tríd an iontráil “Measúnú agus cinneadh ar imeachtaí slándála faisnéise” do rialú 5.25, le tacaíocht ó “pleanáil agus ullmhúchán bainistíochta teagmhas slándála faisnéise” do rialú 5.24 agus “Bailiú fianaise” do rialú 5.28.

Go minic, ní hé an srianadh an nóiméad comhlíonta is tábhachtaí. Is é an forc sa bhóthar é ina n-éiríonn imeacht slándála ina theagmhas rialála, nó ina dtaifeadtar go hinchosanta é mar imeacht déine níos ísle.

Déanann Zenith Blueprint: Treochlár 30 Céim d’Iniúchóir Zenith Blueprint de chuid Clarysec cur síos ar an nóiméad seo i gcéim Controls in Action, Céim 23:

“Ní tubaiste gach aimhrialtacht. Ní chomhartha comhréitigh gach foláireamh. Sa saol fíor, bíonn foirne slándála agus aonaid ghnó faoi thuilte torainn, iarrachtaí logála isteach, aimhrialtachtaí logaí, mionsáruithe beartais agus gníomhaíocht TF scátha. Ní hé an dúshlán fíor ach brath; is é idirdhealú a dhéanamh idir an neamhdhíobhálach agus an díobhálach, agus fios a bheith agat cad is gá a uaschéimniú.”

Gabhann an abairt sin an fhadhb oibríochtúil. Ní hionann foláireamh SIEM agus mórtheagmhas DORA go huathoibríoch. Ní hionann briseadh sealadach seirbhíse agus teagmhas suntasach NIS2 go huathoibríoch. Ní hionann fiosrú amhrasach bunachair shonraí agus teagmhas infhógartha faoi GDPR go huathoibríoch. Féadfaidh gach ceann díobh a bheith inthuairiscithe ag brath ar thionchar, raon feidhme, sonraí, páirtithe lena mbaineann agus fianaise.

Molann Zenith Blueprint, céim Bainistíochta Riosca, Céim 10, freisin go ndéanfaí sainmhínithe tionchair a shaincheapadh de réir scála gnó agus nochtadh rialála:

“Agus tionchar á shainiú, is ciallmhar na leibhéil a nascadh le do scála gnó féin. Mar shampla, ‘Mórthionchar airgeadais = caillteanas > $100k’ (coigeartaigh é de réir do chomhthéacs). Smaoinigh freisin ar thionchar rialála: mar shampla, d’fhéadfadh sárú sonraí pearsanta a bheith ‘Mór’ nó ‘Tromchúiseach’ go huathoibríoch de bharr fíneálacha GDPR agus ceanglais fógra, fiú mura bhfuil an caillteanas airgeadais díreach soiléir.”

Sin é prionsabal deartha aicmithe déine teagmhas do 2026: is ionann déine agus tionchar gnó móide tionchar dlíthiúil móide muinín san fhianaise.

Tacsanomaíocht phraiticiúil déine teagmhas do DORA, NIS2 agus GDPR

Ba cheart do thacsanomaíocht inchosanta déine inmheánach a scaradh ó aicmiú rialála. Tiomáineann déine inmheánach práinn freagartha, leithdháileadh acmhainní agus uaschéimniú feidhmiúcháin. Tiomáineann aicmiú rialála fógra, athbhreithniú dlí agus cumarsáid sheachtrach.

Déine inmheánachBrí oibríochtúilTruicear athbhreithnithe rialála
SEV 5 FaisnéiseachGan tionchar deimhnithe, faireachán amháinGan athbhreithniú dlí mura léiríonn treocht laige shistéamach
SEV 4 ÍsealMionimeacht, teoranta, gan tionchar ábhartha ar sheirbhís ná ar shonraíTaifead an cinneadh; déan athbhreithniú má tá sonraí pearsanta nó spleáchas seirbhíse criticiúla i gceist
SEV 3 MeasarthaTeagmhas deimhnithe le tionchar teoranta ar chóras, úsáideoir nó seirbhísScagadh príobháideachais, NIS2 nó DORA riachtanach; cuirtear an bhainistíocht ar an eolas
SEV 2 MórCur isteach suntasach, riosca ábhartha sonraí, tionchar ar sheirbhís chriticiúil nó tionchar ar chliaintGníomhaítear sreabhadh oibre DPO, dlí, bainistíocht shinsearach agus tuairisciú rialála
SEV 1 GéarchéimCur isteach oibríochtúil tromchúiseach, sárú ardriosca deimhnithe, tionchar sistéamach nó trasteorannUaschéimniú chuig an mBord, tuairisciú do rialálaí, cumarsáidí géarchéime agus modh fianaise fhóiréinseach

Ní hé an leibhéal déine inmheánach an freagra rialála deiridh. Is é an modh oibriúcháin é. Féadfaidh imeacht SEV 3 a bheith infhógartha faoi GDPR tar éis athbhreithniú logaí. D’fhéadfadh sé nach mórtheagmhas DORA é briseadh seirbhíse SEV 2 mura gcomhlíontar na tairseacha tionchair. Féadfaidh teagmhas earraí fuascailte SEV 1 DORA, NIS2, GDPR, conarthaí custaiméirí agus comhordú le forfheidhmiú an dlí a spreagadh ag an am céanna.

Cabhraíonn maitrís aicmithe níos mionsonraithe leis an bhfoireann bogadh ó fholáireamh go gníomh.

Leibhéal déineCur síos agus truiceannaCás samplachPríomh-lionsa rialálaGníomhartha tosaigh
SEV 1 GéarchéimTionchar tromchúiseach, forleathan agus leanúnach; sárú ardriosca deimhnithe; teip shistéamach; nó cur isteach trasteorannCriptíonn earraí fuascailte bunachair shonraí táirgthe agus dearbhaíonn siad eis-scaoileadh taifead airgeadais custaiméiríDORA, NIS2, GDPRGníomhachtaigh an fhoireann géarchéime, uaschéimniú chuig an mBord, sreabhadh oibre tuairiscithe rialála, cumarsáidí cliant, modh fianaise fhóiréinseach
SEV 2 MórCur isteach oibríochtúil suntasach, mórthionchar seachtrach, riosca ábhartha sonraí, tionchar ar sheirbhís chriticiúil nó tairseach dóchúil tuairiscitheTeipeann ar gheata API agus bíonn tionchar aige ar 40 faoin gcéad de chliaint ar feadh dhá uair an chloig, gan bhunchúis ar eolasScagadh DORA, NIS2, GDPRUaschéimniú chuig bainistíocht shinsearach, athbhreithniú dlí agus DPO, cainníochtú tionchair, caomhnú logaí agus déantán
SEV 3 MeasarthaTeagmhas teoranta, tionchar logánta, srianta go tapa, ábharthacht fhéideartha maidir le sonraí nó seirbhís chriticiúilTóicíní amhrasacha in úsáid i gcoinne painéal custaiméara le rochtain theoranta dheimhnitheScagadh GDPR, fianaise ISO/IEC 27001Athbhreithniú an cheannasaí teagmhais, measúnú príobháideachais, loga cinnidh, anailís fhóiréinseach spriocdhírithe
SEV 4 ÍsealMionimeacht nó sárú beartais gan tionchar ábharthaRíomhphost fioscaireachta blocáilte arna thuairisciú ag fostaíISMS inmheánachLogáil an t-imeacht, deimhnigh gur oibrigh rialuithe, anailís treochta
SEV 5 FaisnéiseachGan teagmhas deimhnithe; faireachán nó faisnéis amháinFoláireamh faisnéise bagairtí gan teiliméadracht inmheánach mheaitseálaISMS inmheánachDéan faireachán, saibhrigh, dún nó uaschéimnigh má thagann táscairí chun cinn

Ba cheart an tsamhail a leabú sa bheartas seachas í a fhágáil faoi thionchar an ghutha is láidre ar an droichead. Deir Beartas FBM Incident Response Policy-sme Incident Response Policy-sme - FBM, Ceanglais rialachais, clásal 5.3.1:

“Ní mór don Bhainisteoir Ginearálta, le hionchur ón Soláthraí TF, gach teagmhas a aicmiú de réir déine laistigh d’uair an chloig ón bhfógra.”

Cuireann an beartas FBM céanna, Cóireáil riosca agus eisceachtaí, clásal 7.4.1, leis:

“I gcás ina bhfuil sonraí custaiméirí i gceist, ní mór don Bhainisteoir Ginearálta oibleagáidí fógra dlíthiúla a mheas bunaithe ar infheidhmeacht GDPR, NIS2 nó DORA.”

I gcás eagraíochtaí níos mó, déanann an Incident Response Policy fiontair Incident Response Policy, Ceanglais rialachais, clásal 5.3, an coincheap céanna a fhoirmliú go foirmiúil:

“Leanfaidh aicmiú teagmhas samhail shraitheach:”

Tá teanga an bheartais tábhachtach toisc go bhfiafróidh rialálaithe agus iniúchóirí an raibh critéir aicmithe ann roimh an teagmhas. Is fianaise lag í maitrís a chumtar ina dhiaidh. Is cosanta í maitrís atá ceadaithe, ar cuireadh oiliúint uirthi, a cleachtaíodh agus a úsáideadh go comhsheasmhach.

An loga cinnidh: an déantán fianaise is tábhachtaí

Nuair a dhéanann iniúchóirí, rialálaithe nó comhaltaí Boird athbhreithniú ar theagmhas, is annamh a fhiafraíonn siad “Cad a tharla?” amháin. Fiafraíonn siad: “Cathain a bhí a fhios agaibh, cé a chinn, bunaithe ar cén fhianaise, agus cén fáth nár thug sibh fógra níos luaithe?”

Sin é an fáth a molann Clarysec loga cinnidh déine do gach imeacht SEV 3 agus os a chionn, agus d’aon imeacht ina bhfuil sonraí pearsanta, seirbhísí criticiúla, custaiméirí airgeadais, seirbhísí bainistithe, bonneagar néalríomhaireachta nó tionchar trasteorann i gceist.

Réimse loga cinnidhCén fáth a bhfuil sé tábhachtach
Am braite an imeachtaBunaíonn sé an amlíne agus pointe na feasachta
Am aicmitheCruthaíonn sé comhlíonadh CLS triáise
Déine tosaighTaispeánann sé tosaíocht freagartha láithreach
Scagadh DORADoiciméadaíonn sé an ndearnadh measúnú ar chritéir mhórtheagmhais TFC
Scagadh NIS2Doiciméadaíonn sé an ndearnadh measúnú ar chritéir teagmhais shuntasaigh
Scagadh GDPRDoiciméadaíonn sé an ndearnadh measúnú ar riosca sáraithe sonraí pearsanta
Fianaise athbhreithnitheNascann sé cinntí le logaí, ticéid, foláirimh, gabhálacha scáileáin, tuarascálacha agus taifid fhóiréinseacha
Úinéir cinnidhTaispeánann sé cuntasacht agus údarás róil
Ionchur dlí nó DPOTaispeánann sé rannpháirtíocht shaineolach chuí
Taifead uaschéimnitheTaispeánann sé fógra chuig bainistíocht shinsearach nó chuig an mBord
Stair athaicmitheTaispeánann sé nuashonruithe de réir mar a d’athraigh na fíricí
Cinneadh fógraTaispeánann sé cibé acu a rinneadh tuairisciú, cathain agus cén fáth, nó nár rinneadh

Mapálann sé seo go díreach chuig ISO/IEC 27001:2022. Éilíonn Clásal 8.1 próisis a phleanáil, a chur chun feidhme agus a rialú, agus faisnéis dhoiciméadaithe leordhóthanach a choinneáil chun a léiriú gur oibrigh siad mar a beartaíodh. Éilíonn Clásail 8.2 agus 8.3 athmheasúnú nuair a tharlaíonn athruithe suntasacha agus coinneáil fianaise cóireála riosca. Soláthraíonn rialuithe Iarscríbhinn A A.5.24 go A.5.28 cnámh droma bhainistíocht teagmhas: pleanáil agus ullmhúchán, measúnú agus cinneadh ar imeachtaí, freagairt, foghlaim ó theagmhais agus Bailiú fianaise.

Tacaíonn Beartas FBM Data Protection and Privacy Policy-sme Data Protection and Privacy Policy-sme - FBM, Cur chun feidhme agus comhlíonadh, clásal 8.3.2, le taobh GDPR den tsamhail:

“Cinnfidh an Comhordaitheoir Príobháideachais an déine, cuirfidh sé gníomhartha srianaithe ar bun, agus doiciméadóidh sé an cás”

Níor cheart go dtosódh measúnú príobháideachais tar éis don chlog rialála éirí míchompordach. Baineann sé leis an sreabhadh oibre triáise.

Sampla praiticiúil: teagmhas API Sarah a aicmiú

Fillimis ar FinScale. Is ardán fintech B2B é a úsáideann bonneagar néalríomhaireachta, soláthraí seachtrach anailísíochta calaoise agus Soláthraí Seirbhíse Bainistithe slándála. Is eintiteas airgeadais faoi raon DORA é do roinnt gníomhaíochtaí. Is soláthraí seirbhíse digití é freisin le hoibríochtaí ábhartha do NIS2 i mBallstát amháin. Próiseálann sé sonraí pearsanta custaiméirí mar rialaitheoir do sheirbhísí cuntas agus mar phróiseálaí do roinnt cliant fiontair.

Ag 02:17, braitear trácht API neamhghnách. Ag 02:35, osclaítear ticéad an teagmhais. Ag 03:00, críochnaíonn Sarah an triáis tosaigh leis an gceannasaí teagmhais.

Ar dtús, socraítear an déine inmheánach. Bhí tionchar ag an teagmhas ar infhaighteacht phainéal custaiméirí ar feadh 19 nóiméad, bhí tóicíní rochtana amhrasacha i gceist, agus bhain sé le feidhm chriticiúil atá os comhair custaiméirí. Aicmítear é mar SEV 3 Measartha ar feitheamh deimhniú, le huaschéimniú chuig an gceannasaí teagmhais, an Comhordaitheoir Príobháideachais, comhairle dlí agus úinéir seirbhíse.

Ar an dara dul síos, críochnaítear scagadh DORA. Seiceálann an fhoireann cliaint lena mbaineann, contrapháirtithe, idirbhearta, fad, aga neamhfhónaimh, leathadh geografach, caillteanas sonraí, criticiúlacht agus tionchar eacnamaíoch. Ní dheimhnítear aon idirbhearta ar theip orthu ná a athraíodh. Tá an t-aga neamhfhónaimh teoranta. Ní chruthaítear aon chaillteanas sonraí. Mar sin féin, toisc go bhféadfadh comhpháirt chriticiúil seirbhíse airgeadais agus leasanna airgeadais custaiméirí a bheith i gceist, fanann an teagmhas faoi fhaireachán DORA agus d’fhéadfaí é a athaicmiú.

Ar an tríú dul síos, taifeadtar scagadh NIS2. Tugann an fhoireann dá haire gurb é DORA an príomhchóras tuairiscithe earnáilsonrach do na hoibleagáidí eintitis airgeadais chumhdaithe. Seiceálann sí freisin an mbíonn tionchar ag an teagmhas ar sheirbhísí nó ar chustaiméirí lasmuigh d’imlíne DORA. Ní dheimhnítear cur isteach oibríochtúil tromchúiseach ná damáiste suntasach ag an gcéim seo.

Ar an gceathrú dul síos, cuirtear tús le scagadh GDPR. D’fhéadfadh gur cheadaigh na tóicíní amhrasacha rochtain ar shonraí painéil custaiméirí. Doiciméadaíonn an Comhordaitheoir Príobháideachais catagóirí sonraí, úsáideoirí lena mbaineann, raon feidhme tóicíní, logaí athbhreithnithe, cibé acu ar amharcadh ar shonraí nó ar easpórtáladh iad, agus coimircí amhail dul in éag tóicíní agus rialuithe rochtana.

Faoi 04:20, taispeánann anailís logaí gur úsáideadh dhá thóicín chun rochtain a fháil ar mheiteashonraí painéil do 41 custaiméir, lena n-áirítear ainmneacha, aitheantais cuntais agus stádas idirbhirt, ach gan dintiúir íocaíochta ná doiciméid aitheantais. Nuashonraíonn an fhoireann an teagmhas go SEV 2 Mór toisc go raibh tionchar ar rúndacht sonraí pearsanta agus go bhféadfadh cumarsáid le custaiméirí a bheith riachtanach. Déanann an DPO measúnú ar riosca GDPR do dhaoine aonair. Déantar cinneadh DORA a athscrúdú bunaithe ar thionchar cliant, tionchar idirbheart agus tionchar eacnamaíoch.

Seo luach praiticiúil na samhla. Ní conclúid dhlíthiúil dheiridh í an aicmiú tosaigh. Is cinneadh faoi thiomáint fianaise é is féidir a nuashonrú de réir mar a fhorbraíonn fíricí.

Logáil, faireachán agus fianaise fhóiréinseach: an ciseal cruthúnais

Gan fianaise, níl i samhail déine ach tuairim chruinnithe. Is é ionchas 2026 go mbeidh aicmiú tacaithe ag logaí, faireachán, déantáin chaomhnaithe agus slabhra coimeádta.

Deir Beartas FBM Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme - FBM, Cur chun feidhme agus comhlíonadh, clásal 8.3.4:

“Ní mór imscrúduithe sáraithe a thacú le logaí leordhóthanacha chun prionsabal na cuntasachta faoi GDPR agus DORA a chomhlíonadh”

Tá láimhseáil fhóiréinseach chomh tábhachtach céanna. Éilíonn Beartas FBM Evidence Collection and Forensics Policy-sme Evidence Collection and Forensics Policy-sme - FBM, Ceanglais rialachais, clásal 5.3.1:

“Ní mór loga simplí slabhra coimeádta (m.sh., comhad Excel nó doiciméad teimpléid) a choinneáil do gach teagmhas.”

I dtimpeallachtaí fiontair, éilíonn an Evidence Collection and Forensics Policy Evidence Collection and Forensics Policy, Ceanglais rialachais, clásal 5.5:

“Ní mór an fhianaise ar fad a bhailítear a shainaithint go huathúil, a lipéadú agus a stóráil i stór slán le:”

Míníonn Zenith Blueprint, céim Controls in Action, Céim 23, cén fáth a bhfuil sé seo tábhachtach do rialú 5.28 de ISO/IEC 27002:2022:

“Nuair a tharlaíonn Teagmhas Slándála Faisnéise, is í fianaise ceann de na heilimintí is criticiúla, ach is minic a dhéantar neamhaird uirthi, den fhreagairt. Ní logaí, ní gabhálacha scáileáin, ní scéalta scaoilte, ach fianaise atá caomhnaithe i gceart, a urramaíonn an slabhra coimeádta agus atá frithionramhála.”

Ba cheart na nithe seo a leanas a áireamh i bpacáiste fianaise praiticiúil do mhórtheagmhas nó do theagmhas a d’fhéadfadh a bheith inthuairiscithe:

  • Ticéad teagmhais agus amlíne
  • Loga cinnidh déine agus stair athaicmithe
  • Foláirimh SIEM, foláirimh EDR, logaí néalríomhaireachta agus logaí aitheantais
  • Logaí rochtana sonraí agus logaí easpórtála
  • Iontrálacha fardail sócmhainní agus seirbhísí lena mbaineann
  • Measúnú tionchair custaiméirí, idirbheart agus tíreolaíochta
  • Bileog oibre scagtha DORA, NIS2 agus GDPR
  • Measúnú DPO nó dlí
  • Formheasanna cumarsáide agus teachtaireachtaí seolta
  • Taifead slabhra coimeádta
  • Anailís bunchúise
  • Gníomhartha ceartaitheacha agus ceachtanna foghlamtha

Tacaíonn an pacáiste fianaise seo freisin le rialuithe Iarscríbhinn A de ISO/IEC 27001:2022: A.8.15 logáil, A.8.16 gníomhaíochtaí faireacháin, A.5.28 Bailiú fianaise, A.5.27 foghlaim ó theagmhais slándála faisnéise, A.5.31 ceanglais dhlíthiúla, reachtúla, rialála agus chonarthacha, agus A.5.34 príobháideachas agus cosaint faisnéise inaitheanta pearsanta.

Mapáil thras-chomhlíonta: tóg uair amháin, freagair go leor iniúchóirí

Tógtar na samhlacha déine teagmhas is láidre uair amháin agus mapáiltear iad go minic. Tá Zenith Controls deartha mar chompás tras-chomhlíonta don obair seo. Maidir leis an ábhar seo, is iad príomhiontrálacha ISO/IEC 27002:2022 ná 5.24 pleanáil agus ullmhúchán bainistíochta teagmhas slándála faisnéise, 5.25 measúnú agus cinneadh ar imeachtaí slándála faisnéise, 5.26 freagairt do theagmhais slándála faisnéise, 5.27 foghlaim ó theagmhais slándála faisnéise agus 5.28 Bailiú fianaise.

Ceanglaíonn na rialuithe seo go nádúrtha leis an gcóras bainistíochta ISO/IEC 27001:2022. Sainmhíníonn Clásail 4, 5, 6 agus 8 raon feidhme, ceannaireacht, critéir riosca, cóireáil agus fianaise oibríochtúil. Soláthraíonn ISO/IEC 27002:2022 teanga cur chun feidhme rialuithe. Tacaíonn smaointeoireacht leanúnachais gnó de chineál ISO 22301 le tairseacha cur isteach, tosaíochtaí téarnaimh agus bainistíocht géarchéime. Tacaíonn cleachtais bhainistíochta teagmhas de chineál ISO/IEC 27035 le brath, tuairisciú, measúnú, freagairt agus foghlaim struchtúrtha. Tacaíonn rialachas príobháideachais de chineál ISO/IEC 27701 le róil sáraithe sonraí pearsanta, breithnithe rialaitheora agus próiseálaí, fianaise phríobháideachais agus cuntasacht.

Mapálann an tsamhail chéanna chuig NIST Cybersecurity Framework 2.0. Éilíonn Feidhm GOVERN go dtuigfear agus go mbainisteofar oibleagáidí dlíthiúla, rialála, conarthacha, príobháideachais agus saoirsí sibhialta. Táthar ag súil freisin go sainmhíneofar fonn riosca, róil, údaráis, beartais agus maoirseacht. Tacaíonn Feidhmeanna DETECT, RESPOND agus RECOVER le triáis, anailís, uaschéimniú, srianadh, athshlánú, cumarsáidí agus feabhsú.

CreatConas a fheiceann sé aicmiú déine teagmhas
ISO/IEC 27001:2022Próiseas rialaithe ISMS le ceanglais dhlíthiúla, critéir riosca, fianaise oibríochtúil agus feabhsú leanúnach
ISO/IEC 27002:2022Pleanáil teagmhas, measúnú agus cinneadh ar imeachtaí, freagairt, foghlaim agus Bailiú fianaise
DORAAicmiú teagmhas TFC bunaithe ar chliaint, idirbhearta, aga neamhfhónaimh, tíreolaíocht, caillteanas sonraí, criticiúlacht agus tionchar eacnamaíoch
NIS2Measúnú teagmhais shuntasaigh bunaithe ar chur isteach oibríochtúil, caillteanas airgeadais, damáiste do dhaoine eile agus tionchar trasteorann
GDPRMeasúnú sárú sonraí pearsanta bunaithe ar shainmhíniú sáraithe, riosca aonair, cuntasacht rialaitheora agus doiciméadú
NIST CSF 2.0Torthaí rialachais, tosaíochtú riosca, brath, freagairt, téarnamh agus cumarsáid
COBIT 2019 agus lionsa iniúchta ISACAInrianaitheacht rialachais, cuntasacht, méadrachtaí, glacadh le riosca, dearbhú agus tuairisciú bainistíochta

Tá an tairbhe praiticiúil. Nuair a iarrann maoirseoir DORA réasúnaíocht maidir le mórtheagmhas a bhaineann le TFC, nuair a iarrann údarás NIS2 faoin gcinneadh luathrabhaidh 24 uair an chloig, nuair a iarrann DPA cén fáth ar tugadh nó nár tugadh fógra GDPR, agus nuair a iarrann iniúchóir ISO ar oibrigh an ISMS mar a beartaíodh, is féidir leis an eagraíocht freagairt ón tsraith fianaise chéanna.

Conas a dhéanfaidh iniúchóirí agus rialálaithe do shamhail a thástáil

De ghnáth, tosóidh iniúchóir ISO/IEC 27001:2022 le raon feidhme agus ceanglais dhlíthiúla. Fiafróidh siad ar sainaithníodh DORA, NIS2, GDPR, conarthaí custaiméirí agus oibleagáidí tríú páirtí TFC mar cheanglais páirtithe leasmhara. Ansin leanfaidh siad an rian isteach i gcritéir riosca, an Ráiteas Infheidhmeachta, nósanna imeachta teagmhais, taifid oibríochtúla agus coinneáil fianaise. Teastaíonn cruthúnas uathu nár cumadh an próiseas aicmithe le linn an teagmhais.

Lorgóidh maoirseoir DORA nó foireann iniúchta inmheánaigh lúb saolré: próiseas bainistíochta teagmhas, táscairí luathrabhaidh, critéir aicmithe, uaschéimniú mórtheagmhais, cumarsáid le cliaint, bunchúis, figiúirí deiridh tionchair, tástáil athléimneachta agus maoirseacht an chomhlachta bainistíochta. Fiafróidh siad freisin ar breithníodh spleáchais tríú páirtí TFC, go háirithe nuair a bhí soláthraithe néalríomhaireachta, SaaS, slándáil bhainistithe nó seachfhoinsiú i gceist.

Déanfaidh iniúchóir nó údarás atá dírithe ar NIS2 tástáil ar chumas an eintitis teagmhais shuntasacha a shainaithint, amlínte céimnithe a chomhlíonadh, cumarsáid a dhéanamh le faighteoirí seirbhíse lena mbaineann agus fianaise a sholáthar ar mheasúnú tionchair trasteorann. Ceanglóidh siad láimhseáil teagmhais le bearta bainistíochta riosca Article 21, lena n-áirítear leanúnachas gnó, bainistíocht géarchéime, slándáil slabhra soláthair, rialú rochtana, bainistíocht sócmhainní agus oiliúint.

Scrúdóidh DPO GDPR nó údarás maoirseachta an sainaithin an eagraíocht sonraí pearsanta, róil, ábhair sonraí, catagóirí, córais lena mbaineann, cineál sáraithe agus riosca do dhaoine aonair. Déanfaidh siad tástáil ar an féidir leis an rialaitheoir cuntasacht a léiriú agus cibé acu a bhí fógraí próiseálaithe chuig rialaitheoirí tráthúil agus iomlán.

Díreoidh iniúchóir de chineál ISACA nó COBIT 2019 ar fhianaise rialachais. Cé a cheadaigh an tacsanomaíocht déine? Cé leis an riosca? Cé na méadrachtaí a thuairiscítear don bhainistíocht? Conas a láimhseáiltear eisceachtaí? Conas a aistrítear ceachtanna foghlamtha go feabhsuithe rialaithe?

Patrúin choitianta teipe in aicmiú teagmhas

Is í an chéad teip smaointeoireacht aonlipéid. Aicmíonn foirne imeacht mar ard, meánach nó íseal, ach ní dhéanann siad truiceanna DORA, NIS2 agus GDPR a mheas ar leithligh. Is é an toradh lipéad déine nach féidir cinneadh tuairiscithe a mhíniú.

Is í an dara teip claonadh i dtreo sárú deimhnithe. Fanann foirne le cruthúnas iomlán ar eis-scaoileadh sula n-áirítear príobháideachas nó dlí. Is minic a thosaíonn measúnú sárú GDPR le rochtain neamhúdaraithe fhéideartha, caillteanas, athrú nó nochtadh, agus ní hamháin le foilsiú sonraí deimhnithe.

Is í an tríú teip mearbhall cloig. Braitheann amlínte NIS2 agus GDPR ar fheasacht agus ar mheasúnú. Mura ngabhann ticéad an teagmhais am feasachta, am aicmithe agus am uaschéimnithe, d’fhéadfadh sé a bheith deacair don eagraíocht tráthúlacht a chruthú.

Is í an ceathrú teip fóiréinsic tar éis glantacháin. Rothlaíonn innealtóirí eochracha, atógann siad óstaigh agus scriosann siad fianaise shealadach sula spreagtar seasamh imscrúdaithe. Féadfaidh sé seo cruthúnas a scriosadh atá riachtanach d’athbhreithniú rialála, conarthach nó dlíthiúil.

Is í an cúigiú teip daille soláthraithe. Cuireann DORA, NIS2 agus NIST CSF 2.0 béim ar riosca tríú páirtí agus riosca slabhra soláthair. Má tá soláthraí néalríomhaireachta, Soláthraí Seirbhíse Bainistithe, próiseálaí íocaíochta, soláthraí aitheantais nó díoltóir SaaS mar chuid den slabhra teagmhais, ní mór don tsamhail aicmithe tionchar soláthraí agus oibleagáidí fógra conarthacha a chur san áireamh.

Seicliosta cur chun feidhme Clarysec do 2026

Chun samhail inchosanta aicmithe déine teagmhas a oibriú, molann Clarysec an seicheamh seo:

  1. Deimhnigh infheidhmeacht rialála trasna DORA, NIS2, GDPR, conarthaí custaiméirí agus rialacha earnála.
  2. Nuashonraigh raon feidhme ISMS agus ceanglais páirtithe leasmhara faoi ISO/IEC 27001:2022.
  3. Sainmhínigh leibhéil déine inmheánacha le tairseacha intomhaiste d’aga neamhfhónaimh, sonraí, custaiméirí, tíreolaíocht, caillteanas airgeadais agus criticiúlacht.
  4. Cuir ceisteanna scagtha ar leith do DORA, NIS2 agus GDPR le sreabhadh oibre ticéad teagmhais.
  5. Sainmhínigh truiceanna uaschéimnithe don cheannasaí teagmhais, DPO, dlí, bainistíocht shinsearach agus Bord.
  6. Cruthaigh teimpléad loga cinnidh déine.
  7. Nasc aicmiú le Bailiú fianaise agus nósanna imeachta slabhra coimeádta.
  8. Bailíochtaigh clúdach logála d’imeachtaí aitheantais, néalríomhaireachta, feidhmchláir, bunachair shonraí, líonra agus soláthraithe.
  9. Reáchtáil cleachtaí boird do chásanna mórtheagmhais DORA, teagmhais shuntasaigh NIS2 agus sáraithe GDPR.
  10. Cuir ceachtanna foghlamtha isteach i gcóireáil riosca, sa Ráiteas Infheidhmeachta, san oiliúint agus sa tástáil athléimneachta.

Neartaíonn Zenith Blueprint, céim Controls in Action, Céim 16, taobh daonna na samhla seo: ba cheart tuairiscí a logáil, a thriáisiú, a uaschéimniú tríd an bplean freagartha do theagmhais, agus ba cheart fiú mionimeachtaí a rianú toisc go nochtann treochtaí laigí rialaithe. Cuireann sé meon tuairiscithe le tairseach íseal chun cinn: “Má tá amhras ort, tuairiscigh.”

Tá an pointe cultúrtha sin ríthábhachtach. Teipeann ar shamhail déine má chuireann fostaithe moill ar thuairisciú mar go bhfuil eagla orthu roimh ró-imoibriú. Is é an sprioc tuairisciú tapa, triáis smachtaithe agus aicmiú inchosanta.

Athraigh éiginnteacht teagmhais ina fianaise réidh don iniúchadh

In 2026, ní cinneadh SOC amháin é aicmiú déine teagmhas a thuilleadh. Is próiseas rialachais rialáilte é nach mór critéir mhórtheagmhais a bhaineann le TFC faoi DORA, tairseacha teagmhais shuntasaigh NIS2, riosca sáraithe GDPR agus fianaise ISO/IEC 27001:2022 a nascadh.

Ní hiad na heagraíochtaí leis an gceanglóir freagartha is tibhe a fheidhmeoidh is fearr le linn teagmhas. Is iad na heagraíochtaí is féidir leo ceithre cheist a fhreagairt go tapa agus gach freagra a chruthú níos déanaí:

  • Cad a tharla?
  • Cé chomh dian is atá sé?
  • Cé na hoibleagáidí rialála a d’fhéadfadh a bheith i bhfeidhm?
  • Cén fhianaise a thacaíonn leis an gcinneadh?

Cabhraíonn Clarysec le heagraíochtaí an droichead sin a thógáil trí theimpléid bheartais, tacsanomaíochtaí déine, logaí cinnidh, cásanna cleachtaí boird agus mapálacha tras-chomhlíonta. Tosaigh leis na beartais teagmhais, bailíochtaigh do chritéir riosca in Zenith Blueprint Zenith Blueprint, agus úsáid Zenith Controls Zenith Controls chun rialuithe ISO/IEC 27002:2022 5.24, 5.25, 5.26, 5.27 agus 5.28 a mhapáil trasna DORA, NIS2, GDPR, NIST CSF agus ionchais iniúchta.

Mura féidir le d’fhoireann freagra a thabhairt ar “An mórtheagmhas DORA é seo, an teagmhas suntasach NIS2 é nó an teagmhas infhógartha faoi GDPR é?” laistigh den chéad uair an chloig, ní plean cineálach eile freagartha do theagmhais an chéad chéim eile. Is é an chéad chéim eile samhail oibriúcháin inchosanta aicmithe déine teagmhas, tástáilte sula dtagann an chéad ghlao 02:17 eile.

Réidh le próiseas a chur in áit scaoll? Íoslódáil teimpléid bheartais freagartha do theagmhais agus bailithe fianaise Clarysec, déan athbhreithniú ar do thacsanomaíocht déine reatha i gcoinne Zenith Blueprint, nó iarr measúnú ullmhachta Clarysec chun samhail aicmithe teagmhas DORA, NIS2, GDPR agus ISO/IEC 27001 atá réidh don iniúchadh a thógáil.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

VEX agus CSAF: fianaise leochaileachta atá inrianaithe don iniúchadh

VEX agus CSAF: fianaise leochaileachta atá inrianaithe don iniúchadh

Tá VEX agus CSAF ag éirí mar an gciseal fianaise idir SBOManna, comhairleacháin soláthraithe, tríáiseáil leochaileachtaí agus cruthúnas rialála. Léiríonn an treoir seo conas rialachas a chur i bhfeidhm ar chinntí stádais leochaileachta ar fud ISO 27001, NIS2, DORA, GDPR agus CRA.

Fianaise iniúchta ISO 27001 do NIS2 agus DORA

Fianaise iniúchta ISO 27001 do NIS2 agus DORA

Foghlaim conas iniúchadh inmheánach agus athbhreithniú bainistíochta ISO/IEC 27001:2022 a úsáid mar inneall aontaithe fianaise do NIS2, DORA, GDPR, riosca soláthraithe, dearbhú custaiméirí agus cuntasacht an bhoird.