Ráiteas Infheidhmeachta ISO 27001 le haghaidh ullmhacht NIS2 agus DORA
Tá sé 08:30 maidin Dé Luain, agus osclaíonn Elena, an CISO ag soláthraí B2B FinTech SaaS atá ag fás go tapa, iarratas ón mbord atá marcáilte mar ábhar práinneach. Tá deimhniú ISO/IEC 27001:2022 bainte amach ag an gcuideachta díreach, ach tá mór-ionchas baincéireachta san AE ag cur ceisteanna níos déine ná an gnáthcheistneoir slándála.
Níl siad ag fiafraí amháin an gcriptíonn an chuideachta sonraí, an n-úsáideann sí MFA, nó an bhfuil tuarascáil tástála treá aici. Tá siad ag iarraidh a fháil amach an dtacaíonn an t-ardán SaaS lena n-oibleagáidí DORA, an bhféadfadh an soláthraí a bheith laistigh de raon feidhme NIS2 mar sheirbhís TFC nó mar spleáchas bonneagair dhigitigh, agus an féidir le Ráiteas Infheidhmeachta ISO 27001 gach rialú atá curtha san áireamh, gach rialú atá eisiata agus gach píosa fianaise a chosaint.
Cuireann an bord an cheist atá á cloisteáil níos minice ag gach CISO, bainisteoir comhlíonta agus bunaitheoir SaaS:
An féidir lenár SoA ISO 27001 ullmhacht NIS2 agus DORA a chruthú?
Tuigeann Elena gurbh é an freagra mícheart trí chlár comhlíonta ar leith a sheoladh: ceann do ISO 27001, ceann do NIS2 agus ceann do DORA. Chruthódh sé sin fianaise dhúbláilte, úinéirí rialuithe i gcoimhlint lena chéile, agus brú leanúnach roimh gach measúnú custaiméara. Is é an freagra is fearr an ISMS atá ann cheana a úsáid mar chóras oibriúcháin don chomhlíonadh, agus an Ráiteas Infheidhmeachta, nó SoA, mar mháistircháipéis inrianaitheachta.
Ní scarbhileog amháin le haghaidh deimhniúchán ISO é an SoA. I dtimpeallacht chibearshlándála agus athléimneachta oibríochtúla an AE, is ann a léiríonn eagraíocht cén fáth a bhfuil rialuithe ann, cén fáth a bhfuil eisiamh inchosanta, cé leis gach rialú, cén fhianaise a thacaíonn leis an gcur chun feidhme, agus conas a thugann an tacar rialuithe aghaidh ar NIS2, DORA, GDPR, conarthaí custaiméirí agus cóireáil riosca inmheánach.
Deir Beartas Slándála Faisnéise fiontair Clarysec Beartas Slándála Faisnéise:
Ní mór teorainneacha sainithe raon feidhme, modheolaíocht measúnaithe riosca, cuspóirí intomhaiste agus rialuithe doiciméadaithe a bheith ag an ISMS, agus ní mór iad a chosaint sa Ráiteas Infheidhmeachta (SoA).
Is é an ceanglas sin, ó chlásal beartais 6.1.2 sa Bheartas Slándála Faisnéise, an bonn do chur chuige atá réidh don iniúchadh. Ba cheart don SoA a bheith ina dhroichead idir oibleagáidí, rioscaí, rialuithe, fianaise agus cinntí bainistíochta.
Cén fáth ar athraigh NIS2 agus DORA brí “infheidhme”
Is minic a thosaíonn SoA traidisiúnta ISO/IEC 27001:2022 le ceist shimplí: “Cé na rialuithe in Iarscríbhinn A a bhaineann lenár bplean cóireála riosca?” Tá sé sin ceart fós, ach ní leor é a thuilleadh do sholáthraithe SaaS, scamall, seirbhísí bainistithe, fintech, teicneolaíocht airgeadais agus slabhraí soláthair criticiúla.
Ardaíonn NIS2 an bhonnlíne do bhainistíocht riosca cibearshlándála i measc eintitis riachtanacha agus thábhachtacha san AE. Clúdaíonn sé earnálacha amhail bonneagar digiteach, soláthraithe seirbhísí néalríomhaireachta, soláthraithe seirbhísí lárionad sonraí, líonraí seachadta inneachair, soláthraithe seirbhíse bainistithe, soláthraithe seirbhísí slándála bainistithe, baincéireacht agus bonneagair margaí airgeadais. Ní mór do Bhallstáit eintitis riachtanacha agus thábhachtacha agus soláthraithe seirbhísí cláraithe ainmneacha fearainn a shainaithint, agus tá go leor soláthraithe teicneolaíochta a chaith le rialáil chibearshlándála mar shaincheist chustaiméara roimhe seo laistigh den raon feidhme go díreach anois nó nochta trí cheanglais chonarthacha a shníonn síos.
Éilíonn NIS2 Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla atá iomchuí agus comhréireach i réimsí amhail anailís riosca, beartais slándála, láimhseáil teagmhas, leanúnachas gnó, slándáil an tslabhra soláthair, soláthar agus forbairt shlán, measúnú ar éifeachtacht rialuithe, sláinteachas cibearshlándála, oiliúint, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana, bainistiú sócmhainní agus fíordheimhniú nuair is iomchuí. Cuireann NIS2 Article 23 ionchais tuairiscithe chéimnithe le haghaidh teagmhais shuntasacha leis, lena n-áirítear luathrabhadh, fógra, nuashonruithe agus tuairisciú deiridh.
Tá DORA, an Gníomh um Athléimneacht Oibríochtúil Dhigiteach, i bhfeidhm ón 17 Eanáir 2025 agus díríonn sé ar eintitis airgeadais agus ar a n-éiceachóras riosca TFC. Clúdaíonn sé bainistíocht riosca TFC, tuairisciú teagmhas a bhaineann le TFC, tuairisciú teagmhas íocaíochta oibríochtúil nó slándála d’eintitis áirithe, tástáil athléimneachta oibríochtúla digití, comhroinnt faisnéise faoi bhagairtí cibearshlándála, bainistíocht riosca tríú páirtithe TFC, socruithe conarthacha agus maoirseacht ar sholáthraithe seirbhíse tríú páirtí TFC criticiúla.
I gcás eintitis airgeadais atá ina n-eintitis riachtanacha nó thábhachtacha faoi NIS2 freisin, feidhmíonn DORA mar an réimeas earnáilsonrach le haghaidh oibleagáidí coibhéiseacha bainistíochta riosca TFC agus tuairiscithe teagmhas. Ach do sholáthraithe SaaS, soláthraithe scamall, MSPanna agus soláthraithe MDR a fhreastalaíonn ar chustaiméirí airgeadais, is í an réaltacht phraiticiúil go dtagann ionchais DORA trí sholáthar, conarthaí, cearta iniúchta, oibleagáidí tacaíochta teagmhas, pleanáil imeachta, trédhearcacht fochonraitheoirí agus fianaise athléimneachta.
Athraíonn sé sin comhrá an SoA. Ní hí an cheist a thuilleadh, “An bhfuil an rialú seo in Iarscríbhinn A?” Is í an cheist is fearr:
An féidir linn a chruthú go bhfuil roghnú na rialuithe bunaithe ar riosca, feasach ar oibleagáidí, comhréireach, faoi úinéireacht, curtha chun feidhme, faoi fhaireachán, tacaithe le fianaise agus faofa?
Is é ISO 27001 an t-aistritheoir uilíoch do NIS2 agus DORA
Tá ISO/IEC 27001:2022 luachmhar toisc gur caighdeán córais bainistíochta é, ní seicliosta cúng. Éilíonn sé go gcomhtháthófar an ISMS i bpróisis na heagraíochta agus go scálfar é de réir riachtanais na heagraíochta. Fágann sé sin gur aistritheoir uilíoch éifeachtach é do cheanglais chomhlíonta atá ag forluí.
Éilíonn clásail 4.1 go 4.4 ar an eagraíocht a comhthéacs a thuiscint, páirtithe leasmhara a shainaithint, ceanglais ábhartha a chinneadh agus raon feidhme an ISMS a shainiú. I gcás soláthraí FinTech SaaS cosúil le cuideachta Elena, d’fhéadfadh ceanglais na bpáirtithe leasmhara sin custaiméirí AE, custaiméirí airgeadais lena mbaineann DORA, nochtadh earnála NIS2, oibleagáidí rialaitheora agus próiseálaí faoi GDPR, spleáchais scamall seachfhoinsithe, comhéadain soláthraithe agus ionchais an bhoird a áireamh.
Éilíonn clásail 6.1.1 go 6.1.3 pleanáil do rioscaí agus deiseanna, próiseas measúnaithe riosca slándála faisnéise atá in-athúsáidte, próiseas cóireála riosca, comparáid le hIarscríbhinn A, agus Ráiteas Infheidhmeachta a shainaithníonn rialuithe curtha san áireamh, stádas cur chun feidhme agus údar le heisiamh.
Seo an áit a n-éiríonn an SoA ina thaifead cinntí rialaithe. Féadfar rialú a chur san áireamh toisc go gcóireálann sé riosca, go gcomhlíonann sé ceanglas dlíthiúil, go gcomhlíonann sé conradh custaiméara, go dtacaíonn sé le cuspóir gnó, nó gur cuid de bhunshláinteachas slándála é. Ní féidir rialú a eisiamh ach amháin tar éis don eagraíocht é a mheas go feasach, a dheimhniú nach mbaineann sé le raon feidhme an ISMS, an réasúnaíocht a dhoiciméadú agus formheas iomchuí a fháil.
Deir Beartas Bainistíochta Riosca fiontair Clarysec Beartas Bainistíochta Riosca:
Ní mór don Ráiteas Infheidhmeachta (SoA) gach cinneadh cóireála a léiriú agus ní mór é a nuashonrú aon uair a athraítear clúdach rialaithe.
Tá an ceanglas seo, ó chlásal beartais 5.4 sa Bheartas Bainistíochta Riosca, ríthábhachtach d’ullmhacht NIS2 agus DORA. Is féidir le custaiméir rialáilte nua, spleáchas scamall nua, oibleagáid nua tuairiscithe teagmhais nó riosca comhchruinnithe soláthraithe nua infheidhmeacht rialaithe a athrú.
Tosaigh leis an gclár comhlíonta, ní leis an liosta rialuithe
Tosaíonn SoA lag le hIarscríbhinn A agus fiafraíonn sé, “Cé na rialuithe atá againn cheana?” Tosaíonn SoA láidir le réaltacht oibriúcháin na heagraíochta agus fiafraíonn sé, “Cé na hoibleagáidí, seirbhísí, rioscaí, sonraí, soláthraithe agus custaiméirí nach mór don ISMS aghaidh a thabhairt orthu?”
Tacaíonn ISO/IEC 27005:2022 leis an gcur chuige seo trí bhéim a chur ar cheanglais páirtithe leasmhara, critéir riosca, agus an gá caighdeáin, rialacha inmheánacha, dlíthe, rialacháin, conarthaí agus rialuithe atá ann cheana a chur san áireamh. Leagann sé béim freisin gur cheart neamh-infheidhmeacht nó neamhchomhlíonadh a mhíniú agus a chosaint.
Gabhann Beartas um Chomhlíonadh Dlíthiúil agus Rialála do FBManna Clarysec Beartas um Chomhlíonadh Dlíthiúil agus Rialála do FBManna an prionsabal oibriúcháin céanna:
Ní mór don GM clár comhlíonta simplí, struchtúrtha a choinneáil ina liostaítear:
Tagann an ceanglas sin ó chlásal 5.1.1 den Bheartas um Chomhlíonadh Dlíthiúil agus Rialála do FBManna. I gcás eagraíochta níos lú, féadfaidh an clár a bheith simplí. I gcás fiontair, ba cheart dó a bheith níos mionsonraithe. Tá an loighic mar an gcéanna: ní mór oibleagáidí a bheith infheicthe sula bhféadfar iad a mhapáil.
Tá Beartas um Chomhlíonadh Dlíthiúil agus Rialála fiontair Clarysec Beartas um Chomhlíonadh Dlíthiúil agus Rialála soiléir:
Ní mór gach oibleagáid dhlíthiúil agus rialála a mhapáil chuig beartais, rialuithe agus úinéirí sonracha laistigh den Chóras Bainistíochta Slándála Faisnéise (ISMS).
Is é sin clásal beartais 6.2.1 sa Bheartas um Chomhlíonadh Dlíthiúil agus Rialála. Is é an cnámh droma rialachais é chun Ráiteas Infheidhmeachta ISO 27001 a úsáid le haghaidh ullmhacht comhlíonta NIS2 agus DORA.
| Réimse cláir | Iontráil shamplach | Cén fáth a bhfuil tábhacht leis don SoA |
|---|---|---|
| Foinse oibleagáide | NIS2 Article 21 | Tiomáineann sé cur san áireamh rialuithe anailíse riosca, láimhseála teagmhas, leanúnachais, slándála soláthraithe, cripteagrafaíochta, rialaithe rochtana, bainistithe sócmhainní agus oiliúna |
| Réasúnaíocht infheidhmeachta | Soláthraí SaaS a thacaíonn le custaiméirí airgeadais agus custaiméirí in earnálacha riachtanacha san AE | Léiríonn sé cén fáth a gcuirtear NIS2 san áireamh fiú má bhraitheann an stádas dlíthiúil deiridh ar ainmniú Ballstáit |
| Úinéir rialaithe | Ceann Oibríochtaí Slándála | Tacaíonn sé le cuntasacht agus úinéireacht fianaise |
| Rialú ISO/IEC 27001:2022 mapáilte | Rialuithe bainistithe teagmhas A.5.24 go A.5.28 | Nascann sé oibleagáid dhlíthiúil le roghnú rialuithe Iarscríbhinn A |
| Foinse fianaise | Plean freagartha do theagmhais, samplaí ticéad, athbhreithniú iartheagmhais, druileáil tuairiscithe | Éascaíonn sé sampláil iniúchta |
| Cinneadh SoA | Infheidhme | Cruthaíonn sé inrianaitheacht idir oibleagáid, riosca, rialú agus fianaise |
Tóg critéir riosca a léiríonn athléimneacht, príobháideachas, soláthraithe agus rialáil
Teipeann ar go leor údar SoA toisc go bhfuil an tsamhail scórála riosca róchúng. Tomhaiseann sí dóchúlacht agus tionchar teicniúil, ach ní ghabhann sí nochtadh rialála, criticiúlacht seirbhíse, díobháil do chustaiméirí, spleáchas ar sholáthraithe, tionchar príobháideachais ná cur isteach sistéamach oibríochtúil.
Ní bhaineann NIS2 le rúndacht amháin. Díríonn sé ar thionchar teagmhas ar sheirbhísí agus ar fhaighteoirí seirbhísí a chosc agus a íoslaghdú. Sainíonn DORA feidhmeanna criticiúla nó tábhachtacha bunaithe ar cé acu a dhéanfadh cur isteach dochar ábhartha do fheidhmíocht airgeadais, leanúnachas seirbhíse nó comhlíonadh rialála. Cuireann GDPR cuntasacht, sláine, rúndacht, ullmhacht sáraithe agus díobháil d’ábhair sonraí leis.
Tugann Beartas Bainistíochta Riosca do FBManna Clarysec Beartas Bainistíochta Riosca do FBManna íosleibhéal praiticiúil:
Ní mór do gach iontráil riosca na nithe seo a áireamh: tuairisc, dóchúlacht, tionchar, scór, úinéir agus Plean Cóireála Riosca.
Is é seo clásal 5.1.2 den Bheartas Bainistíochta Riosca do FBManna. Le haghaidh ullmhacht NIS2 agus DORA, leathnaíonn Clarysec an t-íosleibhéal sin ina réimsí amhail foinse oibleagáide, seirbhís lena mbaineann, catagóir sonraí, spleáchas soláthraí, úinéir gnó, tionchar rialála, riosca iarmharach, stádas cóireála agus foinse fianaise.
| Aitheantas riosca | Cás riosca | Tiománaí oibleagáide | Rialuithe cóireála | Údar SoA |
|---|---|---|---|---|
| R-021 | Cuireann briseadh ardáin scamall cosc ar chustaiméirí rochtain a fháil ar dheais anailísíochta calaoise rialáilte | NIS2 Article 21, spleáchas custaiméara DORA, CLS conarthach | A.5.29, A.5.30, A.8.13, A.8.15, A.8.16 | Infheidhme toisc go laghdaíonn leanúnachas seirbhíse, cúltaca, logáil, faireachán agus ullmhacht TFC cur isteach oibríochtúil agus go dtacaíonn siad le hoibleagáidí athléimneachta custaiméirí |
| R-034 | Ní bhraitear, ní uaschéimnítear ná ní thuairiscítear teagmhas slándála a bhaineann le sonraí pearsanta AE laistigh de na hamlínte riachtanacha | Cuntasacht GDPR, NIS2 Article 23, dualgais tacaíochta teagmhas DORA | A.5.24 go A.5.28, A.8.15, A.8.16 | Infheidhme toisc go dtacaíonn láimhseáil teagmhas chéimnithe, bailiú fianaise, foghlaim, logáil agus faireachán le sreafaí oibre rialála agus fógra custaiméara |
| R-047 | Bíonn laige fochonraitheora chriticiúil i bhfeidhm ar sheachadadh slán seirbhíse do chustaiméirí airgeadais | Slándáil slabhra soláthair NIS2 Article 21, riosca tríú páirtithe TFC DORA | A.5.19 go A.5.23, A.5.31, A.5.36 | Infheidhme toisc go bhfuil riosca soláthraithe, ceanglais chonarthacha, rialachas scamall, oibleagáidí comhlíonta agus comhlíonadh beartais riachtanach le haghaidh dearbhú spleáchais TFC |
Tabhair faoi deara an teanga. Ní deir údar láidir “curtha chun feidhme” amháin. Míníonn sé cén fáth a bhfuil an rialú infheidhme i gcomhthéacs gnó, rialála agus riosca na heagraíochta.
Mapáil fearainn NIS2 agus DORA chuig rialuithe ISO 27001:2022
Nuair atá an clár comhlíonta agus na critéir riosca bunaithe, is í an obair phraiticiúil fearainn rialála a mhapáil chuig rialuithe Iarscríbhinn A. Ní chruthaíonn an mhapáil seo comhlíonadh inti féin, ach tugann sí innéacs soiléir d’iniúchóirí agus do chustaiméirí chun fianaise a thástáil.
| Réimse ceanglais rialála | Tagairt NIS2 | Tagairt DORA | Samplaí rialaithe ISO/IEC 27001:2022 |
|---|---|---|---|
| Rialachas agus cuntasacht bainistíochta | Article 20 | Article 5 | A.5.1, A.5.2, A.5.31, A.5.35, A.5.36 |
| Creat bainistíochta riosca | Article 21(1) | Article 6 | Clásail ISO 27001 6.1.1 go 6.1.3, A.5.7, A.5.31, A.5.36 |
| Láimhseáil agus tuairisciú teagmhas | Article 23 | Articles 17 to 19 | A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.8.15, A.8.16 |
| Leanúnachas gnó agus athléimneacht | Article 21(2)(c) | Articles 11 and 12 | A.5.29, A.5.30, A.8.13, A.8.14, A.8.15, A.8.16 |
| Slabhra soláthair agus riosca tríú páirtithe | Article 21(2)(d), Article 21(3) | Articles 28 to 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 |
| Soláthar agus forbairt shlán | Article 21(2)(e) | Article 9 | A.8.25, A.8.26, A.8.27, A.8.28, A.8.29, A.8.32 |
| Tástáil agus éifeachtacht rialuithe | Article 21(2)(f) | Articles 24 to 27 | A.5.35, A.5.36, A.8.8, A.8.29, A.8.34 |
| Rialú rochtana agus bainistiú sócmhainní | Article 21(2)(i) | Article 9(4)(d) | A.5.9, A.5.15, A.5.16, A.5.17, A.5.18, A.8.2, A.8.3 |
| Cripteagrafaíocht agus criptiú | Article 21(2)(h) | Article 9(4)(d) | A.8.24 |
I gcás Elena, d’athraigh an mhapáil seo comhrá an bhoird. In ionad NIS2 agus DORA a chur i láthair mar thionscadail ar leith, d’fhéadfadh sí an forluí a léiriú: rialachas, bainistíocht riosca, teagmhais, leanúnachas, soláthraithe, tástáil, rialú rochtana agus cripteagrafaíocht.
Na trí rialú ISO ar a mbraitheann gach SoA NIS2 agus DORA
In Zenith Controls: The Cross-Compliance Guide Zenith Controls, déileálann Clarysec le trí rialú ISO/IEC 27002:2022 mar rialuithe lárnacha do rialachas SoA atá réidh don iniúchadh i gcomhthéacs NIS2 agus DORA. Is rialuithe ISO iad seo, saibhrithe le tréithe traschomhlíonta sa treoir Zenith Controls.
| Rialú ISO/IEC 27002:2022 | Ainm rialaithe | Tréithe Zenith Controls | Cén fáth a bhfuil tábhacht leis do rialachas SoA |
|---|---|---|---|
| 5.31 | Ceanglais dhlíthiúla, reachtúla, rialála agus chonarthacha | Coisctheach, CIA, Sainaithin, Dlí agus Comhlíonadh, Rialachas, Éiceachóras, Cosaint | Bunaíonn sé bonnlíne na n-oibleagáidí a thiomáineann cur san áireamh rialuithe agus sannadh úinéirí |
| 5.35 | Athbhreithniú neamhspleách ar shlándáil faisnéise | Coisctheach agus ceartaitheach, CIA, Sainaithin agus Cosain, Dearbhú Slándála Faisnéise, Rialachas, Éiceachóras | Soláthraíonn sé dearbhú gur féidir le cinntí SoA agus fianaise cur chun feidhme seasamh le hathbhreithniú neamhspleách |
| 5.36 | Comhlíonadh beartas, rialacha agus caighdeán do shlándáil faisnéise | Coisctheach, CIA, Sainaithin agus Cosain, Dlí agus Comhlíonadh, Dearbhú Slándála Faisnéise, Rialachas, Éiceachóras | Nascann sé an SoA le comhréireacht oibríochtúil, comhlíonadh beartais agus faireachán |
Ní rialuithe scoite iad seo. Nascann siad go díreach le rialuithe caidrimh soláthraithe A.5.19 go A.5.23, rialuithe bainistithe teagmhas A.5.24 go A.5.28, rialuithe leanúnachais A.5.29 agus A.5.30, rialú príobháideachais A.5.34, bainistíocht leochaileachtaí A.8.8, bainistíocht cumraíochta A.8.9, cúltaca faisnéise A.8.13, logáil A.8.15, gníomhaíochtaí faireacháin A.8.16, cripteagrafaíocht A.8.24, rialuithe forbartha slána A.8.25 go A.8.29, agus bainistíocht athruithe A.8.32.
Is é luach Zenith Controls go gcabhraíonn sé le foirne gan an SoA a láimhseáil mar dhéantán caighdeáin aonair. Tacaíonn Control 5.31 le mapáil dhlíthiúil agus chonarthach. Tacaíonn Control 5.35 le hiniúchadh inmheánach, athbhreithniú neamhspleách agus dearbhú bainistíochta. Tacaíonn Control 5.36 le comhlíonadh oibríochtúil beartas, nósanna imeachta, caighdeán agus ceanglas rialaithe.
Úsáid Zenith Blueprint chun an SoA a thógáil, a thástáil agus a chosaint
In Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, cuireann Clarysec tógáil an SoA i gcéim na bainistíochta riosca, Céim 13: Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta. Treoraíonn an Blueprint eagraíochtaí chun bileog an SoA sa teimpléad “Risk Register and SoA Builder.xlsx” a úsáid, cinneadh a dhéanamh an bhfuil gach ceann de na 93 rialú Iarscríbhinn A infheidhme, agus an cinneadh a bhunú ar chóireáil riosca, ceanglais dhlíthiúla agus chonarthacha, ábharthacht raon feidhme agus comhthéacs eagraíochtúil.
Deir an Blueprint:
Is doiciméad droichid é an SoA go bunúsach: nascann sé do mheasúnú/cóireáil riosca leis na rialuithe iarbhír atá agat.
Gabhann an abairt sin an tsamhail oibriúcháin. Droichead is ea an SoA idir oibleagáidí, rioscaí, beartais, rialuithe, fianaise agus conclúidí iniúchta.
Treoraíonn Zenith Blueprint foirne freisin rialacháin a chrostagairt i nótaí an SoA nuair is iomchuí. Má chuirtear rialú chun feidhme le haghaidh GDPR, NIS2 nó DORA, ba cheart é sin a bheith le feiceáil sa chlár rioscaí nó i nótaí an SoA. Níos déanaí, i gCéim 24, deir an Blueprint le heagraíochtaí an SoA a nuashonrú tar éis cur chun feidhme agus é a chrosfhíorú leis an bplean cóireála riosca. I gCéim 30, Ullmhúchán Deimhniúcháin, Athbhreithniú Deiridh agus Iniúchadh Bréige, treoraíonn an Blueprint foirne a dheimhniú go bhfuil fianaise ag gach rialú Iarscríbhinn A infheidhme, amhail beartas, nós imeachta, tuarascáil, plean nó taifead cur chun feidhme.
Déanann an seicheamh sin ionstraim chomhlíonta bheo den SoA:
- Tógann Céim 13 é ó chóireáil riosca agus oibleagáidí.
- Tástálann Céim 24 é i gcoinne réaltacht an chur chun feidhme.
- Cosnaíonn Céim 30 é trí athbhreithniú fianaise deiridh agus iniúchadh bréige.
Conas údair chur san áireamh a scríobh ar féidir le hiniúchóirí iad a leanúint
Ba cheart rialú a chur san áireamh nuair atá tiománaí inchosanta amháin ar a laghad ann: cóireáil riosca, ceanglas dlíthiúil, ceanglas conarthach, ábharthacht raon feidhme, bunshláinteachas slándála, ionchas dearbhaithe custaiméara, nó cuspóir athléimneachta atá faofa ag an mbainistíocht.
Foirmle úsáideach is ea:
Infheidhme toisc go mbíonn tionchar ag [riosca nó oibleagáid] ar [seirbhís, sócmhainn, sonraí nó próiseas], agus go soláthraíonn an rialú seo [toradh coisctheach, braite, ceartaitheach nó athléimneachta], arna fhianú le [beartas, taifead, tástáil, tuarascáil nó aschur córais].
| Réimse rialaithe | Údar lag | Údar atá réidh don iniúchadh |
|---|---|---|
| Bainistíocht teagmhas | Curtha chun feidhme | Infheidhme toisc go n-éilíonn NIS2 Article 23 agus ionchais shaolré teagmhais DORA brath, aicmiú, uaschéimniú, tacaíocht tuairiscithe, cumarsáid, anailís bunchúise, bailiú fianaise agus ceachtanna foghlamtha do theagmhais a théann i bhfeidhm ar chustaiméirí rialáilte |
| Slándáil soláthraithe | Riachtanach | Infheidhme toisc go mbíonn tionchar ag óstáil scamall, soláthraithe tacaíochta agus seirbhísí MDR ar infhaighteacht seirbhíse agus rúndacht sonraí, agus go n-éilíonn NIS2 Article 21 móide ionchais riosca tríú páirtithe TFC DORA dícheall cuí, coimircí conarthacha, faireachán, athbhreithniú fochonraitheoirí agus pleanáil imeachta |
| Cripteagrafaíocht | In úsáid | Infheidhme toisc go dteastaíonn coimircí rúndachta agus sláine ó shonraí custaiméirí, rúin fhíordheimhnithe, cúltacaí agus sonraí airgeadais rialáilte faoi NIS2, DORA, GDPR, conarthaí custaiméirí agus cóireáil riosca inmheánach |
| Athbhreithniú neamhspleách | Tá | Infheidhme toisc go dteastaíonn dearbhú ón mbainistíocht, ó chustaiméirí agus ó iniúchóirí go ndéantar rialuithe ISMS, cinntí SoA, fianaise agus mapálacha rialála a athbhreithniú go neamhspleách ar bhonn tréimhsiúil |
I gcás soláthraí fintech SaaS, d’fhéadfadh iontráil SoA amháin breathnú mar seo:
| Réimse SoA | Iontráil shamplach |
|---|---|
| Rialú | A.5.19 Bainistiú slándála faisnéise i gcaidrimh le soláthraithe |
| Infheidhmeacht | Tá |
| Údar | Infheidhme toisc go mbíonn tionchar ag óstáil scamall, uirlisí tacaíochta agus seirbhísí MDR ar rúndacht, infhaighteacht, brath teagmhas agus dearbhú custaiméara rialáilte. Tacaíonn sé le hionchais slabhra soláthair NIS2, ionchais riosca tríú páirtithe TFC DORA do chustaiméirí airgeadais, cuntasacht próiseálaí GDPR agus ceanglais iniúchta chonarthacha. |
| Stádas cur chun feidhme | Curtha chun feidhme agus faoi fhaireachán |
| Úinéir | Ceann Bainistíochta Díoltóirí |
| Fianaise | Clár soláthraithe, seicliosta dícheall cuí, clásail slándála conartha, taifid athbhreithnithe bhliantúla, tuarascálacha SOC nó dearbhaithe, athbhreithniú fochonraitheoirí, plean imeachta do sholáthraithe criticiúla |
| Rioscaí nasctha | R-047, R-021, R-034 |
| Beartais nasctha | Beartas Slándála Tríú Páirtí agus Soláthraithe, Beartas um Chomhlíonadh Dlíthiúil agus Rialála, Beartas Bainistíochta Riosca |
| Minicíocht athbhreithnithe | Bliantúil, agus ar athrú soláthraí, mórtheagmhas, custaiméir rialáilte nua nó leathnú seirbhíse |
Tá sé seo réidh don iniúchadh toisc go nascann sé an rialú le comhthéacs, riosca, oibleagáid, cur chun feidhme, úinéireacht agus fianaise.
Conas eisiamh a chosaint gan nochtadh iniúchta a chruthú
Ní teipeanna iad eisiamh. Is teipeanna iad eisiamh nach bhfuil cosanta go cuí.
Éilíonn ISO/IEC 27001:2022 ar an SoA údar a thabhairt do rialuithe Iarscríbhinn A atá eisiata. Neartaíonn ISO/IEC 27005:2022 an riachtanas go míneofar agus go gcosnófar neamh-infheidhmeacht. Deir Beartas Slándála Faisnéise fiontair Clarysec:
Féadfar an bhonnlíne a shaincheapadh; áfach, ní mór eisiamh a dhoiciméadú le faomhadh foirmiúil agus údar sa SoA.
Is é seo clásal 7.2.2 den Bheartas Slándála Faisnéise.
Deir Beartas Slándála Faisnéise do FBManna Clarysec Beartas Slándála Faisnéise do FBManna:
Ní mór aon imeacht ón mbeartas seo a dhoiciméadú, agus míniú soiléir a thabhairt ar cén fáth a bhfuil an t-imeacht riachtanach, cé na bearta cosanta malartacha atá i bhfeidhm, agus an dáta atá sainithe don athmheasúnú.
Tagann an ceanglas sin ó chlásal 7.2.1 sa Bheartas Slándála Faisnéise do FBManna.
| Réimse rialaithe | Réasúnaíocht eisiata | Coimircí riachtanacha |
|---|---|---|
| Rialuithe forbartha slána le haghaidh cód inmheánach | Neamh-infheidhme toisc nach gclúdaíonn raon feidhme an ISMS ach seirbhís athdhíoltóra gan aon fhorbairt bogearraí inmheánach, gan aon mhodhnú cód agus gan aon phíblíne CI/CD | Dearbhú soláthraí, formheas athraithe, iontógáil leochaileachta, cumarsáid custaiméara agus athmheasúnú bliantúil |
| Faireachán slándála fisicí do shaoráidí faoi úinéireacht | Neamh-infheidhme toisc nach bhfuil aon ionad sonraí, seomra freastalaí ná saoráid oifige faoi úinéireacht ag an eagraíocht i raon feidhme an ISMS, agus go n-oibríonn soláthraithe scamall iniúchta an bonneagar táirgthe uile | Dícheall cuí soláthraí scamall, rialuithe conarthacha, athbhreithnithe rochtana, athbhreithniú freagrachta comhroinnte agus fianaise ó thuarascálacha dearbhaithe soláthraí |
| Gníomhaíochtaí áirithe láimhseála meán ar an áitreabh | Neamh-infheidhme toisc nach n-úsáidtear aon mheáin inbhainte ná stóráil ar an áitreabh laistigh den tseirbhís atá sa raon feidhme | Srianta críochphointe, faireachán DLP nuair is iomchuí, fardal sócmhainní agus bailíochtú tréimhsiúil |
I gcás NIS2 agus DORA, teastaíonn cúram breise ó eisiamh. Is annamh ba cheart do chuideachta SaaS logáil, faireachán, cúltacaí, bainistíocht teagmhas, rialú rochtana, slándáil soláthraithe nó bainistíocht leochaileachtaí a eisiamh. Fiú nuair nach bhfuil rialú nasctha le riosca sonrach amháin, d’fhéadfadh sé a bheith riachtanach fós mar bhunshlándáil, mar dhearbhú custaiméara, mar ionchas conarthach nó mar oibleagáid dhlíthiúil.
Cuireann Beartas Bainistíochta Riosca do FBManna Clarysec i gcuimhne d’fhoirne freisin conas riosca glactha a láimhseáil:
Glac: Tabhair údar cén fáth nach bhfuil aon ghníomh breise riachtanach agus taifead an riosca iarmharach.
Is é an clásal sin, 6.1.1 sa Bheartas Bainistíochta Riosca do FBManna, an meon cruinn atá de dhíth le haghaidh eisiamh agus cinntí riosca iarmharaigh.
Tuairisciú teagmhas: cruthaigh an sreabhadh oibre, ní an beartas amháin
Éilíonn NIS2 Article 23 tuairisciú céimnithe ar theagmhais shuntasacha, lena n-áirítear luathrabhadh laistigh de 24 uair an chloig ó bheith ar an eolas, fógra laistigh de 72 uair an chloig, nuashonruithe nuair a iarrtar iad, agus tuarascáil deiridh laistigh de mhí amháin ón bhfógra 72 uair an chloig. Éilíonn DORA ar eintitis airgeadais teagmhais mhóra a bhaineann le TFC a bhrath, a bhainistiú, a aicmiú, a uaschéimniú, a chur in iúl agus a thuairisciú, cliaint lena mbaineann a chur ar an eolas nuair is gá, anailís bunchúise a dhéanamh agus rialuithe a fheabhsú.
B’fhéidir nach dtuairiscíonn soláthraí SaaS go díreach d’údarás DORA i gcónaí, ach d’fhéadfadh sé go mbeadh air tacú le hamlínte tuairiscithe custaiméirí airgeadais. Fágann sé sin go bhfuil rialuithe teagmhas thar a bheith ábhartha sa SoA.
Deir SoA lag: “Tá beartas freagartha do theagmhais ann.”
Deir SoA láidir: “Infheidhme toisc nach mór don eagraíocht teagmhais a théann i bhfeidhm ar sheirbhísí, sonraí nó custaiméirí rialáilte a bhrath, a mheas, a aicmiú, a uaschéimniú, a chur in iúl, fianaise a chaomhnú, tacú le hamlínte tuairiscithe rialála, custaiméirí lena mbaineann a chur ar an eolas nuair a éilítear sin go conarthach, agus foghlaim uathu.”
Ba cheart go n-áireofaí san fhianaise:
- Plean freagartha do theagmhais agus maitrís uaschéimnithe rioscaí.
- Critéir aicmithe déine.
- Sreabhadh oibre um fhógra custaiméara.
- Crann cinntí um fhógra rialála nuair is infheidhme.
- Ticéid teagmhais agus amlínte.
- Logaí agus foláirimh faireacháin.
- Taifid cleachtaí boird.
- Athbhreithniú iartheagmhais agus gníomhartha ceartaitheacha.
- Nósanna imeachta caomhnaithe fianaise.
Míníonn Beartas Faireacháin Iniúchta agus Comhlíonta fiontair Clarysec Beartas Faireacháin Iniúchta agus Comhlíonta cén fáth a bhfuil tábhacht leis seo:
Chun fianaise inchosanta agus rian iniúchta a ghiniúint mar thaca le fiosrúcháin rialála, imeachtaí dlíthiúla nó iarratais dearbhaithe custaiméara.
Tagann an cuspóir sin ó chlásal 3.4 sa Bheartas Faireacháin Iniúchta agus Comhlíonta.
I gcás eagraíochtaí níos lú, ní mór coinneáil fianaise a bheith follasach freisin. Deir Beartas Faireacháin Iniúchta agus Comhlíonta do FBManna Clarysec Beartas Faireacháin Iniúchta agus Comhlíonta do FBManna:
Ní mór fianaise a choinneáil ar feadh dhá bhliain ar a laghad, nó níos faide nuair a éilítear sin le deimhniúchán nó le comhaontuithe cliant.
Is é sin clásal 6.2.4 sa Bheartas Faireacháin Iniúchta agus Comhlíonta do FBManna.
SoA amháin, comhráite iniúchta iolracha
Ní dhéanann an SoA is fearr creataí a dhúbailt. Cruthaíonn sé scéal rialaithe inrianaithe ar féidir le hiniúchóirí éagsúla é a thuiscint.
| Creat nó lionsa | Cad a iarrfaidh an t-iniúchóir nó an measúnóir | Conas a chabhraíonn an SoA |
|---|---|---|
| ISO/IEC 27001:2022 | Cén fáth a bhfuil an rialú Iarscríbhinn A seo curtha san áireamh nó eisiata, cad é an stádas cur chun feidhme, agus cá bhfuil an fhianaise? | Nascann sé cinntí rialaithe le rioscaí, oibleagáidí, stádas cur chun feidhme, úinéirí agus fianaise |
| NIS2 | Conas a oibríonn rialachas, anailís riosca, láimhseáil teagmhas, leanúnachas gnó, slabhra soláthair, criptiú, rialú rochtana, bainistiú sócmhainní agus oiliúint i gcleachtas? | Mapálann sé ionchais Article 21 agus Article 23 chuig rialuithe Iarscríbhinn A agus taifid oibríochtúla |
| DORA | Conas a fhianaítear riosca TFC, bainistíocht teagmhas, tástáil athléimneachta, riosca tríú páirtithe, conarthaí, cearta iniúchta, pleananna imeachta agus maoirseacht bainistíochta? | Léiríonn sé cé na rialuithe a thacaíonn le hoibleagáidí eintitis airgeadais nó le dearbhú soláthraí SaaS |
| GDPR | An féidir leis an eagraíocht sláine, rúndacht, cuntasacht, ullmhacht sáraithe, tacaíocht phróiseála dhlíthiúil agus rialuithe próiseálaí a léiriú? | Nascann sé oibleagáidí príobháideachais le rialú rochtana, cripteagrafaíocht, logáil, soláthraithe, teagmhais, coinneáil agus rialuithe fianaise |
| NIST CSF 2.0 | Conas a thacaíonn rialuithe curtha chun feidhme le torthaí Govern, Identify, Protect, Detect, Respond agus Recover? | Úsáideann sé an bonn fianaise céanna chun clúdach feidhmiúil cibearshlándála a léiriú |
| COBIT 2019 agus iniúchadh ISACA | An bhfuil cuspóirí rialachais, úinéireacht rialuithe, gníomhaíochtaí dearbhaithe, méadrachtaí agus cuntasacht bainistíochta sainithe? | Nascann sé cinntí SoA le húinéirí, athbhreithnithe feidhmíochta, athbhreithniú neamhspleách agus gníomh ceartaitheach |
Tosaíonn iniúchóir ISO 27001 de ghnáth le loighic clásal: raon feidhme, páirtithe leasmhara, measúnú riosca, cóireáil riosca, SoA, cuspóirí, iniúchadh inmheánach, athbhreithniú bainistíochta agus feabhsú. Díríonn athbhreithneoir atá dírithe ar NIS2 ar chomhréireacht, cuntasacht bainistíochta, oiliúint, slabhra soláthair, amlínte teagmhas agus tionchar seirbhíse. Díríonn measúnóir custaiméara atá dírithe ar DORA ar riosca TFC, feidhmeanna criticiúla nó tábhachtacha, teagmhais mhóra TFC, tástáil athléimneachta, clásail conartha, cearta iniúchta, pleananna imeachta, fochonraitheoireacht agus riosca comhchruinnithe. Díríonn athbhreithneoir príobháideachais ar chuntasacht GDPR agus ullmhacht sáraithe. Tástálann iniúchóir i stíl COBIT 2019 nó ISACA rialachas, méadrachtaí, úinéireacht, dearbhú agus gníomh ceartaitheach.
Sin é an fáth nach féidir leis an bhfoireann slándála amháin an SoA a chothabháil. Teastaíonn úinéireacht ó dhlí, príobháideachas, soláthar, innealtóireacht, oibríochtaí, acmhainní daonna agus ceannaireacht feidhmiúcháin.
Teipeanna coitianta SoA i dtionscadail ullmhachta NIS2 agus DORA
Aimsíonn Clarysec na saincheisteanna céanna arís agus arís eile i dtionscadail ullmhachta:
- Marcálann an SoA rialuithe mar infheidhme, ach níl aon riosca, oibleagáid ná cúis ghnó taifeadta.
- Luaitear NIS2 agus DORA i mbeartais, ach ní mhapáiltear iad chuig rialuithe, úinéirí ná fianaise.
- Marcáiltear rialuithe soláthraithe mar churtha chun feidhme, ach níl aon chlár soláthraithe, rátáil chriticiúlachta, athbhreithniú conarthach ná plean imeachta ann.
- Tá rialuithe teagmhas ann, ach ní thacaíonn an próiseas le sreafaí oibre 24 uair an chloig, 72 uair an chloig, custaiméara nó tuairiscithe deiridh.
- Tugtar formheas bainistíochta le tuiscint, ach níl aon taifead ar ghlacadh le riosca, formheas SoA ná cinneadh riosca iarmharaigh ann.
- Cóipeáiltear eisiamh ó theimpléad agus ní mheaitseálann siad an tsamhail oibriúcháin scamall, chianda, SaaS nó fintech iarbhír.
- Tá fianaise scaipthe ar fud uirlisí, ach níl aon rian iniúchta a nascann an fhianaise leis an SoA.
- Ní nasctar próiseáil sonraí pearsanta GDPR le rialuithe slándála, freagairt do sháruithe, conarthaí soláthraithe ná coinneáil.
- Seiceálann iniúchadh inmheánach doiciméid ach ní thástálann sé an léiríonn an SoA an cur chun feidhme iarbhír.
- Ní nuashonraítear an SoA ach roimh dheimhniúchán, ní tar éis custaiméirí nua, soláthraithe, teagmhais, torthaí iniúchta nó athruithe rialála.
Ní saincheisteanna páipéarachais iad seo. Is saincheisteanna rialachais iad.
Seicliosta praiticiúil do SoA ISO 27001 atá réidh don iniúchadh
Úsáid an seicliosta seo roimh iniúchadh deimhniúcháin ISO 27001, athbhreithniú ullmhachta NIS2, measúnú custaiméara DORA, cruinniú boird nó próiseas dícheall cuí infheisteora.
| Seicphointe | Freagra maith |
|---|---|
| Raon feidhme | Léiríonn raon feidhme an ISMS seirbhísí, custaiméirí, sonraí, soláthraithe, comhéadain seachfhoinsithe agus spleáchais rialáilte |
| Páirtithe leasmhara | Sainaithnítear NIS2, custaiméirí DORA, róil GDPR, rialálaithe, custaiméirí, soláthraithe agus páirtithe leasmhara inmheánacha |
| Clár comhlíonta | Mapáiltear oibleagáidí dlíthiúla, rialála, conarthacha agus custaiméara chuig beartais, rialuithe agus úinéirí |
| Critéir riosca | Áirítear tionchair dhlíthiúla, oibríochtúla, phríobháideachais, soláthraithe, athléimneachta, airgeadais agus chlú |
| Clár rioscaí | Áirítear i ngach riosca tuairisc, dóchúlacht, tionchar, scór, úinéir, Plean Cóireála Riosca agus riosca iarmharach |
| Cur san áireamh SoA | Tá réasúnaíocht ag gach rialú infheidhme atá ceangailte le riosca, oibleagáid, raon feidhme, conradh nó bunshlándáil |
| Eisiamh SoA | Tá údar sonrach, faofa, bunaithe ar fhianaise agus spreagadh athbhreithnithe ag gach rialú eisiata |
| Fianaise | Tá fianaise beartais, nós imeachta, cumraíochta, tuarascála, tástála, ticéid, loga, athbhreithnithe nó taifid ag gach rialú infheidhme |
| Formheas bainistíochta | Faomhann úinéirí riosca pleananna cóireála agus rioscaí iarmharacha, agus déanann an bhainistíocht athbhreithniú ar fheidhmíocht an ISMS |
| Athbhreithniú neamhspleách | Tástálann iniúchadh inmheánach nó athbhreithniú neamhspleách cruinneas SoA, cáilíocht fianaise agus réaltacht cur chun feidhme |
| Truicear nuashonraithe | Déantar nuashonruithe SoA tar éis athruithe seirbhíse, athruithe soláthraithe, teagmhais, custaiméirí nua, athruithe rialála nó torthaí iniúchta |
Déan droichead comhlíonta inchosanta den SoA
D’éirigh le cur i láthair Elena don bhord toisc nár chuir sí trí thionscadal comhlíonta dícheangailte i láthair. Chuir sí samhail oibriúcháin rialaithe, bunaithe ar fhianaise i láthair, tógtha ar ISO/IEC 27001:2022, leis an SoA mar dhroichead idir rialáil, riosca, cur chun feidhme rialuithe, fianaise agus maoirseacht bainistíochta.
Ní dhéanann NIS2 agus DORA ISO 27001 as feidhm. Déanann siad Ráiteas Infheidhmeachta ISO 27001 dea-thógtha níos luachmhaire. Is féidir leis an SoA a bheith mar an áit aonair ina míníonn d’eagraíocht cén fáth a bhfuil rialuithe ann, cén fáth a bhfuil eisiamh inchosanta, conas a choinnítear fianaise, conas a rialaítear soláthraithe, conas a uaschéimnítear teagmhais, agus conas atá a fhios ag an mbainistíocht go bhfuil an ISMS ag obair.
Tá do ghníomh láithreach simplí:
- Oscail do SoA reatha.
- Roghnaigh cúig rialú atá marcáilte mar infheidhme agus fiafraigh, “Cén riosca, oibleagáid nó conradh a chosnaíonn é seo?”
- Roghnaigh cúig eisiamh agus fiafraigh, “An mbeadh ciall leis seo fós d’iniúchóir NIS2, DORA, GDPR nó ISO/IEC 27001:2022?”
- Seiceáil an bhfuil fianaise reatha ag gach rialú infheidhme.
- Deimhnigh go bhfuil rioscaí iarmharacha agus cinntí SoA faofa ag an mbainistíocht.
- Nuashonraigh an clár comhlíonta, an clár rioscaí agus an SoA aon uair a athraíonn seirbhísí, soláthraithe, custaiméirí, rialacháin nó teagmhais.
Cabhraíonn Clarysec le heagraíochtaí é seo a dhéanamh trí Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, tacair beartas fiontair agus FBManna, uirlisiú cláir rioscaí, teimpléid SoA, ullmhúchán iniúchta agus mapáil traschomhlíonta do NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 agus dearbhú custaiméara.
Mura féidir le do SoA freagra a thabhairt ar cén fáth, cé leis é, cén fhianaise a chruthaíonn é, agus cén oibleagáid a dtacaíonn sé léi, níl sé réidh fós. Úsáid Clarysec chun droichead comhlíonta atá réidh don iniúchadh a dhéanamh de sula gcuireann rialálaí, iniúchóir nó custaiméir na ceisteanna céanna ar dtús.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
