Maoirseacht ar sholáthraí MDR le haghaidh NIS2, DORA agus GDPR

Ag 02:13 maidin Dé Luain, osclaíonn an soláthraí MDR foláireamh ard-déine: taisteal dodhéanta, rialacha bosca poist amhrasacha, agus cuntas pribhléideach a úsáideadh ó chríochphointe neamhbhainistithe. Déanann anailísí an SOC é a uasghrádú tríd an tairseach ticéadaithe. Tá do bhainisteoir TF ina chodladh. Faigheann an CFO rabhadh fioscaireachta ó theagmhálaí bainc sula ndúisíonn an cainéal inmheánach teagmhais. Faoi 07:30, tá trí cheist mhíchompordacha le freagairt ag an CISO.

Cé aige a raibh údarás teagmhas a fhógairt?

An féidir linn a chruthú go raibh na logaí cearta ag an soláthraí MDR, gur coinníodh iad ar feadh tréimhse leordhóthanach, agus gur caomhnaíodh an fhianaise?

Má tugadh rochtain ar shonraí pearsanta, an féidir leis an bhfeidhm Dlí amlínte measúnaithe sáraithe GDPR a chomhlíonadh agus Oibríochtaí ag ullmhú tuairisciú NIS2 nó DORA?

Mí ina dhiaidh sin, iarrann an t-iniúchóir seachtrach an fhianaise chéanna ar bhealach eile. Tá tuarascáil PDF an tsoláthraí MDR úsáideach, ach ní leor í. Teastaíonn ón iniúchóir sonraí amh foláirimh, comhaid logaí iomlána, an rian uasghrádaithe, an loga cinntí inmheánach, taifead athbhreithnithe an tsoláthraí, agus cruthúnas go bhféadfadh an eagraíocht a fhíorú go neamhspleách cad a tharla.

Sin í fadhb mhaoirseachta soláthraí MDR in 2026. Seachfhoinsíonn eagraíochtaí braite agus freagairt toisc go bhfuil acmhainn inmheánach SOC costasach, go bhfuil earcaíocht deacair, agus go bhfuil gníomhaíocht bagairtí leanúnach. Ach ní hionann braite seachfhoinsithe agus cuntasacht sheachfhoinsithe. Faoi NIS2, fanann comhlachtaí bainistíochta freagrach as bearta bainistíochta riosca cibearshlándála a fhaomhadh agus a mhaoirsiú. Faoi DORA, fanann eintitis airgeadais lánfhreagrach as riosca tríú páirtí TFC, lena n-áirítear seirbhísí TFC criticiúla, tacaíocht teagmhais, cearta iniúchta, fochonraitheoireacht agus imeacht. Faoi GDPR, ní mór do rialaitheoirí slándáil chuí na próiseála a léiriú, go háirithe nuair a láimhseálann próiseálaithe teiliméadracht, sonraí críochphointe, aitheantóirí úsáideora, seoltaí IP, inneachar ríomhphoist, logaí nó íomhánna fóiréinseacha.

Is annamh gurb é an conradh MDR amháin an bhearna phraiticiúil. Is é an slabhra fianaise idir an conradh agus an tseirbhís bheo é: ródú foláireamh, rochtain phribhléideach, coinneáil logaí, tairseacha uasghrádaithe, fianaise teagmhais, trédhearcacht fochonraitheoirí, clásail phróiseálaithe, athbhreithnithe seirbhíse, tástáil trí chleachtadh boird agus tuairisciú bainistíochta.

Teastaíonn samhail oibriúcháin amháin ó chlár inchosanta maoirseachta soláthraí MDR a shásaíonn iliomad comhráite iniúchta. Soláthraíonn ISO/IEC 27001:2022 an cnámh droma sin.

Tosaíonn maoirseacht MDR le cuntasacht, ní le consól an SOC

Botún coitianta is ea ionduchtú MDR a láimhseáil mar thionscadal teicniúil: gníomhairí EDR a imscaradh, logaí aitheantais a chur ar aghaidh, foláirimh a chumrú, cainéal Teams nó Slack a chomhaontú, agus dul beo. D’fhéadfadh sé sin braite a fheabhsú, ach ní chruthaíonn sé rialachas.

Déanann NIS2 an cheist soiléir. Ní mór d’eintitis riachtanacha agus thábhachtacha bearta teicniúla, oibríochtúla agus eagraíochtúla iomchuí agus comhréireacha bainistíochta riosca cibearshlándála a chur chun feidhme. Cuimsíonn Article 21 anailís riosca, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, cibearshláinteachas, rialú rochtana, bainistíocht sócmhainní, cripteagrafaíocht agus fíordheimhniú ilfhachtóiriúil. Ardaíonn Article 20 é seo go cuntasacht chomhlachta bainistíochta, agus éilíonn sé faomhadh agus maoirseacht ar na bearta sin.

Is minic a bhíonn soláthraithe MDR suite thar roinnt réimsí NIS2 Article 21 ag an am céanna:

• Láimhseáil teagmhas, toisc go ndéanann an soláthraí triáis agus uasghrádú, agus go bhféadfadh sé teorannú a mholadh.
• Slándáil slabhra soláthair, toisc gur soláthraí seirbhíse díreach é an soláthraí a mbíonn tionchar aige ar shlándáil oibríochtúil.
• Rialú rochtana, toisc go bhféadfadh an soláthraí rochtain a fháil ar chonsóil, logaí, uirlisí críochphointe nó tionóntaí scamall.
• Logáil agus faireachán, toisc go mbraitheann braite ar chlúdach logaí, coinneáil agus comhghaolú.
• Cibearshláinteachas, toisc go nochtann torthaí MDR laigí paisteála, aitheantais nó cumraíochta go minic.
• Leanúnachas gnó, toisc gur féidir le freagairt mhoillithe cur isteach ar sheirbhísí criticiúla.

I gcás eintitis airgeadais, treisíonn DORA an tsamhail oibriúcháin. Tá feidhm ag DORA ón 17 Eanáir 2025 agus éilíonn sé bainistíocht riosca TFC, tuairisciú teagmhas, tástáil athléimneachta, comhroinnt faisnéise agus bainistíocht riosca tríú páirtí TFC. Soiléiríonn sé freisin, i gcás eintitis airgeadais a shainaithnítear faoi NIS2 freisin, go bhfeidhmíonn DORA mar ghníomh dlíthiúil earnáilshonrach an Aontais do na hoibleagáidí cibearshlándála forluiteacha. Ní féidir le banc rialáilte, institiúid íocaíochta, gnólacht infheistíochta, árachóir nó soláthraí seirbhíse cripte-shócmhainní a rá go simplí, “Láimhseálann ár soláthraí MDR é sin.” Tá DORA ag súil go n-aicmeoidh an t-eintiteas teagmhais TFC, go mbainisteoidh agus go ndéanfaidh sé faireachán ar sholáthraithe tríú páirtí TFC, go gcoinneoidh sé cláir socruithe seirbhíse TFC, go sainmhíneoidh sé cearta conarthacha, go dtástálfaidh sé athléimneacht, go ndéanfaidh sé anailís bhunchúise, agus go dtuairisceoidh sé mórtheagmhais a bhaineann le TFC de réir céimeanna.

Cuireann GDPR lionsa eile leis. Má chuimsíonn teiliméadracht MDR aitheantóirí úsáideora, seoltaí IP, meiteashonraí ríomhphoist, taifid fhíordheimhnithe, déantáin críochphointe nó comhaid ina bhfuil sonraí pearsanta, tá feidhm ag prionsabail slándála agus chuntasachta GDPR. Áirítear in Article 5 sláine, rúndacht agus cuntasacht. Is ceist fhianaise phraiticiúil í slándáil na próiseála in Article 32: ar cosnaíodh logaí, ar cuireadh teorainn le rochtain, ar úsáideadh criptiú nuair ba chuí, ar rialaíodh próiseálaithe, agus an féidir leis an eagraíocht a léiriú cad a tharla?

Tá an teachtaireacht comhsheasmhach sna trí réimeas: is féidir leat an obair a tharmligean, ach ní féidir leat an fhreagracht a tharmligean.

Déanann ISO/IEC 27001:2022 próiseas iniúchta de MDR

Déanann ISMS dea-fheidhmithe bunaithe ar ISO/IEC 27001:2022 maoirseacht ar sholáthraí MDR a aistriú ó ghealltanas bainistíochta díoltóirí go samhail oibriúcháin atá bunaithe ar fhianaise. Tá Clásal 8.1 thar a bheith tábhachtach toisc go n-éilíonn sé ar eagraíochtaí próisis, táirgí agus seirbhísí arna soláthar go seachtrach atá ábhartha don ISMS a rialú. Is é MDR go díreach é sin: próiseas arna sholáthar go seachtrach a d’fhéadfadh tionchar a imirt ar fhreagairt do theagmhais, príobháideachas, athléimneacht, tuairisciú rialála agus leanúnachas gnó.

Áirítear ar na réimsí is tábhachtaí d’Iarscríbhinn A ISO/IEC 27001:2022 do mhaoirseacht MDR caidrimh le soláthraithe, ceanglais slándála i gcomhaontuithe le soláthraithe, bainistíocht riosca slabhra soláthair TFC, faireachán ar sheirbhísí soláthraithe, bainistíocht teagmhas, láimhseáil fianaise, logáil, faireachán, rialú rochtana, rochtain phribhléideach, cripteagrafaíocht agus ullmhacht leanúnachais gnó.

Is é Zenith Controls: The Cross-Compliance Guide de chuid Clarysec Zenith Controls an tagairt traschomhlíonta don obair seo. Mapálann sé rialuithe ISO/IEC 27002:2022 chuig ceanglais eile, rialuithe gaolmhara, ionchais iniúchta agus fianaise cur chun feidhme. Maidir le maoirseacht MDR, tá trí rialú ISO/IEC 27002:2022 lárnach: 5.19 do chaidrimh le soláthraithe, 5.22 do fhaireachán ar sheirbhísí soláthraithe agus bainistíocht athruithe, agus 8.15 do logáil. Tacaíonn 5.20 comhaontuithe le soláthraithe, 5.21 slándáil slabhra soláthair TFC, 5.24 go 5.28 bainistíocht teagmhas agus láimhseáil fianaise, 5.34 príobháideachas agus PII, 5.36 comhlíonadh, 8.16 gníomhaíochtaí faireacháin, 8.17 sioncrónú cloig, 8.18 úsáid clár fóntais pribhléideach agus 8.8 bainistíocht leochaileachtaí teicniúla leo.

Tá tábhacht leis seo toisc gur annamh a deir teip iniúchta MDR “níl MDR ann.” De ghnáth deir sí ceann díobh seo:

• Níor aicmíodh an soláthraí MDR mar sholáthraí criticiúil.
• Níor áiríodh i gclásail chonarthacha fógra teagmhais, rochtain ar fhianaise ná cearta iniúchta.
• Níor coinníodh logaí ar feadh tréimhse leordhóthanach chun teagmhas tuairiscithe a imscrúdú.
• Bhí rochtain an tsoláthraí comhroinnte, bhuan nó gan faireachán.
• Níor athbhreithnigh an custaiméir feidhmíocht MDR i gcoinne SLAanna.
• Níor faomhadh fochonraitheoirí ná fophhróiseálaithe.
• Níor ailíníodh oibleagáidí fógra sáraithe sonraí pearsanta le sreafaí oibre teagmhais.
• Níor caomhnaíodh fianaise ar bhealach a bheadh úsáideach ó thaobh fóiréinsice de.
• Ní raibh méadrachtaí ag an mbainistíocht lena thaispeáint ar laghdaigh an tseirbhís MDR riosca.

Luaitear go soiléir in Zenith Controls an caidreamh idir ionchais soláthraithe agus comhaontuithe:

“Leagann 5.19 síos na hionchais slándála maidir leis an gcaoi ar cheart do sholáthraithe faisnéis na heagraíochta a láimhseáil. Déanann 5.20 na hionchais sin a fhoirmliú trína chinntiú go n-áirítear go sainráite i gconarthaí nó i gcomhaontuithe clásail slándála, amhail ceanglais rúndachta, comhlíonadh beartas slándála, agus nósanna imeachta fógra teagmhais. Gan 5.20, d’fhéadfadh nach mbeadh na ceanglais a sainaithníodh in 5.19 infhorfheidhmithe ó thaobh dlí de.”

Maidir le MDR, is í sin an cheacht rialachais. Mura n-éilíonn an conradh ar an soláthraí logaí a choinneáil, fianaise a sholáthar, comhoibriú i dteagmhais, fochonraitheoireacht a shrianadh, tacú le hiniúchtaí agus cloí le hamlínte uasghrádaithe, d’fhéadfadh seirbhís an SOC a bheith úsáideach go hoibríochtúil ach lag ó thaobh iniúchta de.

Cad is gá don chonradh MDR a chruthú roimh an gcéad fholáireamh

Ní foirm ordaithe tráchtála amháin é conradh maith MDR. Is doiciméad rialaithe é. Éilíonn DORA Articles 28 go 30 go mbainisteofar riosca tríú páirtí TFC ar feadh shaolré iomlán na seirbhíse, lena n-áirítear cláir conarthaí TFC, aicmiú criticiúlachta, dícheall cuí réamhchonarthach, cur chuige iniúchta agus cigireachta, cearta foirceanta, straitéisí imeachta, tuairiscí soiléire seirbhíse, leibhéil seirbhíse, láithreacha seirbhíse agus próiseála sonraí, gealltanais cosanta sonraí, cúnamh teagmhais agus comhoibriú le húdaráis. Éilíonn NIS2 Article 21 slándáil slabhra soláthair do sholáthraithe díreacha agus soláthraithe seirbhíse. Éilíonn GDPR róil rialaitheora agus próiseálaí, ráthaíochtaí próiseálaí, clásail chosanta sonraí agus fianaise ar shlándáil na próiseála.

Aistríonn leabharlann beartas Clarysec na hoibleagáidí sin ina gceanglais phraiticiúla chonarthacha agus oibriúcháin. Sa Bheartas Freagartha do Theagmhais Fiontair Beartas Freagartha do Theagmhais, láimhseáiltear MDR go sainráite mar chumas rialaithe teagmhais tríú páirtí:

“Ní mór comhtháthú le seirbhísí tríú páirtí, lena n-áirítear braite agus freagairt bhainistithe (MDR), bainistíocht teagmhas agus imeachtaí slándála (SIEM), agus soláthraithe anailíse fóiréinsí, a rialú le comhaontuithe leibhéal seirbhíse (SLAanna) atá sainithe go soiléir agus le forálacha neamhnochta.”

Tá tábhacht leis an gclásal sin toisc go bhfaigheann soláthraithe MDR faisnéis thar a bheith íogair go minic sula mbíonn a fhios ag an eagraíocht an bhfuil teagmhas inthuairiscithe. D’fhéadfadh ainmneacha úsáideora, cosáin chomhaid, ábhair ríomhphoist, óstainmneacha inmheánacha, seoltaí IP, léaráidí líonra agus táscairí comhréitigh a bheith i dteiliméadracht. Cosnaíonn forálacha neamhnochta an eagraíocht le linn imscrúdaithe agus tacaíonn siad le cuntasacht GDPR.

Cuireann an Beartas Slándála Tríú Páirtí agus Soláthraithe Fiontair Beartas Slándála Tríú Páirtí agus Soláthraithe dhá chlásal leis a mbíonn iniúchóirí ag súil leo agus maoirseacht MDR á hathbhreithniú acu:

“Cearta iniúchta, cigireachta agus iarrataí ar fhianaise slándála”

agus:

“Úsáid fochonraitheoirí faoi réir toiliú scríofa roimh ré”

I gcás FBManna, déantar an prionsabal rialachais céanna a scálú síos ach ní bhaintear é. Éilíonn an Beartas Slándála Tríú Páirtí agus Soláthraithe - FBM Beartas Slándála Tríú Páirtí agus Soláthraithe - FBM prionsabal na pribhléide íosta:

“Ní mór rochtain a thabhairt do sholáthraithe ar na córais agus na sonraí íosta amháin atá riachtanach chun a bhfeidhm a chomhlíonadh.”

Éilíonn sé freisin:

“Srianta ar fhochonraitheoireacht bhreise gan faomhadh”

Tá na clásail sin ábhartha go háirithe do MDR. Úsáideann go leor soláthraithe foirne SOC sraitheacha, díoltóirí ardáin, comhpháirtithe faisnéise bagairtí, seirbhísí anailísíochta scamall nó foireann tacaíochta réigiúnach. Má tá rochtain ag páirtithe iartheachtacha ar logaí custaiméirí nó ar shonraí pearsanta, teastaíonn meicníochtaí infheictheachta agus formheasa ón gcustaiméir. I dtéarmaí DORA, is cuid den mhaoirseacht ar fhochonraitheoireacht agus riosca comhchruinnithe é seo. I dtéarmaí GDPR, is rialachas fophhróiseálaithe é. I dtéarmaí NIS2, is bainistíocht riosca slabhra soláthair é.

An seicliosta riachtanach do mhaoirseacht MDR

Ba cheart caidreamh inchosanta le soláthraí MDR a bheith intástáilte. Comhcheanglaíonn an seicliosta seo a leanas ceanglais chonarthacha, oibríochtúla agus fianaise in aon léargas rialaithe amháin.

Ba cheart an seicliosta seo a leabú sa soláthar, san ionduchtú, san athbhreithniú tréimhsiúil agus i dtástáil teagmhais. Má tá mír ar bith in easnamh, ba cheart don eagraíocht caitheamh leis mar riosca soláthraí, ní mar cheist pháipéarachais.

Seacht bhfearann fianaise a mbíonn iniúchóirí ag súil leo

Chun maoirseacht MDR a dhéanamh réidh d’iniúchadh, molann Clarysec comhad fianaise MDR a thógáil agus é eagraithe i seacht bhfearann. Ba cheart don chomhad seo a bheith laistigh den ISMS, ní i bhfillteán soláthair nach ndéanann aon duine athbhreithniú air.

Athraíonn an tábla seo an comhrá leis an soláthraí. In ionad fiafraí, “An bhfuil sibh ag faire orainn?”, fiafraíonn an eagraíocht, “An féidir linn a chruthú, gach ráithe, go bhfanann an tseirbhís MDR éifeachtach, comhlíontach agus ailínithe lenár ngoile riosca?”

Is í logáil an droichead idir braite agus fianaise chomhlíonta

Is buille faoi thuairim seachfhoinsithe é MDR gan logáil iontaofa. D’fhéadfadh an soláthraí roinnt bagairtí a bhrath, ach ní féidir leis an eagraíocht raon feidhme, amlíne, bunchúis ná tionchar a chruthú.

Clúdaíonn rialú 8.15 de ISO/IEC 27002:2022 logáil. Aicmíonn Zenith Controls logáil mar rialú braiteach a thacaíonn le rúndacht, sláine agus infhaighteacht, ailínithe leis an gcoincheap cibearshlándála Detect agus le cumas bainistíochta imeachtaí slándála faisnéise. Ceanglaíonn sé logáil go díreach le gníomhaíochtaí faireacháin, measúnú imeachtaí, freagairt do theagmhais, ceachtanna foghlamtha, rochtain phribhléideach, sioncrónú cloig, rialú rochtana, príobháideachas, bailiú fianaise, bainistíocht leochaileachtaí agus faireachán ar shlándáil fhisiciúil.

Sin é an fáth a bhfuil logáil lárnach i bhfianaise NIS2, DORA agus GDPR Article 32. Éilíonn tuairisciú NIS2 Article 23 do theagmhais shuntasacha luathrabhadh laistigh de 24 uair an chloig ó fheasacht, fógra laistigh de 72 uair an chloig, agus tuarascáil dheiridh tráth nach déanaí ná mí amháin tar éis an fhógra. Éilíonn tuairisciú mórtheagmhais a bhaineann le TFC faoi DORA aicmiú, uasghrádú, cumarsáid, anailís bhunchúise agus tuairisciú deiridh. Éilíonn cuntasacht GDPR ar eagraíochtaí a léiriú cad a tharla le sonraí pearsanta agus an raibh bearta slándála iomchuí i bhfeidhm.

Soláthraíonn Beartas Logála agus Faireacháin - FBM Clarysec Beartas Logála agus Faireacháin - FBM rialú conarthach simplí d’eagraíochtaí níos lú a úsáideann soláthraithe seachtracha:

“Ní mór do chonarthaí a éileamh ar sholáthraithe logaí a choinneáil ar feadh 12 mhí ar a laghad agus rochtain a sholáthar ar iarratas”

I dtimpeallachtaí fiontair, cuireann an Beartas Logála agus Faireacháin Beartas Logála agus Faireacháin an ceanglas comhtháthaithe oibríochtúil leis:

“Ní mór sonraí logaí a sholáthar ar iarratas nó a chomhtháthú le hardán SIEM/comhiomlánaithe logaí na heagraíochta.”

Réitíonn na clásail seo fadhb athfhillteach i bhfreagairt do theagmhais: le linn imscrúdaithe, deir an soláthraí MDR go bhfuil an teagmhas níos sine ná an fhuinneog choinneála inchuardaigh, nach bhfuil logaí ar fáil ach trí easpórtáil fhóiréinseach íoctha, nó nach bhfuil sa SIEM custaiméara saibhriú an tsoláthraí agus gníomhartha an anailísí. Mura sainítear rochtain logaí roimh ré, éiríonn amlíne an teagmhais ilroinnte.

Ba cheart do shamhail láidir logála MDR foinsí logaí éigeantacha, cineálacha imeachtaí, tréimhsí coinneála, cosaint sláine, faomhuithe rochtana, sioncrónú ama, formáidí easpórtála agus rialacha comhghaolaithe idir ardáin an chustaiméara agus an tsoláthraí a shainiú. Ba cheart go gclúdódh sí gníomhartha soláthraí freisin, lena n-áirítear athruithe rialacha braite, orduithe leithlisithe críochphointe, rochtain riaracháin, nótaí anailísí agus easpórtálacha fianaise.

Treisíonn caighdeáin tacaíochta ISO an cur chuige seo. Ceanglaíonn ISO/IEC 27035-1:2023 agus ISO/IEC 27035-2:2023 logáil le braite teagmhais, triáis agus anailís lárnaithe. Cuireann ISO/IEC 27701:2021 logáil atá sonrach don phríobháideachas ar ghníomhaíochtaí próiseála PII leis. Cuireann ISO/IEC 27017:2021 agus ISO/IEC 27018:2020 ionchais logála scamall agus PII scamall leis, go háirithe nuair a phróiseálann soláthraithe sonraí custaiméara i dtimpeallachtaí scamall poiblí. Cuireann ISO/IEC 27005:2024 logáil neamhleor i láthair mar cheist cóireála riosca, ní mar bhearna uirlisí amháin.

Freagairt do theagmhais: is féidir le MDR uasghrádú, ach ní mór don bhainistíocht cinneadh a dhéanamh

Braitheann soláthraithe MDR imeachtaí agus tugann siad comhairle. Fógraíonn an eagraíocht chuntasach teagmhais, déanann sí tionchar rialála a mheas, déanann sí cumarsáid le húdaráis, agus cinneann sí an bhfuil fógra faoi shárú sonraí pearsanta riachtanach.

Tá tábhacht leis an idirdhealú seo toisc nach ionann déine MDR go huathoibríoch agus teagmhas suntasach NIS2, mórtheagmhas a bhaineann le TFC faoi DORA nó sárú sonraí pearsanta GDPR. D’fhéadfadh an soláthraí foláireamh a lipéadú mar “ard-déine,” ach ní mór don eagraíocht cinneadh a dhéanamh ar cuireadh isteach ar sheirbhísí criticiúla, ar comhréitíodh sonraí pearsanta, an gá custaiméirí a chur ar an eolas, an gá rialálaithe a chur ar an eolas, agus an gá don bhainistíocht gníomh teorannaithe a bhfuil tionchar oibríochtúil aige a fhaomhadh.

Tá Beartas Freagartha do Theagmhais - FBM Clarysec Beartas Freagartha do Theagmhais - FBM díreach:

“Ní mór do thríú páirtithe gníomhú de réir comhaontuithe sínithe, agus ní mór clásail fógra sáraithe sonraí pearsanta agus oibleagáidí freagartha comhoibríocha a bheith sna comhaontuithe sin.”

Is ag an gclásal seo a thagann fianaise GDPR Article 32 le freagairt oibríochtúil do theagmhais. Má bhreathnaíonn an soláthraí MDR ar eas-scagadh sonraí amhrasta ó chríochphointe ina bhfuil sonraí pearsanta, ní mór don soláthraí fios a bheith aige cé chomh tapa le fógra a thabhairt, cé dó a dtabharfar fógra, cén fhianaise atá le caomhnú, agus conas tacú le measúnú an rialaitheora.

Tugann Zenith Blueprint: An Auditor’s 30-Step Roadmap Clarysec Zenith Blueprint an modh tástála. Sa chéim Rialuithe i nGníomh, Céim 19, deir Zenith Blueprint le foirne logáil agus faireachán a bhailíochtú go hoibríochtúil:

“Roghnaigh teagmhas nó imeacht le déanaí agus léirigh conas a rianaigh tú é trí do logaí. Má úsáidtear gnéithe sláine logaí (m.sh., fíorú haisce), déan é sin a dhoiciméadú freisin. Deimhnigh go bhfuil foláireamhú feidhmiúil (m.sh., spreagann logálacha isteach teipthe nó uasghrádú pribhléidí foláirimh).”

Tugann an chéim chéanna aghaidh ar aitheantas agus rochtain phribhléideach:

“I gcás cuntais phribhléideacha, fíoraigh go bhfuil MFA curtha i bhfeidhm, go bhfuil róil riaracháin deighilte (cuntais de stíl admin_john a úsáidtear le haghaidh cúraimí riaracháin amháin), agus go bhfuil liosta reatha d’úsáideoirí pribhléideacha ann.”

I gcomhthéacs MDR, ní mór cuntais soláthraí a bheith ar liosta na n-úsáideoirí pribhléideacha, ní fostaithe amháin. Má tá rochtain chonsóil, cearta leithlisithe críochphointe, cearta riaracháin EDR nó rochtain léite ar logaí íogaire ag an soláthraí MDR, baineann na cuntais sin leis an athbhreithniú.

Tugann Céim 23 den Zenith Blueprint struchtúr tástála teagmhais agus soláthraí ansin:

“Roghnaigh imeacht le déanaí nó déan cleachtadh boird chun do phlean a bhailíochtú. Gabh agus logáil gach cinneadh, ról agus cumarsáid (5.26), agus nuashonraigh an plean le ceachtanna foghlamtha (5.27). Deimhnigh go bhfuil nósanna imeachta i bhfeidhm chun fianaise fhóiréinseach a chaomhnú (5.28), lena n-áirítear seatanna logaí, cúltacaí, agus leithlisiú slán córas a ndearnadh difear dóibh.”

Ba cheart don soláthraí MDR a bheith san áireamh i gcleachtadh boird réalaíoch. Úsáid cás amhail cuntas pribhléideach comhréitithe, leithlisiú críochphointe, rochtain bhosca poist amhrasta, nochtadh féideartha sonraí párolla, agus uasghrádú foláirimh lasmuigh d’uaireanta gnó. Ba cheart don tástáil a fhíorú an dtosaíonn clog an tsoláthraí MDR ag braite, ag fógra don chustaiméir nó ag admháil an chustaiméara. Tá tábhacht leis an idirdhealú sin nuair a bhraitheann frámaí ama rialála ar fheasacht agus ar phointí cinnteoireachta.

Tóg pacáiste maoirseachta MDR d’aon fholáireamh amháin i 90 nóiméad

Bealach tapa chun bearnaí a nochtadh is ea foláireamh MDR ard-déine le déanaí a roghnú agus rian fianaise aon leathanaigh a thógáil. Oibríonn an cleachtadh praiticiúil seo go maith roimh iniúchtaí, athbhreithnithe boird agus athnuachaintí conartha.

1. Tosaigh leis an ticéad foláirimh. Gabh stampa ama, riail braite, sócmhainn lena mbaineann, úsáideoir, déine, nótaí anailísí MDR agus conair uasghrádaithe.
2. Tarraing an clásal conartha nó SLA a léiríonn an t-am freagartha ionchais don déine sin.
3. Aisghabh an liosta foinsí logaí a chruthaíonn cé na córais a chothaigh an foláireamh, amhail EDR, soláthraí aitheantais, balla dóiteáin, tairseach slándála ríomhphoist agus logaí iniúchta scamall.
4. Deimhnigh go gcoinnítear logaí de réir beartais agus gur féidir an t-imeacht stairiúil a aisghabháil fós.
5. Fíoraigh ar thug anailísí MDR rochtain ar aon timpeallacht custaiméara. Má thug, gabh an cuntas ainmnithe, fianaise MFA, logaí seisiúin agus faomhadh.
6. Doiciméadaigh cinneadh taobh an chustaiméara: imeacht dúnta, teagmhas fógartha, measúnú dlíthiúil spreagtha, teorannú déanta nó riosca glactha.
7. Má d’fhéadfadh sonraí pearsanta a bheith i gceist, taifead an anailís ról GDPR, úinéir an mheasúnaithe sáraithe agus ar spreagadh oibleagáidí fógra próiseálaí.
8. Dún le ceachtanna foghlamtha: tiúnadh, braite nua, athrú rochtana, nuashonrú treoirleabhair freagartha nó saincheist SLA soláthraí.

Tá an rian aon-fholáirimh seo cumhachtach toisc go gceanglaíonn sé conradh, logáil, rochtain, freagairt do theagmhais, príobháideachas agus maoirseacht bhainistíochta in aon slabhra fianaise amháin. Mura féidir leat é a thógáil d’fholáireamh le déanaí, is dócha nach féidir leat é a thógáil faoi bhrú rialála.

Is i bhfaireachán soláthraithe a lagaíonn formhór clár MDR

Déanann go leor eagraíochtaí dícheall cuí sula síníonn siad conradh MDR, agus stopann siad ansin. Ní leor sin do ISO/IEC 27001:2022, NIS2, DORA ná GDPR. Athraíonn seirbhísí MDR go leanúnach: rialacha braite nua, foirne anailísithe nua, fophhróiseálaithe nua, réigiúin sonraí nua, cumais EDR nua, comhtháthuithe nua, fothaí nua faisnéise bagairtí agus samhlacha tacaíochta nua.

Tugann rialú 5.22 de ISO/IEC 27002:2022 aghaidh ar fhaireachán, athbhreithniú agus bainistíocht athruithe ar sheirbhísí soláthraithe. Míníonn Zenith Controls go dtógann 5.22 ar rialuithe caidrimh agus comhaontuithe soláthraithe trí fhaireachán agus bainistíocht leanúnach a chinntiú tar éis thús na seirbhíse. Ceanglaíonn sé le slándáil le linn cur isteach, bainistíocht leochaileachtaí, comhlíonadh, rialú rochtana agus innealtóireacht shlán.

Déanann DORA Articles 28 go 30 é seo thar a bheith tábhachtach d’eintitis airgeadais. Éilíonn siad faireachán leanúnach, cláir de shocruithe tríú páirtí TFC, idirdhealuithe criticiúlachta, dícheall cuí, cearta iniúchta agus cigireachta, cearta foirceanta, straitéisí imeachta, leibhéil seirbhíse, cúnamh teagmhais, comhoibriú le húdaráis, agus, i gcás feidhmeanna criticiúla nó tábhachtacha, spriocanna seirbhíse, tástáil theagmhasach agus comhoibriú i dtástáil treáite faoi threoir bagairtí nuair is ábhartha.

Soláthraíonn Zenith Blueprint, sa chéim Rialuithe i nGníomh, Céim 23, struchtúr shaolré an tsoláthraí:

“Tiomsaigh liosta iomlán de sholáthraithe agus soláthraithe seirbhíse reatha (5.19), agus aicmigh iad bunaithe ar rochtain ar chórais, sonraí nó rialú oibríochtúil.”

Leanann sé:

“I gcás gach soláthraí criticiúil, sainaithin an mbaineann siad úsáid as fochonraitheoirí (fophhróiseálaithe) a d’fhéadfadh rochtain a fháil ar do shonraí nó ar do chórais.”

Ba cheart athbhreithniú praiticiúil ar sheirbhís MDR a reáchtáil go ráithiúil do thimpeallachtaí criticiúla agus go bliantúil ar a laghad do thimpeallachtaí riosca níos ísle. Ba cheart go n-áireodh an clár oibre comhlíonadh SLA de réir déine, foláirimh uasghrádaithe, fíordhearfacha, bréagdhearfacha, uasghráduithe caillte, sláinte foinsí logaí, athruithe rochtana pribhléidí, comhtháthuithe nua, réigiúin nua, fochonraitheoirí, fophhróiseálaithe, athruithe rialacha braite, feidhmíocht tacaíochta teagmhais, iarrataí fianaise, rioscaí oscailte, gníomhartha ceartaitheacha agus ullmhacht imeachta.

Ní micreabhainistíocht é seo. Is é an lúb dearbhaithe é a chruthaíonn go bhfuil an eagraíocht ag rialú soláthraí slándála criticiúil go gníomhach.

Mapáil traschomhlíonta: tacar rialuithe MDR amháin, cúig chomhrá iniúchta

Is é luach ISO/IEC 27001:2022 go dtugann sé timthriall ISMS comhleanúnach amháin d’eagraíochtaí le haghaidh iliomad comhráite comhlíonta. Is féidir an pacáiste fianaise maoirseachta MDR céanna a mhapáil thar NIS2, DORA, GDPR, NIST CSF 2.0 agus COBIT 2019.

Tá NIST CSF 2.0 úsáideach don chumarsáid. Éilíonn a fheidhm GOVERN go dtuigfear agus go mbainisteofar oibleagáidí dlíthiúla, rialála, conarthacha agus príobháideachais, go sainmhíneofar róil agus údaráis, go gcomhtháthófar riosca cibearshlándála i mbainistíocht riosca fiontair, agus go gcuirfear rioscaí soláthraithe in iúl agus faoi fhaireachán.

Tá COBIT 2019 úsáideach don bhainistíocht agus don dearbhú. Is minic a dhíríonn iniúchóirí atá dírithe ar COBIT níos lú ar rialú aonair agus níos mó ar an gceist an n-oibríonn cuspóirí rialachais, bainistíocht seirbhíse, úinéireacht riosca agus faireachán feidhmíochta mar chóras.

Conas a thástálfaidh iniúchóirí maoirseacht ar sholáthraí MDR

Úsáideann iniúchóirí éagsúla lionsaí éagsúla, ach teastaíonn fianaise uathu uile go rialaíonn an eagraíocht an caidreamh.

Tosóidh iniúchóir ISO/IEC 27001:2022 le raon feidhme, páirtithe leasmhara, measúnú riosca, Ráiteas Infheidhmeachta, Plean Cóireála Riosca agus fianaise oibríochtúil. Má tá MDR sa raon feidhme, beidh an t-iniúchóir ag súil go mbeidh próisis arna soláthar go seachtrach á rialú faoin ISMS. D’fhéadfadh siad sampláil a dhéanamh ar chaidrimh soláthraithe, comhaontuithe soláthraithe, faireachán ar sheirbhísí soláthraithe, logáil, faireachán, freagairt do theagmhais, láimhseáil fianaise agus rialú rochtana.

Díreoidh maoirseoir DORA ar athléimneacht oibríochtúil agus riosca sistéamach. D’fhéadfadh siad measúnú criticiúlachta, clár seirbhísí TFC, anailís riosca comhchruinnithe, straitéis imeachta, aicmiú teagmhais, cearta iniúchta agus fianaise gur féidir leis an soláthraí MDR tacú le tuairisciú rialála a scrúdú go géar.

Díreoidh iniúchóir GDPR nó athbhreithneoir príobháideachais ar rialachas rialaitheora-próiseálaí. Iarrfaidh siad an DPA, dícheall cuí próiseálaí, rialuithe fophhróiseálaithe, coimircí do logaí ina bhfuil sonraí pearsanta, rialuithe coinneála, taifid mheasúnaithe sáraithe agus fianaise a thacaíonn le Article 32.

Scrúdóidh iniúchóir COBIT nó ISACA fianaise rialachais: úinéireacht riosca soláthraí, sreabhadh oibre soláthair, miontuairiscí athbhreithnithe seirbhíse, rianú saincheisteanna SLA, gníomh ceartaitheach, cáilíocht fianaise agus an bhfaigheann an bhainistíocht méadrachtaí fónta.

Is é an t-iarratas iniúchta is nochtaí simplí: “Taispeáin dom foláireamh MDR amháin ón mbraite go dúnadh é.” Más féidir leat ionchas conartha, foinse logaí, foláireamh, uasghrádú, cinneadh, caomhnú fianaise, measúnú príobháideachais, leigheas agus tuairisciú bainistíochta a thaispeáint, tá do mhaoirseacht MDR aibí. Mura féidir leat ach ticéad díoltóra a thaispeáint, tá faireachán agat ach rialachas lag.

Tuairisciú bainistíochta: ní gá don bhord gabhálacha paicéad

Cuireann NIS2 agus DORA freagracht araon ar leibhéal an chomhlachta bainistíochta. Ní theastaíonn teiliméadracht amh ó bhoird ná ó fheidhmeannaigh. Teastaíonn méadrachtaí maoirseachta MDR atá ábhartha don riosca uathu.

Áirítear i ndeais úsáideach ráithiúil MDR:

• Foinsí logaí criticiúla ionduchtaithe i gcomparáid leis an méid a bhíothas ag súil leis.
• Céatadán de shócmhainní criticiúla atá clúdaithe ag MDR.
• Foláirimh ard-déine de réir catagóire agus seirbhíse gnó.
• Meán-am braite (MTTD) go dtí fógra don chustaiméir.
• Meán-am ó admháil an chustaiméara go cinneadh.
• Sáruithe SLA agus gníomhartha soláthraí gan réiteach.
• Stádas athbhreithnithe cuntas soláthraí pribhléideach.
• Athruithe fochonraitheora nó fophhróiseálaí.
• Teagmhais a éilíonn measúnú fógra dlíthiúil, rialála nó custaiméara.
• Ceachtanna foghlamtha curtha chun feidhme.

Ba cheart don deais seo athbhreithniú bainistíochta ISMS, nuashonruithe cóireála riosca agus athbhreithniú soláthraí a chothú. Faoi ISO/IEC 27001:2022, ní mór don cheannaireacht a chinntiú go bhfuil an ISMS ailínithe leis an treo straitéiseach, go bhfuil acmhainní ar fáil, go bhfuil freagrachtaí sannta, go n-oibríonn cumarsáid agus go dtarlaíonn feabhsú leanúnach. Is bealach praiticiúil iad méadrachtaí MDR chun a thaispeáint go bhfuil oibríochtaí slándála seachfhoinsithe faoi rialachas bainistíochta, ní fágtha faoi riarthóirí uirlisí.

Gaistí coitianta maoirseachta MDR le réiteach roimh iniúchtaí 2026

Is gnáth-theipeanna rialachais iad na bearnaí is coitianta.

Ar dtús, déanann eagraíochtaí dearmad go bhféadfadh soláthraithe MDR sonraí pearsanta a phróiseáil. Uaireanta caitear le logaí slándála mar “shonraí teicniúla,” ach is féidir sonraí pearsanta agus uaireanta inneachar íogair a bheith iontu. Ba cheart anailís ról GDPR agus clásail phróiseálaí a chríochnú roimh ionduchtú, ní le linn sáraithe.

Ar an dara dul síos, glactar le coinneáil logaí mar rud intuigthe in ionad í a chur i gconradh. Má éilíonn oibleagáidí rialála, fóiréinseacha nó custaiméara fianaise ar feadh míonna, ní mór don tsamhail coinneála MDR agus SIEM tacú leis sin. Is bonnlíne phraiticiúil í ceanglas beartais FBM maidir le coinneáil logaí soláthraí ar feadh 12 mhí do go leor timpeallachtaí.

Ar an tríú dul síos, bíonn rochtain tríú páirtí róleathan. Ba cheart cuntais soláthraí a bheith ainmnithe, cosanta le MFA, faoi fhaireachán, athbhreithnithe agus faoi theorainn ama nuair is indéanta. Cruthaíonn cuntais chomhroinnte agus seisiúin riaracháin neamhbhainistithe riosca iniúchta agus freagartha do theagmhais.

Ar an gceathrú dul síos, bíonn tairseacha teagmhais débhríoch. Ní hionann déine MDR go huathoibríoch agus teagmhas dlíthiúil, mórtheagmhas a bhaineann le TFC faoi DORA, teagmhas suntasach NIS2 nó sárú sonraí pearsanta GDPR. Ní mór don treoirleabhar freagartha a shainiú cé a dhéanann gach cinneadh.

Ar an gcúigiú dul síos, bíonn fochonraitheoirí dofheicthe. Má athraíonn an soláthraí MDR ardáin anailíse, réigiúin tacaíochta nó próiseálaithe iartheachtacha, athraíonn pictiúr riosca an chustaiméara. Tá toiliú scríofa roimh ré agus athbhreithniú tréimhsiúil riachtanach.

Ar an séú dul síos, díríonn athbhreithnithe seirbhíse ar líon na dticéad amháin. Scrúdaíonn athbhreithnithe aibí foláirimh caillte, athruithe tiúnaithe, sláinte foinsí logaí, aisghabháil fianaise, rochtain soláthraí, comhoibriú teagmhais agus oibleagáidí conarthacha.

Na chéad chéimeanna eile: déan do sholáthraí MDR réidh d’iniúchadh le Clarysec

Má tá do sholáthraí MDR beo cheana féin, ná fan le rialálaí, iniúchóir custaiméara nó teagmhas chun a fháil amach go bhfuil d’fhianaise neamhiomlán. Tosaigh le foláireamh le déanaí amháin agus tóg an rian. Ansin aicmigh an soláthraí, athbhreithnigh an conradh, bailíochtaigh logáil, tástáil uasghrádú, deimhnigh clásail phróiseálaí, athbhreithnigh rochtain agus sceidealaigh faireachán soláthraí.

Is féidir le Clarysec cabhrú leat é seo a chur i bhfeidhm go tapa trí úsáid a bhaint as:

• Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint le haghaidh cur chun feidhme céimnithe, lena n-áirítear Céim 19 le haghaidh logáil, faireachán agus bailíochtú rochtana, agus Céim 23 le haghaidh rialuithe bainistíochta soláthraithe agus teagmhais.
• Zenith Controls: The Cross-Compliance Guide Zenith Controls chun rialuithe ISO/IEC 27002:2022 5.19, 5.22 agus 8.15 a mhapáil chuig ionchais iniúchta NIS2, DORA, GDPR, NIST agus COBIT.
• Teimpléid bheartais Clarysec, lena n-áirítear Beartas Freagartha do Theagmhais, Beartas Slándála Tríú Páirtí agus Soláthraithe, Beartas Logála agus Faireacháin, Beartas Freagartha do Theagmhais - FBM, Beartas Slándála Tríú Páirtí agus Soláthraithe - FBM, Beartas Logála agus Faireacháin - FBM agus Beartas um Chosaint Sonraí agus Príobháideachas - FBM.

Tá MDR ar cheann de na hinfheistíochtaí slándála is luachmhaire is féidir le heagraíocht a dhéanamh. In 2026, ní mór an luach sin a chruthú trí rialachas, fianaise agus maoirseacht chuntasach. Má theastaíonn pacáiste praiticiúil maoirseachta MDR uait atá mapáilte chuig ISO/IEC 27001:2022, NIS2, DORA agus GDPR Article 32, is féidir le Clarysec cabhrú leat é a thógáil sula n-éiríonn an chéad fholáireamh eile ina chéad toradh iniúchta eile.