Mapáil rialuithe NIS2 2024/2690 chuig ISO 27001 do sholáthraithe néalríomhaireachta

Ag 08:17 maidin Dé Máirt, faigheann Maria, CISO sholáthraí Eorpaigh seirbhíse bainistithe, an foláireamh a mbíonn faitíos ar gach MSP roimhe. Spreag cuntas cianbhainistíochta pribhléidí foláirimh maidir le taisteal dodhéanta. Tá gníomhartha riaracháin neamhghnácha le feiceáil in dhá thionónta custaiméara. Tá droichead teagmhais chriticiúil oscailte ag an SOC cheana féin.

Faoi 09:00, tagann an CEO isteach sa ghlao. Athraíonn na ceisteanna láithreach.

An bhfuilimid faoi raon feidhme NIS2? An mbaineann Rialachán Cur Chun Feidhme (AE) 2024/2690 ón gCoimisiún linn? An dteastaíonn luathrabhadh 24 uair uainn? Cé na custaiméirí nach mór a chur ar an eolas? An féidir linn a léiriú go raibh MFA, logáil, deighilt, bainistíocht leochaileachtaí, rialuithe soláthraithe agus uaschéimniú teagmhais i bhfeidhm roimh an teagmhas?

Tá cuideachta Maria deimhnithe de réir ISO/IEC 27001:2022. Soláthraíonn sí bainistíocht néil, seirbhísí lárionad sonraí agus tacaíocht slándála bainistithe do chustaiméirí, lena n-áirítear soláthraí lóistíochta agus banc réigiúnach. Tá tábhacht leis an deimhniú, ach ní fhreagraíonn sé na ceisteanna oibríochtúla as féin. Tá dréachtphróiseas fógra ag an bhfoireann dlí. Tá scarbhileog ag an mbainisteoir comhlíonta. D’iarr an t-iniúchóir an Ráiteas Infheidhmeachta, tástáil freagartha do theagmhais, logaí rochtana pribhléidí, dícheall cuí soláthraithe, fianaise ar fhreagracht chomhroinnte sa néal agus boinn tuisceana leanúnachais gnó.

Seo an pointe ina scoireann NIS2 de bheith ina théacs dlíthiúil amháin agus ina n-éiríonn sé ina fhadhb rialaithe oibríochtúil.

Do sholáthraithe seirbhísí néalríomhaireachta, soláthraithe seirbhíse bainistithe, soláthraithe seirbhíse slándála bainistithe agus soláthraithe lárionad sonraí, ardaíonn NIS2 agus Implementing Regulation 2024/2690 an caighdeán ó rún ginearálta slándála go fianaise rialaithe is féidir a iniúchadh. Ní mór do rialachas, bainistíocht riosca, rialú rochtana, bainistíocht sócmhainní, láimhseáil leochaileachtaí, freagairt do theagmhais, slándáil soláthraithe, logáil, faireachán, criptiú, leanúnachas gnó agus athléimneacht fhisiciúil feidhmiú mar chóras amháin.

Is é ISO/IEC 27001:2022 an cnámh droma is fearr don chóras sin, ach amháin má mhapálann an eagraíocht ceanglais NIS2 isteach san ISMS, sa chlár rioscaí, sa Ráiteas Infheidhmeachta, sna beartais agus sa tsamhail fianaise. Ní leor deimhniú ar an mballa. Is é an obair cheart snáithe in-iniúchta a thógáil ón rialachán go riosca, ó riosca go rialú, ó rialú go beartas, agus ó bheartas go fianaise oibríochtúil.

Cén fáth a n-athraíonn NIS2 2024/2690 an comhrá comhlíonta do sholáthraithe néalríomhaireachta agus MSPanna

Úsáideann NIS2 samhail earnála agus méide, ach tá a chatagóirí bonneagair dhigitigh agus bainistíochta seirbhísí TFC leathan d’aon ghnó. Faoi NIS2 Article 2 agus Article 3, arna léamh le Annex I agus Annex II, is féidir go leor eagraíochtaí a rangú mar eintitis riachtanacha nó thábhachtacha, lena n-áirítear soláthraithe seirbhísí néalríomhaireachta, soláthraithe seirbhísí lárionad sonraí, soláthraithe seirbhíse bainistithe, soláthraithe seirbhíse slándála bainistithe, soláthraithe DNS, clárlanna TLD, líonraí seachadta inneachair agus soláthraithe seirbhísí iontaobhais. Ní mór do Bhallstáit liostaí d’eintitis riachtanacha agus thábhachtacha a bhunú agus a athbhreithniú go tréimhsiúil, agus is é 17 Aibreán 2025 an spriocdháta don chéad liosta.

Tá tábhacht leis seo toisc go bhfuil soláthraithe néalríomhaireachta, MSPanna, MSSPanna agus lárionaid sonraí suite laistigh de shlabhraí riosca eagraíochtaí eile. Is féidir le comhréiteach ar phlána rialaithe néil tionchar a imirt ar na mílte córas custaiméara. Is féidir le briseadh i lárionad sonraí dul i bhfeidhm ar bhaincéireacht, cúram sláinte, lóistíocht agus riarachán poiblí. Is féidir le sárú dintiúr MSP teacht chun bheith ina theagmhas earraí fuascailte ilchliant. Is féidir le teip bhrath MSSP moill a chur ar shrianadh thar chustaiméirí rialáilte.

Éilíonn NIS2 Article 20 ar chomhlachtaí bainistíochta bearta bainistíochta riosca cibearshlándála a fhaomhadh agus maoirseacht a dhéanamh ar a gcur chun feidhme. Éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla cuí agus comhréireacha bunaithe ar chur chuige uileghuaise. Áirítear leis an mbonnlíne anailís riosca, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, fáil agus forbairt shlán, láimhseáil agus nochtadh leochaileachtaí, measúnú éifeachtachta, sláinteachas cibear, oiliúint, cripteagrafaíocht, slándáil AD, rialú rochtana, bainistíocht sócmhainní, MFA nó fíordheimhniú leanúnach, cumarsáid dhaingnithe agus cumarsáid éigeandála.

Cuireann Article 23 tuairisciú céimnithe ar theagmhais shuntasacha leis, lena n-áirítear luathrabhadh laistigh de 24 uair, fógra teagmhais laistigh de 72 uair, tuarascálacha idirmheánacha nuair a iarrtar iad agus tuarascáil deiridh laistigh de mhí amháin tar éis an fhógra nó tar éis láimhseáil an teagmhais má tá an teagmhas fós ar siúl.

Déanann Implementing Regulation 2024/2690 na hionchais sin níos nithiúla do sholáthraithe digiteacha ábhartha. Go praiticiúil, ní fhiafróidh údaráis, custaiméirí agus iniúchóirí an bhfuil beartais ann amháin. Fiafróidh siad an bhfuil na rialuithe mapáilte, úinéirithe, tástáilte agus tacaithe le fianaise.

Casann ISO/IEC 27001:2022 NIS2 ina chomhthéacs oibríochtúil ISMS

Botún coitianta in ullmhacht NIS2 is ea tosú le seicliosta mór agus tascanna a shannadh thar TF, dlí, SOC, bonneagar, bainistíocht díoltóirí agus comhlíonadh. Is féidir leis sin gníomhaíocht a chruthú, ach is minic a theipeann sé faoi iniúchadh toisc nach féidir le haon duine a léiriú cén fáth ar roghnaíodh rialuithe, conas a bhaineann siad le riosca, cé a ghlac le riosca iarmharach agus cén fhianaise a chruthaíonn éifeachtacht.

Tugann ISO/IEC 27001:2022 an struchtúr do sholáthraithe chun an teip sin a sheachaint.

Éilíonn clásail 4.1 go 4.4 ar an eagraíocht saincheisteanna inmheánacha agus seachtracha a chinneadh, páirtithe leasmhara agus a gceanglais a shainaithint, cinneadh a dhéanamh cé na ceanglais a dtabharfar aghaidh orthu tríd an ISMS agus raon feidhme an ISMS a shainiú, lena n-áirítear comhéadain agus spleáchais. Do sholáthraí néalríomhaireachta nó MSP, ba cheart don raon feidhme NIS2, Implementing Regulation 2024/2690, sceidil slándála custaiméirí, ceanglais chustaiméirí arna dtiomáint ag DORA, réigiúin néil, fochonraitheoirí, spleáchais lárionad sonraí, ardáin chianbhainistíochta, conairí rochtana pribhléidí agus oibleagáidí fógra teagmhais a chur san áireamh go sainráite.

Éilíonn clásail 5.1 go 5.3 ceannaireacht, ailíniú beartais, acmhainní, cumarsáid, freagrachtaí sannta agus cuntasacht bhainistíochta. Tacaíonn sé seo go díreach le NIS2 Article 20.

Éilíonn clásail 6.1.1 go 6.1.3 measúnú riosca, cóireáil riosca, úinéirí riosca, anailís dóchúlachta agus iarmharta, roghnú rialuithe, comparáid le Annex A, Ráiteas Infheidhmeachta, plean cóireála riosca agus glacadh foirmiúil le riosca iarmharach. Seo an áit a mbíonn NIS2 oibríochtúil. Éiríonn gach ceanglas rialála ina spreagthóir riosca, ina oibleagáid chomhlíonta, ina cheanglas rialaithe nó ina cheanglas fianaise.

Tosaíonn Clarysec an obair seo le Zenith Blueprint: Treochlár 30 céim d’iniúchóir Zenith Blueprint, go háirithe céim na Bainistíochta Riosca.

Ó Chéim 13, Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta, treoraíonn Zenith Blueprint foirne chun inrianaitheacht a thógáil idir rioscaí, rialuithe agus spreagthóirí rialála:

“Cros-tagair rialacháin: Má chuirtear rialuithe áirithe chun feidhme go sonrach chun cloí le GDPR, NIS2 nó DORA, is féidir leat é sin a thabhairt faoi deara sa Chlár rioscaí nó i nótaí an SoA. M.sh. d’fhéadfadh rialú 8.27 (scriosadh slán sonraí) a bheith an-ábhartha do cheanglas GDPR maidir le sonraí pearsanta a dhiúscairt; d’fhéadfá ‘Infheidhme – tacaíonn sé le GDPR Art.32 (slándáil na próiseála)’ a thabhairt faoi deara. Ní éilíonn ISO é seo, ach cuidíonn sé le léiriú gur chuir tú na creataí sin san áireamh”

Cuireann Céim 14, Beartais Cóireála Riosca agus Cros-Tagairtí Rialála, an smacht praiticiúil mapála leis:

“I gcás gach rialacháin, más infheidhme, féadfaidh tú tábla simplí mapála a chruthú ina liostaítear príomhcheanglais slándála an rialacháin agus na rialuithe/beartais chomhfhreagracha i d’ISMS. Níl sé éigeantach in ISO 27001, ach is cleachtadh inmheánach úsáideach é chun a chinntiú nár thit aon rud idir dhá stól.”

Sin é an difríocht idir “táimid deimhnithe ISO” a rá agus “tugann ár ISMS ISO/IEC 27001:2022 aghaidh ar NIS2 Implementing Regulation 2024/2690” a chruthú.

Mapáil aontaithe rialuithe NIS2 chuig ISO/IEC 27001:2022

Ní comhairle dlí ná ionadach ar anailís trasuímh náisiúnta í an mhapáil seo a leanas. Is ailtireacht rialaithe phraiticiúil í do sholáthraithe a dteastaíonn bealach ISO/IEC 27001:2022 in-iniúchta uathu chuig ullmhacht NIS2.

Éiríonn an mhapáil seo cumhachtach nuair a leabaítear í sa chlár rioscaí agus sa Ráiteas Infheidhmeachta. Mar shampla, is féidir le soláthraí cás riosca a chruthú darb ainm “Mar thoradh ar chomhréiteach ardáin chianbhainistíochta déantar gníomhartha neamhúdaraithe i dtimpeallachtaí custaiméirí.” Áirítear leis na rialuithe MFA, bainistíocht rochtana pribhléidí, deighilt, logáil, bainistíocht leochaileachtaí, slándáil soláthraithe, pleanáil teagmhas agus nósanna imeachta fógra custaiméirí. Is féidir le nótaí an SoA tagairt a dhéanamh do NIS2 Article 21, Article 23, Implementing Regulation 2024/2690, conarthaí custaiméirí agus ceanglais dícheall cuí custaiméirí DORA nuair is ábhartha.

Rialachas néil: is ancaire NIS2 é rialú ISO 5.23

Do sholáthraithe néalríomhaireachta agus MSPanna a úsáideann seirbhísí néil chun seirbhísí custaiméirí a sheachadadh, tá rialú 5.23 in Annex A ISO/IEC 27001:2022, Slándáil faisnéise maidir le húsáid seirbhísí néil, ar cheann de na hancairí is tábhachtaí.

Achoimríonn Zenith Controls: The Cross-Compliance Guide Zenith Controls rialú 5.23 mar rialú coisctheach a thacaíonn le rúndacht, sláine agus infhaighteacht, atá nasctha le slándáil caidrimh soláthraithe, rialachas, riosca éiceachórais agus cosaint. Clúdaíonn sé rialachas seirbhísí néil, freagracht chomhroinnte, measúnú soláthraí, fardail, suíomh sonraí, logáil, criptiú, róil aitheantais, faireachán, clásail chonartha, riosca soláthraithe, imeacht ón néal agus pleanáil athléimneachta.

Míníonn Zenith Blueprint, sa chéim Rialuithe i ngníomh, Céim 23, an chúis phraiticiúil:

“Ní ceann scríbe é an scamall a thuilleadh; is é an réamhshocrú é. Aithníonn rialú 5.23 an réaltacht seo agus éilíonn sé go dtabharfaí aghaidh go sainráite ar shlándáil faisnéise i roghnú, úsáid agus bainistíocht seirbhísí scamall, ní mar iar-smaoineamh, ach mar phrionsabal dearaidh ón tús.”

Do MSP, ní mór rialachas a bheith ar gach ardán cianfhaireacháin agus cianbhainistíochta, tairseach custaiméirí, córas ticéadaithe, ardán teiliméadrachta slándála, seirbhís cúltaca, eolaire néil agus consól riaracháin SaaS. Do sholáthraí lárionaid sonraí, d’fhéadfadh rialachas néil baint le hardáin faireacháin, córais bhainistíochta cuairteoirí, comhtháthuithe rialaithe rochtana fhisiciúil, córais chianbhainistíochta agus bonneagar tairsí custaiméirí.

Déanann Cloud Usage Policy fiontair Clarysec Cloud Usage Policy dícheall cuí réamhghníomhachtaithe éigeantach:

“Ní mór gach úsáid scamaill a chur faoi dhícheall cuí bunaithe ar riosca roimh ghníomhachtú, lena n-áirítear measúnú soláthraí, bailíochtú comhlíonta dhlíthiúil agus athbhreithnithe bailíochtaithe rialuithe.”

Ón rannán “Ceanglais rialachais”, clásal beartais 5.2.

Do sholáthraithe níos lú, cruthaíonn Cloud Usage Policy-sme Cloud Usage Policy-sme - SME samhail fhaofa éadrom:

“Ní mór don Bhainisteoir Ginearálta (GM) gach úsáid seirbhísí scamall a athbhreithniú agus a fhaomhadh roimh chur chun feidhme nó síntiús.”

Ón rannán “Ceanglais rialachais”, clásal beartais 5.1.

Tacaíonn an dá chur chuige leis an ionchas céanna NIS2: ní mór riosca spleáchais ar an néal a thuiscint sula mbíonn an tseirbhís mar chuid den slabhra seachadta.

Freagairt do theagmhais: tosaíonn an clog 24 uair sula ndréachtaítear an tuarascáil

Tá NIS2 Article 23 dian toisc go dtosaíonn an t-amlíne tuairiscithe ón bhfeasacht ar theagmhas suntasach, ní ón nóiméad a mbíonn anailís bhunchúise fhoirfe ar fáil. Is é dúshlán na soláthraithe a chinneadh go tapa an bhfuil imeacht suntasach, cé na custaiméirí atá buailte, an bhfuil sonraí pearsanta i gceist, an bhfuil tionchar trasteorann ar sheirbhís ann agus cé na cloig chonarthacha atá tosaithe.

Is é rialú 5.24 in Annex A ISO/IEC 27001:2022, pleanáil agus ullmhúchán bainistíochta teagmhas slándála faisnéise, an rialú pleanála. Achoimríonn Zenith Controls é mar rialú ceartaitheach a thacaíonn le rúndacht, sláine agus infhaighteacht, atá nasctha le coincheapa freagartha agus téarnaimh, rialachas, bainistíocht imeachtaí agus cosaint. Áirítear leis róil, freagrachtaí, conairí uaschéimnithe, prótacail chumarsáide, ullmhacht fógra rialála, ailíniú le logáil agus faireachán, comhtháthú le leanúnachas gnó agus athshlánú ó thubaiste, foghlaim iar-theagmhais agus mapáil chuig NIS2, GDPR, DORA, ISO 22301, NIST CSF, NIST SP 800-53 agus COBIT 2019.

Déanann Incident Response Policy-sme Clarysec Incident Response Policy-sme - SME an chéad chinneadh ina cheanglas faoi theorainn ama:

“Ní mór don Bhainisteoir Ginearálta, le hionchur ón soláthraí TF, gach teagmhas a aicmiú de réir déine laistigh d’uair an chloig ón bhfógra.”

Ón rannán “Ceanglais rialachais”, clásal beartais 5.3.1.

Tacaíonn an t-aicmiú laistigh d’uair an chloig leis an smacht oibríochtúil atá riachtanach d’anailís luathrabhaidh 24 uair NIS2, measúnú sáraithe sonraí pearsanta GDPR, uaschéimniú custaiméirí DORA agus triáis fógra conarthach.

Ba cheart do chrann cinntí teagmhais soláthraí ceithre cheist a fhreagairt:

1. An bhfuil comhréiteach deimhnithe nó amhrasta ann ar rúndacht, sláine nó infhaighteacht?
2. An ndéanann an t-imeacht difear do sholáthar seirbhíse, timpeallachtaí custaiméirí, custaiméirí rialáilte, sonraí pearsanta nó feidhmeanna criticiúla?
3. An bhféadfadh sé cur isteach oibríochtúil tromchúiseach, caillteanas airgeadais nó damáiste ábhartha nó neamhábhartha a chur faoi deara?
4. Cé na hoibleagáidí fógra a bhaineann leis: NIS2, GDPR, oibleagáidí custaiméirí DORA, SLAanna conarthacha nó ionchais rialálaithe náisiúnta?

Ba cheart an crann cinntí a thástáil i gcleachtaí boird roimh theagmhas fíor.

Bainistíocht leochaileachtaí: cruthaigh laghdú riosca roimh thionchar

Éilíonn NIS2 láimhseáil agus nochtadh leochaileachtaí. Do chustaiméirí agus do rialálaithe, tá bainistíocht leochaileachtaí ar cheann de na réimsí rialaithe is fusa a thomhas toisc go dtáirgeann sé fianaise shoiléir: clúdach scanadh, amlínte paisteála, faomhadh eisceachtaí, anailís ar leochaileachtaí atá á saothrú agus taifid leighis.

Achoimrítear rialú 8.8 in Annex A ISO/IEC 27001:2022, Bainistíocht leochaileachtaí teicniúla, in Zenith Controls mar rialú coisctheach thar rúndacht, sláine agus infhaighteacht, atá nasctha le Sainaithint agus Cosaint, bainistíocht bagairtí agus leochaileachtaí, rialachas, éiceachóras, cosaint agus cosaint bhreise. Áirítear leis sainaithint leochaileachtaí, measúnú, tosaíochtú, paisteáil, rialuithe cúitimh, comhtháthú faisnéise bagairtí, nochtadh leochaileachtaí, freagrachtaí leochaileachta néil agus feidhmchlár, fianaise iniúchta agus amlínte leighis.

Tugann Vulnerability and Patch Management Policy fiontair Clarysec Vulnerability and Patch Management Policy samhail nithiúil d’iniúchóirí lena tástáil:

“Ní mór don eagraíocht gach leochaileacht braite a aicmiú trí mhodheolaíocht chaighdeánaithe a úsáid (m.sh., CVSS v3.x) agus amlínte leigheasacha a chur i bhfeidhm atá ailínithe le criticiúlacht ghnó: 5.2.1 Criticiúil (CVSS 9.0-10.0): Athbhreithniú láithreach; spriocdháta paistí 72 uair ar a mhéad. 5.2.2 Ard (7.0-8.9): Freagairt laistigh de 48 uair; spriocdháta paistí 7 lá féilire. 5.2.3 Meánach (4.0-6.9): Freagairt laistigh de 5 lá; spriocdháta paistí 30 lá féilire. 5.2.4 Íseal (<4.0): Freagairt laistigh de 10 lá; spriocdháta paistí 60 lá féilire.”

Ón rannán “Ceanglais rialachais”, clásal beartais 5.2.

Do sholáthraí néalríomhaireachta, ní mór dó seo comhpháirteanna hipearbhreathnóra, íomhánna coimeádán, sraitheanna comhordaithe, APIanna atá os comhair custaiméirí, píblínte CI/CD, consóil riaracháin agus leabharlanna tríú páirtí a chumhdach. Do MSP, is í an phríomhcheist an bhfuil leochaileachtaí inmheánacha scartha ó leochaileachtaí arna mbainistiú ag custaiméirí agus an sainíonn conarthaí freagracht. Do sholáthraí lárionaid sonraí, d’fhéadfadh córais bhainistíochta foirgneamh, córais rialaithe rochtana, ardáin faireacháin, uirlisí lámha cianda agus bonneagar líonraithe a bheith san áireamh sa raon feidhme.

Ní mór an tsamhail freagrachta comhroinnte a dhoiciméadú. B’fhéidir nach bhfuil gach paiste faoi úinéireacht an tsoláthraí, ach ní mór dó fós an riosca a bhainistiú, an custaiméir a chur ar an eolas nuair is cuí agus a chruthú go dtuigtear teorainneacha freagrachta.

Déanann logáil, faireachán agus deighilt teagmhais in-imscrúdaithe

Nuair a théann teagmhas soláthraí i bhfeidhm ar chustaiméirí, tá na chéad cheisteanna fianaise simplí: cé a logáil isteach, ó cá háit, le cén phribhléid, chuig cén tionónta, cad a athraíodh, cé na logaí atá ann agus an raibh conairí riaracháin deighilte.

Éilíonn Logging and Monitoring Policy fiontair Clarysec Logging and Monitoring Policy ar chórais chumhdaithe na logaí a ghiniúint a theastaíonn ó fhreagróirí agus ó iniúchóirí:

“Ní mór do gach córas cumhdaithe logaí a ghiniúint a thaifeadann: 6.1.1.1 Fíordheimhniú úsáideora agus iarrachtaí rochtana 6.1.1.2 Gníomhaíochtaí úsáideoirí pribhléideacha 6.1.1.3 Athruithe cumraíochta 6.1.1.4 Iarrachtaí rochtana ar theip orthu nó imeachtaí córais 6.1.1.5 Brath bogearraí mailíseacha agus foláirimh slándála 6.1.1.6 Cumarsáidí seachtracha agus truiceanna rialacha balla dóiteáin”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.1.1.

Do SMEanna atá ag brath ar sholáthraithe seachtracha, cuireann Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme - SME ceanglas conarthach leis:

“Ní mór do chonarthaí a cheangal ar sholáthraithe logaí a choinneáil ar feadh 12 mhí ar a laghad agus rochtain a sholáthar ar iarratas”

Ón rannán “Ceanglais rialachais”, clásal beartais 5.5.1.3.

Tá deighilt chomh tábhachtach céanna. Luaitear i Network Security Policy-sme Network Security Policy-sme - SME:

“Ní mór líonraí inmheánacha a dheighilt de réir feidhme (m.sh., airgeadas, aoi, IoT, córais riaracháin)”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.2.1.

Tugann Zenith Blueprint, sa chéim Rialuithe i ngníomh, Céim 20, an nós imeachta iniúchta praiticiúil d’ailtireacht líonra agus deighilt. Treoraíonn sé foirne chun leagan amach an líonra a athbhreithniú agus a dhoiciméadú, rialacha balla dóiteáin, IPS/IDS agus cumraíochtaí cianrochtana a fhíorú, a dheimhniú go bhfuil grúpaí slándála néil agus rialacha VPC nó folíonta ag teacht leis an ailtireacht atá beartaithe, seirbhísí líonra inmheánacha agus seachtracha a liostú agus a bhailíochtú nach bhfuil córais íogaire inrochtana ó VLANanna úsáideoirí ginearálta nó líonraí aoi.

Do MSP, níor cheart d’uirlisí cianbhainistíochta a bheith suite go cothrom ar líonra na hoifige. Do sholáthraí lárionaid sonraí, ba cheart comhéadain bhainistíochta le haghaidh cumhachta, fuaraithe, rialaithe rochtana agus seirbhísí líonra custaiméirí a bheith leithlisithe agus faoi fhaireachán. Do sholáthraí néalríomhaireachta, ba cheart rochtain ar an bplána rialaithe a shrianadh trí aitheantas, líonra, staid ghléis agus rialuithe sreafa oibre pribhléidí.

Slándáil soláthraithe: is custaiméir é an soláthraí freisin

Is soláthraithe do chliaint rialáilte iad soláthraithe néalríomhaireachta, MSPanna, MSSPanna agus lárionaid sonraí, ach is custaiméirí iad freisin de dhíoltóirí bogearraí, iompróirí teileachumarsáide, soláthraithe aitheantais, ardáin SaaS, soláthraithe crua-earraí, fochonraitheoirí agus oibreoirí bonneagair.

Déanann NIS2 slándáil slabhra soláthair ina croícheanglas. Déanann DORA, atá i bhfeidhm ón 17 Eanáir 2025, bainistíocht riosca tríú páirtí TFC lárnach d’eintitis airgeadais. Aithníonn NIS2 Article 4 agus Recital 28 DORA mar an gníomh dlíthiúil Aontais earnáilsonrach d’eintitis airgeadais nuair a bhíonn forluí ceanglas ann. Ní bhaineann sé seo an brú de sholáthraithe néalríomhaireachta agus MSPanna. Méadaíonn sé é, toisc go gcuireann custaiméirí airgeadais ceanglais chonarthacha ar leibhéal DORA, cearta iniúchta, tástáil athléimneachta, straitéisí scoir agus ionchais tuairiscithe teagmhas isteach i gconarthaí soláthraithe.

Éilíonn Third party and supplier security policy fiontair Clarysec Third party and supplier security policy rochtain rialaithe tríú páirtí:

“Ní mór gach rochtain tríú páirtí a logáil agus a chur faoi fhaireachán agus, nuair is indéanta, a dheighilt trí óstaigh bhaistí, VPNanna nó geataí Zero Trust.”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.3.2.

Cuireann Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy-sme - SME prionsabal na pribhléide is lú in iúl go díreach:

“Ní mór rochtain a dheonú do sholáthraithe ar na córais agus na sonraí íosta amháin atá riachtanach chun a bhfeidhm a chomhlíonadh.”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.2.1.

Mapálann na clásail seo go nádúrtha chuig rialuithe 5.19, 5.20, 5.21 agus 5.22 in Annex A ISO/IEC 27001:2022. Tacaíonn siad freisin le rialachas próiseálaithe agus fophhróiseálaithe GDPR, athbhreithnithe riosca tríú páirtí DORA agus ceistneoirí iniúchta custaiméirí.

Leanúnachas gnó agus athléimneacht lárionad sonraí: cruthaigh na boinn tuisceana

Áirítear in NIS2 Article 21 leanúnachas gnó, bainistíocht cúltaca, athshlánú ó thubaiste agus bainistíocht géarchéime. Éilíonn DORA Articles 11 to 14 beartais leanúnachais gnó TFC, pleananna freagartha agus téarnaimh, Anailís Tionchair ar an nGnó, beartais cúltaca, nósanna imeachta athshlánaithe, cuspóirí téarnaimh, tástáil, athbhreithnithe iar-theagmhais agus cumarsáid géarchéime d’eintitis airgeadais.

Do sholáthraithe néalríomhaireachta agus lárionad sonraí, ní fillteán é leanúnachas. Is ailtireacht, acmhainn, conarthaí, spleáchais, fianaise athshlánaithe agus boinn tuisceana thástáilte atá ann.

Éilíonn Business Continuity Policy and Disaster Recovery Policy fiontair Clarysec Business Continuity Policy and Disaster Recovery Policy BIA bliantúil agus athbhreithniú tar éis athruithe suntasacha:

“Déanfar Anailís Tionchair ar an nGnó (BIA) ar a laghad go bliantúil do gach aonad gnó criticiúil agus déanfar í a athbhreithniú nuair a tharlaíonn athruithe suntasacha ar chórais, próisis nó spleáchais. Sainmhíneoidh aschuir BIA: 5.2.1. Uas-aga neamhfhónaimh inghlactha (MTD) 5.2.2. Cuspóirí Ama Athshlánaithe (RTOanna) 5.2.3. Cuspóirí Pointe Athshlánaithe (RPOanna) 5.2.4. Spleáchais chriticiúla (córais, soláthraithe, pearsanra)”

Ón rannán “Ceanglais rialachais”, clásal beartais 5.2.

I gcás lárionad sonraí, ba cheart do BIA bealaí cumhachta, UPS, gineadóirí, conarthaí breosla, fuarú, cosc dóiteáin, iompróirí líonra, córais rochtana fisiciúla, lámha cianda, faireachán, crua-earraí spártha agus bealaí cumarsáide custaiméirí a chumhdach. I gcás néil, ba cheart dó réigiúin, criosanna infhaighteachta, macasamhlú, neamh-inathraitheacht cúltaca, spleáchais aitheantais, DNS, údaráis teastais, geataí API agus córais tacaíochta a chumhdach. I gcás MSP, ba cheart dó uirlisí cianbhainistíochta, boghtaí rochtana pribhléidí, consóil EDR, ticéadú, stórtha doiciméadachta agus cumarsáid éigeandála a chumhdach.

Is féidir le ISO 22301 disciplín bainistíochta leanúnachais gnó a neartú, agus tacaíonn ISO/IEC 27005:2022 le critéir riosca, pleanáil cóireála, faireachán, fianaise agus feabhsú leanúnach. Tá sé seo úsáideach toisc go n-éilíonn ullmhacht NIS2 ar an eagraíocht fachtóirí dlíthiúla, conarthacha, oibríochtúla, soláthraithe, teicneolaíochta, airgeadais, próisis agus daonna a chomhdhlúthú in aon phróiseas riosca amháin.

Rian riosca praiticiúil do shárú cianrochtana MSP

Is féidir le ceardlann phraiticiúil tosú le cás amháin:

“Mar thoradh ar chomhréiteach cianrochtana pribhléidí bíonn rochtain neamhúdaraithe ar chórais chustaiméirí, cur isteach ar sheirbhísí, nochtadh féideartha sonraí pearsanta agus oibleagáidí fógra rialála.”

Cruthaigh ró i gclár rioscaí agus comhlánaigh an rian.

Ansin nuashonraigh an Ráiteas Infheidhmeachta. I gcás gach rialaithe ábhartha in Annex A, mínigh cén fáth a mbaineann sé leis agus cén téama NIS2 a dtacaíonn sé leis. Ar deireadh, bailigh fianaise roimh iniúchadh: tuarascálacha cur chun feidhme MFA, liostaí cuntas pribhléidí, socruithe coinneála logaí, stádas paisteála RMM, foláirimh SIEM, taifid aicmithe teagmhas, faomhadh rochtana soláthraithe agus torthaí cleachtaí boird.

Conas a thástálfaidh iniúchóirí éagsúla an timpeallacht rialaithe chéanna

Ní mór do ISMS comhtháite lionsaí dearbhaithe éagsúla a shásamh gan pacáistí fianaise ar leith a chruthú do gach creat.

Seo an áit a gcabhraíonn Zenith Controls mar threoir traschomhlíonta. I gcás rialuithe amhail 5.23, 5.24 agus 8.8, nascann sé ionchais rialaithe ISO/IEC 27001:2022 le téamaí NIS2, GDPR, DORA, NIST SP 800-53, COBIT 2019, NIST CSF agus ISO 22301. Ní hé an sprioc cláir chomhlíonta ar leith a chruthú. Is é an sprioc ailtireacht fianaise amháin a bheith ann, clibáilte de réir rialaithe, riosca, spreagthóra rialála agus úinéara.

Patrún cur chun feidhme Clarysec

Do sholáthraithe néalríomhaireachta, MSPanna, MSSPanna agus lárionaid sonraí, ba cheart don obair bogadh i gcúig shraith.

Ar dtús, deimhnigh an raon feidhme. Cinn an bhfuil an eagraíocht agus na seirbhísí faoi raon feidhme NIS2, cé na rialacha Ballstáit atá i bhfeidhm, an mbaineann Implementing Regulation 2024/2690 leis an gcatagóir soláthraí agus an gcuireann custaiméirí oibleagáidí DORA, GDPR, NIST nó oibleagáidí earnáilsonracha i bhfeidhm.

Ar an dara dul síos, tóg comhthéacs an ISMS. Faoi chlásail 4 agus 5 ISO/IEC 27001:2022, sainaithin páirtithe leasmhara, oibleagáidí dlíthiúla, gealltanais chustaiméirí, spleáchais soláthraithe, teorainneacha seirbhíse agus freagrachtaí bainistíochta.

Ar an tríú dul síos, déan measúnú riosca agus cóireáil riosca ag úsáid phrionsabail ISO/IEC 27005:2022. Comhdhlúthaigh NIS2, DORA, GDPR, conarthaí, beartais inmheánacha agus rioscaí seirbhíse in aon chlár bonncheanglas amháin. Sainigh critéir riosca, úinéirí, dóchúlacht, iarmhairt, roghanna cóireála, roghanna rialaithe agus faomhadh riosca iarmharaigh.

Ar an gceathrú dul síos, mapáil rialuithe isteach sa Ráiteas Infheidhmeachta. Úsáid Céimeanna 13 agus 14 de Zenith Blueprint chun rioscaí a rianú chuig rialuithe Annex A agus ionchais rialála. Úsáid Zenith Controls chun tuiscint a fháil ar conas a mhapálann rialuithe amhail 5.23, 5.24, 8.8, 5.20 agus 5.30 thar chreataí agus lionsaí iniúchta.

Ar an gcúigiú dul síos, cuir fianaise i bhfeidhm go hoibríochtúil. Ní leor beartais. Soláthraíonn leabharlann bheartais Clarysec ceanglais in-fhorfheidhmithe le haghaidh faomhadh néil, rochtain soláthraithe, logáil, leigheas leochaileachtaí, deighilt líonra, aicmiú teagmhas agus pleanáil leanúnachais. Cruthaíonn an pacáiste fianaise go bhfuil na ceanglais sin ag feidhmiú.

An chéad chéim eile: cas brú NIS2 ina athléimneacht atá réidh don iniúchadh

Ní éilíonn NIS2 Implementing Regulation 2024/2690 anord. Éilíonn sé inrianaitheacht, úinéireacht agus fianaise.

Más soláthraí seirbhísí néalríomhaireachta, MSP, MSSP nó oibreoir lárionaid sonraí thú, tosaigh le do sheirbhísí, custaiméirí, spleáchais, cásanna teagmhais agus oibleagáidí fianaise. Ansin reáchtáil cleachtadh mapála struchtúrtha NIS2-go-ISO/IEC 27001:2022:

1. Deimhnigh an bhfuil d’eintiteas agus do sheirbhísí faoi raon feidhme.
2. Mapáil téamaí NIS2 agus Implementing Regulation isteach i raon feidhme d’ISMS.
3. Nuashonraigh an clár rioscaí agus an Ráiteas Infheidhmeachta.
4. Cuir beartais Clarysec i bhfeidhm maidir le húsáid néil, slándáil soláthraithe, logáil, bainistíocht leochaileachtaí, freagairt do theagmhais, slándáil líonra agus leanúnachas.
5. Úsáid Zenith Blueprint Zenith Blueprint Céimeanna 13, 14, 20 agus 23 chun inrianaitheacht agus fianaise oibríochtúil a chruthú.
6. Úsáid Zenith Controls Zenith Controls chun rialuithe ISO/IEC 27001:2022 a thrasmhapáil i gcoinne ionchais NIS2, DORA, GDPR, NIST agus COBIT 2019.
7. Tástáil an fhianaise trí insamhalta iniúchta sula n-iarrfaidh custaiméir, rialálaí nó iniúchóir deimhniúcháin í.

Is féidir le Clarysec cabhrú leat dul thar chomhlíonadh seicliosta agus ISMS comhtháite a thógáil a sheasann brú iniúchta NIS2, DORA, GDPR agus custaiméirí. Íoslódáil na foirne uirlisí ábhartha Clarysec, cuir ceardlann mapála in áirithe nó iarr measúnú ullmhachta iniúchta chun castacht rialála a iompú ina rialachas slándála inchosanta agus ina hathléimneacht oibríochtúil.