⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
GA EN BG CS DA DE EL ES ET FI FR HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Dliteanas an Bhoird faoi NIS2: Fianaise ISO 27001

Igor Petreski
14 min read
#Bainistíocht riosca #Iniúchadh #ISMS #Freagairt do theagmhais #Leanúnachas gnó #Bainistíocht soláthraithe
Léaráid de dhliteanas an bhoird faoi NIS2 agus d’fhianaise rialachais ISO 27001

Tháinig an ríomhphost isteach i mbosca isteach Maria ag 08:15 maidin Dé Luain. Mar Phríomhoifigeach Slándála Faisnéise ag soláthraí Eorpach seirbhísí néalríomhaireachta a bhí ag fás go tapa, bhí sí cleachta le teachtaireachtaí práinneacha, ach bhí cuma eile ar an gceann seo.

Chuir an CFO ceistneoir slándála custaiméara ar aghaidh chuig an CEO, rúnaí an bhoird agus Maria. Bhí líne an ábhair gearr: “Fianaise ar chuntasacht chomhlacht bainistíochta NIS2 de dhíth roimh athnuachan.”

Ní raibh an custaiméir ag lorg tuarascáil tástála treáite eile. Theastaigh uathu a fháil amach ar fhormheas an bord bearta bainistíochta riosca cibearshlándála, conas a rinneadh maoirseacht ar chur chun feidhme, ar tugadh oiliúint riosca cibearshlándála d’fheidhmeannaigh, conas a rinneadh teagmhais shuntasacha a uasghrádú, agus conas a rinneadh rioscaí soláthraithe a athbhreithniú ar leibhéal bainistíochta. Chuir an CEO líne amháin leis: “Maria, cad é ár nochtadh, agus conas a léirímid cúram cuí? Tá sé seo de dhíth ar an mbord an tseachtain seo chugainn.”

Sin é an nóiméad a n-éiríonn NIS2 fíor do go leor soláthraithe SaaS, néalríomhaireachta, MSP, MSSP, lárionad sonraí, fintech agus bonneagair dhigitigh. Ní dhéileálann Treoir (AE) 2022/2555 leis an gcibearshlándáil mar fhadhb de chuid roinne teicniúla. Déanann sí cuntasacht an chomhlachta bainistíochta de riosca cibearshlándála.

Éilíonn NIS2 Article 20 ar chomhlachtaí bainistíochta eintiteas riachtanach agus tábhachtach bearta bainistíochta riosca cibearshlándála a fhormheas, maoirseacht a dhéanamh ar a gcur chun feidhme, agus oiliúint a dhéanamh. Ligeann sé freisin do Bhallstáit dliteanas as sáruithe a bhunú. Sainíonn Article 21 ansin an bhonnlíne phraiticiúil: anailís riosca, beartais slándála, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, sealbhú agus forbairt shlán, measúnú éifeachtachta, sláinteachas cibearshlándála, oiliúint, cripteagrafaíocht, slándáil AD, rialú rochtana, bainistíocht sócmhainní agus fíordheimhniú.

I gcás eagraíochtaí atá ag úsáid ISO/IEC 27001:2022 cheana féin, tá an struchtúr eolach. Is iad an lucht féachana agus ualach na fianaise atá difriúil. Ní hé an cheist a thuilleadh, “An bhfuil rialuithe slándála againn?” Is í an cheist, “An féidir leis an mbord a léiriú gur fhormheas sé, gur thuig sé, gur mhaoinigh sé, gur athbhreithnigh sé, gur cheistigh sé agus gur fheabhsaigh sé na rialuithe sin?”

Sin an áit a n-éiríonn ISO/IEC 27001:2022 ina chóras rialachais inchosanta. Is é cur chuige Clarysec ISO/IEC 27001:2022 a úsáid mar chnámh droma fianaise, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint mar bhealach cur chun feidhme, beartais Clarysec mar dhéantáin atá réidh don bhord, agus Zenith Controls: The Cross-Compliance Guide Zenith Controls mar threoir mhapála traschreata do NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 agus ionchais iniúchta.

Cén fáth a n-athraíonn dliteanas an bhoird faoi NIS2 an comhrá cibearshlándála

Ní iarrann NIS2 ar stiúrthóirí a bheith ina n-innealtóirí balla dóiteáin. Iarrann sé orthu rialachas a dhéanamh. Tá tábhacht leis an idirdhealú sin.

Is féidir le Príomhoifigeach Slándála Faisnéise tuarascálacha leochaileachta, clúdach MFA, deaiseanna cosanta críochphointí agus scóir staidiúir néalríomhaireachta a thaispeáint. Is comharthaí oibríochtúla úsáideacha iad sin, ach ní chruthaíonn siad maoirseacht chomhlacht bainistíochta go huathoibríoch. Beidh rialálaí, custaiméir fiontair, iniúchóir deimhniúcháin nó measúnóir san earnáil airgeadais ag lorg slabhra fianaise rialachais:

  1. Mheas an eagraíocht an bhfuil NIS2 infheidhme agus dhoiciméadaigh sí an bunús.
  2. D’fhormheas an bord nó an ardbhainistíocht an creat bainistíochta riosca cibearshlándála.
  3. Sainíodh goile riosca agus tairseacha lamháltais.
  4. Rinneadh rioscaí arda cibearshlándála a uasghrádú agus a athbhreithniú.
  5. Formheasadh cinntí cóireála riosca, lena n-áirítear riosca iarmharach a glacadh.
  6. Léiríonn nósanna imeachta tuairiscithe teagmhas na hoibleagáidí 24 uair, 72 uair agus tuarascála deiridh nuair is infheidhme.
  7. Tá spleáchais soláthraithe agus néalríomhaireachta mapáilte agus faoi rialachas.
  8. Áirítear in athbhreithniú bainistíochta fionnachtana iniúchta, treochtaí teagmhas, méadrachtaí agus gníomhartha feabhsúcháin.
  9. Fuair feidhmeannaigh oiliúint atá cuí dá gcuntasacht.
  10. Tá cinntí, eisceachtaí agus uasghráduithe inrianaithe.

Seo an áit a dteipeann ar go leor seanleabhar cleachtais slándála. Ní chruthaíonn uirlis “chomhlíontach le NIS2” a cheannach maoirseacht an bhoird. Ní léiríonn síniú beartais agus é a chur i gcomhad cur chun feidhme. Ní shásaíonn cibearshlándáil a tharmligean go hiomlán chuig an bPríomhoifigeach Slándála Faisnéise dualgas maoirseachta chomhlachta bainistíochta.

Réitíonn ISO/IEC 27001:2022 an fhadhb seo toisc go gcuireann sé slándáil faisnéise i láthair mar Chóras Bainistíochta Slándála Faisnéise straitéiseach, rioscabhunaithe atá comhtháite i bpróisis eagraíochtúla. Cruthaíonn a chlásail maidir le comhthéacs, páirtithe leasmhara, oibleagáidí dlíthiúla, raon feidhme, ceannaireacht, measúnú riosca, cóireáil riosca, rialú oibríochtúil, meastóireacht feidhmíochta, iniúchadh inmheánach, athbhreithniú bainistíochta agus feabhsú leanúnach an struchtúr atá de dhíth ar bhord le haghaidh cúram cuí.

Déanann Zenith Blueprint é seo praiticiúil i gcéim bhunaithe agus cheannaireachta an ISMS, Céim 3:

“Baineann Clause 5.1 go hiomlán le ceannaireacht agus tiomantas. Éilíonn ISO 27001 ar an ardbhainistíocht ceannaireacht a léiriú trí fhormhuiniú a dhéanamh ar an ISMS, acmhainní a sholáthar, feasacht a chur chun cinn, a chinntiú go sanntar róil, an ISMS a chomhtháthú i bpróisis ghnó, agus tacú le feabhsú leanúnach.”

Sin é an tsamhail oibriúcháin taobh thiar de NIS2 Article 20. Ní gá don bhord gach ticéad teicniúil a fhormheas, ach ní mór dó an tsamhail rialachais a fhormheas, rioscaí ábhartha a thuiscint, acmhainní a chinntiú, agus maoirseacht a dhéanamh ar chur chun feidhme.

An pacáiste fianaise boird a éilíonn NIS2 i ndáiríre

Botún coitianta is ea déileáil le fianaise NIS2 mar mheamram dlíthiúil móide fillteán beartas. Is annamh a shásaíonn sin measúnóir tromchúiseach. Teastaíonn cruthúnas ar rialachas gníomhach ó chuntasacht bhoird, ní doiciméadacht éighníomhach amháin.

Ba cheart do phacáiste láidir fianaise boird NIS2 oibleagáidí dlíthiúla a nascadh le cinntí boird, rialuithe agus timthriallta athbhreithnithe.

Déantán fianaiseCeist chuntasachta boird a fhreagraítearAncaire ISO/IEC 27001:2022Foinse Clarysec
Measúnú infheidhmeachta NIS2An eintiteas riachtanach, tábhachtach, indíreach-nochtaithe nó lasmuigh den raon feidhme muid?Clauses 4.1 go 4.4Zenith Blueprint, Céim 1 agus Céim 2
Raon feidhme ISMS agus léarscáil spleáchasCé na seirbhísí, láithreacha, soláthraithe, comhéadain agus próisis atá faoi rialachas?Clauses 4.1 go 4.4Zenith Blueprint, céim bhunaithe ISMS
Clár rioscaí cibearshlándálaCad iad na rioscaí cibearshlándála is airde atá againn agus cé leis iad?Clauses 6.1.1 agus 6.1.2Beartas Bainistíochta Riosca
Plean cóireála riosca agus SoACé na rialuithe a roghnaíodh, cén fáth, agus cé a d’fhormheas an riosca iarmharach?Clause 6.1.3Zenith Blueprint, Céim 13
Miontuairiscí boird agus loga cinntíAr fhormheas, ar cheistigh agus ar mhaoirsigh an bhainistíocht na bearta?Clauses 5.1, 5.3, 9.3Beartas um Róil agus Freagrachtaí Rialachais
Nós imeachta uasghrádaithe agus tuairiscithe teagmhasAn féidir linn amlínte tuairiscithe céimnithe NIS2 a chomhlíonadh?Clauses 8.1, 9.1, rialuithe teagmhais Annex Auirlisí freagartha do theagmhais agus athbhreithnithe bainistíochta
Painéal riosca soláthraitheAn bhfuil soláthraithe criticiúla agus spleáchais néalríomhaireachta faoi rialachas?Clause 8.1 agus rialuithe soláthraithe Annex Atrasmhapáil Zenith Controls
Taifead oiliúna feidhmiúcháinAr thug comhaltaí an chomhlachta bainistíochta faoi oiliúint chuí?Clause 7.2 agus rialuithe feasachtaBeartas Feasachta agus Oiliúna um Shlándáil Faisnéise
Aschuir iniúchta inmheánaigh agus athbhreithnithe bainistíochtaAn bhfuil cur chun feidhme seiceáilte go neamhspleách agus feabhsaithe?Clauses 9.2, 9.3, 10.1Beartas Faireacháin Iniúchta agus Comhlíonta - SME

Is í láidreacht an phacáiste seo an inrianaitheacht. Freagraíonn gach déantán ceist rialachais agus díríonn sé ar mheicníocht ISO/IEC 27001:2022. Tugann sé sin scéal inchosanta don Phríomhoifigeach Slándála Faisnéise, don CEO agus don bhord: ní bailiúchán uirlisí í an chibearshlándáil, is córas faoi rialachas í.

Beartais a iompú ina gcuntasacht ar leibhéal an bhoird

Sa chás tosaigh, b’fhéidir go mbeadh CEO Maria sásta freagra a thabhairt don chustaiméir le teastas ISO agus cúpla beartas. Ní leor sin do chuntasacht chomhlacht bainistíochta NIS2. Teastaíonn fianaise ón eagraíocht go bhfuil freagracht sannta, go bhfuil cinntí taifeadta, agus go n-uasghrádaítear rioscaí go hoibiachtúil.

Tá beartais Clarysec deartha chun an inrianaitheacht sin a chruthú.

I gcás eagraíochtaí níos lú, deir Beartas Slándála Faisnéise-sme Beartas Slándála Faisnéise - SME, Clause 4.1.1, go gcoimeádann an ardbhainistíocht:

“Cuntasacht fhoriomlán as slándáil faisnéise.”

Tá tábhacht leis an abairt seo. Cuireann sí cosc ar fhrithphatrún coitianta ina dtarmligeann bunaitheoirí, CEOanna nó foirne feidhmiúcháin an chuntasacht slándála go léir go neamhfhoirmiúil chuig TF gan aon mhaoirseacht bhríoch a choinneáil.

I gcás eagraíochtaí níos mó, deir Beartas Bainistíochta Riosca Beartas Bainistíochta Riosca, Clause 4.1.1, go ndéanann an cheannaireacht:

“An creat bainistíochta riosca a fhormheas agus goile riosca inghlactha agus tairseacha lamháltais a shainiú.”

Is fianaise réidh don bhord é sin do NIS2 Article 20. Léiríonn ráiteas goile riosca, tairseacha lamháltais agus samhail fhoirmiúil údaráis riosca conas a oibríonn formheas agus uasghrádú sa chleachtas.

Cuireann Clause 5.6 den bheartas céanna leis:

“Ní mór don Mhaitrís Údaráis Riosca tairseacha le haghaidh uasghrádú chuig an ardbhainistíocht nó chuig an mbord a shainiú go soiléir.”

Is é seo ceann de na déantáin is tábhachtaí do rialachas NIS2. Gan tairseacha uasghrádaithe, ní fheiceann an bord ach an méid a roghnaíonn duine éigin a uasghrádú. Le tairseacha, bogann riosca iarmharach ard, leochaileachtaí criticiúla gan réiteach, comhchruinniú suntasach soláthraithe, mórtheagmhais, fionnachtana iniúchta agus eisceachtaí os cionn lamháltais go huathoibríoch isteach i maoirseacht fheidhmiúcháin.

Neartaíonn Beartas um Róil agus Freagrachtaí Rialachais Beartas um Rólanna agus Freagrachtaí Rialachais an slabhra fianaise:

“Ní mór don rialachas tacú le comhtháthú le disciplíní eile (m.sh., riosca, dlí, TF, AD), agus ní mór cinntí ISMS a bheith inrianaithe chuig a bhfoinse (m.sh., taifid iniúchta, athbhreithniú logaí, miontuairiscí cruinnithe).”

I gcás SMEanna, deir Beartas um Rólanna agus Freagrachtaí Rialachais-sme Beartas um Rólanna agus Freagrachtaí Rialachais - SME:

“Ní mór gach cinneadh slándála suntasach, eisceacht agus uasghrádú a thaifeadadh agus a bheith inrianaithe.”

Tiontaíonn na clásail sin maoirseacht an bhoird ó chomhrá ina rian iniúchta.

Slabhra fianaise ISO/IEC 27001:2022 do NIS2 Article 20

Is féidir le bord NIS2 Article 20 a chur i bhfeidhm trí shlabhra soiléir fianaise ISO/IEC 27001:2022.

Ar dtús, bunaigh comhthéacs agus raon feidhme. Éilíonn ISO/IEC 27001:2022 ar an eagraíocht saincheisteanna inmheánacha agus seachtracha, páirtithe leasmhara, ceanglais dlíthiúla, rialála agus chonarthacha, teorainneacha ISMS, comhéadain, spleáchais agus próisis idirghníomhacha a chinneadh. I gcás soláthraí SaaS nó néalríomhaireachta, ba cheart do raon feidhme an ISMS seirbhísí AE, timpeallachtaí néalríomhaireachta, oibríochtaí tacaíochta, soláthraithe criticiúla, deighleoga custaiméirí rialáilte agus nochtadh NIS2 a shainaithint go sainráite.

Ar an dara dul síos, léirigh ceannaireacht. Éilíonn ISO/IEC 27001:2022 ar an ardbhainistíocht cuspóirí slándála a ailíniú leis an treo straitéiseach, ceanglais ISMS a chomhtháthú i bpróisis ghnó, acmhainní a sholáthar, tábhacht a chur in iúl, freagrachtaí a shannadh agus feabhsú leanúnach a chur chun cinn. Do NIS2, éiríonn sé seo ina fhianaise gur fhormheas an comhlacht bainistíochta bearta bainistíochta riosca cibearshlándála agus gur mhaoirsigh sé iad.

Ar an tríú dul síos, déan measúnú riosca agus cóireáil riosca in-athdhéanta. Éilíonn ISO/IEC 27001:2022 critéir riosca, sainaithint riosca, úinéirí riosca, anailís ar dhóchúlacht agus ar iarmhairt, roghanna cóireála, roghnú rialuithe, comparáid Annex A, ráiteas infheidhmeachta, plean cóireála riosca agus formheas riosca iarmharaigh.

Déanann Zenith Blueprint, céim bainistíochta riosca, Céim 13, an pointe formheasa soiléir:

“Formheas bainistíochta: Ba cheart don ardbhainistíocht cinntí cóireála riosca agus an SoA a athbhreithniú agus a fhormheas. Ba cheart mionteagasc a thabhairt don bhainistíocht ar phríomhrioscaí agus cóireálacha molta, rioscaí atá molta lena nglacadh, agus na rialuithe atá beartaithe lena gcur chun feidhme.”

Do NIS2, níor cheart gur mionteagasc aonuaire a bheadh ann. Ba cheart don phacáiste boird rioscaí barrleibhéil reatha, treocht, dul chun cinn cóireála, riosca iarmharach glactha, gníomhartha thar téarma, nochtadh do sholáthraithe criticiúla, téamaí teagmhas agus príomh-mhéadrachtaí éifeachtachta a thaispeáint.

Ar an gceathrú dul síos, oibrigh agus coinnigh fianaise. Éilíonn ISO/IEC 27001:2022 Clause 8.1 pleanáil agus rialú oibríochtúil. Tacaíonn rialuithe Annex A le slándáil soláthraithe, rialachas néalríomhaireachta, freagairt do theagmhais, leanúnachas gnó, bainistíocht leochaileachtaí, cúltacaí, logáil, faireachán, forbairt shlán, slándáil feidhmchlár, ailtireacht, tástáil, seachfhoinsiú, deighilt agus bainistíocht athruithe.

Ar an gcúigiú dul síos, déan meastóireacht agus feabhsú. Tiontaíonn iniúchadh inmheánach, tomhas, athbhreithniú bainistíochta, gníomh ceartaitheach agus feabhsú leanúnach catalóg rialuithe ina córas faoi rialachas.

Leabaíonn an Beartas Slándála Faisnéise fiontair Beartas Slándála Faisnéise an t-ionchas athbhreithnithe bainistíochta seo:

“Ní mór gníomhaíochtaí athbhreithnithe bainistíochta (de réir ISO/IEC 27001 Clause 9.3) a dhéanamh ar a laghad uair sa bhliain agus ní mór dóibh seo a leanas a áireamh:”

Ní hé luach an chruinnithe amháin go dtarlaíonn cruinniú. Is é an luach go gcruthaíonn an t-athbhreithniú fianaise: ionchuir, cinntí, gníomhartha, úinéirí, spriocdhátaí agus obair leantach.

Dúnann Beartas Faireacháin Iniúchta agus Comhlíonta-sme Beartas Faireacháin Iniúchta agus Comhlíonta - SME, Clause 5.4.3, an lúb:

“Ní mór fionnachtana iniúchta agus nuashonruithe stádais a áireamh i bpróiseas athbhreithnithe bainistíochta an ISMS.”

Sin é an difríocht idir “bhí iniúchadh againn” agus “rinne an bhainistíocht athbhreithniú ar thorthaí iniúchta agus threoraigh sí leigheas.”

Mapáil traschomhlíonta: NIS2, DORA, GDPR, NIST CSF 2.0 agus COBIT 2019

Is annamh a thagann NIS2 leis féin. Féadfaidh soláthraí néalríomhaireachta sonraí pearsanta a phróiseáil faoi GDPR. Féadfaidh custaiméir fintech ceanglais soláthraithe faoi thionchar DORA a fhorchur. Féadfaidh custaiméir fiontair sna Stáit Aontaithe ailíniú le NIST CSF 2.0 a iarraidh. Féadfaidh coiste iniúchta boird foclóir COBIT 2019 a úsáid.

Ní hé an freagra fillteáin chomhlíonta ar leithligh a thógáil. Is é an freagra ISO/IEC 27001:2022 a úsáid mar an córas lárnach fianaise.

Cabhraíonn Zenith Controls le foirne comhdhlúthú a dhéanamh trí rialú ISO/IEC 27002:2022 5.4, freagrachtaí bainistíochta, a mhapáil thar chaighdeáin, rialacháin agus modhanna iniúchta.

In Zenith Controls, aicmíonn an iontráil do rialú ISO/IEC 27002:2022 5.4 “freagrachtaí bainistíochta” an cineál rialaithe mar “coisctheach,” nascann sí é le rúndacht, sláine, infhaighteacht, agus cuireann sí faoi chumas oibríochtúil dírithe ar rialachas é.

Tá tábhacht leis sin toisc gur rialachas coisctheach é NIS2 Article 20. Laghdaíonn formheas agus maoirseacht na ceannaireachta an dóchúlacht go mbeidh riosca cibearshlándála dofheicthe, tearc-mhaoinithe nó gan bhainistiú.

Ceanglaíonn Zenith Controls freagrachtaí bainistíochta freisin le rialuithe gaolmhara ISO/IEC 27002:2022: 5.1 Beartais do shlándáil faisnéise, 5.2 róil agus freagrachtaí slándála faisnéise, 5.35 athbhreithniú neamhspleách ar shlándáil faisnéise, 5.36 comhlíonadh beartas, rialacha agus caighdeán do shlándáil faisnéise, agus 5.8 slándáil i mbainistíocht tionscadail. Ní féidir le cuntasacht bhoird seasamh léi féin. Teastaíonn beartais, róil, dearbhú, faireachán ar chomhlíonadh agus comhtháthú ar leibhéal tionscadail uaithi.

Tá an tras-siúl níos leithne an-úsáideach do thuairisciú feidhmiúcháin.

Téama ceanglaisNIS2DORAGDPRNIST CSF 2.0COBIT 2019Fócas fianaise Clarysec
Cuntasacht bainistíochtaFormheas, maoirseacht, oiliúint, dliteanas Article 20Freagracht chomhlacht bainistíochta agus creat bainistíochta riosca TFC Articles 5 agus 6Cuntasacht Article 5(2) agus freagracht Article 24GOVERN, go háirithe GV.RR, GV.RM agus GV.OVBarrfheabhsú riosca EDM03Miontuairiscí boird, cairt rólanna, taifid chríochnaithe oiliúna
Bearta bainistíochta rioscaBearta teicniúla, oibríochtúla agus eagraíochtúla Article 21Creat bainistíochta riosca TFCSlándáil próiseála Article 32GOVERN, IDENTIFY, PROTECTSlándáil bhainistithe APO13Clár rioscaí, plean cóireála riosca, SoA
Tuairisciú teagmhasLuathrabhadh, fógra teagmhais, tuarascáil deiridh Article 23Tuairisciú mórtheagmhas a bhaineann le TFC Articles 17 go 20Fógra sáraithe sonraí pearsanta Articles 33 agus 34 nuair is infheidhmeRESPOND agus RECOVERIarratais agus teagmhais seirbhíse bhainistithe DSS02Maitrís uasghrádaithe rioscaí, playbooks, insamhaltaí
Rialachas soláthraitheSlándáil slabhra soláthair Article 21(2)(d)Riosca tríú páirtí TFC Articles 28 go 30Oibleagáidí próiseálaithe agus slándálaBainistíocht riosca cibearshlándála slabhra soláthair GV.SCDíoltóirí bainistithe APO10Clár soláthraithe, dícheall cuí, rialuithe conartha
Éifeachtacht agus dearbhúBeartais agus nósanna imeachta chun éifeachtacht a mheas Article 21(2)(f)Athbhreithniú ar chreat bainistíochta riosca TFC Article 6 agus ionchais iniúchtaTástáil agus meastóireacht rialta Article 32(1)(d)Maoirseacht GV.OV, measúnú riosca ID.RA, faireachán leanúnach DE.CMFaireachán agus comhlíonadh MEA01 agus MEA03Iniúchadh inmheánach, athbhreithniú bainistíochta, gníomhartha ceartaitheacha

Tá aird ar leith tuillte ag DORA. Aithníonn NIS2 Article 4 gur féidir le gníomhartha dlí AE atá earnáilsonrach forálacha forluiteacha NIS2 a chur ar leataobh i gcás ina bhfuil bearta coibhéiseacha bainistíochta riosca cibearshlándála nó fógra teagmhais i bhfeidhm. Is é DORA an príomhshampla d’eintitis airgeadais. Tá feidhm aige ón 17 Eanáir 2025 agus cruthaíonn sé creat aonfhoirmeach bainistíochta riosca TFC, tuairisciú teagmhas, tástáil athléimneachta, bainistíocht riosca tríú páirtí agus maoirseacht do sheirbhísí airgeadais.

B’fhéidir nach mbeadh soláthraí SaaS nó néalríomhaireachta rialáilte go díreach mar bhanc, ach is féidir le DORA teacht fós trí chonarthaí custaiméirí. Ní mór d’eintitis airgeadais riosca tríú páirtí TFC a bhainistiú, cláir conarthaí seirbhíse TFC a choinneáil, dícheall cuí a dhéanamh, riosca comhchruinnithe a mheas, cearta iniúchta agus cigireachta a áireamh, cearta foirceanta a shainiú, agus straitéisí imeachta a choinneáil. Ciallaíonn sé sin gur cheart do sholáthraithe a fhreastalaíonn ar chustaiméirí airgeadais a bheith ag súil le hiarratais ar fhianaise atá an-chosúil le ceisteanna rialachais boird NIS2.

Cuireann GDPR cuntasacht le haghaidh sonraí pearsanta leis. Éilíonn Article 5(2) ar rialaitheoirí a bheith freagrach as comhlíonadh agus a bheith in ann é a léiriú. Éilíonn Article 32 slándáil próiseála, lena n-áirítear tástáil, measúnú agus meastóireacht rialta ar éifeachtacht rialuithe teicniúla agus eagraíochtúla. I gcás ina ndéantar difear do shonraí pearsanta, ní mór do shreafaí oibre teagmhas measúnú sáraithe GDPR a chomhtháthú le huasghrádú teagmhas suntasach NIS2.

Cuireann NIST CSF 2.0 teanga atá cairdiúil d’fheidhmeannaigh leis tríd an bhfeidhm GOVERN. Cuireann sé béim ar chomhthéacs eagraíochtúil, straitéis bainistíochta riosca, róil agus freagrachtaí, beartas, maoirseacht agus bainistíocht riosca slabhra soláthair. Cuireann COBIT 2019 foclóir rialachais leis atá eolach do choistí iniúchta, go háirithe trí EDM03 le haghaidh barrfheabhsú riosca agus cuspóirí MEA le haghaidh faireacháin agus dearbhaithe.

Sprint 90 lá le haghaidh fianaise bhoird NIS2

Is féidir le sprint praiticiúil fianaise cabhrú le heagraíochtaí bogadh go tapa gan maorlathas comhthreomhar a chruthú.

Laethanta 1 go 30: Cuntasacht a bhunú

Tosaigh le clár cuntasachta NIS2 a thaifeadann:

  • Anailís aicmithe eintitis, lena n-áirítear réasúnaíocht maidir le riachtanach, tábhachtach, nochtadh indíreach nó lasmuigh den raon feidhme.
  • Seirbhísí sa raon feidhme, amhail SaaS, néalríomhaireacht, seirbhísí bainistithe, lárionad sonraí, DNS, seirbhísí iontaoibhe nó seirbhísí a bhaineann le cumarsáid.
  • Ballstáit AE ina soláthraítear seirbhísí.
  • Earnálacha custaiméirí lena mbaineann, go háirithe seirbhísí airgeadais, cúram sláinte, iompar, fuinneamh, riarachán poiblí agus bonneagar digiteach.
  • Oibleagáidí infheidhme, lena n-áirítear NIS2 Article 20, Article 21 agus Article 23.
  • Oibleagáidí gaolmhara ó DORA, GDPR, conarthaí custaiméirí agus árachas cibearshlándála.
  • Úinéir bainistíochta agus minicíocht tuairiscithe don bhord.

Ceangail é seo le comhthéacs ISO/IEC 27001:2022, páirtithe leasmhara, clár oibleagáidí comhlíonta agus raon feidhme an ISMS. Ansin nuashonraigh an Mhaitrís Údaráis Riosca ag úsáid cheanglas Bheartas Bainistíochta Riosca go sainítear tairseacha uasghrádaithe don ardbhainistíocht nó don bhord.

Áirítear ar spreagthaí úsáideacha uasghrádaithe riosca iarmharach os cionn an ghoile riosca, leochaileachtaí criticiúla nár glacadh leo tar éis an SLA, riosca comhchruinnithe soláthraithe, mórfhionnachtana iniúchta ardleibhéil gan réiteach, teagmhais a d’fhéadfadh tuairisciú NIS2 a spreagadh, eisceachtaí ó cheanglais MFA, cúltaca, logála, criptithe nó freagartha do theagmhais, agus athruithe ábhartha ar ailtireacht néalríomhaireachta.

Laethanta 31 go 60: Cóireáil riosca a fhormheas

Úsáid Zenith Blueprint Céim 13 chun pacáiste cinntí boird a ullmhú don phlean cóireála riosca agus don ráiteas infheidhmeachta. Ba cheart go mbeadh sa phacáiste:

  • Na 10 riosca cibearshlándála is airde.
  • Rogha cóireála molta do gach riosca.
  • Grúpaí rialaithe roghnaithe.
  • Riosca iarmharach tar éis cóireála.
  • Rioscaí atá molta lena nglacadh.
  • Cinntí buiséid nó acmhainní atá de dhíth.
  • Spleáchais ar sholáthraithe, dlí, AD, táirge agus TF.
  • Cinneadh bainistíochta atá á iarraidh.

Ba cheart gur formheas sínithe nó formheas i miontuairiscí a bheadh san aschur. Ní leor deic sleamhnán léi féin.

Mapáil bearta NIS2 Article 21 freisin chuig clásail ISO/IEC 27001:2022 agus rialuithe Annex A. Ligeann sé seo don eagraíocht a thaispeáint go bhfuil NIS2 á láimhseáil tríd an ISMS seachas trí sheicliosta dícheangailte.

Laethanta 61 go 90: Tuairisciú teagmhas a thástáil agus fianaise a athbhreithniú

Éilíonn NIS2 Article 23 tuairisciú céimnithe le haghaidh teagmhais shuntasacha: luathrabhadh laistigh de 24 uair, fógra teagmhais laistigh de 72 uair, nuashonruithe idirmheánacha nuair a éilítear nó a iarrtar iad, agus tuarascáil deiridh tráth nach déanaí ná mí amháin tar éis an fhógra.

Reáchtáil cleachtadh boird leis an urraitheoir boird, CEO, Príomhoifigeach Slándála Faisnéise, dlí, cumarsáid, rath custaiméara agus oibríochtaí. Úsáid cás réalaíoch, mar shampla míchumraíocht néalríomhaireachta a nochtann meiteashonraí custaiméirí, a chuireann isteach ar infhaighteacht seirbhíse agus a théann i bhfeidhm ar chustaiméir rialáilte.

Tástáil cé a chinneann an bhféadfadh an teagmhas a bheith suntasach, cé a dhéanann teagmháil le comhairle dlí, cé a thugann fógra d’údaráis inniúla nó don CSIRT nuair is gá, cé a fhormheasann cumarsáidí custaiméara, conas a chaomhnaítear fianaise, conas a mheasúnaítear oibleagáidí sáraithe GDPR i gcomhthreo, agus conas a nuashonraítear an bord le linn na chéad 24 uair.

Ansin reáchtáil athbhreithniú bainistíochta foirmiúil. Míníonn Zenith Blueprint, céim iniúchta, athbhreithnithe agus feabhsúcháin, Céim 28, cén fáth:

“Ní cur i láthair amháin é athbhreithniú bainistíochta; baineann sé le cinntí a dhéanamh.”

Ba cheart don athbhreithniú sin fionnachtana iniúchta, dul chun cinn cóireála riosca, ullmhacht teagmhas, rioscaí soláthraithe, méadrachtaí, cinntí, gníomhartha sannta agus úinéirí obair leantach a áireamh.

An cruinniú athbhreithnithe bainistíochta a oibríonn i ndáiríre

Teipeann ar go leor athbhreithnithe bainistíochta toisc go mbíonn siad struchtúrtha mar nuashonruithe stádais. Ba cheart d’athbhreithniú bainistíochta atá réidh do NIS2 a bheith ina chruinniú cinnteoireachta.

Ba cheart don chlár oibre na nithe seo a áireamh:

  1. Athruithe i gceanglais NIS2, DORA, GDPR, chonarthacha agus chustaiméirí.
  2. Athruithe i gcomhthéacs gnó, seirbhísí, éadálacha, soláthraithe, ailtireacht néalríomhaireachta agus deighleoga custaiméirí rialáilte.
  3. Stádas na bpríomhrioscaí slándála faisnéise agus riosca iarmharach i gcoinne goile riosca.
  4. Dul chun cinn an phlean cóireála riosca agus gníomhartha thar téarma.
  5. Treochtaí teagmhas, imeachtaí suntasacha, neasteagmhais agus ullmhacht tuairiscithe.
  6. Rioscaí spleáchais soláthraithe agus TFC, lena n-áirítear comhchruinniú agus imní imeachta.
  7. Torthaí iniúchtaí inmheánacha, iniúchtaí seachtracha, measúnuithe custaiméirí agus tástálacha treáite.
  8. Feasacht slándála agus críochnú oiliúna feidhmiúcháin.
  9. Méadrachtaí le haghaidh rialú rochtana, bainistíocht leochaileachtaí, cúltacaí, logáil, faireachán, forbairt shlán agus tástálacha leanúnachais.
  10. Cinntí atá de dhíth, lena n-áirítear glacadh le riosca, buiséad, foireann, eisceachtaí beartais, leigheas soláthraithe agus feabhsuithe rialuithe.

Tá oiliúint feidhmiúcháin thar a bheith tábhachtach. Éilíonn NIS2 Article 20 ar chomhaltaí an chomhlachta bainistíochta oiliúint a dhéanamh. Áiríonn Beartas Feasachta agus Oiliúna um Shlándáil Faisnéise Beartas Feasachta agus Oiliúna um Shlándáil Faisnéise, Clause 5.1.2.4, topaicí oiliúna feidhmiúcháin go sainráite:

“Feidhmeannaigh (m.sh., rialachas, glacadh le riosca, oibleagáidí dlíthiúla)”

Ba cheart d’oiliúint chibearshlándála d’fheidhmeannaigh díriú ar chearta cinnteoireachta, dliteanas, uasghrádú, goile riosca, rialachas géarchéime, tuairisciú teagmhas agus oibleagáidí rialála. Níor cheart í a theorannú d’fheasacht fioscaireachta.

Conas a dhéanfaidh iniúchóirí agus custaiméirí maoirseacht an bhoird a thástáil

Úsáidfidh measúnóirí éagsúla teanga éagsúil, ach déanfaidh siad an bhuncheist chéanna a thástáil: an bhfuil an chibearshlándáil faoi rialachas?

Zenith Controls luachmhar toisc go n-áiríonn sé mapálacha modheolaíochta iniúchta. Maidir le freagrachtaí bainistíochta, tagraíonn sé do phrionsabail agus stiúradh iniúchta ISO/IEC 19011:2018, cleachtais iniúchta ISMS ISO/IEC 27007:2020, ISO/IEC 27001:2022 Clause 5.1, COBIT 2019 EDM01 agus EDM03, ISACA ITAF Section 1401, agus NIST SP 800-53A PM-1 agus PM-2. Maidir le hathbhreithniú neamhspleách, mapálann sé chuig ISO/IEC 27001:2022 Clauses 9.2 agus 9.3, pleanáil iniúchta agus cleachtais fianaise ISO/IEC 27007, ISACA ITAF Section 2400, agus modhanna measúnaithe NIST. Maidir le comhlíonadh beartas, mapálann sé chuig ISO/IEC 27001:2022 Clauses 9.1, 9.2 agus 10.1, bailiú fianaise ISO/IEC 19011, COBIT 2019 MEA01, agus measúnú faireacháin leanúnaigh NIST.

Lionsa iniúchóraCad a iarrfaidh siadFianaise a mbeidh siad ag súil léiTeip choitianta
Iniúchóir ISO/IEC 27001:2022Conas a léiríonn an ardbhainistíocht ceannaireacht, a fhormheasann sí cóireáil riosca agus a athbhreithníonn sí feidhmíocht ISMS?Formheasanna beartais, clár rioscaí, formheas SoA, miontuairiscí athbhreithnithe bainistíochta, aschuir iniúchta inmheánaighTá athbhreithniú bainistíochta ann ach níl cinntí ná rianú gníomhartha ann
Measúnóir dírithe ar NIS2Ar fhormheas an comhlacht bainistíochta bearta cibearshlándála agus ar mhaoirsigh sé cur chun feidhme?Miontuairiscí boird, maitrís uasghrádaithe, taifid chríochnaithe oiliúna feidhmiúcháin, mapáil bhonnlíne Article 21Bearta slándála formheasta ag an bPríomhoifigeach Slándála Faisnéise amháin, gan inrianaitheacht bhoird
Measúnóir NIST CSF 2.0An bhfuil torthaí rialachais, goile riosca, róil, acmhainní, maoirseacht agus riosca slabhra soláthair comhtháite i mbainistíocht riosca fiontair?Próifílí reatha agus spriocphróifílí, plean bearna, tuairisciú ceannaireachta, méadrachtaíÚsáidtear NIST mar sheicliosta gan úinéireacht rialachais
Iniúchóir COBIT 2019 nó ISACAAn ndéanann rialachas bainistíocht riosca cibearshlándála a mheas, a threorú agus a fhaire?Cairteacha rialachais, goile riosca, tuairisciú bainistíochta, torthaí dearbhaitheFaigheann an bord méadrachtaí teicniúla ach gan comhthéacs cinnteoireachta riosca
Custaiméir DORA nó measúnóir san earnáil airgeadaisAn bhfuil rioscaí TFC, teagmhais, athléimneacht agus spleáchais tríú páirtí faoi rialachas agus doiciméadaithe?Léarscáil spleáchais TFC, clár soláthraithe, dícheall cuí, cearta iniúchta, saolré teagmhaisTá riosca soláthraithe bunaithe ar cheistneoirí amháin, gan anailís chomhchruinnithe ná imeachta
Iniúchóir GDPR nó measúnóir príobháideachaisAn féidir leis an eagraíocht slándáil agus cuntasacht i leith próiseáil sonraí pearsanta a léiriú?Léarscáileanna sonraí, samhail bhonn dlíthiúil, próiseas measúnaithe sáraithe, rialuithe slándálaTá fianaise phríobháideachais agus fianaise slándála scartha agus neamh-chomhsheasmhach

Tá an ceacht simplí. Ní chruthaítear cuntasacht bhoird le freastal amháin. Cruthaítear í le cinntí eolasacha, formheasanna doiciméadaithe, tosaíochtú bunaithe ar riosca, leithdháileadh acmhainní agus obair leantach.

Gaistí coitianta a bhriseann an slabhra fianaise

Is iondúil go dtiteann na heagraíochtaí a bhíonn ag streachailt le cuntasacht chomhlacht bainistíochta NIS2 isteach i bpatrúin intuartha.

Ar dtús, meascann siad oibriú rialuithe teicniúla le rialachas. Tá tábhacht le clúdach MFA, foláirimh SIEM, imscaradh EDR agus rátaí ratha cúltaca, ach teastaíonn comhthéacs riosca, cinntí cóireála agus dearbhú go n-oibríonn rialuithe ón mbord.

Ar an dara dul síos, formheasann siad beartais ach ní fhormheasann siad cóireáil riosca. Ní chruthaíonn beartas slándála sínithe gur fhormheas an bord bearta cibearshlándála comhréireacha. Is fianaise níos láidre iad an plean cóireála riosca agus an SoA toisc go nascann siad rioscaí, rialuithe, riosca iarmharach agus formheas bainistíochta.

Ar an tríú dul síos, níl tairseacha uasghrádaithe acu. Gan Maitrís Údaráis Riosca, braitheann uasghrádú ar phearsantachtaí. Teastaíonn spreagthaí oibiachtúla ó rialachas NIS2.

Ar an gceathrú dul síos, scarann siad freagairt do theagmhais ó thuairisciú rialála. Ní mór sreafaí oibre tuairiscithe NIS2, DORA agus GDPR a chomhtháthú roimh ghéarchéim.

Ar an gcúigiú dul síos, déanann siad neamhaird de rialachas soláthraithe. Áiríonn NIS2 Article 21 slándáil slabhra soláthair agus breithnithe leochaileachta soláthraithe. Féadfaidh custaiméirí faoi thionchar DORA a bheith ag súil le rialachas tríú páirtí TFC níos doimhne, lena n-áirítear dícheall cuí, cearta iniúchta, riosca comhchruinnithe, cearta foirceanta agus straitéisí imeachta.

Ar an séú dul síos, ní chuireann siad oiliúint ar fheidhmeannaigh. Ní mhaisiúchán roghnach í oiliúint chibearshlándála feidhmiúcháin faoi NIS2. Is cuid den slabhra fianaise rialachais í.

Cén chuma atá ar dhea-chleachtas

Tar éis 90 lá, ba cheart go mbeadh na nithe seo a leanas i bhfillteán inchreidte fianaise boird NIS2:

  • Measúnú infheidhmeachta.
  • Raon feidhme ISMS agus clár oibleagáidí comhlíonta.
  • Ráiteas tiomantais ceannaireachta.
  • Goile riosca agus tairseacha lamháltais.
  • Maitrís Údaráis Riosca.
  • Clár rioscaí cibearshlándála.
  • Plean cóireála riosca.
  • Ráiteas infheidhmeachta.
  • Miontuairiscí formheasa boird.
  • Taifid chríochnaithe oiliúna feidhmiúcháin.
  • Tuarascáil cleachtaidh boird teagmhais.
  • Painéal riosca soláthraithe.
  • Tuarascáil iniúchta inmheánaigh.
  • Miontuairiscí athbhreithnithe bainistíochta agus rianaire gníomhartha.

Freagraíonn an fillteán seo an ceistneoir custaiméara a fuair Maria maidin Dé Luain. Níos tábhachtaí fós, cabhraíonn sé leis an mbord riosca cibearshlándála a rialú sula ndéanann teagmhas, iniúchadh nó rialálaí an eagraíocht a thástáil go poiblí.

Dliteanas an bhoird faoi NIS2 a iompú ina rialachas réidh don iniúchadh

D’athraigh NIS2 an comhrá cibearshlándála. Ní mór do chomhlachtaí bainistíochta bearta bainistíochta riosca cibearshlándála a fhormheas, maoirseacht a dhéanamh ar chur chun feidhme, agus oiliúint a dhéanamh. Éilíonn Article 21 tacar comhtháite beart teicniúil, oibríochtúil agus eagraíochtúil. Comhbhrúnn Article 23 tuairisciú teagmhas isteach in amlíne chéimnithe a éilíonn ullmhúchán roimh an ngéarchéim.

Tugann ISO/IEC 27001:2022 an córas bainistíochta duit. Tugann Clarysec an bealach cur chun feidhme, teanga bheartais, mapálacha traschomhlíonta agus samhail fianaise iniúchta duit.

Má tá do bhord ag fiafraí, “Cad is gá dúinn a fhormheas, agus conas a léirímid maoirseacht?”, tosaigh le trí ghníomh:

  1. Úsáid Zenith Blueprint Céim 3, Céim 13 agus Céim 28 chun tiomantas ceannaireachta, formheas cóireála riosca agus athbhreithniú bainistíochta a struchtúrú.
  2. Úsáid beartais Clarysec amhail Beartas Bainistíochta Riosca, Beartas um Róil agus Freagrachtaí Rialachais, Beartas Slándála Faisnéise agus coibhéisí SME chun cuntasacht agus inrianaitheacht a fhoirmliú.
  3. Úsáid Zenith Controls chun maoirseacht bhoird NIS2 a mhapáil isteach i ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 agus ionchais modheolaíochta iniúchta.

Is féidir le Clarysec cabhrú leat an pacáiste boird a thógáil, slabhra fianaise an ISMS a nuashonrú, athbhreithniú bainistíochta a ullmhú, agus cuntasacht NIS2 a iompú ina phróiseas rialachais riosca cibearshlándála in-athdhéanta atá intuigthe d’iniúchóirí, do chustaiméirí agus d’fheidhmeannaigh. Íoslódáil na huirlisí ábhartha Clarysec nó iarr measúnú chun dliteanas boird a iompú ina fhianaise réidh don iniúchadh.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Fianaise DORA TLPT a ailíniú le rialuithe ISO 27001

Fianaise DORA TLPT a ailíniú le rialuithe ISO 27001

Treoir phraiticiúil d’eintitis airgeadais ar gá dóibh DORA TLPT, tástáil athléimneachta, rialuithe ISO 27001, dearbhú soláthraithe, fianaise téarnaimh agus tuairisciú don Bhord a nascadh in aon slabhra fianaise amháin atá réidh don iniúchadh.