Ag dul tríd an stoirm: conas atá NIS2 agus DORA ag athshainiú comhlíonadh na hEorpa

Tá Treoir NIS2 agus Rialachán DORA an AE ag athrú comhlíonadh cibearshlándála, agus iad ag éileamh bainistíocht riosca níos déine, tuairisciú teagmhas agus athléimneacht oibríochtúil dhigiteach. Míníonn an treoir seo a dtionchar, léiríonn sí a n-ailíniú domhain le ISO 27001, agus leagann sí amach bealach praiticiúil céim ar chéim i dtreo ullmhachta do CISOanna agus do cheannairí gnó.

Réamhrá

Tá tírdhreach comhlíonta na hEorpa ag dul tríd an athrú is mó le glúin anuas. Le spriocdháta trasuite Threoir Slándála Líonra agus Faisnéise (NIS2) i mí Dheireadh Fómhair 2024 agus an tAcht um Athléimneacht Oibríochtúil Dhigiteach (DORA) ag teacht i bhfeidhm go hiomlán i mí Eanáir 2025, tá deireadh cinntitheach tagtha leis an ré ina raibh cibearshlándáil ina feidhm chúlra TF. Léiríonn an dá phíosa reachtaíochta seo athrú bunúsach: cuirtear cibearshlándáil agus athléimneacht oibríochtúil i gcroílár an rialachais chorparáidigh, agus déantar comhlachtaí bainistíochta cuntasach go díreach as teipeanna.

Do CISOanna, do bhainisteoirí comhlíonta agus d’úinéirí gnó, ní creat eile amháin é seo chun rialuithe a mhapáil ina choinne. Is sainordú é do staid slándála ó bharr anuas, bunaithe ar riosca agus inléirithe ó thaobh athléimneachta de. Leathnaíonn NIS2 raon feidhme a réamhtheachtaí chun réimse fairsing eintiteas “riachtanach” agus “tábhachtach” a chumhdach, agus forchuireann DORA rialacha dochta comhchuibhithe ar earnáil airgeadais iomlán an AE agus ar a soláthraithe teicneolaíochta criticiúla. Tá na geallta níos airde, tá na ceanglais níos saintreoracha, agus tá na pionóis as neamhchomhlíonadh tromchúiseach. Feidhmeoidh an t-alt seo mar threoir duit tríd an tír-raon nua seo, agus bainfidh sé úsáid as creat ISO 27001 mar bhonn praiticiúil chun comhlíonadh NIS2 agus DORA araon a bhaint amach.

Cad atá i gceist

Téann iarmhairtí mainneachtana oibleagáidí NIS2 agus DORA a chomhlíonadh i bhfad níos faide ná rabhadh foirmiúil. Tugann na rialacháin seo pionóis shuntasacha airgeadais isteach, dliteanas pearsanta don cheannaireacht, agus riosca cur isteach tromchúiseach oibríochtúil. Is í tuiscint ar thromchúis na rioscaí sin an chéad chéim chun cás gnó láidir a thógáil le haghaidh infheistíochta agus athraithe eagraíochtúil.

Ardaíonn NIS2, go háirithe, na geallta airgeadais go suntasach. Mar a mhíníonn ár dtreoir chuimsitheach, Zenith Controls, dearadh na pionóis chun aird a tharraingt ar leibhéal an bhoird.

I gcás eintitis riachtanacha, féadfaidh fíneálacha suas le €10 milliún nó 2% de láimhdeachas bliantúil domhanda iomlán na bliana airgeadais roimhe sin a bhaint amach, cibé acu is airde. I gcás eintitis thábhachtacha, is é €7 milliún nó 1.4% den láimhdeachas bliantúil domhanda iomlán an fhíneáil uasta.

Tá na figiúirí seo inchomparáide le pionóis ar leibhéal GDPR, rud a léiríonn rún an AE caighdeáin chibearshlándála a fhorfheidhmiú go docht. Cé go bhfuil siad comhchuibhithe ar leibhéal an AE, d’fhéadfadh na struchtúir phionóis bheachta a bheith éagsúil beagáinín fós ag brath ar an gcaoi a dtrasuíonn gach Ballstát NIS2 sa dlí náisiúnta. Ach ní riosca airgeadais amháin atá ann. Tugann NIS2 isteach an fhéidearthacht go gcuirfear toirmisc shealadacha ar dhaoine poist bhainistíochta a shealbhú nuair a fhaightear amach go raibh siad freagrach as sáruithe, rud a fhágann gur ceist chuntasachta pearsanta do Phríomhfheidhmeannaigh agus do chomhaltaí boird í an chibearshlándáil.

Cé go bhfuil DORA dírithe ar an earnáil airgeadais, tugann sé a bhrúnna féin isteach. Is é a phríomhaidhm leanúnachas seirbhísí airgeadais criticiúla a chinntiú fiú le linn cur isteach suntasach TFC. Tá an riosca anseo sistéamach. D’fhéadfadh teip in eintiteas airgeadais aonair nó i gceann dá sholáthraithe criticiúla tríú páirtí TFC éifeacht easghluaiseachta a bheith aici ar fud gheilleagar na hEorpa. Is é sainordú DORA é seo a chosc trí ardchaighdeán athléimneachta oibríochtúla digití a fhorfheidhmiú. D’fhéadfadh costas neamhchomhlíonta a bheith ní hamháin ina fhíneálacha, ach freisin ina chailliúint ceadúnas oibriúcháin agus ina dhamáiste tubaisteach don chlú in earnáil atá bunaithe ar iontaoibh.

Tá an tionchar oibríochtúil chomh dúshlánach céanna. Éilíonn an dá rialachán amlínte dochta tuairiscithe teagmhas. Éilíonn NIS2 fógra tosaigh chuig údaráis inniúla laistigh de 24 uair an chloig tar éis eolas a fháil ar theagmhas suntasach, agus tuarascáil níos mionsonraithe laistigh de 72 uair an chloig ina dhiaidh sin. Cuireann an amlíne chomhbhrúite seo brú ollmhór ar fhoirne freagartha teagmhas, agus éilíonn sí próisis aibí, dea-chleachtaithe nach bhfuil ag go leor eagraíochtaí faoi láthair. Ní teorannú agus téarnamh amháin atá i gceist a thuilleadh, ach cumarsáid thapa thrédhearcach le rialálaithe freisin.

Cén chuma atá ar dhea-chleachtas

Sa ré nua seo d’iniúchadh níos géire, ní leor “maith” a thuilleadh mar bheartais ar sheilf nó mar dheimhniú ag pointe ama amháin. Baineann sé le staid leanúnach, inléirithe athléimneachta oibríochtúla a chorprú. Ciallaíonn sé bogadh ó sheasamh imoibríoch faoi stiúir an chomhlíonta go cultúr réamhghníomhach bunaithe ar fhaisnéis riosca ina bhfuil cibearshlándáil fite fuaite i bhfabraic an ghnó. Léireoidh eagraíocht a théann tríd an tírdhreach NIS2 agus DORA go rathúil roinnt tréithe lárnacha, agus tá go leor acu fréamhaithe i bprionsabail Córas Bainistíochta Slándála Faisnéise (ISMS) dea-churtha i bhfeidhm bunaithe ar ISO 27001.

Is é an sprioc deiridh staid ina bhfuil an eagraíocht in ann cur isteach TFC a sheasamh, freagairt dó agus téarnamh uaidh go muiníneach, agus a sócmhainní agus a seirbhísí criticiúla á gcosaint aici. Éilíonn sé seo tuiscint dhomhain ar na próisis ghnó agus ar an teicneolaíocht atá mar bhonn leo. Mar a leagann Zenith Controls amach, is é cuspóir na rialachán seo bonneagar digiteach láidir a chruthú ar fud an AE.

Is é príomhchuspóir Threoir NIS2 leibhéal ard coiteann cibearshlándála a bhaint amach ar fud an Aontais. Tá sé mar aidhm aici athléimneacht agus cumais freagartha do theagmhais na hearnála poiblí agus na hearnála príobháidí araon a fheabhsú.

Ciallaíonn an “leibhéal ard coiteann” seo a bhaint amach clár slándála cuimsitheach a chur chun feidhme a chumhdaíonn rialachas, bainistíocht riosca, cosaint sócmhainní, freagairt do theagmhais agus slándáil soláthraithe. Beidh líne shoiléir radhairc ag eagraíocht aibí ó fhonn riosca ar leibhéal an bhoird síos go rialuithe teicniúla sonracha. Ní shíneoidh an bhainistíocht an buiséad amháin; glacfaidh sí páirt ghníomhach i gcinntí bainistíochta riosca, mar a éilíonn NIS2 (Article 20) agus DORA (Article 5) araon.

Sainmhínítear an staid idéalach seo le slándáil réamhghníomhach faoi stiúir faisnéise. In ionad freagairt d’fholáirimh amháin, bailíonn agus anailísíonn an eagraíocht faisnéis bhagairtí go gníomhach chun ionsaithe féideartha a thuar agus a mhaolú. Tá sé seo ailínithe go díreach le ISO/IEC 27002:2022 Rialú 5.7 (faisnéis bhagairtí), cleachtas atá anois ina ionchas sainráite faoin dá rialachán nua.

Ina theannta sin, déantar athléimneacht a thástáil; ní ghlactar léi mar réamhthoimhde. Is éard atá i gceist le “maith” ná eagraíocht a dhéanann tástálacha réadúla go rialta ar a pleananna freagartha teagmhas agus leanúnachais gnó. I gcás eintitis airgeadais ainmnithe faoi DORA, d’fhéadfadh sé seo síneadh chuig ard-tástáil treáite faoi stiúir bagairtí (TLPT), insamhladh dian ar chásanna ionsaithe fíorshaoil. Ní bheidh gach eagraíocht faoi raon feidhme, ach dóibh siúd atá ann, is ceanglas ceangailteach é TLPT. Cinntíonn an cultúr tástála seo nach doiciméid theoiriciúla amháin iad na pleananna, ach treoracha oibríochtúla inghníomhaithe a oibríonn faoi bhrú.

Nascadh le téamaí rialaithe ISO 27001:2022

Is iad rialuithe Iarscríbhinn A de ISO 27001:2022, mar a mhínítear in ISO/IEC 27002:2022, cnámh droma ISMS nua-aimseartha. Mar a aibhsítear in Zenith Controls: An Treoir um Chomhlíonadh Trasrialála,

Déantar tagairt dhíreach do rialuithe amhail A.5.7 (Faisnéis bhagairtí), A.5.23 (Slándáil faisnéise maidir le húsáid seirbhísí néalríomhaireachta), agus A.5.29 (Slándáil faisnéise le linn cur isteach) i dtreoir cur chun feidhme NIS2 agus DORA araon, rud a leagann béim ar a lárnacht don chomhlíonadh trasrialála. Tá eagraíochtaí a chuireann na rialuithe seo chun feidhme go hiomlán agus a sholáthraíonn fianaise orthu i suíomh láidir, ach ní mór dóibh fós aghaidh a thabhairt ar na sainorduithe sonracha tuairiscithe, rialachais agus athléimneachta a tugadh isteach leis na rialacháin nua.

An bealach praiticiúil: treoir céim ar chéim

D’fhéadfadh cuma ollmhór a bheith ar chomhlíonadh NIS2 agus DORA a bhaint amach, ach éiríonn sé inbhainistithe nuair a bhristear síos é ina phríomhfhearainn slándála. Trí chur chuige struchtúrtha ISMS atá ailínithe le ISO 27001 a úsáid, is féidir le heagraíochtaí na cumais riachtanacha a thógáil go córasach. Seo bealach praiticiúil chun cinn, faoi threoir beartas seanbhunaithe agus dea-chleachtas.

1. Rialachas agus cuntasacht láidir a bhunú

Cuireann an dá rialachán freagracht deiridh ar an “gcomhlacht bainistíochta”. Ciallaíonn sé seo nach féidir cibearshlándáil a tharmligean chuig an roinn TF amháin a thuilleadh. Ní mór don bhord an creat bainistíochta riosca cibearshlándála a thuiscint, a mhaoirsiú agus a fhaomhadh.

Is é an chéad chéim an struchtúr seo a fhoirmliú. Ní mór do bheartais d’eagraíochta an cur chuige ó bharr anuas seo a léiriú. De réir P01S Beartas um Bheartais Slándála Faisnéise - FBM, doiciméad bunúsach d’aon ISMS, éilíonn an creat beartais féin formhuiniú sainráite ón mbarr.

Ní mór don bhainistíocht beartais slándála faisnéise a fhaomhadh; ní mór iad a fhoilsiú agus a chur in iúl d’fhostaithe agus do pháirtithe seachtracha ábhartha.

Ciallaíonn sé sin go bhfuil an bhainistíocht páirteach go gníomhach i dtreo a shocrú. Neartaítear é seo tuilleadh trí róil shoiléire a shainiú. Deir P02S Beartas um Róil agus Freagrachtaí Rialachais - FBM go “ní mór freagrachtaí slándála faisnéise a shainiú agus a leithdháileadh,” rud a chinntíonn nach bhfuil aon débhríocht ann faoi cé leis atá gach gné den chlár slándála. I gcás NIS2 agus DORA, ní mór duine ainmnithe nó coiste ainmnithe a bheith san áireamh leis seo, atá freagrach as tuairisciú go díreach don chomhlacht bainistíochta ar stádas comhlíonta.

Príomhghníomhartha:

• Urraitheoir ar leibhéal an bhoird a shannadh don chibearshlándáil agus don athléimneacht.
• Athbhreithnithe rialta boird ar fheidhmíocht ISMS agus ar chomhlíonadh rialála a sceidealú.
• Cinntí, gníomhartha agus fianaise ar mhaoirseacht a dhoiciméadú.

2. Creat cuimsitheach bainistíochta riosca a chur chun feidhme

Déan do phróiseas measúnaithe riosca a athmheasúnú agus a nuashonrú. Mar a leagtar amach sa Treoir Cur Chun Feidhme don Mhodheolaíocht Measúnaithe Riosca, “Éilíonn NIS2 agus DORA measúnuithe riosca dinimiciúla faoi stiúir bagairtí a théann níos faide ná athbhreithnithe statacha bliantúla. Ní mór d’eagraíochtaí faisnéis bhagairtí (A.5.7) a chomhtháthú agus a chinntiú go nuashonraítear measúnuithe riosca mar fhreagairt ar athruithe sa tírdhreach bagairtí nó sa timpeallacht ghnó.” Zenith Controls. Téann NIS2 níos faide ná measúnú riosca ginearálta trí bhearta nithiúla bainistíochta riosca a shainordú in Article 21, lena n-áirítear slándáil slabhra soláthair, láimhseáil teagmhas, leanúnachas gnó agus úsáid cripteagrafaíochta. Ní mór na ceanglais seo a chur chun feidhme go hinléirithe agus a athbhreithniú go rialta, rud a fhágann gur léir nach doiciméadacht amháin atá i gceist le comhlíonadh, ach cleachtais oibríochtúla inléirithe.

Príomhghníomhartha:

• Faisnéis bhagairtí fíor-ama a ionchorprú i measúnuithe riosca.
• A chinntiú go gcumhdaíonn measúnuithe riosca go sainráite slabhra soláthair agus rioscaí tríú páirtí TFC (A.5.29).
• An próiseas athbhreithnithe agus nuashonraithe a dhoiciméadú agus fianaise a sholáthar air.

Ba cheart don phróiseas seo a bheith leanúnach agus atriallach, ní gníomhaíocht ticbhosca bhliantúil. Cuimsíonn sé gach rud ó shlándáil slabhra soláthair go feasacht fostaithe.

3. Freagairt do theagmhais agus tuairisciú a neartú

Éilíonn spriocdhátaí dochta tuairiscithe NIS2 (fógra tosaigh laistigh de 24 uair an chloig) agus scéim mhionsonraithe aicmithe agus tuairiscithe DORA feidhm bainistíochta teagmhas atá an-aibí. Ní leor SOC amháin; teastaíonn plean dea-shainithe agus dea-chleachtaithe.

Soláthraíonn P30S Beartas freagartha do theagmhais - FBM an treoirphlean don chumas seo. Cuireann sé béim ar an méid seo: “Ní mór don eagraíocht pleanáil agus ullmhú do bhainistiú teagmhas slándála faisnéise trí phróisis, róil agus freagrachtaí bainistíochta teagmhas slándála faisnéise a shainiú, a bhunú agus a chur in iúl.” Tá freagairt do theagmhais ina phríomhfhócas ag NIS2 agus DORA araon. Deir an Beartas Bainistíochta Teagmhas Slándála Faisnéise (Roinn 4.2):

Ní mór d’eagraíochtaí nósanna imeachta a chur chun feidhme chun teagmhais a bhrath, a thuairisciú agus freagairt dóibh laistigh de na hamlínte a éilíonn rialacháin infheidhme, agus taifid mhionsonraithe a choinneáil chun críocha iniúchta.

I measc na bpríomheilimintí atá le cur chun feidhme tá:

• Sainmhíniú soiléir ar “theagmhas suntasach” a chuireann clog tuairiscithe NIS2 agus DORA ar siúl.
• Bealaí cumarsáide réamhshainithe agus teimpléid chun tuairisciú do rialálaithe, CSIRTanna agus páirtithe leasmhara eile.
• Druileanna rialta agus cleachtaí deisce chun a chinntiú gur féidir leis an bhfoireann freagartha an plean a chur i bhfeidhm go héifeachtach faoi bhrú.
• Próisis athbhreithnithe iar-theagmhais chun foghlaim ó gach imeacht agus an cumas freagartha a fheabhsú go leanúnach.

4. Bainistíocht riosca slabhra soláthair agus tríú páirtithe a threisiú

Ardaíonn DORA, go háirithe, bainistíocht riosca tríú páirtí TFC ó ghníomhaíocht dícheall cuí go disciplín lárnach athléimneachta oibríochtúla. Tá eintitis airgeadais freagrach go sainráite anois as athléimneacht a soláthraithe criticiúla TFC. Éilíonn NIS2 freisin ar eintitis aghaidh a thabhairt ar rioscaí a eascraíonn óna soláthraithe.

Éilíonn Beartas Slándála Tríú Páirtithe agus Soláthraithe, Roinn 5.2 - FBM an méid seo:

Roimh rannpháirtíocht, ní mór gach soláthraí a athbhreithniú maidir le rioscaí féideartha.

Leagann sé amach freisin na rialuithe riachtanacha, agus deir sé: “Ní mór ceanglais na heagraíochta maidir le slándáil faisnéise a chomhaontú le soláthraithe agus a dhoiciméadú.” I gcás DORA agus NIS2, téann sé seo níos faide:

• Clár de gach soláthraí tríú páirtí TFC a choinneáil, le hidirdhealú soiléir dóibh siúd a mheastar a bheith “criticiúil.”
• A chinntiú go n-áirítear clásail shonracha i gconarthaí lena gcumhdaítear rialuithe slándála, cearta iniúchta agus straitéisí scoir. Tá DORA thar a bheith saintreorach ina leith seo.
• Measúnuithe riosca rialta a dhéanamh ar sholáthraithe criticiúla, ní hamháin ag tús an chaidrimh ach ar feadh shaolré an chaidrimh.
• Pleananna teagmhasacha a fhorbairt i gcás teip nó foirceannadh caidrimh le soláthraí criticiúil chun leanúnachas seirbhíse a chinntiú.

5. Tógáil agus tástáil don athléimneacht

Ar deireadh, baineann an dá rialachán go bunúsach le hathléimneacht. Ní mór d’eagraíocht a bheith in ann oibríochtaí criticiúla a choinneáil ar bun le linn teagmhas cibearshlándála agus ina dhiaidh. Éilíonn sé seo clár cuimsitheach bainistíochta leanúnachais gnó (BCM).

Cuireann Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste - FBM béim ar an ngá le slándáil a leabú i bpleanáil BCM. Deir sé: “Ní mór don eagraíocht a ceanglais maidir le slándáil faisnéise agus leanúnachas bainistíochta slándála faisnéise i gcásanna díobhálacha a chinneadh.” Ciallaíonn sé seo nach mór pleananna BCM agus athshlánaithe ó thubaiste (DR) a dhearadh agus cibearionsaithe san áireamh. I measc na bpríomhghníomhartha tá:

• Anailísí tionchair ar ghnó (BIAanna) a dhéanamh chun próisis chriticiúla agus a gcuspóirí ama athshlánaithe (RTOanna) a shainaithint.
• Pleananna BCM agus DR a fhorbairt agus a dhoiciméadú atá soiléir, inghníomhaithe agus inrochtana.
• Na pleananna seo a thástáil go rialta trí chásanna réadúla, lena n-áirítear insamhaltaí cibearionsaithe. Is é ceanglas DORA maidir le tástáil treáite faoi stiúir bagairtí d’eintitis ainmnithe buaicphointe an chleachtais seo.

Trí na céimeanna seo a leanúint agus iad a leabú laistigh de ISMS atá ailínithe le ISO 27001, is féidir le heagraíochtaí clár comhlíonta inchosanta agus éifeachtach a thógáil a chomhlíonann an caighdeán ard atá leagtha síos ag NIS2 agus DORA araon.

Na naisc a dhéanamh: léargais maidir le comhlíonadh trasrialála

Ceann de na bealaí is éifeachtaí chun dul i ngleic le NIS2 agus DORA ná a bhforluí suntasach le caighdeáin atá aitheanta go domhanda cheana féin a aithint, go háirithe creat ISO/IEC 27001 agus 27002. Trí na rialacháin nua seo a fheiceáil trí lionsa rialuithe ISO, is féidir le heagraíochtaí leas a bhaint as a n-infheistíochtaí ISMS atá ann cheana agus gan an roth a athcheapadh.

Soláthraíonn Zenith Controls crostagairtí criticiúla a léiríonn na naisc seo, agus taispeánann sé conas is féidir le rialú aonair ó ISO/IEC 27002:2022 cabhrú le ceanglais ó rialacháin iolracha a shásamh.

Rialachas agus beartas (ISO/IEC 27002:2022 Rialú 5.1): Is bunchloch de NIS2 agus DORA araon é an sainordú maidir le maoirseacht an chomhlachta bainistíochta. Tá sé seo ailínithe go foirfe le Rialú 5.1, a dhíríonn ar bheartais shoiléire a bhunú don tslándáil faisnéise. Mar a mhíníonn Zenith Controls, tá an rialú seo bunúsach chun tiomantas ceannaireachta a léiriú.

Tacaíonn an rialú seo go díreach le NIS2 Article 20, a dhéanann comhlachtaí bainistíochta cuntasach as maoirseacht a dhéanamh ar chur chun feidhme beart bainistíochta riosca cibearshlándála. Tá sé ailínithe freisin le DORA Article 5, a éilíonn ar an gcomhlacht bainistíochta an creat athléimneachta oibríochtúla digití a shainiú, a fhaomhadh agus a mhaoirsiú.

Trí chreat láidir beartais a chur chun feidhme atá faofa agus athbhreithnithe go rialta ag an gceannaireacht, cruthaítear an phríomhfhianaise atá riachtanach chun na hairteagail thábhachtacha rialachais seo a shásamh.

Bainistíocht teagmhas (ISO/IEC 27002:2022 Rialú 5.24): Tugtar aghaidh go díreach ar cheanglais dhúshlánacha tuairiscithe teagmhas an dá rialachán trí phlean aibí bainistíochta teagmhas a bheith ann. Soláthraíonn Rialú 5.24 (pleanáil agus ullmhúchán bainistíochta teagmhas slándála faisnéise) an struchtúr chuige seo. Tá an t-ailíniú sainráite:

Tá an rialú seo riachtanach do chomhlíonadh NIS2 Article 21(2), a shainordaíonn bearta chun teagmhais slándála a láimhseáil, agus Article 23, a leagann amach amlínte dochta tuairiscithe teagmhas. Mapálann sé freisin chuig próiseas mionsonraithe bainistíochta teagmhas DORA a thuairiscítear in Article 17, lena n-áirítear teagmhais mhóra a bhaineann le TFC a aicmiú agus a thuairisciú.

Ní dea-chleachtas amháin é plean freagartha teagmhas atá dea-dhoiciméadaithe agus tástáilte bunaithe ar an rialú seo; is réamhriachtanas díreach é do chomhlíonadh NIS2 agus DORA.

Riosca tríú páirtí TFC (ISO/IEC 27002:2022 Rialú 5.19): Tá dianfhócas DORA ar an slabhra soláthair ar cheann dá ghnéithe sainithe. Soláthraíonn Rialú 5.19 (slándáil faisnéise i gcaidrimh soláthraithe) an creat chun na rioscaí seo a bhainistiú. Leagann Zenith Controls béim ar an nasc criticiúil seo:

Tá an rialú seo bunúsach chun aghaidh a thabhairt ar na ceanglais fhairsinge i DORA Chapter V maidir le riosca tríú páirtí TFC a bhainistiú. Tacaíonn sé freisin le NIS2 Article 21(2)(d), a éilíonn ar eintitis slándáil a slabhraí soláthair a chinntiú, lena n-áirítear caidrimh idir gach eintiteas agus a sholáthraithe díreacha.

Trí na próisis a thuairiscítear i Rialú 5.19 a chur chun feidhme, amhail scagadh soláthraithe, comhaontuithe conarthacha agus faireachán leanúnach, tógtar na cumais bheachta a éilíonn DORA agus NIS2.

Leanúnachas gnó (ISO/IEC 27002:2022 Rialú 5.30): Ina chroílár, baineann DORA le hathléimneacht. Is é Rialú 5.30 (ullmhacht TFC do leanúnachas gnó) coibhéis ISO den phrionsabal seo. Tá an nasc díreach agus láidir.

Is é an rialú seo an bhunchloch chun croíchuspóir DORA a bhaint amach, is é sin leanúnachas gnó agus athléimneacht chóras TFC a chinntiú. Tacaíonn sé go díreach leis na ceanglais a leagtar amach i DORA Chapter III (Tástáil Athléimneachta Oibríochtúla Digití) agus Chapter IV (Bainistiú Riosca Tríú Páirtí TFC). Tá sé ailínithe freisin le NIS2 Article 21(2)(e), a shainordaíonn beartais maidir le leanúnachas gnó, amhail bainistíocht cúltaca agus athshlánú ó thubaiste.

Trí do chlár BCM a thógáil timpeall ar an rialú seo, tá tú ag tógáil an bhoinn do chomhlíonadh DORA ag an am céanna. Léiríonn sé seo nach rian comhthreomhar amháin é ISO 27001, ach cumasóir díreach chun éilimh rialála nua na hEorpa a chomhlíonadh.

Sracfhéachaint: Iarscríbhinn A ISO 27001 vs NIS2 vs DORA

Léiríonn an t-ailíniú seo conas is féidir le rialú ISO aonair cabhrú le héilimh rialála iolracha a shásamh, rud a fhágann gur cumasóir díreach é ISO 27001 do chomhlíonadh NIS2 agus DORA.

Ag ullmhú don iniúchadh: cad a iarrfaidh iniúchóirí

Nuair a thiocfaidh rialálaithe nó iniúchóirí ag cnagadh ar an doras, beidh siad ag lorg fianaise inláimhsithe ar chlár slándála agus athléimneachta atá beo agus gníomhach, ní sraith doiciméad amháin. Fiosróidh siad cruthúnas go bhfuil do bheartais curtha chun feidhme, go bhfuil do rialuithe éifeachtach, agus go bhfuil do phleananna tástáilte. Trí thuiscint a fháil ar a bhfócas, is féidir leat an fhianaise cheart a ullmhú agus a chinntiú go bhfuil do chuid foirne réidh le ceisteanna deacra a fhreagairt.

Soláthraíonn treoir ó Zenith Blueprint, treochlár don iniúchóir, léargas fíorluachmhar ar a mbeifear ag súil leis. Oibreoidh iniúchóirí go córasach trí phríomhfhearainn, agus ní mór duit a bheith ullamh do gach ceann acu.

Seo seicliosta de na rudaí a iarrfaidh iniúchóirí agus de na rudaí a dhéanfaidh siad, bunaithe ar a modheolaíocht:

1. Rialachas agus tiomantas bainistíochta:

• Cad a iarrfaidh siad: Miontuairiscí cruinnithe boird, cairtí coistí riosca, agus cóipeanna sínithe de na príomhbheartais slándála faisnéise.
• Cad a dhéanfaidh siad: Mar a thuairiscítear i “Céim 1, Céim 3: An creat rialachais a thuiscint” de chuid Zenith Blueprint, “fíoróidh” iniúchóirí “go bhfuil an comhlacht bainistíochta tar éis beartas ISMS a fhaomhadh go foirmiúil agus go gcuirtear ar an eolas go rialta é faoi sheasamh riosca na heagraíochta.” Tá siad ag lorg fianaise ar rannpháirtíocht ghníomhach, ní síniú amháin ar dhoiciméad bliain d’aois.

2. Bainistíocht riosca tríú páirtí:

• Cad a iarrfaidh siad: Fardal iomlán de sholáthraithe TFC, conarthaí le soláthraithe criticiúla, tuarascálacha measúnaithe riosca soláthraithe, agus fianaise ar fhaireachán leanúnach.
• Cad a dhéanfaidh siad: Le linn “Céim 4, Céim 22: Measúnú a dhéanamh ar Bhainistíocht Riosca Tríú Páirtí,” tá fócas an iniúchóra ar dhícheall cuí agus ar dhéine chonarthach. Tugann Zenith Blueprint faoi deara an phríomhfhianaise atá riachtanach: “Conarthaí, Comhaontuithe Leibhéal Seirbhíse, agus tuarascálacha iniúchta ó sholáthraithe.” Scrúdóidh siad na doiciméid seo chun a chinntiú go bhfuil na clásail shonracha a shainordaíonn DORA iontu, amhail cearta iniúchta agus oibleagáidí soiléire slándála.

3. Pleananna freagartha teagmhas agus leanúnachais gnó:

• Cad a iarrfaidh siad: Do phlean freagartha teagmhas, Plean Leanúnachais Gnó, plean athshlánaithe ó thubaiste, agus, thar aon rud eile, torthaí do thástálacha, druileanna agus insamhaltaí is déanaí.
• Cad a dhéanfaidh siad: Ní léifidh iniúchóirí do phleananna amháin. Mar a mhínítear i “Céim 3, Céim 15: Athbhreithniú a dhéanamh ar Phleananna Freagartha Teagmhas agus Leanúnachais Gnó,” is é a bhfócas “Tástáil agus bailíochtú pleananna.” Iarrfaidh siad tuarascálacha iargnímh ó chleachtaí deisce, torthaí tástála treáite (go háirithe tuarascálacha TLPT le haghaidh DORA), agus fianaise gur rianaíodh fionnachtana ó na tástálacha sin go gníomhartha ceartaitheacha. I súile iniúchóra, is ionann plean nár tástáladh riamh agus gan plean a bheith ann ar chor ar bith.

4. Feasacht slándála agus oiliúint:

• Cad a iarrfaidh siad: Ábhair oiliúna, taifid chríochnaithe do ghrúpaí éagsúla fostaithe (lena n-áirítear an comhlacht bainistíochta), agus torthaí ó insamhaltaí fioscaireachta.
• Cad a dhéanfaidh siad: I “Céim 2, Céim 10: Measúnú a dhéanamh ar Fheasacht Slándála agus Oiliúint,” déanfaidh iniúchóirí “éifeachtacht an chláir oiliúna a mheas trí athbhreithniú a dhéanamh ar a inneachar, a mhinicíocht agus a rátaí críochnaithe.” Beidh siad ag iarraidh a fheiceáil go bhfuil an oiliúint saincheaptha do róil shonracha agus go ndéantar a héifeachtacht a thomhas.

Má tá an fhianaise seo ullmhaithe agat roimh ré, athróidh sé iniúchadh ó rás strusmhar imoibríoch go léiriú réidh ar aibíocht agus ar thiomantas d’eagraíochta don athléimneacht.

Gaistí coitianta

Cé go bhfuil an bealach chuig comhlíonadh NIS2 agus DORA soiléir, féadfaidh roinnt gaistí coitianta iarrachtaí dea-intinne fiú a chur ó rian. Is é a bheith feasach ar na gaistí seo an chéad chéim chun iad a sheachaint.

1. An meon “TF amháin”: Is é an botún is coitianta ná NIS2 agus DORA a láimhseáil mar fhadhb don roinn TF nó don roinn cibearshlándála amháin. Is rialacháin ar leibhéal gnó iad seo atá dírithe ar athléimneacht oibríochtúil. Gan tacaíocht agus rannpháirtíocht ghníomhach ón gcomhlacht bainistíochta agus ó cheannairí aonaid ghnó, teipfidh ar aon iarracht comhlíonta aghaidh a thabhairt ar chroícheanglais rialachais agus úinéireachta riosca.

2. An slabhra soláthair a mheas faoina luach: Tá dallspota ag go leor eagraíochtaí maidir le fíormhéid a spleáchais ar sholáthraithe tríú páirtí TFC. Éilíonn DORA, go háirithe, tuiscint dhomhain uileghabhálach ar an éiceachóras seo. Ní leor ceistneoir slándála a sheoladh amach a thuilleadh. Is bearna mhór chomhlíonta é mainneachtain gach soláthraí criticiúil a shainaithint i gceart agus ceanglais láidre slándála agus athléimneachta a leabú i gconarthaí.

3. Athléimneacht “ar pháipéar”: Pleananna mionsonraithe freagartha teagmhas agus leanúnachais gnó a chruthú a fhéachann go maith ar pháipéar ach nár tástáladh riamh i gcás réadúil. Feicfidh iniúchóirí agus rialálaithe tríd seo láithreach. Cruthaítear athléimneacht trí ghníomh, ní trí dhoiciméadacht. Is comhartha rabhaidh é easpa tástála rialta, dian nach bhfuil d’eagraíocht ullamh do ghéarchéim fhíor.

4. Neamhaird a dhéanamh ar fhaisnéis bhagairtí: Is cluiche caillte é freagairt do bhagairtí amháin. Éilíonn NIS2 agus DORA, go hintuigthe agus go sainráite, cur chuige níos réamhghníomhaí faoi stiúir faisnéise i leith slándála. Beidh deacracht ag eagraíochtaí nach mbunaíonn próiseas chun faisnéis bhagairtí a bhailiú, a anailísiú agus gníomhú uirthi a léiriú go bhfuil siad ag bainistiú riosca go héifeachtach, agus beidh siad céim amháin taobh thiar d’ionsaitheoirí i gcónaí.

5. Comhlíonadh a láimhseáil mar thionscadal aonuaire: Ní tionscadail le dáta deiridh iad NIS2 agus DORA. Bunaíonn siad ceanglas leanúnach maidir le faireachán, tuairisciú agus feabhsú leanúnach. Tiocfaidh eagraíochtaí a fheiceann é seo mar rás chuig an spriocdháta, agus a laghdaíonn acmhainní ina dhiaidh sin, as comhlíonadh go tapa agus beidh siad neamhullamh don chéad iniúchadh eile nó, níos measa fós, don chéad teagmhas eile.

Na chéad chéimeanna eile

Maratón, ní ráib ghearr, is ea an turas chuig comhlíonadh NIS2 agus DORA. Éilíonn sé cur chuige straitéiseach struchtúrtha atá bunaithe ar chreataí cruthaithe. Is é an bealach is éifeachtaí chun cinn ná rialuithe cuimsitheacha ISO 27001 a úsáid mar bhonn.

1. Déan anailís bearnaí: Tosaigh trí do sheasamh reatha a mheas i gcoinne cheanglais NIS2, DORA agus ISO 27001. Soláthraíonn ár bpríomhthreoir, Zenith Controls, an mhapáil mhionsonraithe atá uait chun a thuiscint cá gcomhlíonann do rialuithe na ceanglais agus cá bhfuil bearnaí ann.

2. Tóg do ISMS: Mura bhfuil ceann agat cheana féin, bunaigh Córas Bainistíochta Slándála Faisnéise foirmiúil. Úsáid ár sraith teimpléad beartais, amhail Pacáiste iomlán FBM - FBM nó Pacáiste iomlán fiontair, chun forbairt do chreata rialachais a luathú.

3. Ullmhaigh d’iniúchtaí: Glac le meon iniúchóra ón gcéad lá. Úsáid Zenith Blueprint chun tuiscint a fháil ar an gcaoi a scrúdófar do chlár agus chun an bonn fianaise a thógáil atá uait chun comhlíonadh a léiriú go muiníneach.

Conclúid

Is tráth cinniúnach don chibearshlándáil agus don athléimneacht oibríochtúil san Eoraip é teacht Threoir NIS2 agus Rialachán DORA. Ní nuashonruithe incriminteacha amháin ar rialacha atá ann cheana iad, ach athmhúnlú bunúsach ar ionchais rialála, agus iad ag éileamh cuntasacht níos mó ón gceannaireacht, scrúdú níos doimhne ar an slabhra soláthair, agus tiomantas inláimhsithe don athléimneacht.

Cé go bhfuil an dúshlán suntasach, is deis é freisin. Is deis é dul níos faide ná comhlíonadh ticbhosca agus staid slándála fíorláidir a thógáil a shásaíonn rialálaithe agus a chosnaíonn an gnó freisin ar bhagairt mhéadaitheach an chur isteach. Trí chur chuige struchtúrtha bunaithe ar riosca ISO 27001 a úsáid, is féidir le heagraíochtaí clár aonair aontaithe a thógáil a thugann aghaidh go héifeachtúil agus go héifeachtach ar chroícheanglais an dá rialachán. Éilíonn an bealach chun cinn tiomantas, infheistíocht agus athrú cultúrtha ó bharr anuas, ach is í an toradh eagraíocht nach bhfuil comhlíontach amháin, ach atá fíor-athléimneach in aghaidh bagairtí digiteacha nua-aimseartha.