Mapáil fianaise NIS2 chuig ISO 27001:2022 le haghaidh 2026

Ní feasacht í fadhb NIS2 in 2026, ach cruthúnas

Maidin Dé Luain atá ann, 08:35. Téann Maria, an CISO nuacheaptha ag soláthraí B2B néalríomhaireachta agus seirbhísí bainistithe atá ag fás go tapa, isteach i gcruinniú ráithiúil riosca an bhoird agus measúnú bearnaí NIS2 tiubh oscailte aici ar a ríomhaire glúine. Tá cuma dhearfach ar an gcéad sleamhnán. Tá beartais ann. Tá measúnú riosca ann. Tá freagairt do theagmhais doiciméadaithe. Tá soláthraithe liostaithe. Ritheann scanadh leochaileachtaí gach mí.

Ansin cuireann an cathaoirleach an cheist a athraíonn an cruinniú:

“An féidir linn a chruthú gur oibrigh na bearta seo sa ráithe seo caite, agus an féidir linn a thaispeáint cé na rialuithe ISO 27001:2022, úinéirí agus taifid a thacaíonn le gach oibleagáid NIS2?”

Éiríonn an seomra ciúin.

Tá a fhios ag an bhfoireann dlí go dtagann an chuideachta faoi raon feidhme NIS2 toisc go soláthraíonn sí seirbhísí TFC bainistithe agus seirbhísí néalríomhaireachta do chustaiméirí san AE. Tá a fhios ag an bhfeidhm chomhlíonta go n-éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla bainistithe riosca cibearshlándála. Tá a fhios ag an bhfoireann oibríochtaí go ndéanann an fhoireann córais a phaisteáil, soláthraithe a athbhreithniú agus logaí a fhaire. Ach tá an fhianaise scaipthe ar chórais ticéadaithe, easpórtálacha SIEM, fillteáin bheartais, scarbhileoga, consóil néil, tairseacha soláthraithe agus nótaí cruinnithe.

Ní féidir le haon duine slabhra inchosanta a léiriú go tapa ó Article 21 de NIS2 chuig raon feidhme, riosca, rialú, beartas, úinéir, nós imeachta, taifead oibríochta agus fionnachtain iniúchta ISO 27001:2022.

Sin é fíordhúshlán 2026.

Ní bhíonn go leor eagraíochtaí ag fiafraí a thuilleadh, “An bhfuilimid faoi raon feidhme NIS2?” Tá ceist níos deacra á cur acu: “An féidir linn a chruthú go n-oibríonn ár mbearta teicniúla NIS2 i ndáiríre?” Ní féidir gurb é scarbhileog mhapála aonuaire an freagra. Ní mór dó a bheith ina shamhail oibriúcháin bheo laistigh den Chóras Bainistíochta Slándála Faisnéise, áit a n-aistrítear oibleagáidí dlíthiúla ina rioscaí, beartais, rialuithe, úinéirí, fianaise agus feabhsú leanúnach.

Úsáideann samhail Clarysec ISO/IEC 27001:2022 mar chnámh droma an chórais bainistíochta, Article 21 de NIS2 mar shraith oibleagáidí rialála, clásail bheartais mar leabhar rialacha oibríochta, Zenith Blueprint: treochlár 30 céim d’iniúchóir mar chonair cur chun feidhme, agus Zenith Controls: an treoir thraschomhlíonta mar mhapa traschomhlíonta do ISO 27001:2022, NIS2, DORA, GDPR, NIST CSF agus dearbhú ar nós COBIT.

Tosaigh leis an raon feidhme, mar tosaíonn fianaise NIS2 roimh rialuithe

Teip choitianta NIS2 is ea léim díreach chuig MFA, logáil, freagairt do theagmhais agus bainistíocht leochaileachtaí sula ndeimhnítear raon feidhme an eintitis, raon feidhme na seirbhíse agus raon feidhme na dlínse.

Baineann NIS2 le heintitis phoiblí agus phríobháideacha chumhdaithe in earnálacha rialáilte a chomhlíonann critéir méide agus gníomhaíochta, agus le cineálacha áirithe eintiteas beag beann ar mhéid. I measc na gcatagóirí digiteacha agus TFC ábhartha tá soláthraithe seirbhísí néalríomhaireachta, soláthraithe seirbhísí lárionad sonraí, soláthraithe líonraí seachadta inneachair, soláthraithe seirbhísí iontaoibhe, soláthraithe cumarsáidí leictreonacha poiblí, Soláthraithe Seirbhísí Bainistithe, soláthraithe seirbhísí slándála bainistithe, margaí ar líne, innill chuardaigh ar líne agus ardáin líonraithe shóisialta.

Do sholáthraithe néil, ardáin SaaS, MSPanna, MSSPanna agus soláthraithe bonneagair dhigitigh, ní obair theoiriciúil í an obair raon feidhme seo. Éilíonn Article 3 ar Bhallstáit idirdhealú a dhéanamh idir eintitis riachtanacha agus thábhachtacha. Éilíonn Article 27 ar ENISA clárlann a chothabháil do roinnt soláthraithe digiteacha agus TFC, lena n-áirítear soláthraithe seirbhíse DNS, clárlanna ainmneacha TLD, soláthraithe seirbhíse clárúcháin ainmneacha fearainn, soláthraithe seirbhísí néalríomhaireachta, soláthraithe seirbhísí lárionad sonraí, soláthraithe líonraí seachadta inneachair, Soláthraithe Seirbhísí Bainistithe, soláthraithe seirbhísí slándála bainistithe, margaí ar líne, innill chuardaigh ar líne agus ardáin líonraithe shóisialta.

Tugann ISO 27001:2022 an struchtúr ceart. Éilíonn clásail 4.1 go 4.4 ar an eagraíocht saincheisteanna seachtracha agus inmheánacha, páirtithe leasmhara, ceanglais, comhéadain agus spleáchais a thuiscint, agus raon feidhme an ISMS a shainiú ansin. Ní mór NIS2 a thaifeadadh anseo, seachas é a fhágáil i meamram dlí.

Ba cheart na nithe seo a leanas a bheith i dtaifead praiticiúil raon feidhme NIS2:

• Anailís ar eintiteas dlíthiúil agus bunú san AE
• Earnáil NIS2 agus catagóir seirbhíse
• Stádas mar eintiteas riachtanach nó tábhachtach, nuair atá sé deimhnithe le dlí náisiúnta nó le hainmniú údaráis
• Ábharthacht chlár ENISA, nuair is infheidhme
• Seirbhísí criticiúla a sheachadtar do chustaiméirí
• Córais líonra agus faisnéise a thacaíonn leis na seirbhísí sin
• Spleáchais ar sholáthraithe néil, lárionad sonraí, teileachumarsáide, faireacháin slándála, aitheantais agus bogearraí
• Naisc le DORA, GDPR, conarthaí custaiméirí agus oibleagáidí earnáilsonracha
• Stórtha fianaise, úinéirí córais agus minicíocht athbhreithnithe

Seo freisin an áit nach mór DORA a dheighilt i gceart. Aithníonn NIS2, i gcás ina bhforchuireann gníomh dlí AE earnáilsonrach oibleagáidí coibhéiseacha bainistithe riosca cibearshlándála nó fógra teagmhais, go mbeidh feidhm ag an gcóras earnáilsonrach sin in ionad na bhforálacha comhfhreagracha NIS2. I gcás eintitis airgeadais chumhdaithe, is é DORA de ghnáth an córas oibríochtúil cibearshlándála agus tuairiscithe teagmhas TFC. Tá feidhm ag DORA ón 17 Eanáir 2025 agus clúdaíonn sé bainistíocht riosca TFC, tuairisciú teagmhas, tástáil athléimneachta oibríochtúla digití, riosca tríú páirtí TFC agus maoirseacht ar sholáthraithe criticiúla tríú páirtí TFC.

Dá bhrí sin, d’fhéadfadh cóireálacha comhlíonta éagsúla a bheith ag grúpa fintech laistigh d’aon struchtúr corparáideach amháin. D’fhéadfadh an t-eintiteas íocaíochta a bheith faoi DORA go príomha. D’fhéadfadh an fhochuideachta MSP a bheith díreach faoi NIS2. D’fhéadfadh ardán néil comhroinnte tacú leis an dá cheann. Ní rialuithe dúblacha an freagra aibí. Is samhail fianaise ISMS amháin é ar féidir léi freastal ar iliomad lionsaí rialála.

ISO 27001:2022 mar chóras oibriúcháin comhlíonta NIS2

Éilíonn Article 21 de NIS2 bearta teicniúla, oibríochtúla agus eagraíochtúla cuí agus comhréireacha chun rioscaí do chórais líonra agus faisnéise a bhainistiú agus chun tionchar teagmhas ar fhaighteoirí seirbhíse agus ar sheirbhísí eile a chosc nó a íoslaghdú.

Tá ISO 27001:2022 oiriúnach go maith chun an ceanglas sin a chur i bhfeidhm go hoibríochtúil toisc go gcuireann sé trí dhisciplín i bhfeidhm.

Ar dtús, rialachas. Éilíonn clásail 5.1 go 5.3 tiomantas ón ardbhainistíocht, ailíniú leis an treo straitéiseach, acmhainní, cumarsáid, sannadh freagrachtaí agus beartas doiciméadaithe slándála faisnéise. Ailíníonn sé seo go díreach le Article 20 de NIS2, a éilíonn ar chomhlachtaí bainistíochta bearta bainistithe riosca cibearshlándála a cheadú, maoirseacht a dhéanamh ar chur chun feidhme agus oiliúint a fháil.

Ar an dara dul síos, cóireáil riosca. Éilíonn clásail 6.1.1 go 6.1.3 próiseas measúnaithe riosca in-athdhéanta, úinéirí riosca, meastóireacht riosca, roghanna cóireála, roghnú rialuithe bunaithe ar riosca, Ráiteas Infheidhmeachta, Plean Cóireála Riosca agus faomhadh ar ghlacadh le riosca iarmharach.

Ar an tríú dul síos, rialú oibríochtúil. Éilíonn clásal 8.1 ar an eagraíocht próisis ISMS a phleanáil, a chur chun feidhme agus a rialú, faisnéis dhoiciméadaithe a chothabháil, athruithe a rialú agus próisis, táirgí agus seirbhísí a sholáthraítear go seachtrach agus atá ábhartha don ISMS a bhainistiú.

Athraíonn sé seo NIS2 ó sheicliosta dlíthiúil ina shamhail oibriúcháin rialaithe.

Tá úinéir, foinse taifid agus modh samplála de dhíth ar gach ró. Má tá siad sin in easnamh, is mian rialaithe atá ag an eagraíocht, ní rialú.

Is sa bheartas a éiríonn NIS2 ina iompar oibríochtúil

Is minic a chaitear le beartais mar theimpléid. Maidir le NIS2, tá sé sin contúirteach. Ní chuirfidh fillteán beartais ina luí ar rialálaí ná ar iniúchóir mura sannann na beartais úinéireacht, mura sainíonn siad taifid, mura nascann siad le rioscaí agus mura dtáirgeann siad fianaise.

Leagann an Beartas um Chomhlíonadh Dlíthiúil agus Rialála fiontraíochta an bunús i gclásal 6.2.1:

Ní mór gach oibleagáid dhlíthiúil agus rialála a mhapáil chuig beartais, rialuithe agus úinéirí sonracha laistigh den Chóras Bainistíochta Slándála Faisnéise (ISMS).

Is é an clásal sin an droichead idir NIS2 agus ISO 27001:2022. Ní liostaítear Article 21 de NIS2 go simplí mar cheanglas seachtrach. Déantar é a mhiondealú ina oibleagáidí beartais, a mhapáil chuig rialuithe, a shannadh d’úinéirí agus a thástáil le fianaise.

Do eagraíochtaí níos lú, coimeádann an Beartas um Chomhlíonadh Dlíthiúil agus Rialála do FBManna an coincheap céanna éadrom. Éilíonn clásal 5.1.1:

Ní mór don Bhainisteoir Ginearálta Clár Comhlíonta simplí struchtúrtha a chothabháil ina liostaítear:

Tá an abairt praiticiúil d’aon ghnó. Ní gá do FBManna cur chun feidhme casta GRC chun tosú. Teastaíonn Clár Comhlíonta uathu a thaifeadann oibleagáid, infheidhmeacht, úinéir, beartas, fianaise agus minicíocht athbhreithnithe.

Tiontaíonn cóireáil riosca an oibleagáid ina gníomh ansin. Deir an Beartas Bainistíochta Riosca fiontraíochta, clásal 6.4.2:

Ní mór don Oifigeach Riosca a chinntiú go bhfuil cóireálacha réalaíoch, faoi theorainn ama, agus mapáilte chuig rialuithe Iarscríbhinn A ISO/IEC 27001.

Do FBManna, tugann an Beartas Bainistíochta Riosca - FBManna, clásal 5.1.2, an taifead riosca íosta inmharthana:

Ní mór na nithe seo a leanas a bheith i ngach iontráil riosca: cur síos, dóchúlacht, tionchar, scór, úinéir agus Plean Cóireála Riosca.

Tá tábhacht leis na clásail seo toisc go bhfuil NIS2 bunaithe go sainráite ar riosca agus ar chomhréireacht. Tá Article 21 ag súil go léireoidh bearta staid na teicneolaíochta, caighdeáin ábhartha, costas cur chun feidhme, nochtadh riosca, méid, dóchúlacht agus déine teagmhais, lena n-áirítear tionchar sochaíoch agus eacnamaíoch. Ní féidir le clár rioscaí gan úinéirí agus pleananna cóireála comhréireacht a chruthú.

Críochnaíonn an Beartas Slándála Faisnéise fiontraíochta prionsabal na fianaise i gclásal 6.6.1:

Ní mór gach rialú a chuirtear chun feidhme a bheith in-iniúchta, tacaithe le nósanna imeachta doiciméadaithe agus le fianaise choinnithe ar oibriú.

Sin é an difríocht idir clár NIS2 a bheith agat agus clár fianaise NIS2 a bheith agat.

Bealach Clarysec ón mapáil go dtí an oibríocht

Tá luach ag baint le Zenith Blueprint toisc go léiríonn sé an chaoi a smaoiníonn iniúchóirí. Ní fhiafraíonn siad amháin an bhfuil rialú ann. Fiafraíonn siad cén fáth ar roghnaíodh é, cá bhfuil sé doiciméadaithe, conas a oibríonn sé, cé leis é, cén fhianaise a chruthaíonn é agus conas a fheabhsaíonn an eagraíocht é.

I gcéim na bainistíochta riosca, insíonn Céim 13 d’fhoirne inrianaitheacht a chur leis idir rioscaí, rialuithe agus clásail:

✓ Mapáil rialuithe chuig rioscaí: I bplean cóireála do Chláir Rioscaí, liostaigh tú rialuithe áirithe do gach riosca. Is féidir leat colún “Tagairt Rialaithe Iarscríbhinn A” a chur le gach riosca agus uimhreacha na rialuithe a liostú.

Maidir le NIS2, ciallaíonn sé seo gur cheart don chlár rioscaí agus don Ráiteas Infheidhmeachta a léiriú cén fáth a bhfuil rialuithe amhail 8.8 Management of technical vulnerabilities, 5.19 Information security in supplier relationships agus 5.24 Incident management planning and preparation infheidhme.

Déanann Céim 14 den Zenith Blueprint an mhapáil rialála follasach:

I gcás gach rialacháin, más infheidhme, féadfaidh tú tábla simplí mapála a chruthú (d’fhéadfadh sé a bheith ina aguisín i dtuarascáil) ina liostaítear príomhcheanglais slándála an rialacháin agus na rialuithe/beartais chomhfhreagracha i do ISMS.

Cuireann sé seo cosc ar ilroinnt. D’fhéadfadh slándáil sonraí pearsanta GDPR, tuairisciú teagmhas NIS2, tástáil athléimneachta TFC DORA agus gealltanais slándála custaiméirí brath ar an bhfianaise chéanna: athbhreithnithe rochtana, leigheas leochaileachtaí, taifid logála, tástálacha cúltaca, athbhreithnithe soláthraithe agus tuarascálacha teagmhas.

Bogann Céim 19 ón dearadh go dtí an oibríocht:

Ceangail gach ceann de na doiciméid seo leis an rialú cuí i do SoA nó i lámhleabhar ISMS. Feidhmeoidh siad seo mar chruthúnas ar chur chun feidhme agus mar thagairt inmheánach.

Áirítear i sraith doiciméadaithe Chéim 19 slándáil críochphointí, bainistíocht rochtana úsáideoirí, fíordheimhniú, bonnlínte cumraíochta sláine, logáil agus faireachán, bainistíocht paistí, bainistíocht leochaileachtaí, pleanáil acmhainne agus tuairisciú oibríochtaí TF. Seo go díreach na doiciméid oibríochtúla atá de dhíth chun bearta teicniúla NIS2 a dhéanamh in-iniúchta.

Míníonn Céim 26 conas ba cheart fianaise iniúchta a bhailiú:

Agus fianaise á bailiú agat, taifead do chuid fionnachtana. Tabhair faoi deara cá gcomhlíonann rudaí an ceanglas (fionnachtana dearfacha) agus cá nach gcomhlíonann siad é (neamhchomhréireachtaí nó breathnóireachtaí féideartha).

Maidir le NIS2, ciallaíonn sé seo fianaise a shampláil sula n-iarrann rialálaí, measúnóir custaiméara nó iniúchóir deimhniúcháin í.

Ról traschomhlíonta Zenith Controls

Ní creat rialaithe ar leith é Zenith Controls. Is treoir thraschomhlíonta Clarysec é chun rialuithe ISO/IEC 27001:2022 agus ISO/IEC 27002:2022 a mhapáil chuig rialuithe gaolmhara, ionchais iniúchta agus creataí seachtracha. Cabhraíonn sé le foirne tuiscint a fháil ar conas is féidir le rialú ISO 27001:2022 amháin tacú le NIS2, DORA, GDPR, NIST CSF 2.0 agus dearbhú ar nós COBIT.

Tá trí rialú ISO 27001:2022 thar a bheith tábhachtach do mhapáil fianaise NIS2.

Is é Rialú 5.1 Policies for information security an pointe iontrála toisc go n-áirítear in Article 21 de NIS2 anailís riosca agus beartais slándála córais faisnéise. Mura léirítear beart teicniúil NIS2 i mbeartas, is deacair é a rialú agus is deacair é a iniúchadh go comhsheasmhach.

Is é Rialú 5.36 Compliance with policies, rules and standards for information security an seiceáil réaltachta. Nascann sé ceanglais bheartais le comhréireacht iarbhír le rialacha inmheánacha, caighdeáin agus oibleagáidí seachtracha. I dtéarmaí NIS2, seo an áit a bhfiafraíonn eagraíocht an bhfuil sí ag déanamh an rud a deir a mapáil Article 21 go ndéanann sí.

Tá Rialú 8.8 Management of technical vulnerabilities ar cheann de na réimsí tástála is deacra in 2026. Tá bainistíocht leochaileachtaí ábhartha go díreach d’fháil, forbairt, cothabháil, láimhseáil leochaileachtaí agus nochtadh slán. Tacaíonn sé freisin le tástáil agus leigheas DORA, cuntasacht slándála GDPR, torthaí Identify agus Protect NIST CSF, agus sampláil iniúchta ISO 27001.

Is féidir le caighdeáin tacaíochta an dearadh a ghéarú gan deimhnithe breise a éileamh. Soláthraíonn ISO/IEC 27002:2022 treoir cur chun feidhme do rialuithe Iarscríbhinn A. Tacaíonn ISO/IEC 27005 le bainistíocht riosca slándála faisnéise. Tacaíonn ISO/IEC 27017 le slándáil néil. Tacaíonn ISO/IEC 27018 le cosaint faisnéise inaitheanta pearsanta i gcás próiseálaithe néil phoiblí. Tacaíonn ISO 22301 le leanúnachas gnó. Tacaíonn ISO/IEC 27035 le bainistíocht teagmhas. Tacaíonn ISO/IEC 27036 le slándáil chaidrimh soláthraithe.

Ní hé níos mó caighdeán ar mhaithe leo féin an cuspóir. Is dearadh fianaise níos fearr an cuspóir.

Sampla praiticiúil: pacáiste fianaise leochaileachta NIS2 a thógáil

Smaoinigh ar ardán SaaS Maria. Freastalaíonn sé ar chustaiméirí déantúsaíochta san AE agus braitheann sé ar sheirbhísí néil, comhpháirteanna foinse oscailte, píblínte CI/CD agus faireachán bainistithe. Deir a tuarascáil bearnaí “bainistíocht leochaileachtaí curtha chun feidhme,” ach tá an fhianaise scaipthe ar scanóirí, Jira, GitHub, uirlisí cumraíochta néil agus ticéid athraithe.

Is féidir pacáiste fianaise atá réidh do NIS2 a thógáil in aon sprint dírithe amháin.

Céim 1: Sainigh an cás riosca

Riosca: is cúis le leochaileacht inshaothraithe i bhfeidhmchlár atá os comhair an idirlín, i spleáchas nó i gcomhpháirt néil cur isteach ar sheirbhísí, rochtain neamhúdaraithe nó nochtadh sonraí custaiméara.

Ba cheart cur síos, dóchúlacht, tionchar, scór, úinéir agus Plean Cóireála Riosca a bheith sa chlár rioscaí. Ba cheart don phlean cóireála tagairt a dhéanamh do rialú ISO 27001:2022 8.8 Management of technical vulnerabilities, chomh maith le rialuithe gaolmhara don fhardal sócmhainní, don fhorbairt shlán, don logáil, don rialú rochtana, don bhainistíocht soláthraithe agus don fhreagairt do theagmhais.

Céim 2: Mapáil an riosca chuig Article 21 de NIS2

Tacaíonn an riosca le ceanglais Article 21 maidir le fáil, forbairt agus cothabháil shlán, láimhseáil leochaileachtaí agus nochtadh, anailís riosca, láimhseáil teagmhas, slándáil slabhra soláthair agus measúnú ar éifeachtacht rialuithe.

Céim 3: Daingnigh na rialacha oibríochta sa bheartas

Úsáid nós imeachta bainistíochta leochaileachtaí, caighdeán forbartha sláine, ceanglais bainistíochta paistí, beartas tástála slándála agus rialacha fianaise iniúchta.

Deir an Beartas Tástála Slándála agus Red Teaming fiontraíochta, clásal 6.1:

Cineálacha tástálacha: Ní mór don chlár tástála slándála, ar a laghad, na nithe seo a leanas a áireamh: (a) scanadh leochaileachtaí, arb éard atá ann scanadh seachtainiúil nó míosúil uathoibrithe ar líonraí agus ar fheidhmchláir chun leochaileachtaí aitheanta a shainaithint; (b) tástáil treáite, arb éard atá ann tástáil láimhe dhomhain ar chórais nó ar fheidhmchláir shonracha ag tástálaithe oilte chun laigí casta a shainaithint; agus (c) cleachtaí red team, arb éard atá iontu insamhaltaí bunaithe ar chásanna d’ionsaithe fíora, lena n-áirítear innealtóireacht shóisialta agus beartaíocht eile, chun cumais bhrath agus freagartha na heagraíochta ina hiomláine a thástáil.

Cruthaíonn an clásal sin bonnlíne tástála inchosanta. Ailíníonn sé freisin le hionchas DORA maidir le tástáil athléimneachta oibríochtúla digití athfhillteach, bunaithe ar riosca, d’eintitis airgeadais chumhdaithe.

Céim 4: Sainigh meiteashonraí fianaise

Deir an Beartas Faireacháin Iniúchta agus Comhlíonta - FBManna, clásal 6.2.3:

Ní mór meiteashonraí (m.sh., cé a bhailigh iad, cathain, agus cén córas as ar bailíodh iad) a dhoiciméadú.

Maidir le fianaise leochaileachta, ba cheart don phacáiste na nithe seo a ghabháil:

• Ainm agus cumraíocht an scanóra
• Dáta agus am an scanadh
• Raon feidhme sócmhainní agus eisiaimh
• Fionnachtana criticiúla agus ardleibhéil
• Uimhir ticéid agus úinéir
• Cinneadh paistí nó maolaithe
• Cinneadh maidir le glacadh le riosca, nuair is infheidhme
• Dáta leighis
• Scanadh bailíochtaithe
• Nasc le taifead athraithe
• Úinéir eisceachta agus dáta éaga

Céim 5: Cuir fianaise logála leis

Áirítear sa Beartas Logála agus Faireacháin - FBManna, clásal 5.4.4, logaí córais amhail:

Logaí córais: athruithe cumraíochta, gníomhartha riaracháin, suiteálacha bogearraí, gníomhaíocht phaisteála

B’fhéidir nach gcruthaíonn ticéad paistí leis féin gur tharla an t-athrú. Neartaíonn logaí cumraíochta, gníomhartha riaracháin agus taifid suiteála bogearraí an slabhra fianaise.

Céim 6: Rith iniúchadh samplach

Roghnaigh cúig leochaileacht chriticiúla nó ardleibhéil ón ráithe roimhe sin. I gcás gach míre, fíoraigh go raibh an tsócmhainn san fhardal, gur bhrath an scanóir an fhionnachtain, gur osclaíodh ticéad laistigh den SLA, gur sannadh úinéir, gur mheaitseáil an leigheas déine agus inshaothraitheacht, go léiríonn logaí an t-athrú, go ndeimhníonn bailíochtú dúnadh, agus go bhfuil faomhadh ón úinéir riosca agus dáta éaga ag aon eisceacht.

Táirgeann an sprint sin pacáiste fianaise leochaileachta atá réidh do NIS2 agus sampla iniúchta inmheánaigh ISO 27001:2022.

Is rialachas éiceachórais í slándáil soláthraithe

Éilíonn Article 21 de NIS2 slándáil slabhra soláthair, lena n-áirítear gnéithe slándála a bhaineann le caidrimh le soláthraithe díreacha agus soláthraithe seirbhíse. Táthar ag súil freisin go measfaidh eagraíochtaí leochaileachtaí soláthraithe, cáilíocht táirgí, cleachtais chibearshlándála soláthraithe agus cleachtais chódaithe shlána.

Seo an áit a raibh an chéad leagan de thuarascáil bearnaí Maria is laige. Liostaigh sé soláthraithe, ach níor chruthaigh sé dícheall cuí, clásail slándála conartha, faireachán ná ullmhacht scoir.

Soláthraíonn an Beartas Slándála Tríú Páirtí agus Soláthraithe an bonn beartais. Is féidir cur chun feidhme gaolmhar a thacú leis an Beartas Forbartha Sláine, an Beartas Feasachta agus Oiliúna um Shlándáil Faisnéise, an Beartas um Bainistíocht Leochaileachtaí agus Paistí, an Beartas Rialuithe Cripteagrafacha, an Beartas Rialaithe Rochtana agus an Beartas Cianoibre.

Is féidir le clár fianaise soláthraithe aonair tacú le NIS2, DORA agus ISO 27001:2022.

Cuireann an tábla seo cosc ar cheistneoirí dúblacha, cláir dhúblacha agus úinéireacht rialuithe chontrártha.

Sreabhadh oibre teagmhais amháin do NIS2, DORA agus GDPR

Éilíonn Article 23 de NIS2 go bhfógrófar teagmhais shuntasacha gan mhoill mhíchuí. Bunaíonn sé amlíne chéimnithe: réamhrabhadh laistigh de 24 uair an chloig ó fheasacht, fógra teagmhais laistigh de 72 uair an chloig le measúnú tosaigh déine nó tionchair agus táscairí comhréitigh atá ar fáil, nuashonruithe idirmheánacha má iarrtar iad, agus tuarascáil chríochnaitheach tráth nach déanaí ná mí amháin tar éis an fhógra teagmhais.

Tá saolré comhchosúil ag DORA d’eintitis airgeadais: brath, aicmiú, logáil, measúnú déine, uaschéimniú, cumarsáid le cliaint, tuairisciú d’údaráis, anailís bunchúise agus leigheas. Cuireann GDPR anailís ar shárú sonraí pearsanta leis, lena n-áirítear róil rialaitheora agus próiseálaí, tionchar ar ábhair sonraí agus an t-amlíne fógra 72 uair an chloig nuair is infheidhme.

Ní trí phróiseas teagmhais an dearadh ceart. Is sreabhadh oibre teagmhais amháin é le brainsí cinnteoireachta rialála.

Deir an Beartas Freagartha do Theagmhais - FBManna, clásal 5.4.1:

Ní mór gach imscrúdú teagmhais, fionnachtain agus gníomh ceartaitheach a thaifeadadh i gclár teagmhas atá á chothabháil ag an mBainisteoir Ginearálta.

Ba cheart na nithe seo a leanas a bheith i gclár teagmhas láidir:

Níor cheart an nasc GDPR a mheas faoina luach. Féadfaidh údaráis inniúla NIS2 údaráis mhaoirseachta GDPR a chur ar an eolas nuair a d’fhéadfadh sárú sonraí pearsanta eascairt as teipeanna bainistithe riosca cibearshlándála nó tuairiscithe. Ba cheart don ISMS, dá bhrí sin, measúnú príobháideachais a dhéanamh mar chuid de thriáisiú teagmhais, seachas é a fhágáil mar iar-smaoineamh.

Conas a thástálfaidh iniúchóirí agus rialálaithe d’fhianaise NIS2

Ba cheart d’eagraíocht atá réidh do 2026 a bheith ag súil go dtástálfar an rialú céanna trí lionsaí éagsúla.

Tosóidh iniúchóir ISO 27001:2022 leis an ISMS. Fiafróidh siad an bhfuil oibleagáidí NIS2 sainaitheanta mar cheanglais páirtithe leasmhara, an gclúdaíonn raon feidhme an ISMS seirbhísí agus spleáchais ábhartha, an bhfuil rioscaí measúnaithe agus cóireáilte, an dtugann an Ráiteas Infheidhmeachta údar leis na rialuithe infheidhme agus an gcruthaíonn taifid oibriú.

Díreoidh údarás inniúil NIS2 ar thorthaí dlíthiúla. D’fhéadfadh sé fiafraí an bhfuil aghaidh tugtha ar gach beart Article 21, an bhfuil rialuithe cuí agus comhréireach, an bhfuil na bearta ceadaithe agus faoi mhaoirseacht ag bainistíocht, agus an féidir le tuairisciú teagmhais na hamlínte riachtanacha a chomhlíonadh.

Déanfaidh maoirseoir DORA, i gcás eintitis airgeadais chumhdaithe, tástáil ar bhainistíocht riosca TFC, aicmiú teagmhais, tástáil athléimneachta, riosca tríú páirtí, socruithe conarthacha, riosca comhchruinnithe agus straitéisí scoir.

Déanfaidh athbhreithneoir GDPR tástáil ar cibé acu a chosnaíonn rialuithe teicniúla agus eagraíochtúla sonraí pearsanta, an bhfuil measúnú sáraithe leabaithe i láimhseáil teagmhais, an bhfuil róil rialaitheora agus próiseálaí soiléir, agus an bhfuil taifid chuntasachta ann.

Díreoidh measúnóir ar nós NIST CSF 2.0 nó COBIT 2019 ar rialachas, úinéireacht riosca, táscairí feidhmíochta, torthaí reatha agus spriocthorthaí, cumas próisis agus ailíniú le fonn riosca na fiontraíochta.

Gabhann an Beartas Faireacháin Iniúchta agus Comhlíonta fiontraíochta, clásal 3.4, cuspóir na fianaise:

Fianaise inchosanta agus rian iniúchta a ghiniúint chun tacú le fiosrúcháin rialála, imeachtaí dlí, nó iarrataí dearbhaithe custaiméirí.

Sin é an caighdeán oibríochtúil ar cheart d’fhoirne NIS2 tógáil ina choinne.

Cuntasacht bhainistíochta: ní féidir leis an mbord NIS2 a tharmligean uaidh féin

Éilíonn Article 20 de NIS2 ar chomhlachtaí bainistíochta eintitis riachtanacha agus thábhachtacha bearta bainistithe riosca cibearshlándála a cheadú, maoirseacht a dhéanamh ar chur chun feidhme agus oiliúint a fháil. Féadfar comhaltaí comhlachtaí bainistíochta a choinneáil faoi dhliteanas as sáruithe, faoi réir rialacha dliteanais náisiúnta.

Ailíníonn sé seo le ceanglais cheannaireachta ISO 27001:2022. Ní mór don ardbhainistíocht a chinntiú go bhfuil an Beartas Slándála Faisnéise agus na cuspóirí ailínithe leis an treo straitéiseach, go bhfuil ceanglais ISMS comhtháite i bpróisis ghnó, go soláthraítear acmhainní, go gcuirtear tábhacht in iúl, go sanntar freagrachtaí agus go gcuirtear feabhsú leanúnach chun cinn.

Ní theastaíonn easpórtálacha amh ó scanóirí ná logaí iomlána SIEM ón mbord. Teastaíonn dearbhú atá oiriúnach don chinnteoireacht uaidh.

Ba cheart na nithe seo a leanas a bheith i bpacáiste fianaise ráithiúil NIS2 don bhord:

1. Athruithe ar raon feidhme agus ar stádas rialála
2. Príomhrioscaí NIS2 agus stádas cóireála riosca
3. Painéal éifeachtachta rialuithe Article 21
4. Teagmhais shuntasacha, neasteagmhais agus cinntí tuairiscithe
5. Eisceachtaí riosca soláthraithe agus néil
6. Fionnachtana iniúchta inmheánaigh, gníomhartha ceartaitheacha agus fianaise thar téarma

Tugann an pacáiste seo an fhaisnéis don bhainistíocht atá de dhíth chun bearta a cheadú, eisceachtaí a cheistiú agus glacadh le riosca iarmharach.

Samhail oibríochta Clarysec 2026

Chun bearta teicniúla NIS2 a chur i bhfeidhm go hoibríochtúil le ISO 27001:2022, teastaíonn samhail shimplí ach dhisciplínithe:

• Cuir NIS2, DORA, GDPR agus oibleagáidí conarthacha faoi raon feidhme laistigh den ISMS
• Mapáil oibleagáidí chuig rioscaí, beartais, rialuithe, úinéirí agus fianaise
• Úsáid an Ráiteas Infheidhmeachta mar fhoinse fírinne na rialuithe
• Tóg pacáistí fianaise do réimsí ardriosca Article 21
• Comhtháthaigh tuairisciú teagmhas i sreabhadh oibre rialála amháin
• Caith le slándáil soláthraithe mar shaolré, ní mar cheistneoir
• Rith iniúchtaí inmheánacha agus samplaí fíora á n-úsáid
• Tuairiscigh éifeachtacht rialuithe do chomhlachtaí bainistíochta
• Feabhsaigh bunaithe ar theagmhais, fionnachtana iniúchta, tástálacha agus athruithe rialála

Do Maria, ba é an pointe casadh a thuiscint nach raibh tionscadal NIS2 ar leith de dhíth uirthi. Bhí inneall fianaise ISMS níos láidre de dhíth uirthi.

Tá beartais Clarysec, Zenith Blueprint agus Zenith Controls deartha chun oibriú le chéile. Sainíonn beartais iompar agus taifid ionchais. Tugann an Zenith Blueprint an cur chun feidhme 30 céim agus an bealach iniúchta. Soláthraíonn Zenith Controls an mhapáil traschomhlíonta ionas gur féidir NIS2, ISO 27001:2022, DORA, GDPR, NIST CSF agus dearbhú ar nós COBIT a bhainistiú mar chlár comhleanúnach amháin.

An chéad chéim eile: tóg do mhapa fianaise NIS2 go ISO 27001:2022

Má tá do chuid oibre NIS2 fós i scarbhileog bhearnaí, is í 2026 an bhliain chun í a chur i bhfeidhm go hoibríochtúil.

Tosaigh le beart teicniúil ardriosca amháin, amhail bainistíocht leochaileachtaí, láimhseáil teagmhas nó slándáil soláthraithe. Mapáil é chuig rioscaí ISO 27001:2022, beartais, rialuithe Iarscríbhinn A, úinéirí, nósanna imeachta agus fianaise. Ansin samplaigh taifid na ráithe seo caite agus cuir ceist chrua: an sásódh sé seo rialálaí, measúnóir custaiméara agus iniúchóir ISO 27001:2022?

Is féidir le Clarysec cabhrú leat an freagra sin a thógáil trí úsáid a bhaint as an leabharlann bheartais, Zenith Blueprint agus Zenith Controls.

Ní hé níos mó doiciméadachta an sprioc. Is é an sprioc fianaise inchosanta, in-athdhéanta a léiríonn go n-oibríonn do bhearta teicniúla NIS2 i ndáiríre.