Fianaise le haghaidh chlárú NIS2 in ISO 27001:2022

Tháinig an ríomhphost isteach i mbosca isteach Anna le fuaim íseal a bhraith níos cosúla le siren ná le gnáthfhógra. Mar CISO CloudFlow, soláthraí B2B SaaS atá ag fás go tapa agus a fhreastalaíonn ar chustaiméirí ar fud an AE, bhí sí cleachta le ceistneoirí slándála, iniúchtaí soláthair, agus cuairteanna faireachais ISO 27001. Bhí an teachtaireacht seo difriúil.

Léigh líne an ábhair: “Information Request Regarding National Implementation of Directive (EU) 2022/2555 (NIS2).” Bhí an t-údarás náisiúnta cibearshlándála ag iarraidh ar CloudFlow a aicmiú a dheimhniú, faisnéis chlárúcháin an eintitis a ullmhú, na seirbhísí atá laistigh den raon feidhme a shainaithint, agus a bheith réidh chun bearta bainistíochta riosca cibearshlándála a léiriú.

Bhí deimhniú ISO 27001:2022 ag Anna i bhfráma ar an mballa. Bhain an fhoireann díolacháin úsáid as i mbearta fiontair. Bhí an beartas slándála faisnéise faofa ag an mbord. Bhí dhá fhionnachtain dúnta ag an iniúchadh inmheánach le déanaí. Ach bhí an cheist os a comhair níos géire ná stádas deimhniúcháin.

An bhféadfadh CloudFlow a chruthú, go tapa agus ar bhealach inchosanta, go raibh oibleagáidí NIS2 cumhdaithe ag a ISMS ISO 27001:2022?

Seo an áit a ndéanann go leor eagraíochtaí an cinneadh mícheart. Déileálann siad le clárú eintitis NIS2 mar chomhdú riaracháin, amhail clár gnó nó tairseach cánach a nuashonrú. Ní mar sin atá. Is é an clárú an doras isteach in infheictheacht mhaoirseachta. Tar éis an dorais sin, féadfaidh an t-údarás inniúil réasúnaíocht raon feidhme, taifid fhaofa an bhoird, nósanna imeachta tuairiscithe teagmhas, fianaise riosca soláthraithe, pointí teagmhála, méadrachtaí éifeachtachta rialaithe, agus cruthúnas go dtuigeann an eagraíocht cé na seirbhísí atá criticiúil a iarraidh.

I gcás soláthraithe SaaS, néalseirbhíse, seirbhíse bainistithe, slándála bainistithe, ionad sonraí, bonneagair dhigitigh, agus soláthraithe áirithe san earnáil airgeadais, ní hí an cheist cheart a thuilleadh “An bhfuil beartas slándála againn?” Is í an cheist “An féidir linn slabhra fianaise a thaispeáint ó oibleagáid dhlíthiúil go raon feidhme ISMS, cóireáil riosca, oibriú rialuithe, agus maoirseacht bainistíochta?”

Ní scarbhileog chomhthreomhar é an clár is láidre maidir le hullmhacht do chur chun feidhme NIS2. Is samhail fianaise inrianaithe é laistigh de ISO 27001:2022.

Is fadhb fianaise é clárú NIS2 i ndáiríre

Baineann NIS2 go leathan le heintitis phoiblí nó phríobháideacha sna hearnálacha atá liostaithe in Iarscríbhinn I agus Iarscríbhinn II a shroicheann nó a sháraíonn an tairseach ábhartha d’fhiontar meánmhéide. Clúdaíonn sé eintitis áirithe freisin beag beann ar mhéid, lena n-áirítear soláthraithe líonraí nó seirbhísí cumarsáide leictreonaí poiblí, soláthraithe seirbhísí iontaobhais, clárlanna TLD, soláthraithe seirbhíse DNS, soláthraithe aonair seirbhísí riachtanacha, agus eintitis a bhféadfadh cur isteach orthu tionchar a imirt ar shábháilteacht phoiblí, ar shláinte, ar riosca sistéamach, nó ar chriticiúlacht náisiúnta nó réigiúnach.

I gcás cuideachtaí teicneolaíochta, tá na catagóirí digiteacha thar a bheith tábhachtach. Áirítear le hIarscríbhinn I bonneagar digiteach, amhail soláthraithe seirbhíse néalríomhaireachta, soláthraithe seirbhíse ionad sonraí, soláthraithe líonraí seachadta inneachair, soláthraithe seirbhíse iontaobhais, soláthraithe seirbhíse DNS, agus soláthraithe líonraí nó seirbhísí cumarsáide leictreonaí poiblí. Áirítear le hIarscríbhinn I bainistíocht seirbhíse TFC do sheirbhísí gnó-le-gnó freisin, lena n-áirítear soláthraithe seirbhísí bainistithe agus soláthraithe seirbhísí slándála bainistithe. Áirítear le hIarscríbhinn II soláthraithe digiteacha amhail margaí ar líne, innill chuardaigh ar líne, agus ardáin seirbhísí líonraithe shóisialta.

Ciallaíonn sé sin gur féidir le heagraíocht bogadh isteach i raon feidhme NIS2 gan í féin a mheas mar “bhonneagar criticiúil.” D’fhéadfadh comhad clárúcháin, samhail teagmhála leis an údarás inniúil, agus scéal rialaithe inchosanta a bheith ag teastáil go tobann ó chuideachta B2B SaaS le feidhmiúlacht slándála bainistithe, ó ardán néalríomhaireachta a thacaíonn le custaiméirí rialáilte, nó ó sholáthraí atá cóngarach do fintech.

Déanann NIS2 idirdhealú freisin idir eintitis riachtanacha agus eintitis thábhachtacha. De ghnáth, bíonn samhail mhaoirseachta níos réamhghníomhaí i gceist le heintitis riachtanacha, agus de ghnáth déantar maoirseacht ar eintitis thábhachtacha tar éis fianaise ar neamhchomhlíonadh nó tar éis teagmhais. Tá tábhacht leis an idirdhealú, ach ní bhaineann sé an gá le hullmhúchán. Teastaíonn rialachas, bainistíocht riosca, tuairisciú teagmhas, slándáil soláthraithe, agus fianaise ón dá chatagóir.

Ní mór d’eintitis airgeadais DORA a mheas freisin. Aithníonn NIS2 Article 4, i gcás ina bhforchuireann gníomh dlí de chuid an Aontais atá sonrach don earnáil oibleagáidí bainistíochta riosca cibearshlándála agus tuairiscithe teagmhas atá comhionann ar a laghad, go bhfuil feidhm ag na rialacha earnáilsonracha sin sna réimsí comhfhreagracha. Tá feidhm ag DORA ón 17 Eanáir 2025 agus bunaíonn sé bainistíocht riosca TFC, tuairisciú mórtheagmhas a bhaineann le TFC, tástáil athléimneachta oibríochtúla digití, socruithe comhroinnte faisnéise, bainistíocht riosca tríú páirtí TFC, rialuithe conarthacha, agus maoirseacht ar sholáthraithe criticiúla tríú páirtí TFC. I gcás eintitis airgeadais chumhdaithe, is é DORA an príomhchreat athléimneachta cibear i leith ceanglas forluiteach, ach d’fhéadfadh comhéadan NIS2 agus comhordú údaráis náisiúnta a bheith tábhachtach fós.

Tá an ceacht simplí. Ná fan leis an réimse sa tairseach ná leis an ríomhphost ón rialtóir sula dtógtar fianaise. Tugann gach freagra clárúcháin léargas ar cheist iniúchta amach anseo.

Tosaigh le raon feidhme ISMS, ní leis an bhfoirm tairseach

Tá ISO 27001:2022 úsáideach mar go gcuireann sé iallach ar an eagraíocht comhthéacs, páirtithe leasmhara, oibleagáidí rialála, raon feidhme, rioscaí, pleananna cóireála, oibriú rialuithe, faireachán, iniúchadh inmheánach, athbhreithniú bainistíochta, agus feabhsú a shainiú.

Éilíonn clásail 4.1 go 4.4 ar an eagraíocht saincheisteanna inmheánacha agus seachtracha a chinneadh, páirtithe leasmhara agus a gceanglais a shainaithint, cinneadh a dhéanamh cé na ceanglais a ndéileáiltear leo tríd an ISMS, raon feidhme ISMS a shainiú trí chomhéadain agus spleáchais a mheas, an raon feidhme sin a dhoiciméadú, agus próisis an ISMS a oibriú.

Maidir le NIS2, ba cheart don raon feidhme sin ceisteanna praiticiúla a fhreagairt:

• Cé na seirbhísí AE, eintitis dhlíthiúla, fochuideachtaí, ardáin, comhpháirteanna bonneagair, agus aonaid ghnó atá ábhartha?
• Cén chatagóir d’Iarscríbhinn I nó d’Iarscríbhinn II a d’fhéadfadh a bheith infheidhme?
• An eintiteas riachtanach, eintiteas tábhachtach, eintiteas atá cumhdaithe ag DORA, eintiteas lasmuigh den raon feidhme, nó eintiteas atá ag feitheamh ar aicmiú náisiúnta í an eagraíocht?
• Cé na seirbhísí atá criticiúil do chustaiméirí, sábháilteacht phoiblí, cobhsaíocht airgeadais, cúram sláinte, bonneagar digiteach, nó earnálacha rialáilte eile?
• Cé na soláthraithe néalríomhaireachta, MSPanna, MSSPanna, ionaid sonraí, fochonraitheoirí, agus soláthraithe eile a thacaíonn leis na seirbhísí sin?
• Cé na Ballstáit, údaráis inniúla, CSIRTanna, DPAanna, agus maoirseoirí airgeadais a d’fhéadfadh a bheith ábhartha?

Cuireann Zenith Blueprint: Treochlár 30 céim don iniúchóir de chuid Clarysec Zenith Blueprint an obair seo go luath, i gCéim 2, Ceanglais páirtithe leasmhara agus raon feidhme ISMS. Treoraíonn sé d’eagraíochtaí rialtóirí agus údaráis a shainaithint, ceanglais dhlíthiúla agus rialála a athbhreithniú, conarthaí agus comhaontuithe a athbhreithniú, agallaimh le páirtithe leasmhara a dhéanamh, agus caighdeáin tionscail ionchais a mheas.

Mír ghníomhaíochta 4.2: Tiomsaigh liosta de na páirtithe leasmhara suntasacha go léir agus nótáil a gceanglais maidir le slándáil faisnéise. Bí cuimsitheach — smaoinigh ar aon duine a dhéanfadh gearán nó a mbeadh iarmhairtí air dá dteipfeadh ar do shlándáil nó dá mbeadh rialú áirithe in easnamh ort. Treoróidh an liosta seo an méid nach mór duit a chomhlíonadh nó a shásamh trí do ISMS agus cuirfidh sé eolas ar fáil don mheasúnú riosca agus do roghnú rialuithe.

Sin é an pointe tosaigh ceart do chlárú NIS2. Sula ndéantar comhdú, cruthaigh meamram gairid raon feidhme NIS2 a nascann an tsamhail ghnó le catagóirí Iarscríbhinn I nó Iarscríbhinn II, a dhoiciméadaíonn toimhdí méide agus seirbhíse, a thaifeadann léirmhíniú an dlí náisiúnta, a shainaithníonn údaráis inniúla, agus a luann an bhfuil DORA, GDPR, conarthaí custaiméirí, nó rialacha earnála infheidhme freisin.

Sainíonn Beartas Clarysec d’FGBManna um Chomhlíonadh Dlíthiúil agus Rialála Legal and Regulatory Compliance Policy - SME an cuspóir go soiléir:

“Sainíonn an beartas seo cur chuige na heagraíochta maidir le hoibleagáidí dlíthiúla, rialála agus conarthacha a shainaithint, a chomhlíonadh agus comhlíonadh a léiriú.”

I gcás clár níos mó, tá Beartas Clarysec um Chomhlíonadh Dlíthiúil agus Rialála Legal and Regulatory Compliance Policy níos soiléire fós:

“Ní mór gach oibleagáid dhlíthiúil agus rialála a mhapáil chuig beartais, rialuithe, agus úinéirí sonracha laistigh den Chóras Bainistíochta Slándála Faisnéise (ISMS).”

Is í an abairt sin bunús na hullmhachta do chur chun feidhme. Má iarrann rialtóir conas a sainaithníodh oibleagáidí NIS2, níor cheart gurb é an freagra “chuir an dlí comhairle orainn.” Ba cheart gurb é an freagra clár doiciméadaithe, nasctha le raon feidhme, rioscaí, úinéirí rialaithe, nósanna imeachta, fianaise choinnithe, agus athbhreithniú bainistíochta.

Tóg slabhra fianaise NIS2 laistigh de ISO 27001:2022

Éilíonn NIS2 Article 21 ar eintitis riachtanacha agus thábhachtacha bearta teicniúla, oibríochtúla agus eagraíochtúla cuí agus comhréireacha a chur chun feidhme chun rioscaí do chórais líonra agus faisnéise a úsáidtear le haghaidh oibríochtaí nó seachadadh seirbhíse a bhainistiú. Ní mór do na bearta staid na teicneolaíochta, caighdeáin Eorpacha agus idirnáisiúnta ábhartha nuair is infheidhme, costas, nochtadh riosca, méid, dóchúlacht agus déine teagmhas, agus tionchar sóisialta agus eacnamaíoch a chur san áireamh.

Liostaíonn Article 21(2) réimsí íosta, lena n-áirítear anailís riosca agus beartais slándála córas faisnéise, láimhseáil teagmhas, leanúnachas gnó, cúltacaí, athshlánú ó thubaiste, bainistíocht géarchéime, slándáil slabhra soláthair, fáil agus forbairt shlán, láimhseáil leochaileachtaí, measúnú éifeachtachta, sláinteachas cibear, oiliúint, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana, bainistíocht sócmhainní, fíordheimhniú ilfhachtóiriúil nó fíordheimhniú leanúnach, agus cumarsáid shlán nuair is iomchuí.

Mapálann ISO 27001:2022 go nádúrtha leis an struchtúr sin. Éilíonn clásail 6.1.1 go 6.1.3 measúnú riosca agus cóireáil riosca, lena n-áirítear critéir ghlactha riosca, úinéirí riosca, anailís dóchúlachta agus iarmhairtí, Plean Cóireála Riosca, comparáid le rialuithe Iarscríbhinn A, agus Ráiteas Infheidhmeachta. Éilíonn Clásal 8 pleanáil agus rialú oibríochtúil, fianaise gur oibríodh próisis mar a bhí beartaithe, rialú athruithe, rialú ar phróisis a sholáthraítear go seachtrach, measúnuithe riosca athfhillteacha, agus torthaí cóireála doiciméadaithe. Éilíonn Clásal 9.1 faireachán, tomhas, anailís agus meastóireacht. Éilíonn Clásal 9.2 iniúchadh inmheánach. Éilíonn Clásal 10.2 gníomh ar neamhchomhréireachtaí agus gníomh ceartaitheach.

Déanann Beartas Bainistíochta Riosca Clarysec Risk Management Policy - SME riail oibríochtúil de seo:

“Ní mór gach riosca sainaitheanta a thaifeadadh sa Chlár rioscaí.”

Nascann Beartas Bainistíochta Riosca na heagraíochta Risk Management Policy cóireáil riosca le roghnú rialuithe ISO 27001:2022:

“Léireofar sa SoA cinntí rialaithe a eascraíonn as an bpróiseas Cóireála Riosca.”

Tá sé seo tábhachtach mar gur cheart fianaise NIS2 a bheith inrianaithe. Má iarrann údarás cén fáth a bhfuil rialú ann, dírigh ar an oibleagáid, an riosca, an cinneadh cóireála, úinéir an rialaithe, iontráil SoA, nós imeachta, agus fianaise. Má iarrann an t-údarás cén fáth nár roghnaíodh rialú, dírigh ar údar SoA, glacadh riosca ceadaithe, agus athbhreithniú bainistíochta.

Tá an slabhra fianaise is fearr leadránach ar an mbealach is fearr. Tá úinéir ag gach oibleagáid. Tá rialú ag gach úinéir. Tá fianaise ag gach rialú. Tá formheas ag gach eisceacht. Tá gníomh ceartaitheach ag gach fionnachtain iniúchta.

Cuir rialachas Article 20 isteach i bhfianaise an bhoird

Bogann NIS2 Article 20 cibearshlándáil isteach sa seomra boird. Ní mór do chomhlachtaí bainistíochta na bearta bainistíochta riosca cibearshlándála a ghlactar le haghaidh Article 21 a fhaomhadh, maoirseacht a dhéanamh ar chur chun feidhme, agus d’fhéadfadh siad a bheith faoi dhliteanas i leith sáruithe. Ní mór do chomhaltaí an chomhlachta bainistíochta oiliúint a dhéanamh, agus spreagtar eintitis oiliúint rialta cibearshlándála a chur ar fáil d’fhostaithe.

Ní féidir le bord NIS2 a tharmligean go simplí chuig TF. Ba cheart don fhianaise a thaispeáint gur thuig an bhainistíocht anailís raon feidhme NIS2, gur fhaomh sí an cur chuige bainistíochta riosca, gur athbhreithnigh sí rioscaí ábhartha, gur leithdháil sí acmhainní, gur rianaigh sí cur chun feidhme, gur athbhreithnigh sí teagmhais agus cleachtaí, agus go bhfuair sí oiliúint.

Tacaíonn clásail ISO 27001:2022 5.1 go 5.3 leis an tsamhail rialachais sin trí thiomantas na hardbhainistíochta, ailíniú cuspóirí slándála faisnéise le straitéis ghnó, comhtháthú cheanglais ISMS i bpróisis ghnó, acmhainní, cumarsáid, cuntasacht, agus tuairisciú ar fheidhmíocht ISMS don ardbhainistíocht a éileamh.

Sainíonn Beartas Clarysec um Róil agus Freagrachtaí Rialachais Governance Roles and Responsibilities Policy an ról idirchaidrimh slándála mar ról a:

“Fheidhmíonn mar phríomhidirchaidreamh le hiniúchóirí, rialtóirí, agus Ceannaireacht Shinsearach maidir le hábhair slándála faisnéise.”

Ba cheart an ról sin a ainmniú sa phacáiste fianaise chlárúcháin NIS2. Níor cheart é a fhágáil intuigthe. Is mian le húdaráis, iniúchóirí, agus custaiméirí a fháil amach cé a chomhordaíonn teagmháil rialála, cé atá ina úinéir ar thuairisciú teagmhas, cé a choinníonn an clár dlíthiúil, cé a nuashonraíonn teagmhálaithe údarás, agus cé a thuairiscíonn don bhord.

Áirítear le tacar praiticiúil fianaise rialachais:

• Faomhadh an bhoird ar an gcreat bainistíochta riosca cibearshlándála.
• Miontuairiscí athbhreithnithe bainistíochta a chumhdaíonn raon feidhme NIS2, rioscaí, teagmhais, soláthraithe, agus ullmhacht.
• Taifid oiliúna do chomhaltaí comhlachta bainistíochta agus d’fhostaithe.
• Maitrís RACI d’oibleagáidí NIS2, rialuithe ISO 27001:2022, tuairisciú teagmhas, dearbhú soláthraithe, agus cumarsáid rialála.
• Fianaise go bhfuil oibleagáidí NIS2 san áireamh in iniúchadh inmheánach agus faireachán comhlíonta.
• Rianú gníomhartha ceartaitheacha le haghaidh bearnaí, rioscaí thar téarma, eisceachtaí, agus tástálacha ar theip orthu.

Déanann Articles 32 agus 33 cáilíocht na fianaise tábhachtach freisin trí fhachtóirí sáraithe tromchúiseacha a shainaithint amhail sáruithe arís agus arís eile, mainneachtain teagmhais shuntasacha a fhógairt nó a leigheas, mainneachtain easnaimh a láimhseáil tar éis treoracha ceangailteacha, bac ar iniúchtaí nó ar fhaireachán, agus faisnéis bhréagach nó thar a bheith mhíchruinn. Féadfaidh fianaise lag éirí ina fadhb forfheidhmithe fiú nuair atá rialuithe teicniúla ann.

Ullmhaigh fianaise teagmhála údarás agus tuairiscithe teagmhas roimh 02:00

Is minic a thosaíonn na teipeanna is pianmhaire i dtuairisciú teagmhas le ceist bhunúsach: “Cé dó a ndéanaimid fógra?” Le linn earraí fuascailte, teip DNS, comhréiteach néalríomhaireachta, nó nochtadh sonraí, cailleann foirne am ag cuardach an CSIRT cheart, an údaráis inniúil, an DPA, an mhaoirseora airgeadais, an chainéil forfheidhmithe dlí, an teimpléid custaiméara, agus an fhormheasóra inmheánaigh.

Éilíonn NIS2 Article 23 fógra gan mhoill mhíchuí faoi theagmhais shuntasacha a dhéanann difear do sholáthar seirbhíse. Is éard is teagmhas suntasach ann teagmhas a chruthaigh nó a d’fhéadfadh cur isteach oibríochtúil tromchúiseach nó caillteanas airgeadais a chruthú, nó a rinne nó a d’fhéadfadh difear a dhéanamh do dhaoine eile trí dhamáiste ábhartha nó neamhábhartha suntasach a chruthú. Tá an amlíne céimnithe: luathrabhadh laistigh de 24 uair an chloig tar éis bheith ar an eolas, fógra teagmhais laistigh de 72 uair an chloig, nuashonruithe eatramhacha arna iarraidh sin, agus tuarascáil deiridh laistigh de mhí amháin tar éis an fhógra 72 uair an chloig nó tar éis an teagmhas a láimhseáil i gcás teagmhas leanúnach. Nuair is iomchuí, ní mór faighteoirí seirbhíse a chur ar an eolas freisin faoi theagmhais shuntasacha nó bagairtí cibear suntasacha agus faoi bhearta cosanta.

Déileálann Zenith Blueprint, céim Rialuithe i nGníomh, Céim 22, le teagmháil le húdaráis mar ullmhacht, ní mar scaoll:

Tá an prionsabal anseo simplí: dá ndíreofaí cibearionsaí ar d’eagraíocht, dá mbeadh sí bainteach le sárú sonraí, nó dá mbeadh sí faoi imscrúdú, cé a dhéanfadh an glao ar na húdaráis? Conas a bheadh a fhios acu cad ba cheart a rá? Faoi na coinníollacha céanna a thosófaí teagmháil den sórt sin? Ní mór na ceisteanna seo a fhreagairt roimh ré, ní ina dhiaidh.

Clúdaíonn Zenith Controls: The Cross-Compliance Guide de chuid Clarysec Zenith Controls rialú ISO/IEC 27002:2022 5.5, Teagmháil le húdaráis. Aicmíonn sé an rialú mar rialú coisctheach agus ceartaitheach, ceangailte le rúndacht, sláine, infhaighteacht, agus nasctha le coincheapa sainaithint, cosaint, freagairt agus téarnamh. Nascann sé rialú 5.5 freisin le rialuithe ISO/IEC 27002:2022 5.24 pleanáil agus ullmhúchán bainistíochta teagmhas slándála faisnéise, 6.8 tuairisciú imeachtaí slándála faisnéise, 5.7 faisnéis bagairtí, 5.6 teagmháil le grúpaí leasmhara speisialta, agus 5.26 freagairt do theagmhais slándála faisnéise.

Ó pheirspictíocht thras-chomhlíonta, mapálann Zenith Controls teagmháil le húdaráis chuig NIS2 Article 23, fógra sáraithe GDPR, tuairisciú teagmhas DORA, NIST SP 800-53 IR-6 Incident Reporting, agus cleachtais uasghrádaithe sheachtraigh COBIT 2019. Is féidir le clár teagmhálaithe údarás amháin freastal ar iliomad oibleagáidí má dheartar i gceart é.

Déanann Beartas freagartha do theagmhais Clarysec Incident Response Policy - SME triáis dhlíthiúil soiléir:

“Nuair atá sonraí custaiméirí i gceist, ní mór don Bhainisteoir Ginearálta oibleagáidí fógra dlíthiúla a mheas bunaithe ar infheidhmeacht GDPR, NIS2, nó DORA.”

Ba cheart go n-áireofaí le pacáiste láidir fianaise teagmhála údarás:

• Sonraí teagmhála an údaráis inniúil agus CSIRT de réir Ballstáit agus seirbhíse.
• Teagmhálaithe DPA le haghaidh fógra faoi shárú sonraí pearsanta GDPR.
• Teagmhálaithe maoirseachta airgeadais má tá DORA infheidhme.
• Bealaí teagmhála le forfheidhmiú dlí agus cibearchoireacht.
• Cumarsáidithe inmheánacha údaraithe agus ionadaithe.
• Tairseacha teagmhais do NIS2, GDPR, DORA, conarthaí custaiméirí, agus cibearárachas.
• Teimpléid luathrabhaidh 24 uair an chloig, fógra 72 uair an chloig, nuashonrú eatramhach, agus tuarascáil mhíosa.
• Taifid cleachtaí boird a thástálann fógra seachtrach.
• Taifid ar fhógraí roimhe seo, cinntí gan fógra a dhéanamh, agus réasúnaíocht dhlíthiúil.

Mapáil NIS2 Article 21 chuig rialuithe ISO 27001 agus fianaise bheartais

Ní fhreagraíonn deimhniú amháin ceist rialtóra. Freagraíonn mapáil rialuithe í. Tugann an tábla seo droichead praiticiúil d’fhoirne slándála agus comhlíonta idir réimsí NIS2 Article 21, rialuithe ISO/IEC 27002:2022, ancairí beartais Clarysec, agus fianaise.

Clúdaíonn Zenith Controls de chuid Clarysec rialú ISO/IEC 27002:2022 5.31 freisin, Ceanglais dhlíthiúla, reachtúla, rialála agus chonarthacha, mar rialú coisctheach a bhfuil tionchar aige ar rúndacht, sláine, infhaighteacht. Nascann sé 5.31 le príobháideachas agus cosaint PII, coinneáil taifead, athbhreithniú neamhspleách, agus comhlíonadh beartas inmheánach. Mapálann sé 5.31 freisin chuig cuntasacht GDPR, comhlíonadh slabhra soláthair NIS2, bainistíocht riosca TFC DORA, rialachas NIST CSF, rialuithe cláir NIST SP 800-53, agus maoirseacht chomhlíonta sheachtraigh COBIT 2019.

“Cinntíonn rialú 5.31 go ndéantar gach ceanglas ábhartha dlíthiúil, rialála, reachtúil agus conarthach a bhaineann le slándáil faisnéise a shainaithint, a dhoiciméadú agus a bhainistiú go leanúnach.”

Sin é go díreach a theastaíonn ó údarás náisiúnta a fheiceáil tar éis clárúcháin: ní hamháin go bhfuil NIS2 liostaithe, ach go bhfuil meicníocht bheo ag an eagraíocht chun oibleagáidí a shainaithint, a mhapáil, a chur chun feidhme, faireachán a dhéanamh orthu, agus iad a nuashonrú.

Ná scar NIS2 ó DORA, GDPR, soláthraithe agus néalríomhaireacht

Is annamh a bhíonn fianaise NIS2 ina haonar.

Éilíonn NIS2 Article 21(2)(d) slándáil slabhra soláthair, lena n-áirítear gnéithe slándála de chaidrimh le soláthraithe agus soláthraithe seirbhíse. Éilíonn Article 21(3) go gcuirfidh cinntí riosca soláthraithe leochaileachtaí, cáilíocht fhoriomlán táirgí, cleachtais chibearshlándála, nósanna imeachta forbartha slána, agus measúnuithe ábhartha comhordaithe AE ar rioscaí slabhra soláthair san áireamh.

Soláthraíonn Iarscríbhinn A ISO 27001:2022 an droichead oibríochtúil trí A.5.19 go A.5.23. I gcás eagraíochtaí SaaS agus néalríomhaireachta, is minic a chinneann na rialuithe seo an bhfuil fianaise chlárúcháin dromchlach nó inchosanta.

Géaraíonn DORA pictiúr na soláthraithe d’eintitis airgeadais. Éilíonn Articles 28 go 30 bainistíocht riosca tríú páirtí TFC, clár conarthaí seirbhíse TFC, idirdhealú seirbhísí a thacaíonn le feidhmeanna criticiúla nó tábhachtacha, measúnú riosca réamhchonartha, dícheall cuí, ceanglais slándála chonarthacha, cearta iniúchta agus cigireachta, cearta foirceanta, straitéisí scoir tástáilte, measúnú fochonraitheoireachta, trédhearcacht suíomh sonraí, cúnamh teagmhais, comhar le húdaráis, agus socruithe aistrithe. Má fhreastalaíonn soláthraí SaaS ar chustaiméirí rialáilte faoi DORA, d’fhéadfaí scrúdú a dhéanamh ar a chonarthaí agus ar a phacáiste dearbhaithe fiú mura é féin an t-eintiteas airgeadais.

Ba cheart, dá bhrí sin, Beartas slándála tríú páirtí agus soláthraithe Clarysec - SME Third-party and supplier security policy - SME a nascadh leis an bpacáiste fianaise NIS2. Ba cheart go n-áireofaí le hullmhacht soláthraithe:

• Fardal soláthraithe agus aicmiú criticiúlachta.
• Dícheall cuí soláthraithe agus measúnuithe riosca.
• Clásail chonartha maidir le slándáil, cúnamh teagmhais, cearta iniúchta, suíomh sonraí, fochonraitheoireacht, agus imeacht.
• Maitrísí freagrachta comhroinnte néalríomhaireachta.
• Taifid faireacháin do sholáthraithe criticiúla.
• Tástáil imeachta agus athshlánaithe do sheirbhísí criticiúla.
• Nósanna imeachta fógra teagmhais soláthraithe agus uasghrádaithe.

Ní mór GDPR a chomhtháthú freisin. Is féidir le teagmhas suntasach NIS2 a bheith ina shárú sonraí pearsanta freisin má chuirtear sonraí custaiméara, fostaithe nó úsáideora i mbaol. Éilíonn GDPR ar rialaitheoirí cuntasacht a léiriú agus, nuair a shásaítear tairseacha fógartha, fógra a thabhairt don údarás maoirseachta laistigh de 72 uair an chloig tar éis bheith ar an eolas faoi shárú sonraí pearsanta. Ní mór do do shreabhadh oibre freagartha do theagmhais oibleagáidí NIS2, GDPR, DORA, conarthacha agus custaiméirí a mheas i gcomhthreo.

Cuir pacáiste fianaise NIS2 seachtaine amháin le chéile

Is féidir le soláthraí SaaS, MSP, MSSP, soláthraí néalríomhaireachta, nó cuideachta bonneagair dhigitigh dul chun cinn suntasach a dhéanamh in aon seachtain dhírithe amháin.

Lá 1, aicmigh an t-eintiteas agus na seirbhísí. Úsáid ráiteas raon feidhme ISMS agus an clár páirtithe leasmhara. Cuir meamram raon feidhme NIS2 leis a shainaithníonn catagóirí Iarscríbhinn I nó Iarscríbhinn II, seirbhísí AE, Ballstáit, custaiméirí, spleáchais, toimhdí méide, agus an bhfuil DORA nó rialacha earnála infheidhme. Taifead éiginnteacht aicmithe mar riosca mura bhfuil an léirmhíniú dlíthiúil críochnaitheach.

Lá 2, nuashonraigh an Clár Oibleagáidí Comhlíonta dlíthiúla agus rialála. Cuir NIS2 Articles 20, 21, agus 23 leis, ceanglais chlárúcháin faoin dlí náisiúnta, dualgais sáraithe GDPR, oibleagáidí DORA nuair is ábhartha, agus príomhcheanglais fógartha chonarthacha. Mapáil gach oibleagáid chuig beartas, úinéir, rialú, foinse fianaise, agus minicíocht athbhreithnithe.

Lá 3, nuashonraigh an measúnú riosca agus an chóireáil. Cuir tionchar dlíthiúil, rialála, oibríochtúil, soláthraithe, airgeadais, clú agus sóisialta sna critéir riosca. Cuir rioscaí leis amhail mainneachtain clárú, aicmiú mícheart eintitis, luathrabhadh 24 uair an chloig a chailleadh, teagmhálaithe údarás nach bhfuil ar fáil, briseadh seirbhíse soláthraí a théann i bhfeidhm ar sheirbhísí criticiúla, maoirseacht bhoird neamhleor, agus neamhábaltacht fianaise a thabhairt ar éifeachtacht rialuithe.

Lá 4, athnuaigh an SoA. Deimhnigh rialuithe ábhartha do NIS2, lena n-áirítear A.5.5 teagmháil le húdaráis, A.5.19 go A.5.23 rialuithe soláthraithe agus néalríomhaireachta, A.5.24 go A.5.28 rialuithe teagmhais, A.5.29 slándáil le linn cur isteach, A.5.30 ullmhacht TFC do leanúnachas gnó, A.5.31 ceanglais dhlíthiúla, A.5.34 príobháideachas, A.8.8 bainistíocht leochaileachtaí, A.8.13 cúltacaí, A.8.15 logáil, A.8.16 gníomhaíochtaí faireacháin, A.8.24 cripteagrafaíocht, agus rialuithe forbartha slána A.8.25 go A.8.32.

Lá 5, tástáil tuairisciú teagmhas. Rith cleachtadh boird: nochtann míchumraíocht néalríomhaireachta sonraí custaiméirí agus cuireann sí isteach ar sheirbhís ar fud dhá Bhallstát. Tosaigh an clog. An féidir leis an bhfoireann an t-imeacht a aicmiú, tairseacha GDPR, NIS2, DORA, conarthacha agus custaiméirí a mheas, luathrabhadh 24 uair an chloig a ullmhú, fógra 72 uair an chloig a dhréachtú, fianaise a chaomhnú, agus anailís bhunchúise a shannadh?

Lá 6, bailigh fianaise. Cruthaigh fillteán atá réidh don rialtóir leis an meamram raon feidhme, an clár dlíthiúil, an Clár rioscaí, an SoA, liosta teagmhálaithe údarás, leabhar imeartha teagmhais, clár soláthraithe, miontuairiscí boird, taifid oiliúna, logaí, tuarascálacha faireacháin, tástálacha cúltaca, tuarascálacha leochaileachta, raon feidhme iniúchta inmheánaigh, agus loga gníomhartha ceartaitheacha.

Lá 7, athbhreithniú bainistíochta. Cuir an pacáiste ullmhachta faoi bhráid na ceannaireachta. Taifead formheasanna, rioscaí iarmharacha, gníomhartha oscailte, spriocdhátaí, acmhainní, agus cuntasacht úinéirí. Má tá clárú dlite, ceangail an t-innéacs fianaise leis an taifead cinnidh clárúcháin.

Réamh-mheasann Beartas Clarysec um Fhaireachán Iniúchta agus Comhlíonta d’FGBManna Audit and Compliance Monitoring Policy-sme - SME an riachtanas seo:

“Ní mór fianaise a ailíniú le hoibleagáidí NIS2 nuair atá an eagraíocht ainmnithe mar eintiteas tábhachtach nó nuair a thagann sí ar shlí eile faoi raon feidhme an dlí náisiúnta”

Luaitear cuspóir Bheartas Faireacháin Iniúchta agus Comhlíonta na heagraíochta Audit and Compliance Monitoring Policy:

“Fianaise inchosanta agus rian iniúchta a ghiniúint chun tacú le fiosrúcháin rialála, imeachtaí dlí, nó iarrataí dearbhaithe custaiméirí.”

Sin é an sprioc: fianaise inchosanta sula dtagann an t-iarratas.

Ullmhaigh do lionsaí iniúchta éagsúla

Ní chuirfidh iniúchóir deimhniúcháin, údarás náisiúnta, iniúchóir custaiméara, iniúchóir príobháideachais, agus foireann dearbhaithe soláthraithe na ceisteanna céanna. Oibríonn pacáiste láidir fianaise NIS2 trasna orthu go léir.

I gcás rialú ISO/IEC 27002:2022 5.5, bíonn iniúchóirí ag súil go coitianta le teagmhálaithe údarás doiciméadaithe, freagrachtaí sannta, cothabháil teagmhálaithe, leabhair imeartha freagartha do theagmhais, agus soiléireacht bunaithe ar chásanna. Is féidir le ceist shimplí iniúchta aibíocht a nochtadh: “I gcás earraí fuascailte, cé a dhéanann teagmháil le forfheidhmiú an dlí nó leis an CSIRT náisiúnta?” Má bhraitheann an freagra ar dhuine ag cuimhneamh ar ainm, níl an rialú réidh.

Neartaíonn Beartas Logála agus Faireacháin Clarysec Logging and Monitoring Policy - SME ionchas na fianaise:

“Ní mór logaí a bheith ar fáil agus intuigthe d’iniúchóirí seachtracha nó do rialtóirí arna iarraidh sin”

Leagann Beartas Slándála Faisnéise Clarysec Information Security Policy an caighdeán fiontair níos leithne amach:

“Beidh gach rialú curtha chun feidhme in-iniúchta, tacaithe ag nósanna imeachta doiciméadaithe agus ag fianaise choinnithe ar oibriú.”

Sin é an tástáil iniúchta in aon abairt amháin. Mura féidir fianaise a thabhairt ar rialú, ní bheidh mórán meáchain aige nuair a iarrfaidh údarás inniúil cruthúnas.

Seicliosta deiridh fianaise chlárúcháin NIS2

Úsáid an seicliosta seo roimh chlárú nó sula bhfreagraíonn tú iarratas ó údarás náisiúnta.

• Doiciméadaigh anailís raon feidhme NIS2, lena n-áirítear réasúnaíocht Iarscríbhinn I nó Iarscríbhinn II, tuairiscí seirbhíse, toimhdí méide, lorg Ballstáit, agus aicmiú eintitis.
• Sainaithin an bhfuil DORA infheidhme go díreach, nó go hindíreach trí chustaiméirí san earnáil airgeadais agus conarthaí seirbhíse TFC.
• Nuashonraigh raon feidhme ISMS chun seirbhísí ábhartha, spleáchais, próisis seachfhoinsithe, agus comhéadain rialála a áireamh.
• Cuir NIS2, GDPR, DORA, rialacha earnála, agus ceanglais chonarthacha leis an gClár Oibleagáidí Comhlíonta dlíthiúla agus rialála.
• Mapáil gach oibleagáid chuig beartais, rialuithe, úinéirí, fianaise, minicíocht athbhreithnithe, agus tuairisciú bainistíochta.
• Deimhnigh faomhadh agus maoirseacht an bhoird ar bhearta bainistíochta riosca cibearshlándála.
• Coinnigh taifid oiliúna cibearshlándála don bhainistíocht agus d’fhostaithe.
• Nuashonraigh critéir riosca chun tionchar rialála, cur isteach ar sheirbhís, dochar do chustaiméirí, tionchar trasteorann, agus spleáchas soláthraithe a áireamh.
• Taifead rioscaí a bhaineann le NIS2 sa Chlár rioscaí agus nasc iad le Pleananna cóireála.
• Nuashonraigh an SoA le rialuithe Iarscríbhinn A atá ábhartha do NIS2 agus le stádas cur chun feidhme.
• Coinnigh liostaí teagmhálaithe údarás agus nósanna imeachta fógartha do CSIRTanna, údaráis inniúla, DPAanna, maoirseoirí airgeadais, agus forfheidhmiú an dlí.
• Tástáil an sreabhadh oibre luathrabhaidh 24 uair an chloig, fógra 72 uair an chloig, nuashonrú eatramhach, agus tuarascáil dheiridh mhíosa.
• Coinnigh fianaise soláthraithe agus néalríomhaireachta, lena n-áirítear dícheall cuí, conarthaí, cearta iniúchta, faireachán, fochonraitheoireacht, agus pleananna scoir.
• Tabhair fianaise ar éifeachtacht rialaithe trí logaí, méadrachtaí, iniúchtaí, deais, torthaí tástála, agus gníomhartha ceartaitheacha.
• Ullmhaigh innéacs fianaise ionas gur féidir freagra tapa a thabhairt ar aon iarratas ó rialtóir, custaiméir, nó iniúchóir.

An chéad chéim eile le Clarysec

Ní hé clárú eintitis NIS2 an líne chríche. Is é an pointe é a mbíonn d’eagraíocht infheicthe do mhaoirseacht náisiúnta cibearshlándála. Ní hí an cheist cheart “An féidir linn clárú?” Is í an cheist cheart “Má iarrann an t-údarás fianaise tar éis clárúcháin, an féidir linn scéal comhsheasmhach ISO 27001:2022 a tháirgeadh in uaireanta, ní i seachtainí?”

Cabhraíonn Clarysec le heagraíochtaí an scéal sin a thógáil trí Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, agus tacair phraiticiúla beartas ISO 27001:2022 a nascann oibleagáidí dlíthiúla, cóireáil riosca, tuairisciú teagmhas, slándáil soláthraithe, logáil, faireachán, fianaise iniúchta, agus cuntasacht bainistíochta.

Déan athbhreithniú bearnaí fianaise NIS2 i gcoinne do ISMS reatha. Tosaigh leis an meamram raon feidhme, an clár dlíthiúil, an Clár rioscaí, an SoA, liosta teagmhálaithe údarás, sreabhadh oibre tuairiscithe teagmhas, clár soláthraithe, agus fillteán fianaise iniúchta. Má tá na déantáin sin neamhiomlán nó dícheangailte, is féidir le Clarysec cabhrú leat iad a iompú ina bpacáiste fianaise atá réidh don rialtóir sula n-iarrann d’údarás náisiúnta é.