Rialachas íocaíochtaí éirice do NIS2 agus DORA

Tá sé 3:17 ar maidin, lá seachtaine in 2026. Tarraingítear Maria, CISO ardáin fintech atá ag fás go tapa, isteach i nglao géarchéime de bharr teachtaireachta óna príomh-anailísí SOC: criptiú forleathan deimhnithe, príomhsheirbhísí as feidhm, agus grúpa bogearraí éirice ag maíomh gur ghoid siad 2TB de shonraí custaiméirí.

Tagann an CEO isteach sa ghlao ar dtús. Leanann an fhoireann dlí é. Ansin tagann príobháideachas, airgeadas, cumarsáid, an t-árachóir cibearshlándála, soláthraí fóiréinsice agus foireann oibríochtaí scamall. Taispeánann tairseach ar an ngréasán dorcha comhaireamh síos 48 uair an chloig agus éileamh seacht bhfigiúr i gcripte-airgeadra.

Cuireann an CEO an cheist a mbíonn eagla ar gach CISO roimpi.

“An féidir linn íoc, agus cé atá údaraithe chun an cinneadh a dhéanamh?”

Is é an freagra mícheart é seo a láimhseáil mar fhadhb chaibidlíochta. Is é an freagra ceart é seo a láimhseáil mar fhadhb rialachais.

In 2026, ní rogha theicniúil phríobháideach géarchéime a thuilleadh é rialachas cinntí íocaíochta éirice. Féadfaidh rialálaithe, iniúchóirí, árachóirí, custaiméirí, forfheidhmiú an dlí, scairshealbhóirí agus an bord é a scrúdú. Trasnaíonn cinneadh íocaíochta nochtadh do smachtbhannaí, measúnú ar shárú sonraí pearsanta, coinníollacha árachais chibearshlándála, dualgais chonarthacha, cumarsáid ghéarchéime, caomhnú fianaise, tuairisciú céimnithe NIS2, aicmiú teagmhais DORA, fógra GDPR agus feabhsú iar-theagmhais.

Sin é an fáth a molann Clarysec do chliaint rialachas cinntí íocaíochta éirice a thógáil isteach san ISMS roimh an teagmhas. Soláthraíonn ISO/IEC 27001:2022 struchtúr an chórais bhainistíochta. Soláthraíonn rialuithe ISO/IEC 27002:2022 an tsamhail oibriúcháin. Cabhraíonn Zenith Blueprint: Treochlár 30 Céim d’Iniúchóirí agus Zenith Controls: An Treoir Tras-Chomhlíonta leis an struchtúr sin a iompú ina fhianaise phraiticiúil iniúchta.

Ní leor treoirleabhar oibriúcháin do bhogearraí éirice a deir “cuir an fhoireann dlí ar an eolas”. Ní mór don eagraíocht a bheith ar an eolas cé atá in ann caibidlíocht a údarú, conas a dhéantar scagadh smachtbhannaí, cathain nach mór don árachóir faomhadh a thabhairt, conas a dhoiciméadaítear aicmiú GDPR, NIS2 agus DORA, agus conas a chosnaítear fianaise agus foirne téarnaimh agus iad ag obair faoi bhrú.

Cén fáth a dteipeann ar chinntí ad hoc faoi íocaíochtaí éirice

Is minic a chuirtear cinneadh íocaíochta éirice síos mar rogha dhénártha: íoc nó ná híoc. I ndáiríre, tá sé chiseal ar a laghad leis an gcinneadh:

1. An bhfuil an t-imeacht deimhnithe, srianta agus aicmithe i gceart?
2. An bhfuil sonraí pearsanta, sonraí rialáilte nó seachadadh seirbhísí criticiúla buailte?
3. An bhfuil cead dlí ag an eagraíocht cumarsáid a dhéanamh nó idirbheart a dhéanamh leis an ngníomhaí bagartha?
4. An éilíonn árachas cibearshlándála réamhfhógra, soláthraithe ceadaithe, toiliú nó fianaise shonrach?
5. An laghdódh íocaíocht tionchar gnó, nó an méadódh sí riosca dlí, airgeadais agus clú?
6. Cé aige a bhfuil údarás cinneadh a dhéanamh, agus conas a thaifeadtar an cinneadh sin?

Le linn teagmhais bheo, is minic a tharraingíonn foirne scoite i dtreonna éagsúla. D’fhéadfadh an CFO an éiric a fheiceáil mar chostas gnó i gcomparáid leis an aga neamhfhónaimh atá ag dul i méid. Feiceann an fhoireann dlí smachtbhannaí, coireacht airgeadais agus nochtadh rialála. Tá an DPO ag measúnú an gcruthaíonn sonraí criptithe nó eis-scagtha sárú sonraí pearsanta in-fhógartha. Tá an fheidhm chomhlíonta ag faire ar chloig thuairiscithe NIS2 agus DORA. Tá an CISO ag iarraidh fianaise a chaomhnú agus seirbhísí a athshlánú ag an am céanna. Teastaíonn moladh ón CEO sula dtéann lasc ama an ionsaitheora in éag.

Gan próiseas foirmiúil cinnteoireachta, féadfaidh an guth is airde sa seomra a bheith mar an tsamhail rialachais. Sin go díreach an cás atá rialáil nua-aimseartha cibearshlándála deartha lena chosc.

Déanann NIS2 freagracht bhainistíochta den chibearshlándáil. Pléann Article 20 rialachas agus cuntasacht comhlachtaí bainistíochta, agus éilíonn Article 21 bearta bainistíochta riosca lena gcumhdaítear láimhseáil teagmhas, leanúnachas gnó, bainistíocht cúltaca, bainistíocht géarchéime, slándáil slabhra soláthair, rialú rochtana, bainistíocht sócmhainní, MFA agus measúnú éifeachtachta. Cruthaíonn Article 23 tuairisciú céimnithe do theagmhais shuntasacha, lena n-áirítear rabhadh luath laistigh de 24 uair an chloig, fógra laistigh de 72 uair an chloig agus tuarascáil deiridh laistigh de mhí amháin nuair is infheidhme.

Maidir le heintitis airgeadais, is é DORA an leabhar rialacha earnáilsonrach um athléimneacht oibríochtúil. Cuireann Article 5 freagracht ar an gcomhlacht bainistíochta as bainistíocht riosca TFC. Pléann Articles 17, 18 agus 19 bainistíocht teagmhas a bhaineann le TFC, aicmiú agus tuairisciú mórtheagmhas a bhaineann le TFC. Éilíonn DORA freisin cumais freagartha agus téarnaimh, cúltaca agus athshlánú, foghlaim iar-theagmhais, tástáil agus bainistíocht riosca tríú páirtí TFC.

Cuireann GDPR measúnú ar leith ach forluiteach leis. Má chuireann bogearraí éirice scriosadh, caillteanas, athrú, nochtadh neamhúdaraithe nó rochtain neamhúdaraithe ar shonraí pearsanta faoi deara, de thaisme nó go neamhdhleathach, ní mór don rialaitheoir measúnú a dhéanamh ar tharla sárú sonraí pearsanta. Má tá fógra riachtanach, is gnách go dtosaíonn clog 72 uair an chloig an údaráis mhaoirseachta ón bhfeasacht. Má tá riosca ard ann do dhaoine aonair, d’fhéadfadh cumarsáid le daoine aonair lena mbaineann a bheith riachtanach freisin.

Tá an chonclúid simplí: níor cheart ceist na héirice a chur den chéad uair sa seomra cogaidh.

Rialuithe ISO 27001:2022 a dhaingníonn rialachas íocaíochta

Ní seicliosta d’iniúchóirí é ISMS ISO/IEC 27001:2022. Is córas bainistíochta é chun cinntí bunaithe ar riosca a dhéanamh. Baineann rialachas íocaíochtaí éirice leis an gcóras sin toisc go gcomhcheanglaíonn sé measúnú riosca, cóireáil riosca, rólanna, oibleagáidí dlí, freagairt do theagmhais, leanúnachas, bainistíocht soláthraithe agus feabhsú leanúnach.

Cruthaíonn na rialuithe in Iarscríbhinn A de ISO 27001:2022 is ábhartha slabhra rialaithe nasctha.

In Zenith Controls, aicmíonn an rannán do A.5.24, pleanáil agus ullmhú do bhainistíocht teagmhas slándála faisnéise, an rialú mar rialú ceartaitheach, ceangailte le rúndacht, sláine agus infhaighteacht, agus ailínithe le coincheapa Freagartha agus Téarnaimh. Nascann sé A.5.24 freisin le measúnú imeachtaí A.5.25, foghlaim ó theagmhais A.5.27, logáil A.8.15, monatóireacht A.8.16, slándáil le linn cur isteach A.5.29, leanúnachas agus teagmháil le húdaráis.

Tá sé seo tábhachtach toisc gur slabhra é rialachas íocaíochtaí éirice. Mura féidir leat an t-imeacht a bhrath agus a aicmiú, ní féidir leat cinneadh a dhéanamh. Mura féidir leat fianaise a chaomhnú, ní féidir leat an cinneadh a chosaint. Mura bhfuil oibleagáidí dlí mapáilte, d’fhéadfadh caibidlíocht nó íocaíocht a bheith neamhdhleathach. Mura bhfuil roghanna téarnaimh tástáilte, d’fhéadfadh feidhmeannaigh a bheith faoi bhrú cinneadh a dhéanamh bunaithe ar eagla seachas ar fhíricí.

Deir Zenith Controls an caidreamh idir ullmhú agus cinnteoireacht go soiléir:

“Is é 5.25 an pointe cinnteoireachta a chinneann cathain a thrasnaíonn imeacht an tairseach isteach i dteagmhas slándála, rud a spreagann na gníomhartha atá leagtha amach in 5.26. Cinntíonn measúnú tráthúil cruinn ar imeachtaí nach gcuirtear moill ar fhreagairt do theagmhais ná nach gcuirtear ar strae í.”

Nascann an treoir chéanna A.5.31, ceanglais dhlíthiúla, reachtúla, rialála agus chonarthacha, le príobháideachas, coinneáil taifead, athbhreithniú neamhspleách agus comhlíonadh beartas inmheánach. Maidir le bogearraí éirice, is é A.5.31 an áit a dtugtar scagadh smachtbhannaí, oibleagáidí árachais, rannpháirtíocht forfheidhmithe dlí, conarthaí custaiméirí, dualgais chosanta sonraí agus tuairisciú rialála earnála le chéile in aon chlár comhlíonta amháin.

Samhail cúig gheata Clarysec do rialachas íocaíochtaí éirice

Scarann samhail Clarysec rialachas cinntí íocaíochta éirice ina chúig gheata. Ní hé an cuspóir íocaíocht a dhéanamh níos éasca. Is é an cuspóir aon chinneadh, lena n-áirítear diúltú íoc, a dhéanamh ar bhonn fianaise, faoi athbhreithniú dlí, faoi údarú agus faoi réir iniúchta.

Úsáideann an tsamhail seo loighic cóireála riosca ISO 27001. Ní rialú slándála í íocaíocht éirice. Ar a mhéad, is rogha ghéarchéime í a mheasann an eagraíocht i gcomhthéacs cóireála riosca agus téarnaimh. Roimh theagmhas, ba cheart don eagraíocht a bheith tar éis cinneadh a dhéanamh cheana féin conas a chóireáiltear rioscaí bogearraí éirice: maolú trí rialuithe, aistriú cuid den nochtadh airgeadais trí árachas, spleáchais oidhreachta neamh-inghlactha a sheachaint, nó glacadh go sainráite le riosca iarmharach nuair atá údar leis.

Sa chéim Bainistíocht Riosca, Céim 13, Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta, tugann Zenith Blueprint treoir d’eagraíochtaí roghanna cóireála a chinneadh do gach riosca agus iad a dhoiciméadú sa chlár rioscaí. Tugann sé rabhadh nach gcuireann aistriú, amhail árachas cibearshlándála, deireadh leis an ngá le rialuithe, toisc gur minic a thugann aistriú aghaidh ar thionchar airgeadais seachas ar dhóchúlacht. Deir sé freisin:

“Ní mór don ghlacadh a bheith sainráite agus faofa ag an mbainistíocht, go háirithe i gcás aon rioscaí Meánacha. Is annamh a ghlactar le rioscaí Arda mura bhfuil siad fíor-dhosheachanta agus aontaithe ag an leibhéal is airde.”

Tá an líne sin ábhartha go díreach do rialachas íocaíochtaí éirice. Má iarrtar ar an mbord glacadh leis an riosca iarmharach a bhaineann le diúltú íoc, nó leis an riosca dlí agus clú a bhaineann le caibidlíocht a cheadú, ní mór don ghlacadh a bheith sainráite, taifeadta agus faofa ag an údarás ceart.

Daingníonn Beartas Bainistíochta Riosca Clarysec an pointe céanna:

“Ní mór do chinntí cóireála riosca a bheith ailínithe leis na roghanna réamhshainithe”
Ó chlásal 5.5.

Dá bhrí sin, ní aicearra timpeall bainistíochta riosca é cinneadh éirice. Ní mór é a láimhseáil mar chinneadh foirmiúil doiciméadaithe maidir le cóireáil riosca faoi údarás sainithe.

Údarás beartais: cé atá in ann cinneadh a dhéanamh faoi bhrú?

Is teipeanna rialachais iad go leor teipeanna bogearraí éirice a bhfuil cuma teipeanna teicniúla orthu. Déanann duine éigin teagmháil leis an ionsaitheoir lasmuigh den chainéal ceadaithe. Geallann duine íocaíocht roimh fhaomhadh an árachóra. Athshlánaíonn duine córais agus forscríobhann sé fianaise fhóiréinseach. Insíonn duine do chustaiméirí róluath, ródhéanach, nó le fíricí míchruinne.

Tá beartais Clarysec deartha chun an débhríocht sin a bhaint.

Do FBManna, tugann Beartas um Rólanna agus Freagrachtaí Rialachais - FBM riail shimplí:

“Ní mór gach cinneadh slándála suntasach, eisceacht agus uaschéimniú a thaifeadadh agus a bheith inrianaithe.”
Ó rannán “Ceanglais rialachais”, clásal beartais 5.5.

Sannann Beartas Freagartha do Theagmhais - FBM údarás uaschéimnithe don FBM:

“Tá an Bainisteoir Ginearálta (GM) cuntasach as gach cinneadh uaschéimnithe teagmhais, fógra rialála agus cumarsáid sheachtrach a údarú.”
Ó rannán “Ceanglais rialachais”, clásal beartais 5.1.1.

Nascann sé teagmhais sonraí custaiméirí le hoibleagáidí rialála freisin:

“Nuair a bhíonn sonraí custaiméirí i gceist, ní mór don Bhainisteoir Ginearálta measúnú a dhéanamh ar oibleagáidí fógra dlíthiúla bunaithe ar infheidhmeacht GDPR, NIS2 nó DORA.”
Ó rannán “Cóireáil riosca agus eisceachtaí”, clásal beartais 7.4.1.

I gcás eagraíochtaí níos mó, éilíonn an Beartas um Rólanna agus Freagrachtaí Rialachais d’fhiontair uaschéimniú láithreach nuair a d’fhéadfadh nochtadh dlí nó sáruithe sonraí in-tuairiscithe a bheith ann:

“Uaschéimniú Dlí/Rialála: Ní mór teagmhais ina bhfuil nochtadh dlíthiúil féideartha nó sáruithe sonraí inthuairiscithe a uaschéimniú láithreach chuig an Oifigeach Dlí agus Comhlíonta agus chuig an mBainistíocht Fheidhmiúcháin.”
Ó rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.4.3.

Sainmhíníonn an Beartas Freagartha do Theagmhais d’fhiontair údarás feidhmiúcháin le linn teagmhais thromchúiseacha. Deir clásal 4.6.1 gurb é ról na Foirne Bainistíochta Feidhmiúcháin:

“Cinntí straitéiseacha a dhéanamh le linn teagmhais ard-déine, lena n-áirítear faomhadh fógraí agus cumarsáidí poiblí.”

I gcomhthéacs bogearraí éirice, déileálann Clarysec le plé íocaíochta, údarú caibidlíochta, fógra do chustaiméirí, ráiteas rialála agus cumarsáid phoiblí mar chinntí straitéiseacha, ní mar ghníomhartha teicniúla.

Leanann riail phraiticiúil rialachais as sin: féadfaidh an CISO moladh a dhéanamh, féadfaidh an fhoireann teagmhais measúnú a dhéanamh, féadfaidh an fhoireann dlí comhairle a thabhairt, féadfaidh airgeadas meicníocht íocaíochta a bhailíochtú, féadfaidh an t-árachóir toiliú nó clúdach a dhiúltú, ach ní mór don bhainistíocht fheidhmiúcháin nó don bhord úinéireacht a ghlacadh ar an gcinneadh de réir údaráis réamhshainithe.

Uaschéimniú sábháilte ó thaobh smachtbhannaí de roimh aon chaibidlíocht

Tosaíonn próiseas bogearraí éirice atá sábháilte ó thaobh smachtbhannaí de le toirmeasc: ní fhéadfaidh aon fhostaí, conraitheoir, soláthraí, bróicéir, idirbheartaí ná freagróir teagmhais caibidlíocht a dhéanamh, gealltanas a thabhairt, éascú a dhéanamh ná luach a aistriú chuig gníomhaí bagartha gan athbhreithniú dlí ceadaithe.

Ní mór don seicphointe dlí tarlú roimh aon rannpháirtíocht ghníomhach leis an ionsaitheoir, ní tar éis do sheoladh sparáin teacht chun cinn. Ba cheart go n-áireofaí leis an bpróiseas:

• Comhairle dlí a bheith rannpháirteach roimh aon chumarsáid thar ghabháil fianaise éighníomhach.
• Sainaithint an ghníomhaí bagartha agus ionchuir fhóiréinseacha, faisnéise agus forfheidhmithe dlí á n-úsáid nuair atá siad ar fáil.
• Scagadh smachtbhannaí agus páirtithe srianta i leith ainmneacha grúpaí, ailiasanna, seoltaí sparáin, bonneagair, idirghabhálaithe agus cainéal íocaíochta.
• Comhairliúchán le forfheidhmiú an dlí a mheas agus a thaifeadadh.
• An t-árachóir cibearshlándála a chur ar an eolas de réir théarmaí an pholasaí sula gceaptar soláthraithe nó sula dtéitear i mbun caibidlíochta.
• An DPO nó ceannaire príobháideachais a bheith rannpháirteach má d’fhéadfadh sonraí pearsanta a bheith i gceist.
• An CFO nó ceannaire airgeadais a bheith ag deimhniú rialuithe íocaíochta, scaradh dualgas, seiceálacha frithchalaoise agus ceanglais fhaofa an bhoird.
• Cinneadh feidhmiúcháin a thaifeadadh agus roghanna malartacha curtha san áireamh, lena n-áirítear athshlánú, srianadh, fionraí seirbhíse, cumarsáid le custaiméirí agus diúltú íoc.
• Fianaise a chaomhnú maidir le cumarsáidí ón ionsaitheoir, táscairí, sonraí sparáin, cruinnithe cinnidh, faomhadh agus comhairle sheachtrach.

Maidir le bogearraí éirice, ba cheart go n-áireofaí sa chlár dlíthiúil na foinsí oibleagáide seo a leanas ar a laghad.

Ba cheart d’eagraíochtaí a shainiú freisin cé atá in ann stop a chur leis an gcinneadh íocaíochta. Ba cheart go mbeadh údarás sainráite ag an bhfeidhm dlí, ag comhlíonadh, ag an DPO, ag comhairle smachtbhannaí nó ag an mbord caibidlíocht nó íocaíocht a chur ar sos má tá scagadh neamhiomlán, má tá fianaise neamhiontaofa, mura bhfuil coinníollacha an árachóra comhlíonta, nó má d’fhéadfadh an gníomh dlí nó conradh a shárú.

Caomhnú fianaise: ná scrios cruthúnas agus seirbhís á hathshlánú

Bíonn deifir nádúrtha ar fhoirne bogearraí éirice oibríochtaí a athshlánú. Ach má scriosann athshlánú logaí, seatanna, nótaí éirice, samplaí bogearraí mailíseacha, íomhánna cuimhne nó teachtaireachtaí ón ionsaitheoir, d’fhéadfadh an eagraíocht an cumas a chailleadh cruthúnas a thabhairt ar a tharla.

Sa chéim Rialuithe i nGníomh, Céim 23, Rialuithe Eagraíochtúla, tugann Zenith Blueprint treoir d’eagraíochtaí cumais bainistíochta teagmhais a bhailíochtú agus a thástáil trí imeachtaí slándála in-tuairiscithe a shainiú, cinnteoireacht a dhoiciméadú agus fianaise fhóiréinseach a chaomhnú. Tugann sé treoir d’fhoirne:

“Gach cinneadh, ról agus cumarsáid a ghabháil agus a logáil (5.26), agus an plean a nuashonrú le ceachtanna foghlamtha (5.27). Deimhnigh go bhfuil nósanna imeachta i bhfeidhm chun fianaise fhóiréinseach a chaomhnú (5.28), lena n-áirítear seatanna logaí, cúltacaí agus leithlisiú slán córas buailte.”

Míníonn an chéim chéanna A.5.28 i dteanga a thuigfeadh gach bord:

“tá an méid is féidir leat a chruthú chomh tábhachtach céanna leis an méid a tharla i ndáiríre”

Daingníonn Beartas um Bhailiú Fianaise agus Fóiréinsic d’fhiontair Clarysec nach mór don fhianaise fanacht inrianaithe:

“Ní mór loga slabhra coimeádta a bheith in éineacht le gach fianaise fhisiciúil nó dhigiteach ón am faighte go dtí cartlannú nó aistriú agus ní mór dó a dhoiciméadú:”
Ó rannán “Ceanglais rialachais”, clásal beartais 5.6.

Do FBManna, tá an Beartas um Bhailiú Fianaise agus Fóiréinsic - FBM praiticiúil d’aon ghnó:

“Ní mór cóip fhóiréinseach nó easpórtáil a chruthú i gcónaí; ní fhéadfar an fhianaise bhunaidh a chur in eagar go díreach riamh.”
Ó rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.1.1.

Éilíonn sé comhairliúchán dlí freisin nuair a d’fhéadfadh tionchar Acmhainní Daonna, dlí nó custaiméara a bheith ann:

“Má bhaineann an teagmhas le tionchar féideartha Acmhainní Daonna (HR), dlíthiúil nó custaiméara, ní mór don GM comhairle dlí a lorg sula leanfar ar aghaidh le forfheidhmiú nó uaschéimniú.”
Ó rannán “Ceanglais rialachais”, clásal beartais 5.4.2.

Ba cheart pacáiste praiticiúil fianaise a oscailt le linn Gheata 2. Cruthaigh fillteán fianaise teagmhais srianta. Easpórtáil amlínte SIEM, brathuithe EDR, logaí iniúchta scamall, logaí síniú isteach soláthraí aitheantais, stádas jabanna cúltaca, nótaí éirice, gabhálacha scáileáin, teachtaireachtaí ón ionsaitheoir, seoltaí sparáin, samplaí comhad, tagairtí do chomhairle dlí, comhfhreagras leis an árachóir agus cinntí cruinnithe. Sann coimeádaí. Taifead luachanna hais nuair is iomchuí. Ná lig do riarthóirí córais bhuailte a ghlanadh roimh fháil fóiréinseach mura n-éilíonn sábháilteacht beatha, cosaint seirbhíse criticiúla nó srianadh faofa ag feidhmeannaigh é.

Bileog aicmithe amháin do NIS2, DORA agus GDPR

Féadfaidh teagmhas bogearraí éirice ilchloig a spreagadh. Ní hé an dúshlán na spriocdhátaí amháin a bheith ar eolas. Is é an dúshlán fios a bheith agat cathain a tháinig an eagraíocht ar an eolas, cad a bhí ar eolas aici ag an am sin agus conas a rinneadh cinntí aicmithe.

Éilíonn NIS2 Article 23 ar eintitis riachtanacha agus thábhachtacha an CSIRT nó an t-údarás inniúil a chur ar an eolas gan mhoill mhíchuí faoi theagmhais shuntasacha. Tá suntasacht nasctha le cur isteach oibríochtúil tromchúiseach, caillteanas airgeadais, nó damáiste ábhartha nó neamhábhartha suntasach do dhaoine eile. Áirítear sa tsamhail chéimnithe rabhadh luath laistigh de 24 uair an chloig, fógra laistigh de 72 uair an chloig, nuashonruithe idirmheánacha má iarrtar iad agus tuarascáil deiridh laistigh de mhí amháin ón bhfógra teagmhais nuair is infheidhme.

Éilíonn DORA ar eintitis airgeadais bainistíocht teagmhas a bhaineann le TFC a shainiú agus a chur chun feidhme, teagmhais agus bagairtí cibear suntasacha a thaifeadadh, teagmhais a aicmiú ag úsáid critéar amhail cliaint lena mbaineann, fad, leathadh geografach, caillteanas sonraí, criticiúlacht agus tionchar eacnamaíoch, agus mórtheagmhais a bhaineann le TFC a thuairisciú d’údaráis inniúla trí thuarascálacha tosaigh, idirmheánacha agus deiridh.

Cuireann GDPR ceist éagsúil ach forluiteach: ar chruthaigh an teagmhas sárú sonraí pearsanta? Más ea, an dócha go mbeidh riosca ann do dhaoine aonair dá bharr? Má chomhlíontar an tairseach fógra, ní mór fógra don údarás maoirseachta a mheas i gcoinne an chloig 72 uair an chloig. Má tá riosca ard ann, d’fhéadfadh cumarsáid le daoine aonair a bheith riachtanach freisin.

Molann Clarysec bileog aicmithe aonair do bhogearraí éirice a oibriú le rannáin ar leith do gach córas.

Oireann an cur chuige seo do chlásail ISO 27001 maidir le measúnú riosca, cóireáil riosca agus faisnéis dhoiciméadaithe. Ailíníonn sé freisin le NIST CSF 2.0. Tá feidhm GOVERN NIST CSF 2.0 ag súil go dtuigfidh eagraíochtaí páirtithe leasmhara, oibleagáidí dlí agus rialála, goile riosca, rólanna, beartas, maoirseacht agus riosca tríú páirtí. Tacaíonn a thorthaí braite, freagartha agus téarnaimh le dearbhú teagmhais, anailís, comhordú freagartha, fógra do pháirtithe leasmhara, cur chun feidhme téarnaimh agus bailíochtú athshlánaithe.

Maidir le heintitis airgeadais, féadfaidh DORA feidhmiú mar an córas cibearshlándála earnáilsonrach d’oibleagáidí forluiteacha NIS2, ach ní bhaineann sé sin an gá le hinfheidhmeacht NIS2 a thuiscint d’eintitis ghrúpa, soláthraithe TFC, seirbhísí bainistithe nó spleáchais scamall. Ní hé an freagra praiticiúil treoirleabhair oibriúcháin ar leith a choinneáil. Is é an freagra samhail fianaise ISMS amháin a rith atá mapáilte chuig gach oibleagáid ábhartha.

Is rialuithe rialachais iad árachas cibearshlándála agus comhordú soláthraithe

Féadfaidh árachas cibearshlándála a bheith luachmhar, ach ní straitéis bogearraí éirice é. Is sásra aistrithe riosca é le coinníollacha. Le linn teagmhas bogearraí éirice, d’fhéadfadh an t-árachóir fógra láithreach, úsáid gnólachtaí painéil, réamhfhaomhadh do chaibidlíocht, caomhnú fianaise, cruthúnas ar theip cúltaca, cruthúnas ar rialuithe réasúnacha agus athbhreithniú dlí a éileamh sula mbreithnítear aon íocaíocht.

Déanann DORA fearann comhlíonta den chéad scoth de riosca tríú páirtí TFC. Éilíonn NIS2 Article 21 slándáil slabhra soláthair agus breithniú ar leochaileachtaí agus cleachtais chibearshlándála soláthraithe freisin. Tacaíonn ISO 27001 leis an loighic chéanna trí rialuithe soláthraithe agus scamall amhail A.5.19 go A.5.23, chomh maith le rialuithe teagmhais, leanúnachais agus dlí.

Nascann Zenith Controls ullmhú teagmhais le comhpháirtithe seachtracha, lena n-áirítear gnólachtaí fóiréinsice, dlí, PR agus teagmháil le húdaráis. Ó pheirspictíocht iniúchta, d’fhéadfaí breathnú ar easpa comhpháirtithe seachtracha réamhaitheanta mar bhearna ullmhachta toisc go bhféadfadh sé moill a chur ar fhreagairt le linn fíortheagmhais.

Maidir le rialachas íocaíochtaí éirice, molann Clarysec iad seo a réamh-idirbheartú:

• Téarmaí coinneála fóiréinsice nó freagartha tapa.
• Infhaighteacht comhairle dlí sheachtrach do straitéis sáraithe, smachtbhannaí agus pribhléid.
• Conair fógra árachóra cibearshlándála agus liosta soláthraithe ceadaithe.
• Bealach uaschéimnithe soláthraí scamall do sheatanna, logaí, leithlisiú agus téarnamh.
• Nósanna imeachta comhoibrithe teagmhais MSSP nó MDR.
• Próiseas athbhreithnithe PR agus cumarsáide géarchéime.
• Rialuithe faofa baincéireachta nó airgeadais d’aon íocaíocht eisceachtúil.
• Prótacal teagmhála le forfheidhmiú an dlí.

Mapálann sé seo go maith chuig torthaí slabhra soláthair NIST CSF 2.0, lena n-áirítear rólanna agus freagrachtaí soláthraithe, dícheall cuí, ceanglais chonarthacha chibearshlándála, comhordú teagmhais soláthraithe agus gníomhaíochtaí iar-fhoirceanta.

Treoirleabhar praiticiúil uaschéimnithe íocaíochtaí éirice

Is féidir na cúig gheata a aistriú ina dtreoirleabhar oibriúcháin. Ba cheart gach céim a dhoiciméadú, úinéir a shannadh di agus í a chleachtadh.

Ní hé an sprioc cinneadh compordach a ráthú. D’fhéadfadh nach mbeadh aon chinneadh compordach ann. Is é an sprioc a chinntiú go bhfuil an cinneadh údaraithe, bunaithe ar fhianaise, eolach ó thaobh dlí de agus inchosanta.

An cleachtadh boird 90 nóiméad a chruthaíonn ullmhacht

Ní cleachtadh teicniúil red team an bealach is simplí chun rialachas íocaíochtaí éirice a thástáil. Is cleachtadh boird cinnteoireachta é.

Úsáid Zenith Blueprint, an chéim Rialuithe i nGníomh, Céim 23, chun cumas bainistíochta teagmhais a bhailíochtú. Roghnaigh cás bogearraí éirice agus reáchtáil cleachtadh faoi am. Ní hé an cuspóir cinneadh a dhéanamh roimh ré go n-íocfadh an eagraíocht nó nach n-íocfadh sí riamh. Is é an cuspóir a chruthú gur féidir leis an eagraíocht cinneadh rialaithe a bhaint amach.

Cás: tá bunachar sonraí custaiméirí arna óstáil sa scamall criptithe, maíonn an t-ionsaitheoir gur eis-scagadh sonraí, tá cúltacaí ann ach níl tástáil sláine déanta orthu fós, níl an t-árachóir curtha ar an eolas, agus soláthraíonn an t-ionsaitheoir seoladh sparáin le spriocdháta 48 uair an chloig.

Seicliosta cleachtaidh:

• Dearbhaigh an teagmhas agus sann an Ceannasaí Teagmhais.
• Oscail loga cinntí éirice.
• Aicmigh an t-imeacht ag úsáid chritéir A.5.25.
• Sainaithin sócmhainní agus seirbhísí gnó lena mbaineann.
• Cinntigh an bhfuil sonraí pearsanta i gceist.
• Spreag sreafaí oibre measúnaithe GDPR, NIS2, DORA agus conarthacha.
• Cuir an fhoireann dlí, an DPO, an bhainistíocht fheidhmiúcháin, an t-árachóir agus an soláthraí fóiréinseach ar an eolas.
• Caomhnaigh fianaise roimh ghníomhartha téarnaimh millteacha.
• Seiceáil sláine cúltaca agus roghanna athshlánaithe.
• Déan scagadh smachtbhannaí roimh aon chaibidlíocht.
• Taifead an bhfuil comhairliúchán le forfheidhmiú an dlí riachtanach.
• Dréachtaigh ráitis shealadacha do chustaiméirí agus do rialálaithe.
• Cuir roghanna cinnidh faoi bhráid an údaráis fheidhmiúcháin.
• Taifead an cinneadh, an réasúnaíocht, easaontas, faomhadh agus na chéad ghníomhartha eile.
• Sceideal athbhreithniú iar-theagmhais agus gníomhartha feabhsaithe rialaithe.

Ba cheart go mbeadh pacáiste iomlán fianaise mar aschur: liosta freastail, amlíne, bileog oibre aicmithe, loga cinnidh, dréachtaí cumarsáide, míreanna gníomhaíochta dlí, míreanna gníomhaíochta árachóra, torthaí cúltaca agus ceachtanna foghlamtha. Is ór iniúchta é an pacáiste sin toisc go léiríonn sé rialachas ag oibriú roimh fhíorghéarchéim.

Conas a thástálfaidh iniúchóirí agus rialálaithe an próiseas

Scrúdóidh iniúchóirí ó chúlraí éagsúla an próiseas céanna bogearraí éirice trí lionsaí éagsúla.

Soláthraíonn Zenith Controls modheolaíocht mhionsonraithe iniúchta do A.5.24, A.5.25 agus A.5.31. Maidir le A.5.24, scrúdaíonn iniúchóirí an plean freagartha do theagmhais, aicmithe déine, rólanna, liostaí teagmhála, treoracha tuairiscithe rialála, cleachtaí agus socruithe comhpháirtithe seachtracha. Maidir le A.5.25, déanann siad athbhreithniú ar cé acu atá nó nach bhfuil critéir aicmithe imeachtaí ann, an léiríonn taifid láimhseála foláirimh imscrúdú agus cinntí uaschéimnithe, an n-úsáidtear SIEM agus faisnéis bagairtí, agus an bhfuil foirne DPO nó dlí páirteach nuair a d’fhéadfadh sonraí pearsanta a bheith buailte. Maidir le A.5.31, lorgaíonn iniúchóirí cláir dhlíthiúla, mapáil comhlíonta, fianaise athbhreithnithe, clúdach iniúchta inmheánaigh agus tuairisciú don bhainistíocht shinsearach.

Ní hé an riosca iniúchta amháin gur íoc eagraíocht nó gur dhiúltaigh sí íoc. Is é an riosca iniúchta nach féidir le duine ar bith a chruthú conas a rinneadh an cinneadh.

Ó shracadh go feabhsú rialuithe

Ní chríochnaíonn rialachas bogearraí éirice nuair a athshlánaítear córais. Tá ISO 27001 ag súil le feabhsú leanúnach. Tá A.5.27, foghlaim ó theagmhais slándála faisnéise, lárnach don ionchas sin. Éilíonn DORA anailís bunchúise agus rialuithe breise. Tá tuairisciú deiridh NIS2 ag súil le bearta maolaithe agus bunchúis dhóchúil nuair is infheidhme. Tá cuntasacht GDPR ag súil le doiciméadú cinntí agus coimircí.

Ba cheart do gach athbhreithniú iar-theagmhais bogearraí éirice na ceisteanna seo a fhreagairt:

• Ar sainaithníodh na cloig thuairiscithe i gceart?
• Ar oibrigh an t-údarás cinnteoireachta mar a dearadh?
• An raibh athbhreithniú dlí agus smachtbhannaí luath go leor?
• Ar chabhraigh comhordú árachóra leis an bhfreagairt nó ar chuir sé moill uirthi?
• An raibh cúltacaí iomlána, deighilte, in-athshlánaite agus tástáilte?
• An raibh na logaí leordhóthanach chun rochtain agus eis-scagadh sonraí a mheas?
• An raibh soláthraithe freagrúil faoin gconradh?
• An raibh cumarsáidí custaiméirí cruinn agus tráthúil?
• An bhfuair feidhmeannaigh an fhaisnéis cheart ag an am ceart?
• Cé na rialuithe, beartais, conarthaí nó oiliúint nach mór a athrú?

Ba cheart do na freagraí sin an clár rioscaí, an Ráiteas Infheidhmeachta, an plean freagartha do theagmhais, an straitéis cúltaca, conarthaí soláthraithe, an plean cumarsáide agus an clár oiliúna a nuashonrú.

Sa chéim Bonn agus Ceannaireacht ISMS, Céim 5, leagann Zenith Blueprint béim ar phleanáil cumarsáide seachtraí, lena n-áirítear custaiméirí, rialálaithe, comhpháirtithe agus an pobal a shainaithint, cad atá le cumarsáid agus cathain a chinneadh, agus cé a dhéanann an chumarsáid a shainiú. Maidir le bogearraí éirice, éiríonn an chéim sin ina droichead idir freagairt theicniúil agus caomhnú muiníne.

Tóg an taifead cinnidh roimh an nóta éirice

Is é an t-am is fearr chun cinneadh éirice a rialú ná sula socraíonn an t-ionsaitheoir an spriocdháta.

Mura sainmhíníonn do threoirleabhar oibriúcháin do bhogearraí éirice údarás cinnteoireachta, athbhreithniú dlí, scagadh smachtbhannaí, faomhadh árachóra, caomhnú fianaise, aicmiú NIS2 agus DORA, measúnú sáraithe GDPR agus doiciméadú ar leibhéal an Bhoird, tá bearna rialachais ag an eagraíocht atá ag fanacht le géarchéim.

Cabhraíonn Clarysec le heagraíochtaí an cumas seo a thógáil isteach san ISMS trí úsáid a bhaint as:

• Zenith Blueprint: Treochlár 30 Céim d’Iniúchóirí do chur chun feidhme céimnithe ISO 27001, cóireáil riosca, pleanáil cumarsáide agus bailíochtú cumais teagmhais.
• Zenith Controls: An Treoir Tras-Chomhlíonta chun rialuithe ISO 27001 a mhapáil chuig NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 agus fianaise iniúchta.
• Beartais fiontair agus FBM Clarysec, lena n-áirítear Beartas Freagartha do Theagmhais, Beartas Freagartha do Theagmhais - FBM, Beartas um Bhailiú Fianaise agus Fóiréinsic, Beartas um Bhailiú Fianaise agus Fóiréinsic - FBM, Beartas um Rólanna agus Freagrachtaí Rialachais, Beartas um Rólanna agus Freagrachtaí Rialachais - FBM agus Beartas Bainistíochta Riosca.
• Teimpléid phraiticiúla do chleachtaí boird bogearraí éirice, logaí cinnidh, maitrísí uaschéimnithe dlí, pacáistí fianaise agus bileoga oibre tuairiscithe tras-chomhlíonta.

Ná fan leis an nglao 3 ar maidin chun a fháil amach cé atá in ann cinneadh a dhéanamh. Déan athbhreithniú ar do phlean freagartha do theagmhais i gcoinne chúig gheata Clarysec, reáchtáil cleachtadh boird 90 nóiméad ar íocaíocht éirice, agus tóg taifead cinnidh atá sábháilte ó thaobh smachtbhannaí de agus ullamh don iniúchadh, a sheasfaidh an fód os comhair rialálaithe, árachóirí agus do bhoird féin.