Léarscáiliú sreafaí sonraí RoPA le haghaidh GDPR, NIS2 agus DORA

Tá sé 09:10 maidin Dé Máirt agus tá an CISO, an DPO, ceannaire an tsoláthair agus an stiúrthóir oibríochtaí ar an bhfísghlao céanna, ach níl siad ag féachaint ar an bhfianaise chéanna.

Tá Taifead ar Ghníomhaíochtaí Próiseála (RoPA) ag an DPO ina liostaítear ionduchtú custaiméirí, párolla fostaithe, ticéid tacaíochta agus anailísíocht mhargaíochta. Tá fardal sócmhainní néalríomhaireachta ag an CISO. Tá conarthaí soláthraithe ag an bhfoireann soláthair. Tá scarbhileog leanúnachais gnó ag an bhfoireann oibríochtaí. Tá Clár Faisnéise DORA ag airgeadas. Ní féidir le duine ar bith freagra a thabhairt ar an gceist chomhtháite is bunúsaí ón rialálaí:

Má theipeann ar an tseirbhís ionduchtaithe íocaíochta seo, cé na córais, soláthraithe, catagóirí sonraí, fophhróiseálaithe, aistrithe trasteorann sonraí agus feidhmeanna criticiúla gnó a ndéanfar difear dóibh?

Sin í fíorthástáil chomhlíonta 2026.

Éilíonn GDPR taifid chuntasachta faoi Article 30 fós. Tá NIS2 tar éis cibearshlándáil a dhéanamh ina ceist chuntasachta ag leibhéal an chomhlachta bainistíochta d’eintitis riachtanacha agus thábhachtacha. Éilíonn DORA ar eintitis airgeadais fianaise a sholáthar ar spleáchais TFC, ar fheidhmeanna criticiúla nó tábhachtacha, ar shocruithe tríú páirtí TFC, ar aicmiú teagmhas agus ar thástáil athléimneachta. Tugann ISO/IEC 27001:2022 struchtúr an chórais bhainistíochta chun é sin go léir a choinneáil le chéile, ach amháin má chaitear le RoPA agus le léarscáiliú sreafaí sonraí mar fhianaise bheo rialachais seachas mar scarbhileoga de chuid na foirne príobháideachais.

Ag Clarysec, feicimid an patrún céanna i gcuideachtaí SaaS, fintech, néalríomhaireachta, MSP agus teicneolaíochta B2B atá ag fás go tapa. Tá dóthain doiciméadachta acu chun ceistneoir a fhreagairt, ach níl dóthain fianaise nasctha acu chun athbhreithniú maoirseachta, cibear-theagmhas, teip soláthraí nó iniúchadh inmheánach a sheasamh. Is annamh gurb é easpa faisnéise an fhadhb. Is í easpa nascachta an fhadhb.

Is é an réiteach RoPA agus léarscáiliú sreafaí sonraí a dhéanamh den tsraith choiteann fianaise le haghaidh príobháideachais, cibear-athléimneachta, bainistíocht soláthraithe, rialachas néalríomhaireachta agus leanúnachas gnó.

Cén fáth ar tháinig RoPA agus léarscáiliú sreafaí sonraí chun bheith ina gceist rialachais in 2026

Ba ghnách RoPA a fheiceáil mar dhéantán príobháideachais. Is minic a cruthaíodh léarscáileanna sreafaí sonraí le linn DPIA, imirce chuig an néal nó athbhreithniú ar ailtireacht slándála, agus ansin fágadh ag dul in aois iad. Ní oibríonn an cur chuige sin a thuilleadh.

Tá feidhm leathan ag GDPR maidir le próiseáil sonraí pearsanta i gcomhthéacs bunaíochta san AE, agus freisin maidir le go leor rialaitheoirí nó próiseálaithe lasmuigh den AE a thairgeann earraí nó seirbhísí do dhaoine aonair san AE, nó a dhéanann faireachán ar a n-iompar. Cuimsíonn sonraí pearsanta faisnéis a bhaineann le duine sainaitheanta nó inaitheanta. Áirítear le próiseáil bailiú, stóráil, úsáid, nochtadh, srianadh, léirscriosadh agus scriosadh. Socraíonn rialaitheoir na cuspóirí agus na modhanna, agus gníomhaíonn próiseálaí thar ceann rialaitheora.

Dá bhrí sin, ní liosta bunachar sonraí amháin é RoPA. Is taifead é ar chuspóirí gnó, catagóirí sonraí, róil, faighteoirí, tréimhsí coinneála, coimircí agus spleáchais idirnáisiúnta.

Cuireann NIS2 lionsa athléimneachta seirbhíse leis. Cuireann sé go leor eagraíochtaí meánmhéide agus móra in earnálacha ardchriticiúlachta agus in earnálacha criticiúla eile faoi raon feidhme, lena n-áirítear bonneagar digiteach, soláthraithe seirbhísí néalríomhaireachta, soláthraithe seirbhísí lárionad sonraí, líonraí seachadta inneachair, soláthraithe seirbhísí iontaobhais, soláthraithe cumarsáide leictreonaí poiblí, Soláthraithe Seirbhíse Bainistithe agus soláthraithe seirbhísí slándála bainistithe. Áirítear in Iarscríbhinn I freisin bonneagair bhaincéireachta agus margaí airgeadais. Féadfar roinnt eintiteas a chumhdach beag beann ar mhéid, lena n-áirítear soláthraithe áirithe DNS, TLD, seirbhísí iontaobhais agus cumarsáide poiblí, agus eintitis a bhféadfadh cur isteach orthu difear suntasach a dhéanamh do shábháilteacht phoiblí, sláinte phoiblí, riosca sistéamach nó gníomhaíochtaí criticiúla sochaíocha agus eacnamaíocha.

Éilíonn NIS2 Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla comhréireacha le haghaidh córais líonra agus faisnéise a úsáidtear le haghaidh oibríochtaí nó soláthar seirbhísí. Áirítear lena réimsí íosta anailís riosca, beartais slándála, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, forbairt shlán, measúnú éifeachtachta, sláinteachas cibear, cripteagrafaíocht, slándáil AD, rialú rochtana, bainistíocht sócmhainní agus fíordheimhniú.

Maidir le heintiteas NIS2, tá RoPA gan léargas ar spleáchais seirbhíse neamhiomlán. Ní mór teagmhas suntasach a thuiscint i dtéarmaí tionchair seirbhíse, cur isteach oibríochtúil, faighteoirí lena mbaineann, soláthraithe agus impleachtaí trasteorann.

Géaraíonn DORA an pointe céanna d’eintitis airgeadais. Tá feidhm aige ón 17 Eanáir 2025 agus bunaíonn sé ceanglais aonfhoirmeacha maidir le bainistíocht riosca TFC, tuairisciú ar mhórtheagmhais a bhaineann le TFC, tástáil athléimneachta oibríochtúla digití, comhroinnt faisnéise faoi chibearbhagairtí agus leochaileachtaí, riosca tríú páirtí TFC agus socruithe conarthacha le soláthraithe seirbhíse TFC tríú páirtí. Sainmhíníonn DORA seirbhísí TFC go leathan mar sheirbhísí digiteacha agus sonraí a sholáthraítear trí chórais TFC ar bhonn leanúnach. Sainmhíníonn sé feidhm chriticiúil nó thábhachtach mar fheidhm a ndéanfadh cur isteach uirthi dochar ábhartha do fheidhmíocht airgeadais, leanúnachas seirbhíse nó oibleagáidí comhlíonta.

I gcás eintiteas airgeadais a shainaithnítear freisin faoi thrasuí náisiúnta NIS2, caitear le DORA mar ghníomh dlíthiúil earnáilsonrach de chuid an Aontais maidir le ceanglais choibhéiseacha riosca TFC, tuairiscithe teagmhas, tástála, comhroinnte faisnéise agus riosca tríú páirtí. Go praiticiúil, ní féidir le fintech tacar fianaise amháin a thógáil don phríobháideachas, ceann eile do DORA agus ceann eile do NIS2. Teastaíonn sraith rialachais sonraí amháin uaidh atá feasach ar spleáchais.

Is é RoPA móide léarscáiliú sreafaí sonraí an tsraith sin.

Is é ISO/IEC 27001:2022 an cnámh droma

Tá ISO/IEC 27001:2022 tógtha don chineál seo comhtháthaithe. Bunaíonn sé Córas Bainistíochta Slándála Faisnéise, nó ISMS, atá inscálaithe agus atá deartha chun rúndacht, sláine agus infhaighteacht a chaomhnú trí bhainistíocht riosca. Tá sé beartaithe an caighdeán a chomhtháthú i bpróisis eagraíochtúla agus é a scálú de réir riachtanais, mhéid agus struchtúr na heagraíochta.

Ní hé an uirlis léaráidithe an pointe tosaigh. Is é an raon feidhme é.

Éilíonn clásail 4.1 go 4.4 de ISO/IEC 27001:2022 ar an eagraíocht comhthéacs, páirtithe leasmhara, raon feidhme an ISMS agus próisis idirghníomhacha a shainiú. Ní mór don raon feidhme oibleagáidí dlíthiúla, rialála agus conarthacha a chur san áireamh, chomh maith le comhéadain agus spleáchais idir gníomhaíochtaí inmheánacha agus gníomhaíochtaí a dhéanann eagraíochtaí eile. I gcás RoPA agus léarscáiliú sreafaí sonraí, ciallaíonn sé seo gur cheart do raon feidhme an ISMS ardáin néalríomhaireachta sheachfhoinsithe, próiseálaithe íocaíochta, soláthraithe aitheantais, uirlisí tacaíochta, soláthraithe slándála bainistithe agus comhtháthuithe SaaS atá criticiúil don ghnó a ghabháil go sainráite.

Cuireann clásail 5.1 go 5.3 cuntasacht ar cheannaireacht as beartas, acmhainní, sannadh róil agus tuairisciú. Léiríonn sé seo treo NIS2 Article 20, a éilíonn ar chomhlachtaí bainistíochta bearta bainistíochta riosca cibearshlándála a fhaomhadh, maoirseacht a dhéanamh ar chur chun feidhme agus oiliúint a dhéanamh. Ailíníonn sé freisin le DORA Article 5, a thugann freagracht deiridh don chomhlacht bainistíochta as riosca TFC agus as maoirseacht ar bheartais, straitéis athléimneachta, pleananna leanúnachais, pleananna iniúchta, seirbhísí tríú páirtí TFC agus bealaí tuairiscithe mórtheagmhas.

Soláthraíonn clásail 6.1.1 go 6.1.3 an t-inneall pleanála: rioscaí do rúndacht, sláine agus infhaighteacht a shainaithint, úinéirí riosca a shannadh, iarmhairtí agus dóchúlacht a anailísiú, roghanna cóireála a roghnú, rialuithe a chur i gcomparáid le hIarscríbhinn A, an Ráiteas Infheidhmeachta a tháirgeadh agus faomhadh ón úinéir riosca a fháil.

Seo an áit a n-éiríonn RoPA oibríochtúil. Ba cheart gach gníomhaíocht próiseála agus sreabhadh sonraí a nascadh le rioscaí, rialuithe, soláthraithe, sócmhainní agus seirbhísí criticiúla. Mura ndéantar sin, fanfaidh sé ina fhardal príobháideachais nach féidir tacú le freagairt ar theagmhais, tástáil athléimneachta ná cinntí riosca soláthraithe.

Déanann Treochlár 30 céim d’iniúchóir: Zenith Blueprint de chuid Clarysec é seo praiticiúil sa chéim Bainistíocht riosca, Céim 9, Sócmhainní, Bagairtí agus Leochaileachtaí a Shainaithint:

I gcás gach sócmhainne, taifead sonraí lárnacha: Ainm/Tuairisc, Úinéir, Suíomh, agus Aicmiú (íogaireacht). Mar shampla, d’fhéadfadh sócmhainn a bheith mar “Bunachar Sonraí Custaiméirí – faoi úinéireacht na Roinne TF – óstáilte ar AWS – ina bhfuil sonraí pearsanta agus airgeadais (ardíogaireacht).”

Cuireann an Chéim 9 chéanna an léargas comhlíonta lárnach leis: ba cheart sócmhainní sonraí pearsanta a mharcáil le haghaidh ábharthacht GDPR, agus ba cheart sócmhainní seirbhíse criticiúla a thabhairt faoi deara maidir le hinfheidhmeacht fhéideartha NIS2 má tá an eagraíocht in earnáil rialáilte. Sin é an droichead idir RoPA, fardal sócmhainní agus léarscáiliú spleáchas seirbhíse criticiúla.

Cad ba cheart a bheith i RoPA atá réidh le haghaidh iniúchta

Ní gá go mbeadh RoPA láidir casta, ach ní mór dó a bheith nasctha.

Éilíonn GDPR Article 5 go bpróiseálfar sonraí pearsanta go dleathach, go cóir agus go trédhearcach; go mbaileofar iad chun críocha sonraithe agus dlisteanacha; go gcuirfear teorainn leo de réir mar is gá; go gcoinneofar cruinn iad; nach gcoinneofar iad ach chomh fada agus is gá; agus go ndaingneofar iad trí rialuithe teicniúla agus eagraíochtúla cuí. Éilíonn Article 5(2) ar an rialaitheoir a bheith freagrach as comhlíonadh agus in ann comhlíonadh a léiriú.

Éilíonn Article 6 bonn dlíthiúil, amhail toiliú, riachtanas conartha, oibleagáid dhlíthiúil, leasanna ríthábhachtacha, cúram poiblí nó leasanna dlisteanacha. Má dhéantar próiseáil chun críche nua, ní mór comhoiriúnacht críche a mheas trí na cuspóirí bunaidh agus nua, comhthéacs bailithe, íogaireacht, iarmhairtí do dhaoine aonair agus coimircí amhail criptiú nó bréagainmniú a chur san áireamh. Cuireann Article 9 rialacha níos déine leis do chatagóirí speisialta sonraí pearsanta, lena n-áirítear sonraí sláinte, sonraí bithmhéadracha a úsáidtear le haghaidh sainaithint uathúil agus catagóirí íogaire eile.

Iompraíonn tacar beartas FBM Clarysec é seo ina cheanglas oibríochtúil. Deir Beartas um Chosaint Sonraí agus Príobháideachas - FBM:

Ní mór don Chomhordaitheoir Príobháideachais clár a chothabháil de gach gníomhaíocht próiseála sonraí pearsanta, lena n-áirítear catagóirí sonraí, cuspóir, bonn dlíthiúil agus tréimhsí coinneála

Tagann sé sin ón rannán Ceanglais rialachais, clásal 5.2.1. I gcás eagraíochtaí níos mó, sannann Beartas um Chosaint Sonraí agus Príobháideachas Clarysec an fhreagracht go díreach:

Coinníonn sé an Taifead ar Ghníomhaíochtaí Próiseála (RoPA) i gcomhréir le GDPR Article 30.

Tagann an fhoclaíocht sin ó Róil agus freagrachtaí, clásal 4.2.2. Tá an teachtaireacht phraiticiúil simplí: ní mór úinéireacht RoPA a shannadh. Ní féidir leis a bheith ina scarbhileog comhlíonta gan úinéir.

Ba cheart na réimsí seo a leanas a bheith i RoPA atá réidh do 2026.

Is iad na sraitheanna deireanacha a aistríonn RoPA ó dhoiciméadacht phríobháideachais go fianaise cibear-athléimneachta. Gan córais, soláthraithe, suíomhanna, criticiúlacht agus rialuithe, d’fhéadfadh RoPA seicliosta cúng Article 30 a shásamh ach teip chomh luath agus a éilíonn teagmhas, briseadh seirbhíse nó athbhreithniú maoirseachta anailís tionchair.

Nascann léarscáiliú sreafaí sonraí príobháideachas, néalríomhaireacht agus seirbhísí criticiúla

Má fhreagraíonn RoPA “cén phróiseáil atá ann agus cén fáth,” freagraíonn léarscáil sreafaí sonraí “cá mbogann na sonraí, cé a bhaineann leo, cad a chosnaíonn iad agus cad a bhriseann má stopann siad.”

Déanann Beartas Mascála Sonraí agus Bréagainmnithe - FBM Clarysec an ceanglas soiléir:

Ní mór léarscáil sreafaí sonraí a chruthú.

Tagann sé seo ó Cheanglais rialachais, clásal 5.1.1.1. Leathnaíonn an leagan fiontair, Beartas Mascála Sonraí agus Bréagainmnithe, an t-ionchas i gclásal 5.2.1:

Coinnigh fardal cothrom le dáta de chórais agus sreafaí sonraí a bhaineann le sonraí íogaire.

Cuireann clásal 5.2.2 leis:

Mapáil cá háit agus conas a chlaochlaítear, a chomhroinntear nó a rochtaintear sonraí trasna timpeallachtaí.

Ní léaráidí ealaíonta atá á lorg ag iniúchóirí ná rialálaithe. Teastaíonn uathu claochluithe, conairí rochtana, comhroinnt, timpeallachtaí agus coimircí a thuiscint.

Sa Zenith Blueprint, sa chéim Rialuithe i nGníomh, Céim 22, rialuithe eagraíochtúla 5.1 go 5.18, míníonn an treoir maidir le haistriú faisnéise nach mór d’eagraíochtaí modhanna aistrithe ceadaithe a shainiú, iad a ailíniú le haicmiú agus a chinntiú go dtuigeann páirtithe a róil agus a n-oibleagáidí. Tugann sí samplaí amhail ríomhphost criptithe, tairseacha slána, SFTP, APIanna agus seachadadh fisiciúil le criptiú. Tugann sí faoi deara freisin nach mór do shonraí pearsanta a aistrítear thar theorainneacha cloí le hoibleagáidí príobháideachais agus dlíthiúla, ní le roghanna inmheánacha amháin.

Nascann an chéim chéanna aistriú faisnéise le haicmiú agus lipéadú, cosc ar sceitheadh sonraí, caidrimh soláthraithe agus cripteagrafaíocht. Cruthaíonn sé sin samhail phraiticiúil le haghaidh léarscáiliú sreafaí sonraí:

1. Sainaithin an córas foinse, amhail CRM, ardán íocaíochta, HRIS nó deasc tacaíochta.
2. Sainaithin an chatagóir sonraí, lena n-áirítear sonraí pearsanta, sonraí airgeadais, sonraí fostaithe, sonraí catagóire speisialta nó dintiúir.
3. Sainaithin an modh aistrithe, amhail API, SFTP, ríomhphost, tairseach shlán, easpórtáil de láimh nó macasamhlú cúltaca.
4. Sainaithin an ceann scríbe, lena n-áirítear córas inmheánach, seirbhís néalríomhaireachta, soláthraí, fophhróiseálaí, stóras sonraí nó cartlann.
5. Sainaithin an chosaint, amhail criptiú, bréagainmniú, rialú rochtana, logáil, DLP nó srian conarthach.
6. Sainaithin an spleáchas, lena n-áirítear an dtacaíonn an sreabhadh le feidhm chriticiúil ghnó, feidhm chriticiúil nó thábhachtach, seirbhís riachtanach nó oibleagáid tuairiscithe teagmhais.

Tá trí rialú Iarscríbhinn A de ISO/IEC 27001:2022 thar a bheith tábhachtach anseo. Soláthraíonn ISO/IEC 27002:2022 an treoir cur chun feidhme do na rialuithe seo:

Sainaithníonn Zenith Controls: an treoir tras-chomhlíonta de chuid Clarysec 5.9, 5.14 agus 5.34 mar rialuithe atá ábhartha don tsraith rialachais seo. Caith leo mar rialuithe ancaire, ansin nasc iad le rialuithe soláthraithe, néalríomhaireachta, teagmhas, leanúnachais, logála, rochtana agus cripteagrafaíochta trí do Ráiteas Infheidhmeachta.

Cén fáth a dteastaíonn níos mó ná clár príobháideachais ó NIS2 agus DORA

Botún coitianta is ea RoPA a thógáil atá ceart ó thaobh GDPR de ach gan úsáid do NIS2 nó DORA. Is í criticiúlacht seirbhíse an difríocht.

Éilíonn NIS2 Article 23 ar eintitis riachtanacha agus thábhachtacha teagmhais shuntasacha a fhógairt gan mhoill mhíchuí. Áirítear lena shamhail tuairiscithe rabhadh luath laistigh de 24 uair, fógra teagmhais laistigh de 72 uair agus tuarascáil deiridh laistigh de mhí amháin. Déantar teagmhais shuntasacha a mheas de réir cur isteach oibríochtúil tromchúiseach, caillteanas airgeadais, nó damáiste ábhartha nó neamhábhartha do dhaoine nádúrtha nó dlítheanacha eile. Braitheann an measúnú sin ar eolas a bheith agat faoi na seirbhísí, faighteoirí, tíortha, córais agus soláthraithe a ndéantar difear dóibh.

Éilíonn DORA Article 17 ar eintitis airgeadais próiseas bainistíochta teagmhas a bhaineann le TFC a shainiú agus a chur chun feidhme, próiseas a bhrathann, a bhainistíonn agus a fhógraíonn teagmhais, a thaifeadann teagmhais agus cibearbhagairtí suntasacha, a shainaithníonn bunchúiseanna, a shocraíonn táscairí luathrabhaidh, a aicmíonn teagmhais de réir déine agus chriticiúlacht na seirbhísí lena mbaineann, a shannann róil agus a chruthaíonn nósanna imeachta cumarsáide agus uaschéimnithe. Éilíonn Article 18 aicmiú ag úsáid cliaint nó contrapháirtithe agus idirbhearta lena mbaineann, fad agus aga neamhfhónaimh, leathadh geografach, caillteanas sonraí a dhéanann difear d’infhaighteacht, barántúlacht, sláine nó rúndacht, criticiúlacht na seirbhísí lena mbaineann agus tionchar eacnamaíoch.

Ní féidir teagmhas a aicmiú go tapa mura bhfuil an sreabhadh sonraí agus an slabhra spleáchais ar eolas agat.

Tugann Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste - FBM Clarysec aird ar an réimse fianaise atá de dhíth ar eagraíochtaí:

seirbhísí agus córais tosaíochta (feidhmeanna criticiúla gnó)

Tagann sé seo ó Cheanglais rialachais, clásal 5.2.1.2. Cuireann an leagan fiontair, Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste, an ghné spleáchais leis i gclásal 5.2.4:

Spleáchais chriticiúla (córais, soláthraithe, pearsanra)

I gcás eagraíochtaí atá rialáilte ag DORA, ní mór é seo a ailíniú le feidhmeanna criticiúla nó tábhachtacha, seirbhísí TFC, socruithe conarthacha agus straitéisí scoir. Éilíonn DORA Article 28 go mbainisteofar riosca tríú páirtí TFC mar chuid den chreat riosca TFC. Éilíonn sé clár socruithe conarthacha seirbhíse TFC, dícheall cuí réamhchonarthach agus measúnú ar chriticiúlacht, riosca comhchruinnithe, oiriúnacht agus coinbhleachtaí leasa, agus éilíonn sé straitéisí scoir do sheirbhísí TFC a thacaíonn le feidhmeanna criticiúla nó tábhachtacha.

Sonraíonn DORA Article 30 téarmaí íosta conartha TFC, lena n-áirítear tuairiscí seirbhíse, coinníollacha fochonarthóireachta, suíomhanna próiseála agus stórála sonraí, cosaint sonraí, rochtain, athshlánú agus filleadh sonraí, leibhéil seirbhíse, cúnamh teagmhais, comhoibriú le húdaráis, cearta foirceanta, cearta iniúchta agus socruithe aistrithe nó scoir.

Ní thacóidh RoPA nach sainaithníonn soláthraithe, suíomhanna, modhanna aistrithe, criticiúlacht agus spleáchais scoir le fianaise DORA.

Is ag léarscáiliú soláthraithe, néalríomhaireachta agus fophhróiseálaithe a bhriseann fianaise go minic

In iniúchtaí fíora, is minic a thaispeántar teipeanna RoPA mar theipeanna soláthraithe. Deir an ghníomhaíocht phróiseála “tacaíocht custaiméirí.” Deir an léarscáil sreafaí sonraí “ardán tacaíochta.” Ach ní féidir le haon duine an réigiún óstála, breiseán trascríofa IS, fophhróiseálaí anailísíochta, coinneáil ceangaltán ticéid, samhail rochtana riaracháin nó nós imeachta scoir a shainaithint.

Cruthaíonn beartas soláthraithe FBM Clarysec an fhianaise oibríochtúil íosta. Deir Beartas Slándála Tríú Páirtí agus Soláthraithe - FBM:

Ní mór Clár Soláthraithe a chothabháil agus a nuashonrú ag an teagmhálaí riaracháin nó soláthair. Ní mór dó seo a leanas a áireamh:

Tagann sé seo ó Cheanglais rialachais, clásal 5.4. Cuireann an beartas néalríomhaireachta ceanglas fardail ar leith leis. Deir Beartas Úsáide Néalríomhaireachta - FBM:

Ní mór Clár Seirbhísí Néalríomhaireachta a chothabháil ag an soláthraí TF nó ag an mBainisteoir Ginearálta. Ní mór dó taifead a dhéanamh ar:

Tagann sé seo ó Cheanglais rialachais, clásal 5.3. Maidir le riosca spleáchais fiontair, tá Beartas Bainistíochta Riosca Spleáchais ar Sholáthraithe Clarysec níos sainráití:

Clár spleáchais ar sholáthraithe: Coinneoidh an VMO clár cothrom le dáta de gach soláthraí criticiúil, lena n-áirítear sonraí amhail seirbhísí/táirgí a sholáthraítear; cibé acu an soláthraí foinse aonair é; soláthraithe malartacha atá ar fáil nó inmhalartaitheacht; téarmaí reatha conartha; agus measúnú ar an tionchar dá dteipfeadh ar an soláthraí nó dá mbeadh sé comhréitithe. Sainaithneoidh an clár go soiléir soláthraithe ard-spleáchais (m.sh., iad siúd nach bhfuil aon rogha mhalartach thapa ar fáil dóibh).

Is é an ceanglas sin, ó chlásal 6.1 de Cheanglais cur chun feidhme, a nascann RoPA go díreach le slándáil slabhra soláthair NIS2 agus riosca tríú páirtí TFC DORA.

Molann an Zenith Blueprint, sa chéim Rialuithe i nGníomh, Céim 23, rialuithe eagraíochtúla 5.19 go 5.37, liosta iomlán soláthraithe a thiomsú, soláthraithe a aicmiú bunaithe ar rochtain ar chórais, ar shonraí nó ar rialú oibríochtúil, ionchais slándála a leabú i gconarthaí, fochonraitheoirí a athbhreithniú, truicir athraithe soláthraithe a bhunú agus próiseas meastóireachta seirbhíse néalríomhaireachta a thógáil a chlúdaíonn suíomh sonraí, samhail rochtana, logáil agus criptiú.

Sin a ligeann do CISO freagra a thabhairt le linn teagmhais: “Cén tseirbhís chriticiúil a úsáideann an soláthraí seo, cé na sonraí a nochtadh, cé na custaiméirí nach mór a fhógairt, cén rialálaí a bhféadfadh tuarascáil a bheith ag teastáil uaidh agus cén soláthraí malartach nó conair scoir atá ann?”

Sampla praiticiúil: ionduchtú custaiméirí i fintech

Samhlaigh fintech a sholáthraíonn ionduchtú sparán digiteach. Uaslódálann custaiméirí doiciméid aitheantais, déanann díoltóir seiceálacha bithmhéadracha beochta, stóráiltear torthaí i mbunachar sonraí néalríomhaireachta, agus is féidir le tacaíocht custaiméirí stádas fíoraithe a fheiceáil in uirlis ticéadaithe.

D’fhéadfadh an tseirbhís ionduchtaithe a bheith ina feidhm chriticiúil nó thábhachtach faoi DORA toisc go ndéanann cur isteach difear ábhartha do leanúnachas seirbhíse agus d’oibleagáidí rialála. Má tá an chuideachta in earnáil NIS2 nó má sholáthraíonn sí seirbhísí TFC ábhartha, féadfaidh sí a bheith mar chuid d’fhianaise seirbhíse criticiúla freisin.

Tosaíonn léarscáil úsáideach le taifead comhcheangailte amháin.

Anois cuir inrianaitheacht cóireála riosca ISO/IEC 27001:2022 leis.

Sa Zenith Blueprint, sa chéim Bainistíocht riosca, Céim 13, Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta, déanann Clarysec cur síos ar an SoA mar dhoiciméad droichid a nascann measúnú riosca agus cóireáil riosca le rialuithe iarbhír. Molann sé rialuithe a mhapáil le rioscaí agus rialacháin amhail GDPR, NIS2 nó DORA a thras-tagairt sa chlár rioscaí nó i nótaí SoA nuair is ábhartha.

Don sampla ionduchtaithe, d’fhéadfadh an cás riosca a bheith: “Cuireann briseadh seirbhíse nó comhréiteach ag an soláthraí fíoraithe aitheantais isteach ar ionduchtú agus nochtann sé sonraí bithmhéadracha aitheantais.” D’fhéadfadh na rialuithe cóireála dícheall cuí soláthraithe, fógra conarthach teagmhais, criptiú, rialú rochtana, logáil, cúltaca agus téarnamh, íoslaghdú sonraí, bréagainmniú, faireachán, pleanáil scoir agus playbooks freagartha ar theagmhais a áireamh.

Féadfaidh nóta an SoA a rá go dtacaíonn an tacar rialuithe le cuntasacht GDPR, le slabhra soláthair agus ullmhacht teagmhais NIS2 Article 21, agus le riosca tríú páirtí TFC agus athléimneacht feidhme criticiúla DORA.

Sin atá á lorg ag iniúchóirí: inrianaitheacht.

Mapáil tras-chomhlíonta: sraith fianaise amháin, ceisteanna iomadúla

Ní silos comhlíonta ar leith iad RoPA agus léarscáiliú sreafaí sonraí. Tacaíonn siad le tacar coiteann ceisteanna trasna GDPR, NIS2, DORA, ISO/IEC 27001:2022, NIST CSF 2.0 agus COBIT 2019.

Tá NIST CSF 2.0 úsáideach mar shraith eagraithe. Tacaíonn a Phróifílí CSF le hanailís ar staid reatha agus ar staid sprice ag úsáid ionchuir amhail beartais, tosaíochtaí riosca, cláir tionchair ghnó, ceanglais, caighdeáin, cleachtais, uirlisí agus róil oibre. Áirítear lena fheidhm GOVERN oibleagáidí dlíthiúla, rialála, conarthacha, príobháideachais agus saoirsí sibhialta, cuspóirí riosca, cuntasacht cheannaireachta, róil, beartas, maoirseacht agus athbhreithniú feidhmíochta. Éilíonn a thorthaí slabhra soláthair go mbeadh soláthraithe ar eolas agus tosaíochtaithe de réir criticiúlachta, go ndéanfaí ceanglais chibearshlándála chonarthacha a chomhtháthú, go ndéanfaí dícheall cuí roimh chaidrimh, go dtaifeadfaí agus go ndéanfaí faireachán ar rioscaí soláthraithe, agus go n-áireofaí soláthraithe i bpleanáil freagartha ar theagmhais agus téarnaimh.

Mapálann sé sin go néata le samhail oibriúcháin RoPA Clarysec. Tugann an RoPA comhthéacs príobháideachais. Tugann an fardal sócmhainní comhthéacs teicniúil. Tugann na cláir soláthraithe agus néalríomhaireachta comhthéacs tríú páirtí. Tugann an BIA comhthéacs criticiúlachta. Tugann an SoA comhthéacs rialaithe.

Féadfaidh rialú amháin Iarscríbhinn A de ISO/IEC 27001:2022 tacú freisin le roinnt creataí. Is sampla maith é Rialú 5.14, Aistriú faisnéise.

Is é seo luach Zenith Controls mar chompás tras-chomhlíonta. Cabhraíonn sé le heagraíochtaí a mhíniú cén fáth a dtacaíonn cleachtas rialaithe amháin le hionchais iomadúla rialála agus iniúchta.

Conas a thástálfaidh iniúchóirí éagsúla an léarscáil chéanna

Féadfaidh RoPA agus léarscáil sreafaí sonraí aibí roinnt iniúchóirí a shásamh, ach rachaidh gach ceann acu chuige ar bhealach difriúil.

Tosóidh iniúchóir ISO/IEC 27001:2022 le raon feidhme, páirtithe leasmhara, rioscaí, faisnéis dhoiciméadaithe agus roghnú rialuithe. Fiafróidh siad ar sainaithníodh ceanglais dhlíthiúla agus chonarthacha, an bhfuil sonraí pearsanta agus seirbhísí criticiúla laistigh de raon feidhme an ISMS, an bhfuil úinéirí agus aicmithe ag sócmhainní, ar mheas an measúnú riosca rúndacht, sláine agus infhaighteacht, agus an dtugann an SoA údar le rialuithe infheidhme.

Tosóidh iniúchóir GDPR nó rialálaí príobháideachais le cuntasacht. Tástálfaidh siad an léiríonn an RoPA próiseáil fhíor, an bhfuil cuspóirí agus boinn dhlíthiúla doiciméadaithe, an bhfuil sonraí catagóire speisialta sainaitheanta, an gcuirtear tréimhsí coinneála i bhfeidhm, an bhfuil faighteoirí agus próiseálaithe cruinn, agus an bhfuil coimircí cuí ann d’aistrithe agus do shlándáil.

Féachfaidh iniúchóir atá dírithe ar NIS2 ar thionchar seirbhíse. Fiafróidh siad conas a chinneann an eagraíocht seirbhísí criticiúla nó tábhachtacha, conas a d’fhaomh agus a mhaoirsigh an bhainistíocht na bearta riosca, conas a chuirtear leochaileachtaí soláthraithe agus rioscaí soláthraithe seirbhíse san áireamh, conas atá leanúnachas agus láimhseáil teagmhas nasctha, agus an féidir leis an eagraíocht tacú le hamlínte tuairiscithe 24 uair, 72 uair agus deiridh le fianaise iontaofa.

Féachfaidh iniúchóir DORA ar rialachas riosca TFC agus ar fheidhmeanna criticiúla nó tábhachtacha. Tástálfaidh siad an bhfuil an creat riosca TFC agus an straitéis athléimneachta faofa ag an gcomhlacht bainistíochta, an bhfuil socruithe tríú páirtí TFC cláraithe, an ndéantar criticiúlacht agus riosca comhchruinnithe a mheas, an bhfuil na téarmaí riachtanacha i gconarthaí, an gclúdaíonn tástáil córais a thacaíonn le feidhmeanna criticiúla nó tábhachtacha, agus an n-aicmítear teagmhais ag úsáid cliant lena mbaineann, idirbhearta, aga neamhfhónaimh, tíreolaíocht, caillteanas sonraí, criticiúlacht seirbhíse agus tionchar eacnamaíoch.

Is minic a úsáidfidh measúnóir NIST CSF 2.0 próifílí. Cuirfidh siad torthaí reatha agus spriocthorthaí i gcomparáid trasna GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND agus RECOVER. Éiríonn RoPA agus léarscáileanna sreafaí sonraí ina n-ionchuir i mbainistíocht oibleagáidí dlíthiúla, fardail sócmhainní, riosca soláthraithe, cosaint sonraí, faireachán, cumarsáidí teagmhais agus pleanáil téarnaimh.

Díreoidh iniúchóir COBIT 2019 nó iniúchóir de stíl ISACA ar rialachas, úinéireacht agus cumas próisis. Tástálfaidh siad an bhfuil úinéireacht ar shreafaí faisnéise, an bhfuil cearta cinnteoireachta soiléir, an gcuirtear goile riosca i bhfeidhm, an ndéantar faireachán ar rialuithe, an n-uaschéimnítear eisceachtaí, agus an bhfuil fianaise sách iontaofa le haghaidh dearbhú bainistíochta.

Patrúin choitianta teipe

Tá na teipeanna is minice i RoPA agus léarscáiliú sreafaí sonraí intuartha.

Ar dtús, liostaíonn an RoPA gníomhaíochtaí próiseála ach ní liostaíonn sé córais. Fágann sé sin nach féidir cuntasacht GDPR a nascadh le bainistíocht leochaileachtaí, athbhreithnithe rochtana, cúltaca, logáil ná freagairt ar theagmhais.

Ar an dara dul síos, stopann léarscáileanna sreafaí sonraí ag an gcéad soláthraí. Ní léiríonn siad fophhróiseálaithe, réigiúin néalríomhaireachta, rochtain tacaíochta, uirlisí anailísíochta, ardáin faireacháin ná suíomhanna cúltaca.

Ar an tríú dul síos, sainaithníonn pleananna leanúnachais gnó córais ach ní shainaithníonn siad sonraí pearsanta. Le linn briseadh seirbhíse, tuigeann an eagraíocht tosaíocht téarnaimh ach ní thuigeann sí tionchar príobháideachais.

Ar an gceathrú dul síos, gabhann cláir soláthraithe úinéirí conartha ach ní ghabhann siad criticiúlacht, inmhalartaitheacht, catagóirí sonraí, oibleagáidí fógra teagmhais ná roghanna scoir.

Ar an gcúigiú dul síos, scríobhtar an SoA mar dhoiciméad deimhniúcháin seachas mar dhroichead rialaithe. Deir sé go bhfuil rialuithe infheidhme, ach ní mhíníonn sé cén fhadhb fianaise GDPR, NIS2 nó DORA a chuidíonn an rialú lena réiteach.

Faoi dheireadh, tá úinéireacht ilroinnte. Tá RoPA faoi úinéireacht an DPO, sócmhainní faoi úinéireacht TF, soláthraithe faoi úinéireacht soláthair, BIA faoi úinéireacht oibríochtaí, cláir DORA faoi úinéireacht airgeadais agus níl an léarscáil spleáchais chomhtháite faoi úinéireacht aon duine.

Réitíonn cur chuige Clarysec é seo trí chuspóirí fianaise a shannadh d’úinéirí beartais, agus ansin céimeanna Zenith Blueprint a úsáid chun sócmhainní, rioscaí, rialuithe agus inrianaitheacht SoA a nascadh.

Plean cur chun feidhme 30 lá

Ní gá duit an fharraige a fhiuchadh. Tosaigh leis na seirbhísí is tábhachtaí.

Seachtain 1: Roghnaigh trí ghníomhaíocht phróiseála chriticiúla nó ardriosca. Is iarrthóirí maithe iad ionduchtú custaiméirí, próiseáil íocaíochtaí, riarachán AD fostaithe, ticéadaíocht tacaíochta nó faireachán slándála. I gcás gach ceann, bailíochtaigh an iontráil RoPA i gcoinne córais iarbhír, catagóirí sonraí, cuspóirí, boinn dhlíthiúla agus rialacha coinneála.

Seachtain 2: Tóg léarscáileanna sreafaí sonraí do na gníomhaíochtaí sin. Sainaithin foinse, ceann scríbe, modh aistrithe, timpeallacht, soláthraí, fophhróiseálaí, suíomh sonraí, conair rochtana, claochlú agus pointe coinneála. Úsáid ceanglas Beartas Mascála Sonraí agus Bréagainmnithe Clarysec chun fardail de chórais agus de shreafaí sonraí a bhaineann le sonraí íogaire a chothabháil.

Seachtain 3: Nasc gach sreabhadh le sócmhainní, soláthraithe, seirbhísí néalríomhaireachta agus feidhmeanna criticiúla gnó. Úsáid Zenith Blueprint Céim 9 le haghaidh úinéireacht sócmhainní agus aicmiú. Úsáid ceanglais bheartais an chláir soláthraithe agus néalríomhaireachta chun fianaise tríú páirtí a ghabháil. Úsáid an beartas leanúnachais gnó chun seirbhísí tosaíochta agus spleáchais chriticiúla a shainaithint.

Seachtain 4: Cuir inrianaitheacht riosca agus rialaithe leis. I gcás gach sreafa, cruthaigh nó nuashonraigh cásanna riosca. Mapáil rialuithe sa SoA ag úsáid Zenith Blueprint Céim 13. Cuir nótaí leis maidir le cuntasacht GDPR Article 30, bearta riosca NIS2 Article 21 agus fianaise spleáchais TFC DORA nuair is infheidhme.

Ansin reáchtáil cleachtadh boird amháin: “Briseadh seirbhíse soláthraí móide nochtadh sonraí i seirbhís chriticiúil.” Tástáil an dtacaíonn d’fhianaise le haicmiú teagmhais, cinntí fógra, cumarsáid custaiméirí, cumarsáid rialálaí agus tosaíochtú téarnaimh.

Faoi dheireadh 30 lá, beidh samhail in-athúsáidte agat don chuid eile den eagraíocht.

Bealach Clarysec: RoPA a iompú ina fhianaise bheo athléimneachta

Ní riarachán príobháideachais amháin iad RoPA agus léarscáiliú sreafaí sonraí a thuilleadh. Is iad an fíochán nascach iad idir cuntasacht GDPR, rialachas seirbhíse criticiúla NIS2 agus fianaise spleáchais TFC DORA.

Ní hiad na heagraíochtaí leis na doiciméid is mó a éireoidh is fearr in 2026. Is iad na heagraíochtaí a bheidh in ann seirbhís ghnó a rianú chuig a gníomhaíochtaí próiseála, sreafaí sonraí, córais, soláthraithe, réigiúin néalríomhaireachta, conarthaí, rialuithe, rioscaí, tairseacha teagmhais agus pleananna téarnaimh.

Cabhraíonn Clarysec le foirne an inrianaitheacht sin a thógáil gan maorlathas neamhriachtanach. Sannann ár sraith beartas úinéireacht agus ceanglais fianaise. Soláthraíonn an Zenith Blueprint an treochlár cur chun feidhme, lena n-áirítear sainaithint sócmhainní, cur chun feidhme rialuithe soláthraithe agus néalríomhaireachta, agus inrianaitheacht SoA. Soláthraíonn Zenith Controls an compás tras-chomhlíonta chun rialuithe Iarscríbhinn A de ISO/IEC 27001:2022 a mhapáil le hionchais phríobháideachais, athléimneachta, soláthraithe, néalríomhaireachta agus iniúchta.

Tá do chéad chéim eile simplí: roghnaigh seirbhís chriticiúil amháin, iontráil RoPA amháin agus sreabhadh sonraí amháin a dtacaíonn soláthraí leis. Mapáil ó cheann ceann go ceann é. Mura féidir leat na sonraí, an spleáchas, an rialú agus tionchar teagmhais a mhíniú ar leathanach amháin, níl do shraith fianaise réidh do 2026.

Is féidir le Clarysec cabhrú leat í a ullmhú. Féach ar an Zenith Blueprint, neartaigh do rialachas leis an Beartas um Chosaint Sonraí agus Príobháideachas agus leis an Beartas Bainistíochta Riosca Spleáchais ar Sholáthraithe, agus úsáid Zenith Controls chun fianaise chomhlíonta ilroinnte a iompú ina samhail oibriúcháin amháin atá réidh le haghaidh iniúchta.