Kontinuirano praćenje usklađenosti s NIS2 i DORA
Pitanje petkom poslijepodne na koje svaki CISO sada mora odgovoriti
U petak u 16:40 CISO platforme za plaćanja u oblaku u roku od deset minuta prima tri poruke.
Prva je od CFO-a: „Naš bankarski partner traži ažurirane dokaze da ispunjavamo očekivanja DORA u području IKT rizika trećih strana i prijavljivanja incidenata.”
Druga je od glavnog pravnog savjetnika: „Naša upravljana sigurnosna usluga može nas dovesti u opseg nacionalnog propisa kojim je prenesena NIS2. Možemo li dokazati nadzor uprave i djelotvornost kontrola?”
Treća je od voditelja inženjeringa: „Zakrpali smo kritičnu ranjivost, ali zaostatak pokazuje 38 prekoračenih nalaza srednje ozbiljnosti. Moramo li eskalirati?”
To je trenutak u kojem godišnja usklađenost prestaje funkcionirati.
PDF politike, registar rizika zadnji put ažuriran prije prethodne revizije i mapa sa snimkama zaslona nisu dovoljni za NIS2 i DORA. Ti režimi očekuju živo upravljanje, nadzor uprave, radne tokove za incidente, vidljivost dobavljača, testiranje otpornosti, korektivne radnje i dokazivu djelotvornost kontrola.
Za mnoge CISO-ove pritisak nije teorijski. Prijenos NIS2 u zakonodavstva država članica EU pomaknuo je kibernetičku sigurnost iz tehničkog programa u pitanje odgovornosti uprave. DORA se primjenjuje od 17. siječnja 2025. i financijskim subjektima daje sektorski okvir pravila za operativnu otpornost u području IKT rizika, prijavljivanja incidenata, testiranja i rizika trećih strana. Pružatelji usluga oblaka, SaaS-a, upravljanih usluga, upravljane sigurnosti, podatkovnih centara, isporuke sadržaja, usluga povjerenja i javnih elektroničkih komunikacija također mogu imati izravne ili neizravne obveze, ovisno o opsegu, veličini, sektoru, nacionalnoj klasifikaciji i ugovorima s klijentima.
Praktično pitanje više nije: „Imamo li kontrolu?”
Sada glasi: „Tko je vlasnik kontrole, koja metrika dokazuje da kontrola radi, koliko često prikupljamo dokaze i što se događa kada metrika zakaže?”
To je srž kontinuiranog praćenja usklađenosti s NIS2 i DORA. U Clarysec implementacijama koristimo ISO/IEC 27001:2022 kao okosnicu sustava upravljanja, ISO/IEC 27002:2022 kao jezik kontrola, Zenith Blueprint: Plan revizora u 30 koraka kao redoslijed implementacije i Zenith Controls: Vodič za međuokvirnu usklađenost kao kompas za međuokvirnu usklađenost koji povezuje dokaze ISO/IEC 27001:2022 s NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 i revizijskim očekivanjima.
Zašto NIS2 i DORA čine periodičnu usklađenost nedovoljnom
NIS2 i DORA razlikuju se po pravnoj strukturi, modelu nadzora i opsegu, ali stvaraju isti operativni pritisak. Kibernetičkom sigurnošću i IKT otpornošću mora se upravljati kontinuirano.
NIS2 zahtijeva od ključnih i važnih subjekata primjenu odgovarajućih i razmjernih tehničkih, operativnih i organizacijskih mjera uz pristup koji obuhvaća sve vrste prijetnji. Te mjere uključuju analizu rizika, politike sigurnosti informacijskih sustava, postupanje s incidentima, neprekidnost poslovanja, krizno upravljanje, sigurnost opskrbnog lanca, sigurnu nabavu i razvoj, postupanje s ranjivostima, procjenu djelotvornosti, kibernetičku higijenu, osposobljavanje, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom i višefaktorsku autentifikaciju gdje je primjereno. Upravljačka tijela moraju odobriti mjere upravljanja rizicima kibernetičke sigurnosti, nadzirati njihovu provedbu i proći osposobljavanje.
DORA to za financijske subjekte čini još izričitijim. Zahtijeva unutarnje mehanizme upravljanja i kontrole za IKT rizik, dokumentirani okvir za upravljanje IKT rizicima, odgovornost upravljačkog tijela, upravljanje i prijavljivanje incidenata povezanih s IKT-om, testiranje digitalne operativne otpornosti, upravljanje IKT rizikom trećih strana, praćenje postupanja po revizijskim nalazima, osposobljavanje i komunikacijske mehanizme. DORA također jasno navodi da financijski subjekti ostaju odgovorni za usklađenost kada koriste pružatelje IKT usluga trećih strana.
Time nastaje nova stvarnost usklađenosti. CISO ne može čekati mjesec revizije da bi otkrio da:
- pregledi privilegiranog pristupa nisu provedeni dva tromjesečja;
- planovi izlaska od dobavljača jesu dokumentirani, ali nikada nisu testirani;
- kriteriji ozbiljnosti incidenata nisu mapirani na regulatorne pragove prijavljivanja;
- sigurnosne kopije jesu konfigurirane, ali nedostaju dokazi o vraćanju;
- uprava nikada nije pregledala prekoračene aktivnosti obrade rizika;
- ugovori o uslugama u oblaku nemaju prava na reviziju, vidljivost podizvršitelja ili odredbe o obavješćivanju o incidentima.
Stari projektni model stvara cikluse panike. Timovi se prije revizije užurbano organiziraju, prikupljaju snimke zaslona, ažuriraju datume politika i nadaju se da dokazi pričaju koherentnu priču. NIS2 i DORA osmišljeni su tako da takav pristup ne prođe. Usmjereni su na odgovornost, razmjernost, otpornost i dokaze o stvarnom radu kontrola.
ISO/IEC 27001:2022 pruža operativni sustav za ovaj problem. Njegove točke zahtijevaju da organizacije razumiju kontekst, zainteresirane strane, pravne i ugovorne zahtjeve, opseg, vodstvo, uloge, procjenu rizika, obradu rizika, Izjavu o primjenjivosti, operativno planiranje, vrednovanje učinkovitosti, internu reviziju, preispitivanje od strane uprave, postupanje s nesukladnostima i kontinuirano poboljšanje. Ta je struktura idealna za spajanje NIS2, DORA, GDPR, programa dokazivanja sigurnosti za potrebe klijenata i internog rizika u jedan model kontinuiranog praćenja.
Kontinuirana usklađenost ne znači više nadzornih ploča. Ona znači upravljani ritam prikupljanja dokaza.
Izgradite mehanizam usklađenosti na ISO/IEC 27001:2022
Mnoge organizacije pogrešno shvaćaju ISO/IEC 27001:2022 samo kao certifikacijski okvir. U praksi je to sustav upravljanja rizicima za ponovljivo, mjerljivo i revizijski provjerljivo upravljanje sigurnošću.
To je važno jer NIS2 i DORA nisu izolirani kontrolni popisi. Zahtijevaju operativni model koji može preuzeti pravne zahtjeve, prevesti ih u kontrole, dodijeliti vlasništvo, pratiti učinkovitost i poboljšavati se kada se utvrde praznine.
Temeljne točke ISO/IEC 27001:2022 pružaju taj model:
| Točka ISO/IEC 27001:2022 | Svrha kontinuirane usklađenosti | Vrijednost za NIS2 i DORA |
|---|---|---|
| 4.1 Razumijevanje organizacije i njezina konteksta | Definira interne i vanjske čimbenike koji utječu na kibernetičku sigurnost i otpornost | Obuhvaća regulatornu izloženost, poslovne ovisnosti, okruženje prijetnji i operativni kontekst |
| 4.2 Razumijevanje potreba i očekivanja zainteresiranih strana | Identificira regulatore, klijente, partnere, dobavljače i pravne obveze | Uvodi NIS2, DORA, GDPR, ugovore i nadzorna očekivanja u ISMS |
| 4.3 Određivanje opsega ISMS-a | Definira usluge, lokacije, tehnologije, dobavljače i poslovne granice | Sprječava da regulirane IKT usluge i kritične ovisnosti ostanu izvan praćenja |
| 5.1 Vodstvo i predanost | Zahtijeva odgovornost najvišeg rukovodstva i integraciju u poslovne procese | Podržava odgovornost upravljačkog tijela prema NIS2 i DORA |
| 5.3 Organizacijske uloge, odgovornosti i ovlasti | Dodjeljuje odgovornosti i ovlasti za ISMS | Stvara odgovorno vlasništvo nad kontrolama i putove eskalacije |
| 6.1.3 Obrada rizika informacijske sigurnosti | Odabire kontrole i izrađuje Izjavu o primjenjivosti | Pretvara obveze u jedinstveni okvir kontrola |
| 9.1 Praćenje, mjerenje, analiza i vrednovanje | Zahtijeva praćenje učinkovitosti i djelotvornosti ISMS-a | Podržava oblikovanje KPI-jeva, KRI-jeva i ritma prikupljanja dokaza |
| 9.2 Interna revizija | Provjerava je li ISMS usklađen i djelotvorno implementiran | Podržava neovisno osiguranje i regulatorno dokazivu poziciju |
| 9.3 Preispitivanje od strane uprave | Donosi informacije o učinkovitosti, riziku, reviziji i poboljšanjima rukovodstvu | Podržava nadzor i odluke na razini odbora |
| 10.1 Kontinuirano poboljšanje | Zahtijeva stalno poboljšavanje prikladnosti, primjerenosti i djelotvornosti | Pretvara nalaze u korektivne radnje i poboljšanje otpornosti |
Za FinTech, pružatelja SaaS-a, upravljanu sigurnosnu uslugu ili IKT dobavljača financijskim subjektima ova struktura sprječava duplicirane projekte usklađenosti. Jedan ISMS može jednom mapirati obveze na kontrole, a zatim ponovno koristiti dokaze za NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019, certifikaciju ISO/IEC 27001:2022 i programe dokazivanja sigurnosti za potrebe klijenata.
Počnite s vlasništvom nad kontrolama, a ne s alatima
Prvi obrazac neuspjeha u kontinuiranoj usklađenosti jest implementacija koja počinje alatom. Organizacija kupi GRC platformu, uveze stotine zahtjeva, sve dodijeli „Sigurnosti” i to nazove kontinuiranim praćenjem. Šest mjeseci kasnije nadzorna ploča je crvena, inženjering osporava dokaze o ranjivostima, pravna funkcija kaže da su dokumenti dobavljača nepotpuni, a uprava ne može jasno vidjeti preostali rizik.
ISO/IEC 27001:2022 to izbjegava jer zahtijeva da se odgovornosti i ovlasti dodijele i komuniciraju. NIS2 i DORA pojačavaju isto očekivanje kroz odgovornost uprave, definirane uloge i nadzor.
Clarysecova Politika uloga i odgovornosti u upravljanju - SME navodi:
Svaka uloga sa sigurnosnom odgovornošću mora biti evidentirana u središnjoj evidenciji i pisano potvrđena.
Ta je odredba važnija od većine nadzornih ploča. Ako testiranje sigurnosnih kopija, otklanjanje ranjivosti, dubinska analiza dobavljača, klasifikacija incidenata i pregled privilegiranog pristupa nemaju imenovane vlasnike, ne postoji pouzdan ritam prikupljanja dokaza.
Politika informacijske sigurnosti operacionalizira to za poslovna okruženja:
Prikupljati i zadržavati revizijske dokaze za revizije i preglede kontrola.
Također zahtijeva od vlasnika kontrola da:
Izvješćuju voditelja ISMS-a o učinkovitosti kontrola te svim prazninama ili problemima.
U Zenith Controls ova se tema izravno mapira na kontrole ISO/IEC 27002:2022 5.2 Uloge i odgovornosti za informacijsku sigurnost, 5.35 Neovisni pregled informacijske sigurnosti i 5.36 Usklađenost s politikama, pravilima i standardima za informacijsku sigurnost.
| Kontrola ISO/IEC 27002:2022 referencirana u Zenith Controls | Uloga u kontinuiranoj usklađenosti | Zašto je važna za NIS2 i DORA |
|---|---|---|
| 5.2 Uloge i odgovornosti za informacijsku sigurnost | Dodjeljuje odgovorne vlasnike za kontrole, dokaze, KPI-jeve, KRI-jeve i eskalaciju | Podržava nadzor uprave, jasnoću uloga i operativnu odgovornost |
| 5.35 Neovisni pregled informacijske sigurnosti | Provjerava je li praćenje objektivno, potpuno i djelotvorno | Podržava NIS2 procjenu djelotvornosti i DORA revizijska očekivanja |
| 5.36 Usklađenost s politikama, pravilima i standardima za informacijsku sigurnost | Provjerava poštuju li se politike, standardi i obveze | Pretvara pravne i ugovorne obveze u mjerljive provjere usklađenosti |
Zenith Blueprint daje praktičnu početnu točku u fazi temelja i vodstva ISMS-a, korak 4: Uloge i odgovornosti u ISMS-u. Preporučuje formalno imenovanje, ažuriranje opisa poslova, usklađivanje KPI-jeva, komunikaciju na razini organizacije i odgovornost na razini odjela.
Tipičan zapis o imenovanju može glasiti:
„S trenutačnim učinkom imenujete se službenikom za informacijsku sigurnost, odgovornim za nadzor i koordinaciju ISMS-a, uključujući upravljanje rizicima, implementaciju kontrola i praćenje usklađenosti.”
To imenovanje nije birokracija. Ono je revizijski dokaz za vodstvo i dodjelu uloga prema ISO/IEC 27001:2022. Također podupire nadzor uprave prema NIS2 i upravljanje prema DORA. Regulatori, certifikacijski revizori i bankarski klijenti žele vidjeti da odgovornost nije podrazumijevana. Ona je dodijeljena, potvrđena, resursno podržana i praćena.
Praktičan registar vlasništva nad kontrolama treba uključivati ova polja:
| Polje | Primjer | Revizijska vrijednost |
|---|---|---|
| Domena kontrole | Postupanje s incidentima | Pokazuje obuhvat kontrola i opseg |
| Regulatorni pokretači | NIS2 Article 23, DORA Articles 17 to 19 | Povezuje dokaze s obvezama |
| Referenca ISO/IEC 27002:2022 | 5.24 to 5.30 | Povezuje operativnu kontrolu s ISMS-om |
| Vlasnik | Voditelj sigurnosnih operacija | Uspostavlja odgovornost |
| Zamjenski vlasnik | Voditelj centra sigurnosnih operacija (SOC) | Smanjuje ovisnost o jednoj osobi |
| KPI | 95 posto upozorenja visoke ozbiljnosti trijažirano unutar SLA | Dokazuje očekivanje učinkovitosti |
| KRI | Svako netrijažirano kritično upozorenje starije od 4 sata | Definira eskalaciju rizika |
| Ritam prikupljanja dokaza | Tjedna nadzorna ploča, mjesečni pregled, tromjesečni test | Čini usklađenost kontinuiranom |
| Lokacija dokaza | GRC repozitorij dokaza | Omogućuje dohvat za reviziju |
| Put eskalacije | Voditelj ISMS-a, odbor za rizike, upravljačko tijelo | Povezuje operacije s upravljanjem |
Taj registar postaje most između politike i dokaza.
Definirajte KPI-jeve i KRI-jeve koji dokazuju djelotvornost kontrola
Kada vlasnici postoje, moraju znati kako izgleda „dobro”. Kontinuirano praćenje usklađenosti oslanja se na smislene pokazatelje, a ne na opće namjere.
„Poboljšati zakrpavanje” nije KPI. „Redovito pregledavati dobavljače” nije dokaz. „Održavati otpornost” nije mjerljiva kontrola.
Clarysec jasno razdvaja dvije vrste pokazatelja:
- KPI, ključni pokazatelj uspješnosti, mjeri radi li proces prema očekivanjima.
- KRI, ključni pokazatelj rizika, signalizira porast rizika ili prekoračenje praga koje zahtijeva eskalaciju.
Korporativna Politika upravljanja rizicima navodi:
KRI-jevi (ključni pokazatelji rizika) i sigurnosne metrike moraju se definirati za kritične rizike i pratiti mjesečno.
Također zahtijeva logiku eskalacije:
Okidači eskalacije moraju biti ugrađeni u logiku praćenja (npr. kada se preostali rizik poveća za više od jedne razine ili kada se propuste rokovi obrade rizika).
Za manje organizacije Clarysecova Politika upravljanja rizicima - SME primjenjuje razmjeran pristup:
Napredak u ublažavanju rizika mora se pregledavati tromjesečno.
Također dopušta jednostavnije metrike:
Mogu se pratiti neformalne metrike (npr. broj otvorenih rizika, prekoračene radnje, novi incidenti).
Ta je razmjernost važna. Multinacionalna banka i FinTech dobavljač od 60 zaposlenika ne trebaju identičnu telemetriju, ali oboje trebaju dodijeljeno vlasništvo, ponovljivo mjerenje, pragove eskalacije i dokaze o korektivnim radnjama.
Praktičan model KPI-jeva i KRI-jeva za NIS2 i DORA izgleda ovako:
| Domena | Vlasnik kontrole | KPI | KRI ili okidač eskalacije | Ritam prikupljanja dokaza |
|---|---|---|---|---|
| Upravljanje ranjivostima | Voditelj infrastrukture ili DevOps | Kritične ranjivosti otklonjene unutar odobrenog SLA | Svaka kritična ranjivost na sustavu izloženom internetu izvan SLA | Tjedni operativni pregled, mjesečno ISMS izvješće |
| Upravljanje incidentima | Voditelj centra sigurnosnih operacija (SOC) | 100 posto incidenata klasificirano prema ozbiljnosti i utjecaju na uslugu | Potencijalni značajni incident prema NIS2 ili veliki incident povezan s IKT-om prema DORA koji nije eskaliran unutar radnog toka | Dnevno tijekom incidenta, mjesečni pregled trendova |
| Rizik dobavljača | Nabava i sigurnost | 100 posto kritičnih dobavljača IKT usluga procijenjeno prema riziku prije uvođenja | Kritični dobavljač bez važeće dubinske analize dobavljača, prava na reviziju, odredbe o incidentu ili plana izlaska | Mjesečna provjera registra, tromjesečni pregled dobavljača |
| Sigurnosno kopiranje i oporavak | IT operacije | Testovi vraćanja dovršeni za kritične usluge u definiranom intervalu | Neuspjeli test oporavka za kritičnu ili važnu funkciju | Mjesečni dokazi o sigurnosnim kopijama, tromjesečni test vraćanja |
| Kontrola pristupa | Vlasnik IAM-a | Privilegirani pristup pregledan unutar ciklusa | Napušteni administratorski račun ili propušteni pregled privilegiranog pristupa | Tjedno skeniranje iznimaka, mjesečna potvrda |
| Sigurnosna svijest | HR ili vlasnik sigurnosne svijesti | Obvezno osposobljavanje dovršeno u definiranom roku | Ponavljani neuspjeh u simulaciji phishinga iznad odobrenog praga | Mjesečno izvješće o osposobljavanju, tromjesečni pregled svijesti |
| Praćenje usklađenosti | Voditelj ISMS-a | Stavke dokaza visokog rizika prikupljene do roka | Dokaz kasni više od 10 radnih dana | Mjesečna nadzorna ploča usklađenosti, tromjesečno preispitivanje od strane uprave |
Te metrike podupiru više od certifikacije ISO/IEC 27001:2022. Podupiru i mjere upravljanja rizicima kibernetičke sigurnosti prema NIS2, spremnost za prijavljivanje incidenata prema NIS2, upravljanje IKT rizicima prema DORA, rizik trećih strana prema DORA, odgovornost prema GDPR, ishode upravljanja prema NIST CSF 2.0 i upravljanje učinkom u stilu COBIT-a.
Uspostavite ritam prikupljanja dokaza prije nego što ga revizija zatraži
Mnoge organizacije prikupljaju dokaze nasumično. Snimka zaslona pojavi se u Teams kanalu. Jira prijava povezana je u e-poruci. Upitnik dobavljača pohranjen je u nabavi. Test sigurnosne kopije opisan je usmeno. Tijekom tjedna revizije voditelj ISMS-a postaje forenzički istražitelj.
Kontinuirana usklađenost zahtijeva planirani ritam i urednu higijenu dokaza.
Clarysecova Politika praćenja revizije i usklađenosti - SME navodi:
Svaka revizija mora imati definiran opseg, ciljeve, odgovorno osoblje i potrebne dokaze.
Također navodi:
Dokazi se moraju zadržati najmanje dvije godine ili dulje ako to zahtijevaju certifikacija ili ugovori s klijentima.
Za poslovne organizacije Politika praćenja revizije i usklađenosti dodaje očekivanja automatizacije:
Automatizirani alati moraju se uvesti za praćenje usklađenosti konfiguracije, upravljanja ranjivostima, statusa zakrpa i privilegiranog pristupa.
Automatizacija treba biti usmjerena. Kontrole visokog rizika i visoke učestalosti ne bi trebale ovisiti o ručnim snimkama zaslona. Najbolji model dokaza kombinira automatiziranu telemetriju, potvrde vlasnika, registre iznimaka, zapise iz sustava za evidentiranje zahtjeva, rezultate testiranja i zapisnike preispitivanja od strane uprave.
| Ritam | Vrsta dokaza | Primjeri | Publika za pregled |
|---|---|---|---|
| U stvarnom vremenu ili po događaju | Dokazi sigurnosnih operacija | SIEM upozorenja, klasifikacija incidenata, otkrivanje ranjivosti, eskalacija većeg incidenta | SOC, voditelj incidenta, vlasnik kontrole |
| Tjedno | Dokazi operativnih kontrola | Status kritičnih ranjivosti, iznimke privilegiranog pristupa, neuspjeli poslovi sigurnosnog kopiranja, odstupanje konfiguracije | Vlasnici kontrola, voditelj ISMS-a |
| Mjesečno | Dokazi KPI-jeva i KRI-jeva | Metrike rizika, prekoračene radnje, učinkovitost SLA za zakrpe, promjene registra dobavljača | Voditelj ISMS-a, vlasnik rizika |
| Tromjesečno | Dokazi upravljanja i osiguranja | Napredak obrade rizika, pregledi dobavljača, ponovna certifikacija pristupa, ishodi testiranja otpornosti | Odbor za rizike, upravljačko tijelo |
| Godišnje ili prema planiranom ciklusu | Dokazi neovisnog pregleda | Interna revizija, plan testiranja kontrola, preispitivanje od strane uprave, pregled politike | Najviše rukovodstvo, revizori |
Važna je i konvencija imenovanja. Dokazi se moraju moći dohvatiti bez izvanrednog napora. Na primjer:
- tjedno izvješće o ranjivostima:
YYYY-MM-DD_Vulnerability-SLA_ControlOwner - mjesečni pregled privilegiranog pristupa:
YYYY-MM_IAM-Privileged-Review_Attestation - tromjesečni pregled dobavljača:
YYYY-QX_Critical-Supplier-Review - paket dokaza o incidentu:
INC-YYYY-###_Timeline-Classification-RCA-CAPA
Tu politika postaje operativna. Zadržavanje dokaza nije arhivski zadatak. Ono je dio kontrole.
Mapirajte jednu stavku dokaza na više obveza
Kontinuirana usklađenost postaje snažna kada jedna stavka dokaza zadovoljava više okvira. Zato je Zenith Controls središnji dio Clarysecova pristupa međuokvirnoj usklađenosti.
Razmotrite postupanje s incidentima. Prema NIS2, značajni incidenti zahtijevaju fazno izvješćivanje, uključujući rano upozorenje u roku od 24 sata od saznanja, obavijest u roku od 72 sata i završno izvješće u roku od jednog mjeseca, ovisno o nacionalnoj provedbi i činjenicama incidenta. DORA zahtijeva da financijski subjekti upravljaju velikim incidentima povezanima s IKT-om, klasificiraju ih, eskaliraju i prijavljuju koristeći propisane procese i predloške. GDPR zahtijeva od voditelja obrade procjenu i upravljanje povredama osobnih podataka kada su zahvaćeni povjerljivost, cjelovitost ili dostupnost osobnih podataka.
Jedan paket dokaza o incidentu može podržati sva tri režima ako uključuje:
- vremenski slijed incidenta i vrijeme saznanja;
- obrazloženje klasifikacije;
- zahvaćene usluge i jurisdikcije;
- utjecaj na klijente, transakcije ili korisnike;
- procjenu učinka na osobne podatke;
- analizu temeljnog uzroka;
- radnje ublažavanja i oporavka;
- komunikacije i obavijesti;
- zapis o eskalaciji prema upravi;
- unos korektivne radnje.
Ista logika međuokvirne usklađenosti primjenjuje se na rizik dobavljača. NIS2 zahtijeva sigurnost opskrbnog lanca i pozornost na odnose s izravnim dobavljačima i pružateljima usluga. DORA zahtijeva strategiju za IKT rizik trećih strana, registre, dubinsku analizu prije ugovaranja, ugovorne odredbe, prava na reviziju, razine usluge, izlazne strategije i praćenje rizika koncentracije. NIST CSF 2.0 tretira rizik opskrbnog lanca kao disciplinu upravljanja životnim ciklusom. ISO/IEC 27001:2022 povezuje te zahtjeve s opsegom, zahtjevima zainteresiranih strana, obradom rizika i operativnom kontrolom eksterno osiguranih procesa.
Praktična matrica dokaza pomaže vlasnicima kontrola razumjeti zašto su dokazi važni:
| Stavka dokaza | Vrijednost za NIS2 | Vrijednost za DORA | Vrijednost za ISO/IEC 27001:2022 | Vrijednost za GDPR |
|---|---|---|---|---|
| Zapis klasifikacije incidenta | Podržava procjenu značajnog incidenta | Podržava klasifikaciju velikog incidenta povezanog s IKT-om | Podržava rad i praćenje kontrole za incidente | Podržava odgovornost u trijaži povrede |
| Registar dobavljača | Podržava sigurnost opskrbnog lanca | Podržava IKT registar trećih strana | Podržava kontrolu eksterno osiguranih procesa | Podržava nadzor nad izvršiteljima obrade i podizvršiteljima obrade |
| Izvješće o SLA za ranjivosti | Podržava mjere upravljanja rizicima kibernetičke sigurnosti | Podržava IKT zaštitu i otkrivanje | Podržava obradu rizika i upravljanje ranjivostima | Podržava odgovarajuće sigurnosne mjere |
| Izvješće o testu vraćanja | Podržava neprekidnost poslovanja i kriznu spremnost | Podržava operativnu otpornost i oporavak | Podržava spremnost sigurnosnih kopija i neprekidnosti | Podržava dostupnost i otpornost obrade |
| Zapisnik preispitivanja od strane uprave | Podržava nadzor uprave | Podržava odgovornost upravljačkog tijela | Podržava vodstvo, pregled učinkovitosti i poboljšanje | Podržava dokaze odgovornosti |
Ovaj pristup sprječava duplicirani rad na usklađenosti. Organizacija prikuplja jedan snažan skup dokaza, a zatim ga mapira na više obveza.
Clarysecov model praćenja, od obveze do vlasnika i dokaza
Robustan model praćenja slijedi jednostavan redoslijed.
Prvo, definirajte obvezu. Na primjer, DORA zahtijeva da se IKT rizikom trećih strana upravlja kao dijelom upravljanja IKT rizicima, uz registre, dubinsku analizu dobavljača, ugovorne zahtjeve, prava na reviziju i izlazne strategije za kritične ili važne funkcije. NIS2 zahtijeva sigurnost opskrbnog lanca i odgovarajuće korektivne radnje.
Drugo, prevedite obvezu u zahtjeve ISMS-a prema ISO/IEC 27001:2022. To uključuje zahtjeve zainteresiranih strana, opseg, procjenu rizika, obradu rizika, Izjavu o primjenjivosti, operativnu kontrolu, praćenje, internu reviziju, preispitivanje od strane uprave i poboljšanje.
Treće, odaberite operativne kontrole. U Zenith Controls, temeljne kontrole upravljanja za kontinuiranu usklađenost uključuju kontrole ISO/IEC 27002:2022 5.2, 5.35 i 5.36. Podržavajuće kontrole često uključuju 5.19 Informacijska sigurnost u odnosima s dobavljačima, 5.21 Upravljanje informacijskom sigurnošću u opskrbnom lancu IKT-a, 5.22 Praćenje, preispitivanje i upravljanje promjenama usluga dobavljača, 5.23 Informacijska sigurnost pri korištenju usluga u oblaku, 5.24 Planiranje i priprema upravljanja incidentima informacijske sigurnosti, 5.26 Odgovor na incidente informacijske sigurnosti, 5.30 Spremnost IKT-a za neprekidnost poslovanja, 5.31 Pravni, zakonski, regulatorni i ugovorni zahtjevi, 8.8 Upravljanje tehničkim ranjivostima, 8.13 Sigurnosno kopiranje informacija, 8.15 Zapisivanje događaja, 8.16 Aktivnosti praćenja i 8.9 Upravljanje konfiguracijom.
Četvrto, dodijelite vlasnika i ritam. Rizik dobavljača može uključivati nabavu, pravne poslove, sigurnost i vlasnika poslovne usluge, ali jedan odgovorni vlasnik mora održavati registar i izvješćivati o iznimkama.
Peto, definirajte KPI-jeve, KRI-jeve i dokaze. KPI-jevi za dobavljače mogu uključivati postotak kritičnih dobavljača IKT usluga s dovršenom dubinskom analizom, postotak s odobrenim ugovornim odredbama, broj bez testiranih izlaznih planova i broj zakašnjelih pregleda dobavljača. KRI-jevi mogu uključivati neriješene visokorizične nalaze dobavljača, rizik koncentracije iznad tolerancije ili nedostajuća prava na reviziju za uslugu koja podržava kritičnu ili važnu funkciju.
Šesto, izvješćujte i eskalirajte. Mjesečne ISMS nadzorne ploče ne bi smjele prikazivati samo zeleni status. Trebaju identificirati zakašnjele dokaze, kretanje rizika, propuštene rokove obrade rizika i odluke uprave koje su potrebne.
Sedmo, revidirajte i poboljšavajte. Praznine u dokazima postaju korektivne radnje, a ne izgovori.
To je usklađeno s fazom revizije, pregleda i poboljšanja u Zenith Blueprint. Korak 25, Program interne revizije, preporučuje obuhvaćanje relevantnih ISMS procesa i kontrola tijekom revizijskog ciklusa, uz godišnju reviziju punog opsega i manje tromjesečne nasumične provjere za visokorizična područja gdje je primjereno. Korak 28, Preispitivanje od strane uprave, traži ulazne informacije kao što su promjene zahtjeva, rezultati praćenja i mjerenja, rezultati revizije, incidenti, nesukladnosti, prilike za poboljšanje i potrebe za resursima. Korak 29, Kontinuirano poboljšanje, koristi CAPA evidenciju za bilježenje opisa problema, analize temeljnog uzroka, korektivne radnje, odgovornog vlasnika, ciljnog datuma i statusa.
To je kontinuirana usklađenost u praksi.
Praktičan scenarij: kritična ranjivost na javnom API-ju
U 02:15 aktivira se SIEM upozorenje. Skeniranje ranjivosti identificiralo je kritičnu ranjivost daljinskog izvršavanja koda na javno dostupnom API pristupniku koji podržava reguliranu uslugu plaćanja.
Model kontinuiranog praćenja treba reagirati bez čekanja na sastanak.
Prvo, popis imovine klasificira pristupnik kao kritičan. Počinje teći KPI sat za upravljanje ranjivostima. KRI za nezakrpane kritične ranjivosti se povećava. Ako je imovina izložena internetu i iskorištavanje je aktivno, prag eskalacije aktivira se odmah.
Drugo, prijava se usmjerava dežurnom DevOps timu. Voditelj DevOps-a, kao vlasnik kontrole upravljanja ranjivostima, prima automatiziranu obavijest. Voditelj centra sigurnosnih operacija (SOC) prati postoje li pokazatelji iskorištavanja. Voditelj ISMS-a prati jesu li ispunjeni kriteriji incidenta.
Treće, dokazi se prikupljaju kao nusproizvod radnog toka. SIEM upozorenje, skeniranje ranjivosti, klasifikacija imovine, vremenske oznake prijave, komunikacija o odgovoru, zapis o zakrpi, provjerno skeniranje i odobrenje zatvaranja prilažu se paketu dokaza.
Četvrto, tim procjenjuje je li događaj samo ranjivost, sigurnosni događaj ili incident. Ako postoje utjecaj na uslugu, pokazatelji kompromitacije, utjecaj na klijente ili izloženost osobnih podataka, radni tok za incidente pokreće procjene prijavljivanja prema NIS2, DORA, GDPR i ugovorima.
Peto, uprava prima sažeto izvješće. Ako je ranjivost otklonjena unutar četiri sata, dokazi podupiru djelotvornost kontrole. Ako je SLA propušten, CAPA evidencija bilježi analizu temeljnog uzroka, korektivnu radnju, vlasnika, ciljni datum i status.
Ovaj jedan događaj generira korisne dokaze za upravljanje ranjivostima, spremnost za incidente, praćenje, pristup kritičnoj imovini, preispitivanje od strane uprave i kontinuirano poboljšanje.
Kako će revizori i regulatori testirati isti model praćenja
Zreo program kontinuirane usklađenosti mora izdržati različite revizijske perspektive. Dokazi se ne mijenjaju, ali pitanja se mijenjaju.
| Revizijska perspektiva | Vjerojatno revizijsko pitanje | Očekivani dokazi |
|---|---|---|
| Revizor ISO/IEC 27001:2022 | Jesu li uloge dodijeljene, rizici obrađeni, kontrole operativne i dokazi zadržani? | Opseg, zahtjevi zainteresiranih strana, registar rizika, Izjava o primjenjivosti, registar vlasnika, rezultati praćenja, interna revizija, preispitivanje od strane uprave, CAPA evidencija |
| Regulator ili procjenitelj prema NIS2 | Je li uprava odobrila i nadzirala odgovarajuće mjere upravljanja rizicima kibernetičke sigurnosti? | Zapisnici uprave, odobrenja rizika, radni tok za incidente, kontrole dobavljača, dokazi neprekidnosti, zapisi o osposobljavanju, korektivne radnje |
| Nadležno tijelo prema DORA ili interna revizija | Povezuje li okvir IKT rizika upravljanje, otpornost, testiranje, prijavljivanje incidenata, rizik trećih strana i praćenje postupanja po reviziji? | Okvir IKT rizika, strategija otpornosti, zapisi klasifikacije incidenata, rezultati testiranja, registar dobavljača, ugovorni dokazi, revizijska izvješća |
| Procjenitelj prema NIST CSF 2.0 | Ima li organizacija ishode upravljanja, prioritetizirane praznine, mjerljivu učinkovitost i cikluse pregleda? | Trenutačni i ciljni profili, plan aktivnosti za rizike, metrike upravljanja, nadzor opskrbnog lanca, operativna KPI izvješća |
| Revizor prema COBIT 2019 ili ISACA | Jesu li ciljevi upravljanja, upravljačke prakse, vlasništvo nad procesima, metrike i aktivnosti osiguranja definirani i djelotvorni? | RACI, opisi procesa, metrike učinkovitosti, izvješća o iznimkama, testiranje kontrola, zapisi nadzora uprave |
Za kontrolu ISO/IEC 27002:2022 5.35 Neovisni pregled informacijske sigurnosti, revizor ISO/IEC 27001:2022 usredotočit će se na plan interne revizije, opseg, kompetencije, nalaze i korektivne radnje. Regulator prema NIS2 ili DORA usredotočit će se na to je li uprava razumjela nalaze, financirala otklanjanje i smanjila sistemski rizik. Procjenitelj prema NIST CSF 2.0 može mapirati pregled na funkciju GOVERN, uključujući nadzor i prilagodbu učinkovitosti.
Isti skup dokaza služi svima ako je potpun, aktualan i povezan s vlasništvom.
Uobičajene zamke koje slabe kontinuiranu usklađenost
Prva je zamka tretirati NIS2 i DORA kao odvojene projekte. To stvara duplicirane registre, sukobljene metrike i iscrpljene vlasnike kontrola. Koristite ISO/IEC 27001:2022 kao okosnicu ISMS-a i mapirajte obveze kroz jednu biblioteku kontrola.
Druga je zamka dodjeljivati kontrole timovima umjesto osobama. „IT je vlasnik sigurnosnih kopija” nije dovoljno. Imenovani vlasnik mora potvrđivati, izvješćivati o iznimkama i eskalirati rizik.
Treća je zamka prikupljati dokaze bez vrednovanja djelotvornosti. Snimka zaslona o uspješnoj sigurnosnoj kopiji ne dokazuje mogućnost oporavka. Test vraćanja dokazuje. Upitnik dobavljača ne dokazuje otpornost treće strane. Ugovorne odredbe, prava na reviziju, odredbe o obavješćivanju o incidentima, izvješća o učinkovitosti i planiranje izlaska stvaraju snažnije dokaze.
Četvrta je zamka mjeriti aktivnost umjesto rizika. Brojanje ranjivosti je korisno. Praćenje prekoračenih kritičnih ranjivosti na sustavima izloženima internetu bolje je. Brojanje dobavljača je korisno. Praćenje kritičnih dobavljača bez izlaznih planova bolje je.
Peta je zamka slaba disciplina korektivnih radnji. Korak 29 u Zenith Blueprint jasno navodi da su za nalaze potrebni opis problema, analiza temeljnog uzroka, korektivna radnja, odgovorni vlasnik, ciljni datum i status. Ako se CAPA evidencija ne pregledava, kontinuirana usklađenost postaje kontinuirano gomilanje poznatih slabosti.
Što uprava treba vidjeti svaki mjesec
Upravljačka tijela prema NIS2 i DORA ne trebaju sirove izvoze skenera. Trebaju prikaz kibernetičkog i IKT rizika kvalitetan za odlučivanje.
Mjesečna nadzorna ploča za odbor ili upravu treba uključivati:
- najvažnije kibernetičke i IKT rizike s kretanjem preostalog rizika;
- zakašnjele obrade rizika i propuštene rokove;
- značajne incidente, kandidate za velike incidente povezane s IKT-om i naučene lekcije;
- iznimke rizika kritičnih dobavljača;
- učinkovitost SLA za ranjivosti na kritičnoj imovini;
- status testiranja sigurnosnih kopija i oporavka;
- iznimke pregleda privilegiranog pristupa;
- stopu dovršenosti dokaza usklađenosti;
- nalaze revizije i status CAPA;
- potrebne odluke o resursima.
To izravno podržava preispitivanje od strane uprave prema ISO/IEC 27001:2022 i očekivanja upravljanja prema NIS2 i DORA. Također je usklađeno s NIST CSF 2.0, gdje izvršni rukovoditelji određuju prioritete, odgovornost, resurse i apetit za rizik, dok rukovoditelji prevode te prioritete u ciljne profile i akcijske planove.
Izgradite svoj ritam dokaza za NIS2 i DORA ovaj tjedan
Ne morate odmah riješiti sve. Koristan prvi tjedan može biti jednostavan.
Dan 1, izradite registar vlasnika kontrola za pet domena: upravljanje i upravljanje rizicima, upravljanje incidentima i izvješćivanje, upravljanje ranjivostima i zakrpama, rizik dobavljača i oblaka te neprekidnost poslovanja i oporavak.
Dan 2, definirajte jedan KPI i jedan KRI za svaku domenu. Neka budu specifični, mjerljivi i povezani s apetitom za rizik.
Dan 3, mapirajte svaku stavku dokaza na vrijednost za NIS2, DORA, ISO/IEC 27001:2022, GDPR i programe dokazivanja sigurnosti za potrebe klijenata.
Dan 4, odredite ritam prikupljanja dokaza, lokaciju pohrane, konvenciju imenovanja, pravilo zadržavanja i pregledavatelja.
Dan 5, provedite stolnu vježbu eskalacije. Upotrijebite scenarij prekida usluge u oblaku ili kritične ranjivosti. Potvrdite klasifikaciju, procjenu regulatornog prijavljivanja, komunikaciju s klijentima, pohranu dokaza i izradu CAPA stavke.
Ako vaša organizacija još uvijek upravlja NIS2 i DORA putem proračunskih tablica, godišnjih radionica i raspršenih mapa dokaza, sada je vrijeme za prelazak na nadzirani operativni ritam.
Počnite s tri radnje:
- Izradite registar vlasnika kontrola za svoje domene najvišeg rizika.
- Definirajte jedan KPI, jedan KRI, jednu stavku dokaza i jedan ritam po kontroli.
- Provedite 30-minutni pregled dokaza i otvorite CAPA stavke za sve što nedostaje.
Clarysec vam može pomoći ubrzati prijelaz uz Zenith Blueprint za redoslijed implementacije, Zenith Controls za mapiranje međuokvirne usklađenosti i Clarysecovu biblioteku politika, uključujući Politiku informacijske sigurnosti, Politiku upravljanja rizicima, Politiku praćenja revizije i usklađenosti, Politiku uloga i odgovornosti u upravljanju - SME, Politiku upravljanja rizicima - SME i Politiku praćenja revizije i usklađenosti - SME.
Cilj nije više dokumentacije o usklađenosti. Cilj je s povjerenjem odgovoriti na pitanje petkom poslijepodne:
„Da, znamo tko je vlasnik kontrole, znamo KPI, imamo dokaze, znamo iznimke i uprava je pregledala rizik.”
Kontaktirajte Clarysec kako biste izgradili model kontinuiranog praćenja usklađenosti koji je spreman za reviziju, spreman za odbor i dovoljno otporan za NIS2, DORA i sljedeću regulativu koja dolazi.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
