⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
HR EN BG CS DA DE EL ES ET FI FR GA HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 19

ENISA EUVD 2026: ISO 27001 za NIS2 i CRA

Igor Petreski
14 min read
#Upravljanje rizicima #Revizija #ISMS #Upravljanje dobavljačima #Odgovor na incidente #Bilježenje događaja i nadzor #Zaštita podataka
ENISA EUVD ISO 27001 NIS2 CRA tijek rada za ranjivosti

Utorak je, 08:17, 2026. godine. Maria, CISO brzorastuće fintech SaaS platforme, u nekoliko minuta prima dva signala. Najprije SOC objavljuje upozorenje iz ENISA EU Vulnerability Database u kanalu za incidente. Pogođena komponenta nije izravno u Marijinoj vlastitoj bazi koda. Nalazi se u SDK-u za autentifikaciju treće strane, ugrađenom u mobilnu aplikaciju koju održava vanjski razvojni partner.

Zatim sigurnosni istraživač šalje poruku na javni sigurnosni kontakt s naslovom: “Objava ranjivosti - vaš SaaS proizvod”. Istraživač tvrdi da bi, pod određenim uvjetima, nedostatak mogao izložiti nekritične metapodatke korisnika.

Nema potvrđene povrede. Nijedan korisnik nije prijavio štetu. Nadzorna ploča skenera nije crvena. No pitanja stižu odmah.

Jesmo li izloženi? Koje usluge dostupne klijentima koriste SDK? Je li riječ o značajnom incidentu prema NIS2, incidentu povezanom s IKT-om prema DORA, povredi osobnih podataka prema GDPR ili problemu sigurnosti proizvoda prema Aktu o kibernetičkoj otpornosti? Moramo li obavijestiti dobavljača, korisnika, nadležno tijelo ili ENISA? Najvažnije, možemo li dokazati kada smo saznali za problem?

Tu mnoge organizacije otkrivaju da obavještajni podaci o ranjivostima nisu problem izvora podataka. To je problem operativnog modela.

ENISA EUVD postat će praktična referentna točka za obavještajne podatke o ranjivostima u EU, koordiniranu objavu ranjivosti i transparentnost sigurnosti proizvoda. No sama baza podataka neće Mariji reći je li pogođena usluga u opsegu NIS2, primjenjuje li se DORA zbog aktivnosti financijskih usluga, je li vjerojatno izlaganje osobnih podataka ili je aktivirana spremnost za izvješćivanje prema CRA. Te se odluke moraju donositi unutar upravljanog, dokumentiranog i revizijski provjerljivog sustava upravljanja informacijskom sigurnošću.

Pristup Clarysec-a jest učiniti EUVD operativnim kroz upravljanje prema ISO/IEC 27001:2022, implementaciju kontrola prema ISO/IEC 27002:2022, vlasništvo nad politikama i dokaze za višestruku usklađenost. Cilj nije stvoriti još jednu proračunsku tablicu pod nazivom “EUVD tracker”. Cilj je izgraditi dokaziv model obavještajnih podataka o ranjivostima i izvješćivanja koji može izdržati pitanja regulatora, revizije klijenata, certifikacijsku reviziju ISO 27001 i pregled upravnog odbora.

Zašto ENISA EUVD mijenja upravljanje ranjivostima u 2026.

Godinama su mnogi sigurnosni timovi obavještajne podatke o ranjivostima tretirali kao ulaz za zakrpavanje. Pojavi se CVE, skener otkrije izloženost, operativni tim uvede zakrpu i prijava se zatvori. Taj model više nije dovoljan za organizacije regulirane u EU.

NIS2 premješta upravljanje rizicima kibernetičke sigurnosti u sustav korporativnog upravljanja. Article 20 zahtijeva od upravljačkih tijela bitnih i važnih subjekata da odobre mjere upravljanja rizicima kibernetičke sigurnosti, nadziru njihovu provedbu i pohađaju osposobljavanje iz kibernetičke sigurnosti. Article 21 zahtijeva razmjerne tehničke, operativne i organizacijske mjere, uključujući politike, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, sigurnu nabavu i održavanje, postupanje s ranjivostima i objavu ranjivosti, procjenu učinkovitosti, kibernetičku higijenu, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom te, gdje je primjereno, višefaktorsku autentifikaciju ili kontinuiranu autentikaciju.

Article 23 dodaje fazno izvješćivanje za značajne incidente, uključujući rano upozorenje u roku od 24 sata od trenutka kada je organizacija saznala za incident, prijavu incidenta u roku od 72 sata i završno izvješće u roku od jednog mjeseca. Ako EUVD upozorenje preraste u iskorišteni prekid usluge, organizacija mora imati dokaze o trenutku saznanja, trijaži, procjeni utjecaja, ublažavanju i odlukama o izvješćivanju.

DORA stvara usporedan, ali sektorski specifičan režim za financijske subjekte. Zahtijeva interno upravljanje i kontrolne aranžmane za IKT rizik, odgovornost upravljačkog tijela, procese upravljanja incidentima, upravljanje rizikom trećih strana u području IKT-a, testiranje, otpornost, ugovorne kontrole i izvješćivanje o značajnim incidentima povezanima s IKT-om prema DORA Article 19. Za financijske subjekte u opsegu, DORA djeluje kao sektorski specifičan okvir za IKT rizik i izvješćivanje o incidentima.

GDPR dodaje još jednu dimenziju. Ako bi iskorištavanje moglo uzrokovati neovlašteni pristup, otkrivanje, gubitak, izmjenu ili uništenje osobnih podataka, tijek rada za ranjivosti mora se povezati s procjenom povrede osobnih podataka. Načelo odgovornosti iz GDPR znači da voditelj obrade mora dokazati usklađenost, a ne samo tvrditi da je postupao razumno.

Akt o kibernetičkoj otpornosti čini postupanje s ranjivostima i koordiniranu objavu ranjivosti obvezom sigurnosti proizvoda za proizvode s digitalnim elementima. Također uvodi očekivanja izvješćivanja o aktivno iskorištavanim ranjivostima i ozbiljnim sigurnosnim incidentima gdje je primjenjivo. Čak i kada konačna pravna odluka o izvješćivanju zahtijeva specijalistički pregled, operativni dokazi su sigurnosni dokazi: pogođeni proizvod, pogođena verzija, mogućnost iskorištavanja, ublažavanje, status objave, utjecaj na korisnike, koordinacija dobavljača i vremenski slijed.

Kada je ranjivost javno vidljiva kroz EUVD, revizori i regulatori mogu pitati zašto nije procijenjena, zašto pogođena imovina nije identificirana, zašto dobavljači nisu kontaktirani ili zašto izvješćivanje nije razmotreno. Najzrelije organizacije moći će dokazima odgovoriti na šest pitanja:

  1. Koja su EUVD upozorenja relevantna za nas?
  2. Koja su imovina, proizvodi, dobavljači i korisnici pogođeni?
  3. Tko je vlasnik odluke?
  4. Koji se rok za otklanjanje ili ublažavanje primjenjuje?
  5. Kada postupanje s ranjivošću postaje prijavljivanje incidenta?
  6. Kako dokazujemo zatvaranje i nadzor uprave?

Temelj ISO 27001:2022 za EUVD dokaze

ISO/IEC 27001:2022 prirodna je okosnica sustava upravljanja za operativnu primjenu EUVD-a jer počinje kontekstom, zainteresiranim stranama, opsegom, rizikom i dokazima.

Točke 4.1 do 4.4 zahtijevaju da organizacija definira unutarnja i vanjska pitanja, zainteresirane strane, pravne, regulatorne i ugovorne zahtjeve, opseg ISMS-a, sučelja i ovisnosti. Za spremnost za EUVD opseg ISMS-a ne može stati na internim poslužiteljima. Mora obuhvatiti SaaS proizvode, usluge u oblaku, razvoj povjeren vanjskim izvođačima, pružatelje upravljanih usluga, IKT dobavljače, obveze prema korisnicima, regulatorne obveze i očekivanja u pogledu ranjivosti proizvoda.

Točke 5.1 do 5.3 zahtijevaju vodstvo, usklađenje politika, resurse, komunikaciju, odgovornost i obveze izvješćivanja. Tu najviše rukovodstvo prihvaća da obavještajni podaci o ranjivostima nisu tehnička usluga iz dobre volje. To je signal poslovnog rizika.

Točke 6.1.1 do 6.1.3 pružaju mehanizam za procjenu rizika, obradu rizika, odabir kontrola, usporedbu s Prilogom A, Izjavu o primjenjivosti, odobrenje preostalog rizika i planiranje obrade rizika. Kada EUVD unos utječe na okruženje, odgovor treba pokrenuti ponovljiv tijek rada za rizik koji povezuje pogođenu imovinu, vjerojatnost, utjecaj, postojeće kontrole, opcije obrade i odobrenje vlasnika rizika.

Točke 8.1 do 8.3 i 9.1 do 9.3 pretvaraju taj model u operativni ciklus. Organizacije moraju planirati i kontrolirati procese ISMS-a, čuvati dokumentirane informacije, kontrolirati procese koje provode vanjske strane, ponovno procjenjivati rizike, provoditi planove obrade rizika, pratiti i mjeriti učinkovitost, provoditi interne revizije i provoditi preispitivanja od strane uprave.

U praktičnom smislu, Clarysec mapira EUVD u tri sloja:

SlojSvrha prema ISO 27001:2022Operativno pitanje za EUVDArtefakt dokaza
UpravljanjeOpseg, zainteresirane strane, odgovornost, pravne obvezeJesu li identificirana očekivanja prema NIS2, DORA, GDPR, korisnicima i CRA?Opseg ISMS-a, pravni registar, matrica uloga, odobrenja politika
Rizik i kontroleProcjena rizika, obrada rizika, Izjava o primjenjivostiJe li ranjivost relevantna, prioritizirana i dodijeljena?Zapis rizika ranjivosti, mapiranje SoA, plan obrade rizika
OsiguranjePraćenje, interna revizija, preispitivanje od strane upraveMožemo li dokazati pravodoban odgovor i poboljšanje?Zapisnici zakrpa, dokazi dobavljača, odluke o incidentima, nalazi revizije, zapisnici preispitivanja uprave

Ključno načelo je jednostavno. EUVD upozorenja moraju postati zapisi unutar ISMS-a, a ne neformalne poruke u chatu koje nestanu nakon uvođenja zakrpe.

Skup kontrola ISO 27001 koji EUVD čini provedivim

Najvažnije kontrole iz Priloga A standarda ISO/IEC 27001:2022 za EUVD operacije su 5.7 Threat intelligence, 8.8 Management of technical vulnerabilities, 5.21 Managing information security in the ICT supply chain i 5.31 Legal, statutory, regulatory and contractual requirements.

Clarysec ih mapira kroz Zenith Controls: vodič za višestruku usklađenost Zenith Controls, koji djeluje kao kompas višestruke usklađenosti za ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST CSF i planiranje revizijskih dokaza.

Mapiranje u Zenith Controls za kontrolu ISO/IEC 27002:2022 5.7, Threat intelligence, označava je kao preventivnu, detektivnu i korektivnu, uz potporu povjerljivosti, cjelovitosti i dostupnosti te usklađenje s konceptima kibernetičke sigurnosti Identify, Detect i Respond. Njezina operativna sposobnost je upravljanje prijetnjama i ranjivostima, uz sigurnosne domene obrane i otpornosti.

Mapiranje u Zenith Controls za kontrolu ISO/IEC 27002:2022 8.8, Management of technical vulnerabilities, označava je kao preventivnu, uz potporu povjerljivosti, cjelovitosti i dostupnosti te usklađenje s Identify i Protect. Njezina operativna sposobnost je upravljanje prijetnjama i ranjivostima, a sigurnosne domene uključuju upravljanje, ekosustav, zaštitu i obranu.

Mapiranje u Zenith Controls za kontrolu ISO/IEC 27002:2022 5.21, Managing information security in the ICT supply chain, označava je kao preventivnu, uz potporu povjerljivosti, cjelovitosti i dostupnosti te usklađenje s Identify. Njezina operativna sposobnost je sigurnost odnosa s dobavljačima, uz domene upravljanja, ekosustava i zaštite.

Zenith Blueprint: revizorov plan u 30 koraka Zenith Blueprint također naglašava kontrolu 5.31 u koraku 23, Legal, statutory, regulatory and contractual requirements:

Sigurnost ne postoji u vakuumu. Djeluje unutar mreže obveza, od kojih su neke definirane zakonom, druge ugovorom, a treće sektorski specifičnom regulativom.

To je upravljački most između EUVD-a i regulatornog izvješćivanja. Zapis o ranjivosti može početi kao obavještajni podatak o prijetnjama, postati prijava tehničke ranjivosti, pokrenuti suradnju s dobavljačem, a zatim postati incident ili odluka o pravnoj obavijesti.

Kontrola ISO/IEC 27002:2022Uloga u EUVD-uPodržavajući mehanizam ISO 27001:2022Relevantnost za višestruku usklađenost
5.7 Threat intelligenceZaprimiti EUVD, CERT, dobavljačke i sektorske obavještajne podatke te ih kontekstualiziratiTočke 4, 6, 8 i 9 za opseg, rizik, operacije i pregledMjere rizika prema NIS2, NIST CSF Identify i Detect, svijest o prijetnjama i incidentima prema DORA
8.8 Management of technical vulnerabilitiesProvjeriti izloženost, dodijeliti ozbiljnost, otkloniti ili ublažiti, evidentirati zatvaranjeObrada rizika, operativna kontrola, praćenje i zadržavanje dokazaPostupanje s ranjivostima prema NIS2, tijek rada za ranjivosti proizvoda prema CRA, upravljanje ranjivostima prema NIST CSF
5.21 Managing information security in the ICT supply chainPratiti pogođene dobavljače, ugovorne obveze, korektivne radnje dobavljača i dokazeProcesi koje provode vanjske strane, obrada rizika dobavljača, preispitivanje od strane upraveSigurnost opskrbnog lanca prema NIS2, IKT rizik trećih strana prema DORA, NIST CSF GV.SC
5.31 Legal, statutory, regulatory and contractual requirementsUgraditi NIS2, DORA, GDPR, CRA, korisničke i sektorske obveze u postupkeZainteresirane strane, pravni registar, obrada rizika, interna revizija i preispitivanje od strane upraveRegulatorna odgovornost, spremnost za reviziju, programi dokazivanja sigurnosti prema zahtjevima klijenata i nadzor odbora

Zato se EUVD ne treba tretirati kao još jedan izvor podataka. On je točka integracije kontrola.

Model politika Clarysec-a: od upozorenja do odgovorne odluke

Zreo operativni model za EUVD treba jezik politike koji timovima govori što učiniti prije nego što stigne prvo kritično upozorenje.

Clarysecova Politika upravljanja ranjivostima i zakrpama Politika upravljanja ranjivostima i zakrpama daje korporativnim timovima jasan mandat za praćenje i eskalaciju:

Pratiti obavijesti o prijetnjama i ranjivostima (npr. CVE, CISA KEV, biltene dobavljača) i eskalirati kritične ranjivosti.

Ista politika zahtijeva središnju bazu dokaza:

Tim za sigurnosne operacije mora održavati centralizirani Registar ranjivosti, a CISO ili delegirano tijelo mora ga pregledavati jednom mjesečno.

Za mala i srednja poduzeća, Clarysecova Politika upravljanja ranjivostima i zakrpama - SME Politika upravljanja ranjivostima i zakrpama - SME izričito definira model izvora uključivanjem:

Pouzdane obavijesti s obavještajnim podacima o prijetnjama (npr. CISA, ENISA, upozorenja nacionalnih CERT-ova)

Također čuva revizijski trag:

Zapisnik zakrpa mora se održavati i pregledavati tijekom revizija i aktivnosti odgovora na incidente

Te odredbe sprječavaju čest neuspjeh. Ako stigne EUVD upozorenje, a nitko ne zna pripada li u registar ranjivosti, red za incidente, evidenciju dobavljača ili pravnu procjenu, organizacija gubi vrijeme. Jezik politike čini prvi korak automatskim.

Dimenzija CVD-a uređuje se kroz Clarysecovu Politiku koordinirane objave ranjivosti Politika koordinirane objave ranjivosti, koja osigurava tijek rada za zaprimanje, potvrdu primitka, procjenu ozbiljnosti i provjeru:

Nakon zaprimanja prijave, VRT je mora evidentirati i poslati potvrdu prijavitelju u roku od 2 radna dana, uz dodjelu referentne oznake za praćenje. VRT mora provesti preliminarnu procjenu ozbiljnosti, primjerice korištenjem CVSS bodovanja, i provjeriti problem, uključujući potporu IT i razvojnih timova gdje je potrebno, u ciljnom roku od 5 radnih dana. Kritične ranjivosti, poput onih koje omogućuju udaljeno izvršavanje koda ili veću povredu podataka, moraju se obraditi ubrzano.

Također povezuje ranjivosti trećih strana sa suradnjom dobavljača:

Za svaku potvrđenu kritičnu ili visokorizičnu ranjivost, CISO mora odmah obavijestiti više rukovodstvo i relevantne vlasnike sustava. Ako ranjivost utječe na proizvode ili usluge koje pruža dobavljač ili druga treća strana, VRT mora bez nepotrebnog odgađanja obavijestiti sigurnosni kontakt dobavljača i zatražiti suradnju na otklanjanju.

Clarysecova Politika zahtjeva sigurnosti aplikacija - SME Politika zahtjeva sigurnosti aplikacija - SME dodatno učvršćuje očekivanja za proizvode i dobavljače zahtijevajući od timova da:

odrede obveze za objavu ranjivosti, rokove odgovora i zakrpavanje.

Za ugovore s dobavljačima, Clarysecova Politika sigurnosti trećih strana i dobavljača - SME Politika sigurnosti trećih strana i dobavljača - SME uključuje:

Rokove za prijavu povrede podataka (npr. unutar 24-72 sata)

Na kraju, Clarysecova Politika odgovora na incidente Politika odgovora na incidente povezuje regulirane podatke i sektorsko izvješćivanje s odlukom o incidentu kroz točku 6.4.1:

Točka politikePodručje izvješćivanja ili procjenePraktična relevantnost za EUVD
6.4.1.1GDPR Article 33, obavijest nadzornom tijelu u roku od 72 sataProcijeniti je li iskorištavanje uzrokovalo povredu osobnih podataka
6.4.1.2GDPR Article 34, obavijest ispitanicima kada postoji visok rizikProcijeniti moraju li pogođeni pojedinci biti obaviješteni
6.4.1.3NIS2 Article 23, rokovi izvješćivanja o značajnim incidentimaProcijeniti obveze ranog upozorenja, obavijesti u roku od 72 sata i završnog izvješća
6.4.1.4DORA Article 17 upravljanje incidentima i DORA Article 19 izvješćivanje o značajnim incidentima povezanima s IKT-omProcijeniti klasifikaciju i izvješćivanje o incidentima u financijskom sektoru

SME verzija zadržava isti praktični okidač. Clarysecova Politika odgovora na incidente - SME Politika odgovora na incidente - SME navodi:

Kada su uključeni podaci korisnika, glavni direktor mora procijeniti pravne obveze obavješćivanja na temelju primjenjivosti GDPR, NIS2 ili DORA.

To je most između “vidjeli smo ranjivost” i “procijenili smo je li ovo prijavljivo”.

Praktičan zapis o zaprimljenom EUVD upozorenju

Pretpostavimo da EUVD objavi ili ažurira unos ranjivosti koji utječe na SDK za autentifikaciju u Marijinoj mobilnoj aplikaciji. SDK održava dobavljač, integrira ga vanjski razvojni partner, a koriste ga korisnici koji se autentificiraju na fintech SaaS proizvod. Postoji javna rasprava o iskorištavanju, ali nema potvrđenog iskorištavanja u dnevničkim zapisima tenant okruženja.

Dokaziv zapis o zaprimanju treba obuhvatiti i tehnički i regulatorni kontekst.

PoljePrimjer unosaZašto je važno
Vremenska oznaka saznanja2026-02-10 08:17 CET, EUVD upozorenje koje je upario SOC analitičarPodržava analizu vremenskog slijeda izvješćivanja i revizijske dokaze
IzvorENISA EUVD, obavijest dobavljača, unakrsna referenca nacionalnog CERT-a, prijava istraživačaPokazuje pouzdan izvor obavještajnih podataka i korelaciju
Pogođena imovinaModul autentifikacije korisničke mobilne aplikacije, SDK verzija 4.8.2Povezuje ranjivost s vlasništvom nad proizvodom i uslugom
Ovisnost o dobavljačuDobavljač SDK-a i vanjski partner za razvoj mobilne aplikacijePokreće kontakt s dobavljačem i ugovorne dokaze
Klasifikacija podatakaIdentifikatori korisnika, tokeni sesije, mogući osobni podaciPovezuje se s GDPR i procjenom utjecaja incidenta
Početna ozbiljnostKritično do provjere, pregledani CVSS i poslovni utjecajPodržava prioritizaciju i eskalaciju
Kontekst prijetnjeJavna rasprava o iskorištavanju, nema potvrđenog iskorištavanja u dnevničkim zapisimaOdvaja izloženost ranjivosti od potvrde incidenta
Procjena NIS2Mogući utjecaj na uslugu, još nema potvrđenog prekidaČuva logiku odluke za eskalaciju prema Article 23
Procjena DORAPrimjenjivo ako usluga podržava opseg financijskog subjekta ili kritične funkcijeIzbjegava dvostruko ili propušteno sektorsko izvješćivanje
Procjena CRATijek rada za ranjivost proizvoda pokrenut radi pregleda primjenjivostiPovezuje obveze sigurnosti proizvoda s dokazima o ranjivosti
ObradaNadogradnja SDK-a, prisilna rotacija tokena, pojačano praćenje, potvrda dobavljačaStvara plan otklanjanja i ublažavanja
Preostali rizikVlasnik sustava prihvatio za 48-satni prozor uvođenjaPokazuje vlasništvo nad rizikom i kompenzacijske kontrole
Dokazi zatvaranjaZapisnik zakrpa, prijava uvođenja, potvrda dobavljača, rezultat skeniranja, izvješće upraviStvara dokaz spreman za reviziju

Ovaj zapis nije ukras usklađenosti. On je kontrolni centar za odluke.

Praktičan tijek rada izgleda ovako:

  1. SOC zaprima EUVD upozorenje i otvara zapis o ranjivosti.
  2. Vlasnik imovine potvrđuje postoji li pogođena komponenta u produkciji.
  3. Sigurnosni tim provodi procjenu ozbiljnosti koristeći tehničku ozbiljnost, mogućnost iskorištavanja, izloženost, osjetljivost podataka i kritičnost usluge.
  4. Voditelj odnosa s dobavljačem kontaktira dobavljača SDK-a ili vanjskog razvojnog partnera koristeći unaprijed definirane sigurnosne kontakte.
  5. Voditelj odgovora na incidente odlučuje postoje li dokazi o iskorištavanju, utjecaju na uslugu ili šteti za korisnike.
  6. Pravni poslovi, DPO i funkcija usklađenosti procjenjuju jesu li pokrenuti tijekovi rada povezani s GDPR, NIS2, DORA ili CRA.
  7. Inženjering uvodi zakrpu ili mjeru ublažavanja.
  8. Sigurnost provjerava otklanjanje putem skeniranja, provjere verzije, pregleda dnevničkih zapisa ili testa kompenzacijske kontrole.
  9. CISO pregledava kritične i visoke zapise te izvješćuje o trendovima u okviru preispitivanja od strane uprave.

U fazi Controls in Action, korak 19, Technological Controls I, Zenith Blueprint objašnjava upravljanje tehničkim ranjivostima jednostavnim revizijskim rječnikom:

Kontrola nije pitanje savršenstva, nego postojanja organiziranog, transparentnog i odgovornog procesa.

Ta je rečenica važna. Regulatori i revizori ne očekuju da se svaka ranjivost odmah ukloni. Očekuju da organizacija zna što postoji, prioritizira, poduzima razmjerne radnje, evidentira iznimke i dokazuje provedbu do kraja.

Obavještajni podaci o prijetnjama funkcija su odlučivanja, a ne poštanski sandučić

Najveća pogreška u planiranju EUVD-a jest dodijeliti izvor podataka jednom analitičaru i nazvati to “obavještajnim podacima o prijetnjama”. Zenith Blueprint, u fazi Controls in Action, korak 22, Organizational controls, ovako objašnjava kontrolu ISO/IEC 27002:2022 5.7:

Najbolji izvori obavještajnih podataka o prijetnjama često su kombinacija internog praćenja, vanjskih partnerstava i uključivanja zajednice.

Također upozorava da se obavještajni podaci moraju pretvoriti u radnju:

Ova kontrola uistinu oživljava u donošenju odluka. Obavještajni podaci o prijetnjama trebali bi izravno utjecati na to koje se kontrole pooštravaju, koja se imovina reklasificira ili izolira, koji se scenariji testiraju u stolnim vježbama i koliko se brzo uvode zakrpe ili mjere ublažavanja.

Za EUVD, korisnici obavještajnih podataka moraju biti definirani prema ulozi.

UlogaOdgovornost za EUVDOčekivani dokazi
SOC analitičarPratiti EUVD i povezane obavijesti, otvarati zapise, korelirati dnevničke zapiseZapis upozorenja, pretraga IOC-a, bilješke o detekciji
Voditelj upravljanja ranjivostimaProvjeriti izloženost, ocijeniti rizik, dodijeliti otklanjanjeRegistar ranjivosti, SLA, zapis iznimke
Vlasnik proizvodaPotvrditi pogođene verzije proizvoda i utjecaj na korisnikeZapis o ovisnosti proizvoda, plan izdanja
Voditelj odnosa s dobavljačemKontaktirati dobavljača, pribaviti dokaze o otklanjanju, pratiti ugovorne obvezePrijava dobavljaču, potvrda, ažurirana ugovorna odredba
Voditelj odgovora na incidenteUtvrditi iskorištavanje, utjecaj i eskalacijuZapis trijaže incidenta, dnevnik odluka
Pravni poslovi i DPOProcijeniti obavijesti povezane s GDPR, NIS2, DORA i CRAPravna procjena, odluka o izvješćivanju
CISOObavijestiti upravu, prihvatiti preostali rizik, osigurati resurseIzvješće upravi, prihvaćanje rizika

NIST CSF 2.0 može pomoći strukturirati ovaj model. Njegova funkcija GOVERN naglašava očekivanja dionika, pravne i regulatorne obveze, apetit za rizik, odgovornost vodstva, definirane uloge, politiku, resurse i nadzor. Njegove operativne funkcije pomažu organizirati popise imovine, identifikaciju ranjivosti, zaštitu, detekciju, odgovor, oporavak i poboljšanje. Metoda profila NIST CSF može se koristiti za definiranje trenutačnog i ciljanog stanja EUVD operacija, a zatim za pretvaranje praznina u prioritizirani akcijski plan.

U terminima Clarysec-a, NIST CSF koristan je organizacijski sloj, ISO/IEC 27001:2022 je revizijski provjerljiv sustav upravljanja, a Zenith Controls je kompas višestruke usklađenosti koji održava mapiranja koherentnima.

Praćenje ranjivosti dobavljača i proizvoda

NIS2 Article 21 čini sigurnost opskrbnog lanca dijelom minimalnih mjera upravljanja rizicima kibernetičke sigurnosti. Article 21(3) zahtijeva od subjekata da uzmu u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluga, kvalitetu proizvoda te prakse kibernetičke sigurnosti dobavljača, uključujući postupke sigurnog razvoja. Uvodne izjave 85 i 86 naglašavaju rizik trećih strana koji proizlazi iz obrade podataka, upravljanih usluga, dobavljača softvera i pružatelja upravljanih sigurnosnih usluga.

DORA je propisnija za financijske subjekte. Zahtijeva da se IKT rizikom trećih strana upravlja kao dijelom okvira IKT rizika, uz registre informacija, dubinsku analizu dobavljača, analizu rizika koncentracije, pisane ugovore, prava na reviziju i inspekciju, pomoć pri incidentima, vidljivost podugovaranja, sigurnosne zahtjeve, prava raskida i testirane izlazne strategije.

EUVD će bolno jasno pokazati slabu vidljivost dobavljača. Ako je pogođena komponenta dobavljača, organizaciji treba više od kontakta iz nabave. Treba joj:

  1. Imenovani sigurnosni kontakt dobavljača.
  2. Ugovorne obveze obavješćivanja o ranjivostima.
  3. Popis proizvoda i verzija.
  4. SBOM ili transparentnost komponenti gdje je relevantno.
  5. SLA-ovi za otklanjanje i obveze zaobilaznih rješenja.
  6. Prava na reviziju ili pružanje potvrda.
  7. Obveze podrške za incidente.
  8. Planovi izlaska ili zamjene za kritične ovisnosti.

Zato Clarysec mapira EUVD operacije na kontrolu ISO/IEC 27002:2022 5.21 kroz Zenith Controls. Domene upravljanja, ekosustava i zaštite odgovaraju praktičnom problemu dobavljača: ne možete otkloniti ono što ne možete pratiti i ne možete dokazati ono što niste ugovorno zahtijevali.

Za spremnost za izvješćivanje prema CRA, isti zapis o ranjivosti dobavljača i proizvoda postaje ključan. Čak i kada konačna regulatorna odluka zahtijeva pravnu analizu, operativni dokaz dolazi iz sigurnosnih i inženjerskih dokaza.

Kada EUVD ranjivost postaje incident

Nije svaka ranjivost incident. No svaka ozbiljna ranjivost mora se moći brzo pretvoriti u zapis incidenta.

Praktični okidač je sljedeći: ako obavještajni podaci iz EUVD-a upućuju na moguću izloženost, otvorite zapis o ranjivosti. Ako postoje dokazi o iskorištavanju, utjecaju na uslugu, izloženosti reguliranih podataka, šteti za korisnike ili operativnom prekidu, povežite ga sa zapisom incidenta ili ga pretvorite u zapis incidenta.

NIS2 Article 23 zahtijeva obavješćivanje o značajnim incidentima koji utječu na pružanje usluga, uključujući incidente koji uzrokuju ili bi mogli uzrokovati ozbiljan operativni prekid ili financijski gubitak, ili utječu na druge kroz znatnu materijalnu ili nematerijalnu štetu. DORA zahtijeva od financijskih subjekata da evidentiraju incidente povezane s IKT-om i značajne kibernetičke prijetnje, klasificiraju značajne incidente povezane s IKT-om, izvješćuju o njima prema Article 19 kada je potrebno, komuniciraju s klijentima kada su pogođeni financijski interesi i zatvore ih analizom temeljnog uzroka. GDPR zahtijeva procjenu povrede osobnih podataka kada sigurnosni incident uzrokuje slučajno ili nezakonito uništenje, gubitak, izmjenu, neovlašteno otkrivanje osobnih podataka ili pristup osobnim podacima.

Zenith Blueprint, faza Controls in Action, korak 16, People Controls II, naglašava važnost kulture prijavljivanja:

Promičite način razmišljanja s niskim pragom za prijavu; poruka treba biti: “Ako niste sigurni, prijavite.”

Za EUVD to vrijedi za inženjere i dobavljače jednako kao i za zaposlenike. Ako razvojni inženjer vidi pogođenu ovisnost, ako dobavljač potvrdi mogućnost iskorištavanja ili ako podrška primijeti sumnjivo ponašanje korisnika, organizacija treba dati prednost ranoj trijaži pred odgođenom sigurnošću.

Kako će revizori testirati vaš EUVD program

Snažan operativni model za EUVD treba biti dizajniran za više revizijskih perspektiva. Isti dokazi mogu zadovoljiti različita očekivanja ako su dobro strukturirani.

Revizijska perspektivaŠto će pitatiSnažni dokazi
Revizor ISO 27001:2022Jesu li pravne obveze identificirane, rizici procijenjeni, kontrole odabrane, operacije dokazivo provedene i pregledi izvršeni?Opseg ISMS-a, pravni registar, SoA, registar ranjivosti, zapisi obrade rizika, interna revizija, preispitivanje od strane uprave
Nadležno tijelo za NIS2 ili pregledavatelj osiguranjaJe li uprava odobrila mjere, upravljate li ranjivostima i dobavljačima, jeste li procijenili izvješćivanje o značajnom incidentu?Zapisnici odbora, postupak postupanja s ranjivostima, dokazi dobavljača, dnevnik odluka o incidentu, zapisi procjena za 24-satni i 72-satni rok
DORA revizor ili nadzorno tijeloJe li IKT rizik u vlasništvu odbora, jesu li incidenti klasificirani, jesu li ovisnosti o trećim stranama u području IKT-a kontrolirane?Okvir IKT rizika, klasifikacija incidenata, registar IKT ugovora, dubinska analiza dobavljača, izlazni planovi, izvješća o temeljnim uzrocima
GDPR revizor ili DPO pregledJe li procijenjena izloženost osobnih podataka i dokazana odgovornost?Mapa podataka, procjena povrede, pregled DPO-a, dokazi ograničavanja, odluka o komunikaciji
Procjenitelj NIST CSFJesu li trenutačni i ciljani ishodi definirani kroz Govern, Identify, Protect, Detect, Respond i Recover?CSF profil, plan praznina, popis imovine, dokazi detekcije, operativne upute za odgovor, provjera oporavka
Revizor prema COBIT 2019 ili ISACA pristupuJesu li definirani ciljevi upravljanja, vlasništvo nad rizikom, učinkovitost procesa i praćenje kontrola?RACI, KRI-jevi, metrike procesa, izvješćivanje uprave, testiranje kontrola, aktivnosti poboljšanja

Revizor ISO 27001 obično će uzorkovati zapis visoke ozbiljnosti pokrenut EUVD-om i pitati povezuje li se s opsegom, obvezama zainteresiranih strana, procjenom rizika, obradom, kontrolama Priloga A, operativnim dokazima i pregledom. Procjenitelj usmjeren na NIST fokusirat će se na ishode. Revizor u stilu COBIT fokusirat će se na upravljanje, vlasništvo, učinkovitost i osiguranje. DORA pregledavatelj posebno će paziti na IKT ovisnosti o trećim stranama, ugovorne kontrole i klasifikaciju incidenata.

Izvješćivanje odbora bez CVE šuma

NIS2 i DORA stavljaju upravljačka tijela u središte odgovornosti za kibernetičku sigurnost. No izvršnim rukovoditeljima ne treba izvoz svih EUVD unosa. Treba im izvješćivanje primjereno donošenju odluka.

Mjesečno izvješće o obavještajnim podacima o ranjivostima treba uključivati:

  1. Kritične i visoke ranjivosti uparene s EUVD-om koje utječu na imovinu u opsegu.
  2. Otvorene ranjivosti izvan SLA-a za otklanjanje.
  3. Kašnjenja uzrokovana dobavljačima i ugovorne eskalacije.
  4. Ranjivosti povezane s incidentima ili zamalo nastalim događajima.
  5. Okidače i ishode tijeka rada za ranjivosti proizvoda prema CRA.
  6. Procjene izvješćivanja prema NIS2, DORA ili GDPR.
  7. Prihvaćene preostale rizike i tko ih je prihvatio.
  8. Trendove prema poslovnoj usluzi, proizvodu, dobavljaču i temeljnom uzroku.
  9. Metrike djelotvornosti kontrola i aktivnosti poboljšanja.

To se izravno mapira na očekivanja preispitivanja od strane uprave iz točke 9.3 standarda ISO/IEC 27001:2022, uključujući promjene u kontekstu, potrebe zainteresiranih strana, trendove učinkovitosti, rezultate revizija, ispunjenje ciljeva, povratne informacije, rezultate procjene rizika, status obrade i prilike za poboljšanje.

Česti neuspjesi spremnosti za EUVD

Organizacije koje se muče s obavještajnim podacima o ranjivostima obično griješe na predvidljive načine.

Prvo, nemaju pouzdan popis imovine i softvera. Relevantnost EUVD-a ne može se procijeniti bez naziva proizvoda, verzija, biblioteka, usluga u oblaku, dobavljača i tokova podataka.

Drugo, odvajaju upravljanje ranjivostima od odgovora na incidente. Tim za ranjivosti zatvara prijave, dok tim za incidente nikada ne procijeni je li do iskorištavanja došlo. To stvara slijepe točke u izvješćivanju.

Treće, ugovori s dobavljačima šute. Ako dobavljač nije obvezan obavijestiti, surađivati, zakrpati, pružiti dokaze ili podržati odgovor na incidente, korisnik ima malo utjecaja tijekom kritičnog razdoblja.

Četvrto, pravni timovi i DPO uključuju se prekasno. Ako odluke o izvješćivanju povezane s GDPR, NIS2, DORA ili CRA počnu nakon što je inženjering već zakrpao i nastavio dalje, vremenski slijed saznanja postaje nejasan.

Peto, izvješćivanje upravi previše je tehničko. Odbori dobivaju duge popise CVE-ova bez poslovnog utjecaja, regulatorne relevantnosti, trendova dobavljača ili odluka o preostalom riziku.

Metodologija Clarysec-a to ispravlja povezivanjem kontrola. U Zenith Blueprint, korak 19 jača upravljanje tehničkim ranjivostima, korak 22 uspostavlja operativnu primjenu obavještajnih podataka o prijetnjama, korak 16 jača kulturu prijavljivanja incidenata, a korak 23 održava vidljivima pravne, zakonske, regulatorne i ugovorne obveze.

30-dnevni sprint spremnosti za EUVD

Ako vaša organizacija treba brz put, počnite fokusiranim 30-dnevnim sprintom.

Prvi tjedan: definirajte opseg i obveze. Potvrdite je li organizacija potencijalno bitan ili važan subjekt prema NIS2, primjenjuje li se DORA na financijske aktivnosti, primjenjuje li se GDPR na obradu osobnih podataka i gdje bi obveze u vezi s ranjivostima proizvoda prema CRA mogle biti relevantne. Ažurirajte pravni i ugovorni registar ISMS-a.

Drugi tjedan: izgradite tijek rada za zaprimanje. Dodajte EUVD, nacionalne CERT-ove, obavijesti dobavljača i sektorske izvore na popis izvora obavještajnih podataka o ranjivostima. Definirajte tko otvara zapise, tko provjerava izloženost, tko kontaktira dobavljače, tko procjenjuje izvješćivanje i tko odobrava preostali rizik.

Treći tjedan: povežite dobavljače i proizvode. Identificirajte kritične proizvode, usluge dostupne klijentima, izravne IKT dobavljače, vanjske razvojne inženjere, pružatelje usluga u oblaku i pružatelje upravljanih sigurnosnih usluga. Potvrdite sigurnosne kontakte, ugovorne odredbe, obveze odgovora na ranjivosti i očekivanja dokaza.

Četvrti tjedan: testirajte tijek rada. Provedite stolnu vježbu koristeći realistično EUVD upozorenje. Zahtijevajte od tima da izradi zapis o ranjivosti, komunikaciju s dobavljačem, procjenu incidenta, odluku o pravnoj obavijesti, zapisnik zakrpa, odobrenje preostalog rizika i sažetak za upravu.

Ishod ne bi trebao biti prezentacija. Trebao bi biti paket dokaza koji revizor može uzorkovati.

Učinite EUVD kontrolnim sustavom, a ne još jednim izvorom upozorenja

Do 2026. organizacije koje dobro postupaju s ENISA EUVD neće biti one koje se jednostavno pretplate na više upozorenja. Bit će to one koje javne obavještajne podatke o ranjivostima pretvaraju u radnje temeljene na riziku, odgovornost dobavljača, koordiniranu objavu ranjivosti, odluke o izvješćivanju i revizijske dokaze.

Clarysec vam može pomoći izgraditi taj model koristeći Zenith Blueprint Zenith Blueprint, biblioteku politika Clarysec i Zenith Controls Zenith Controls. Mapiramo točke ISO/IEC 27001:2022 i kontrole ISO/IEC 27002:2022 na očekivanja revizije prema NIS2, DORA, GDPR, NIST CSF i COBIT, a zatim mapiranje pretvaramo u praktične registre, operativne upute, odredbe za dobavljače i izvješćivanje uprave.

Ako se vaš tim priprema za postupanje s ranjivostima prema NIS2, spremnost za izvješćivanje prema CRA, CVD operacije ili obavještajne podatke o ranjivostima vođene EUVD-om, počnite s Clarysec pregledom spremnosti za EUVD. Pomoći ćemo vam identificirati praznine, prioritizirati kontrole i izgraditi revizijski trag prije nego što prvo kritično upozorenje testira vaš program.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Analiza utjecaja na poslovanje za ISO 27001, NIS2 i DORA

Analiza utjecaja na poslovanje za ISO 27001, NIS2 i DORA

Suvremena analiza utjecaja na poslovanje povezuje kritične usluge, IKT imovinu, dobavljače, ciljeve oporavka, testiranje neprekidnosti poslovanja i odobrenje uprave u jedinstven, dokaziv lanac dokaza za ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 i COBIT 2019.

NIST CSF 2.0 Govern za MSP-ove i ISO 27001

NIST CSF 2.0 Govern za MSP-ove i ISO 27001

Praktični vodič za MSP-ove o korištenju funkcije NIST CSF 2.0 Govern kao upravljačkog sloja za ISO 27001:2022, NIS2, DORA, GDPR, nadzor nad dobavljačima i dokaze spremne za reviziju.