Spremnost za Akt EU-a o kibernetičkoj solidarnosti uz ISO 27001

Incident u 03:17 koji suradnju EU-a pretvara u vaš revizijski problem
U 03:17 u utorak ujutro Maria, CISO InnovateClouda, gleda zaslon pun upozorenja. Njezina je tvrtka europski pružatelj SaaS usluga srednje veličine koji opslužuje logističke klijente u Njemačkoj, Francuskoj i Poljskoj. Prvo upozorenje izgleda kao sumnjiv pristup s povišenim ovlastima u produkcijskom okruženju korisničkog tenanta. Deset minuta poslije pružatelj upravljanih sigurnosnih usluga prijavljuje sličnu aktivnost koja pogađa još dva klijenta. Do 04:00 SOC uočava API pozive iz infrastrukture koja je prethodno bila povezana s pripremom ransomware napada.
InnovateCloud nije bio izvorna meta. Čini se da je ključni pružatelj infrastrukture u zoni širenja učinka. Utjecaj je, međutim, sada Marijin problem.
Jedan pogođeni klijent njemačka je banka koja traži odgovore prema DORA. Drugi je kritični dobavljač u energetskom sektoru koji je već klasificiran prema nacionalnim pravilima NIS2. Okruženje može sadržavati osobne podatke, ali iznošenje podataka još nije potvrđeno. Sigurnosni tim želi odmah ograničiti prijetnju. Pravni poslovi žele znati je li počeo teći rok od 24 sata za rano upozorenje prema NIS2. Voditelj privatnosti pita je li moguća prijava povrede osobnih podataka prema GDPR. Upravni odbor želi znati može li se prekid proširiti na više država članica.
U 2026. to više nije samo interna kriza.
Akt EU-a o kibernetičkoj solidarnosti mijenja operativnu stvarnost za velike i prekogranične kibernetičke incidente. Uvodi mehanizme za otkrivanje, pripravnost i odgovor na razini EU-a, uključujući Europski sustav upozoravanja na kibernetičku sigurnost, Mehanizam za hitne kibernetičke situacije i Pričuvu EU-a za kibernetičku sigurnost. Čak i ako organizacija nikada izravno ne zatraži pomoć iz pričuve, njezini dokazi, kontakti s nadležnim tijelima, ugovori s dobavljačima, vremenski slijed incidenta i komunikacija s klijentima mogu postati dio šireg europskog lanca odgovora.
Praznina se brzo pokaže. Mnoge organizacije imaju alate, evidencije i politike, ali nemaju dokaze koji mogu izdržati regulatornu provjeru. Mogu reći: „kontaktirali smo regulatora”, ali ne mogu dokazati tko je bio ovlašten, koji je prag pokrenuo kontakt, što je komunicirano, jesu li dnevnički zapisi očuvani, je li dobavljač ugovorno bio obvezan pružiti pomoć ili može li se završno izvješće rekonstruirati iz odluka donesenih u stvarnom vremenu.
Odgovor nije još jedan izolirani „registrator za Akt o kibernetičkoj solidarnosti”. Odgovor je sustav upravljanja informacijskom sigurnošću prema ISO/IEC 27001:2022 koji jednom proizvodi dokaze i ponovno ih koristi za očekivanja prema NIS2, DORA, GDPR, NIST CSF 2.0 i COBIT 2019.
Ti dokazi nastaju prije incidenta.
Zašto Akt EU-a o kibernetičkoj solidarnosti podiže standard dokaza
Akt o kibernetičkoj solidarnosti osmišljen je za kibernetičko otkrivanje, pripravnost i krizni odgovor na razini EU-a. Njegov praktični učinak za CISO-e, revizore i voditelje usklađenosti jasan je: koordinacija velikih incidenata zahtijeva dokaze koji su brži, čišći, dosljedniji i lakši za dijeljenje s pouzdanim dionicima.
Kada je moguć prekogranični učinak, organizacija će se možda morati koordinirati s nacionalnim CSIRT-ovima, nadležnim tijelima, sektorskim regulatorima, tijelima za zaštitu podataka, financijskim nadzornim tijelima, tijelima kaznenog progona, klijentima, izvršiteljima obrade, dobavljačima i vanjskim timovima za odgovor na incidente. Pričuva EU-a za kibernetičku sigurnost dodaje novu dimenziju jer unaprijed provjereni privatni pružatelji usluga mogu podržati pripravnost, odgovor i oporavak. Zbog toga upravljanje dobavljačima, pravna ovlast, postupanje s podacima i očuvanje dokaza postaju još važniji.
Privatni subjekti nalaze se u središtu te stvarnosti. Pružatelji usluga u oblaku, podatkovni centri, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, operatori digitalne infrastrukture, fintech društva i SaaS platforme često drže telemetriju, dnevničke zapise, podatke o utjecaju na klijente i tehničke činjenice koje tijela trebaju kako bi razumjela veći incident.
NIS2 već upućuje u tom smjeru. Primjenjuje se na mnoge srednje i velike subjekte u sektorima iz Priloga I i Priloga II koji pružaju usluge ili obavljaju aktivnosti u EU-u. Obuhvaća i određene subjekte bez obzira na veličinu, uključujući pružatelje usluga povjerenja, pružatelje DNS usluga, registre vršnih domena i pružatelje usluga registracije naziva domena. Prilog I uključuje digitalnu infrastrukturu kao što su usluge računalstva u oblaku, usluge podatkovnih centara, mreže za isporuku sadržaja, pružatelji DNS usluga, pružatelji usluga povjerenja i TLD registri. Uključuje i upravljanje IKT uslugama B2B, uključujući pružatelje upravljanih usluga i pružatelje upravljanih sigurnosnih usluga. Prilog II uključuje digitalne pružatelje kao što su internetska tržišta, internetske tražilice i platforme usluga društvenih mreža.
DORA dodaje drugi sloj za financijski sektor. Od 17. siječnja 2025. primjenjuje se na širok raspon financijskih subjekata, uključujući kreditne institucije, institucije za platni promet, institucije za elektronički novac, investicijska društva, pružatelje usluga povezanih s kriptoimovinom, mjesta trgovanja, društva za osiguranje i reosiguranje, agencije za kreditni rejting, pružatelje usluga skupnog financiranja i druge. Također stvara značajna očekivanja za pružatelje IKT usluga trećih strana jer financijski subjekti ostaju odgovorni za vanjsko ugovorene IKT usluge.
Fintech incident u 2026. stoga se može koordinirati kroz nadzorne kanale DORA, dok SaaS pružatelj ili MSSP koji podržava taj fintech može biti obuhvaćen NIS2. Isti tehnički događaj može stvoriti različite obveze izvješćivanja, očekivanja u pogledu dokaza i ugovorne obveze za različite aktere.
ISO/IEC 27001:2022 organizacijama daje operativni sustav za upravljanje tom složenošću. Točke 4.1 do 4.4 zahtijevaju da organizacija definira ISMS u svojem poslovnom kontekstu, identificira zainteresirane strane i njihove pravne, regulatorne i ugovorne zahtjeve, definira granice i ovisnosti te uspostavi sustav upravljanja. Točke 5.1 do 5.3 čine vodstvo odgovornim za politiku, resurse, integraciju i dodjelu uloga. Točke 6.1.1 do 6.1.3 zahtijevaju ponovljivu procjenu rizika, obradu rizika i Izjavu o primjenjivosti. Točka 8.1 zahtijeva operativnu kontrolu, uključujući kontrolu nad eksterno osiguranim procesima, proizvodima i uslugama.
To je srž spremnosti za Akt o kibernetičkoj solidarnosti: dokazati da je krizni odgovor upravljan, testiran i prikladan za reviziju, a ne improviziran.
Clarysec model dokaza: jedan incident, mnoge obveze
Prekogranični incident ne čeka da ga pravni timovi klasificiraju. Dokazi se moraju prikupljati od prvog upozorenja, a zatim usmjeriti u odgovarajuće tokove izvješćivanja i koordinacije.
Clarysecov pristup povezuje tri imovine:
- Zenith Blueprint: revizorov plan u 30 koraka Zenith Blueprint, koji implementaciju ISO/IEC 27001:2022 pretvara u slijedno, za reviziju spremno putovanje.
- Zenith Controls: vodič za usklađenost među okvirima Zenith Controls, koji mapira kontrole ISO/IEC 27002:2022 na povezane kontrole, atribute, operativne sposobnosti, sigurnosne domene i očekivanja u pogledu dokaza kroz više okvira.
- Predloške politika Clarysec za odgovor na incidente, prikupljanje dokaza, sigurnost dobavljača, zapisivanje događaja, praćenje i neprekidnost poslovanja, prilagođene za poduzeća i okruženja MSP-ova.
U Zenith Blueprint, u fazi Controls in Action, korak 22 obrađuje kontrolu ISO/IEC 27002:2022 5.5, Kontakt s nadležnim tijelima. Navodi:
Kontrola 5.5 osigurava da je organizacija spremna komunicirati s vanjskim tijelima kada je to potrebno, ne reaktivno ili u panici, nego putem unaprijed definiranih, strukturiranih i dobro razumljivih kanala.
Isti odjeljak postavlja pitanje na koje bi svaki CISO trebao odgovoriti prije krize:
kada bi vaša organizacija bila meta kibernetičkog napada, uključena u povredu podataka ili pod istragom, tko bi nazvao nadležna tijela? Kako bi znali što reći? Pod kojim bi se uvjetima takav kontakt pokrenuo?
To nije administrativna papirologija. U okruženju Akta o kibernetičkoj solidarnosti to je razlika između smirenog ranog upozorenja i proturječnih poruka u više jurisdikcija.
Zenith Controls tretira kontrolu ISO/IEC 27002:2022 5.5, Kontakt s nadležnim tijelima, kao preventivnu i korektivnu, povezanu s povjerljivošću, cjelovitošću i dostupnošću te usklađenu s konceptima Identify, Protect, Respond i Recover. Povezuje 5.5 s planiranjem i pripremom upravljanja incidentima, prijavljivanjem događaja, obavještajnim podacima o prijetnjama, posebnim interesnim skupinama i odgovorom na incidente.
Isti vodič tretira kontrolu ISO/IEC 27002:2022 5.24, Planiranje i priprema upravljanja incidentima informacijske sigurnosti, kao korektivnu kontrolu povezanu s Respond i Recover. Njezine veze s procjenom događaja, odgovorom na incidente, naučenim lekcijama, zapisivanjem događaja, praćenjem, sigurnošću tijekom poremećaja i neprekidnošću poslovanja pokazuju što revizori često testiraju: povezuje li vaš plan otkrivanje, klasifikaciju, eskalaciju, dokaze, oporavak i učenje.
Za postupanje s dokazima posebno je važna kontrola ISO/IEC 27002:2022 5.28, Prikupljanje dokaza. Zenith Controls povezuje je s odgovorom na incidente, zapisivanjem događaja, praćenjem i prijavljivanjem događaja. U ozbiljnom prekograničnom incidentu tu tehnička istraga postaje dokaziva.
Mapiranje spremnosti za Akt o kibernetičkoj solidarnosti na dokaze ISO 27001
Akt EU-a o kibernetičkoj solidarnosti stvara okruženje pripravnosti i koordinacije. ISO/IEC 27001:2022 osigurava mehanizam za dokaze. NIS2, DORA i GDPR definiraju mnoga specifična očekivanja u pogledu izvješćivanja, upravljanja i zaštite.
| Zahtjev scenarija za 2026. | Sidrište dokaza ISO/IEC 27001:2022 | Povezani operativni dokazi | Clarysec podrška |
|---|---|---|---|
| Utvrditi jesu li organizacija, klijenti ili dobavljači u opsegu NIS2, DORA ili GDPR | Točke 4.1, 4.2 i 4.3 za kontekst, zainteresirane strane i opseg ISMS-a | Registar usklađenosti s regulatornim zahtjevima, mapa usluga, prisutnost po državama članicama, sektori klijenata, uloge u obradi podataka | Koraci definiranja opsega u Zenith Blueprint i predlošci registra usklađenosti |
| Odlučiti ima li incident prekogranični učinak | Kontrole iz Priloga A A.5.24 do A.5.28 i točka 8.1 operativna kontrola | Zapis klasifikacije incidenta, procjena utjecaja, pogođene zemlje, pogođene usluge, pokazatelji kompromitacije | Politika odgovora na incidente i tijek rada za prikupljanje dokaza |
| Obavijestiti nadležna tijela unutar propisanih rokova | A.5.5 kontakt s nadležnim tijelima, A.5.31 pravni, zakonski, regulatorni i ugovorni zahtjevi, A.5.24 planiranje | Matrica kontakata s nadležnim tijelima, zapisnik odluka, nacrti obavijesti, vremenske oznake podnošenja | Zenith Blueprint korak 22 i Politika odgovora na incidente |
| Koordinirati se s MSSP-om, pružateljem usluga u oblaku ili pružateljem odgovora nalik pričuvnom modelu | A.5.19 do A.5.23 kontrole dobavljača i oblaka, točka 8.1 kontrola eksternih procesa | Registar dobavljača, ugovorne odredbe, obveze podrške u incidentu, prava na reviziju, lokacije usluga | Politika sigurnosti trećih strana i dobavljača |
| Očuvati forenzičke dokaze za nadležna tijela i učenje nakon incidenta | A.5.28 prikupljanje dokaza, A.8.15 zapisivanje događaja, A.8.16 aktivnosti praćenja | Lanac nadzora, izvozi dnevničkih zapisa, snimke stanja, forenzičke slike, evidencije pristupa | Politika prikupljanja dokaza i forenzike, Politika zapisivanja događaja i praćenja za MSP-ove |
| Održati ključne usluge tijekom poremećaja | A.5.29 informacijska sigurnost tijekom poremećaja, A.5.30 IKT spremnost za neprekidnost poslovanja, A.8.13 sigurnosno kopiranje informacija | BIA, ciljevi oporavka, testovi sigurnosnih kopija, alternativne komunikacije, krizne uloge | Politika neprekidnosti poslovanja i oporavka od katastrofe |
Primijetite što nedostaje: zaseban silos usklađenosti. Isti dokazi koji podržavaju certifikaciju ISO/IEC 27001:2022 mogu podržati odgovornost uprave prema NIS2, upravljanje IKT rizicima prema DORA, odgovornost za sigurnost prema GDPR, komunikacijske ishode NIST CSF i očekivanja osiguranja prema COBIT 2019.
NIS2: rok za izvješćivanje počinje kada nastupi saznanje
NIS2 je središnji element spremnosti za 2026. jer definira fazni tijek izvješćivanja o incidentima.
Article 23 zahtijeva od ključnih i važnih subjekata da bez nepotrebnog odgađanja obavijeste svoj CSIRT ili nadležno tijelo o značajnim incidentima koji utječu na pružanje usluge. Rano upozorenje mora se podnijeti bez nepotrebnog odgađanja i najkasnije 24 sata nakon saznanja za značajan incident. Treba navesti, gdje je primjenjivo, sumnja li se na zlonamjerne ili nezakonite radnje i je li moguć prekogranični učinak.
Obavijest o incidentu slijedi bez nepotrebnog odgađanja i najkasnije 72 sata nakon saznanja, ažurira rano upozorenje i daje početnu procjenu ozbiljnosti, utjecaja i dostupnih pokazatelja kompromitacije. Završno izvješće dospijeva u roku od mjesec dana nakon obavijesti o incidentu, s ozbiljnošću, utjecajem, vjerojatnom vrstom prijetnje ili temeljnim uzrokom, mjerama ublažavanja i prekograničnim učinkom.
Zato odgovor na incidente ne može početi praznim dokumentom.
Korporativna Politika odgovora na incidente Politika odgovora na incidente navodi:
NIS2 Article 23 (obavijest u roku od 24 sata od saznanja za incident)
Politika odgovora na incidente za MSP-ove Politika odgovora na incidente za MSP-ove prenosi istu logiku rokova u praktično upravljanje:
„Rokovi odgovora, uključujući oporavak podataka i obveze obavješćivanja, moraju biti dokumentirani i usklađeni s pravnim zahtjevima, kao što je zahtjev GDPR-a za prijavu povrede osobnih podataka u roku od 72 sata.”
Iz Politike odgovora na incidente za MSP-ove, odjeljak „Zahtjevi upravljanja”, točka 5.3.2.
Također uvodi procjenu prema više režima u sam proces upravljanja incidentom:
„Kada su uključeni podaci klijenata, izvršni direktor mora procijeniti pravne obveze obavješćivanja na temelju primjenjivosti GDPR, NIS2 ili DORA.”
Iz Politike odgovora na incidente za MSP-ove, odjeljak „Obrada rizika i iznimke”, točka 7.4.1.
U scenariju Akta o kibernetičkoj solidarnosti izjava „prekogranični učinak je moguć” postaje operativno važna. Rano upozorenje možda neće sadržavati potpune činjenice, ali organizacija mora moći pokazati zašto je sumnjala ili nije sumnjala na prekogranični učinak na temelju dostupnih dokaza.
Zapis o incidentu treba obuhvatiti:
- Kada je organizacija stekla saznanje.
- Tko je proglasio događaj potencijalnim incidentom.
- Koje su usluge, zemlje, klijenti ili sektori potencijalno pogođeni.
- Je li se sumnjalo na zlonamjernu ili nezakonitu aktivnost.
- Koji su pokazatelji kompromitacije bili dostupni.
- Koji je put kontakta s nadležnim tijelom korišten.
- Jesu li bile potrebne komunikacije s klijentima.
- Koji su dokazi očuvani prije značajnog otklanjanja posljedica.
Najbolje vrijeme za oblikovanje tih polja jest prije 03:17.
DORA: kada je klijent reguliran, ali dobavljač drži dnevničke zapise
DORA mijenja razgovor s dobavljačima. Financijski subjekti moraju upravljati IKT rizikom trećih strana kao dijelom svojeg okvira za upravljanje IKT rizicima. Vanjsko ugovaranje IKT usluga ne prenosi regulatornu odgovornost s financijskog subjekta.
DORA zahtijeva strategije za IKT rizik trećih strana, registre ugovora o IKT uslugama, dubinsku analizu dobavljača, planiranje revizija i inspekcija, prava raskida te testirane izlazne strategije za kritične ili važne IKT usluge. Article 30 zahtijeva ugovornu jasnoću, uključujući opise usluga, lokacije, postupanje s podacima, povjerljivost, cjelovitost, dostupnost, razine usluge, pomoć tijekom IKT incidenata, suradnju s nadležnim tijelima i prava raskida. Za kritične ili važne funkcije primjenjuju se stroži uvjeti.
Vratimo se Marijinom incidentu. Njemačka banka regulirana je prema DORA. InnovateCloud pruža SaaS usluge. MSSP otkriva sumnjivu aktivnost. Pružatelj infrastrukture u oblaku ima dio ključnih revizijskih zapisa. Podizvođač upravlja dijelom telemetrijskog kanala. Banka ostaje odgovorna, ali ne može kvalitetno klasificirati i izvijestiti bez dokaza dobavljača.
Clarysec to rješava kroz klasifikaciju dobavljača i ugovorne dokaze. Korporativna Politika sigurnosti trećih strana i dobavljača Politika sigurnosti trećih strana i dobavljača zahtijeva:
Ugovori s dobavljačima moraju uključivati:
Politika sigurnosti trećih strana i dobavljača za MSP-ove Politika sigurnosti trećih strana i dobavljača za MSP-ove koristi istu logiku usklađenosti u jednostavnijem operativnom modelu:
Ugovori moraju uključivati obvezne odredbe koje obuhvaćaju:
Vrijednost se nalazi u popisu iza tih riječi: obveze obavješćivanja o incidentima, pristup dnevničkim zapisima, prava na reviziju, povjerljivost, lokacija podataka, kontrole podizvođača, suradnja s nadležnim tijelima, podrška oporavku i izlazne obveze.
Zenith Blueprint, u fazi Controls in Action, korak 23, daje put implementacije:
Sastavite cjelovit popis trenutačnih dobavljača i pružatelja usluga (5.19) i klasificirajte ih prema pristupu sustavima, podacima ili operativnoj kontroli. Za svakog klasificiranog dobavljača provjerite jesu li sigurnosna očekivanja jasno ugrađena u ugovore (5.20), uključujući povjerljivost, pristup, prijavljivanje incidenata i obveze usklađenosti.
Nastavlja s nizvodnim rizikom u lancu:
Za svakog kritičnog dobavljača utvrdite koriste li podizvođače (podizvršitelje obrade) koji mogu pristupiti vašim podacima ili sustavima. Dokumentirajte kako se vaši zahtjevi informacijske sigurnosti prenose na te strane, bilo putem ugovornih uvjeta vašeg dobavljača ili putem vaših izravnih odredbi.
To je ujedno i spremnost za Pričuvu EU-a za kibernetičku sigurnost. Ako vanjski pružatelj odgovora uđe u vaše okruženje tijekom izvanredne situacije, morate znati pravnu osnovu, opseg pristupa, pravila o dokazima, obveze postupanja s podacima, put koordinacije s nadležnim tijelima i uvjete izlaska. DORA to izričito propisuje za financijske subjekte. NIS2 to čini relevantnim za ključne i važne subjekte. ISO/IEC 27001:2022 to čini revizijski provjerljivim.
GDPR: pitanje povrede unutar kibernetičke krize
Nije svaki kibernetički incident povreda osobnih podataka, ali svaki ozbiljan incident treba procijeniti za tu mogućnost.
GDPR se primjenjuje na obradu u kontekstu poslovnog nastana u EU-u, kao i na voditelje obrade ili izvršitelje obrade izvan EU-a koji nude robu ili usluge pojedincima u EU-u ili prate njihovo ponašanje u EU-u. Definira osobne podatke, obradu, voditelja obrade, izvršitelja obrade i povredu osobnih podataka. Njegova načela uključuju cjelovitost, povjerljivost i odgovornost, što znači da voditelji obrade moraju moći dokazati usklađenost.
Tijekom incidenta u 03:17 Marijin tim mora postaviti pitanja:
- Je li se osobnim podacima pristupilo, jesu li otkriveni, izmijenjeni, izgubljeni ili uništeni?
- Je li InnovateCloud voditelj obrade, izvršitelj obrade ili oboje za pogođene podatke?
- Jesu li uključene posebne kategorije osobnih podataka?
- Koji su klijenti ili pojedinci pogođeni?
- Jesu li dnevnički zapisi dovoljni za procjenu opsega?
- Teku li obveze obavješćivanja prema GDPR usporedno s obvezama prema NIS2 ili DORA?
Zato koordinacija privatnosti pripada u eskalaciju incidenta, a ne u kasni pravni pregled nakon što su sustavi ponovno izgrađeni i dnevnički zapisi rotirani.
Politika zapisivanja događaja i praćenja za MSP-ove Politika zapisivanja događaja i praćenja za MSP-ove navodi:
Upozorenja visokog prioriteta moraju se eskalirati izvršnom direktoru i koordinatoru za privatnost u roku od 24 sata
Ta je odredba jednostavna, ali rješava stvaran obrazac neuspjeha. Voditelji privatnosti trebaju dokaze dok su još dovoljno svježi da se utvrdi je li došlo do povrede osobnih podataka i jesu li pojedinci izloženi riziku.
Izradite 24-satni paket dokaza za prekogranični incident
Praktična vježba spremnosti treba simulirati prva 24 sata prekograničnog incidenta. Cilj nije pretjerano izvješćivanje. Cilj je dokazati da organizacija može prikupiti činjenice, donijeti dokazive odluke i održati dosljednu komunikaciju.
Scenarij
Vaš MSSP otkriva sumnjiv pristup s povišenim ovlastima iz neuobičajene regije prema vašem produkcijskom okruženju korisničkog tenanta. Ista izvorna infrastruktura pojavljuje se u upozorenjima koja pogađaju dva klijenta u dvije države članice. Jedan klijent je financijski subjekt. Pogođeno okruženje sadrži osobne podatke, ali iznošenje podataka nije potvrđeno.
Korak 1: Otvorite zapis o incidentu
Kreirajte prijavu incidenta koristeći odobrena polja klasifikacije. Uključite vrijeme saznanja, izvor otkrivanja, pogođenu imovinu, pogođene usluge, zemlje koje bi mogle biti pogođene, sumnju na zlonamjernu aktivnost, početnu ozbiljnost i voditelja incidenta.
Povežite to s kontrolama ISO/IEC 27002:2022 5.24, 5.25 i 5.26 te s kontrolama Priloga A ISO/IEC 27001:2022 A.5.24, A.5.25 i A.5.26.
Korak 2: Pokrenite tijek odlučivanja o kontaktu s nadležnim tijelima
Upotrijebite matricu kontakata s nadležnim tijelima koju zahtijeva Zenith Blueprint korak 22. Identificirajte koja tijela mogu biti relevantna: nacionalni CSIRT, tijelo za zaštitu podataka, financijski regulator, tijela kaznenog progona i sektorski regulator.
Zabilježite odluku i obrazloženje. Ako se rano upozorenje prema NIS2 ne podnese, zabilježite zašto. Ako je prekogranični učinak moguć, zabilježite dokaze koji podupiru taj zaključak.
Korak 3: Očuvajte dokaze prije značajnog otklanjanja posljedica
Korporativna Politika prikupljanja dokaza i forenzike Politika prikupljanja dokaza i forenzike navodi:
Svi prikupljeni dokazi moraju biti jedinstveno identificirani, označeni i pohranjeni u sigurnom repozitoriju s:
Politika prikupljanja dokaza i forenzike za MSP-ove Politika prikupljanja dokaza i forenzike za MSP-ove daje istu disciplinu u jednostavnijem obliku:
„Svaka stavka digitalnih dokaza mora se evidentirati s:”
Iz Politike prikupljanja dokaza i forenzike za MSP-ove, odjeljak „Zahtjevi upravljanja”, točka 5.2.1.
Za stolnu vježbu prikupite primjere unosa dokaza: izvoz SIEM upozorenja, dnevničke zapise pružatelja identiteta, zapise sesija s povišenim ovlastima, snimku krajnjeg uređaja, zapise vatrozida, revizijske zapise oblaka, bilješke o utjecaju na klijente i odobrenja komunikacija.
Korak 4: Aktivirajte pomoć dobavljača
Provjerite registar dobavljača. Identificirajte MSSP, pružatelja usluga u oblaku i kritične podizvođače. Potvrdite odredbe o podršci u incidentu, kontakte za eskalaciju, rokove zadržavanja dnevničkih zapisa, format dokaza i obveze suradnje s nadležnim tijelima.
To izravno podržava zahtjeve DORA za IKT rizik trećih strana i očekivanja NIS2 u pogledu sigurnosti opskrbnog lanca.
Korak 5: Izradite nacrt triju komunikacija
Izradite tri komunikacije iz iste baze činjenica:
| Komunikacija | Svrha | Potrebni dokazi |
|---|---|---|
| Rano upozorenje u stilu NIS2 u roku od 24 sata | Obavijestiti o saznanju za značajan incident i mogućem prekograničnom učinku | Vrijeme saznanja, sumnja na zlonamjernu aktivnost, pogođene usluge, države članice, početni pokazatelji |
| Eskalacija financijskom klijentu u stilu DORA | Podržati klasifikaciju IKT incidenta financijskog subjekta i obveze u pogledu rizika trećih strana | Utjecaj na uslugu, ovisnost kritične funkcije, uključenost dobavljača, procjena oporavka, dostupnost dnevničkih zapisa |
| Bilješka o procjeni povrede prema GDPR | Utvrditi je li potrebna prijava povrede osobnih podataka | Uloge u podacima, pogođene kategorije podataka, dokazi pristupa, pokazatelji iznošenja podataka, rizik za pojedince |
Korak 6: Zatvorite vježbu naučenim lekcijama
Ažurirajte registar rizika, Izjavu o primjenjivosti, registar dobavljača i plan odgovora na incidente. Ako vježba otkrije nedostajuće dnevničke zapise, nejasne kontakte s nadležnim tijelima ili slabe odredbe ugovora s dobavljačima, otvorite korektivne radnje.
Zenith Blueprint, u fazi Controls in Action, korak 23, upućuje organizacije da ovako provjere sposobnosti za incident:
Odaberite nedavni događaj ili provedite stolnu vježbu kako biste provjerili svoj plan. Zabilježite i evidentirajte sve odluke, uloge i komunikacije (5.26) te ažurirajte plan naučenim lekcijama (5.27). Potvrdite da postoje postupci za očuvanje forenzičkih dokaza (5.28), uključujući snimke dnevničkih zapisa, sigurnosne kopije i sigurnu izolaciju pogođenih sustava.
Taj je odlomak dnevni red vježbe spreman za reviziju.
Zapisivanje događaja: razlika između koordinacije i nagađanja
Koordinacija prekograničnog incidenta ne uspijeva kada svi imaju mišljenja, a nitko nema vremenske oznake.
Zenith Blueprint, u fazi Controls in Action, korak 19, jasno kaže:
Zapisivanje događaja žila je kucavica svakog sigurnog IT okruženja. Bez njega incidenti ostaju nevidljivi, odgovornost blijedi, a uzročno-posljedične veze nestaju u praznini.
Nastavlja:
U svojoj srži, zapisivanje događaja odnosi se na sljedivost. Kada nešto pođe po zlu, bilo da je riječ o neuspjelom pokušaju prijave, brisanju kritičnih datoteka ili neovlaštenoj skripti koja se izvodi na poslužitelju, dnevnički zapisi pružaju forenzičku nit koja pomaže rasplesti što se doista dogodilo.
Za NIS2 dnevnički zapisi podržavaju 72-satnu obavijest o incidentu s početnom ozbiljnošću, utjecajem i pokazateljima kompromitacije. Za DORA dnevnički zapisi podržavaju klasifikaciju velikog incidenta povezanog s IKT-om, analizu temeljnog uzroka, operativni utjecaj i odgovornost trećih strana. Za GDPR dnevnički zapisi podržavaju procjenu je li osobnim podacima pristupljeno ili jesu li otkriveni. U kontekstu Akta o kibernetičkoj solidarnosti dnevnički zapisi podržavaju zajedničku situacijsku svijest bez prisiljavanja timova za odgovor da se oslanjaju na nagađanja.
| Pitanje o zapisivanju događaja | Zašto je važno u koordinaciji 2026. |
|---|---|
| Možete li dokazati kada je nastupilo saznanje? | Rokovi NIS2 i interne eskalacije ovise o vremenu saznanja |
| Možete li identificirati pogođene usluge po zemlji i klijentu? | Procjena prekograničnog učinka ovisi o usluzi i geografiji |
| Možete li očuvati dnevničke zapise prije nego ograničavanje promijeni sustave? | Prikupljanje dokaza i analiza temeljnog uzroka ovise o cjelovitosti |
| Možete li odvojiti činjenice o utjecaju na klijente od nagađanja? | Vanjske komunikacije moraju biti pravodobne, ali točne |
| Možete li dovoljno brzo pribaviti dnevničke zapise dobavljača? | Odgovornost dobavljača prema DORA i NIS2 zahtijeva ugovorni i operativni pristup |
Ako je odgovor na bilo koje pitanje „nismo sigurni”, problem pripada u plan obrade rizika.
Neprekidnost poslovanja i sigurne krizne operacije
Rasprava o Aktu o kibernetičkoj solidarnosti prirodno se usredotočuje na odgovor na incidente, ali otpornost znači i održavanje kritičnih usluga sigurnima tijekom poremećaja.
NIS2 Article 21 zahtijeva pristup svim opasnostima koji obuhvaća postupanje s incidentima, neprekidnost poslovanja, upravljanje sigurnosnim kopijama, oporavak od katastrofe, krizno upravljanje, sigurnost opskrbnog lanca, postupanje s ranjivostima, procjenu učinkovitosti, kibernetičku higijenu, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom, višefaktorsku autentifikaciju, sigurne komunikacije i sigurne komunikacije u hitnim situacijama gdje je primjenjivo.
DORA slično zahtijeva upravljanje, upravljanje IKT rizicima, upravljanje incidentima, testiranje otpornosti, upravljanje rizicima trećih strana, neprekidnost poslovanja i oporavak. Manji subjekti mogu imati pojednostavljene zahtjeve, ali i dalje trebaju dokumentirano upravljanje IKT rizicima, praćenje, otporne sustave, postupanje s incidentima, identifikaciju ovisnosti o trećim stranama, sigurnosne kopije, obnovu, testiranje, učenje nakon incidenta i osposobljavanje.
Korporativna Politika neprekidnosti poslovanja i oporavka od katastrofe Politika neprekidnosti poslovanja i oporavka od katastrofe polazi od jednostavnog zahtjeva:
Planovi moraju obuhvatiti:
Iza te fraze nalazi se dokaz o neprekidnosti poslovanja koji revizori očekuju: prioriteti oporavka, cilj vremena oporavka, cilj točke oporavka, rasporedi sigurnosnog kopiranja, testovi vraćanja, krizne uloge, alternativne komunikacije, ovisnosti o dobavljačima i radnje poboljšanja nakon vježbe.
Kontrole ISO/IEC 27002:2022 5.29 i 5.30 ovdje su ključne. Kontrola 5.29 obrađuje informacijsku sigurnost tijekom poremećaja. Kontrola 5.30 obrađuje IKT spremnost za neprekidnost poslovanja. U Zenith Controls, planiranje incidenta pod 5.24 povezano je sa sigurnošću tijekom poremećaja i širim planiranjem neprekidnosti poslovanja. To je posebno relevantno kada uobičajeni kanali nisu dostupni, sustavi identiteta su degradirani ili se krizni timovi moraju koordinirati s nadležnim tijelima putem sigurnih komunikacija u hitnim situacijama.
Mapa usklađenosti među okvirima: NIS2, DORA, GDPR, NIST CSF 2.0 i COBIT 2019
CISO ne treba pet odvojenih programa za incidente. Treba jedan model dokaza koji se može promatrati kroz pet perspektiva.
| Okvir | Što želi vidjeti | Dokazi ISO/IEC 27001:2022 koji pomažu |
|---|---|---|
| NIS2 | Odgovornost uprave, upravljanje rizicima, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, izvješćivanje i osposobljavanje | Opseg ISMS-a, zapisi vodstva, procjena rizika, Izjava o primjenjivosti, plan incidenta, matrica nadležnih tijela, registar dobavljača, evidencije osposobljavanja |
| DORA | Upravljanje IKT-om, strategija otpornosti, proces za velike incidente povezane s IKT-om, testiranje, IKT rizik trećih strana i mogućnost revizijske provjere | Registar IKT rizika, testovi neprekidnosti poslovanja, dokazi o incidentu, ugovori s dobavljačima, izlazni planovi, revizijska izvješća |
| GDPR | Sigurnost, povjerljivost, odgovornost, procjena povrede i jasnoća uloga u vezi s osobnim podacima | Mape podataka, zapisi o odnosu voditelj obrade-izvršitelj obrade, dnevnički zapisi pristupa, bilješke o procjeni povrede, kontrole šifriranja, očuvanje dokaza |
| NIST CSF 2.0 | Upravljanje, profili rizika, rizik opskrbnog lanca, otkrivanje, odgovor, oporavak i komunikacija | Trenutačni i ciljni profili, akcijski plan za praznine, dokazi praćenja, operativne upute za odgovor, provjera oporavka |
| COBIT 2019 i ISACA revizijska praksa | Ciljevi upravljanja, odgovornost uprave, dizajn kontrola, praćenje učinkovitosti i osiguranje | Izvješća upravnom odboru, RACI, vlasništvo nad kontrolama, metrike, rezultati interne revizije, praćenje korektivnih radnji |
Metoda trenutačnog i ciljnog profila NIST CSF 2.0 posebno je korisna za organizacije koje još nisu dovoljno zrele za potpuno integriranu GRC platformu. Potiče organizacije da definiraju opseg profila, prikupe ulazne informacije kao što su politike, prioriteti rizika organizacije, analize utjecaja na poslovanje, zahtjevi, standardi, postupci, zaštitne mjere i uloge, zatim analiziraju praznine i izrade prioritizirani akcijski plan. To je vrlo blizu praktičnom sprintu spremnosti za Akt o kibernetičkoj solidarnosti: trenutačni dokazi, ciljne obveze, plan za praznine, vlasnici, datumi i revizijski trag.
Revizori koji se oslanjaju na COBIT 2019 i ISACA praksu obično pitaju jesu li ciljevi upravljanja vlasnički definirani, mjereni i praćeni. Neće ih zadovoljiti odgovor „time se bavi SOC”. Pitat će kako upravljačka tijela odobravaju mjere rizika, kako se izvješćuje o učinkovitosti, kako se upravlja rizikom trećih strana, kako se prihvaćaju iznimke i kako se prate korektivne radnje.
Kako će revizori testirati isti incident
Isti incident u 03:17 proizvodi različita revizijska pitanja ovisno o mandatu procjenitelja.
Revizor ISO/IEC 27001:2022 počet će od ISMS-a. Pitat će je li proces incidenta u opsegu, uključuju li zahtjevi zainteresiranih strana NIS2, DORA, GDPR i ugovore, je li procjena rizika razmotrila prekogranične scenarije i scenarije dobavljača, jesu li kontrole Priloga A odabrane u Izjavi o primjenjivosti i dokazuju li operativni zapisi da je proces slijeden.
Tijelo ili procjenitelj usmjeren na NIS2 usredotočit će se na odgovornost uprave, mjere upravljanja rizikom iz Article 21 i izvješćivanje iz Article 23. Može pitati kada je organizacija stekla saznanje, zašto incident jest ili nije bio značajan, kako je procijenjen prekogranični učinak, jesu li klijenti obaviješteni i jesu li korektivne mjere poduzete bez nepotrebnog odgađanja.
Nadzorno tijelo prema DORA ili tim unutarnje revizije pitat će je li incident utjecao na kritične ili važne funkcije, jesu li pružatelji IKT usluga trećih strana podržali odgovor, je li financijski subjekt zadržao odgovornost, je li registar informacija bio točan, je li incident pravilno klasificiran i jesu li naučene lekcije vraćene u testiranje otpornosti i nadzor nad dobavljačima.
Revizor za GDPR ili tijelo za zaštitu podataka pitat će je li organizacija imala dovoljno dokaza da utvrdi jesu li osobni podaci povrijeđeni, jesu li uloge voditelja obrade i izvršitelja obrade bile jasne, jesu li ispitanici bili izloženi riziku, jesu li kontrole povjerljivosti i cjelovitosti bile primjerene i jesu li zapisi odgovornosti održavani.
Procjenitelj NIST CSF 2.0 prevest će događaj u ishode Govern, Identify, Protect, Detect, Respond i Recover. Tražit će očekivanja dionika, pravne obveze, apetit za rizik, upravljanje dobavljačima, zapisivanje događaja, praćenje, provedbu odgovora, komunikacije i provjeru oporavka.
Revizor COBIT 2019 ili ISACA usredotočit će se na učinkovitost upravljanja i sustava upravljanja: vlasništvo, prava odlučivanja, metrike, prihvaćanje rizika, učinkovitost procesa, osiguranje i kontinuirano poboljšanje.
Ovdje je Zenith Controls koristan kao kompas usklađenosti među okvirima. Ne preimenuje službene kontrole niti stvara paralelni okvir kontrola. Pokazuje kako se kontrole ISO/IEC 27002:2022, kao što su 5.5, 5.24 i 5.28, povezuju s operativnim sposobnostima, povezanim kontrolama i dokazima relevantnima za reviziju.
| Odnos kontrola | Sinergija za spremnost za Akt o kibernetičkoj solidarnosti | Kontrole ISO/IEC 27002:2022 |
|---|---|---|
| Od planiranja do odgovora | Robustan plan incidenta osigurava strukturiran odgovor, jasne uloge i upravljanu komunikaciju | 5.24 do 5.26 |
| Od odgovora do izvješćivanja | Proces odgovora mora očuvati dokaze na dokaziv način kako bi podržao regulatorno izvješćivanje | 5.26 do 5.28 |
| Od odgovora do nadležnih tijela | Plan odgovora mora sadržavati unaprijed definirane okidače i kanale za kontaktiranje nacionalnih CSIRT-ova i regulatora | 5.26 do 5.5 |
| Od nadležnih tijela do obavještajnih podataka | Suradnja s nadležnim tijelima može pružiti obavještajne podatke o prijetnjama koji se vraćaju u procjenu rizika | 5.5 do 5.7 |
Što CISO-i trebaju učiniti sada za spremnost u 2026.
Ako se pripremate za operativnu stvarnost Akta EU-a o kibernetičkoj solidarnosti, počnite od dokaza, a ne od slogana.
Prvo, ažurirajte kontekst ISMS-a i analizu zainteresiranih strana. Utvrdite potpadaju li vaša organizacija, klijenti ili dobavljači pod NIS2, DORA ili GDPR. Uključite prisutnost po državama članicama, sektorsku klasifikaciju, kritične klijente, ovisnosti o IKT uslugama i kontakte s nadležnim tijelima.
Drugo, provedite stolnu vježbu prekograničnog incidenta. Upotrijebite scenarij koji uključuje dobavljača, više od jedne države članice, moguću izloženost osobnih podataka i reguliranog financijskog klijenta. Vremenski ograničite prva 24 sata.
Treće, pregledajte ugovore s dobavljačima. Potvrdite obveze obavješćivanja, pristup dnevničkim zapisima, forenzičku podršku, suradnju s nadležnim tijelima, prenesene obveze na podizvođače, lokaciju podataka, prava na reviziju, podršku neprekidnosti poslovanja i prava raskida.
Četvrto, testirajte prikupljanje dokaza. Izvezite dnevničke zapise, očuvajte snimke stanja, označite dokaze, zabilježite lanac nadzora i provjerite pristup repozitoriju. Ako vaša politika kaže da su dokazi jedinstveno identificirani i sigurno pohranjeni, dokažite to.
Peto, uskladite komunikacije o incidentu. Vaše rano upozorenje prema NIS2, eskalacija prema DORA, procjena povrede prema GDPR i obavijest klijentu ne smiju si proturječiti. Mogu imati različite pravne svrhe, ali moraju proizlaziti iz iste baze činjenica.
Šesto, uključite upravni odbor u vježbu. NIS2 i DORA podižu odgovornost uprave. Zahtjevi za vodstvo u ISO/IEC 27001:2022 čine to revizijski provjerljivim. Upravni odbor koji nikada nije vidio 24-satni rok za kibernetičku obavijest nije spreman za prekograničnu krizu.
Sljedeći koraci s Clarysec
Budućnost kibernetičke sigurnosti EU-a temelji se na suradnji i dokazivom povjerenju. Organizacije koje NIS2 i DORA tretiraju kao izolirane kontrolne popise imat će poteškoće tijekom prekograničnih incidenata. Organizacije koje izgrade operativne sustave ISO/IEC 27001:2022 potkrijepljene dokazima moći će s povjerenjem odgovoriti regulatorima, klijentima, revizorima i timovima za krizni odgovor.
Clarysec pomaže CISO-ima, voditeljima usklađenosti, revizorima i vlasnicima poslovanja pretvoriti kibernetičku regulativu EU-a u operativne dokaze spremne za reviziju kroz:
- Zenith Blueprint: revizorov plan u 30 koraka za strukturiranu implementaciju ISO/IEC 27001:2022 i slijed revizije.
- Zenith Controls: vodič za usklađenost među okvirima za mapiranje kontrola incidenta, nadležnih tijela, dobavljača, dokaza, zapisivanja događaja i neprekidnosti poslovanja kroz više okvira.
- Predloške politika Clarysec, uključujući Politiku odgovora na incidente, Politiku prikupljanja dokaza i forenzike, Politiku sigurnosti trećih strana i dobavljača, Politiku neprekidnosti poslovanja i oporavka od katastrofe, uz verzije za MSP-ove kada je važna proporcionalnost.
Najbolje vrijeme za pripremu prekogranične koordinacije incidenta jest prije upozorenja u 03:17. Drugo najbolje vrijeme je danas.
Započnite s Clarysec pregledom spremnosti, preuzmite odgovarajući skup politika ili zatražite obilazak koji pokazuje kako Zenith Blueprint i Zenith Controls mogu pomoći vašem ISMS-u proizvesti dokaze koje će kibernetička otpornost 2026. zahtijevati.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


