⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
HR EN BG CS DA DE EL ES ET FI FR GA HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Obavještajni podaci o prijetnjama prema ISO 27001 za NIS2 i DORA

Igor Petreski
15 min read
#Upravljanje rizicima #Revizija #ISMS #Odgovor na incidente #Upravljanje dobavljačima #Zapisivanje događaja i praćenje
Radni tok obavještajnih podataka o prijetnjama prema ISO 27001 za dokaze usklađenosti s NIS2 i DORA

U utorak ujutro u 07:42 CISO europskog fintech društva prima četiri poruke prije prve kave.

Prva je upozorenje nacionalnog CERT-a da se ranjivost udaljenog pristupa aktivno iskorištava. Druga je sigurnosni bilten dobavljača koji potvrđuje da se zahvaćena komponenta koristi unutar upravljane usluge prijenosa datoteka. Treća je obavijest usluge upravljanog otkrivanja i odgovora (MDR) koja označava neuobičajen izlazni promet iz neprodukcijske podmreže. Četvrta dolazi od financijskog direktora: „Utječe li ovo na naš paket spremnosti za DORA i moramo li nekoga obavijestiti prema NIS2?”

To je problem obavještajnih podataka o prijetnjama u 2026. Ne radi se o prikupljanju većeg broja izvora. Radi se o dokazivanju da su relevantni obavještajni podaci o kibernetičkim prijetnjama zaprimljeni, provjereni, usmjereni, obrađeni i pretvoreni u dokaze o riziku, detekciji, ranjivostima, incidentima, dobavljačima i upravljanju na razini upravljačkog tijela.

Mnoge organizacije već su pretplaćene na sigurnosne obavijesti dobavljača, upozorenja CISA-e, ažuriranja ENISA-e, obavijesti nacionalnih CERT-ova, biltene ISAC-a, sigurnosne obavijesti pružatelja usluga u oblaku, CVE izvore, MDR izvješća, baze podataka o mogućnosti iskorištavanja i praćenje dark weba. Ipak, kada stigne stvarna sigurnosna obavijest, timovi i dalje reagiraju stihijski. SOC piše detekcijsko pravilo. Infrastrukturni tim pretražuje popise imovine koji možda nisu ažurni. Funkcija usklađenosti pita utječe li događaj na NIS2 ili DORA. Uprava želi jasan odgovor prije nego što organizacija uopće zna nalazi li se ranjiva komponenta u produkcijskom okruženju.

Problem nije manjak podataka. Problem je nepostojanje operativnog modela koji se može revizijski provjeriti.

Izvor podataka o prijetnjama koji nitko ne koristi nije kontrola. Sigurnosna obavijest o ranjivosti koja ne mijenja prioritet zakrpavanja nije dokaz. Obavijest dobavljača koja nikada ne dođe do registra rizika nije sigurnost opskrbnog lanca. Upozorenje CSIRT-a koje ne ažurira praćenje, trijažu incidenata ili izvješćivanje uprave samo je buka u ulaznom sandučiću.

Clarysecov pristup je jednostavan: obavještajni podaci o prijetnjama moraju postati operativni sustav za odluke o riziku. Moraju biti ugrađeni u opseg ISMS-a, procjenu rizika, Izjavu o primjenjivosti, operativne upute za incidente, trijažu ranjivosti, zapisivanje događaja i praćenje, upravljanje dobavljačima, izvješćivanje uprave i paket revizijskih dokaza.

Zašto su obavještajni podaci o prijetnjama sada kontrola na razini upravljačkog tijela

NIS2 je promijenio ton upravljanja kibernetičkom sigurnošću. U područje primjene uvodi mnoge pružatelje SaaS usluga, pružatelje usluga u oblaku, pružatelje upravljanih usluga, pružatelje upravljanih sigurnosnih usluga, organizacije digitalne infrastrukture i pružatelje digitalnih usluga kao ključne ili važne subjekte, ovisno o sektoru, veličini i odluci države članice.

NIS2 Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima. One uključuju analizu rizika, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, sigurnost pri nabavi, razvoju i održavanju, uključujući postupanje s ranjivostima i njihovu objavu, procjenu učinkovitosti, osnovnu kibernetičku higijenu i osposobljavanje, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom te MFA ili kontinuiranu autentikaciju gdje je to primjereno.

NIS2 Article 20 također zahtijeva da upravljačka tijela odobre mjere upravljanja rizicima kibernetičke sigurnosti, nadziru njihovu provedbu i prođu osposobljavanje. Za ključne subjekte najviša upravna novčana kazna može iznositi najmanje 10 milijuna EUR ili 2 posto ukupnog godišnjeg svjetskog prometa, ovisno o tome što je veće. Za važne subjekte može iznositi najmanje 7 milijuna EUR ili 1,4 posto.

Za obavještajne podatke o prijetnjama pitanje na razini upravljačkog tijela glasi: kako znamo da nove prijetnje mijenjaju naše kontrole prije nego što postanu incidenti?

DORA dodaje još jedan sloj za financijske subjekte i relevantne pružatelje IKT usluga trećih strana. Primjenjuje se od 17. siječnja 2025. i zahtijeva pouzdan, sveobuhvatan i dobro dokumentiran okvir za upravljanje IKT rizicima, integriran u cjelokupni sustav upravljanja rizicima. DORA okvir očekuje od organizacija da identificiraju i klasificiraju poslovne funkcije i imovinu podržane IKT-om, štite i sprječavaju, otkrivaju anomalne aktivnosti, odgovaraju i oporavljaju se, upravljaju sigurnosnim kopijama i vraćanjem podataka, uče iz IKT incidenata, komuniciraju tijekom kriza i upravljaju IKT rizikom trećih strana.

DORA također zahtijeva upravljanje, klasifikaciju i prijavljivanje incidenata povezanih s IKT-om. Articles 17, 18 i 19 obuhvaćaju procese upravljanja incidentima, klasifikaciju incidenata povezanih s IKT-om i kibernetičkih prijetnji te prijavljivanje većih incidenata povezanih s IKT-om. Article 10 usmjeren je na otkrivanje anomalnih aktivnosti. Articles 6 to 11 opisuju okvir upravljanja IKT rizicima te očekivanja u pogledu identifikacije, zaštite, prevencije, detekcije, odgovora i oporavka.

Jednostavno rečeno, DORA očekuje otpornost svjesnu prijetnji. Ne statičnu otpornost. Ne otpornost temeljenu na godišnjem ažuriranju politika. Otpornost svjesnu prijetnji.

ISO/IEC 27001:2022 daje mehanizam sustava upravljanja koji povezuje ta očekivanja. Točke 4.1 do 4.4 zahtijevaju da organizacija razumije svoj unutarnji i vanjski kontekst, zainteresirane strane, pravne i regulatorne obveze, opseg ISMS-a, ovisnosti i međusobno povezane procese. Točke 6.1.1 do 6.1.3 zahtijevaju ponovljiv proces procjene rizika i obrade rizika, odabir kontrola, usporedbu s Prilogom A, Izjavu o primjenjivosti, planiranje obrade rizika i odobrenje vlasnika rizika za preostali rizik.

Obavještajni podaci o prijetnjama pripadaju upravo ondje, ne kao izdvojena nadzorna ploča, nego kao ulazni podatak za kontekst, rizik, odabir kontrola, obradu rizika, praćenje, preispitivanje od strane uprave i kontinuirano poboljšanje.

Zamka usklađenosti: izvori podataka o prijetnjama bez sljedivosti odluka

Najčešći obrazac neuspjeha varljivo je jednostavan: organizacija prima obavještajne podatke o prijetnjama, ali ne može dokazati kako oni mijenjaju odluke.

Slab lanac dokaza obično izgleda ovako:

Zaprimljeni signalSlab odgovorZabrinutost revizora
CERT upozorenje o aktivnom iskorištavanjuProslijeđeno u IT sandučićNema dokaza o procjeni rizika, vlasništvu ili radnji
Bilten dobavljača o kritičnoj zakrpiDodano u zaostatak zadatakaNema prioritizacije prema kritičnosti imovine ili aktivnosti iskorištavanja
MDR detekcija sumnjive naredbene linijeZatvoreno kao lažno pozitivan rezultatNema dokumentiranih kriterija trijaže ili povratne petlje učenja
Obavijest dobavljača o kompromitiranoj ovisnostiPohranjeno u mapu nabaveNema ažuriranja rizika dobavljača ni pregleda kompenzacijskih kontrola
ISAC upozorenje o sektorskoj kampanjiSpomenuto na SOC sastankuNema ažuriranja praćenja, podizanja svijesti ili operativnih uputa za incidente

Ovdje Clarysecova metoda implementacije pomaže organizacijama prijeći s „primamo obavještajne podatke” na „pretvaramo obavještajne podatke u operativne radnje”.

U Zenith Blueprint: Revizorova mapa puta u 30 koraka Zenith Blueprint, faza Kontrole u praksi izričito pretvara obavještajne podatke o prijetnjama u praksu koja se može revizijski provjeriti. Korak 22, organizacijske kontrole, navodi:

Uspostavite dokumentirani popis izvora obavještajnih podataka o prijetnjama (5.7), od dobavljača, ISAC-ova ili otvorenih izvora, i odredite kako se obavještajni podaci provjeravaju i integriraju u odlučivanje. Definirajte tko prima ažuriranja o prijetnjama i kako se ona primjenjuju (npr. prioritizacija zakrpa, osposobljavanje za podizanje svijesti). Izradite kratki tromjesečni pregled trendova prijetnji za distribuciju ključnim dionicima.

Ta uputa je most između podataka o prijetnjama i dokaza usklađenosti. Registar obavještajnih podataka o prijetnjama nije samo popis izvora. On dokazuje relevantnost, vlasništvo, provjeru, usmjeravanje, integraciju i poslovnu uporabu.

Logika kontrola ISO 27001: lanac obavještajnih podataka o prijetnjama

ISO/IEC 27002:2022 kontrola 5.7, obavještajni podaci o prijetnjama, zahtijeva da organizacije prikupljaju i analiziraju informacije povezane s prijetnjama informacijskoj sigurnosti i koriste ih za stvaranje obavještajnih podataka o prijetnjama. U Zenith Controls: Vodič za međuregulatornu usklađenost Zenith Controls, kontrola 5.7 klasificirana je kao preventivna, detektivna i korektivna. Podržava povjerljivost, cjelovitost i dostupnost, usklađena je s konceptima kibernetičke sigurnosti Identify, Detect i Respond te se nalazi unutar upravljanja prijetnjama i ranjivostima kao operativna sposobnost.

Ta klasifikacija je važna. Obavještajni podaci o prijetnjama sprječavaju rizik informiranjem sigurnosnog očvršćivanja, zakrpavanja, osposobljavanja i kontrola dobavljača. Otkrivaju rizik oblikovanjem praćenja, SIEM pravila i zadataka lova na prijetnje. Ispravljaju rizik poboljšanjem odgovora na incidente, naučenih lekcija i obrade rizika.

Zenith Controls također mapira ISO/IEC 27002:2022 kontrolu 5.7 na podržavajuće kontrole:

Odnos kontrole ISO/IEC 27002:2022Zašto je to važno u praksi
5.6 Kontakt s posebnim interesnim skupinamaISAC-ovi, CERT-ovi, profesionalni forumi i sektorske zajednice izvori su obavještajnih podataka, a ne dodatak za umrežavanje
8.7 Zaštita od zlonamjernog softveraPokazatelji kompromitacije (IOC-ovi), zlonamjerni URL-ovi, vrijednosti sažetka, infrastruktura za zapovijedanje i upravljanje te obrasci napada ažuriraju zaštitu krajnjih uređaja i e-pošte
8.8 Upravljanje tehničkim ranjivostimaObavještajni podaci o iskorištavanju u stvarnom okruženju mijenjaju prioritet ranjivosti i hitnost zakrpavanja
8.15 Zapisivanje događajaDnevnički zapisi pružaju činjenični zapis potreban za pretraživanje pokazatelja i rekonstrukciju aktivnosti
8.16 Aktivnosti praćenjaObavještajni podaci o prijetnjama govore SOC-u što treba pratiti, dok praćenje stvara interne obavještajne podatke
5.25 Procjena i odluka o događajima informacijske sigurnostiTrijaža potkrijepljena obavještajnim podacima pomaže odlučiti je li događaj sigurnosni incident

Povezanost s ranjivostima posebno je važna. Zenith Controls tretira kontrolu 8.8, upravljanje tehničkim ranjivostima, kao preventivnu i izravno povezanu s kontrolom 5.7 jer obavještajni podaci o prijetnjama iz stvarnog okruženja pokazuju koje se ranjivosti aktivno iskorištavaju. Također povezuje 8.8 s 8.16, aktivnostima praćenja, jer bi uočeni pokušaji iskorištavanja trebali povećati hitnost zakrpavanja.

Time nastaje praktičan lanac obavještajnih podataka o prijetnjama:

  1. Stižu vanjski ili interni obavještajni podaci.
  2. Relevantnost se provjerava u odnosu na imovinu, dobavljače, geografiju, sektor, poslovne usluge i podatke.
  3. Rizik se ažurira.
  4. Prioriteti zakrpavanja i konfiguracije se mijenjaju.
  5. Detekcijska logika se prilagođava.
  6. Operativne upute za incidente i pragovi klasifikacije se pregledavaju.
  7. Provjeravaju se ovisnosti o dobavljačima i uslugama u oblaku.
  8. Uprava prima izvješća o trendovima.
  9. Dokazi se zadržavaju za revizore, regulatore i klijente.

Politike koje obavještajne podatke pretvaraju u odgovorno postupanje

Politike su mjesto na kojem logika kontrola postaje odgovornost temeljena na ulogama. Clarysecovi skupovi politika za SME i poduzeća uključuju poveznice s obavještajnim podacima o prijetnjama kroz upravljanje rizicima, zaštitu krajnjih uređaja, upravljanje ranjivostima, zapisivanje događaja, praćenje i revizijske dokaze.

Za SME, Politika zaštite krajnjih uređaja – politika zaštite od zlonamjernog softvera Politika zaštite krajnjih uređaja – politika zaštite od zlonamjernog softvera - SME postavlja izravno očekivanje u točki 5.4.1 upravljačkih zahtjeva:

Pružatelj IT podrške mora pratiti vjerodostojne izvore obavještajnih podataka o prijetnjama (npr. CISA, ENISA, glavni dobavljači antivirusnog softvera) i osigurati da detekcijski potpisi ostanu ažurni.

Vrijednost ove točke je u dodjeli odgovornosti. Obavještajni podaci o prijetnjama nisu „netko u IT-u treba provjeriti upozorenja”. To je izričita obveza pružatelja usluge.

Politika upravljanja ranjivostima i zakrpama Politika upravljanja ranjivostima i zakrpama - SME učvršćuje isti model u točki 4.2.1 uloga i odgovornosti:

Prati sustave radi ranjivosti i dostupnih zakrpa koristeći upozorenja dobavljača, obavijesti o prijetnjama i obavijesti operativnog sustava.

Također u točki 6.2.1.3 zahtjeva za provedbu politike navodi vrstu izvora koja treba pokrenuti radnju:

Pouzdane obavijesti o prijetnjama (npr. CISA, ENISA, upozorenja nacionalnih CERT-ova).

Za poduzeća, Politika upravljanja ranjivostima i zakrpama Politika upravljanja ranjivostima i zakrpama u točki 4.5.1 uloga i odgovornosti navodi:

Pratiti obavijesti o prijetnjama (npr. CVE, CISA KEV, bilteni dobavljača) i eskalirati kritične ranjivosti.

Zahtjev za eskalacijom je ključan. Ranjivost postaje hitna kada se spoje mogućnost iskorištavanja, izloženost, poslovna kritičnost, osjetljivost podataka i aktivnost prijetnje.

Politika upravljanja rizicima Politika upravljanja rizicima ugrađuje obavještajne podatke o prijetnjama u analizu. Točka 6.2.2 zahtjeva za provedbu politike navodi:

Analiza mora uzeti u obzir učinkovitost postojećih kontrola, relevantne obavještajne podatke o prijetnjama, kritičnost imovine i ozbiljnost ranjivosti.

Ta točka je srž obavještajnih podataka o prijetnjama spremnih za reviziju. Dokazuje da analiza rizika nije teoretska.

Politika zapisivanja događaja i praćenja Politika zapisivanja događaja i praćenja pretvara obavještajne podatke u detekciju. Njezina točka 1.2 svrhe navodi:

Revizijsko bilježenje, praćenje i otkrivanje prijetnji ključni su za otkrivanje anomalija, odgovor na prijetnje, forenzički pregled, spremnost za reviziju i pravnu usklađenost. Ova politika osigurava da su svi događaji koje generira sustav pravilno zabilježeni, zadržani i korelirani s vremenski usklađenom točnošću.

Naposljetku, Politika praćenja revizije i usklađenosti Politika praćenja revizije i usklađenosti objašnjava zašto je disciplina dokaza važna. Točka 3.4 ciljeva zahtijeva od organizacije izradu dokaza:

Izraditi provjerljive dokaze i revizijski trag za potrebe regulatornih upita, pravnih postupaka ili zahtjeva klijenata za potvrdom.

Kada NIS2, DORA, klijent ili ISO revizor pita što ste znali, kada ste to znali, tko je odlučio i što se promijenilo, taj trag dokaza čini razliku između zrelog dokazivanja sigurnosti i obrambene improvizacije.

Izradite Registar obavještajnih podataka o prijetnjama

Zreo registar ima dva sloja: upravljanje izvorima i praćenje događaja. Upravljanje izvorima definira čemu organizacija vjeruje, tko je vlasnik izvora, kako se izvor provjerava i koju radnju može pokrenuti.

Naziv izvoraVrstaPostupak provjereTočka integracijeVlasnik
CISA KEV CatalogOperativniUsporedba s popisom imovine i izloženošćuPokretanje prioritizacije hitnih zakrpaUpravljanje ranjivostima
Obavijesti ENISA-eStrateškiPregled od strane vlasnika rizika ili odbora za rizikeAžuriranje scenarija rizika i izvješća za upravuCISO
Sektorski ISACTaktičkiAnaliza IOC-ova radi relevantnosti za tehnološki skupAžuriranje SIEM-a, EDR-a i zadataka lova na prijetnjeVoditelj SOC-a
Bilteni pružatelja usluga u oblakuOperativniProvjera zahvaćenih usluga i regijaEskalacija prema timu za inženjering oblakaVoditelj DevOps-a
Obavijesti dobavljača o zakrpamaOperativniPotvrda proizvoda, verzije i opsega implementacijeDodavanje u ciklus zakrpavanja ili hitnu promjenuIT operacije
MDR obavijestiTaktički i operativniTrijaža prema dnevničkim zapisima, imovini i poznatim referentnim vrijednostimaOtvaranje predmeta detekcije, istrage ili incidentaSigurnosne operacije
Sigurnosne obavijesti dobavljačaOperativniMapiranje na ugovorene usluge i tokove podatakaAžuriranje rizika dobavljača i kompenzacijskih kontrolaVlasnik dobavljača

Praćenje događaja bilježi kako je određena sigurnosna obavijest postala dokaz. Vraćajući se na scenarij prijenosa datoteka u utorak ujutro, zapis u registru treba sadržavati dovoljno informacija za potporu odlukama o riziku, odgovoru i usklađenosti.

PoljePrimjer unosa
Datum i vrijeme zaprimanja2026-05-26 07:42 UTC
IzvorUpozorenje nacionalnog CERT-a, bilten dobavljača, MDR obavijest
Vrsta izvoraVladina sigurnosna obavijest, sigurnosna obavijest dobavljača, interna detekcija
Zahvaćena tehnologijaUpravljana usluga prijenosa datoteka, raspon verzija, ovisne biblioteke
Vlasnik poslovanjaVoditelj operacija platforme
Vlasnik rizikaCISO
Poveznica s imovinomVanjski pristupnik za prijenos datoteka, radni tok izvješćivanja klijenata
Početna ozbiljnostVisoka, do provjere izloženosti
Potrebne radnjeProvjera izloženosti, status zakrpe, pregled detekcije, potvrda dobavljača
Relevantnost za usklađenostNIS2 Article 21, NIS2 Article 23 ako su ispunjeni kriteriji značajnog incidenta, DORA IKT rizik i životni ciklus incidenta ako je primjenjivo
Lokacija dokazaZahtjev, ažuriranje registra rizika, SIEM promjena, bilješka za upravu

To nije birokracija. To je činjenični zapis koji dokazuje da organizacija ima definiran proces zaprimanja, provjere, trijaže, eskalacije i dokazivanja.

Od sigurnosne obavijesti do revizijskog dokaza: praktičan radni tok

Radni tok obavještajnih podataka o prijetnjama mora brzo odgovoriti na šest pitanja: jesmo li izloženi, koliko je ozbiljno, što se mora promijeniti, tko je vlasnik, trebamo li prijaviti i koji se dokazi moraju zadržati?

1. Provjerite izloženost i utjecaj na poslovanje

Točke 4.1 do 4.4 norme ISO/IEC 27001:2022 zahtijevaju da ISMS odražava stvarni kontekst, obveze i ovisnosti organizacije. Prvi zadatak nije naslijepo zakrpavati. Prvi zadatak je provjeriti izloženost.

Pitajte:

  • Koristimo li zahvaćenu tehnologiju?
  • Je li izložena internetu?
  • Koristi li je kritična poslovna usluga?
  • Obrađuje li osobne podatke?
  • Upravlja li njome dobavljač ili pružatelj upravljanih usluga?
  • Je li relevantna za kritičnu ili važnu funkciju prema DORA?
  • Je li relevantna za usluge u opsegu NIS2?
  • Postoje li ugovorne obveze obavješćivanja klijenata?
  • Jesu li dnevnički zapisi dostupni, potpuni i vremenski sinkronizirani?

Ako osobni podaci mogu biti zahvaćeni, u analizu ulazi i odgovornost prema GDPR. GDPR zahtijeva odgovarajuću sigurnost obrade i dokazivu odgovornost, uključujući sposobnost procjene je li došlo do povrede osobnih podataka i je li potrebna obavijest.

2. Ažurirajte registar rizika

Politika upravljanja rizicima Politika upravljanja rizicima - SME daje jednostavno vremensko pravilo u točki 5.1.3 upravljačkih zahtjeva:

Rizici se moraju pregledavati tromjesečno i ažurirati kada nastupe značajni događaji.

Vjerodostojna sigurnosna obavijest o aktivnom iskorištavanju značajan je događaj. Ažuriranje ne smije čekati sljedeći tromjesečni pregled.

Element rizikaAžurirana procjena
PrijetnjaAktivno iskorištavanje ranjivosti upravljane usluge prijenosa datoteka
RanjivostZahvaćena verzija, izloženo sučelje, slaba konfiguracija, nedostajuća zakrpa
ImovinaPlatforma za razmjenu podataka s klijentima
PosljedicaPrekid usluge, neovlašteni pristup podacima, regulatorno izvješćivanje, utjecaj na povjerenje klijenata
VjerojatnostPovećana zbog aktivnog iskorištavanja u stvarnom okruženju
Postojeće kontroleMFA, WAF, zaštita krajnjih uređaja, SIEM praćenje, sigurnosna kopija, SLA dobavljača
Praznine u kontrolamaZakrpa nije potvrđena, detekcija nije prilagođena, dokazi dobavljača su na čekanju
ObradaHitna zakrpa, privremeno mrežno ograničenje, lov na IOC-ove, potvrda dobavljača, procjena utjecaja na klijente
Vlasnik preostalog rizikaCISO i vlasnik operacija platforme

To se izravno povezuje s točkama 6.1.1-6.1.3 norme ISO/IEC 27001:2022. Organizacija identificira rizik, analizira vjerojatnost i posljedice, prioritizira obradu, odabire kontrole, održava Izjavu o primjenjivosti, izrađuje plan obrade rizika i pribavlja odobrenje preostalog rizika.

3. Prioritizirajte obradu ranjivosti koristeći obavještajne podatke o iskorištavanju

Zenith Blueprint, faza Kontrole u praksi, korak 19, tehnološke kontrole I, objašnjava zašto je upravljanje ranjivostima temeljna kibernetička higijena:

Upravljanje ranjivostima jedno je od najkritičnijih područja moderne kibernetičke higijene. Iako vatrozidi i antivirusni alati pružaju zaštitu, ona može biti narušena ako nezakrpani sustavi ili pogrešno konfigurirane usluge ostanu izloženi. Kako bi ispunile ovu kontrolu, organizacije trebaju implementirati strukturiran i ponovljiv proces za identificiranje, procjenu i obradu ranjivosti.

Samo CVSS nije dovoljan. Ranjivost srednje ocjene koja se aktivno iskorištava na sustavu izloženom internetu može biti hitnija od visoko ocijenjene ranjivosti skrivene u segmentiranom laboratoriju.

ČimbenikPitanjeDokaz
Aktivnost iskorištavanjaJe li iskorištavanje uočeno ili prijavljeno iz pouzdanih izvora?CERT upozorenje, CISA KEV referenca, bilten dobavljača, MDR izvješće
IzloženostJe li imovina izložena internetu ili dostupna dobavljačima?Popis imovine, sigurnosni profil oblaka, mrežno skeniranje
Poslovna kritičnostPodržava li ključne usluge ili kritične funkcije?Analiza utjecaja na poslovanje, mapiranje funkcija prema DORA
Osjetljivost podatakaObrađuje li osobne podatke, regulirane financijske podatke ili povjerljive podatke klijenata?Popis podataka, DPIA, zapisi obrade
Kompenzacijske kontroleMogu li WAF, pravila vatrozida, segmentacija, EDR ili onemogućavanje značajke smanjiti rizik?Zahtjev za promjenu, pravilo vatrozida, EDR politika
Operativni rizikMože li hitno zakrpavanje poremetiti pružanje kritične usluge?Procjena promjene, plan povrata, plan neprekidnosti

Time nastaje odluka koju je moguće opravdati. Ona također podržava NIS2 Article 21(2)(e) za postupanje s ranjivostima, NIS2 Article 21(2)(g) za kibernetičku higijenu i očekivanja DORA za upravljanje IKT rizicima.

4. Pretvorite obavještajne podatke u praćenje i detekciju

Obavještajni podaci o prijetnjama moraju doprijeti do zapisivanja događaja i praćenja. Politika zapisivanja događaja i praćenja Politika zapisivanja događaja i praćenja - SME u točki 6.2.1 zahtjeva za provedbu politike navodi:

Sigurnosni alati (npr. antivirusni softver, vatrozidi, VPN-ovi) moraju biti konfigurirani za generiranje upozorenja za definirane scenarije prijetnji, uključujući:

Izvadak jasno postavlja namjeru kontrole: definirani scenariji prijetnji trebaju pokretati upozorenja.

Zenith Blueprint, faza Kontrole u praksi, korak 19, opisuje aktivnosti praćenja ovako:

Ako je zapisivanje događaja čin bilježenja onoga što se događa u vašem okruženju, praćenje je čin promatranja, razumijevanja i odgovaranja na te događaje. Ova kontrola odnosi se na aktivno promatranje mreža, sustava i aplikacija radi otkrivanja neuobičajene aktivnosti, ne samo naknadno, nego u stvarnom vremenu ili gotovo stvarnom vremenu, gdje je to moguće.

Za scenarij prijenosa datoteka SOC ili pružatelj IT usluge trebao bi:

  • Dodati ili provjeriti IOC-ove iz CERT-a i sigurnosne obavijesti dobavljača.
  • Pretražiti dnevničke zapise za poznate putanje iskorištavanja, sumnjive prijenose datoteka, pokazatelje web shell-a, neuobičajeno izvršavanje procesa i neočekivane izlazne veze.
  • Potvrditi da se zadržavaju zapisi autentifikacije, administratorske aktivnosti, pristupa datotekama, API-ja i mrežni dnevnički zapisi.
  • Prilagoditi SIEM upozorenja za obrazac iskorištavanja.
  • Izraditi bilješku predmeta koja objašnjava što je pretraženo, što je pronađeno i tko je pregledao rezultat.
  • Eskalirati na klasifikaciju incidenta ako pokazatelji upućuju na kompromitaciju, izloženost podataka ili utjecaj na uslugu.

Ovdje prijavljivanje incidenata postaje praktično. NIS2 Article 23 zahtijeva fazno prijavljivanje značajnih incidenata, uključujući rano upozorenje u roku od 24 sata, obavijest u roku od 72 sata, međuažuriranja na zahtjev i završno izvješće najkasnije mjesec dana nakon obavijesti. DORA zahtijeva od financijskih subjekata da otkrivaju, upravljaju, klasificiraju i prijavljuju veće incidente povezane s IKT-om kroz fazni proces definiran uredbom i povezanim tehničkim standardima.

Obavještajni podaci o prijetnjama pomažu odrediti je li organizacija još u odgovoru na ranjivost, procjeni sigurnosnog događaja ili reguliranom prijavljivanju incidenta.

Jedan radni tok, više obveza usklađenosti

Obavještajni podaci o prijetnjama idealan su integrirani radni tok usklađenosti jer isti dokazi podržavaju više režima.

Okvir ili propisŠto očekujeDokazi obavještajnih podataka o prijetnjama
ISO/IEC 27001:2022ISMS svjestan konteksta, procjena rizika, odabir kontrola, planiranje obrade rizika, kontinuirano poboljšanjeOpseg ISMS-a, registar rizika, Izjava o primjenjivosti, plan obrade rizika, ulazni podaci za preispitivanje od strane uprave
ISO/IEC 27002:2022Obavještajni podaci o prijetnjama, upravljanje ranjivostima, zapisivanje događaja, praćenje, procjena incidenata, zaštita od zlonamjernog softveraRegistar obavještajnih podataka o prijetnjama, ažuriranja IOC-ova, SIEM pravila, zahtjevi za zakrpe, bilješke trijaže incidenata
NIS2Upravljanje rizicima, postupanje s incidentima, kibernetička higijena, postupanje s ranjivostima, sigurnost opskrbnog lanca, upravljački nadzorDokazi za Article 20 i 21, izvješća za upravu, CSIRT radni tok, praćenje sigurnosnih obavijesti dobavljača
DORAIKT okvir rizika, detekcija, neprekidnost, životni ciklus incidenta, testiranje otpornosti, IKT rizik trećih stranaKlasifikacija IKT imovine, predmeti detekcije, zapisi klasifikacije incidenata, ulazni podaci za testove otpornosti, zapisi IKT dobavljača
GDPRSigurnost obrade, odgovornost, podrška otkrivanju i prijavi povredeProcjena utjecaja na podatke, zapisi pristupa, dokazi praćenja, zapis procjene povrede
NIST CSF 2.0Ishodi Govern, Identify, Protect, Detect, Respond, RecoverTrenutačni profil, ciljni profil, prioritizirani plan radnji, komunikacija rizika
COBIT 2019 revizijska perspektivaUpravljanje rizikom, kontrolama, učinkom, dokazivanjem sigurnosti i odgovornošćuVlasništvo nad kontrolama, upravljačke metrike, dokazi o osiguranju, praćenje otklanjanja problema

NIST CSF 2.0 posebno je koristan za komunikaciju s izvršnim rukovodstvom. Njegove temeljne funkcije, Govern, Identify, Protect, Detect, Respond i Recover, pretvaraju tehničke obavještajne podatke u priču razumljivu upravljačkom tijelu:

  • Govern: definirani su izvori obavještajnih podataka o prijetnjama, vlasnici i linije izvješćivanja.
  • Identify: mapirani su zahvaćena imovina, dobavljači, poslovne usluge i podaci.
  • Protect: ažurirani su zakrpavanje, sigurnosno očvršćivanje, segmentacija i potpisi krajnjih uređaja.
  • Detect: implementirana su pravila praćenja, IOC-ovi i zadaci lova na prijetnje.
  • Respond: pregledane su operativne upute za incidente, pravila trijaže i pragovi obavješćivanja.
  • Recover: provjerene su sigurnosne kopije, prioriteti vraćanja podataka i naučene lekcije.

To sirove obavještajne podatke o kibernetičkim prijetnjama pretvara u upravljanje rizicima.

Pogled revizora: što će tražiti

Snažan proces obavještajnih podataka o prijetnjama treba izdržati različite stilove revizije. ISO revizor, NIS2 pregledavatelj, nadzorno tijelo prema DORA, procjenitelj NIST CSF-a, revizor usmjeren na COBIT 2019, ISACA stručnjak ili pregledavatelj privatnosti mogu koristiti različit jezik, ali svi se usmjeravaju na dokaze.

Revizijska perspektivaVjerojatno revizijsko pitanjeDokaz koji odgovara
ISO/IEC 27001:2022 revizorKako vanjski i unutarnji kontekst utječe na rizike i kontrole ISMS-a?Registar obavještajnih podataka o prijetnjama, metodologija rizika, ažurirani registar rizika, obrazloženje Izjave o primjenjivosti
Pregledavatelj kontrola ISO/IEC 27002:2022Kako su povezane kontrole 5.7, 8.8, 8.16, 8.15, 8.7 i 5.25?Popis izvora, trijaža ranjivosti, prilagodba SIEM-a, ažuriranja potpisa zlonamjernog softvera, zapisi procjene događaja
NIS2 pregledavateljKako ispunjavate upravljački nadzor, kibernetičku higijenu, postupanje s ranjivostima, postupanje s incidentima i sigurnost opskrbnog lanca?Mapiranje Article 20 i 21, izvješća za upravu, postupak izvješćivanja CSIRT-u, radni tok sigurnosnih obavijesti dobavljača
Nadzorno tijelo prema DORAKako obavještajni podaci o prijetnjama ažuriraju IKT rizik, detekciju, testiranje otpornosti i klasifikaciju incidenata?Okvir IKT rizika, mapiranje kritičnih funkcija, predmeti detekcije, zapisi klasifikacije incidenata, opseg testiranja otpornosti
Procjenitelj NIST CSF-aKoji su vaš trenutačni profil, ciljni profil i prioritizirani plan radnji?CSF profil, procjena praznina, plan radnji, dnevnik kontinuiranog ažuriranja
COBIT 2019 ili ISACA revizorTko je vlasnik kontrole, kako se mjeri učinkovitost i kako se otklanjaju iznimke?RACI, KPI-jevi, KRI-jevi, registar iznimki, zahtjevi za otklanjanje nedostataka, odobrenje uprave
GDPR revizor ili pregledavatelj privatnostiKako su praćenje i upravljanje ranjivostima zaštitili osobne podatke i podržali procjenu povrede?Mapa obrade podataka, dnevnički zapisi, procjena povrede, dokazi tehničkih i organizacijskih mjera

Zenith Controls pruža tumačenje međuregulatorne usklađenosti za ove rasprave. Za kontrolu 8.16, aktivnosti praćenja, vodič povezuje praćenje sa sigurnošću GDPR-a i odgovornošću za povrede, NIS2 postupanjem s incidentima i izvješćivanjem te DORA očekivanjima za detekciju i odgovor. Za kontrolu 8.8, upravljanje tehničkim ranjivostima, povezuje postupanje s ranjivostima sa sigurnošću obrade prema GDPR-u, NIS2 Article 21(2)(e) i proaktivnim upravljanjem IKT rizicima prema DORA.

To je konvergencija dokaza koju revizori žele vidjeti.

Izvješćivanje uprave: tromjesečni pregled trendova prijetnji

Registar obavještajnih podataka o prijetnjama ne smije ostati zarobljen u SOC-u. Zenith Blueprint preporučuje kratak tromjesečni pregled trendova prijetnji za ključne dionike. Clarysec preporučuje izvješće za upravu na jednoj stranici s pet odjeljaka:

  1. Tri najvažnija relevantna trenda prijetnji prema utjecaju na poslovanje.
  2. Najizloženije tehnologije ili dobavljači.
  3. Kritične ranjivosti koje su zakrpane, ublažene ili prihvaćene.
  4. Poboljšanja u detekciji i odgovoru.
  5. Odluke koje se traže od uprave.

Snažno izvješće upravi ne navodi 400 CVE-ova. Ono objašnjava kretanje rizika. Na primjer:

  • Ransomware usmjeren na pružatelje upravljanih usluga povećao je prioritet pregleda dobavljača.
  • Iskorištavanje platformi za prijenos datoteka pokrenulo je hitno zakrpavanje i kompenzacijsko pravilo vatrozida.
  • Napadi na identitete u oblaku doveli su do pregleda MFA iznimaka i sigurnosnog očvršćivanja uvjetnog pristupa.
  • Obavještajni podaci sektorskog ISAC-a doveli su do novih simulacija phishinga za financijske i podrške timove.
  • Mapiranje kritičnih funkcija prema DORA otkrilo je jednu prazninu u praćenju radnog toka treće strane.

Ovo izvješće podržava upravljačku odgovornost prema NIS2, upravljanje IKT rizicima prema DORA, preispitivanje od strane uprave prema ISO/IEC 27001:2022 i dokazivanje sigurnosti prema zahtjevima klijenata.

Uobičajeni obrasci neuspjeha

Programi obavještajnih podataka o prijetnjama često izgledaju zrelo na prezentacijama, ali su slabi pod revizijom. Najčešći obrasci neuspjeha su:

  • Previše izvora i bez kriterija provjere.
  • Nema poveznice između obavještajnih podataka i popisa imovine.
  • Nema dokumentiranog ažuriranja rizika nakon važnih sigurnosnih obavijesti.
  • Prioritet zakrpa temelji se samo na ozbiljnosti iz skenera.
  • Sigurnosne obavijesti dobavljača obrađuju se izvan ISMS-a.
  • SOC pravila ažuriraju se bez zapisa o promjeni.
  • Pragovi incidenata nisu usklađeni s radnim tokovima izvješćivanja prema NIS2 ili DORA.
  • Izvješćivanje upravljačkom tijelu usmjereno je na volumen upozorenja umjesto na poslovni rizik.
  • Nema dokaza da su naučene lekcije promijenile kontrole.
  • Nema vlasnika za održavanje registra obavještajnih podataka o prijetnjama.

Rješenje nije kupnja još jednog izvora. Rješenje je integracija kontrola.

Kontrolni popis spremnosti u 10 točaka za 2026.

Koristite ovaj kontrolni popis kao praktičan interni pregled.

Pitanje spremnostiDa ili ne
Održavamo li odobreni registar obavještajnih podataka o prijetnjama s vlasnicima izvora i pravilima provjere?
Usmjeravaju li se obavijesti CERT-a, CSIRT-a, ISAC-a, dobavljača, oblaka, MDR-a i dobavljača trećih strana imenovanim ulogama?
Pokreću li značajne sigurnosne obavijesti pregled registra rizika izvan tromjesečnog ciklusa?
Uključuje li prioritizacija ranjivosti aktivnost iskorištavanja, kritičnost imovine, osjetljivost podataka i izloženost?
Pretvaraju li se IOC-ovi i scenariji prijetnji u pravila praćenja ili zadatke lova na prijetnje?
Provjerava li se ažurnost potpisa krajnjih uređaja, detekcija u oblaku i dinamičkih izvora obavještajnih podataka o prijetnjama?
Procjenjuju li se obavijesti dobavljača u odnosu na rizik opskrbnog lanca i ugovorne obveze?
Jesu li kriteriji klasifikacije incidenata usklađeni s radnim tokovima izvješćivanja prema NIS2 i DORA gdje je primjenjivo?
Prima li uprava tromjesečni pregled trendova prijetnji?
Možemo li izraditi paket dokaza za revizora, regulatora ili klijenta u roku od jednog radnog dana?

Ako je odgovor na bilo koje od ovih pitanja „ne”, organizacija nema samo problem s obavještajnim podacima o prijetnjama. Ima problem integracije ISMS-a.

Kako Clarysec pomaže pretvoriti obavještajne podatke o prijetnjama u dokaze

Clarysecova metoda osmišljena je za organizacije kojima su istodobno potrebne praktična sigurnost i vjerodostojna usklađenost.

Zenith Blueprint daje provedbeni put u 30 koraka, uključujući korak 22 za registar obavještajnih podataka o prijetnjama i korak 19 za upravljanje ranjivostima i aktivnosti praćenja. Clarysecove politike za poduzeća i SME pretvaraju ta očekivanja u postupke temeljene na ulogama za upravljanje rizicima, postupanje s ranjivostima, zaštitu krajnjih uređaja, zapisivanje događaja, praćenje i revizijske dokaze. Zenith Controls zatim pruža tumačenje međuregulatorne usklađenosti, pokazujući kako se kontrole ISO/IEC 27002:2022 povezuju s NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 i revizijskim dokazima.

Za CISO-a tog utorka ujutro odgovor financijskom direktoru postaje jasan:

„Zaprimili smo sigurnosnu obavijest, provjerili izloženost, ažurirali registar rizika, prioritizirali zakrpavanje na temelju aktivnog iskorištavanja, prilagodili praćenje, provjerili ovisnost o dobavljaču, procijenili pragove prijavljivanja incidenata, informirali upravu i zadržali dokaze. Ne nagađamo. Slijedimo svoj ISMS.”

Tako bi obavještajni podaci o prijetnjama prema ISO 27001 za kibernetičku higijenu prema NIS2 i dokaze o IKT rizicima prema DORA trebali izgledati u 2026.

Sljedeći koraci

Ako vaša organizacija prima obavještajne podatke o prijetnjama, ali ne može dokazati kako oni mijenjaju odluke o riziku, kontrole, detekciju, odgovor na incidente, upravljanje dobavljačima i regulatorne dokaze, započnite s tri radnje ovaj tjedan:

  1. Izradite ili ažurirajte svoj Registar obavještajnih podataka o prijetnjama koristeći Zenith Blueprint, fazu Kontrole u praksi, korak 22.
  2. Mapirajte svoj trenutačni proces prema kontrolama ISO/IEC 27002:2022 5.7, 8.8, 8.15, 8.16, 8.7 i 5.25 koristeći Zenith Controls.
  3. Uskladite svoje politike, osobito Politiku upravljanja rizicima, Politiku upravljanja ranjivostima i zakrpama, Politiku zapisivanja događaja i praćenja i Politiku praćenja revizije i usklađenosti, kako bi svaka sigurnosna obavijest mogla postati dokaz koji je moguće opravdati.

Clarysec vam može pomoći pretvoriti izvore podataka o prijetnjama, sigurnosne obavijesti, obavijesti dobavljača, obavještajne podatke o ranjivostima i detekcijske signale u operativni model usklađen s ISO/IEC 27001:2022, spreman za NIS2 i svjestan zahtjeva DORA.

Preuzmite Clarysec alate, zatražite obilazak procesa ili rezervirajte procjenu spremnosti kako biste vidjeli kako bi vaš trenutačni proces obavještajnih podataka o prijetnjama izdržao provjeru ISO revizora, NIS2 pregledavatelja, nadzornog tijela prema DORA ili zahtjeva klijenta za dokazivanjem sigurnosti.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Interna revizija ISO 27001 za NIS2 i DORA

Interna revizija ISO 27001 za NIS2 i DORA

Praktični vodič za CISO-e, voditelje usklađenosti i revizore koji uspostavljaju objedinjeni program interne revizije ISO 27001:2022 koji podržava dokazivanje usklađenosti s NIS2, DORA, GDPR, NIST CSF i COBIT. Uključuje definiranje opsega, uzorkovanje, nalaze, korektivne radnje, mapiranje višestruke usklađenosti i kalendar dokaza za 2026.

Kontinuirano praćenje usklađenosti s NIS2 i DORA

Kontinuirano praćenje usklađenosti s NIS2 i DORA

Praktičan vodič za CISO-ove o kontinuiranom praćenju usklađenosti s NIS2 i DORA primjenom ISO/IEC 27001:2022, vlasništva nad kontrolama, KPI-jeva, KRI-jeva, ritma prikupljanja dokaza, mapiranja politika i dokaza spremnih za reviziju.