⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
HR EN BG CS DA DE EL ES ET FI FR GA HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Odgovornost upravljačkog tijela prema NIS2: dokazi prema ISO 27001

Igor Petreski
14 min read
#Upravljanje rizicima #Revizija #ISMS #Odgovor na incidente #Neprekidnost poslovanja #Upravljanje dobavljačima
Dijagram odgovornosti upravljačkog tijela prema NIS2 i dokaza upravljanja prema ISO 27001

E-pošta je stigla u Marijin pretinac u 08:15 u ponedjeljak ujutro. Kao CISO brzo rastućeg europskog pružatelja usluga u oblaku, bila je naviknuta na hitne poruke, ali ova je bila drukčija.

Financijski direktor proslijedio je klijentov sigurnosni upitnik glavnom izvršnom direktoru, tajniku upravnog odbora i Mariji. Predmet poruke bio je kratak: „Dokazi o odgovornosti upravljačkog tijela prema NIS2 potrebni prije obnove.”

Klijent nije tražio još jedno izvješće o penetracijskom testiranju. Želio je znati je li upravni odbor odobrio mjere upravljanja rizicima kibernetičke sigurnosti, kako je nadzirana provedba, jesu li rukovoditelji prošli osposobljavanje o kibernetičkom riziku, kako su eskalirani značajni incidenti i kako su rizici dobavljača pregledavani na razini uprave. Glavni izvršni direktor dodao je jednu rečenicu: „Maria, kolika je naša izloženost i kako dokazujemo dužnu pažnju? Upravnom odboru to treba sljedeći tjedan.”

To je trenutak u kojem NIS2 postaje stvaran za mnoge SaaS pružatelje, pružatelje usluga u oblaku, MSP-ove, MSSP-ove, podatkovne centre, fintech društva i pružatelje digitalne infrastrukture. Direktiva (EU) 2022/2555 ne tretira kibernetičku sigurnost kao problem tehničkog odjela. Ona kibernetički rizik pretvara u pitanje odgovornosti upravljačkog tijela.

NIS2 Article 20 zahtijeva da upravljačka tijela ključnih i važnih subjekata odobre mjere upravljanja rizicima kibernetičke sigurnosti, nadziru njihovu provedbu i pohađaju osposobljavanje. Također omogućuje državama članicama da utvrde odgovornost za povrede. Article 21 zatim definira praktičnu polaznu osnovu: analizu rizika, sigurnosne politike, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, sigurnu nabavu i razvoj, procjenu učinkovitosti, kibernetičku higijenu, osposobljavanje, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom i autentifikaciju.

Za organizacije koje već koriste ISO/IEC 27001:2022 struktura je poznata. Razlika je u publici i teretu dokazivanja. Pitanje više nije samo: „Imamo li sigurnosne kontrole?” Pitanje je: „Može li upravni odbor dokazati da je te kontrole odobrio, razumio, financirao, pregledavao, preispitivao i poboljšavao?”

Tu ISO/IEC 27001:2022 postaje dokaziv sustav upravljanja. Clarysecov pristup koristi ISO/IEC 27001:2022 kao dokaznu osnovu, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint kao put provedbe, Clarysec politike kao artefakte spremne za upravni odbor te Zenith Controls: The Cross-Compliance Guide Zenith Controls kao vodič za mapiranje u više okvira za NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 i revizijska očekivanja.

Zašto odgovornost upravljačkog tijela prema NIS2 mijenja razgovor o kibernetičkoj sigurnosti

NIS2 ne traži od direktora da postanu inženjeri vatrozida. Traži od njih da upravljaju. Ta je razlika važna.

CISO može pokazati izvješća o ranjivostima, obuhvat MFA-om, nadzorne ploče zaštite krajnjih uređaja i ocjene sigurnosnog stanja oblaka. To su korisni operativni signali, ali sami po sebi ne dokazuju nadzor upravljačkog tijela. Regulator, poslovni klijent, certifikacijski revizor ili procjenitelj iz financijskog sektora tražit će lanac dokaza upravljanja:

  1. Organizacija je procijenila primjenjuje li se NIS2 i dokumentirala osnovu.
  2. Upravni odbor ili najviše rukovodstvo odobrilo je okvir upravljanja rizicima kibernetičke sigurnosti.
  3. Definirani su apetit za rizik i pragovi tolerancije.
  4. Visoki kibernetički rizici eskalirani su i pregledani.
  5. Odluke o obradi rizika odobrene su, uključujući prihvaćeni preostali rizik.
  6. Postupci prijavljivanja incidenata odražavaju obveze od 24 sata, 72 sata i završnog izvješća gdje je primjenjivo.
  7. Ovisnosti o dobavljačima i uslugama u oblaku mapirane su i njima se upravlja.
  8. Preispitivanje od strane uprave uključuje nalaze revizije, trendove incidenata, metrike i radnje poboljšanja.
  9. Rukovoditelji su prošli osposobljavanje primjereno svojoj odgovornosti.
  10. Odluke, iznimke i eskalacije sljedive su.

Tu mnoge stare sigurnosne operativne upute podbacuju. Kupnja alata „usklađenog s NIS2” ne dokazuje nadzor upravnog odbora. Potpisivanje politike i njezino arhiviranje ne pokazuje provedbu. Potpuno delegiranje kibernetičke sigurnosti CISO-u ne ispunjava dužnost nadzora upravljačkog tijela.

ISO/IEC 27001:2022 rješava taj problem jer informacijsku sigurnost postavlja kao strateški, na riziku utemeljen sustav upravljanja integriran u organizacijske procese. Njegove točke o kontekstu, zainteresiranim stranama, pravnim obvezama, opsegu, vodstvu, procjeni rizika, obradi rizika, operativnoj kontroli, vrednovanju učinkovitosti, internoj reviziji, preispitivanju od strane uprave i kontinuiranom poboljšanju stvaraju strukturu koja je upravnom odboru potrebna za dužnu pažnju.

Zenith Blueprint to operacionalizira u fazi ISMS Foundation & Leadership, korak 3:

„Točka 5.1 odnosi se na vodstvo i predanost. ISO 27001 zahtijeva da najviše rukovodstvo pokaže vodstvo odobravanjem ISMS-a, osiguravanjem resursa, promicanjem svijesti, osiguravanjem dodjele uloga, integriranjem ISMS-a u poslovne procese i podržavanjem kontinuiranog poboljšanja.”

To je operativni model iza NIS2 Article 20. Upravni odbor ne mora odobravati svaki tehnički zahtjev, ali mora odobriti model upravljanja, razumjeti značajne rizike, osigurati resurse i nadzirati provedbu.

Paket dokaza za upravni odbor koji NIS2 stvarno zahtijeva

Česta je pogreška tretirati dokaze za NIS2 kao pravni memorandum uz mapu politika. To rijetko zadovoljava ozbiljnog procjenitelja. Odgovornost upravnog odbora zahtijeva dokaz aktivnog upravljanja, a ne pasivnu dokumentaciju.

Snažan paket dokaza za upravni odbor prema NIS2 treba povezati pravne obveze s odlukama upravnog odbora, kontrolama i ciklusima pregleda.

Dokazni artefaktPitanje odgovornosti upravnog odbora na koje odgovaraUporište u ISO/IEC 27001:2022Clarysec izvor
Procjena primjenjivosti NIS2Jesmo li ključni, važni, neizravno izloženi ili izvan opsega?Točke 4.1 do 4.4Zenith Blueprint, korak 1 i korak 2
Opseg ISMS-a i mapa ovisnostiKojim se uslugama, lokacijama, dobavljačima, sučeljima i procesima upravlja?Točke 4.1 do 4.4Zenith Blueprint, faza ISMS Foundation
Registar kibernetičkih rizikaKoji su naši najviši kibernetički rizici i tko je za njih odgovoran?Točke 6.1.1 i 6.1.2Politika upravljanja rizicima
Plan obrade rizika i SoAKoje su kontrole odabrane, zašto i tko je odobrio preostali rizik?Točka 6.1.3Zenith Blueprint, korak 13
Zapisnici upravnog odbora i evidencija odlukaJe li uprava odobrila, preispitivala i nadzirala mjere?Točke 5.1, 5.3, 9.3Politika uloga i odgovornosti u upravljanju
Postupak eskalacije i prijavljivanja incidenataMožemo li ispuniti fazne rokove prijavljivanja prema NIS2?Točke 8.1, 9.1, kontrole incidenata iz Priloga AAlati za odgovor na incidente i preispitivanje od strane uprave
Nadzorna ploča rizika dobavljačaUpravlja li se kritičnim dobavljačima i ovisnostima o oblaku?Točka 8.1 i kontrole dobavljača iz Priloga AMapiranje u više okvira u Zenith Controls
Zapis o osposobljavanju rukovoditeljaJesu li članovi upravljačkog tijela prošli odgovarajuće osposobljavanje?Točka 7.2 i kontrole svijestiPolitika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti
Rezultati interne revizije i preispitivanja od strane upraveProvjerava li se provedba neovisno i poboljšava li se?Točke 9.2, 9.3, 10.1Politika praćenja revizije i usklađenosti - SME

Snaga ovog paketa je sljedivost. Svaki artefakt odgovara na pitanje upravljanja i upućuje na mehanizam ISO/IEC 27001:2022. To CISO-u, glavnom izvršnom direktoru i upravnom odboru daje dokazivu priču: kibernetička sigurnost nije zbirka alata, nego sustav kojim se upravlja.

Pretvaranje politika u odgovornost na razini upravnog odbora

U uvodnom scenariju Marijin glavni izvršni direktor mogao bi biti u iskušenju odgovoriti klijentu ISO certifikatom i nekoliko politika. To nije dovoljno za odgovornost upravljačkog tijela prema NIS2. Organizaciji su potrebni dokazi da je odgovornost dodijeljena, da se odluke bilježe i da se rizici objektivno eskaliraju.

Clarysec politike osmišljene su kako bi stvorile tu sljedivost.

Za manje organizacije Information Security Policy-sme Politika informacijske sigurnosti - SME, točka 4.1.1, navodi da najviše rukovodstvo:

„Zadržava ukupnu odgovornost za informacijsku sigurnost.”

Ta je rečenica važna. Sprječava čest pogrešan obrazac u kojem osnivači, glavni izvršni direktori ili izvršni timovi neformalno delegiraju svu odgovornost za sigurnost IT-u, a pritom ne zadržavaju smislen nadzor.

Za veće organizacije Politika upravljanja rizicima Politika upravljanja rizicima, točka 4.1.1, navodi da vodstvo:

„Odobrava okvir za upravljanje rizicima i definira prihvatljiv apetit za rizik i pragove tolerancije.”

To je dokaz spreman za upravni odbor za NIS2 Article 20. Izjava o apetitu za rizik, pragovi tolerancije i formalni model ovlasti za rizike pokazuju kako odobrenje i eskalacija funkcioniraju u praksi.

Točka 5.6 iste politike dodaje:

„Matrica ovlasti za rizike mora jasno definirati pragove za eskalaciju najvišem rukovodstvu ili upravnom odboru.”

To je jedan od najvažnijih artefakata za upravljanje prema NIS2. Bez pragova eskalacije upravni odbor vidi samo ono što netko odluči eskalirati. S pragovima, visoki preostali rizik, neriješene kritične ranjivosti, značajna koncentracija dobavljača, veći incidenti, nalazi revizije i iznimke iznad tolerancije automatski ulaze u nadzor izvršnog rukovodstva.

Politika uloga i odgovornosti u upravljanju Politika uloga i odgovornosti u upravljanju dodatno učvršćuje lanac dokaza:

„Upravljanje mora podržavati integraciju s drugim disciplinama (npr. rizici, pravni poslovi, IT, HR), a odluke u okviru ISMS-a moraju biti sljedive do svojeg izvora (npr. revizijski zapisi, dnevnici pregleda, zapisnici sastanaka).”

Za SME, Governance Roles and Responsibilities Policy-sme Politika uloga i odgovornosti u upravljanju - SME navodi:

„Sve značajne sigurnosne odluke, iznimke i eskalacije moraju se evidentirati i biti sljedive.”

Te točke pretvaraju nadzor upravnog odbora iz razgovora u revizijski trag.

Lanac dokaza prema ISO/IEC 27001:2022 za NIS2 Article 20

Upravni odbor može operacionalizirati NIS2 Article 20 kroz jasan lanac dokaza prema ISO/IEC 27001:2022.

Prvo, uspostavite kontekst i opseg. ISO/IEC 27001:2022 zahtijeva da organizacija utvrdi unutarnja i vanjska pitanja, zainteresirane strane, pravne, regulatorne i ugovorne zahtjeve, granice ISMS-a, sučelja, ovisnosti i međudjelujuće procese. Za SaaS ili pružatelja usluga u oblaku opseg ISMS-a treba izričito identificirati usluge u EU, okruženja u oblaku, operacije podrške, kritične dobavljače, regulirane segmente klijenata i izloženost prema NIS2.

Drugo, pokažite vodstvo. ISO/IEC 27001:2022 zahtijeva da najviše rukovodstvo uskladi sigurnosne ciljeve sa strateškim smjerom, integrira zahtjeve ISMS-a u poslovne procese, osigura resurse, komunicira važnost, dodijeli odgovornosti i promiče kontinuirano poboljšanje. Za NIS2 to postaje dokaz da je upravljačko tijelo odobrilo i nadziralo mjere upravljanja rizicima kibernetičke sigurnosti.

Treće, provodite ponovljivu procjenu rizika i obradu rizika. ISO/IEC 27001:2022 zahtijeva kriterije rizika, identifikaciju rizika, vlasnike rizika, analizu vjerojatnosti i posljedica, opcije obrade, odabir kontrola, usporedbu s Prilogom A, Izjavu o primjenjivosti, plan obrade rizika i odobrenje preostalog rizika.

Zenith Blueprint, faza Risk Management, korak 13, izričito naglašava točku odobrenja:

„Odobrenje uprave: odluke o obradi rizika i SoA trebaju pregledati i odobriti najviše rukovodstvo. Upravu treba izvijestiti o ključnim rizicima i predloženim obradama, rizicima predloženima za prihvaćanje te kontrolama planiranima za provedbu.”

Za NIS2 taj brifing ne smije biti jednokratan. Paket za upravni odbor treba prikazivati trenutačne najviše rizike, trend, napredak obrade, prihvaćeni preostali rizik, zakašnjele radnje, izloženost kritičnim dobavljačima, teme incidenata i ključne pokazatelje učinkovitosti.

Četvrto, provodite kontrole i čuvajte dokaze. ISO/IEC 27001:2022 točka 8.1 zahtijeva operativno planiranje i kontrolu. Kontrole iz Priloga A podržavaju sigurnost dobavljača, upravljanje uslugama u oblaku, odgovor na incidente, neprekidnost poslovanja, upravljanje ranjivostima, sigurnosne kopije, zapisivanje događaja, praćenje, siguran razvoj, sigurnost aplikacija, arhitekturu, testiranje, povjeravanje usluga vanjskim pružateljima, razdvajanje dužnosti i upravljanje promjenama.

Peto, vrednujte i poboljšavajte. Interna revizija, mjerenje, preispitivanje od strane uprave, korektivne radnje i kontinuirano poboljšanje pretvaraju katalog kontrola u sustav kojim se upravlja.

Korporativna Politika informacijske sigurnosti Politika informacijske sigurnosti ugrađuje ovo očekivanje preispitivanja od strane uprave:

„Aktivnosti preispitivanja od strane uprave (prema ISO/IEC 27001 točki 9.3) provode se najmanje jednom godišnje i uključuju:”

Vrijednost nije samo u tome da se sastanak održi. Vrijednost je u tome da pregled stvara dokaze: ulazne informacije, odluke, radnje, vlasnike, rokove i praćenje izvršenja.

Politika praćenja revizije i usklađenosti-sme Politika praćenja revizije i usklađenosti - SME, točka 5.4.3, zatvara petlju:

„Nalazi revizije i ažuriranja statusa moraju biti uključeni u proces preispitivanja ISMS-a od strane uprave.”

To je razlika između „imali smo reviziju” i „uprava je pregledala rezultate revizije i naložila otklanjanje nedostataka”.

Mapiranje usklađenosti u više okvira: NIS2, DORA, GDPR, NIST CSF 2.0 i COBIT 2019

NIS2 rijetko dolazi sam. Pružatelj usluga u oblaku može obrađivati osobne podatke prema GDPR. Fintech klijent može nametnuti zahtjeve dobavljačima potaknute DORA-om. Poslovni klijent iz SAD-a može tražiti usklađenost s NIST CSF 2.0. Odbor za reviziju upravnog odbora može govoriti jezikom COBIT 2019.

Odgovor nije izgradnja zasebnih mapa usklađenosti. Odgovor je koristiti ISO/IEC 27001:2022 kao središnji dokazni sustav.

Zenith Controls pomaže timovima konsolidirati rad mapiranjem kontrole ISO/IEC 27002:2022 5.4, Odgovornosti uprave, u standarde, propise i revizijske metode.

U Zenith Controls, unos za kontrolu ISO/IEC 27002:2022 5.4 „Odgovornosti uprave” klasificira vrstu kontrole kao „preventivnu”, povezuje je s povjerljivošću, cjelovitošću i dostupnošću te je smješta pod operativnu sposobnost usmjerenu na upravljanje.

To je važno jer je NIS2 Article 20 preventivno upravljanje. Odobrenje i nadzor vodstva smanjuju vjerojatnost da kibernetički rizik postane nevidljiv, nedovoljno financiran ili neupravljan.

Zenith Controls također povezuje odgovornosti uprave s povezanim kontrolama ISO/IEC 27002:2022: 5.1 Politike za informacijsku sigurnost, 5.2 Uloge i odgovornosti za informacijsku sigurnost, 5.35 Neovisni pregled informacijske sigurnosti, 5.36 Usklađenost s politikama, pravilima i standardima za informacijsku sigurnost te 5.8 Sigurnost u upravljanju projektima. Odgovornost upravnog odbora ne može stajati sama. Potrebne su joj politike, uloge, neovisno osiguranje, praćenje usklađenosti i integracija na razini projekta.

Šira usporedna matrica posebno je korisna za izvješćivanje izvršnog rukovodstva.

Tema zahtjevaNIS2DORAGDPRNIST CSF 2.0COBIT 2019Fokus Clarysec dokaza
Odgovornost upraveArticle 20 odobrenje, nadzor, osposobljavanje, odgovornostArticles 5 i 6 odgovornost upravljačkog tijela i okvir upravljanja IKT rizicimaArticle 5(2) odgovornost i Article 24 odgovornostGOVERN, posebno GV.RR, GV.RM i GV.OVEDM03 optimizacija rizikaZapisnici upravnog odbora, opisi uloga, zapisi o osposobljavanju
Mjere upravljanja rizicimaArticle 21 tehničke, operativne i organizacijske mjereOkvir upravljanja IKT rizicimaArticle 32 sigurnost obradeGOVERN, IDENTIFY, PROTECTAPO13 upravljana sigurnostRegistar rizika, plan obrade, SoA
Prijavljivanje incidenataArticle 23 rano upozorenje, obavijest o incidentu, završno izvješćeArticles 17 do 20 prijavljivanje većih incidenata povezanih s IKT-omArticles 33 i 34 prijava povrede podataka gdje je primjenjivoRESPOND i RECOVERDSS02 upravljani zahtjevi za uslugama i incidentiMatrica eskalacije, operativne upute, simulacije
Upravljanje dobavljačimaArticle 21(2)(d) sigurnost opskrbnog lancaArticles 28 do 30 IKT rizik trećih stranaObveze izvršitelja obrade i sigurnosne obvezeGV.SC upravljanje rizikom kibernetičke sigurnosti opskrbnog lancaAPO10 upravljani dobavljačiRegistar dobavljača, dubinska analiza dobavljača, ugovorne kontrole
Učinkovitost i osiguranjeArticle 21(2)(f) politike i postupci za procjenu učinkovitostiArticle 6 pregled okvira upravljanja IKT rizicima i revizijska očekivanjaArticle 32(1)(d) redovito testiranje i vrednovanjeGV.OV nadzor, ID.RA procjena rizika, DE.CM kontinuirano praćenjeMEA01 i MEA03 praćenje i usklađenostInterna revizija, preispitivanje od strane uprave, korektivne radnje

DORA zaslužuje posebnu pozornost. NIS2 Article 4 prepoznaje da sektorski posebni pravni akti EU mogu zamijeniti preklapajuće odredbe NIS2 kada se primjenjuju ekvivalentne mjere upravljanja rizicima kibernetičke sigurnosti ili obavješćivanja o incidentima. DORA je ključni primjer za financijske subjekte. Primjenjuje se od 17. siječnja 2025. i uspostavlja jedinstven okvir za upravljanje IKT rizicima, prijavljivanje incidenata, testiranje otpornosti, upravljanje rizikom trećih strana i nadzor u financijskim uslugama.

SaaS ili pružatelj usluga u oblaku možda nije izravno reguliran poput banke, ali DORA i dalje može doći kroz ugovore s klijentima. Financijski subjekti moraju upravljati IKT rizikom trećih strana, održavati registre ugovora o IKT uslugama, provoditi dubinsku analizu dobavljača, procjenjivati rizik koncentracije, uključiti prava na reviziju i inspekciju, definirati prava raskida i održavati izlazne strategije. To znači da pružatelji koji opslužuju financijske klijente trebaju očekivati zahtjeve za dokazima koji su vrlo slični pitanjima o upravljanju upravnog odbora prema NIS2.

GDPR dodaje odgovornost za osobne podatke. Article 5(2) zahtijeva da voditelji obrade budu odgovorni i sposobni dokazati usklađenost. Article 32 zahtijeva sigurnost obrade, uključujući redovito testiranje, procjenjivanje i vrednovanje učinkovitosti tehničkih i organizacijskih mjera. Kada su pogođeni osobni podaci, procesi za incidente moraju integrirati procjenu povrede prema GDPR-u s eskalacijom značajnog incidenta prema NIS2.

NIST CSF 2.0 dodaje jezik prilagođen izvršnom rukovodstvu kroz funkciju GOVERN. Naglašava organizacijski kontekst, strategiju upravljanja rizicima, uloge i odgovornosti, politiku, nadzor i upravljanje rizikom opskrbnog lanca. COBIT 2019 dodaje upravljački rječnik poznat odborima za reviziju, osobito kroz EDM03 za optimizaciju rizika i MEA ciljeve za praćenje i osiguranje.

90-dnevni sprint za dokaze upravnog odbora prema NIS2

Praktičan dokazni sprint može pomoći organizacijama da brzo napreduju bez stvaranja paralelne birokracije.

Dani 1 do 30: Uspostavite odgovornost

Započnite s registrom odgovornosti prema NIS2 koji evidentira:

  • Analizu klasifikacije subjekta, uključujući obrazloženje za ključni, važni, neizravno izloženi status ili status izvan opsega.
  • Usluge u opsegu, kao što su SaaS, oblak, upravljane usluge, podatkovni centri, DNS, usluge povjerenja ili usluge povezane s komunikacijama.
  • Države članice EU u kojima se usluge pružaju.
  • Pogođene sektore klijenata, osobito financijske usluge, zdravstvo, promet, energetiku, javnu upravu i digitalnu infrastrukturu.
  • Primjenjive obveze, uključujući NIS2 Article 20, Article 21 i Article 23.
  • Povezane obveze iz DORA, GDPR, ugovora s klijentima i kibernetičkog osiguranja.
  • Vlasnika upravljanja i učestalost izvješćivanja upravnog odbora.

Povežite to s kontekstom ISO/IEC 27001:2022, zainteresiranim stranama, registrom obveza i opsegom ISMS-a. Zatim ažurirajte matricu ovlasti za rizike koristeći zahtjev iz Politike upravljanja rizicima da se pragovi eskalacije definiraju za najviše rukovodstvo ili upravni odbor.

Korisni okidači eskalacije uključuju preostali rizik iznad apetita za rizik, neprihvaćene kritične ranjivosti nakon isteka SLA, rizik koncentracije dobavljača, neriješene visoke nalaze revizije, incidente koji mogu pokrenuti prijavljivanje prema NIS2, iznimke od zahtjeva za MFA, sigurnosne kopije, zapisivanje događaja, šifriranje ili odgovor na incidente te značajne promjene arhitekture oblaka.

Dani 31 do 60: Odobrite obradu rizika

Upotrijebite Zenith Blueprint korak 13 za pripremu paketa odluka upravnog odbora za plan obrade rizika i Izjavu o primjenjivosti. Paket treba uključivati:

  • Top 10 kibernetičkih rizika.
  • Predloženu opciju obrade za svaki rizik.
  • Odabrane skupine kontrola.
  • Preostali rizik nakon obrade.
  • Rizike predložene za prihvaćanje.
  • Potrebne odluke o proračunu ili resursima.
  • Ovisnosti o dobavljačima, pravnim poslovima, HR-u, proizvodu i IT-u.
  • Traženu odluku uprave.

Ishod treba biti potpisano ili zapisnički evidentirano odobrenje. Sama prezentacija nije dovoljna.

Također mapirajte mjere iz NIS2 Article 21 na točke ISO/IEC 27001:2022 i kontrole iz Priloga A. Time organizacija može pokazati da se NIS2 obrađuje kroz ISMS, a ne kroz nepovezan kontrolni popis.

Dani 61 do 90: Testirajte prijavljivanje incidenata i pregledajte dokaze

NIS2 Article 23 zahtijeva fazno prijavljivanje značajnih incidenata: rano upozorenje u roku od 24 sata, obavijest o incidentu u roku od 72 sata, međuizvješća kada su potrebna ili zatražena te završno izvješće najkasnije mjesec dana nakon obavijesti.

Provedite stolnu vježbu sa sponzorom iz upravljačkog tijela, glavnim izvršnim direktorom, CISO-om, pravnim poslovima, komunikacijama, timom za odnose s klijentima i operacijama. Upotrijebite realističan scenarij, primjerice pogrešnu konfiguraciju oblaka koja izlaže metapodatke klijenata, narušava dostupnost usluge i utječe na reguliranog klijenta.

Testirajte tko odlučuje može li incident biti značajan, tko kontaktira pravnog savjetnika, tko obavješćuje nadležna tijela ili CSIRT kada je potrebno, tko odobrava komunikaciju s klijentima, kako se dokazi čuvaju, kako se paralelno procjenjuju obveze prijave povrede prema GDPR-u i kako se upravni odbor ažurira tijekom prvih 24 sata.

Zatim održite formalno preispitivanje od strane uprave. Zenith Blueprint, faza Audit, Review & Improvement, korak 28, objašnjava zašto:

„Preispitivanje od strane uprave nije samo prezentacija; riječ je o donošenju odluka.”

Taj pregled treba uključivati nalaze revizije, napredak obrade rizika, spremnost za incidente, rizike dobavljača, metrike, odluke, dodijeljene radnje i vlasnike praćenja izvršenja.

Sastanak preispitivanja od strane uprave koji stvarno funkcionira

Mnoga preispitivanja od strane uprave ne uspijevaju jer su strukturirana kao ažuriranja statusa. Preispitivanje od strane uprave spremno za NIS2 treba biti sastanak za donošenje odluka.

Dnevni red treba uključivati:

  1. Promjene u zahtjevima NIS2, DORA, GDPR, ugovornim zahtjevima i zahtjevima klijenata.
  2. Promjene u poslovnom kontekstu, uslugama, akvizicijama, dobavljačima, arhitekturi oblaka i reguliranim segmentima klijenata.
  3. Status najviših rizika informacijske sigurnosti i preostali rizik u odnosu na apetit za rizik.
  4. Napredak plana obrade rizika i zakašnjele radnje.
  5. Trendove incidenata, značajne događaje, gotovo incidente i spremnost za prijavljivanje.
  6. Rizike dobavljača i IKT ovisnosti, uključujući koncentraciju i pitanja izlaska.
  7. Rezultate internih revizija, vanjskih revizija, procjena klijenata i penetracijskih testiranja.
  8. Završetak osposobljavanja o sigurnosnoj svijesti i osposobljavanja rukovoditelja.
  9. Metrike za kontrolu pristupa, upravljanje ranjivostima, sigurnosne kopije, zapisivanje događaja, praćenje, siguran razvoj i testove neprekidnosti poslovanja.
  10. Potrebne odluke, uključujući prihvaćanje rizika, proračun, zapošljavanje, iznimke od politike, korektivne radnje prema dobavljačima i poboljšanja kontrola.

Osposobljavanje rukovoditelja osobito je važno. NIS2 Article 20 zahtijeva da članovi upravljačkog tijela prođu osposobljavanje. Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti, točka 5.1.2.4, izričito uključuje teme osposobljavanja rukovoditelja:

„Izvršni rukovoditelji (npr. upravljanje, prihvaćanje rizika, pravne obveze)”

Osposobljavanje rukovoditelja o kibernetičkim rizicima treba se usredotočiti na ovlasti za donošenje odluka, odgovornost, eskalaciju, apetit za rizik, krizno upravljanje, prijavljivanje incidenata i regulatorne obveze. Ne smije biti ograničeno na svijest o phishingu.

Kako će revizori i klijenti testirati nadzor upravnog odbora

Različiti procjenitelji koristit će različit jezik, ali testirat će isto temeljno pitanje: upravlja li se kibernetičkom sigurnošću?

Zenith Controls vrijedan je jer uključuje mapiranja revizijske metodologije. Za odgovornosti uprave upućuje na načela i provedbu revizije prema ISO/IEC 19011:2018, revizijske prakse ISMS-a prema ISO/IEC 27007:2020, ISO/IEC 27001:2022 točku 5.1, COBIT 2019 EDM01 i EDM03, ISACA ITAF Section 1401 te NIST SP 800-53A PM-1 i PM-2. Za neovisni pregled mapira na ISO/IEC 27001:2022 točke 9.2 i 9.3, planiranje revizije i prakse dokazivanja prema ISO/IEC 27007, ISACA ITAF Section 2400 i metode procjene NIST. Za usklađenost s politikama mapira na ISO/IEC 27001:2022 točke 9.1, 9.2 i 10.1, prikupljanje dokaza prema ISO/IEC 19011, COBIT 2019 MEA01 i NIST procjenu kontinuiranog praćenja.

Perspektiva revizoraŠto će pitatiDokazi koje očekujuČest propust
Revizor ISO/IEC 27001:2022Kako najviše rukovodstvo pokazuje vodstvo, odobrava obradu rizika i pregledava učinkovitost ISMS-a?Odobrenja politika, registar rizika, odobrenje SoA, zapisnici preispitivanja od strane uprave, rezultati interne revizijePreispitivanje od strane uprave postoji, ali nema odluka ni praćenja radnji
Procjenitelj usmjeren na NIS2Je li upravljačko tijelo odobrilo mjere kibernetičke sigurnosti i nadziralo provedbu?Zapisnici upravnog odbora, matrica eskalacije, zapisi o osposobljavanju rukovoditelja, mapiranje polazne osnove Article 21Sigurnosne mjere odobrio je samo CISO, bez sljedivosti prema upravnom odboru
Procjenitelj NIST CSF 2.0Jesu li ishodi upravljanja, apetit za rizik, uloge, resursi, nadzor i rizik opskrbnog lanca integrirani u upravljanje rizicima organizacije?Trenutačni i ciljni profili, plan uklanjanja nedostataka, izvješćivanje vodstva, metrikeNIST se koristi kao kontrolni popis bez vlasništva nad upravljanjem
Revizor COBIT 2019 ili ISACAVrednuje li, usmjerava i prati upravljačka funkcija upravljanje kibernetičkim rizikom?Povelje upravljanja, apetit za rizik, izvješćivanje uprave, rezultati osiguranjaUpravni odbor prima tehničke metrike bez konteksta odluka o riziku
DORA klijent ili procjenitelj iz financijskog sektoraJesu li IKT rizici, incidenti, otpornost i ovisnosti o trećim stranama uređeni i dokumentirani?Mapa IKT ovisnosti, registar dobavljača, dubinska analiza dobavljača, prava na reviziju, životni ciklus incidentaRizik dobavljača temelji se samo na upitnicima, bez analize koncentracije ili izlaska
GDPR revizor ili procjenitelj privatnostiMože li organizacija dokazati sigurnost i odgovornost za obradu osobnih podataka?Mape podataka, model pravne osnove, proces procjene povrede, sigurnosne kontroleDokazi privatnosti i sigurnosti odvojeni su i nedosljedni

Pouka je jednostavna. Odgovornost upravnog odbora ne dokazuje se samom prisutnošću na sastancima. Dokazuje se informiranim odlukama, dokumentiranim odobrenjima, prioritizacijom temeljenom na riziku, dodjelom resursa i praćenjem izvršenja.

Česte pogreške koje prekidaju lanac dokaza

Organizacije koje se muče s odgovornošću upravljačkog tijela prema NIS2 obično upadaju u predvidljive obrasce.

Prvo, brkaju operativno izvođenje tehničkih kontrola s upravljanjem. Obuhvat MFA-om, SIEM upozorenja, uvođenje EDR-a i stope uspješnosti sigurnosnih kopija važni su, ali upravnom odboru trebaju kontekst rizika, odluke o obradi i osiguranje da kontrole djeluju.

Drugo, odobravaju politike, ali ne i obradu rizika. Potpisana sigurnosna politika ne dokazuje da je upravni odbor odobrio razmjerne mjere kibernetičke sigurnosti. Plan obrade rizika i SoA snažniji su dokazi jer povezuju rizike, kontrole, preostali rizik i odobrenje uprave.

Treće, nedostaju im pragovi eskalacije. Bez matrice ovlasti za rizike eskalacija ovisi o osobama. Upravljanje prema NIS2 treba objektivne okidače.

Četvrto, odvajaju odgovor na incidente od regulatornog prijavljivanja. Procesi prijavljivanja prema NIS2, DORA i GDPR moraju biti integrirani prije krize.

Peto, zanemaruju upravljanje dobavljačima. NIS2 Article 21 uključuje sigurnost opskrbnog lanca i razmatranja ranjivosti dobavljača. Klijenti potaknuti DORA-om mogu očekivati dublje upravljanje IKT trećim stranama, uključujući dubinsku analizu dobavljača, prava na reviziju, rizik koncentracije, prava raskida i izlazne strategije.

Šesto, ne osposobljavaju rukovoditelje. Osposobljavanje rukovoditelja o kibernetičkim rizicima prema NIS2 nije neobvezna formalnost. Ono je dio lanca dokaza upravljanja.

Kako izgleda dobro stanje

Nakon 90 dana vjerodostojna mapa dokaza upravnog odbora prema NIS2 treba sadržavati:

  • Procjenu primjenjivosti.
  • Opseg ISMS-a i registar obveza.
  • Izjavu o predanosti vodstva.
  • Apetit za rizik i pragove tolerancije.
  • Matricu ovlasti za rizike.
  • Registar kibernetičkih rizika.
  • Plan obrade rizika.
  • Izjavu o primjenjivosti.
  • Zapisnike odobrenja upravnog odbora.
  • Zapise o osposobljavanju rukovoditelja.
  • Izvješće o stolnoj vježbi incidenta.
  • Nadzornu ploču rizika dobavljača.
  • Izvješće interne revizije.
  • Zapisnike preispitivanja od strane uprave i evidenciju praćenja radnji.

Ta mapa odgovara na upitnik klijenta koji je Maria primila u ponedjeljak ujutro. Još važnije, pomaže upravnom odboru upravljati kibernetičkim rizikom prije nego što incident, revizija ili regulator javno testiraju organizaciju.

Pretvorite odgovornost upravljačkog tijela prema NIS2 u upravljanje spremno za reviziju

NIS2 je promijenio razgovor o kibernetičkoj sigurnosti. Upravljačka tijela moraju odobriti mjere upravljanja rizicima kibernetičke sigurnosti, nadzirati provedbu i pohađati osposobljavanje. Article 21 zahtijeva integrirani skup tehničkih, operativnih i organizacijskih mjera. Article 23 sažima prijavljivanje incidenata u fazni vremenski slijed koji zahtijeva pripremu prije krize.

ISO/IEC 27001:2022 daje vam sustav upravljanja. Clarysec daje put provedbe, jezik politika, mapiranja usklađenosti u više okvira i model revizijskih dokaza.

Ako vaš upravni odbor pita: „Što trebamo odobriti i kako dokazujemo nadzor?”, počnite s tri radnje:

  1. Upotrijebite Zenith Blueprint korak 3, korak 13 i korak 28 za strukturiranje predanosti vodstva, odobrenja obrade rizika i preispitivanja od strane uprave.
  2. Upotrijebite Clarysec politike kao što su Politika upravljanja rizicima, Politika uloga i odgovornosti u upravljanju, Politika informacijske sigurnosti i SME ekvivalenti za formalizaciju odgovornosti i sljedivosti.
  3. Upotrijebite Zenith Controls za mapiranje nadzora upravnog odbora prema NIS2 na ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 i očekivanja revizijske metodologije.

Clarysec vam može pomoći izraditi paket za upravni odbor, ažurirati lanac dokaza ISMS-a, pripremiti preispitivanje od strane uprave i pretvoriti odgovornost prema NIS2 u ponovljiv proces upravljanja kibernetičkim rizikom koji revizori, klijenti i rukovoditelji mogu razumjeti. Preuzmite relevantne Clarysec alate ili zatražite procjenu kako biste odgovornost upravnog odbora pretvorili u dokaze spremne za reviziju.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

DORA TLPT dokazi povezani s ISO 27001 kontrolama

DORA TLPT dokazi povezani s ISO 27001 kontrolama

Praktičan vodič za financijske subjekte koji moraju povezati DORA TLPT, testiranje otpornosti, ISO 27001 kontrole, atestacije dobavljača, dokaze oporavka i izvješćivanje upravnom odboru u jedinstven dokazni lanac spreman za reviziju.

ISO 27001 kao dokazna okosnica za NIS2 i DORA

ISO 27001 kao dokazna okosnica za NIS2 i DORA

Koristite ISO 27001:2022, Izjavu o primjenjivosti i mapiranje Clarysecovih politika kako biste izgradili dokaznu okosnicu spremnu za reviziju za NIS2, DORA, GDPR, dobavljače, incidente i nadzor uprave.