Dokazi za registraciju prema NIS2 u okviru ISO 27001:2022

Poruka e-pošte stigla je u Annin pretinac tiho, ali s učinkom gotovo poput sirene. Kao CISO društva CloudFlow, brzorastućeg B2B SaaS pružatelja usluga koji posluje s korisnicima diljem EU-a, bila je naviknuta na sigurnosne upitnike, revizije nabave i nadzorne revizije ISO 27001. Ova je poruka bila drukčija.

Naslov je glasio: „Zahtjev za informacije u vezi s nacionalnom provedbom Direktive (EU) 2022/2555 (NIS2).” Nacionalno tijelo za kibernetičku sigurnost zatražilo je od CloudFlowa da potvrdi svoju klasifikaciju, pripremi podatke za registraciju subjekta, identificira usluge u opsegu i bude spreman dokazati mjere upravljanja kibernetičkim rizicima.

Anna je na zidu imala uokviren certifikat ISO 27001:2022. Prodajni tim koristio ga je u poslovima s velikim klijentima. Uprava je odobrila Politiku informacijske sigurnosti. Interna revizija nedavno je zatvorila dva nalaza. No pitanje pred njom bilo je preciznije od samog statusa certifikacije.

Može li CloudFlow brzo i dokazivo pokazati da njegov ISO 27001:2022 ISMS obuhvaća obveze prema NIS2?

Tu mnoge organizacije pogriješe. Registraciju subjekta prema NIS2 tretiraju kao administrativnu prijavu, slično ažuriranju poslovnog registra ili poreznog portala. To nije tako. Registracija je ulaz u vidljivost prema nadležnim tijelima. Nakon toga nadležno tijelo može zatražiti obrazloženje opsega, zapise o odobrenju uprave, postupke prijavljivanja incidenata, dokaze o rizicima dobavljača, kontaktne točke, metrike djelotvornosti kontrola i dokaz da organizacija zna koje su usluge kritične.

Za SaaS, oblak, upravljane usluge, upravljane sigurnosne usluge, podatkovne centre, digitalnu infrastrukturu i određene pružatelje u financijskom sektoru pravo pitanje više nije „Imamo li sigurnosnu politiku?” Pravo pitanje glasi: „Možemo li pokazati lanac dokaza od pravne obveze do opsega ISMS-a, obrade rizika, rada kontrola i nadzora uprave?”

Najjači program spremnosti za provedbu NIS2 nije paralelna proračunska tablica. To je sljediv model dokazivanja unutar ISO 27001:2022.

Registracija prema NIS2 zapravo je pitanje dokaza

NIS2 se široko primjenjuje na javne ili privatne subjekte u sektorima navedenima u Prilogu I. i Prilogu II. koji dosežu ili prelaze relevantni prag za srednja poduzeća. Obuhvaća i određene subjekte neovisno o veličini, uključujući pružatelje javnih elektroničkih komunikacijskih mreža ili usluga, pružatelje usluga povjerenja, registre TLD-a, pružatelje DNS usluga, jedine pružatelje ključnih usluga te subjekte čiji bi poremećaj mogao utjecati na javnu sigurnost, zdravlje, sistemski rizik ili nacionalnu odnosno regionalnu kritičnost.

Za tehnološka društva posebno su važne digitalne kategorije. Prilog I. uključuje digitalnu infrastrukturu, kao što su pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnih centara, pružatelji mreža za isporuku sadržaja, pružatelji usluga povjerenja, pružatelji DNS usluga i pružatelji javnih elektroničkih komunikacijskih mreža ili usluga. Prilog I. uključuje i upravljanje IKT uslugama za B2B usluge, uključujući pružatelje upravljanih usluga i pružatelje upravljanih sigurnosnih usluga. Prilog II. uključuje digitalne pružatelje, kao što su internetska tržišta, internetske tražilice i platforme za usluge društvenih mreža.

To znači da organizacija može ući u opseg NIS2 iako se ne smatra „kritičnom infrastrukturom”. B2B SaaS društvo s funkcionalnostima upravljane sigurnosti, platforma u oblaku koja podržava regulirane korisnike ili pružatelj blizak fintech sektoru može iznenada trebati registracijski dosje, model kontakta s nadležnim tijelom i dokazivu priču o kontrolama.

NIS2 također razlikuje ključne i važne subjekte. Ključni subjekti u pravilu podliježu proaktivnijem modelu nadzora, dok se važni subjekti obično nadziru nakon dokaza o neusklađenosti ili incidenata. Razlika je važna, ali ne uklanja potrebu za pripremom. Obje kategorije trebaju upravljanje, upravljanje rizicima, prijavljivanje incidenata, sigurnost dobavljača i dokaze.

Financijski subjekti moraju uzeti u obzir i DORA. NIS2 Article 4 priznaje da se, kada sektorski pravni akt Unije nameće barem ekvivalentne obveze upravljanja kibernetičkim rizicima i prijavljivanja incidenata, ta sektorska pravila primjenjuju na odgovarajuća područja. DORA se primjenjuje od 17. siječnja 2025. i uspostavlja upravljanje IKT rizicima, prijavljivanje većih incidenata povezanih s IKT-om, testiranje digitalne operativne otpornosti, razmjenu informacija, upravljanje rizikom trećih strana u području IKT-a, ugovorne kontrole i nadzor kritičnih trećih pružatelja IKT usluga. Za obuhvaćene financijske subjekte DORA je primarni okvir kibernetičke otpornosti za preklapajuće zahtjeve, ali sučelja s NIS2 i koordinacija s nacionalnim tijelima i dalje mogu biti važni.

Pouka je jednostavna. Nemojte čekati polje u portalu ili poruku regulatora prije nego što počnete graditi dokaze. Svaki odgovor u registraciji podrazumijeva buduće revizijsko pitanje.

Počnite s opsegom ISMS-a, a ne s obrascem na portalu

ISO 27001:2022 koristan je jer prisiljava organizaciju da definira kontekst, zainteresirane strane, regulatorne obveze, opseg, rizike, planove obrade rizika, rad kontrola, praćenje, internu reviziju, preispitivanje od strane uprave i poboljšanje.

Točke 4.1 do 4.4 zahtijevaju da organizacija utvrdi unutarnja i vanjska pitanja, identificira zainteresirane strane i njihove zahtjeve, odluči koji se zahtjevi rješavaju kroz ISMS, definira opseg ISMS-a uzimajući u obzir sučelja i ovisnosti, dokumentira taj opseg i provodi procese ISMS-a.

Za NIS2 taj opseg treba odgovoriti na praktična pitanja:

• Koje su EU usluge, pravni subjekti, društva kćeri, platforme, infrastrukturne komponente i poslovne jedinice relevantni?
• Koja se kategorija iz Priloga I. ili Priloga II. može primijeniti?
• Je li organizacija ključni subjekt, važni subjekt, obuhvaćena DORA, izvan opsega ili čeka nacionalnu klasifikaciju?
• Koje su usluge kritične za korisnike, javnu sigurnost, financijsku stabilnost, zdravstvo, digitalnu infrastrukturu ili druge regulirane sektore?
• Koji pružatelji usluga u oblaku, MSP-ovi, MSSP-ovi, podatkovni centri, podizvođači i drugi dobavljači podržavaju te usluge?
• Koje države članice, nadležna tijela, CSIRT-ovi, nadzorna tijela za zaštitu podataka i financijski nadzornici mogu biti relevantni?

Clarysecov Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint postavlja taj rad rano, u koraku 2, Potrebe dionika i opseg ISMS-a. Upućuje organizacije da identificiraju regulatore i tijela, pregledaju pravne i regulatorne zahtjeve, pregledaju ugovore i sporazume, provedu intervjue s dionicima i uzmu u obzir očekivane industrijske standarde.

Akcijska stavka 4.2: Sastavite popis svih značajnih zainteresiranih strana i zabilježite njihove zahtjeve povezane s informacijskom sigurnošću. Budite temeljiti – razmislite o svima koji bi se žalili ili trpjeli posljedice ako vaša sigurnost zakaže ili ako nemate određenu kontrolu. Taj će popis usmjeriti ono s čime se morate uskladiti ili što morate zadovoljiti kroz svoj ISMS te će se koristiti u procjeni rizika i odabiru kontrola.

To je ispravno polazište za registraciju prema NIS2. Prije podnošenja prijave izradite kratak memorandum o opsegu NIS2 koji povezuje poslovni model s kategorijama iz Priloga I. ili Priloga II., dokumentira pretpostavke o veličini i uslugama, bilježi tumačenje nacionalnog prava, identificira nadležna tijela i navodi primjenjuju li se također DORA, GDPR, ugovori s korisnicima ili sektorska pravila.

Clarysecova SME Legal and Regulatory Compliance Policy Legal and Regulatory Compliance Policy - SME jasno definira svrhu:

„Ova politika definira pristup organizacije identificiranju, ispunjavanju i dokazivanju usklađenosti s pravnim, regulatornim i ugovornim obvezama.”

Za veće programe Clarysecova Legal and Regulatory Compliance Policy Legal and Regulatory Compliance Policy još je izravnija:

„Sve pravne i regulatorne obveze moraju se mapirati na konkretne politike, kontrole i vlasnike unutar sustava upravljanja informacijskom sigurnošću (ISMS).”

Ta je rečenica temelj spremnosti za provedbu. Ako regulator pita kako su identificirane obveze prema NIS2, odgovor ne bi trebao biti „pravna služba nas je savjetovala”. Odgovor treba biti dokumentirani registar povezan s opsegom, rizicima, vlasnicima kontrola, postupcima, zadržanim dokazima i preispitivanjem od strane uprave.

Izgradite NIS2 lanac dokaza unutar ISO 27001:2022

NIS2 Article 21 zahtijeva od ključnih i važnih subjekata provedbu odgovarajućih i razmjernih tehničkih, operativnih i organizacijskih mjera za upravljanje rizicima za mrežne i informacijske sustave koji se koriste za poslovanje ili pružanje usluga. Mjere moraju uzeti u obzir stanje tehnike, relevantne europske i međunarodne standarde gdje je primjenjivo, trošak, izloženost riziku, veličinu, vjerojatnost i ozbiljnost incidenata te društveni i gospodarski utjecaj.

Article 21(2) navodi minimalna područja, uključujući analizu rizika i politike sigurnosti informacijskih sustava, postupanje s incidentima, neprekidnost poslovanja, sigurnosne kopije, oporavak od katastrofe, krizno upravljanje, sigurnost opskrbnog lanca, sigurnu nabavu i razvoj, postupanje s ranjivostima, procjenu djelotvornosti, kibernetičku higijenu, osposobljavanje, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom, višefaktorsku ili kontinuiranu autentikaciju te sigurne komunikacije gdje je primjereno.

ISO 27001:2022 prirodno se mapira na tu strukturu. Točke 6.1.1 do 6.1.3 zahtijevaju procjenu rizika i obradu rizika, uključujući kriterije prihvata rizika, vlasnike rizika, analizu vjerojatnosti i posljedica, plan obrade rizika, usporedbu s kontrolama iz Priloga A i Izjavu o primjenjivosti. Točka 8 zahtijeva operativno planiranje i kontrolu, dokaze da su procesi provedeni kako je planirano, kontrolu promjena, kontrolu eksterno pruženih procesa, ponavljajuće procjene rizika i dokumentirane rezultate obrade. Točka 9.1 zahtijeva praćenje, mjerenje, analizu i vrednovanje. Točka 9.2 zahtijeva internu reviziju. Točka 10.2 zahtijeva postupanje po nesukladnostima i korektivne radnje.

Clarysecova Risk Management Policy Risk Management Policy - SME pretvara to u operativno pravilo:

„Svi identificirani rizici moraju se evidentirati u registru rizika.”

Enterprise Risk Management Policy Risk Management Policy povezuje obradu rizika s odabirom kontrola prema ISO 27001:2022:

„Odluke o kontrolama koje proizlaze iz procesa obrade rizika moraju se odraziti u SoA.”

To je važno jer dokazi prema NIS2 moraju biti sljedivi. Ako tijelo pita zašto kontrola postoji, uputite na obvezu, rizik, odluku o obradi, vlasnika kontrole, unos u SoA, postupak i dokaz. Ako tijelo pita zašto kontrola nije odabrana, uputite na obrazloženje u SoA, odobreno prihvaćanje rizika i preispitivanje od strane uprave.

Najbolji lanac dokaza dosadan je na najbolji mogući način. Svaka obveza ima vlasnika. Svaki vlasnik ima kontrolu. Svaka kontrola ima dokaz. Svaka iznimka ima odobrenje. Svaki nalaz revizije ima korektivnu radnju.

Uključite upravljanje iz Article 20 u dokaze uprave

NIS2 Article 20 premješta kibernetičku sigurnost na razinu uprave. Upravljačka tijela moraju odobriti mjere upravljanja kibernetičkim rizicima usvojene za Article 21, nadzirati njihovu provedbu i mogu odgovarati za povrede. Članovi upravljačkih tijela moraju proći osposobljavanje, a subjekte se potiče da zaposlenicima pružaju redovito osposobljavanje iz kibernetičke sigurnosti.

Uprava ne može jednostavno delegirati NIS2 IT-u. Dokazi trebaju pokazati da je uprava razumjela analizu opsega NIS2, odobrila pristup upravljanju rizicima, pregledala značajne rizike, dodijelila resurse, pratila provedbu, pregledala incidente i vježbe te prošla osposobljavanje.

Točke 5.1 do 5.3 ISO 27001:2022 podržavaju taj model upravljanja zahtijevajući predanost najvišeg rukovodstva, usklađivanje ciljeva informacijske sigurnosti s poslovnom strategijom, integraciju zahtjeva ISMS-a u poslovne procese, resurse, komunikaciju, odgovornost i izvješćivanje najvišem rukovodstvu o učinkovitosti ISMS-a.

Clarysecova Governance Roles and Responsibilities Policy Governance Roles and Responsibilities Policy definira ulogu sigurnosne kontakt-osobe kao osobe koja:

„Služi kao primarna veza s revizorima, regulatorima i višim rukovodstvom za pitanja informacijske sigurnosti.”

Ta uloga treba biti imenovana u dokaznom paketu za registraciju prema NIS2. Ne smije se samo podrazumijevati. Tijela, revizori i korisnici žele znati tko koordinira regulatorni kontakt, tko je vlasnik prijavljivanja incidenata, tko održava pravni registar, tko ažurira kontakte tijela i tko izvješćuje upravu.

Praktičan skup upravljačkih dokaza uključuje:

• Odobrenje uprave za okvir upravljanja kibernetičkim rizicima.
• Zapisnike preispitivanja od strane uprave koji obuhvaćaju opseg NIS2, rizike, incidente, dobavljače i spremnost.
• Zapise o osposobljavanju članova upravljačkog tijela i zaposlenika.
• RACI matricu za obveze prema NIS2, kontrole ISO 27001:2022, prijavljivanje incidenata, dokazivanje sigurnosti dobavljača i regulatornu komunikaciju.
• Dokaz da su obveze prema NIS2 uključene u internu reviziju i praćenje usklađenosti.
• Praćenje korektivnih radnji za praznine, zakašnjele rizike, iznimke i neuspjele testove.

Articles 32 i 33 također čine kvalitetu dokaza važnom jer navode čimbenike ozbiljnih povreda kao što su ponovljena kršenja, propuštanje prijave ili otklanjanja značajnih incidenata, neotklanjanje nedostataka nakon obvezujućih uputa, ometanje revizija ili praćenja te lažne ili grubo netočne informacije. Slabi dokazi mogu postati problem provedbe čak i kada tehničke kontrole postoje.

Pripremite dokaze o kontaktima tijela i prijavljivanju incidenata prije 02:00

Najbolniji neuspjesi u prijavljivanju incidenata često počinju osnovnim pitanjem: „Koga obavještavamo?” Tijekom ransomware napada, DNS kvara, kompromitacije oblaka ili izloženosti podataka, timovi gube vrijeme tražeći ispravan CSIRT, nadležno tijelo, nadzorno tijelo za zaštitu podataka, financijskog nadzornika, kanal tijela kaznenog progona, predložak za korisnike i internog odobravatelja.

NIS2 Article 23 zahtijeva obavješćivanje bez nepotrebnog odgađanja o značajnim incidentima koji utječu na pružanje usluge. Značajan incident je onaj koji je uzrokovao ili bi mogao uzrokovati ozbiljan operativni poremećaj ili financijski gubitak, ili je utjecao ili bi mogao utjecati na druge uzrokujući znatnu materijalnu ili nematerijalnu štetu. Vremenski slijed je fazni: rano upozorenje u roku od 24 sata od saznanja, obavijest o incidentu u roku od 72 sata, međuažuriranja na zahtjev i završno izvješće u roku od mjesec dana nakon obavijesti od 72 sata ili nakon rješavanja incidenta kod incidenata koji traju. Gdje je primjereno, primatelje usluga treba također informirati o značajnim incidentima ili značajnim kibernetičkim prijetnjama i zaštitnim mjerama.

Zenith Blueprint, faza Controls in Action, korak 22, tretira kontakt s tijelima kao pripremljenost, a ne paniku:

Načelo je jednostavno: ako je vaša organizacija meta kibernetičkog napada, uključena u povredu podataka ili pod istragom, tko bi nazvao nadležna tijela? Kako bi znao što reći? Pod kojim bi se uvjetima takav kontakt pokrenuo? Na ta pitanja mora se odgovoriti unaprijed, a ne naknadno.

Clarysecov Zenith Controls: The Cross-Compliance Guide Zenith Controls obrađuje kontrolu ISO/IEC 27002:2022 5.5, Kontakt s tijelima. Klasificira kontrolu kao preventivnu i korektivnu, povezanu s povjerljivošću, cjelovitošću i dostupnošću te povezanu s konceptima Identify, Protect, Respond i Recover. Također povezuje kontrolu 5.5 s kontrolama ISO/IEC 27002:2022 5.24 Planiranje i priprema za upravljanje incidentima informacijske sigurnosti, 6.8 Prijavljivanje događaja informacijske sigurnosti, 5.7 Obavještajni podaci o prijetnjama, 5.6 Kontakt sa skupinama od posebnog interesa i 5.26 Odgovor na incidente informacijske sigurnosti.

Iz perspektive unakrsne usklađenosti, Zenith Controls mapira kontakt s tijelima na NIS2 Article 23, prijavu povrede prema GDPR, prijavljivanje incidenata prema DORA, NIST SP 800-53 IR-6 Incident Reporting i COBIT 2019 prakse vanjske eskalacije. Jedan registar kontakata tijela može služiti za više obveza ako je pravilno osmišljen.

Clarysecova Incident Response Policy Incident Response Policy - SME pravnu trijažu čini izričitom:

„Kada su uključeni podaci korisnika, glavni direktor mora procijeniti pravne obveze obavješćivanja na temelju primjenjivosti GDPR, NIS2 ili DORA.”

Snažan dokazni paket za kontakte tijela treba uključivati:

• Kontaktne podatke nadležnog tijela i CSIRT-a po državi članici i usluzi.
• Kontakte nadzornih tijela za zaštitu podataka za prijavu povrede osobnih podataka prema GDPR.
• Kontakte financijskih nadzornika ako se primjenjuje DORA.
• Kontaktne putove tijela kaznenog progona i tijela nadležnih za kibernetički kriminalitet.
• Ovlaštene interne komunikatore i njihove zamjene.
• Pragove incidenata za NIS2, GDPR, DORA, ugovore s korisnicima i kibernetičko osiguranje.
• Predloške za 24-satno rano upozorenje, obavijest u roku od 72 sata, međuažuriranje i jednomjesečno izvješće.
• Zapise stolnih vježbi kojima se testira vanjsko obavješćivanje.
• Zapise o prethodnim obavijestima, odlukama da se ne obavijesti i pravno obrazloženje.

Mapirajte NIS2 Article 21 na kontrole ISO 27001 i dokaze iz politika

Sam certifikat ne odgovara na pitanje regulatora. Mapiranje kontrola odgovara. Sljedeća tablica daje sigurnosnim timovima i timovima za usklađenost praktičan most između područja NIS2 Article 21, kontrola ISO/IEC 27002:2022, uporišta u Clarysec politikama i dokaza.

Clarysecov Zenith Controls također obrađuje kontrolu ISO/IEC 27002:2022 5.31, pravne, zakonske, regulatorne i ugovorne zahtjeve, kao preventivnu kontrolu s utjecajem na povjerljivost, cjelovitost i dostupnost. Povezuje 5.31 s privatnošću i zaštitom osobnih podataka (PII), zadržavanjem zapisa, neovisnim pregledom i usklađenošću s internim politikama. Također mapira 5.31 na odgovornost prema GDPR, usklađenost opskrbnog lanca prema NIS2, upravljanje IKT rizicima prema DORA, upravljanje prema NIST CSF, programske kontrole NIST SP 800-53 i vanjski nadzor usklađenosti prema COBIT 2019.

„Kontrola 5.31 osigurava da su svi relevantni pravni, regulatorni, zakonski i ugovorni zahtjevi povezani s informacijskom sigurnošću identificirani, dokumentirani i kontinuirano upravljani.”

To je upravo ono što nacionalno tijelo želi vidjeti nakon registracije: ne samo da je NIS2 naveden, nego da organizacija ima živ mehanizam za identifikaciju, mapiranje, provedbu, praćenje i ažuriranje obveza.

Nemojte odvajati NIS2 od DORA, GDPR, dobavljača i oblaka

Dokazi prema NIS2 rijetko postoje izolirano.

NIS2 Article 21(2)(d) zahtijeva sigurnost opskrbnog lanca, uključujući sigurnosne aspekte odnosa s dobavljačima i pružateljima usluga. Article 21(3) zahtijeva da odluke o rizicima dobavljača uzmu u obzir ranjivosti, ukupnu kvalitetu proizvoda, prakse kibernetičke sigurnosti, postupke sigurnog razvoja i relevantne koordinirane procjene rizika opskrbnog lanca na razini EU-a.

Prilog A ISO 27001:2022 pruža operativni most kroz A.5.19 do A.5.23. Za SaaS i organizacije u oblaku, te kontrole često određuju je li dokaz za registraciju površan ili dokaziv.

DORA izoštrava sliku dobavljača za financijske subjekte. Articles 28 do 30 zahtijevaju upravljanje rizikom trećih strana u području IKT-a, registar ugovora o IKT uslugama, razlikovanje usluga koje podržavaju kritične ili važne funkcije, procjenu rizika prije sklapanja ugovora, dubinsku analizu dobavljača, ugovorne sigurnosne zahtjeve, prava revizije i inspekcije, prava raskida, testirane izlazne strategije, procjenu podugovaranja, transparentnost lokacije podataka, pomoć pri incidentima, suradnju s tijelima i prijelazne aranžmane. Ako SaaS pružatelj uslužuje korisnike regulirane prema DORA, njegovi ugovori i paket za pružanje potvrda mogu biti predmet pregleda čak i ako sam nije financijski subjekt.

Clarysecova Third-party and supplier security policy - SME Third-party and supplier security policy - SME stoga treba biti povezana s dokaznim paketom NIS2. Spremnost dobavljača treba uključivati:

• Popis dobavljača i klasifikaciju kritičnosti.
• Dubinsku analizu dobavljača i procjene rizika.
• Ugovorne odredbe za sigurnost, pomoć pri incidentima, prava na reviziju, lokaciju podataka, podugovaranje i izlaz.
• Matrice podijeljene odgovornosti u oblaku.
• Zapise praćenja kritičnih pružatelja.
• Testiranje izlaza i oporavka za kritične usluge.
• Postupke obavješćivanja i eskalacije incidenata dobavljača.

GDPR također mora biti integriran. Značajan incident prema NIS2 može ujedno biti povreda osobnih podataka ako su kompromitirani podaci korisnika, zaposlenika ili krajnjih korisnika. GDPR zahtijeva od voditelja obrade da dokažu odgovornost i, kada su ispunjeni pragovi za obavješćivanje, obavijeste nadzorno tijelo u roku od 72 sata od saznanja za povredu osobnih podataka. Vaš radni tok odgovora na incidente mora paralelno procijeniti NIS2, GDPR, DORA, ugovorne i korisničke obveze.

Sastavite NIS2 dokazni paket u jednom tjednu

SaaS pružatelj, MSP, MSSP, pružatelj usluga u oblaku ili društvo za digitalnu infrastrukturu može ostvariti znatan napredak u jednom fokusiranom tjednu.

1. dan, klasificirajte subjekt i usluge. Upotrijebite izjavu o opsegu ISMS-a i registar zainteresiranih strana. Dodajte memorandum o opsegu NIS2 koji identificira kategorije iz Priloga I. ili Priloga II., EU usluge, države članice, korisnike, ovisnosti, pretpostavke o veličini i primjenjuju li se DORA ili sektorska pravila. Ako pravno tumačenje nije konačno, zabilježite nesigurnost klasifikacije kao rizik.

2. dan, ažurirajte registar pravnih i regulatornih obveza. Dodajte NIS2 Articles 20, 21 i 23, zahtjeve registracije prema nacionalnom pravu, obveze prijave povrede prema GDPR, DORA obveze gdje su relevantne i ključne ugovorne zahtjeve obavješćivanja. Mapirajte svaku obvezu na politiku, vlasnika, kontrolu, izvor dokaza i učestalost pregleda.

3. dan, ažurirajte procjenu i obradu rizika. U kriterije rizika uključite pravni, regulatorni, operativni, dobavljački, financijski, reputacijski i društveni utjecaj. Dodajte rizike kao što su neuspjeh registracije, pogrešna klasifikacija subjekta, propušteno 24-satno rano upozorenje, nedostupni kontakti tijela, prekid rada dobavljača koji utječe na kritične usluge, nedostatan nadzor uprave i nemogućnost dokazivanja djelotvornosti kontrola.

4. dan, osvježite SoA. Potvrdite kontrole relevantne za NIS2, uključujući A.5.5 kontakt s tijelima, A.5.19 do A.5.23 kontrole dobavljača i oblaka, A.5.24 do A.5.28 kontrole incidenata, A.5.29 sigurnost tijekom poremećaja, A.5.30 IKT spremnost za neprekidnost poslovanja, A.5.31 pravne zahtjeve, A.5.34 privatnost, A.8.8 upravljanje ranjivostima, A.8.13 sigurnosne kopije, A.8.15 zapisivanje događaja, A.8.16 aktivnosti praćenja, A.8.24 kriptografiju i kontrole sigurnog razvoja A.8.25 do A.8.32.

5. dan, testirajte prijavljivanje incidenata. Provedite stolnu vježbu: pogrešna konfiguracija oblaka izlaže podatke korisnika i prekida uslugu u dvije države članice. Pokrenite vrijeme. Može li tim klasificirati događaj, procijeniti pragove prema GDPR, NIS2, DORA, ugovorima i korisnicima, pripremiti 24-satno rano upozorenje, izraditi nacrt obavijesti u roku od 72 sata, očuvati dokaze i dodijeliti analizu temeljnog uzroka?

6. dan, prikupite dokaze. Izradite mapu spremnu za regulatora s memorandumom o opsegu, pravnim registrom, registrom rizika, SoA, popisom kontakata tijela, operativnim uputama za incidente, registrom dobavljača, zapisnicima uprave, zapisima o osposobljavanju, zapisima dnevnika, izvješćima o praćenju, testovima sigurnosnih kopija, izvješćima o ranjivostima, opsegom interne revizije i dnevnikom korektivnih radnji.

7. dan, preispitivanje od strane uprave. Predstavite paket spremnosti rukovodstvu. Zabilježite odobrenja, preostale rizike, otvorene radnje, rokove, resurse i odgovornost vlasnika. Ako je registracija dospjela, priložite indeks dokaza zapisu o odluci za registraciju.

Clarysecova Audit and Compliance Monitoring Policy za MSP-ove Audit and Compliance Monitoring Policy-sme - SME predviđa tu potrebu:

„Dokazi moraju biti usklađeni s obvezama prema NIS2 kada je organizacija određena kao važan subjekt ili na drugi način spada u opseg nacionalnog prava”

Enterprise Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy navodi cilj:

„Generirati provjerljive dokaze i revizijski trag za potrebe regulatornih upita, pravnih postupaka ili zahtjeva klijenata za pružanje potvrda.”

To je cilj: provjerljivi dokazi prije nego što zahtjev stigne.

Pripremite se za različite revizijske perspektive

Certifikacijski revizor, nacionalno tijelo, revizor korisnika, revizor privatnosti i tim za provjeru dobavljača neće postaviti ista pitanja. Snažan NIS2 dokazni paket funkcionira za sve njih.

Za kontrolu ISO/IEC 27002:2022 5.5 revizori obično očekuju dokumentirane kontakte tijela, dodijeljene odgovornosti, održavanje kontakata, operativne upute za odgovor na incidente i jasnoću temeljenu na scenarijima. Jednostavno revizijsko pitanje može otkriti zrelost: „U slučaju ransomware napada, tko kontaktira tijela kaznenog progona ili nacionalni CSIRT?” Ako odgovor ovisi o tome da se netko sjeti imena, kontrola nije spremna.

Clarysecova Logging and Monitoring Policy Logging and Monitoring Policy - SME pojačava očekivanje o dokazima:

„Zapisi dnevnika moraju biti dostupni i razumljivi vanjskim revizorima ili regulatorima na zahtjev”

Clarysecova Information Security Policy Information Security Policy postavlja širi standard za organizaciju:

„Sve implementirane kontrole moraju biti revizijski provjerljive, potkrijepljene dokumentiranim postupcima i zadržanim dokazima o radu.”

To je revizijski test u jednoj rečenici. Ako se kontrola ne može dokazati, neće imati veliku težinu kada nadležno tijelo zatraži dokaz.

Završni kontrolni popis dokaza za registraciju prema NIS2

Upotrijebite ovaj kontrolni popis prije registracije ili prije odgovora na zahtjev nacionalnog tijela.

• Dokumentirajte analizu opsega NIS2, uključujući obrazloženje iz Priloga I. ili Priloga II., opise usluga, pretpostavke o veličini, prisutnost po državama članicama i klasifikaciju subjekta.
• Identificirajte primjenjuje li se DORA izravno ili neizravno kroz korisnike iz financijskog sektora i ugovore o IKT uslugama.
• Ažurirajte opseg ISMS-a tako da uključi relevantne usluge, ovisnosti, izdvojene procese i regulatorna sučelja.
• Dodajte NIS2, GDPR, DORA, sektorska pravila i ugovorne zahtjeve u registar pravnih i regulatornih obveza.
• Mapirajte svaku obvezu na politike, kontrole, vlasnike, dokaze, učestalost pregleda i izvješćivanje upravi.
• Potvrdite odobrenje i nadzor uprave nad mjerama upravljanja kibernetičkim rizicima.
• Održavajte zapise o osposobljavanju uprave i zaposlenika iz kibernetičke sigurnosti.
• Ažurirajte kriterije rizika tako da uključe regulatorni utjecaj, prekid usluge, štetu korisnicima, prekogranični utjecaj i ovisnost o dobavljačima.
• Evidentirajte rizike povezane s NIS2 u registru rizika i povežite ih s planovima obrade.
• Ažurirajte SoA kontrolama iz Priloga A relevantnima za NIS2 i statusom implementacije.
• Održavajte popise kontakata tijela i postupke obavješćivanja za CSIRT-ove, nadležna tijela, nadzorna tijela za zaštitu podataka, financijske nadzornike i tijela kaznenog progona.
• Testirajte radni tok za 24-satno rano upozorenje, obavijest u roku od 72 sata, međuažuriranje i jednomjesečno završno izvješće.
• Održavajte dokaze o dobavljačima i oblaku, uključujući dubinsku analizu dobavljača, ugovore, prava na reviziju, praćenje, podugovaranje i izlazne planove.
• Dokažite djelotvornost kontrola kroz zapise dnevnika, metrike, revizije, nadzorne ploče, rezultate testiranja i korektivne radnje.
• Pripremite indeks dokaza kako bi se na svaki zahtjev regulatora, korisnika ili revizora moglo brzo odgovoriti.

Sljedeći korak s Clarysecom

Registracija subjekta prema NIS2 nije završna crta. To je trenutak u kojem vaša organizacija postaje vidljiva nacionalnom nadzoru kibernetičke sigurnosti. Pravo pitanje nije „Možemo li se registrirati?” Pravo pitanje glasi: „Ako tijelo zatraži dokaze nakon registracije, možemo li u satima, a ne tjednima, proizvesti koherentnu priču prema ISO 27001:2022?”

Clarysec pomaže organizacijama izgraditi tu priču kroz Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls i praktične skupove politika ISO 27001:2022 koji povezuju pravne obveze, obradu rizika, prijavljivanje incidenata, sigurnost dobavljača, zapisivanje događaja, praćenje, revizijske dokaze i odgovornost uprave.

Provedite pregled praznina u dokazima prema NIS2 u odnosu na svoj trenutačni ISMS. Počnite s memorandumom o opsegu, pravnim registrom, registrom rizika, SoA, popisom kontakata tijela, radnim tokom prijavljivanja incidenata, registrom dobavljača i mapom revizijskih dokaza. Ako su ti artefakti nepotpuni ili nepovezani, Clarysec vam može pomoći da ih pretvorite u dokazni paket spreman za regulatora prije nego što ga vaše nacionalno tijelo zatraži.