⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Felkészülés az EU Cyber Solidarity Act követelményeire ISO 27001 alapján

Igor Petreski
14 min read
EU Cyber Solidarity Act és ISO 27001 bizonyítékleképezési diagram

A 03:17-kor bekövetkező incidens, amely az uniós együttműködést auditkérdéssé teszi

Kedd hajnalban 03:17-kor Maria, az InnovateCloud CISO-ja, riasztásokkal teli képernyőt néz. Vállalata közepes méretű európai SaaS-szolgáltató, amely Németországban, Franciaországban és Lengyelországban szolgál ki logisztikai ügyfeleket. Az első riasztás gyanús privilegizált hozzáférésnek tűnik egy éles bérlői környezetben. Tíz perccel később a menedzselt biztonsági szolgáltató hasonló tevékenységet jelent két másik ügyfélnél. 04:00-ra a SOC olyan infrastruktúrából érkező API-hívásokat lát, amelyet korábban zsarolóvírus-támadás előkészítéséhez kapcsoltak.

Az InnovateCloud nem volt az eredeti célpont. Úgy tűnik, egy alapvető infrastruktúra-szolgáltató került be a hatásláncba. A következmény azonban immár Maria problémája.

Az egyik érintett ügyfél egy német bank, amely DORA alapján kér válaszokat. Egy másik egy energiaágazati kritikus beszállító, amelyet már a nemzeti NIS2 szabályok szerint soroltak be. A környezet személyes adatokat tartalmazhat, de az adatkivitel még nem igazolt. A biztonsági csapat azonnal el akarja szigetelni a fenyegetést. A jogi terület tudni akarja, hogy elindult-e a NIS2 szerinti 24 órás korai figyelmeztetési határidő. Az adatvédelmi tisztviselő azt kérdezi, lehetséges-e GDPR szerinti incidensbejelentési kötelezettség. Az igazgatóság azt akarja tudni, átterjedhet-e a kiesés több tagállamra.

2026-ban ez már nem csupán belső válság.

Az EU Cyber Solidarity Act megváltoztatja a nagy kiterjedésű és határokon átnyúló kiberincidensek működési realitását. Uniós szintű észlelési, felkészültségi és reagálási mechanizmusokat vezet be, köztük az Európai Kiberbiztonsági Riasztási Rendszert, a Kiberbiztonsági Vészhelyzeti Mechanizmust és az EU Kiberbiztonsági Tartalékát. Még ha egy szervezet soha nem is kér közvetlen segítséget a tartaléktól, bizonyítékai, hatósági kapcsolatai, beszállítói szerződései, incidens-idővonalai és ügyfélkommunikációi egy szélesebb európai reagálási lánc részévé válhatnak.

A hiányosság gyorsan láthatóvá válik. Sok szervezetnek vannak eszközei, jegyei és szabályzatai, de nincs olyan bizonyítéka, amely kiállja a szabályozói vizsgálatot. Mondhatják, hogy „felvettük a kapcsolatot a szabályozó hatósággal”, de nem tudják bizonyítani, ki volt erre jogosult, mely küszöbérték váltotta ki a kapcsolatfelvételt, mit kommunikáltak, megőrizték-e a naplókat, szerződés alapján köteles volt-e a beszállító közreműködni, vagy hogy a zárójelentés rekonstruálható-e a döntések egyidejű dokumentálásából.

A megoldás nem egy újabb elkülönített „Cyber Solidarity Act dosszié”. A megoldás egy ISO/IEC 27001:2022 szerinti információbiztonság-irányítási rendszer, amely egyszer állít elő bizonyítékokat, majd újra felhasználja azokat a NIS2, DORA, GDPR, NIST CSF 2.0 és COBIT 2019 elvárásaihoz.

Ez a bizonyíték az incidens előtt kezdődik.

Miért emeli meg az EU Cyber Solidarity Act a bizonyítékokkal szembeni elvárást

A Cyber Solidarity Act uniós szintű kiberészlelésre, felkészültségre és válságreagálásra készült. Gyakorlati hatása a CISO-k, auditorok és megfelelőségi vezetők számára egyértelmű: a nagy kiterjedésű incidensek koordinációjához gyorsabb, tisztább, következetesebb és megbízható érdekelt felekkel könnyebben megosztható bizonyítékokra van szükség.

Ha határokon átnyúló hatás lehetséges, a szervezetnek nemzeti CSIRT-ekkel, illetékes hatóságokkal, ágazati szabályozókkal, adatvédelmi hatóságokkal, pénzügyi felügyeletekkel, bűnüldöző szervekkel, ügyfelekkel, adatfeldolgozókkal, beszállítókkal és külső incidensreagálókkal kell koordinálnia. Az EU Kiberbiztonsági Tartaléka további dimenziót ad, mert előzetesen minősített magánszolgáltatók támogathatják a felkészültséget, a reagálást és a helyreállítást. Emiatt a beszállítói irányítás, a jogi felhatalmazás, az adatkezelés és a bizonyítékok megőrzése még fontosabbá válik.

A magánszereplők e működési valóság középpontjában állnak. A felhőszolgáltatók, adatközpontok, menedzselt szolgáltatók, menedzselt biztonsági szolgáltatók, digitális infrastruktúra-üzemeltetők, fintechek és SaaS-platformok gyakran birtokolják azokat a telemetriai adatokat, naplókat, ügyfélhatás-adatokat és műszaki tényeket, amelyekre a hatóságoknak szükségük van egy súlyos incidens megértéséhez.

A NIS2 már ebbe az irányba mutat. Számos közepes és nagy szervezetre alkalmazandó az I. melléklet és a II. melléklet szerinti ágazatokban, amelyek szolgáltatásokat nyújtanak vagy tevékenységeket végeznek az EU-ban. Bizonyos szervezeteket mérettől függetlenül is lefed, ideértve a bizalmi szolgáltatókat, DNS-szolgáltatókat, felső szintű domain-nyilvántartókat és domainnév-regisztrációs szolgáltatókat. Az I. melléklet digitális infrastruktúrát is tartalmaz, például felhőszolgáltatásokat, adatközponti szolgáltatásokat, tartalomkézbesítő hálózatokat, DNS-szolgáltatókat, bizalmi szolgáltatókat és TLD-nyilvántartókat. Tartalmazza továbbá az IKT-szolgáltatásmenedzsment B2B szolgáltatásait, beleértve a menedzselt szolgáltatókat és a menedzselt biztonsági szolgáltatókat. A II. melléklet digitális szolgáltatókat tartalmaz, például online piactereket, online keresőmotorokat és közösségihálózat-szolgáltatási platformokat.

A DORA második réteget ad a pénzügyi szektornak. 2025. január 17. óta pénzügyi szervezetek széles körére alkalmazandó, ideértve a hitelintézeteket, pénzforgalmi intézményeket, elektronikuspénz-kibocsátó intézményeket, befektetési vállalkozásokat, kriptoeszköz-szolgáltatókat, kereskedési helyszíneket, biztosítókat és viszontbiztosítókat, hitelminősítő intézeteket, közösségi finanszírozási szolgáltatókat és másokat. Jelentős elvárásokat támaszt az IKT harmadik fél szolgáltatókkal szemben is, mert a pénzügyi szervezetek továbbra is elszámoltathatók a kiszervezett IKT-szolgáltatásokért.

Egy 2026-os fintech incidens ezért DORA felügyeleti csatornákon keresztül koordinálható, miközben az adott fintechet támogató SaaS-szolgáltató vagy MSSP a NIS2 hatálya alá tartozhat. Ugyanaz a műszaki esemény eltérő jelentéstételi kötelezettségeket, bizonyítékelvárásokat és szerződéses kötelezettségeket hozhat létre különböző szereplők számára.

Az ISO/IEC 27001:2022 működési rendszert ad a szervezeteknek e komplexitás kezeléséhez. A 4.1–4.4 pontok előírják, hogy a szervezet határozza meg az IBIR-t üzleti kontextusában, azonosítsa az érdekelt feleket és jogi, szabályozási, valamint szerződéses követelményeiket, határozza meg a határokat és függőségeket, és hozza létre az irányítási rendszert. Az 5.1–5.3 pontok elszámoltathatóvá teszik a vezetést a szabályzatért, az erőforrásokért, az integrációért és a szerepkörök kijelöléséért. A 6.1.1–6.1.3 pontok ismételhető kockázatértékelést, kockázatkezelést és alkalmazhatósági nyilatkozatot írnak elő. A 8.1 pont operatív kontrollt követel meg, beleértve a külsőleg biztosított folyamatok, termékek és szolgáltatások kontrollját.

Ez a Cyber Solidarity Act szerinti felkészülés lényege: bizonyítani kell, hogy a válságreagálás irányított, tesztelt és auditálható, nem pedig rögtönzött.

A Clarysec bizonyítékmodellje: egy incidens, sok kötelezettség

Egy határokon átnyúló incidens nem várja meg, amíg a jogi csapatok besorolják. A bizonyítékokat az első riasztástól rögzíteni kell, majd a megfelelő jelentéstételi és koordinációs utakra kell szűrni.

A Clarysec megközelítése három eszközt kapcsol össze:

  1. Zenith Blueprint: az auditor 30 lépéses ütemterve Zenith Blueprint, amely az ISO/IEC 27001:2022 bevezetését szekvenciális, auditfelkészültséget biztosító folyamattá alakítja.
  2. Zenith Controls: keretrendszerek közötti megfelelőségi útmutató Zenith Controls, amely az ISO/IEC 27002:2022 kontrollokat kapcsolódó kontrollokhoz, attribútumokhoz, működési képességekhez, biztonsági területekhez és keretrendszereken átívelő bizonyítékelvárásokhoz rendeli.
  3. Clarysec szabályzatsablonok incidensreagálásra, bizonyítékgyűjtésre, beszállítói biztonságra, naplózásra, felügyeletre és üzletmenet-folytonosságra, nagyvállalati és KKV-környezetekhez igazítva.

A Zenith Blueprint Kontrollok működésben fázisának 22. lépése az ISO/IEC 27002:2022 5.5 kontrollját, a hatóságokkal való kapcsolattartást tárgyalja. Eszerint:

Az 5.5 kontroll biztosítja, hogy a szervezet szükség esetén felkészült legyen a külső hatóságokkal való kapcsolattartásra, nem reaktív módon vagy pánikhelyzetben, hanem előre meghatározott, strukturált és jól ismert csatornákon keresztül.

Ugyanez a szakasz felteszi azt a kérdést, amelyre minden CISO-nak válaszolnia kell a válság előtt:

ha a szervezetet kibertámadás érné, adatsértésben lenne érintett, vagy vizsgálat alá kerülne, ki hívná fel a hatóságokat? Honnan tudná, mit kell mondania? Milyen feltételek mellett indulna ilyen kapcsolatfelvétel?

Ez nem adminisztratív papírmunka. Cyber Solidarity Act környezetben ez a különbség a nyugodt korai figyelmeztetés és a joghatóságokon átívelő, egymásnak ellentmondó üzenetek között.

A Zenith Controls az ISO/IEC 27002:2022 5.5 kontrollját, a hatóságokkal való kapcsolattartást megelőző és helyesbítő kontrollként kezeli, amely a bizalmassághoz, sértetlenséghez és rendelkezésre álláshoz kapcsolódik, és összhangban áll az Identify, Protect, Respond és Recover fogalmakkal. Az 5.5 kontrollt összekapcsolja az incidenskezelési tervezéssel és felkészüléssel, az eseményjelentéssel, a fenyegetettségi információkkal, a különleges érdekcsoportokkal és az incidensekre adott válasszal.

Ugyanez az útmutató az ISO/IEC 27002:2022 5.24 kontrollját, az információbiztonsági incidenskezelés tervezését és előkészítését, Respond és Recover területekhez kapcsolódó helyesbítő kontrollként kezeli. Az eseményértékeléshez, incidensreagáláshoz, tanulságokhoz, naplózáshoz, felügyelethez, zavar alatti biztonsághoz és folytonossághoz való kapcsolatai azt mutatják, amit az auditorok gyakran vizsgálnak: összekapcsolja-e a terv az észlelést, besorolást, eszkalációt, bizonyítékokat, helyreállítást és tanulást.

A bizonyítékkezelés szempontjából az ISO/IEC 27002:2022 5.28 kontrollja, a bizonyítékgyűjtés, különösen fontos. A Zenith Controls ezt az incidensreagáláshoz, naplózáshoz, felügyelethez és eseményjelentéshez kapcsolja. Súlyos, határokon átnyúló incidens esetén itt válik a műszaki vizsgálat igazolhatóvá.

A Cyber Solidarity Act szerinti felkészülés leképezése ISO 27001 bizonyítékokra

Az EU Cyber Solidarity Act felkészültségi és koordinációs környezetet hoz létre. Az ISO/IEC 27001:2022 biztosítja a bizonyíték-előállító rendszert. A NIS2, DORA és GDPR számos konkrét jelentéstételi, irányítási és védelmi elvárást határoz meg.

2026-os forgatókönyv szerinti követelményISO/IEC 27001:2022 bizonyítéki hivatkozási pontKapcsolódó működési bizonyítékClarysec támogatás
Annak azonosítása, hogy a szervezet, az ügyfelek vagy a beszállítók a NIS2, DORA vagy GDPR hatálya alá tartoznak-e4.1, 4.2 és 4.3 pontok a kontextushoz, érdekelt felekhez és IBIR alkalmazási területhezmegfelelőségi nyilvántartás, szolgáltatástérkép, tagállami jelenlét, ügyfélszektorok, adatkezelési szerepkörökZenith Blueprint hatókör-meghatározási lépések és megfelelőségi nyilvántartás sablonok
Annak eldöntése, hogy az incidensnek van-e határokon átnyúló hatásaA melléklet kontrolljai A.5.24–A.5.28 és 8.1 pont szerinti operatív kontrollincidensbesorolási bejegyzés, hatásvizsgálat, érintett országok, érintett szolgáltatások, kompromittálódási indikátorokIncidenskezelési szabályzat és bizonyítékgyűjtési munkafolyamat
Hatóságok értesítése az előírt határidőkön belülA.5.5 kapcsolattartás a hatóságokkal, A.5.31 jogi, törvényi, szabályozási és szerződéses követelmények, A.5.24 tervezéshatósági kapcsolattartási mátrix, döntési napló, bejelentéstervezetek, benyújtási időbélyegekZenith Blueprint 22. lépés és Incidenskezelési szabályzat
Koordináció MSSP-vel, felhőszolgáltatóval vagy az EU Kiberbiztonsági Tartalékhoz kapcsolódó reagáló szolgáltatóvalA.5.19–A.5.23 beszállítói és felhőkontrollok, 8.1 pont szerinti külső folyamatkontrollbeszállítói nyilvántartás, szerződéses záradékok, incidens-támogatási kötelezettségek, auditálási jog, szolgáltatási helyszínekHarmadik fél és beszállítói biztonsági szabályzat
Forenzikus bizonyítékok megőrzése hatóságok és incidens utáni tanulás céljáraA.5.28 bizonyítékgyűjtés, A.8.15 naplózás, A.8.16 felügyeleti tevékenységekbizonyítéklánc, naplóexportok, pillanatképek, forenzikus rendszerképek, hozzáférési nyilvántartásokBizonyítékgyűjtési és forenzikai szabályzat, Naplózási és felügyeleti szabályzat - KKV
Alapvető szolgáltatások fenntartása zavar idejénA.5.29 információbiztonság zavar idején, A.5.30 IKT-felkészültség üzletmenet-folytonosságra, A.8.13 információk biztonsági mentéseBIA, helyreállítási célkitűzések, biztonsági mentési tesztek, alternatív kommunikáció, válságszerepkörökÜzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat

Figyelje meg, mi hiányzik: egy külön megfelelőségi siló. Ugyanaz a bizonyíték, amely támogatja az ISO/IEC 27001:2022 tanúsítást, támogatni tudja a NIS2 vezetői elszámoltathatóságot, a DORA IKT-kockázatkezelést, a GDPR biztonsági elszámoltathatóságot, a NIST CSF kommunikációs eredményeket és a COBIT 2019 bizonyossági elvárásokat.

NIS2: a jelentéstételi óra a tudomásszerzéssel indul

A NIS2 központi elem a 2026-os felkészültségben, mert lépcsőzetes incidensjelentési munkafolyamatot határoz meg.

Article 23 előírja, hogy az alapvető és fontos szervezetek indokolatlan késedelem nélkül értesítsék CSIRT-jüket vagy illetékes hatóságukat a szolgáltatásnyújtást érintő jelentős incidensekről. A korai figyelmeztetést indokolatlan késedelem nélkül, de legkésőbb a jelentős incidensről való tudomásszerzéstől számított 24 órán belül kell benyújtani. Ennek adott esetben jeleznie kell, hogy felmerül-e rosszindulatú vagy jogellenes cselekmény gyanúja, és lehetséges-e határokon átnyúló hatás.

Az incidensbejelentés indokolatlan késedelem nélkül, de legkésőbb a tudomásszerzéstől számított 72 órán belül következik, frissítve a korai figyelmeztetést, és kezdeti értékelést adva a súlyosságról, a hatásról és a rendelkezésre álló kompromittálódási indikátorokról. A zárójelentés az incidensbejelentést követő egy hónapon belül esedékes, tartalmazva a súlyosságot, a hatást, a valószínű fenyegetéstípust vagy gyökérokot, az enyhítő intézkedéseket és a határokon átnyúló hatást.

Ezért az incidensreagálás nem indulhat üres dokumentummal.

A nagyvállalati Incidenskezelési szabályzat Incidenskezelési szabályzat kimondja:

NIS2 Article 23 (az incidensről való tudomásszerzéstől számított 24 órán belüli bejelentés)

A KKV Incidenskezelési szabályzat - KKV Incidenskezelési szabályzat - KKV ugyanezt az időzítési logikát gyakorlati irányításba helyezi:

„A reagálási határidőket, beleértve az adat-helyreállítást és a bejelentési kötelezettségeket, dokumentálni kell, és összhangba kell hozni a jogi követelményekkel, például a GDPR szerinti, személyesadat-sértésre vonatkozó 72 órás bejelentési kötelezettséggel.”

Az Incidenskezelési szabályzat - KKV „Irányítási követelmények” szakaszának 5.3.2 pontjából.

Az incidensfolyamatba beépíti a több szabályozási rezsim szerinti értékelést is:

„Ha ügyféladatok érintettek, az ügyvezetőnek a GDPR, NIS2 vagy DORA alkalmazhatósága alapján értékelnie kell a jogi bejelentési kötelezettségeket.”

Az Incidenskezelési szabályzat - KKV „Kockázatkezelés és kivételek” szakaszának 7.4.1 pontjából.

Cyber Solidarity Act forgatókönyvben a „határokon átnyúló hatás lehetséges” működési szempontból kritikus jelentőségűvé válik. A korai figyelmeztetésnek nem kell minden tényt tartalmaznia, de a szervezetnek be kell tudnia mutatni, miért feltételezett vagy miért nem feltételezett határokon átnyúló hatást a rendelkezésre álló bizonyítékok alapján.

Az incidensnyilvántartásnak rögzítenie kell:

  • Mikor szerzett tudomást a szervezet az eseményről.
  • Ki nyilvánította az eseményt potenciális incidenssé.
  • Mely szolgáltatások, országok, ügyfelek vagy ágazatok lehettek érintettek.
  • Felmerült-e rosszindulatú vagy jogellenes tevékenység gyanúja.
  • Mely kompromittálódási indikátorok álltak rendelkezésre.
  • Mely hatósági kapcsolattartási utat használták.
  • Szükséges volt-e ügyfélkommunikáció.
  • Mely bizonyítékokat őrizték meg a jelentős helyreállító intézkedések előtt.

E mezők kialakításának legjobb időpontja 03:17 előtt van.

DORA: amikor az ügyfél szabályozott, de a naplók a beszállítónál vannak

A DORA megváltoztatja a beszállítókkal folytatott párbeszédet. A pénzügyi szervezeteknek az IKT harmadik fél kockázatot IKT-kockázatkezelési keretrendszerük részeként kell kezelniük. Az IKT-szolgáltatások kiszervezése nem helyezi át a szabályozói felelősséget a pénzügyi szervezetről.

A DORA IKT harmadik fél kockázati stratégiákat, IKT-szolgáltatási szerződésnyilvántartásokat, kellő gondosságot, audit- és vizsgálati tervezést, felmondási jogokat és tesztelt kilépési stratégiákat követel meg a kritikus vagy fontos IKT-szolgáltatásokhoz. Article 30 szerződéses egyértelműséget ír elő, ideértve a szolgáltatásleírásokat, helyszíneket, adatkezelést, bizalmasságot, sértetlenséget, rendelkezésre állást, szolgáltatási szinteket, IKT-incidensek alatti segítségnyújtást, hatóságokkal való együttműködést és felmondási jogokat. Kritikus vagy fontos funkciók esetén szigorúbb feltételek alkalmazandók.

Térjünk vissza Maria incidenséhez. A német bank DORA alatt szabályozott. Az InnovateCloud SaaS-szolgáltatásokat nyújt. Az MSSP gyanús tevékenységet észlel. A felhőinfrastruktúra-szolgáltató rendelkezik a kulcsfontosságú auditnaplók egy részével. Egy alvállalkozó üzemelteti a telemetriai adatfolyam egy részét. A bank továbbra is elszámoltatható, de beszállítói bizonyíték nélkül nem tud megfelelően besorolni és jelenteni.

A Clarysec ezt beszállítói besorolással és szerződéses bizonyítékokkal kezeli. A nagyvállalati Harmadik fél és beszállítói biztonsági szabályzat Harmadik fél és beszállítói biztonsági szabályzat előírja:

A beszállítókkal kötött szerződéseknek tartalmazniuk kell:

A KKV Harmadik fél és beszállítói biztonsági szabályzat - KKV Harmadik fél és beszállítói biztonsági szabályzat - KKV ugyanezt a megfelelőségi logikát könnyített működési modellben alkalmazza:

A szerződéseknek kötelező záradékokat kell tartalmazniuk az alábbiakra vonatkozóan:

Az érték az e szavak mögött álló működési rendben van: incidensbejelentési kötelezettségek, napló-hozzáférés, auditálási jog, titoktartás, adatok helye, alvállalkozói kontrollok, hatóságokkal való együttműködés, helyreállítási támogatás és kilépési kötelezettségek.

A Zenith Blueprint Kontrollok működésben fázisának 23. lépése megadja a bevezetési útvonalat:

Állítson össze teljes listát a jelenlegi beszállítókról és szolgáltatókról (5.19), és sorolja be őket rendszerekhez, adatokhoz vagy operatív kontrollhoz való hozzáférésük alapján. Minden besorolt beszállítónál ellenőrizze, hogy a biztonsági elvárások egyértelműen beépültek-e a szerződésekbe (5.20), beleértve a titoktartást, hozzáférést, incidensjelentést és megfelelési kötelezettségeket.

A továbbadott beszállítói kockázat kezelése így folytatódik:

Minden kritikus beszállítónál azonosítsa, használnak-e olyan alvállalkozókat (al-adatfeldolgozókat), akik hozzáférhetnek az Ön adataihoz vagy rendszereihez. Dokumentálja, hogyan kerülnek továbbadásra az információbiztonsági követelmények ezeknek a feleknek, akár a beszállító szerződéses feltételein, akár az Ön saját közvetlen záradékain keresztül.

Ez egyben az EU Kiberbiztonsági Tartalékra való felkészültség is. Ha vészhelyzetben külső reagáló szolgáltató lép be az Ön környezetébe, ismernie kell a jogalapot, a hozzáférési hatókört, a bizonyítékkezelési szabályokat, az adatkezelési kötelezettségeket, a hatósági koordinációs utat és a kilépési feltételeket. A DORA ezt a pénzügyi szervezetek számára kifejezetten előírja. A NIS2 az alapvető és fontos szervezetek számára teszi relevánssá. Az ISO/IEC 27001:2022 auditálhatóvá teszi.

GDPR: az adatsértési kérdés a kiberválságon belül

Nem minden kiberbiztonsági incidens személyesadat-sértés, de minden súlyos incidenst értékelni kell ebből a szempontból.

A GDPR alkalmazandó az EU-ban letelepedett szervezet tevékenységeihez kapcsolódó adatkezelésre, valamint azokra a nem uniós adatkezelőkre vagy adatfeldolgozókra is, amelyek árukat vagy szolgáltatásokat kínálnak EU-ban tartózkodó személyeknek, vagy megfigyelik EU-n belüli viselkedésüket. Meghatározza a személyes adat, az adatkezelés, az adatkezelő, az adatfeldolgozó és a személyesadat-sértés fogalmát. Alapelvei közé tartozik a sértetlenség, a bizalmasság és az elszámoltathatóság, ami azt jelenti, hogy az adatkezelőknek bizonyítaniuk kell a megfelelést.

A 03:17-es incidens során Maria csapatának fel kell tennie a következő kérdéseket:

  • Hozzáfértek-e személyes adatokhoz, közölték-e, módosították-e, elvesztették-e vagy megsemmisítették-e azokat?
  • Az InnovateCloud adatkezelő, adatfeldolgozó vagy mindkettő az érintett adatok tekintetében?
  • Érintettek-e a személyes adatok különleges kategóriái?
  • Mely ügyfelek vagy természetes személyek érintettek?
  • A naplók elegendőek-e a hatókör értékeléséhez?
  • A GDPR szerinti bejelentési kötelezettségek párhuzamosan futnak-e a NIS2 vagy DORA szerinti kötelezettségekkel?

Ezért az adatvédelmi koordinációnak az incidenseszkaláció részének kell lennie, nem pedig késői jogi felülvizsgálatnak a rendszerek újjáépítése és a naplók rotációja után.

A KKV Naplózási és felügyeleti szabályzat - KKV Naplózási és felügyeleti szabályzat - KKV kimondja:

A magas prioritású riasztásokat 24 órán belül eszkalálni kell az ügyvezető és az adatvédelmi koordinátor felé

Ez a záradék egyszerű, de valós hibamintát old meg. Az adatvédelmi vezetőknek akkor van szükségük bizonyítékokra, amikor azok még elég frissek annak meghatározásához, hogy történt-e személyesadat-sértés, és fennáll-e kockázat az érintettek számára.

24 órás határokon átnyúló incidens bizonyítékcsomag kialakítása

Egy gyakorlati felkészültségi gyakorlatnak szimulálnia kell egy határokon átnyúló incidens első 24 óráját. A cél nem a túlzott jelentéstétel. A cél annak bizonyítása, hogy a szervezet képes tényeket összegyűjteni, igazolható döntéseket hozni és következetes kommunikációt fenntartani.

Forgatókönyv

Az MSSP gyanús privilegizált hozzáférést észlel egy szokatlan régióból az Ön éles bérlői környezetével szemben. Ugyanez a forrásinfrastruktúra két tagállamban két ügyfelet érintő riasztásokban is megjelenik. Az egyik ügyfél pénzügyi szervezet. Az érintett környezet személyes adatokat tartalmaz, de az adatkivitel nem igazolt.

1. lépés: az incidensnyilvántartás megnyitása

Hozza létre az incidensjegyet jóváhagyott besorolási mezők használatával. Tartalmazza a tudomásszerzés időpontját, az észlelési forrást, az érintett eszközöket, érintett szolgáltatásokat, potenciálisan érintett országokat, feltételezett rosszindulatú tevékenységet, kezdeti súlyosságot és az incidensirányítót.

Kapcsolja ezt az ISO/IEC 27002:2022 5.24, 5.25 és 5.26 kontrolljaihoz, valamint az ISO/IEC 27001:2022 A melléklet A.5.24, A.5.25 és A.5.26 kontrolljaihoz.

2. lépés: a hatósági döntési munkafolyamat elindítása

Használja a Zenith Blueprint 22. lépése által megkövetelt hatósági kapcsolattartási mátrixot. Azonosítsa a releváns hatóságokat: nemzeti CSIRT, adatvédelmi hatóság, pénzügyi felügyelet, bűnüldöző szerv és ágazati szabályozó.

Rögzítse a döntést és az indokolást. Ha nem történik NIS2 szerinti korai figyelmeztetés, rögzítse ennek okát. Ha határokon átnyúló hatás lehetséges, rögzítse az ezt alátámasztó bizonyítékokat.

3. lépés: bizonyítékok megőrzése a jelentős helyreállító intézkedések előtt

A nagyvállalati Bizonyítékgyűjtési és forenzikai szabályzat Bizonyítékgyűjtési és forenzikai szabályzat kimondja:

Minden összegyűjtött bizonyítékot egyedileg azonosítani, címkézni és biztonságos adattárban kell tárolni a következőkkel:

A KKV Bizonyítékgyűjtési és forenzikai szabályzat - KKV Bizonyítékgyűjtési és forenzikai szabályzat - KKV ugyanezt a fegyelmet egyszerűbb formában adja meg:

„A digitális bizonyíték minden elemét naplózni kell a következőkkel:”

A Bizonyítékgyűjtési és forenzikai szabályzat - KKV „Irányítási követelmények” szakaszának 5.2.1 pontjából.

Az asztali gyakorlat során gyűjtsön mintabizonyíték-bejegyzéseket: SIEM-riasztás exportja, identitásszolgáltatói naplók, privilegizált munkamenet-nyilvántartások, végponti pillanatkép, tűzfalnaplók, felhőalapú auditnaplók, ügyfélhatás-jegyzetek és kommunikációs jóváhagyások.

4. lépés: beszállítói segítség aktiválása

Ellenőrizze a beszállítói nyilvántartást. Azonosítsa az MSSP-t, a felhőszolgáltatót és a kritikus alvállalkozókat. Erősítse meg az incidens-támogatási záradékokat, az eszkalációs kapcsolattartókat, a naplómegőrzési időket, a bizonyítékformátumot és a hatóságokkal való együttműködési kötelezettségeket.

Ez közvetlenül támogatja a DORA IKT harmadik fél kockázati követelményeit és a NIS2 ellátásilánc-biztonsági elvárásait.

5. lépés: három kommunikáció megfogalmazása

Fogalmazzon meg három kommunikációt ugyanabból a tényalapból:

KommunikációCélSzükséges bizonyíték
NIS2 jellegű 24 órás korai figyelmeztetésJelentős incidensről való tudomásszerzés és lehetséges határokon átnyúló hatás bejelentésetudomásszerzési idő, feltételezett rosszindulatú tevékenység, érintett szolgáltatások, tagállamok, kezdeti indikátorok
DORA jellegű pénzügyi ügyféleszkalációPénzügyi szervezet IKT-incidensbesorolásának és harmadik fél kockázati kötelezettségeinek támogatásaszolgáltatáshatás, kritikus funkció függősége, beszállítói érintettség, helyreállítási becslés, naplók rendelkezésre állása
GDPR adatsértési értékelő feljegyzésAnnak meghatározása, szükséges-e személyesadat-sértés bejelentéseadatszerepkörök, érintett adatkategóriák, hozzáférési bizonyíték, adatkiviteli indikátorok, érintettekre vonatkozó kockázat

6. lépés: lezárás tanulságokkal

Frissítse a kockázati nyilvántartást, az alkalmazhatósági nyilatkozatot, a beszállítói nyilvántartást és az incidensreagálási tervet. Ha a gyakorlat hiányzó naplókat, tisztázatlan hatósági kapcsolatokat vagy gyenge beszállítói záradékokat tár fel, indítson helyesbítő intézkedéseket.

A Zenith Blueprint Kontrollok működésben fázisának 23. lépése így utasítja a szervezeteket az incidensképességek ellenőrzésére:

Válasszon ki egy közelmúltbeli eseményt, vagy tartson asztali gyakorlatot a terv ellenőrzésére. Rögzítse és naplózza az összes döntést, szerepkört és kommunikációt (5.26), és frissítse a tervet a tanulságokkal (5.27). Erősítse meg, hogy rendelkezésre állnak eljárások a forenzikus bizonyítékok megőrzésére (5.28), beleértve a naplópillanatképeket, biztonsági mentéseket és az érintett rendszerek biztonságos izolálását.

Ez a bekezdés auditálható gyakorlati napirend.

Naplózás: a különbség a koordináció és a találgatás között

A határokon átnyúló incidenskoordináció akkor bukik meg, amikor mindenkinek véleménye van, de senkinek sincs időbélyege.

A Zenith Blueprint Kontrollok működésben fázisának 19. lépése világosan fogalmaz:

A naplózás minden biztonságos IT-környezet éltető eleme. Nélküle az incidensek láthatatlanok maradnak, az elszámoltathatóság elhalványul, az ok-okozati kapcsolatok pedig nyomtalanul eltűnnek.

Így folytatja:

A naplózás lényege a visszakövethetőség. Amikor valami félremegy, legyen szó sikertelen bejelentkezési kísérletről, kritikus fájlok törléséről vagy egy szerveren futó jogosulatlan szkriptről, a naplók adják azt a forenzikus szálat, amely segít kibogozni, mi történt valójában.

A NIS2 esetében a naplók támogatják a 72 órás incidensbejelentést kezdeti súlyossággal, hatással és kompromittálódási indikátorokkal. A DORA esetében a naplók támogatják a súlyos IKT-val kapcsolatos incidens besorolását, a gyökérok-elemzést, a működési hatást és a harmadik felek elszámoltathatóságát. A GDPR esetében a naplók támogatják annak értékelését, hogy hozzáfértek-e személyes adatokhoz vagy közölték-e azokat. Cyber Solidarity Act környezetben a naplók támogatják a közös helyzetképet anélkül, hogy a reagálóknak találgatásra kellene támaszkodniuk.

Naplózási kérdésMiért fontos a 2026-os koordinációban
Tudja bizonyítani, mikor kezdődött a tudomásszerzés?A NIS2 és a belső eszkalációs határidők a tudomásszerzés időpontjától függenek
Tudja azonosítani az érintett szolgáltatásokat ország és ügyfél szerint?A határokon átnyúló hatás értékelése a szolgáltatástól és a földrajzi érintettségtől függ
Meg tudja őrizni a naplókat, mielőtt az elszigetelés megváltoztatja a rendszereket?A bizonyítékgyűjtés és a gyökérok-elemzés a sértetlenségtől függ
El tudja választani az ügyfélhatási tényeket a feltételezésektől?A külső kommunikációnak időszerűnek, de pontosnak kell lennie
Elég gyorsan be tudja szerezni a beszállítói naplókat?A DORA és a NIS2 szerinti beszállítói elszámoltathatóság szerződéses és működési hozzáférést igényel

Ha bármely kérdésre a válasz „nem biztos”, a problémának a kockázatkezelési tervben van a helye.

Üzletmenet-folytonosság és biztonságos válságműködés

A Cyber Solidarity Act körüli párbeszéd természetes módon az incidensreagálásra összpontosít, de a reziliencia azt is jelenti, hogy zavar idején is biztonságosan fenn kell tartani a kritikus szolgáltatásokat.

A NIS2 Article 21 minden veszélyt figyelembe vevő megközelítést ír elő, amely kiterjed az incidenskezelésre, üzletmenet-folytonosságra, biztonsági mentések kezelésére, katasztrófa utáni helyreállításra, válságkezelésre, ellátásilánc-biztonságra, sérülékenységkezelésre, eredményességértékelésre, kiberhigiéniára, kriptográfiára, HR-biztonságra, hozzáférés-szabályozásra, eszközkezelésre, többtényezős hitelesítésre, biztonságos kommunikációra és szükség esetén biztonságos vészhelyzeti kommunikációra.

A DORA hasonlóképpen irányítást, IKT-kockázatkezelést, incidenskezelést, rezilienciatesztelést, harmadik fél kockázatkezelést, folytonosságot és helyreállítást követel meg. A kisebb szervezetekre egyszerűsített követelmények vonatkozhatnak, de nekik is szükségük van dokumentált IKT-kockázatkezelésre, felügyeletre, reziliens rendszerekre, incidenskezelésre, harmadik féltől való függőségek azonosítására, biztonsági mentésekre, helyreállításra, tesztelésre, incidens utáni tanulásra és képzésre.

A nagyvállalati Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat egyszerű követelményből indul ki:

A terveknek ki kell terjedniük:

E mondat mögött a folytonossági bizonyítékok állnak, amelyeket az auditorok elvárnak: helyreállítási prioritások, helyreállítási időcélok, helyreállítási pont célértékek, biztonsági mentési ütemezések, helyreállítási tesztek, válságszerepkörök, alternatív kommunikáció, beszállítói függőségek és gyakorlat utáni fejlesztési intézkedések.

Az ISO/IEC 27002:2022 5.29 és 5.30 kontrolljai itt központi jelentőségűek. Az 5.29 kontroll az információbiztonsággal foglalkozik zavar idején. Az 5.30 kontroll az üzletmenet-folytonossághoz szükséges IKT-felkészültséget kezeli. A Zenith Controls rendszerében az 5.24 szerinti incidens tervezés kapcsolódik a zavar alatti biztonsághoz és a tágabb folytonossági tervezéshez. Ez különösen releváns, amikor a normál csatornák nem érhetők el, az identitásrendszerek korlátozottan működnek, vagy a válságcsapatoknak biztonságos vészhelyzeti kommunikáción keresztül kell koordinálniuk a hatóságokkal.

Keresztmegfelelőségi térkép: NIS2, DORA, GDPR, NIST CSF 2.0 és COBIT 2019

Egy CISO-nak nincs szüksége öt külön incidensprogramra. Egyetlen bizonyítékmodellre van szüksége, amely öt nézőpontból értelmezhető.

KeretrendszerMit akar látniISO/IEC 27001:2022 bizonyíték, amely segít
NIS2vezetői elszámoltathatóság, kockázatkezelés, incidenskezelés, folytonosság, ellátásilánc-biztonság, jelentéstétel és képzésIBIR alkalmazási terület, vezetői nyilvántartások, kockázatértékelés, alkalmazhatósági nyilatkozat, incidens terv, hatósági mátrix, beszállítói nyilvántartás, képzési naplók
DORAIKT-irányítás, rezilienciastratégia, súlyos IKT-val kapcsolatos incidensek folyamata, tesztelés, IKT harmadik fél kockázat és ellenőrizhetőségIKT-kockázati nyilvántartás, folytonossági tesztek, incidensbizonyítékok, beszállítói szerződések, kilépési tervek, auditjelentések
GDPRbiztonság, bizalmasság, elszámoltathatóság, adatsértési értékelés és személyesadat-szerepkörök egyértelműségeadattérképek, adatkezelő-adatfeldolgozó nyilvántartások, hozzáférési naplók, adatsértési értékelő feljegyzések, titkosítási kontrollok, bizonyítékmegőrzés
NIST CSF 2.0irányítás, kockázati profilok, ellátásilánc-kockázat, észlelés, reagálás, helyreállítás és kommunikációaktuális és célprofilok, hiányossági intézkedési terv, felügyeleti bizonyítékok, reagálási forgatókönyvek, helyreállítás ellenőrzése
COBIT 2019 és ISACA auditgyakorlatirányítási célkitűzések, vezetői elszámoltathatóság, kontrolltervezés, teljesítményfelügyelet és bizonyosságigazgatósági jelentések, RACI, kontrollgazdák, mutatók, belső audit eredmények, helyesbítő intézkedések nyomon követése

A NIST CSF 2.0 aktuális és célprofil módszere különösen hasznos azoknak a szervezeteknek, amelyek még nem elég érettek egy teljes integrált GRC-platformhoz. Arra ösztönzi a szervezeteket, hogy határozzanak meg profilt, gyűjtsenek bemeneteket, például szabályzatokat, vállalati kockázati prioritásokat, üzleti hatásvizsgálatokat, követelményeket, szabványokat, eljárásokat, védelmi intézkedéseket és szerepköröket, majd elemezzék a hiányosságokat és hozzanak létre priorizált intézkedési tervet. Ez közel áll egy gyakorlati Cyber Solidarity Act felkészültségi sprinthez: aktuális bizonyítékok, célkötelezettségek, hiányossági terv, felelősök, határidők és auditnyom.

A COBIT 2019 és az ISACA-jellegű auditorok jellemzően azt kérdezik, hogy az irányítási célkitűzéseknek van-e tulajdonosa, mérik-e és felügyelik-e őket. Nem elégszenek meg azzal, hogy „a SOC kezeli”. Meg fogják kérdezni, hogyan hagyják jóvá a vezető testületek a kockázati intézkedéseket, hogyan jelentik a teljesítményt, hogyan irányítják a harmadik fél kockázatot, hogyan fogadják el a kivételeket, és hogyan követik nyomon a helyesbítő intézkedéseket.

Hogyan tesztelik az auditorok ugyanazt az incidenst

Ugyanaz a 03:17-es incidens az értékelő megbízásától függően eltérő auditkérdéseket eredményez.

Egy ISO/IEC 27001:2022 auditor az IBIR-rel kezd. Meg fogja kérdezni, hogy az incidensfolyamat az alkalmazási területen belül van-e, az érdekelt felek követelményei tartalmazzák-e a NIS2-t, DORA-t, GDPR-t és a szerződéseket, a kockázatértékelés figyelembe vette-e a határokon átnyúló és beszállítói forgatókönyveket, az A melléklet kontrolljait kiválasztották-e az alkalmazhatósági nyilatkozatban, és a működési nyilvántartások bizonyítják-e a folyamat követését.

Egy NIS2-re fókuszáló hatóság vagy értékelő a vezetői elszámoltathatóságra, az Article 21 szerinti kockázatkezelési intézkedésekre és az Article 23 szerinti jelentéstételre összpontosít. Megkérdezheti, mikor szerzett tudomást a szervezet, miért volt vagy nem volt jelentős az incidens, hogyan értékelték a határokon átnyúló hatást, tájékoztatták-e az ügyfeleket, és indokolatlan késedelem nélkül megtették-e a helyesbítő intézkedéseket.

Egy DORA-felügyelet vagy belső auditcsoport azt fogja kérdezni, érintett-e az incidens kritikus vagy fontos funkciókat, támogatták-e az IKT harmadik fél szolgáltatók a reagálást, a pénzügyi szervezet megtartotta-e a felelősséget, pontos volt-e az információs nyilvántartás, helyesen sorolták-e be az incidenst, és a tanulságok visszacsatolódtak-e a rezilienciatesztelésbe és a beszállítói felügyeletbe.

Egy GDPR-auditor vagy adatvédelmi hatóság azt fogja kérdezni, volt-e a szervezetnek elég bizonyítéka annak meghatározásához, hogy történt-e személyesadat-sértés, egyértelműek voltak-e az adatkezelői és adatfeldolgozói szerepkörök, fennállt-e kockázat az érintettekre nézve, megfelelőek voltak-e a bizalmassági és sértetlenségi kontrollok, és fenntartották-e az elszámoltathatósági nyilvántartásokat.

Egy NIST CSF 2.0 értékelő az eseményt Govern, Identify, Protect, Detect, Respond és Recover eredményekre fordítja le. Keresni fogja az érdekelt felek elvárásait, a jogi kötelezettségeket, a kockázatvállalási hajlandóságot, a beszállítói irányítást, a naplózást, a felügyeletet, a reagálás végrehajtását, a kommunikációt és a helyreállítás ellenőrzését.

Egy COBIT 2019 vagy ISACA auditor az irányítási és vezetési rendszer eredményességére összpontosít: tulajdonosi felelősség, döntési jogosultságok, mutatók, kockázatelfogadás, folyamatteljesítmény, bizonyosság és folyamatos fejlesztés.

Itt hasznos a Zenith Controls keretrendszerek közötti megfelelőségi iránytűként. Nem nevezi át a hivatalos kontrollokat, és nem hoz létre párhuzamos kontrollkeretrendszert. Megmutatja, hogyan kapcsolódnak az ISO/IEC 27002:2022 kontrollok, például az 5.5, 5.24 és 5.28, a működési képességekhez, kapcsolódó kontrollokhoz és auditreleváns bizonyítékokhoz.

KontrollkapcsolatSzinergia a Cyber Solidarity Act szerinti felkészüléshezISO/IEC 27002:2022 kontrollok
Tervezéstől a reagálásigA robusztus incidens terv strukturált reagálást, egyértelmű szerepköröket és kezelt kommunikációt biztosít5.24–5.26
Reagálástól a jelentéstételigA reagálási folyamatnak igazolható módon kell megőriznie a bizonyítékokat a szabályozott jelentéstétel támogatásához5.26–5.28
Reagálástól a hatóságokigA reagálási tervnek előre meghatározott kiváltó feltételeket és csatornákat kell tartalmaznia a nemzeti CSIRT-ekkel és szabályozókkal való kapcsolatfelvételhez5.26–5.5
Hatóságoktól az intelligenciáigA hatóságokkal való együttműködés fenyegetettségi információkat adhat, amelyek visszacsatolhatók a kockázatértékelésbe5.5–5.7

Mit tegyenek most a CISO-k a 2026-os felkészülésért

Ha az EU Cyber Solidarity Act szerinti működési realitásra készül, bizonyítékokkal kezdjen, ne szlogenekkel.

Először frissítse az IBIR kontextusát és az érdekelt felek elemzését. Azonosítsa, hogy a szervezet, az ügyfelek vagy a beszállítók a NIS2, DORA vagy GDPR hatálya alá tartoznak-e. Vegye fel a tagállami jelenlétet, ágazati besorolást, kritikus ügyfeleket, IKT-szolgáltatási függőségeket és hatósági kapcsolatokat.

Másodszor tartson határokon átnyúló incidensre épülő asztali gyakorlatot. Olyan forgatókönyvet használjon, amely tartalmaz beszállítót, egynél több tagállamot, lehetséges személyesadat-kitettséget és szabályozott pénzügyi ügyfelet. Időkorlátozza az első 24 órát.

Harmadszor vizsgálja felül a beszállítói szerződéseket. Erősítse meg a bejelentési kötelezettségeket, napló-hozzáférést, forenzikus támogatást, hatóságokkal való együttműködést, alvállalkozókra továbbadott követelményeket, adatok helyét, auditálási jogot, folytonossági támogatást és felmondási jogokat.

Negyedszer tesztelje a bizonyítékgyűjtést. Exportáljon naplókat, őrizzen meg pillanatképeket, címkézze a bizonyítékokat, rögzítse a bizonyítékláncot és ellenőrizze az adattárhoz való hozzáférést. Ha a szabályzat szerint a bizonyíték egyedileg azonosított és biztonságosan tárolt, bizonyítsa.

Ötödször hangolja össze az incidenskommunikációt. A NIS2 korai figyelmeztetés, a DORA eszkaláció, a GDPR adatsértési értékelés és az ügyfélértesítés nem mondhat ellent egymásnak. Lehet eltérő jogi céljuk, de ugyanabból a tényalapból kell származniuk.

Hatodszor vonja be az igazgatóságot a gyakorlatba. A NIS2 és a DORA egyaránt magasabb szintre emeli a vezetői elszámoltathatóságot. Az ISO/IEC 27001:2022 vezetői pontjai ezt auditálhatóvá teszik. Az az igazgatóság, amely még soha nem látott 24 órás kiberbejelentési határidőt, nincs felkészülve határokon átnyúló válságra.

Következő lépések a Clarysec-kel

Az uniós kiberbiztonság jövője az együttműködésről és a bizonyított bizalomról szól. Azok a szervezetek, amelyek a NIS2-t és a DORA-t elkülönített ellenőrzőlistaként kezelik, nehézségekkel fognak szembesülni határokon átnyúló incidensek során. Azok a szervezetek, amelyek bizonyítékokkal alátámasztott ISO/IEC 27001:2022 működési rendszereket építenek, magabiztosan tudnak válaszolni a szabályozóknak, ügyfeleknek, auditoroknak és válságreagálóknak.

A Clarysec segít a CISO-knak, megfelelőségi vezetőknek, auditoroknak és üzleti tulajdonosoknak abban, hogy az uniós kiberszabályozást auditfelkészültséget biztosító működési bizonyítékokká alakítsák az alábbiakkal:

  • Zenith Blueprint: az auditor 30 lépéses ütemterve a strukturált ISO/IEC 27001:2022 bevezetéshez és auditütemezéshez.
  • Zenith Controls: keretrendszerek közötti megfelelőségi útmutató az incidens-, hatósági, beszállítói, bizonyíték-, naplózási és folytonossági kontrollok keretrendszereken átívelő leképezéséhez.
  • Clarysec szabályzatsablonok, beleértve az Incidenskezelési szabályzatot, a Bizonyítékgyűjtési és forenzikai szabályzatot, a Harmadik fél és beszállítói biztonsági szabályzatot, az Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzatot, valamint KKV-verziókat ott, ahol az arányosság fontos.

A határokon átnyúló incidenskoordinációra való felkészülés legjobb időpontja a 03:17-es riasztás előtt van. A második legjobb időpont ma.

Kezdje egy Clarysec felkészültségi felülvizsgálattal, töltse le a releváns szabályzati eszköztárat, vagy kérjen bemutatót arról, hogyan segíthet a Zenith Blueprint és a Zenith Controls abban, hogy az Ön IBIR-je előállítsa azokat a bizonyítékokat, amelyeket a 2026-os kiberreziliencia meg fog követelni.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Biztonságos változáskezelés NIS2- és DORA-környezetben

Biztonságos változáskezelés NIS2- és DORA-környezetben

Gyakorlati, forgatókönyv-alapú útmutató a biztonságos változáskezeléshez az ISO/IEC 27001:2022, a Clarysec szabályzatok, a Zenith Blueprint és a Zenith Controls alkalmazásával, a NIS2, a DORA, a GDPR, a NIST CSF 2.0 és a 2026-os auditbizonyítékok támogatására.

DORA 2026 ütemterv az IKT-kockázatokhoz, a beszállítókhoz és a TLPT-hez

DORA 2026 ütemterv az IKT-kockázatokhoz, a beszállítókhoz és a TLPT-hez

Gyakorlati, auditra kész DORA 2026 ütemterv pénzügyi szervezetek számára az IKT-kockázatkezelés, a harmadik felek felügyelete, az incidensjelentés, a digitális működési rezilienciatesztelés és a TLPT bevezetéséhez Clarysec szabályzatok, a Zenith Blueprint és a Zenith Controls használatával.

ISO 27001 auditbizonyítékok NIS2- és DORA-megfelelőséghez

ISO 27001 auditbizonyítékok NIS2- és DORA-megfelelőséghez

Ismerje meg, hogyan használható az ISO/IEC 27001:2022 szerinti belső audit és vezetőségi átvizsgálás egységes bizonyítékmotorként a NIS2, DORA, GDPR, beszállítói kockázatkezelés, ügyfélbizonyosság és vezető testületi elszámoltathatóság támogatására.