EUCS felhőtanúsítási bizonyítékok a 2026-os auditokhoz
A tárgyalótermi projektor fénye megvilágította Amelia arcát, miközben a „2026-os megfelelési horizont” című diát nézte. Egy gyorsan növekvő fintech vállalat információbiztonsági vezetőjeként három mozaikszó szerepelt a képernyőn, mögöttük pedig ugyanaz a visszatérő működési probléma: a NIS2, a DORA és a GDPR egyaránt ugyanazokra a felhőplatformokra mutatott vissza.
A DORA auditor azokat a bizonyítékokat kérte, amelyek igazolják a fizetési alkalmazásokat kiszolgáló felhőszolgáltatások harmadik fél IKT-szolgáltatókkal kapcsolatos kockázatkezelését. A NIS2 szerinti illetékes hatóság a vállalatot fontos szervezetként sorolta be, és azt kérdezte, hogyan irányítják az ellátási lánc biztonságát. Az adatvédelmi tisztviselő egy olyan GDPR-felülvizsgálatra készült, amely az adatfeldolgozói biztonságra, az adattárolás földrajzi helyére és az incidensre való felkészültségre összpontosított. Ezután a beszerzés továbbított egy rövid e-mailt egy felhőalapú analitikai szolgáltatótól:
„EUCS tanúsításra készülünk. Ez kiválthatja az Önök beszállítói biztonsági felülvizsgálatát?”
Egy elfoglalt információbiztonsági vezető, megfelelőségi vezető vagy alapító számára a csábító válasz az igen. Egy európai felhőkiberbiztonsági tanúsítás pontosan olyan bizonyítéknak tűnik, amely csökkenti a kérdőívek számát, megnyugtatja az auditorokat, és kielégíti az ügyfelek elvárásait.
A helyesebb válasz ennél pontosabb: az EUCS felhőtanúsítás erős felhőszolgáltatói bizonyossági bizonyítékká válhat, de csak akkor, ha be van építve a saját ISO/IEC 27001:2022 szerinti kockázatértékelésbe, alkalmazhatósági nyilatkozatba, beszállítói nyilvántartásba, felhőszolgáltatási nyilvántartásba, szerződéses kontrollokba, incidenskezelési forgatókönyvekbe és GDPR szerinti elszámoltathatósági nyilvántartásokba.
Ez a különbség lényeges. A NIS2 az ellátási lánc biztonságát és a digitális infrastruktúra rezilienciáját felügyeleti kérdéssé teszi. A DORA alapján a pénzügyi szervezetek akkor is felelősek maradnak a harmadik fél IKT-szolgáltatókkal kapcsolatos kockázatokért, ha a felhőszolgáltatásokat kiszervezik. A GDPR előírja, hogy az adatkezelők és adatfeldolgozók igazolni tudják az elszámoltatható, jogszerű és biztonságos adatkezelést. Az ISO/IEC 27001:2022 hatályhoz kötött, kockázatalapú irányítási rendszert követel meg, amely figyelembe veszi a jogi, szabályozási, szerződéses és harmadik felektől való függőségeket.
Az EUCS nem szünteti meg ezeket a kötelezettségeket. Strukturált bizonyítéktárgyat ad, amely értékelhető, egységesíthető, megkérdőjelezhető és újra felhasználható.
A Clarysec megközelítése egyszerű: az EUCS-t magas értékű beszállítói bizonyossági bemenetként kell kezelni, nem megfelelési rövidútként. A Zenith Controls: keresztmegfelelési útmutató felhőbizonyossági klasztere az ISO/IEC 27002:2022 5.23 kontrollal, a felhőszolgáltatások használatával kapcsolatos információbiztonsággal indul, és összekapcsolja azt az 5.20 kontrollal, az információbiztonság kezelésével a beszállítói megállapodásokban, valamint az 5.22 kontrollal, a beszállítói szolgáltatások monitorozásával, felülvizsgálatával és változáskezelésével. Ez a három kontroll adja az igazolható EUCS-bizonyítékfelülvizsgálat gerincét.
Miért nem működik már a felhőbizonyosság a NIS2, a DORA és a GDPR alatt
2026-ra a felhőbizonyosság már nem pusztán beszerzési munkafolyamat. Igazgatósági, szabályozói és audittéma.
A NIS2 irányelv, az (EU) 2022/2555 irányelv, kibővíti az alapvető és fontos szervezetek kiberbiztonsági kötelezettségeit. Hatálya számos olyan ágazatra kiterjed, amely erősen támaszkodik felhőszolgáltatásokra, digitális infrastruktúra-környezetébe pedig beletartoznak a felhőszolgáltatók, adatközponti szolgáltatók, tartalomszolgáltató hálózatok, bizalmi szolgáltatók, DNS-szolgáltatók és TLD-névtárak. A felügyelt szolgáltatók és a felügyelt biztonsági szolgáltatók szintén kiemelt figyelmet kapnak.
Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket ír elő, beleértve a kockázatelemzést, az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, a biztonságos beszerzést és fejlesztést, a sérülékenységek kezelését, az eredményesség értékelését, a kiberhigiéniát, a kriptográfiát, a hozzáférés-szabályozást, az eszközkezelést és a hitelesítést. Article 23 szakaszos incidensbejelentési elvárásokat hoz létre, beleértve a 24 órán belüli korai figyelmeztetést és a 72 órán belüli incidensbejelentést, az irányelv és a nemzeti átültetés függvényében. Article 24 bizonyos körülmények között lehetővé teszi a tagállamok számára, hogy előírják európai kiberbiztonsági tanúsítási rendszerek szerint tanúsított IKT-termékek, -szolgáltatások vagy -folyamatok használatát. Article 25 ösztönzi a releváns európai és nemzetközi szabványok használatát.
A DORA, az (EU) 2022/2554 rendelet, a pénzügyi szervezetek számára még közvetlenebb. 2025. január 17-től előírja a pénzügyi szervezeteknek az IKT-kockázatok kezelését, a jelentős IKT-vonatkozású incidensek bejelentését, a digitális működési reziliencia tesztelését és a harmadik fél IKT-szolgáltatókkal kapcsolatos kockázatok irányítását. A hatálya alá tartozó szervezetek esetében a DORA ágazatspecifikus uniós jogi aktusként működik azon kiberbiztonsági kötelezettségek tekintetében, amelyek átfednek a NIS2 nemzeti szabályaival.
A DORA nem engedi a felelősség kiszervezését. Articles 28 to 30 előírják a pénzügyi szervezetek számára a kellő gondosság elvégzését, a koncentrációs kockázat értékelését, a szerződéses megállapodások nyilvántartásának fenntartását, kötelező szerződéses védelmi intézkedések beépítését, az auditálási és hozzáférési jogok megőrzését, az incidenskezelési támogatás biztosítását, az illetékes hatóságokkal való együttműködést, valamint kilépési stratégiák fenntartását a kritikus vagy fontos funkciókat támogató IKT-szolgáltatásokra.
A GDPR, az (EU) 2016/679 rendelet, hozzáadja az elszámoltathatósági és adatvédelmi réteget. Article 5 előírja, hogy az adatkezelők feleljenek meg az adatvédelmi elveknek, és képesek legyenek a megfelelés igazolására. Article 28 az adatfeldolgozói kapcsolatokra vonatkozik, és megköveteli, hogy az adatfeldolgozók megfelelő garanciákat nyújtsanak. Article 32 megfelelő technikai és szervezési intézkedéseket ír elő az adatkezelés biztonságának biztosítására.
Az eredmény konvergenciaprobléma. Egyetlen felhőszolgáltató lehet DORA szerinti kritikus harmadik fél IKT-szolgáltató, közvetlen beszállító egy NIS2 szerinti ellátási láncban, valamint adatfeldolgozó vagy al-adatfeldolgozó a GDPR alapján. Ha a bizonyosságot egymástól elszigetelt kérdőívekkel, tanúsítási PDF-ekkel és szerződéses mappákkal kezelik, minden audit rekonstrukciós feladattá válik.
Az EUCS csökkentheti ezt a káoszt, de csak akkor, ha irányított bizonyítékmodellbe épül be.
Mit tud igazolni az EUCS, és mit nem
Az EU Cloud Services Cybersecurity Certification Scheme, közismert nevén EUCS, európai felhőbizonyossági mechanizmust kíván biztosítani a tágabb uniós kiberbiztonsági tanúsítási keretrendszerben. Gyakorlati értéke nem önmagában a címkében rejlik. Az érték az alapul szolgáló tanúsítvány hatályában, bizonyossági szintjében, az értékelt szolgáltatásokban, régiókban, jogi személyekben, értékelési határokban, érvényességi időszakban és felügyeleti modellben van.
A megfelelő felhőbizonyossági kérdés nem egyszerűen az, hogy „Van ennek a szolgáltatónak EUCS-e?” Hanem ez:
- Pontosan mely felhőszolgáltatások tartoznak a hatály alá?
- Mely régiók, adathelyek és jogi személyek tartoznak a hatály alá?
- Melyik bizonyossági szint alkalmazandó?
- Milyen értékelési módszert alkalmaztak?
- A megosztott felelősség mely elemei maradnak az ügyfélnél?
- Milyen bizonyítékok adhatók át ügyfeleknek, szabályozó hatóságoknak és auditoroknak?
- Hogyan érinti a tanúsítvány az auditálási jogot, az incidensbejelentést, az alvállalkozói átláthatóságot és a kilépési tervezést?
Egy felhőtanúsítvány ritkán fedi le az Ön konfigurációját. Ha a szervezet letiltja az MFA-t, nyilvánosan elérhetővé teszi a tárhelyet, túlzott adminisztrátori hozzáférést ad, elmulasztja az emelt jogosultságú hozzáférés naplózását, vagy hibásan konfigurálja a régiókat, a szolgáltató tanúsítása nem menti meg az auditot.
Ezért az EUCS bizonyítékmátrixba való, nem piedesztálra. Támogathatja a szolgáltatói oldali bizonyosságot, de a szervezetnek továbbra is igazolnia kell saját irányítási, konfigurációs, szerződéses és felügyeleti kontrolljait.
A Zenith Blueprint: auditálói 30 lépéses ütemterv ezt egyértelművé teszi a Kockázatkezelés szakasz 13. lépésében, a kockázatkezelési tervezés és alkalmazhatósági nyilatkozat résznél:
Az SoA lényegében összekötő dokumentum: összekapcsolja a kockázatértékelést és kockázatkezelést a ténylegesen alkalmazott kontrollokkal. Kitöltése közben azt is ellenőrzi, hogy kimaradt-e bármilyen kontroll.
Ez a helyes gondolkodási modell az EUCS-re. A tanúsítvány beszállítói bizonyíték. Az alkalmazhatósági nyilatkozat magyarázza el, hogy a kapcsolódó kontrollok miért alkalmazhatók, a szervezet hogyan valósította meg a megosztott felelősség rá eső részét, mely beszállítói bizonyítékokat fogadta el, és milyen maradványkockázatok maradtak fenn.
Az ISO 27001 mint az EUCS-bizonyítékok gerince
Az ISO/IEC 27001:2022 helyet ad az EUCS-nek. Követelményei előírják a szervezetek számára a belső és külső tényezők megértését, az érdekelt felek és követelményeik azonosítását, az IBIR alkalmazási területének meghatározását, a vezetői felelősségek kijelölését, a kockázatok értékelését, a kontrollok kiválasztását, az alkalmazhatósági nyilatkozat fenntartását és a folyamatos fejlesztést.
Felhőbizonyosság esetén az EUCS-nek legalább hat IBIR-artefaktumban meg kell jelennie.
| IBIR-artefaktum | Hogyan kell használni az EUCS-t | Auditori kérdés |
|---|---|---|
| IBIR alkalmazási területe | A felhőszolgáltatások, régiók, jogi személyek, ügyféladatok és kiszervezett függőségek azonosítása | Tartalmazza-e az IBIR a lényeges felhőfüggőségeket és kiszervezett szolgáltatásokat? |
| Kockázati nyilvántartás | A szolgáltatói kiesés, hibás konfiguráció, adathely, alvállalkozó és incidensbejelentési kockázatok rögzítése | Értékelték-e a felhőkockázatokat üzleti hatás és megosztott felelősség alapján? |
| Beszállítói átvilágítás | Az EUCS bizonyítékként való használata, majd a hatály, a bizonyossági szint, az érvényesség és a hiányosságok ellenőrzése | Lefedi-e a tanúsítvány pontosan az igénybe vett szolgáltatást? |
| Alkalmazhatósági nyilatkozat | A felhő-, beszállítói, hozzáférési, naplózási, incidens- és folytonossági kontrollok összekapcsolása a kockázatokkal és jogszabályokkal | Indokolt és visszakövethető-e a kontrollkiválasztás? |
| Felhőszolgáltatási nyilvántartás | A szolgáltató, cél, adattípusok, helyek, hozzáférés és szerződéses adatok rögzítése | Azonosítani tudja-e a szervezet az összes jóváhagyott felhőszolgáltatást? |
| Szerződéses és auditdosszié | A tanúsítás, megállapodások, auditálási jogok, bejelentési feltételek, alvállalkozói feltételek és kilépési rendelkezések tárolása | Igazolni tudja-e a szervezet a kikényszeríthető beszállítói kötelezettségeket? |
A Clarysec szabályzatkönyvtára ezeket a követelményeket működési fegyelemmé alakítja.
A KKV-k számára készült Felhőszolgáltatások használatára vonatkozó szabályzat – KKV Irányítási követelmények című szakaszának 5.2 pontja alapkövetelményeket határoz meg a jóváhagyott felhőszolgáltatásokra:
A jóváhagyott felhőszolgáltatásoknak meg kell felelniük az alábbi alapkövetelményeknek: 5.2.1 A szolgáltató erős rendelkezésre állási és biztonsági reputációval rendelkezik 5.2.2 A többtényezős hitelesítés (MFA) támogatott és bekapcsolható 5.2.3 Az adattárolás földrajzi helyére és az adatvédelemre vonatkozó gyakorlatok megfelelnek az alkalmazandó jogi követelményeknek (pl. GDPR) 5.2.4 A szolgáltatás biztonságos hozzáférés-szabályozási, naplózási és adatvédelmi képességeket biztosít
Egy EUCS tanúsítvány támogathatja az 5.2.1 pontot, valamint az 5.2.3 és 5.2.4 egyes elemeit. Nem igazolja azonban, hogy az Ön tenantjában be van kapcsolva az MFA, konfigurálva van a naplózás, kikényszerítették az adattárolási helyet, vagy felülvizsgálták az adminisztrátori hozzáféréseket.
Nagyobb szervezeteknél az Enterprise Felhőszolgáltatások használatára vonatkozó szabályzat Irányítási követelmények című szakaszának 5.2 pontja magasabb követelményszintet állít:
Minden felhőhasználatot aktiválás előtt kockázatalapú kellő gondossági vizsgálatnak kell alávetni, beleértve a szolgáltató értékelését, a jogi megfelelés ellenőrzését és a kontrollok ellenőrzésére irányuló felülvizsgálatokat.
Ez az a szabályzati álláspont, amelyet minden EUCS-felülvizsgálatnak követnie kell: szolgáltatóértékelés, jogi megfelelés ellenőrzése és kontroll-ellenőrzés, nem vak elfogadás.
Az EUCS megfeleltetése ISO 27001, NIS2, DORA és GDPR követelményeknek
Az EUCS akkor válik auditálásra alkalmas bizonyítékká, ha a tanúsítvány tényeit kötelezettségekhez rendelik. Az információbiztonsági vezetőnek olyan keresztmegfelelési felhőbizonyossági mátrixot kell kialakítania, amely a szolgáltatói bizonyítékokat újrahasznosítható kontrollbizonyítékká fordítja le.
| EUCS bizonyítékelem | ISO 27001 és ISO 27002 relevancia | NIS2 relevancia | DORA relevancia | GDPR relevancia |
|---|---|---|---|---|
| Tanúsítvány hatálya és lefedett szolgáltatások | Támogatja a beszállítói kockázatértékelést és az 5.19, 5.20, 5.22 és 5.23 kontrollokat | Támogatja az ellátási lánc biztonságát és a tanúsítási bizonyítékokat | Támogatja az IKT-szolgáltató kellő gondossági vizsgálatát és a nyilvántartás pontosságát | Támogatja az adatfeldolgozó és al-adatfeldolgozó értékelését |
| Bizonyossági szint és értékelési módszer | Támogatja a kontrollok ellenőrzését és az SoA indokolását | Megmutatja a kockázathoz és a szolgáltatás kritikusságához viszonyított arányosságot | Támogatja a kritikus vagy fontos funkciók értékelését | Támogatja a felhőben tárolt személyes adatokra vonatkozó elszámoltathatóságot |
| Adathelyre és joghatóságra vonatkozó bizonyítékok | Támogatja a jogi, szabályozási és szerződéses követelmények feltérképezését | Támogatja a szolgáltatás-folytonosságot és az ellátási lánc kockázatelemzését | Támogatja a koncentrációs és alvállalkozói kockázat értékelését | Támogatja az adattárolási hely és az adattovábbítási kockázat elemzését |
| Incidensbejelentési vállalások | Támogatja az incidens-tervezést és a beszállítói megállapodások kontrolljait | Támogatja a jelentős incidensek bejelentésére való felkészültséget | Támogatja a jelentős IKT-incidensek bejelentési függőségeit | Támogatja a személyesadat-sértésre való reagálási felkészültséget |
| Alvállalkozói és ellátásilánc-bizonyítékok | Támogatja a beszállítói monitorozást és változáskezelést | Támogatja a beszállítóspecifikus sérülékenységértékelést | Támogatja az alvállalkozói lánc és a koncentrációs kockázat elemzését | Támogatja az adatfeldolgozói lánc elszámoltathatóságát |
| Kilépési és adat-visszaadási bizonyítékok | Támogatja a folytonosságot, a megszüntetést és a biztonságos adatkezelést | Támogatja az összes veszélyre kiterjedő rezilienciát és folytonosságot | Támogatja a kritikus IKT-szolgáltatások tesztelt kilépési stratégiáit | Támogatja a törlésre, megőrzésre és adatkezelési korlátozásra vonatkozó bizonyítékokat |
Ez a táblázat nem csak megfelelőségi dokumentációra szolgál. Híd a szolgáltató bizonyossága és a szervezet elszámoltathatósága között.
A NIS2 azt kérdezi, hogy a szervezet megfelelő és arányos intézkedéseket tett-e. A DORA azt vizsgálja, hogy a pénzügyi szervezet kellő gondossággal, szerződésekkel, nyomon követéssel és kilépési tervezéssel irányítja-e a harmadik fél IKT-szolgáltatókkal kapcsolatos kockázatokat. A GDPR azt kérdezi, hogy a személyes adatok kezelése jogszerű, biztonságos és igazolható-e. Az ISO/IEC 27001:2022 azt várja el, hogy mindez kockázatalapú irányítási rendszerbe integrálódjon.
Gyakorlati példa: EUCS felülvizsgálata egy felhőalapú analitikai szolgáltatónál
Térjünk vissza Amelia fintech vállalatához, a Northstar Payhez. A vállalat csalásdetektálási és tranzakciós jelentési célokra szeretne bevezetni egy felhőalapú analitikai platformot. A szolgáltató bemutat egy EUCS tanúsítványt, és azt állítja, hogy ennek elegendőnek kell lennie a biztonsági felülvizsgálathoz.
A Clarysec hat lépésben strukturálná a bizonyítékok felülvizsgálatát.
1. lépés: A felhőszolgáltatási nyilvántartás frissítése
A Felhőszolgáltatások használatára vonatkozó szabályzat – KKV Irányítási követelmények című szakaszának 5.3 pontja olyan nyilvántartást ír elő, amely rögzíti a felhőszolgáltatás nevét, célját, felelős tulajdonosát, adattípusait, országát vagy régióját, hozzáférési jogosultságait, adminisztrátori fiókjait, szerződéses adatait, megújítási dátumait és támogatási kapcsolattartóit.
Vállalati környezetben a Felhőszolgáltatások használatára vonatkozó szabályzat Irányítási követelmények című szakaszának 5.1 pontja a tulajdonosi felelősséggel indul:
A szervezetnek központi Felhőszolgáltatási Nyilvántartást kell fenntartania, amelynek tulajdonosa az információbiztonsági vezető, és amely tartalmazza:
A Northstar Pay a szolgáltatást jóváhagyás előtt rögzíti, nem az éles indulás után.
| Nyilvántartási mező | Példabejegyzés |
|---|---|
| Felhőszolgáltatás | Szolgáltatói analitikai platform |
| Üzleti cél | Csalásanalitika és tranzakciós trendjelentés |
| Alkalmazástulajdonos | Adatplatformok vezetője |
| Adattípusok | Ügyfélazonosítók, tranzakciós metaadatok, álnevesített analitikai események |
| Adathely | Csak EU-régió, szerződésben korlátozva |
| Hozzáférés | SSO, MFA, névre szóló adminisztrátori fiókok, legkisebb jogosultság elvén alapuló szerepkörök |
| Bizonyíték | EUCS tanúsítvány, ISO 27001 tanúsítvány, biztonsági összefoglaló, adatfeldolgozási szerződés, szerződés, al-adatfeldolgozói lista |
| Felülvizsgálat dátuma | Éves felülvizsgálat, valamint felülvizsgálat lényeges szolgáltatásváltozás esetén |
2. lépés: A tanúsítvány hatályának ellenőrzése
A csapat ellenőrzi, hogy az EUCS tanúsítvány lefedi-e pontosan azt az analitikai szolgáltatást, bevezetési modellt, régiót és jogi személyt, amelyet a Northstar Pay használni fog. Ha a tanúsítvány infrastruktúra-szolgáltatásokat fed le, de kizárja az analitikai modult, a bizonyíték értéke korlátozott.
Sok audit itt bukik el. A szolgáltató azt mondja, hogy „tanúsított”, de az ügyfél nem tudja igazolni, hogy a tanúsítvány alkalmazandó a szabályozott adatokat kezelő szolgáltatásra.
3. lépés: Az EUCS hozzárendelése a kockázatkezeléshez és az SoA-hoz
A Zenith Blueprint 13. lépését használva a Northstar Pay beilleszti a tanúsítványt a kockázati nyilvántartásba és az alkalmazhatósági nyilatkozatba.
| Kockázati forgatókönyv | Az EUCS bizonyíték értéke | Továbbra is szükséges ügyféloldali kontroll |
|---|---|---|
| Jogosulatlan hozzáférés az analitikai adatokhoz | Támogatja a szolgáltatói infrastruktúra biztonsági bizonyosságát | SSO, MFA, RBAC, adminisztrátori felülvizsgálat és naplózás kikényszerítése |
| Adatok tárolása a jóváhagyott régión kívül | Támogathatja a szolgáltatói helymeghatározási kontrollokat | Szerződéses, kizárólag EU-n belüli tárolás, tenantkonfiguráció és időszakos ellenőrzés |
| A szolgáltató késedelmesen jelenti az incidenst | Támogathatja az incidensfolyamat-bizonyosságot | Szerződéses bejelentési határidők, eszkalációs kapcsolattartók és incidenskezelési forgatókönyv |
| Az al-adatfeldolgozó változása módosítja a kockázatot | Támogathatja az ellátási lánc irányítását | Szerződéses jóváhagyási jogok, al-adatfeldolgozói nyomon követés és újraértékelés |
| Felhőszolgáltatás-kiesés érinti a jelentéstételt | Támogathatja a rendelkezésre állási kontrollokat | Üzletmenet-folytonossági terv, RTO- és RPO-elemzés, biztonsági mentési vagy exportstratégia |
Az SoA ezt követően az ISO/IEC 27002:2022 5.20, 5.22 és 5.23 kontrolljait alkalmazhatónak rögzíti, mert a szervezet felhőszolgáltatásokat használ szabályozott adatkezeléshez és fontos analitikai munkafolyamatokhoz.
4. lépés: Szerződéses kikötések és auditálási jogok megerősítése
A KKV Harmadik fél és beszállítói biztonsági szabályzat – KKV Irányítási követelmények című szakaszának 5.3 pontja kötelező szerződéses kikötéseket ír elő:
A szerződéseknek kötelező kikötéseket kell tartalmazniuk az alábbiakra: 5.3.1 Titoktartás és nyilvánosságra hozatal tilalma 5.3.2 Információbiztonsági kötelezettségek 5.3.3 Adatsértés-bejelentési határidők (pl. 24–72 órán belül) 5.3.4 Auditálási jogok vagy megfelelőségi bizonyítékok rendelkezésre állása 5.3.5 További alvállalkozásba adás korlátozása jóváhagyás nélkül 5.3.6 Megszüntetési feltételek, beleértve az adatok biztonságos visszaadását vagy megsemmisítését
Az EUCS-bizonyítékok és a szerződéses jogok eltérő célt szolgálnak. A tanúsítvány bizonyosságot támogat. A szerződés kikényszeríthetőséget teremt.
Az Enterprise Harmadik fél és beszállítói biztonsági szabályzat A szabályzat végrehajtásának követelményei című szakaszának 6.1.2.2 pontja kifejezetten tartalmazza:
Auditjelentések felülvizsgálata (pl. SOC 2, ISO 27001, ISAE 3402)
Az EUCS ebbe a bizonyítékcsaládba tartozik, más bizonyossági jelentések mellé. Nem válthatja ki a szerződés-felülvizsgálatot, az auditálási jogokat, az incidenskezelési támogatást vagy a DORA által előírt kilépési stratégiai kikötéseket.
5. lépés: Az adattárolási hely kikényszerítése szabályozott adatoknál
A Felhőszolgáltatások használatára vonatkozó szabályzat A szabályzat végrehajtásának követelményei című szakaszának 6.6.2 pontja kimondja:
Az adattárolás földrajzi helyére vonatkozó követelményeket szerződésben kell kikényszeríteni (pl. csak EU-n belüli tárolás GDPR hatálya alá tartozó adatok esetén).
A GDPR szerinti elszámoltathatósághoz hasznos egy olyan tanúsítvány, amely regionális kontrollokat ír le. Ez azonban továbbra sem elég. A Northstar Paynek szüksége van az adatfeldolgozási szerződésre, a szerződéses, kizárólag EU-n belüli tárolási kikötésre, a tenantkonfiguráció bizonyítékaira és a változások nyomon követésére szolgáló módszerre.
Ha az analitikai platform lehetővé teszi az adminisztrátoroknak a régiók kiválasztását, az auditdossziénak tartalmaznia kell konfigurációs képernyőképeket, exportált beállításokat vagy más nyilvántartásokat, amelyek igazolják a jóváhagyott EU-régiót.
6. lépés: Éves és eseményvezérelt felülvizsgálatok ütemezése
A Harmadik fél és beszállítói biztonsági szabályzat – KKV A szabályzat végrehajtásának követelményei című szakaszának 6.3.1 pontja előírja a kritikus vagy magas kockázatú beszállítók éves felülvizsgálatát a biztonságos hozzáférési módszerek, érvényes biztonsági tanúsítások vagy frissített kontrollbizonyítékok, incidenselőzmények és szerződéses megfelelés ellenőrzésére.
A felülvizsgálatot akkor is el kell indítani, ha a szolgáltató alvállalkozókat, régiókat, szolgáltatásokat, identitásarchitektúrát, titkosítási modellt, incidenselőzményeket vagy tanúsítványi státuszt módosít. A bizonyossági bizonyítékok elavulnak, a beszállítói kockázat pedig nem statikus.
A Clarysec EUCS-bizonyítékcsomag
Egy érett EUCS-bizonyossági csomag többet tartalmaz, mint a tanúsítvány PDF-et. A Clarysec hét szakaszba rendezi a bizonyítékokat.
| Bizonyítékszakasz | Tartalom | Miért fontos |
|---|---|---|
| 1. Felhőjóváhagyás | Üzleti indoklás, tulajdonos, kockázati besorolás, jóváhagyási döntés | Igazolja a felhőszolgáltatások kontrollált beszerzését és használatát |
| 2. Szolgáltatói bizonyosság | EUCS tanúsítvány, egyéb tanúsítások, biztonsági áttekintés, megosztott felelősségi modell | Igazolja a beszállítói biztonsági bizonyítékokat és a hatályt |
| 3. Jogi és adatvédelem | Adatfeldolgozási szerződés, adattárolási helyre vonatkozó feltételek, al-adatfeldolgozói lista, jogszerű adatkezelési megfeleltetés | Támogatja a GDPR szerinti elszámoltathatóságot és a szerződéses követelményeket |
| 4. Technikai konfiguráció | MFA, SSO, RBAC, titkosítás, naplózás, biztonsági mentés, hálózati korlátozások | Igazolja a megosztott felelősség ügyféloldali részét |
| 5. Beszállítói szerződés | Biztonsági kötelezettségek, auditbizonyítékokhoz való jogok, incidensbejelentés, alvállalkozásba adás, megszüntetés | Támogatja az ISO, NIS2 és DORA szerinti beszállítói irányítást |
| 6. Incidens és reziliencia | Szolgáltatói eszkalációs útvonal, forgatókönyv-integráció, RTO és RPO, tesztnyilvántartások | Támogatja a NIS2 szerinti jelentéstételt és a DORA szerinti működési rezilienciát |
| 7. Nyomon követés és felülvizsgálat | Éves felülvizsgálat, tanúsítvány érvényessége, incidensek, szolgáltatásváltozások, kivételek | Támogatja a beszállítók folyamatos nyomon követését és a folyamatos fejlesztést |
A Jogi és szabályozói megfelelési szabályzat A szabályzat végrehajtásának követelményei című szakaszának 6.2.1 pontja rögzíti a működési alapelvet:
Minden jogi és szabályozási kötelezettséget konkrét szabályzatokhoz, kontrollokhoz és tulajdonosokhoz kell rendelni az információbiztonság-irányítási rendszeren (ISMS) belül.
Ez a különbség a tanúsítványok gyűjtése és az igazolható megfelelési működési modell kialakítása között.
Incidens- és rezilienciabizonyítékok: ahol az EUCS nem elég
A NIS2 és a DORA egyaránt komoly tesztnek tekinti az incidens- és rezilienciakészültséget a felhőirányításban.
Egy felhőszolgáltató EUCS tanúsítványa igazolhatja, hogy a szolgáltatónak vannak incidenskezelési kontrolljai. A szervezetnek azonban továbbra is tudnia kell, ki kapja az értesítéseket, hogyan történik a riasztások elsődleges értékelése, hogyan őrzik meg a bizonyítékokat, hogyan értékelik a személyes adatokra gyakorolt hatást, és ki kommunikál a szabályozó hatóságokkal, ügyfelekkel és belső vezetőkkel.
A NIS2 esetében a szolgáltatói bejelentési feltételeknek támogatniuk kell a korai figyelmeztetési és incidensbejelentési kötelezettségeket. A DORA esetében a felhőincidenseknek be kell épülniük az IKT-vonatkozású incidensek osztályozási, eszkalációs, jelentési és ügyfélkommunikációs folyamataiba. A GDPR esetében az adatsértési munkafolyamatnak támogatnia kell annak értékelését, hogy történt-e személyesadat-sértés, és szükséges-e bejelentés a felügyeleti hatóságnak vagy az érintett személyeknek.
A NIST CSF 2.0 itt integrációs nyelvként hasznos. GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND és RECOVER funkciói segítenek a szervezeteknek a jogi kötelezettségeket és technikai kontrollokat működési eredményekre lefordítani. Ellátásilánc-eredményei megkövetelik, hogy a beszállítók ismertek, priorizáltak, szerződésesen irányítottak, monitorozottak legyenek, szerepeljenek az incidens-tervezésben, és a megszüntetéskor kezeltek legyenek. Reagálási és helyreállítási eredményei lefedik a triage-t, az eszkalációt, a harmadik felekkel való koordinációt, az érdekelt felek értesítését, a helyreállítás végrehajtását és a helyreállítás ellenőrzését.
A tanúsítvány az aktába kerül. A forgatókönyv igazolja a felkészültséget.
Hogyan tesztelik az auditorok az EUCS-bizonyítékokat
A különböző auditorok eltérő szempontokból közelítik meg a felhőbizonyosságot. A keresztmegfelelési bizonyítékmodell megakadályozza, hogy ugyanazokat a tényeket minden felülvizsgálatnál újra össze kelljen állítani.
| Auditszempont | Mire fókuszál az auditor | Milyen bizonyítékot vár |
|---|---|---|
| ISO 27001 auditor | IBIR alkalmazási terület, kockázatértékelés, SoA, beszállítói kontrollok, felhőirányítás, folyamatos fejlesztés | Felhőszolgáltatási nyilvántartás, kockázati nyilvántartás, SoA, beszállítói értékelés, szerződés, konfigurációs nyilvántartások, felülvizsgálati bizonyítékok |
| NIS2 felügyelő vagy értékelő | Vezetői jóváhagyás, Article 21 szerinti intézkedések, ellátási lánc biztonsága, incidensbejelentésre való felkészültség | Igazgatósági jelentések, beszállítói kockázatelemzés, incidenskezelési forgatókönyv, üzletmenet-folytonossági bizonyítékok, értesítési munkafolyamat |
| DORA auditor | Harmadik fél IKT-szolgáltatói nyilvántartás, kritikus vagy fontos funkció értékelése, szerződések, auditálási jogok, kilépési tervek, rezilienciatesztelés | IKT-szerződésnyilvántartás, kellő gondosság, koncentrációs kockázatelemzés, Article 30 szerződéses kikötések, tesztnyilvántartások, kilépési stratégia |
| GDPR felülvizsgáló | Elszámoltathatóság, adatkezelési cél, adatkategóriák, adathely, biztonság, adatsértésre való felkészültség | RoPA bemenetek, adatfeldolgozási szerződés, adattárolási helyre vonatkozó feltételek, hozzáférés-szabályozási kontrollok, adatsértés-értékelési munkafolyamat, adatfeldolgozói bizonyítékok |
| NIST CSF értékelő | Current és Target Profile-ok, irányítás, ellátásilánc-kockázatkezelés, monitorozás, reagálás és helyreállítás | Profile hiányelemzés, beszállítói életciklus-nyilvántartások, monitorozási jelentések, incidensgyakorlatok, helyreállítás ellenőrzése |
| COBIT 2019 vagy ISACA auditor | Irányítási célkitűzések, vezetői elszámoltathatóság, szolgáltatói felügyelet, kockázatoptimalizálás, megfelelés nyomon követése | Irányítási jegyzőkönyvek, kontrolltulajdonosi felelősség, teljesítménymutatók, harmadik fél felügyeleti nyilvántartások, megfelelési irányítópult |
A Zenith Blueprint Kontrollok a gyakorlatban szakaszának 23. lépése figyelmeztet, hogy a felhőkontrollokat különösen alaposan vizsgálják:
Ezt a kontrollt gyakran kiemelten vizsgálják. Az auditorok meg fogják kérdezni:
✓ „Mely felhőszolgáltatásokat használják?” ✓ „Ki hagyta jóvá ezeket?” ✓ „Hogyan biztosítják az adatok védelmét?”
Ezek a kérdések adják az EUCS-bizonyosság lényegét. Egy tanúsítvány segíthet megválaszolni, hogyan bizonyított a szolgáltatói oldali védelem, de nem tudja megválaszolni, mely szolgáltatásokat használják vagy ki hagyta jóvá őket, ha a felhőszolgáltatási nyilvántartás és a jóváhagyási munkafolyamat nem naprakész.
Gyakori EUCS-bizonyossági hibák, amelyeket el kell kerülni
Az első hiba az EUCS univerzális belépőként kezelése. Ez hatályhoz kötött bizonyíték. Ha a tanúsítvány nem fedi le a megvásárolt szolgáltatást, régiót, bevezetési modellt vagy jogi személyt, bizonyossági értéke korlátozott lehet.
A második hiba a szolgáltatói kontrollok összekeverése az ügyfélkontrollokkal. A szolgáltatói tanúsítás nem igazolja a tenant MFA-t, az RBAC-t, a naplózást, a titkosítási beállításokat, a biztonsági mentéseket, az adminisztrátori hozzáférés-felülvizsgálatokat vagy a monitorozást.
A harmadik hiba a DORA szerződéses követelményeinek figyelmen kívül hagyása. A pénzügyi szervezeteknek írásos jogokra és kötelezettségekre van szükségük, beleértve a szolgáltatásleírásokat, adathelyeket, információbiztonsági követelményeket, hozzáférési és auditálási jogokat, szolgáltatási szinteket, incidenskezelési támogatást, hatóságokkal való együttműködést, megszüntetési jogokat és kilépési stratégiákat a kritikus vagy fontos funkciókhoz.
A negyedik hiba a GDPR-bizonyítékok figyelmen kívül hagyása. Az adattárolási helyre vonatkozó szerződéses nyelvezet, az al-adatfeldolgozói átláthatóság, az adatsértés-kezelés, a jogszerű adatkezelés és az elszámoltathatósági nyilvántartások továbbra is szükségesek. Az EUCS támogathatja az Article 32 szerinti biztonsági bizonyítékokat, de nem határozza meg a jogalapot, az adatkezelési célt vagy a megőrzési szabályokat.
Az ötödik hiba a tanúsítványi státusz figyelésének elmulasztása. Ha a tanúsítás lejár, a hatály megváltozik, felügyeleti megállapítások jelennek meg, vagy a szolgáltató architektúrát módosít, a beszállítói kockázatfelülvizsgálatnak rögzítenie kell a változást.
Gyakorlati 2026-os EUCS-felülvizsgálati ellenőrzőlista
Használja ezt az ellenőrzőlistát, mielőtt az EUCS-t felhőszolgáltatói bizonyossági bizonyítékként elfogadja:
- Erősítse meg a tanúsítási rendszert, a bizonyossági szintet, a tanúsítvány jogosultját és az érvényességi időszakot.
- Erősítse meg a hatályba tartozó pontos szolgáltatásokat, régiókat, bevezetési modelleket és jogi személyeket.
- Hasonlítsa össze a tanúsítvány hatályát a felhőszolgáltatási nyilvántartásban szereplő bejegyzéssel.
- Rendelje a bizonyítékokat az ISO/IEC 27002:2022 5.20, 5.22 és 5.23 kontrollokhoz.
- Frissítse a kockázati nyilvántartást és az SoA-t a tanúsítvány bizonyítékaival és a maradványkockázattal.
- Ellenőrizze az ügyféloldali kontrollokat, különösen az identitáskezelést, az MFA-t, a naplózást, a titkosítást, a biztonsági mentéseket és az adminisztrátori hozzáférést.
- Erősítse meg az adattárolási helyre, al-adatfeldolgozókra, adatsértés-bejelentésre, auditbizonyítékokra és megszüntetésre vonatkozó kikötéseket.
- Kapcsolja össze az incidensbejelentési útvonalakat a NIS2, DORA és GDPR határidőkkel.
- Vizsgálja felül a koncentrációs kockázatot és a kilépési stratégiát a kritikus vagy fontos szolgáltatásoknál.
- Ütemezzen éves felülvizsgálatot és eseményvezérelt újraértékelést.
Tegye működőképessé az EUCS-bizonyítékokat az IBIR-en belül
Az EUCS felhőtanúsítás 2026-ban érdemben javíthatja a felhőszolgáltatói bizonyosságot. Csökkentheti a kérdőívfáradtságot, erősítheti a beszállítói átvilágítást, és támogathatja az ISO 27001, NIS2, DORA és GDPR bizonyítékokat. De csak akkor válik igazolhatóvá, ha be van építve az irányítási rendszerbe.
A Clarysec segít a szervezeteknek abban, hogy a felhőtanúsítási bizonyítékokat auditra alkalmas megfelelési működéssé alakítsák a Zenith Blueprint, a Zenith Controls, a Felhőszolgáltatások használatára vonatkozó szabályzat, a Felhőszolgáltatások használatára vonatkozó szabályzat – KKV, a Harmadik fél és beszállítói biztonsági szabályzat – KKV, a Harmadik fél és beszállítói biztonsági szabályzat és a Jogi és szabályozói megfelelési szabályzat segítségével.
Ha a 2026-os ütemtervében szerepel az EUCS, a NIS2-re való felkészülés, a DORA szerinti, harmadik fél IKT-szolgáltatókkal kapcsolatos kockázatkezelés, a GDPR szerinti felhőalapú adatkezelés vagy az ISO/IEC 27001:2022 tanúsítás, kezdjen egy gyakorlati lépéssel: építse fel a felhőszolgáltatási nyilvántartást, csatolja a szolgáltatói bizonyossági bizonyítékokat, és rendeljen hozzá minden kritikus felhőszolgáltatást a kockázatokhoz, szerződésekhez, kontrollokhoz és tulajdonosokhoz. Itt válik a felhőbizonyosság igazolhatóvá.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
