NIS2 szerinti vezető testületi felelősség: ISO 27001 bizonyítékok

Az e-mail hétfő reggel 08:15-kor érkezett Maria beérkező levelei közé. Egy gyorsan növekvő európai felhőszolgáltató információbiztonsági vezetőjeként (CISO) megszokta a sürgős üzeneteket, de ez másnak tűnt.

A pénzügyi vezető (CFO) egy ügyfélbiztonsági kérdőívet továbbított a vezérigazgatónak (CEO), az igazgatósági titkárnak és Mariának. A tárgy rövid volt: „Az NIS2 szerinti vezető testületi elszámoltathatóság bizonyítékai szükségesek a megújítás előtt.”

Az ügyfél nem egy újabb penetrációs tesztjelentést kért. Arra volt kíváncsi, hogy az igazgatóság jóváhagyta-e a kiberbiztonsági kockázatkezelési intézkedéseket, hogyan felügyelik a végrehajtást, a felsővezetők kaptak-e kiberkockázati képzést, hogyan eszkalálják a jelentős incidenseket, és hogyan vizsgálják felül vezetői szinten a beszállítói kockázatokat. A vezérigazgató egyetlen mondatot fűzött hozzá: „Maria, mekkora a kitettségünk, és hogyan igazoljuk a kellő gondosságot? Az igazgatóságnak erre jövő hétre szüksége van.”

Sok SaaS-, felhő-, MSP-, MSSP-, adatközpont-, fintech- és digitális infrastruktúra-szolgáltató számára ez az a pillanat, amikor az NIS2 valósággá válik. A 2022/2555 (EU) irányelv nem technikai részlegproblémaként kezeli a kiberbiztonságot. A kiberkockázatot vezető testületi elszámoltathatósági kérdéssé teszi.

Az NIS2 Article 20 előírja, hogy az alapvető és fontos szervezetek vezető testületei hagyják jóvá a kiberbiztonsági kockázatkezelési intézkedéseket, felügyeljék azok végrehajtását, és képzésen vegyenek részt. Azt is lehetővé teszi, hogy a tagállamok felelősséget állapítsanak meg a jogsértésekért. Az Article 21 ezután meghatározza a gyakorlati alapkövetelményeket: kockázatelemzés, biztonsági szabályzatok, incidenskezelés, üzletmenet-folytonosság, ellátási lánc biztonsága, biztonságos beszerzés és fejlesztés, eredményességértékelés, kiberhigiénia, képzés, kriptográfia, HR-biztonság, hozzáférés-szabályozás, eszközkezelés és hitelesítés.

Az ISO/IEC 27001:2022-t már használó szervezetek számára a struktúra ismerős. A különbség a célközönségben és a bizonyítási teherben van. A kérdés már nem pusztán az, hogy „Vannak-e biztonsági kontrolljaink?” Hanem az, hogy „Az igazgatóság bizonyítani tudja-e, hogy jóváhagyta, megértette, finanszírozta, felülvizsgálta, érdemben megkérdőjelezte és fejlesztette ezeket a kontrollokat?”

Itt válik az ISO/IEC 27001:2022 igazolható irányítási rendszerré. A Clarysec megközelítése szerint az ISO/IEC 27001:2022 adja a bizonyítékrendszer gerincét, a Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint a bevezetési útvonalat, a Clarysec szabályzatok az igazgatósági felhasználásra alkalmas dokumentumokat, a Zenith Controls: The Cross-Compliance Guide Zenith Controls pedig a keretrendszereken átívelő megfeleltetési útmutatót az NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 és az audit elvárásai között.

Miért változtatja meg az NIS2 szerinti vezető testületi felelősség a kiberbiztonsági párbeszédet

Az NIS2 nem azt várja el az igazgatóktól, hogy tűzfal-mérnökökké váljanak. Azt várja el, hogy irányítsanak. Ez lényeges különbség.

Egy információbiztonsági vezető bemutathat sérülékenységi jelentéseket, többtényezős hitelesítési lefedettséget, végpontvédelmi irányítópultokat és felhőbiztonsági állapotmutatókat. Ezek hasznos működési jelzések, de önmagukban nem igazolják automatikusan a vezető testületi felügyeletet. Egy szabályozó hatóság, vállalati ügyfél, tanúsító auditor vagy pénzügyi szektorbeli értékelő az irányítási bizonyítékok láncolatát fogja keresni:

1. A szervezet értékelte, hogy az NIS2 alkalmazandó-e rá, és dokumentálta az indoklást.
2. Az igazgatóság vagy a felső vezetés jóváhagyta a kiberbiztonsági kockázatkezelési keretrendszert.
3. Meghatározták a kockázatvállalási hajlandóságot és a kockázattűrési küszöbértékeket.
4. A magas kiberkockázatokat eszkalálták és felülvizsgálták.
5. Jóváhagyták a kockázatkezelési döntéseket, beleértve az elfogadott maradványkockázatot.
6. Az incidensjelentési eljárások tükrözik a 24 órás, 72 órás és végleges jelentési kötelezettségeket, ahol ezek alkalmazandók.
7. A beszállítói és felhőfüggőségeket feltérképezték és irányítják.
8. A vezetőségi átvizsgálás tartalmazza az auditmegállapításokat, az incidenstrendeket, a mutatókat és a fejlesztési intézkedéseket.
9. A felsővezetők az elszámoltathatóságuknak megfelelő képzésben részesültek.
10. A döntések, kivételek és eszkalációk visszakövethetők.

Itt vall kudarcot sok régi biztonsági forgatókönyv. Egy „NIS2-megfelelő” eszköz megvásárlása nem bizonyítja az igazgatósági felügyeletet. Egy szabályzat aláírása és irattárba helyezése nem igazolja a végrehajtást. A kiberbiztonság teljes átruházása az információbiztonsági vezetőre nem teljesíti a vezető testület felügyeleti kötelezettségét.

Az ISO/IEC 27001:2022 azért oldja meg ezt a problémát, mert az információbiztonságot a szervezeti folyamatokba integrált, stratégiai, kockázatalapú irányítási rendszerként kezeli. A kontextusra, érdekelt felekre, jogi kötelezettségekre, alkalmazási területre, vezetésre, kockázatértékelésre, kockázatkezelésre, működési kontrollra, teljesítményértékelésre, belső auditra, vezetőségi átvizsgálásra és folyamatos fejlesztésre vonatkozó pontjai megteremtik azt a struktúrát, amelyre az igazgatóságnak a kellő gondosság igazolásához szüksége van.

A Zenith Blueprint ezt az IBIR-alapozás és vezetés fázis 3. lépésében gyakorlati szintre emeli:

„Az 5.1 pont teljes egészében a vezetésről és az elkötelezettségről szól. Az ISO 27001 előírja, hogy a felső vezetés bizonyítsa vezetői szerepvállalását az IBIR támogatásával, erőforrások biztosításával, a tudatosság előmozdításával, a szerepkörök kijelölésének biztosításával, az IBIR üzleti folyamatokba történő integrálásával és a folyamatos fejlesztés támogatásával.”

Ez az NIS2 Article 20 mögötti működési modell. Az igazgatóságnak nem kell minden technikai jegyet jóváhagynia, de jóvá kell hagynia az irányítási modellt, meg kell értenie a lényeges kockázatokat, biztosítania kell az erőforrásokat, és felügyelnie kell a végrehajtást.

Az NIS2 által ténylegesen elvárt igazgatósági bizonyítékcsomag

Gyakori hiba, hogy az NIS2 bizonyítékait egy jogi feljegyzésre és egy szabályzatmappára szűkítik. Ez ritkán elégít ki egy komoly értékelőt. Az igazgatósági elszámoltathatósághoz aktív irányítás bizonyítéka szükséges, nem passzív dokumentáció.

Egy erős NIS2 igazgatósági bizonyítékcsomagnak össze kell kapcsolnia a jogi kötelezettségeket az igazgatósági döntésekkel, kontrollokkal és felülvizsgálati ciklusokkal.

Ennek a csomagnak az ereje a visszakövethetőség. Minden bizonyíték egy irányítási kérdésre válaszol, és egy ISO/IEC 27001:2022 mechanizmusra mutat. Ez igazolható narratívát ad az információbiztonsági vezetőnek, a vezérigazgatónak és az igazgatóságnak: a kiberbiztonság nem eszközök gyűjteménye, hanem irányított rendszer.

A szabályzatok igazgatósági szintű elszámoltathatósággá alakítása

A bevezető helyzetben Maria vezérigazgatója kísértést érezhet arra, hogy az ügyfélnek egy ISO-tanúsítvánnyal és néhány szabályzattal válaszoljon. Ez nem elegendő az NIS2 szerinti vezető testületi elszámoltathatósághoz. A szervezetnek bizonyítania kell, hogy a felelősségek ki vannak jelölve, a döntéseket rögzítik, és a kockázatokat objektív módon eszkalálják.

A Clarysec szabályzatok célja ennek a visszakövethetőségnek a megteremtése.

Kisebb szervezetek esetében az Information Security Policy-sme Információbiztonsági szabályzat - KKV 4.1.1 pontja kimondja, hogy a felső vezetés:

„Megőrzi az információbiztonságért viselt átfogó elszámoltathatóságot.”

Ez a mondat lényeges. Megakadályozza azt a gyakori hibás működést, amikor az alapítók, vezérigazgatók vagy felsővezetői csapatok informálisan minden biztonsági elszámoltathatóságot az IT-re ruháznak át, miközben nem tartanak fenn érdemi felügyeletet.

Nagyobb szervezeteknél a Kockázatkezelési szabályzat Kockázatkezelési szabályzat 4.1.1 pontja kimondja, hogy a vezetés:

„Jóváhagyja a kockázatkezelési keretrendszert, és meghatározza az elfogadható kockázatvállalási hajlandóságot és kockázattűrési küszöbértékeket.”

Ez igazgatósági szinten felhasználható bizonyíték az NIS2 Article 20-hoz. A kockázatvállalási hajlandóságról szóló nyilatkozat, a kockázattűrési küszöbértékek és a formális kockázati döntési modell megmutatják, hogyan működik a jóváhagyás és az eszkaláció a gyakorlatban.

Ugyanezen szabályzat 5.6 pontja hozzáteszi:

„A Kockázati döntési mátrixnak egyértelműen meg kell határoznia a felső vezetéshez vagy az igazgatósághoz történő eszkaláció küszöbértékeit.”

Ez az NIS2-irányítás egyik legfontosabb bizonyítéka. Eszkalációs küszöbértékek nélkül az igazgatóság csak azt látja, amit valaki eszkalálni választ. Küszöbértékekkel a magas maradványkockázat, a megoldatlan kritikus sérülékenységek, a jelentős beszállítói koncentráció, a súlyos incidensek, az auditmegállapítások és a tűréshatár feletti kivételek automatikusan felsővezetői felügyelet alá kerülnek.

Az Irányítási szerepkörök és felelősségek szabályzata Irányítási szerepkörök és felelősségek szabályzata megerősíti a bizonyítékláncot:

„Az irányításnak támogatnia kell a más szakterületekkel való integrációt (pl. kockázat, jogi ügyek, IT, HR), és az IBIR-döntéseknek visszakövethetőknek kell lenniük a forrásukig (pl. auditnapló-bejegyzések, felülvizsgálati naplók, értekezleti jegyzőkönyvek).”

KKV-k esetében a Governance Roles and Responsibilities Policy-sme Irányítási szerepkörök és felelősségek szabályzata - KKV kimondja:

„Minden jelentős biztonsági döntést, kivételt és eszkalációt rögzíteni kell, és azoknak visszakövethetőknek kell lenniük.”

Ezek a pontok az igazgatósági felügyeletet beszélgetésből auditnyommá alakítják.

Az ISO/IEC 27001:2022 bizonyítéklánca az NIS2 Article 20 teljesítéséhez

Az igazgatóság az NIS2 Article 20-at egy egyértelmű ISO/IEC 27001:2022 bizonyítékláncon keresztül teheti működőképessé.

Először meg kell határozni a kontextust és az alkalmazási területet. Az ISO/IEC 27001:2022 előírja, hogy a szervezet határozza meg a belső és külső tényezőket, az érdekelt feleket, a jogi, szabályozási és szerződéses követelményeket, az IBIR határait, interfészeit, függőségeit és kapcsolódó folyamatait. Egy SaaS- vagy felhőszolgáltató esetében az IBIR alkalmazási területének kifejezetten azonosítania kell az EU-s szolgáltatásokat, felhőkörnyezeteket, támogatási műveleteket, kritikus beszállítókat, szabályozott ügyfélszegmenseket és NIS2-kitettséget.

Másodszor bizonyítani kell a vezetői szerepvállalást. Az ISO/IEC 27001:2022 előírja, hogy a felső vezetés hangolja össze a biztonsági célokat a stratégiai iránnyal, integrálja az IBIR-követelményeket az üzleti folyamatokba, biztosítson erőforrásokat, kommunikálja a fontosságot, jelölje ki a felelősségeket, és mozdítsa elő a folyamatos fejlesztést. Az NIS2 szempontjából ez annak bizonyítéka, hogy a vezető testület jóváhagyta és felügyelte a kiberbiztonsági kockázatkezelési intézkedéseket.

Harmadszor ismételhető kockázatértékelést és kockázatkezelést kell működtetni. Az ISO/IEC 27001:2022 megköveteli a kockázati kritériumokat, a kockázatazonosítást, a kockázatgazdákat, a valószínűség- és következményelemzést, a kezelési opciókat, a kontrollkiválasztást, az Annex A szerinti összevetést, az alkalmazhatósági nyilatkozatot, a kockázatkezelési tervet és a maradványkockázat jóváhagyását.

A Zenith Blueprint kockázatkezelési fázisának 13. lépése kifejezetten rögzíti a jóváhagyási pontot:

„Vezetői jóváhagyás: A kockázatkezelési döntéseket és a SoA-t a felső vezetésnek felül kell vizsgálnia és jóvá kell hagynia. A vezetést tájékoztatni kell a kulcskockázatokról és a javasolt kezelésekről, az elfogadásra javasolt kockázatokról, valamint a bevezetésre tervezett kontrollokról.”

Az NIS2 esetében ez a tájékoztatás nem lehet egyszeri alkalom. Az igazgatósági csomagnak be kell mutatnia az aktuális legfontosabb kockázatokat, azok trendjét, a kezelés előrehaladását, az elfogadott maradványkockázatot, a lejárt intézkedéseket, a kritikus beszállítói kitettséget, az incidensek témáit és a kulcsfontosságú eredményességi mutatókat.

Negyedszer működtetni kell a kontrollokat és meg kell őrizni a bizonyítékokat. Az ISO/IEC 27001:2022 8.1 pontja működéstervezést és -szabályozást ír elő. Az Annex A kontrolljai támogatják a beszállítói biztonságot, a felhőirányítást, az incidensreagálást, az üzletmenet-folytonosságot, a sérülékenységkezelést, a biztonsági mentéseket, a naplózást, a felügyeletet, a biztonságos fejlesztést, az alkalmazásbiztonságot, az architektúrát, a tesztelést, a kiszervezést, a feladatkörök szétválasztását és a változáskezelést.

Ötödször értékelni és fejleszteni kell. A belső audit, a mérés, a vezetőségi átvizsgálás, a helyesbítő intézkedés és a folyamatos fejlesztés a kontrollkatalógust irányított rendszerré alakítja.

A vállalati Információbiztonsági szabályzat Információbiztonsági szabályzat beépíti ezt a vezetőségi átvizsgálási elvárást:

„A vezetőségi átvizsgálási tevékenységeket (az ISO/IEC 27001 9.3 pontja szerint) legalább évente el kell végezni, és azoknak tartalmazniuk kell:”

Az érték nem pusztán az, hogy megtörténik egy értekezlet. Az érték az, hogy az átvizsgálás bizonyítékot hoz létre: bemeneteket, döntéseket, intézkedéseket, felelősöket, határidőket és nyomon követést.

Az Audit and Compliance Monitoring Policy-sme Audit- és megfelelésfelügyeleti szabályzat - KKV 5.4.3 pontja zárja a kört:

„Az auditmegállapításokat és az állapotfrissítéseket be kell vonni az IBIR vezetőségi átvizsgálási folyamatába.”

Ez a különbség aközött, hogy „volt auditunk”, illetve aközött, hogy „a vezetés felülvizsgálta az audit eredményeit, és helyesbítő intézkedéseket rendelt el”.

Keretrendszerek közötti megfeleltetés: NIS2, DORA, GDPR, NIST CSF 2.0 és COBIT 2019

Az NIS2 ritkán érkezik egyedül. Egy felhőszolgáltató személyes adatokat kezelhet a GDPR alapján. Egy fintech ügyfél DORA-alapú beszállítói követelményeket írhat elő. Egy amerikai vállalati ügyfél NIST CSF 2.0 szerinti összhangot kérhet. Egy igazgatósági auditbizottság a COBIT 2019 nyelvén beszélhet.

A megoldás nem külön megfelelőségi mappák felépítése. A megoldás az ISO/IEC 27001:2022 központi bizonyítékrendszerként történő használata.

A Zenith Controls úgy segíti a csapatokat az egységesítésben, hogy az ISO/IEC 27002:2022 5.4 „Vezetői felelősségek” kontrollját szabványok, jogszabályok és auditmódszerek között felelteti meg.

A Zenith Controls az ISO/IEC 27002:2022 5.4 „Vezetői felelősségek” kontroll bejegyzésében a kontrolltípust „megelőzőként” sorolja be, összekapcsolja a bizalmassággal, a sértetlenséggel és a rendelkezésre állással, és irányításközpontú működési képesség alá helyezi.

Ez azért fontos, mert az NIS2 Article 20 megelőző irányításról szól. A vezetői jóváhagyás és felügyelet csökkenti annak valószínűségét, hogy a kiberkockázat láthatatlanná, alulfinanszírozottá vagy kezeletlenné váljon.

A Zenith Controls a vezetői felelősségeket kapcsolódó ISO/IEC 27002:2022 kontrollokhoz is köti: 5.1 Információbiztonsági szabályzatok, 5.2 Információbiztonsági szerepkörök és felelősségek, 5.35 Az információbiztonság független felülvizsgálata, 5.36 Megfelelés az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak, valamint 5.8 Biztonság a projektmenedzsmentben. Az igazgatósági elszámoltathatóság nem állhat önmagában. Szabályzatokra, szerepkörökre, bizonyosságra, megfelelőség-monitorozásra és projektszintű integrációra van szüksége.

A szélesebb kereszthivatkozás különösen hasznos a felsővezetői jelentéstételhez.

A DORA külön figyelmet érdemel. Az NIS2 Article 4 elismeri, hogy az ágazatspecifikus uniós jogi aktusok kiszoríthatják az átfedő NIS2-rendelkezéseket, ha egyenértékű kiberbiztonsági kockázatkezelési vagy incidensbejelentési intézkedéseket írnak elő. A DORA a kulcspélda a pénzügyi szervezeteknél. 2025. január 17-től alkalmazandó, és egységes IKT-kockázatkezelési, incidensjelentési, rezilienciatesztelési, harmadik fél kockázatkezelési és felügyeleti keretrendszert hoz létre a pénzügyi szolgáltatások számára.

Egy SaaS- vagy felhőszolgáltató lehet, hogy nem közvetlenül szabályozott úgy, mint egy bank, de a DORA ügyfélszerződéseken keresztül így is megjelenhet. A pénzügyi szervezeteknek kezelniük kell az IKT harmadik fél kockázatot, nyilvántartást kell vezetniük az IKT-szolgáltatási szerződésekről, kellő gondossági vizsgálatot kell végezniük, értékelniük kell a koncentrációs kockázatot, audit- és ellenőrzési jogokat kell rögzíteniük, meg kell határozniuk a felmondási jogokat, és kilépési stratégiákat kell fenntartaniuk. Ez azt jelenti, hogy a pénzügyi ügyfeleket kiszolgáló szolgáltatóknak olyan bizonyítékkérésekre kell számítaniuk, amelyek nagyon hasonlítanak az NIS2 szerinti igazgatósági irányítási kérdésekhez.

A GDPR elszámoltathatóságot ad a személyes adatokhoz. Az Article 5(2) előírja, hogy az adatkezelők felelősek legyenek a megfelelésért, és képesek legyenek azt igazolni. Az Article 32 előírja az adatkezelés biztonságát, beleértve a technikai és szervezeti intézkedések hatékonyságának rendszeres tesztelését, értékelését és felülvizsgálatát. Ha személyes adatok érintettek, az incidensmunkafolyamatoknak integrálniuk kell a GDPR szerinti adatvédelmi incidens értékelését az NIS2 szerinti jelentős incidens eszkalációjával.

A NIST CSF 2.0 a GOVERN funkción keresztül felsővezetői szinten jól használható nyelvezetet ad. Hangsúlyozza a szervezeti kontextust, a kockázatkezelési stratégiát, a szerepköröket és felelősségeket, a szabályzatokat, a felügyeletet és az ellátási lánc kockázatkezelését. A COBIT 2019 az auditbizottságok számára ismerős irányítási szókészletet ad, különösen az EDM03 kockázatoptimalizáláson és a MEA monitorozási és bizonyossági célkitűzéseken keresztül.

90 napos NIS2 igazgatósági bizonyítéksprint

Egy gyakorlati bizonyítéksprint segíthet a szervezeteknek gyorsan előrelépni anélkül, hogy párhuzamos bürokráciát hoznának létre.

1–30. nap: Az elszámoltathatóság megteremtése

Kezdje egy NIS2 elszámoltathatósági nyilvántartással, amely rögzíti:

• A szervezeti besorolás elemzését, beleértve az alapvető, fontos, közvetett kitettségre vagy hatályon kívüliségre vonatkozó indoklást.
• Az alkalmazási területbe tartozó szolgáltatásokat, például SaaS, felhő, menedzselt szolgáltatások, adatközpont, DNS, bizalmi szolgáltatások vagy kommunikációval összefüggő szolgáltatások.
• Azokat az EU-tagállamokat, ahol a szolgáltatásokat nyújtják.
• Az érintett ügyfélszektorokat, különösen a pénzügyi szolgáltatásokat, az egészségügyet, a közlekedést, az energiát, a közigazgatást és a digitális infrastruktúrát.
• Az alkalmazandó kötelezettségeket, beleértve az NIS2 Article 20, Article 21 és Article 23 rendelkezéseit.
• A DORA, GDPR, ügyfélszerződések és kiberbiztosítás alapján fennálló kapcsolódó kötelezettségeket.
• A vezetői felelőst és az igazgatósági jelentéstétel gyakoriságát.

Kapcsolja ezt az ISO/IEC 27001:2022 szerinti kontextushoz, érdekelt felekhez, kötelezettségnyilvántartáshoz és az IBIR alkalmazási területéhez. Ezután frissítse a Kockázati döntési mátrixot a Kockázatkezelési szabályzat azon követelménye alapján, hogy eszkalációs küszöbértékeket kell meghatározni a felső vezetés vagy az igazgatóság számára.

Hasznos eszkalációs kiváltó okok lehetnek a kockázatvállalási hajlandóság feletti maradványkockázat, az SLA-n túl fennálló, el nem fogadott kritikus sérülékenységek, a beszállítói koncentrációs kockázat, a megoldatlan magas súlyosságú auditmegállapítások, az NIS2-jelentést kiváltó incidensek, a többtényezős hitelesítési, biztonsági mentési, naplózási, titkosítási vagy incidensreagálási követelmények alóli kivételek, valamint a lényeges felhőarchitektúra-változások.

31–60. nap: A kockázatkezelés jóváhagyása

Használja a Zenith Blueprint 13. lépését az igazgatósági döntéscsomag elkészítéséhez a kockázatkezelési tervhez és az alkalmazhatósági nyilatkozathoz. A csomagnak tartalmaznia kell:

• A 10 legfontosabb kiberkockázatot.
• Az egyes kockázatokra javasolt kezelési opciót.
• A kiválasztott kontrollcsoportokat.
• A kezelés utáni maradványkockázatot.
• Az elfogadásra javasolt kockázatokat.
• A szükséges költségvetési vagy erőforrás-döntéseket.
• A beszállítóktól, jogi területtől, HR-től, terméktől és IT-től való függőségeket.
• A kért vezetői döntést.

A kimenetnek aláírt vagy jegyzőkönyvben rögzített jóváhagyásnak kell lennie. Egy diasor önmagában nem elegendő.

Emellett feleltesse meg az NIS2 Article 21 intézkedéseit az ISO/IEC 27001:2022 pontjainak és Annex A kontrolljainak. Ez lehetővé teszi, hogy a szervezet igazolja: az NIS2-t az IBIR-en keresztül kezeli, nem pedig egy leválasztott ellenőrzőlista alapján.

61–90. nap: Az incidensjelentés tesztelése és a bizonyítékok felülvizsgálata

Az NIS2 Article 23 szakaszos jelentést ír elő a jelentős incidensekre: korai figyelmeztetés 24 órán belül, incidensbejelentés 72 órán belül, közbenső frissítések, ahol szükséges vagy kérik, valamint végleges jelentés legkésőbb az értesítést követő egy hónapon belül.

Futtasson asztali gyakorlatot az igazgatósági szponzorral, a vezérigazgatóval, az információbiztonsági vezetővel, a jogi területtel, a kommunikációval, az ügyfélkapcsolati csapattal és az üzemeltetéssel. Használjon valószerű forgatókönyvet, például olyan felhőhibás konfigurációt, amely ügyfélmetaadatokat tesz hozzáférhetővé, megzavarja a szolgáltatás rendelkezésre állását, és érint egy szabályozott ügyfelet.

Tesztelje, ki dönt arról, hogy az incidens jelentős lehet-e, ki veszi fel a kapcsolatot a jogi tanácsadóval, ki értesíti az illetékes hatóságokat vagy a CSIRT-et, ahol ez szükséges, ki hagyja jóvá az ügyfélkommunikációt, hogyan őrzik meg a bizonyítékokat, hogyan értékelik párhuzamosan a GDPR szerinti adatvédelmi incidenssel kapcsolatos kötelezettségeket, és hogyan frissítik az igazgatóságot az első 24 órában.

Ezután tartson formális vezetőségi átvizsgálást. A Zenith Blueprint Audit, felülvizsgálat és fejlesztés fázisának 28. lépése megmagyarázza, miért:

„A vezetőségi felülvizsgálat nem csupán prezentáció; döntéshozatalról szól.”

Ennek az átvizsgálásnak tartalmaznia kell az auditmegállapításokat, a kockázatkezelés előrehaladását, az incidenskezelési felkészültséget, a beszállítói kockázatokat, a mutatókat, a döntéseket, a kijelölt intézkedéseket és a nyomon követési felelősöket.

A valóban működő vezetőségi átvizsgálási értekezlet

Sok vezetőségi átvizsgálás azért vall kudarcot, mert állapotjelentésként épül fel. Egy NIS2-re felkészült vezetőségi átvizsgálásnak döntéshozó értekezletnek kell lennie.

A napirendnek tartalmaznia kell:

1. Az NIS2, DORA, GDPR, szerződéses és ügyfélkövetelmények változásait.
2. Az üzleti kontextus, a szolgáltatások, felvásárlások, beszállítók, felhőarchitektúra és szabályozott ügyfélszegmensek változásait.
3. A legfontosabb információbiztonsági kockázatok és a kockázatvállalási hajlandósághoz viszonyított maradványkockázat állapotát.
4. A kockázatkezelési terv előrehaladását és a lejárt intézkedéseket.
5. Az incidenstrendeket, jelentős eseményeket, majdnem bekövetkezett eseményeket és a jelentéstételre való felkészültséget.
6. A beszállítói és IKT-függőségi kockázatokat, beleértve a koncentrációs és kilépési aggályokat.
7. A belső auditok, külső auditok, ügyfélértékelések és penetrációs tesztek eredményeit.
8. A biztonságtudatosság és a felsővezetői képzés teljesítését.
9. A hozzáférés-szabályozás, sérülékenységkezelés, biztonsági mentések, naplózás, felügyelet, biztonságos fejlesztés és folytonossági tesztek mutatóit.
10. A szükséges döntéseket, beleértve a kockázatelfogadást, költségvetést, létszámot, szabályzati kivételeket, beszállítói helyesbítő intézkedéseket és kontrollfejlesztéseket.

A felsővezetői képzés különösen fontos. Az NIS2 Article 20 előírja, hogy a vezető testület tagjai képzésen vegyenek részt. Az Információbiztonsági tudatossági és képzési szabályzat Információbiztonsági tudatossági és képzési szabályzat 5.1.2.4 pontja kifejezetten tartalmaz felsővezetői képzési témákat:

„Felsővezetők (pl. irányítás, kockázatelfogadás, jogi kötelezettségek)”

A felsővezetői kiberbiztonsági képzésnek a döntési jogokra, felelősségre, eszkalációra, kockázatvállalási hajlandóságra, válságirányításra, incidensjelentésre és szabályozási kötelezettségekre kell összpontosítania. Nem korlátozódhat adathalászati tudatosságra.

Hogyan tesztelik az auditorok és az ügyfelek az igazgatósági felügyeletet

A különböző értékelők eltérő nyelvezetet használnak, de ugyanazt az alapkérdést vizsgálják: irányított-e a kiberbiztonság?

A Zenith Controls azért értékes, mert auditmódszertani megfeleltetéseket is tartalmaz. A vezetői felelősségeknél hivatkozik az ISO/IEC 19011:2018 audit alapelveire és lefolytatására, az ISO/IEC 27007:2020 IBIR auditgyakorlataira, az ISO/IEC 27001:2022 5.1 pontjára, a COBIT 2019 EDM01 és EDM03 célkitűzéseire, az ISACA ITAF 1401. szakaszára, valamint a NIST SP 800-53A PM-1 és PM-2 kontrolljaira. A független felülvizsgálatnál megfelelteti az ISO/IEC 27001:2022 9.2 és 9.3 pontjainak, az ISO/IEC 27007 audit-tervezési és bizonyítékgyűjtési gyakorlatainak, az ISACA ITAF 2400. szakaszának és a NIST értékelési módszereinek. A szabályzatoknak való megfelelésnél megfelelteti az ISO/IEC 27001:2022 9.1, 9.2 és 10.1 pontjainak, az ISO/IEC 19011 bizonyítékgyűjtésének, a COBIT 2019 MEA01-nek és a NIST folyamatos monitorozási értékelésének.

A tanulság egyszerű. Az igazgatósági elszámoltathatóságot nem pusztán a jelenlét igazolja. A tájékozott döntések, dokumentált jóváhagyások, kockázatalapú priorizálás, erőforrás-allokáció és nyomon követés igazolják.

Gyakori buktatók, amelyek megszakítják a bizonyítékláncot

Azok a szervezetek, amelyek nehezen teljesítik az NIS2 szerinti vezető testületi elszámoltathatóságot, általában kiszámítható mintákba esnek.

Először összekeverik a technikai kontrollok működtetését az irányítással. A többtényezős hitelesítési lefedettség, a SIEM-riasztások, az EDR bevezetése és a biztonsági mentések sikerességi aránya fontos, de az igazgatóságnak kockázati kontextusra, kezelési döntésekre és arra vonatkozó bizonyosságra van szüksége, hogy a kontrollok működnek.

Másodszor szabályzatokat hagynak jóvá, de kockázatkezelést nem. Egy aláírt biztonsági szabályzat nem bizonyítja, hogy az igazgatóság jóváhagyta az arányos kiberbiztonsági intézkedéseket. A kockázatkezelési terv és a SoA erősebb bizonyíték, mert összekapcsolja a kockázatokat, kontrollokat, maradványkockázatot és vezetői jóváhagyást.

Harmadszor hiányoznak az eszkalációs küszöbértékek. Kockázati döntési mátrix nélkül az eszkaláció személyfüggő. Az NIS2-irányítás objektív kiváltó okokat igényel.

Negyedszer elkülönítik az incidensreagálást a szabályozói jelentéstételtől. Az NIS2, DORA és GDPR jelentési munkafolyamatait még válság előtt integrálni kell.

Ötödször figyelmen kívül hagyják a beszállítói irányítást. Az NIS2 Article 21 tartalmazza az ellátási lánc biztonságát és a beszállítói sérülékenységi szempontokat. A DORA-alapú ügyfelek mélyebb IKT harmadik fél irányítást várhatnak el, beleértve a kellő gondosságot, auditálási jogokat, koncentrációs kockázatot, felmondási jogokat és kilépési stratégiákat.

Hatodszor nem képezik a felsővezetőket. A felsővezetői kiberbiztonsági képzés az NIS2 alapján nem választható látszatintézkedés. A vezetői bizonyítéklánc része.

Milyen a jó működés

90 nap elteltével egy hiteles NIS2 igazgatósági bizonyítékmappának tartalmaznia kell:

• Alkalmazhatósági értékelést.
• Az IBIR alkalmazási területét és kötelezettségnyilvántartását.
• Vezetői elkötelezettségi nyilatkozatot.
• Kockázatvállalási hajlandóságot és kockázattűrési küszöbértékeket.
• Kockázati döntési mátrixot.
• Kiberkockázati nyilvántartást.
• Kockázatkezelési tervet.
• Alkalmazhatósági nyilatkozatot.
• Igazgatósági jóváhagyási jegyzőkönyveket.
• Felsővezetői képzési nyilvántartásokat.
• Incidens-szimulációs asztali gyakorlat jelentését.
• Beszállítói kockázati irányítópultot.
• Belső auditjelentést.
• Vezetőségi átvizsgálási jegyzőkönyveket és intézkedéskövetőt.

Ez a mappa megválaszolja azt az ügyfélkérdőívet, amelyet Maria hétfő reggel kapott. Ennél is fontosabb, hogy segít az igazgatóságnak a kiberkockázat irányításában még azelőtt, hogy egy incidens, audit vagy szabályozó hatóság nyilvánosan tesztelné a szervezetet.

Az NIS2 szerinti vezető testületi felelősség átalakítása auditra kész irányítássá

Az NIS2 megváltoztatta a kiberbiztonsági párbeszédet. A vezető testületeknek jóvá kell hagyniuk a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelniük kell a végrehajtást, és képzésen kell részt venniük. Az Article 21 integrált technikai, működési és szervezeti intézkedésrendszert ír elő. Az Article 23 az incidensjelentést olyan szakaszos határidőbe sűríti, amely válság előtti felkészülést követel meg.

Az ISO/IEC 27001:2022 biztosítja az irányítási rendszert. A Clarysec biztosítja a bevezetési útvonalat, a szabályzati nyelvezetet, a kereszthivatkozási megfeleltetéseket és az auditbizonyíték-modellt.

Ha az igazgatóság azt kérdezi: „Mit kell jóváhagynunk, és hogyan bizonyítjuk a felügyeletet?”, kezdje három lépéssel:

1. Használja a Zenith Blueprint 3., 13. és 28. lépését a vezetői elkötelezettség, a kockázatkezelés jóváhagyása és a vezetőségi átvizsgálás strukturálására.
2. Használja a Clarysec szabályzatait, például a Kockázatkezelési szabályzatot, az Irányítási szerepkörök és felelősségek szabályzatát, az Információbiztonsági szabályzatot és a KKV-megfelelőiket az elszámoltathatóság és visszakövethetőség formalizálására.
3. Használja a Zenith Controls megoldást az NIS2 igazgatósági felügyeletének megfeleltetésére az ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 és az auditmódszertani elvárások felé.

A Clarysec segíthet az igazgatósági csomag felépítésében, az IBIR bizonyítéklánc frissítésében, a vezetőségi átvizsgálás előkészítésében, valamint az NIS2 elszámoltathatóság olyan ismételhető kiberkockázat-irányítási folyamattá alakításában, amelyet az auditorok, ügyfelek és felsővezetők is értenek. Töltse le a releváns Clarysec eszköztárakat, vagy kérjen értékelést, hogy az igazgatósági felelősséget auditra kész bizonyítékká alakítsa.