NIS2 regisztrációs bizonyítékok az ISO 27001:2022 szerint

Az e-mail csendben érkezett Anna postafiókjába, mégis inkább szirénának hatott. A CloudFlow információbiztonsági vezetőjeként — egy gyorsan növekvő, EU-s ügyfeleket kiszolgáló B2B SaaS-szolgáltatónál — hozzászokott a biztonsági kérdőívekhez, beszerzési auditokhoz és ISO 27001 felügyeleti auditokhoz. Ez az üzenet más volt.

A tárgymezőben ez állt: „Information Request Regarding National Implementation of Directive (EU) 2022/2555 (NIS2).” A nemzeti kiberbiztonsági hatóság azt kérte a CloudFlow-tól, hogy erősítse meg besorolását, készítse elő a szervezet regisztrációs adatait, azonosítsa a hatókörbe tartozó szolgáltatásokat, és legyen képes igazolni a kiberbiztonsági kockázatkezelési intézkedéseket.

Anna falán bekeretezve lógott az ISO 27001:2022 tanúsítvány. Az értékesítés használta a nagyvállalati ajánlatokban. A vezető testület jóváhagyta az információbiztonsági szabályzatot. A belső audit nemrég lezárt két megállapítást. Az előtte álló kérdés azonban élesebb volt a tanúsítási státusznál.

Képes-e a CloudFlow gyorsan és igazolható módon bizonyítani, hogy az ISO 27001:2022 szerinti IBIR lefedi a NIS2-kötelezettségeket?

Sok szervezet itt hoz rossz döntést. A NIS2 szerinti szervezeti regisztrációt adminisztratív bejelentésként kezeli, mintha csak egy cégnyilvántartást vagy adóportált frissítene. Nem erről van szó. A regisztráció belépő a hatósági felügyeleti láthatóságba. Ezt követően az illetékes hatóság kérheti a hatókör indokolását, a vezető testületi jóváhagyásokat, az incidensbejelentési eljárásokat, a beszállítói kockázati bizonyítékokat, a kapcsolattartási pontokat, a kontrollhatékonysági mutatókat, valamint annak bizonyítékát, hogy a szervezet tudja, mely szolgáltatásai kritikusak.

A SaaS-, felhő-, menedzselt szolgáltatási, menedzselt biztonsági, adatközponti, digitális infrastruktúra- és egyes pénzügyi ágazati szolgáltatók esetében a valódi kérdés már nem az, hogy „van-e biztonsági szabályzatunk?”. Hanem az, hogy „be tudunk-e mutatni egy bizonyítékláncot a jogi kötelezettségtől az IBIR hatókörén, a kockázatkezelésen és a kontrollok működésén át a vezetői felügyeletig?”.

A legerősebb NIS2 hatósági ellenőrzésre való felkészültségi program nem egy párhuzamos táblázat. Hanem egy visszakövethető bizonyítékmodell az ISO 27001:2022 rendszerén belül.

A NIS2 regisztráció valójában bizonyítékkezelési probléma

A NIS2 széles körben alkalmazandó az I. mellékletben és a II. mellékletben felsorolt ágazatok köz- vagy magánszervezeteire, amelyek elérik vagy meghaladják a vonatkozó középvállalati küszöbértéket. Emellett mérettől függetlenül kiterjed bizonyos szervezetekre is, ideértve a nyilvános elektronikus hírközlő hálózatok vagy szolgáltatások nyújtóit, a bizalmi szolgáltatókat, a TLD-nyilvántartókat, a DNS-szolgáltatókat, az alapvető szolgáltatás egyedüli nyújtóit, valamint azokat a szervezeteket, amelyek kiesése hatással lehet a közbiztonságra, az egészségre, a rendszerszintű kockázatra vagy a nemzeti, illetve regionális kritikus jellegre.

Technológiai vállalatoknál a digitális kategóriák különösen fontosak. Az I. melléklet magában foglalja a digitális infrastruktúrát, például a felhőszolgáltatókat, adatközpont-szolgáltatókat, tartalomszolgáltató hálózati szolgáltatókat, bizalmi szolgáltatókat, DNS-szolgáltatókat, valamint a nyilvános elektronikus hírközlő hálózatok vagy szolgáltatások nyújtóit. Az I. melléklet a vállalatközi szolgáltatásokhoz kapcsolódó IKT-szolgáltatásmenedzsmentet is tartalmazza, beleértve a menedzselt szolgáltatókat és a menedzselt biztonsági szolgáltatókat. A II. melléklet digitális szolgáltatókat tartalmaz, például online piactereket, online keresőprogramokat és közösségi hálózati szolgáltatási platformokat.

Ez azt jelenti, hogy egy szervezet akkor is NIS2-hatókörbe kerülhet, ha nem tekinti magát „kritikus infrastruktúrának”. Egy menedzselt biztonsági funkcionalitással rendelkező B2B SaaS-vállalatnak, szabályozott ügyfeleket támogató felhőplatformnak vagy a fintech szektort kiszolgáló szolgáltatónak hirtelen szüksége lehet regisztrációs dokumentációra, illetékes hatósági kapcsolattartási modellre és igazolható kontrolltörténetre.

A NIS2 megkülönbözteti az alapvető és a fontos szervezeteket is. Az alapvető szervezetek általában proaktívabb felügyeleti modell alá tartoznak, míg a fontos szervezeteket jellemzően meg nem felelésre vagy incidensekre utaló bizonyítékok alapján ellenőrzik. A különbség lényeges, de nem szünteti meg a felkészülés szükségességét. Mindkét kategóriának szüksége van irányításra, kockázatkezelésre, incidensbejelentésre, beszállítói biztonságra és bizonyítékokra.

A pénzügyi szervezeteknek a DORA-t is figyelembe kell venniük. A NIS2 Article 4 elismeri, hogy ha egy ágazatspecifikus uniós jogi aktus legalább egyenértékű kiberbiztonsági kockázatkezelési és incidensbejelentési kötelezettségeket ír elő, akkor az adott területeken az ágazatspecifikus szabályok alkalmazandók. A DORA 2025. január 17-től alkalmazandó, és meghatározza az IKT-kockázatkezelést, a jelentős IKT-vonatkozású incidensek bejelentését, a digitális működési reziliencia tesztelését, az információmegosztást, az IKT harmadik fél kockázatkezelést, a szerződéses kontrollokat, valamint a kritikus IKT harmadik fél szolgáltatók felügyeletét. A hatálya alá tartozó pénzügyi szervezeteknél a DORA az átfedő követelmények elsődleges kiberreziliencia-keretrendszere, de a NIS2-interfészek és a nemzeti hatósági koordináció továbbra is releváns lehet.

A tanulság egyszerű. Ne várjon a portálmezőre vagy a hatósági e-mailre a bizonyítékok felépítésével. Minden regisztrációs válasz egy jövőbeli auditkérdést is magában hordoz.

Az IBIR hatókörével kezdjen, ne a portálűrlappal

Az ISO 27001:2022 azért hasznos, mert rákényszeríti a szervezetet a környezet, az érdekelt felek, a szabályozási kötelezettségek, a hatókör, a kockázatok, a kockázatkezelési tervek, a kontrollműködés, a monitorozás, a belső audit, a vezetőségi felülvizsgálat és a fejlesztés meghatározására.

A 4.1–4.4 pontok előírják, hogy a szervezet határozza meg a belső és külső tényezőket, azonosítsa az érdekelt feleket és követelményeiket, döntse el, mely követelményeket kezeli az IBIR-en keresztül, határozza meg az IBIR alkalmazási területét az interfészek és függőségek figyelembevételével, dokumentálja ezt a hatókört, és működtesse az IBIR-folyamatokat.

A NIS2 szempontjából ennek a hatókörnek gyakorlati kérdésekre kell választ adnia:

• Mely EU-s szolgáltatások, jogi személyek, leányvállalatok, platformok, infrastruktúra-komponensek és üzleti egységek relevánsak?
• Mely I. melléklet vagy II. melléklet szerinti kategória lehet alkalmazandó?
• A szervezet alapvető, fontos, DORA hatálya alá tartozó, hatókörön kívüli, vagy még nemzeti besorolásra vár?
• Mely szolgáltatások kritikusak az ügyfelek, a közbiztonság, a pénzügyi stabilitás, az egészségügy, a digitális infrastruktúra vagy más szabályozott ágazatok számára?
• Mely felhőszolgáltatók, MSP-k, MSSP-k, adatközpontok, alvállalkozók és egyéb beszállítók támogatják ezeket a szolgáltatásokat?
• Mely tagállamok, illetékes hatóságok, CSIRT-ek, adatvédelmi hatóságok és pénzügyi felügyeletek lehetnek relevánsak?

A Clarysec Zenith Blueprint: auditori 30 lépéses ütemterv Zenith Blueprint ezt a munkát korán, a 2. lépésben, az érdekelt felek igényei és az IBIR hatóköre résznél helyezi el. Arra utasítja a szervezeteket, hogy azonosítsák a szabályozókat és hatóságokat, vizsgálják felül a jogi és szabályozási követelményeket, tekintsék át a szerződéseket és megállapodásokat, készítsenek interjúkat az érdekelt felekkel, és vegyék figyelembe az elvárt iparági szabványokat.

4.2. intézkedési pont: Állítson össze listát valamennyi jelentős érdekelt félről, és rögzítse az információbiztonsággal kapcsolatos követelményeiket. Legyen alapos – gondoljon mindazokra, akik panaszt tennének vagy következményekkel szembesülnének, ha a biztonság sérülne, vagy ha egy adott kontroll hiányozna. Ez a lista irányt ad ahhoz, hogy minek kell megfelelni vagy mit kell teljesíteni az IBIR-en keresztül, és bemenetet ad a kockázatértékeléshez és a kontrollkiválasztáshoz.

Ez a megfelelő kiindulópont a NIS2 regisztrációhoz. A benyújtás előtt készítsen rövid NIS2 hatókörfeljegyzést, amely összekapcsolja az üzleti modellt az I. melléklet vagy II. melléklet szerinti kategóriákkal, dokumentálja a méretre és szolgáltatásokra vonatkozó feltételezéseket, rögzíti a nemzeti jog értelmezését, azonosítja az illetékes hatóságokat, és kimondja, hogy a DORA, a GDPR, az ügyfélszerződések vagy ágazati szabályok is alkalmazandók-e.

A Clarysec KKV-knak szóló jogi és szabályozói megfelelési szabályzata Jogi és szabályozói megfelelési szabályzat - KKV egyértelműen határozza meg a célt:

„Ez a szabályzat meghatározza a szervezet megközelítését a jogi, szabályozási és szerződéses kötelezettségek azonosítására, teljesítésére és a megfelelés igazolására.”

Nagyobb programok esetében a Clarysec Jogi és szabályozói megfelelési szabályzata Jogi és szabályozói megfelelési szabályzat még egyértelműbb:

„Minden jogi és szabályozási kötelezettséget konkrét szabályzatokhoz, kontrollokhoz és felelősökhöz kell rendelni az információbiztonság-irányítási rendszeren (IBIR) belül.”

Ez a mondat a hatósági ellenőrzésre való felkészültség alapja. Ha egy hatóság megkérdezi, hogyan azonosították a NIS2-kötelezettségeket, a válasz nem lehet az, hogy „a jogi terület tanácsolta”. A válasznak dokumentált nyilvántartásnak kell lennie, amely kapcsolódik a hatókörhöz, a kockázatokhoz, a kontrollgazdákhoz, az eljárásokhoz, a megőrzött bizonyítékokhoz és a vezetőségi felülvizsgálathoz.

Építse be a NIS2 bizonyítékláncot az ISO 27001:2022 rendszerébe

A NIS2 Article 21 előírja az alapvető és fontos szervezetek számára, hogy megfelelő és arányos technikai, operatív és szervezeti intézkedéseket vezessenek be a működéshez vagy szolgáltatásnyújtáshoz használt hálózati és információs rendszereket érintő kockázatok kezelésére. Az intézkedéseknek figyelembe kell venniük a technika állását, adott esetben a releváns európai és nemzetközi szabványokat, a költségeket, a kockázati kitettséget, a méretet, az incidensek valószínűségét és súlyosságát, valamint a társadalmi és gazdasági hatást.

Az Article 21(2) minimális területeket sorol fel, többek között a kockázatelemzést és az információs rendszerbiztonsági szabályzatokat, az incidenskezelést, az üzletmenet-folytonosságot, a biztonsági mentéseket, a katasztrófa utáni helyreállítást, a válságkezelést, az ellátási lánc biztonságát, a biztonságos beszerzést és fejlesztést, a sérülékenységek kezelését, az eredményesség értékelését, a kiberhigiéniát, a képzést, a kriptográfiát, a humánerőforrás-biztonságot, a hozzáférés-szabályozást, az eszközkezelést, a többtényezős vagy folyamatos hitelesítést, valamint adott esetben a biztonságos kommunikációt.

Az ISO 27001:2022 természetesen illeszkedik ehhez a struktúrához. A 6.1.1–6.1.3 pontok kockázatértékelést és kockázatkezelést írnak elő, beleértve az elfogadási kritériumokat, a kockázattulajdonosokat, a valószínűség- és következményelemzést, a kockázatkezelési tervet, az A melléklet kontrolljaival való összevetést és az alkalmazhatósági nyilatkozatot. A 8. pont működéstervezést és -szabályozást, a folyamatok tervezett működésének bizonyítékait, változáskezelést, a külsőleg biztosított folyamatok feletti kontrollt, ismétlődő kockázatértékeléseket és dokumentált kockázatkezelési eredményeket ír elő. A 9.1 pont monitorozást, mérést, elemzést és értékelést ír elő. A 9.2 pont belső auditot ír elő. A 10.2 pont a meg nem felelésekre és a helyesbítő intézkedésekre vonatkozó tevékenységet írja elő.

A Clarysec Kockázatkezelési szabályzata Kockázatkezelési szabályzat - KKV ezt működési szabállyá alakítja:

„Minden azonosított kockázatot rögzíteni kell a kockázati nyilvántartásban.”

A vállalati Kockázatkezelési szabályzat Kockázatkezelési szabályzat a kockázatkezelést az ISO 27001:2022 szerinti kontrollkiválasztáshoz kapcsolja:

„A kockázatkezelési folyamatból eredő kontrolldöntéseket meg kell jeleníteni a SoA-ban.”

Ez azért fontos, mert a NIS2-bizonyítékoknak visszakövethetőknek kell lenniük. Ha egy hatóság megkérdezi, miért létezik egy kontroll, a kötelezettségre, a kockázatra, a kockázatkezelési döntésre, a kontrollgazdára, a SoA-bejegyzésre, az eljárásra és a bizonyítékra kell mutatni. Ha a hatóság azt kérdezi, miért nem választottak ki egy kontrollt, a SoA indokolására, a jóváhagyott kockázatelfogadásra és a vezetőségi felülvizsgálatra kell hivatkozni.

A legjobb bizonyítéklánc a lehető legjobb értelemben unalmas. Minden kötelezettségnek van felelőse. Minden felelősnek van kontrollja. Minden kontrollnak van bizonyítéka. Minden kivételnek van jóváhagyása. Minden auditmegállapításhoz tartozik helyesbítő intézkedés.

Az Article 20 szerinti irányítást vezető testületi bizonyítékokká kell alakítani

A NIS2 Article 20 a kiberbiztonságot vezető testületi szintre emeli. Az irányító testületeknek jóvá kell hagyniuk az Article 21 alapján elfogadott kiberbiztonsági kockázatkezelési intézkedéseket, felügyelniük kell azok végrehajtását, és jogsértések esetén felelősségre vonhatók lehetnek. Az irányító testület tagjainak képzésen kell részt venniük, és a szervezeteket arra ösztönzik, hogy rendszeres kiberbiztonsági képzést biztosítsanak a munkavállalók számára.

A vezető testület nem delegálhatja egyszerűen a NIS2-t az IT-nek. A bizonyítékoknak azt kell mutatniuk, hogy a vezetés megértette a NIS2 hatókörelemzést, jóváhagyta a kockázatkezelési megközelítést, felülvizsgálta a lényeges kockázatokat, erőforrásokat allokált, nyomon követte a végrehajtást, áttekintette az incidenseket és gyakorlatokat, valamint képzésben részesült.

Az ISO 27001:2022 5.1–5.3 pontjai támogatják ezt az irányítási modellt azzal, hogy előírják a felső vezetés elkötelezettségét, az információbiztonsági célkitűzések üzleti stratégiával való összhangját, az IBIR-követelmények üzleti folyamatokba való integrálását, az erőforrásokat, a kommunikációt, az elszámoltathatóságot, valamint az IBIR-teljesítmény felső vezetés felé történő jelentését.

A Clarysec Irányítási szerepkörök és felelősségek szabályzata Irányítási szerepkörök és felelősségek szabályzata a biztonsági kapcsolattartó szerepkört úgy határozza meg, mint aki:

„Elsődleges kapcsolattartóként szolgál az auditorokkal, szabályozó hatóságokkal és felső vezetéssel az információbiztonsági ügyekben.”

Ezt a szerepkört név szerint meg kell jelölni a NIS2 regisztrációs bizonyítékcsomagban. Nem lehet csak feltételezett. A hatóságok, auditorok és ügyfelek tudni akarják, ki koordinálja a szabályozói kapcsolattartást, ki felel az incidensbejelentésért, ki tartja karban a jogi nyilvántartást, ki frissíti a hatósági kapcsolattartókat, és ki jelent a vezető testületnek.

Egy gyakorlati irányítási bizonyítékkészlet a következőket tartalmazza:

• A vezető testület jóváhagyása a kiberbiztonsági kockázatkezelési keretrendszerre.
• Vezetőségi felülvizsgálati jegyzőkönyvek a NIS2 hatóköréről, kockázatokról, incidensekről, beszállítókról és felkészültségről.
• Képzési nyilvántartások az irányító testület tagjai és a munkavállalók részére.
• RACI-mátrix a NIS2-kötelezettségekre, az ISO 27001:2022 kontrollokra, az incidensbejelentésre, a beszállítói bizonyosságra és a szabályozói kommunikációra.
• Bizonyíték arra, hogy a NIS2-kötelezettségek szerepelnek a belső auditban és a megfelelés nyomon követésében.
• Helyesbítő intézkedések nyomon követése hiányosságokra, lejárt kockázatokra, kivételekre és sikertelen tesztekre.

Az Article 32 és Article 33 a bizonyítékok minőségét is fontossá teszi, mert súlyos jogsértési tényezőként azonosítja az ismételt szabályszegéseket, a jelentős incidensek bejelentésének vagy orvoslásának elmulasztását, a kötelező utasítások utáni hiányosságkezelés elmulasztását, az auditok vagy monitorozás akadályozását, valamint a hamis vagy súlyosan pontatlan információkat. A gyenge bizonyíték hatósági intézkedési problémává válhat akkor is, ha technikai kontrollok léteznek.

Készítse elő a hatósági kapcsolattartási és incidensbejelentési bizonyítékokat hajnali 02:00 előtt

A legfájdalmasabb incidensbejelentési hibák gyakran egy alapvető kérdéssel kezdődnek: „Kit értesítünk?” Zsarolóvírus, DNS-hiba, felhőkompromittálódás vagy adatkitettség közben a csapatok időt veszítenek a megfelelő CSIRT, illetékes hatóság, adatvédelmi hatóság, pénzügyi felügyelet, bűnüldözési csatorna, ügyfélsablon és belső jóváhagyó keresésével.

A NIS2 Article 23 előírja a szolgáltatásnyújtást érintő jelentős incidensek indokolatlan késedelem nélküli bejelentését. Jelentős incidens az, amely súlyos működési zavart vagy pénzügyi veszteséget okozott vagy okozhat, illetve másokat érintett vagy érinthet jelentős vagyoni vagy nem vagyoni kár okozásával. Az ütemezés lépcsőzetes: korai figyelmeztetés a tudomásszerzéstől számított 24 órán belül, incidensbejelentés 72 órán belül, közbenső frissítések kérésre, valamint zárójelentés a 72 órás bejelentést követő egy hónapon belül, vagy folyamatban lévő incidenseknél az incidens kezelését követően. Adott esetben a szolgáltatás igénybe vevőit is tájékoztatni kell a jelentős incidensekről vagy jelentős kiberfenyegetésekről és a védelmi intézkedésekről.

A Zenith Blueprint Controls in Action szakaszának 22. lépése a hatóságokkal való kapcsolattartást felkészültségként, nem pánikként kezeli:

Az alapelv egyszerű: ha a szervezetét kibertámadás érné, adatsértésben lenne érintett, vagy vizsgálat alá kerülne, ki hívná fel a hatóságokat? Honnan tudná, mit kell mondania? Milyen feltételek mellett kezdeményeznék ezt a kapcsolatfelvételt? Ezekre a kérdésekre előre kell választ adni, nem utólag.

A Clarysec Zenith Controls: keresztmegfelelési útmutató Zenith Controls lefedi az ISO/IEC 27002:2022 5.5 kontrollt, a Kapcsolattartás a hatóságokkal kontrollt. A kontrollt megelőző és helyesbítő kontrollként sorolja be, amely a bizalmassághoz, sértetlenséghez és rendelkezésre álláshoz kapcsolódik, valamint az Azonosítás, Védelem, Reagálás és Helyreállítás fogalmakhoz kötődik. Az 5.5 kontrollt összekapcsolja az ISO/IEC 27002:2022 5.24 Információbiztonsági incidenskezelési tervezés és felkészülés, 6.8 Információbiztonsági eseményjelentés, 5.7 Fenyegetettségi információk, 5.6 Kapcsolattartás speciális érdekcsoportokkal és 5.26 Reagálás információbiztonsági incidensekre kontrollokkal is.

Keresztmegfelelési szempontból a Zenith Controls a hatóságokkal való kapcsolattartást a NIS2 Article 23, a GDPR szerinti incidensbejelentés, a DORA szerinti incidensbejelentés, a NIST SP 800-53 IR-6 Incidensjelentés és a COBIT 2019 külső eszkalációs gyakorlataihoz rendeli. Egyetlen hatósági kapcsolattartói nyilvántartás több kötelezettséget is kiszolgálhat, ha megfelelően tervezték meg.

A Clarysec Incidenskezelési szabályzata Incidenskezelési szabályzat - KKV egyértelművé teszi a jogi triázst:

„Ha ügyféladatok érintettek, az ügyvezetőnek értékelnie kell a jogi bejelentési kötelezettségeket a GDPR, a NIS2 vagy a DORA alkalmazhatósága alapján.”

Egy erős hatósági kapcsolattartási bizonyítékcsomagnak tartalmaznia kell:

• Illetékes hatósági és CSIRT-elérhetőségek tagállamonként és szolgáltatásonként.
• Adatvédelmi hatósági kapcsolatok a GDPR szerinti személyesadat-sértés bejelentéséhez.
• Pénzügyi felügyeleti kapcsolatok, ha a DORA alkalmazandó.
• Bűnüldözési és kiberbűnözési kapcsolattartási útvonalak.
• Jogosult belső kommunikátorok és helyetteseik.
• Incidensküszöbök a NIS2, GDPR, DORA, ügyfélszerződések és kiberbiztosítás alapján.
• 24 órás, 72 órás, közbenső frissítési és egyhónapos jelentési sablonok.
• Külső bejelentést tesztelő asztali gyakorlatok feljegyzései.
• Korábbi bejelentések, be nem jelentési döntések és jogi indokolások nyilvántartásai.

Rendeljük a NIS2 Article 21 követelményeit ISO 27001 kontrollokhoz és szabályzati bizonyítékokhoz

Egy tanúsítvány önmagában nem válasz egy szabályozói kérdésre. A kontrollmegfeleltetés igen. Az alábbi táblázat gyakorlati hidat ad a biztonsági és megfelelési csapatoknak a NIS2 Article 21 területei, az ISO/IEC 27002:2022 kontrollok, a Clarysec szabályzati hivatkozások és a bizonyítékok között.

A Clarysec Zenith Controls lefedi az ISO/IEC 27002:2022 5.31 kontrollt is, a Jogi, jogszabályi, szabályozási és szerződéses követelményeket, megelőző kontrollként, amely hatással van a bizalmasságra, sértetlenségre és rendelkezésre állásra. Az 5.31 kontrollt összekapcsolja a PII adatvédelemmel és védelemmel, a nyilvántartások megőrzésével, a független felülvizsgálattal és a belső szabályzatoknak való megfeleléssel. A kontrollt a GDPR szerinti elszámoltathatósághoz, a NIS2 szerinti ellátási lánc megfeleléshez, a DORA szerinti IKT-kockázatkezeléshez, a NIST CSF irányításához, a NIST SP 800-53 programkontrolljaihoz és a COBIT 2019 külső megfelelési felügyeletéhez is rendeli.

„Az 5.31 kontroll biztosítja, hogy az információbiztonsághoz kapcsolódó valamennyi releváns jogi, szabályozási, jogszabályi és szerződéses követelményt azonosítsák, dokumentálják és folyamatosan kezeljék.”

Pontosan ezt akarja látni egy nemzeti hatóság a regisztráció után: nemcsak azt, hogy a NIS2 szerepel a listán, hanem azt is, hogy a szervezetnek élő mechanizmusa van a kötelezettségek azonosítására, megfeleltetésére, végrehajtására, monitorozására és frissítésére.

Ne válassza szét a NIS2-t a DORA-tól, a GDPR-tól, a beszállítóktól és a felhőtől

A NIS2-bizonyítékok ritkán léteznek elszigetelten.

A NIS2 Article 21(2)(d) ellátási lánc biztonságot ír elő, beleértve a beszállítókkal és szolgáltatókkal fennálló kapcsolatok biztonsági vonatkozásait. Az Article 21(3) előírja, hogy a beszállítói kockázati döntések során figyelembe kell venni a sérülékenységeket, az általános termékminőséget, a kiberbiztonsági gyakorlatokat, a biztonságos fejlesztési eljárásokat és a releváns, koordinált uniós ellátásilánc-kockázatértékeléseket.

Az ISO 27001:2022 A melléklete az A.5.19–A.5.23 kontrollokon keresztül biztosítja az operatív hidat. SaaS- és felhőszervezeteknél ezek a kontrollok gyakran meghatározzák, hogy a regisztrációs bizonyíték felszínes vagy igazolható.

A DORA élesebbé teszi a beszállítói képet a pénzügyi szervezetek számára. Az Articles 28 to 30 IKT harmadik fél kockázatkezelést, IKT-szolgáltatási szerződések nyilvántartását, kritikus vagy fontos funkciókat támogató szolgáltatások megkülönböztetését, szerződéskötés előtti kockázatértékelést, kellő gondosságot, szerződéses biztonsági követelményeket, auditálási és ellenőrzési jogokat, felmondási jogokat, tesztelt kilépési stratégiákat, alvállalkozói értékelést, adat-helyszín átláthatóságot, incidenssegítségnyújtást, hatóságokkal való együttműködést és átállási megállapodásokat írnak elő. Ha egy SaaS-szolgáltató DORA által szabályozott ügyfeleket szolgál ki, szerződéseit és bizonyossági csomagját akkor is vizsgálhatják, ha maga nem pénzügyi szervezet.

A Clarysec harmadik fél és beszállítói biztonsági szabályzatát - KKV Harmadik fél és beszállítói biztonsági szabályzat - KKV ezért be kell kapcsolni a NIS2 bizonyítékcsomagba. A beszállítói felkészültségnek tartalmaznia kell:

• Beszállítói nyilvántartás és kritikussági besorolás.
• Beszállítói kellő gondosság és kockázatértékelések.
• Szerződéses záradékok biztonságra, incidenssegítségnyújtásra, auditálási jogokra, adat-helyszínre, alvállalkozókra és kilépésre.
• Felhő megosztott felelősségi mátrixok.
• Kritikus szolgáltatók felügyeleti bejegyzései.
• Kilépési és helyreállítási tesztek kritikus szolgáltatásokra.
• Beszállítói incidensbejelentési és eszkalációs eljárások.

A GDPR-t is integrálni kell. Egy NIS2 szerinti jelentős incidens személyesadat-sértés is lehet, ha ügyfél-, munkavállalói vagy felhasználói adatok kompromittálódnak. A GDPR előírja az adatkezelők számára az elszámoltathatóság igazolását, és ha a bejelentési küszöbök teljesülnek, a személyesadat-sértésről való tudomásszerzést követő 72 órán belül be kell jelenteni az esetet a felügyeleti hatóságnak. Az incidensreagálási munkafolyamatnak párhuzamosan kell értékelnie a NIS2, GDPR, DORA, szerződéses és ügyfélkötelezettségeket.

Állítson össze egy egyhetes NIS2 bizonyítékcsomagot

Egy SaaS-szolgáltató, MSP, MSSP, felhőszolgáltató vagy digitális infrastruktúra-vállalat egy fókuszált hét alatt jelentős előrelépést érhet el.

1. nap: sorolja be a szervezetet és a szolgáltatásokat. Használja az IBIR hatókörnyilatkozatát és az érdekelt felek nyilvántartását. Egészítse ki egy NIS2 hatókörfeljegyzéssel, amely azonosítja az I. melléklet vagy II. melléklet szerinti kategóriákat, az EU-s szolgáltatásokat, a tagállamokat, az ügyfeleket, a függőségeket, a méretfeltételezéseket, valamint azt, hogy a DORA vagy ágazati szabályok alkalmazandók-e. Ha a jogi értelmezés még nem végleges, a besorolási bizonytalanságot kockázatként kell rögzíteni.

2. nap: frissítse a jogi és szabályozási kötelezettségek nyilvántartását. Adja hozzá a NIS2 Article 20, Article 21 és Article 23 követelményeit, a nemzeti jog szerinti regisztrációs követelményeket, a GDPR szerinti adatsértési kötelezettségeket, a releváns DORA-kötelezettségeket és a kulcsfontosságú szerződéses bejelentési követelményeket. Minden kötelezettséget rendeljen szabályzathoz, felelőshöz, kontrollhoz, bizonyítékforráshoz és felülvizsgálati gyakorisághoz.

3. nap: frissítse a kockázatértékelést és a kockázatkezelést. A kockázati kritériumokba építse be a jogi, szabályozási, működési, beszállítói, pénzügyi, reputációs és társadalmi hatást. Vegyen fel olyan kockázatokat, mint a regisztráció elmulasztása, a hibás szervezeti besorolás, a 24 órás korai figyelmeztetés elmulasztása, a hatósági kapcsolattartók elérhetetlensége, a kritikus szolgáltatásokat érintő beszállítói kiesés, az elégtelen vezető testületi felügyelet és a kontrollhatékonyság bizonyításának hiánya.

4. nap: frissítse a SoA-t. Erősítse meg a NIS2-releváns kontrollokat, beleértve az A.5.5 kapcsolattartás a hatóságokkal kontrollt, az A.5.19–A.5.23 beszállítói és felhő kontrollokat, az A.5.24–A.5.28 incidenskontrollokat, az A.5.29 zavar idején alkalmazandó biztonságot, az A.5.30 IKT-felkészültséget az üzletmenet-folytonosságra, az A.5.31 jogi követelményeket, az A.5.34 adatvédelmet, az A.8.8 sérülékenységkezelést, az A.8.13 biztonsági mentéseket, az A.8.15 naplózást, az A.8.16 monitorozási tevékenységeket, az A.8.24 kriptográfiát és az A.8.25–A.8.32 biztonságos fejlesztési kontrollokat.

5. nap: tesztelje az incidensbejelentést. Futtasson asztali gyakorlatot: egy felhőben történt hibás konfiguráció ügyféladatokat tesz ki, és két tagállamban szolgáltatáskimaradást okoz. Indítsa az órát. Képes-e a csapat besorolni az eseményt, értékelni a GDPR, NIS2, DORA, szerződéses és ügyfélküszöböket, elkészíteni a 24 órás korai figyelmeztetést, megfogalmazni a 72 órás bejelentést, megőrizni a bizonyítékokat és kijelölni a gyökérok-elemzést?

6. nap: gyűjtse össze a bizonyítékokat. Hozzon létre hatósági ellenőrzésre alkalmas mappát a hatókörfeljegyzéssel, jogi nyilvántartással, kockázati nyilvántartással, SoA-val, hatósági kapcsolattartói listával, incidenskezelési forgatókönyvvel, beszállítói nyilvántartással, vezető testületi jegyzőkönyvekkel, képzési nyilvántartásokkal, naplókkal, monitorozási jelentésekkel, biztonsági mentési tesztekkel, sérülékenységi jelentésekkel, belső audit hatókörével és helyesbítő intézkedési naplóval.

7. nap: vezetőségi felülvizsgálat. Mutassa be a felkészültségi csomagot a vezetésnek. Rögzítse a jóváhagyásokat, maradványkockázatokat, nyitott intézkedéseket, határidőket, erőforrásokat és a felelősök elszámoltathatóságát. Ha esedékes a regisztráció, csatolja a bizonyítékindexet a regisztrációs döntés bejegyzéséhez.

A Clarysec KKV-knak szóló Audit- és megfelelésfelügyeleti szabályzata Audit- és megfelelésfelügyeleti szabályzat - KKV előre számol ezzel az igénnyel:

„A bizonyítékokat össze kell hangolni a NIS2-kötelezettségekkel, ha a szervezetet fontos szervezetként jelölik ki, vagy egyébként a nemzeti jog hatálya alá tartozik.”

A vállalati Audit- és megfelelésfelügyeleti szabályzat Audit- és megfelelésfelügyeleti szabályzat így fogalmazza meg a célt:

„Igazolható bizonyítékok és auditnyom előállítása szabályozó hatósági megkeresések, jogi eljárások vagy ügyfélbizonyossági igények támogatására.”

Ez a cél: igazolható bizonyíték még a kérés beérkezése előtt.

Készüljön fel eltérő auditnézőpontokra

Egy tanúsító auditor, nemzeti hatóság, ügyfélauditor, adatvédelmi auditor és beszállítói bizonyossági csapat nem ugyanazokat a kérdéseket fogja feltenni. Egy erős NIS2 bizonyítékcsomag mindegyik nézőpontban működik.

Az ISO/IEC 27002:2022 5.5 kontroll esetében az auditorok általában dokumentált hatósági kapcsolattartókat, kijelölt felelősségeket, a kapcsolatok karbantartását, incidensreagálási forgatókönyveket és forgatókönyv-alapú egyértelműséget várnak el. Egy egyszerű auditkérdés feltárhatja az érettséget: „Zsarolóvírus esetén ki lép kapcsolatba a bűnüldöző szervekkel vagy a nemzeti CSIRT-tel?” Ha a válasz attól függ, hogy valaki emlékszik-e egy névre, a kontroll nem áll készen.

A Clarysec Naplózási és felügyeleti szabályzata Naplózási és felügyeleti szabályzat - KKV megerősíti a bizonyítékokkal kapcsolatos elvárást:

„A naplóknak kérésre elérhetőnek és értelmezhetőnek kell lenniük külső auditorok vagy szabályozó hatóságok számára.”

A Clarysec Információbiztonsági szabályzata Információbiztonsági szabályzat meghatározza a tágabb vállalati elvárást:

„Minden bevezetett kontrollnak auditálhatónak kell lennie, dokumentált eljárásokkal és a működés megőrzött bizonyítékaival alátámasztva.”

Ez az auditpróba egy mondatban. Ha egy kontroll nem bizonyítható, kevés súlya lesz, amikor az illetékes hatóság bizonyítékot kér.

Végső NIS2 regisztrációs bizonyítékellenőrző lista

Használja ezt az ellenőrzőlistát regisztráció előtt vagy nemzeti hatósági megkeresés megválaszolása előtt.

• Dokumentálja a NIS2 hatókörelemzést, beleértve az I. melléklet vagy II. melléklet szerinti indokolást, a szolgáltatásleírásokat, a méretfeltételezéseket, a tagállami jelenlétet és a szervezeti besorolást.
• Azonosítsa, hogy a DORA közvetlenül alkalmazandó-e, vagy közvetetten, pénzügyi ágazati ügyfeleken és IKT-szolgáltatási szerződéseken keresztül érinti-e a szervezetet.
• Frissítse az IBIR hatókörét a releváns szolgáltatásokkal, függőségekkel, kiszervezett folyamatokkal és szabályozási interfészekkel.
• Vegye fel a NIS2, GDPR, DORA, ágazati szabályok és szerződéses követelmények elemeit a jogi és szabályozási kötelezettségek nyilvántartásába.
• Rendelje minden kötelezettséget szabályzatokhoz, kontrollokhoz, felelősökhöz, bizonyítékokhoz, felülvizsgálati gyakorisághoz és vezetői jelentéstételhez.
• Erősítse meg a kiberbiztonsági kockázatkezelési intézkedések vezető testületi jóváhagyását és felügyeletét.
• Tartsa fenn a vezetői és munkavállalói kiberbiztonsági képzési nyilvántartásokat.
• Frissítse a kockázati kritériumokat a szabályozási hatással, szolgáltatáskimaradással, ügyfélkárral, határokon átnyúló hatással és beszállítói függőséggel.
• Rögzítse a NIS2-vel kapcsolatos kockázatokat a kockázati nyilvántartásban, és kapcsolja őket kockázatkezelési tervekhez.
• Frissítse a SoA-t a NIS2-releváns A melléklet szerinti kontrollokkal és bevezetési státusszal.
• Tartsa karban a hatósági kapcsolattartói listákat és bejelentési eljárásokat a CSIRT-ek, illetékes hatóságok, adatvédelmi hatóságok, pénzügyi felügyeletek és bűnüldöző szervek esetében.
• Tesztelje a 24 órás korai figyelmeztetés, a 72 órás bejelentés, a közbenső frissítés és az egyhónapos zárójelentés munkafolyamatát.
• Tartsa fenn a beszállítói és felhőbizonyítékokat, beleértve a kellő gondosságot, szerződéseket, auditálási jogokat, monitorozást, alvállalkozókat és kilépési terveket.
• Bizonyítsa a kontrollhatékonyságot naplók, mutatók, auditok, irányítópultok, teszteredmények és helyesbítő intézkedések alapján.
• Készítsen bizonyítékindexet, hogy bármely szabályozói, ügyfél- vagy auditorkérés gyorsan megválaszolható legyen.

A következő lépés a Clarysec-kel

A NIS2 szervezeti regisztráció nem a célvonal. Ez az a pont, ahol a szervezet láthatóvá válik a nemzeti kiberbiztonsági felügyelet számára. A helyes kérdés nem az, hogy „tudunk-e regisztrálni?”. Hanem az, hogy „ha a hatóság regisztráció után bizonyítékot kér, képesek vagyunk-e órák alatt, nem hetek alatt koherens ISO 27001:2022 történetet bemutatni?”.

A Clarysec segít a szervezeteknek felépíteni ezt a történetet a Zenith Blueprint Zenith Blueprint, a Zenith Controls Zenith Controls, valamint gyakorlati ISO 27001:2022 szabályzatkészletek révén, amelyek összekapcsolják a jogi kötelezettségeket, a kockázatkezelést, az incidensbejelentést, a beszállítói biztonságot, a naplózást, a felügyeletet, az auditbizonyítékot és a vezetői elszámoltathatóságot.

Végezzen NIS2 bizonyítékhiány-felülvizsgálatot a jelenlegi IBIR-éhez képest. Kezdje a hatókörfeljegyzéssel, a jogi nyilvántartással, a kockázati nyilvántartással, a SoA-val, a hatósági kapcsolattartói listával, az incidensbejelentési munkafolyamattal, a beszállítói nyilvántartással és az auditbizonyíték-mappával. Ha ezek a bizonyítékelemek hiányosak vagy nincsenek összekapcsolva, a Clarysec segíthet hatósági ellenőrzésre alkalmas bizonyítékcsomaggá alakítani őket, mielőtt a nemzeti hatóság kérné.