NIS2- és DORA-kapcsolattartási nyilvántartások ISO 27001-bizonyítékokhoz

A 02:17-es incidens: amikor a kapcsolattartási lista kontrollá válik

Kedden 02:17-kor a SOC elemzője azt a mintázatot látja, amelyet senki sem szeretne látni. Egy emelt jogosultságú szolgáltatásfiók szokatlan földrajzi helyről hitelesített, az ügyfélnyilvántartásokat egymás után lekérdezték, és egy menedzselt detektálási és reagálási szolgáltató magas súlyosságú jegyet nyitott. Perceken belül az incidensirányító megerősíti az aggályt: zsarolóvírusra utaló jelek terjednek laterálisan, egy kritikus éles szolgáltatás degradált állapotban működik, és ügyféladatok is érintettek lehetnek.

A technikai reagálás gyorsan elindul. A végpontokat izolálják, az identitásnaplókat lekérik, a felhőalapú pillanatképeket megőrzik, és a menedzselt biztonsági szolgáltató csatlakozik a híváshoz. Ezután kezdődik a hidegebb pánik.

A CISO megkérdezi: „Kit kell értesítenünk?”

A jogi terület szerint szükség lehet az adatvédelmi hatóság bevonására. Az adatvédelmi tisztviselő (DPO) azt kérdezi, személyesadat-sértésről van-e szó. A COO szerint a felhőszolgáltatónál a vállalati támogatási szerződés alapján eszkalálni kell az ügyet. A megfelelési vezető azt kérdezi, hogy a szervezet a NIS2 szerint fontos szervezetnek minősül-e, vagy a DORA alkalmazandó-e, mert a szolgáltatás szabályozott pénzügyi szervezetet támogat. Az igazgatóság tudni akarja, minek kell megtörténnie az első 24 órában.

Senki sem vitatja a kommunikáció szükségességét. A probléma az, hogy az elérhetőségi adatok, a jóváhagyási útvonal, a jogi kiváltó feltételek és a bizonyítási követelmények egy régi üzletmenet-folytonossági táblázatban, beszállítói szerződésekben, e-mail-szálakban, elavult megfelelőségi wikiben és egyetlen személy telefonjában vannak szétszórva.

Ez nem pusztán operatív kellemetlenség. 2026-ban ez megfelelési hiányosság.

A NIS2 az incidensek szakaszos bejelentését irányítási kötelezettséggé tette, beleértve a 24 órán belüli korai figyelmeztetést, a 72 órán belüli értesítést és a jelentős incidensekről egy hónapon belül készítendő zárójelentést. A DORA a pénzügyi szervezetek számára önálló digitális működési reziliencia-keretrendszert hozott létre, beleértve az IKT-incidenskezelést, az osztályozást, a felügyeleti jelentéstételt, az IKT harmadik fél kockázatát és a válságkommunikációt. A GDPR minden olyan esetben releváns marad, amikor személyes adatok érintettek. Az ISO/IEC 27001:2022 ezeket a kötelezettségeket auditálható irányítási rendszerbeli bizonyítékokká alakítja.

A szabályozói kapcsolattartási nyilvántartás adminisztratívnak hangzik. Nem az. Ez a kapcsolóelem az incidensreagálás, a jogi értesítés, az üzletmenet-folytonosság, a beszállítói koordináció, a felsővezetői elszámoltathatóság és az auditbizonyíték között.

A Clarysec ezt bizonyítási kérdésként kezeli, nem papírgyakorlatként. A Zenith Blueprint: auditoroknak szóló 30 lépéses ütemterv Zenith Blueprint című anyagban a Kontrollok működés közben szakasz 22. lépése bemutatja, miért kell a hatóságokkal való kapcsolattartást előre meghatározni:

Az 5.5 kontroll biztosítja, hogy a szervezet szükség esetén felkészült legyen a külső hatóságokkal való együttműködésre, nem reaktív módon vagy pánikhelyzetben, hanem előre meghatározott, strukturált és jól ismert csatornákon keresztül.

Ez a 02:17-es incidens valódi tanulsága. A szabályozó hatóság bejelentési portálját, a CSIRT ügyeleti telefonszámát, a DPO helyettes kapcsolattartóját, a pénzügyi felügyelet jelentési csatornáját és a beszállítói eszkalációs útvonalat az incidens előtt kell megtalálni, nem akkor, amikor a jelentéstételi határidő már ketyeg.

Miért váltak a szabályozói kapcsolattartási nyilvántartások 2026-os megfelelési prioritássá

Sok szervezetnek már vannak vészhelyzeti kapcsolattartási listái. A probléma az, hogy a NIS2 és a DORA fegyelmezettebb megközelítést követel meg, mint egy nevekből és telefonszámokból álló lista. Pontos, szerepköralapú, bizonyításra alkalmas kapcsolattartási irányítást várnak el, amely jogi kiváltó feltételekhez, eszkalációs hatáskörhöz, jelentéstételi határidőkhöz és beszállítói függőségekhez kapcsolódik.

A NIS2 alapvető és fontos szervezetek széles körére alkalmazandó olyan ágazatokban, mint az energia, közlekedés, banki szolgáltatások, pénzügyi piaci infrastruktúra, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatásmenedzsment, közigazgatás és űrágazat. Számos digitális szolgáltatóra is kiterjed, beleértve a felhőszolgáltatásokat, adatközpont-szolgáltatásokat, tartalomkézbesítő hálózatokat, menedzselt szolgáltatókat, menedzselt biztonsági szolgáltatókat, online piactereket, online keresőmotorokat és közösségi hálózati platformokat. A tagállamoknak 2025. április 17-ig kellett létrehozniuk az alapvető és fontos szervezetek listáit, és azokat legalább kétévente frissíteniük kell. Sok felhő-, SaaS-, menedzselt szolgáltatás- és digitálisplatform-szolgáltató számára a szabályozói kitettség elméleti kérdésből operatív kérdéssé vált.

A DORA 2025. január 17-től alkalmazandó olyan pénzügyi szervezetekre, mint a hitelintézetek, pénzforgalmi intézmények, elektronikuspénz-kibocsátó intézmények, befektetési vállalkozások, kriptoeszköz-szolgáltatók, kereskedési helyszínek, központi értéktárak, központi szerződő felek, biztosítók és viszontbiztosítók, valamint más, hatálya alá tartozó pénzügyi ágazati szervezetek. A DORA az IKT harmadik fél ökoszisztémája szempontjából is kiemelten releváns, mert a pénzügyi szervezeteknek kezelniük kell a kritikus vagy fontos funkciókat támogató szolgáltatókat. A DORA Article 17 IKT-vonatkozású incidenskezelési folyamatot ír elő, az Article 18 osztályozási elvárásokat határoz meg, az Article 19 pedig a jelentős IKT-vonatkozású incidensek illetékes hatóság felé történő jelentését szabályozza.

A GDPR hozzáadja az adatvédelmi dimenziót. Egy kiberbiztonsági incidens személyesadat-sértéssé válhat, ha személyes adatok véletlen vagy jogellenes megsemmisítésével, elvesztésével, megváltoztatásával, jogosulatlan közlésével vagy az azokhoz való jogosulatlan hozzáféréssel jár. Az adatkezelőnek képesnek kell lennie az elszámoltathatóság igazolására, az érintettekre vonatkozó kockázat értékelésére, és szükség esetén a felügyeleti hatóság, valamint adott esetben az érintett személyek értesítésére.

Egy érett szabályozói kapcsolattartási nyilvántartásnak nyomás alatt öt kérdésre kell választ adnia:

• Melyik CSIRT, illetékes hatóság, pénzügyi felügyelet, adatvédelmi hatóság és bűnüldözési kapcsolattartó vonatkozik erre a jogi személyre, joghatóságra és szolgáltatásra?
• Melyik belső szerepkör jogosult a kapcsolatfelvétel kezdeményezésére, a szöveg jóváhagyására és az értesítések benyújtására?
• Mely beszállítókat kell megkeresni az elszigetelés, a naplók, a helyreállítás, a bizonyítékok megőrzése vagy a szerződéses jelentéstétel érdekében?
• Mely ügyfél-, szerződő partneri vagy nyilvános kommunikációs útvonal aktiválódik az egyes súlyossági szinteken?
• Hogyan igazoljuk, hogy a nyilvántartást felülvizsgálták, tesztelték és megfelelően használták?

A válasz nem maradhat kizárólag a jogi terület postafiókjában vagy a CISO emlékezetében. Kontrollált IBIR-nyilvántartásnak kell lennie.

Mit tartalmaz egy bizonyítékkész NIS2- és DORA-kapcsolattartási nyilvántartás

A szabályozói kapcsolattartási nyilvántartást valós incidens során történő használatra kell kialakítani. Ha az incidensirányítónak perceken belül meg kell hoznia az első eszkalációs döntést, a nyilvántartás nem lehet weboldalak homályos listája. Strukturáltnak, ellenőrzöttnek és a reagálási forgatókönyvhöz kapcsoltnak kell lennie.

Egy teljes nyilvántartásnak legalább hat kapcsolattartói kategóriát kell tartalmaznia.

Először a hivatalos kiberbiztonsági hatóságokat: nemzeti CSIRT-eket, illetékes hatóságokat, adott esetben egyedüli kapcsolattartó pontokat és ágazati kiberbiztonsági ügynökségeket.

Másodszor a DORA szerinti pénzügyi felügyeleteket: az illetékes hatóságokat és az első, közbenső és záró jelentős IKT-vonatkozású incidensjelentéshez használt jelentési csatornákat.

Harmadszor az adatvédelmi hatóságokat: adatvédelmi hatóságokat, határokon átnyúló adatkezelésnél alkalmazandó fő felügyeleti hatósági logikát és DPO-eszkalációs útvonalakat.

Negyedszer a bűnüldözést: kiberbűnözési egységeket, csalás elleni egységeket és vészhelyzeti kapcsolattartókat zsarolás, zsarolóvírus, jogosulatlan hozzáférés és bizonyítékmegőrzés esetére.

Ötödször a beszállítókat és IKT harmadik feleket: felhőszolgáltatókat, menedzselt biztonsági szolgáltatókat, menedzselt szolgáltatókat, identitásplatformokat, fizetési feldolgozókat, digitális forenzikai szolgáltatókat és jogi tanácsadókat.

Hatodszor a belső eszkalációs szerepköröket: incidensirányítót, CISO-t, DPO-t, jogi főtanácsadót, kommunikációs felelőst, üzletmenet-folytonossági felelőst, felsővezetői jóváhagyót, igazgatósági kapcsolattartót és szolgáltatásgazdát.

A nyilvántartásnak adott esetben szakmai érdekcsoportokat is tartalmaznia kell, például ISAC-eket vagy ágazati információmegosztó közösségeket. Ezek nem szabályozó hatóságok, de fontos csatornákká válhatnak a fenyegetettségi információk és a koordinált reagálás szempontjából.

A Zenith Blueprint ezt a 22. lépésben gyakorlati szintre hozza:

Hozzon létre vagy frissítsen eljárásokat a hatóságok bevonására biztonsági események során (5.5), beleértve a helyi CERT-ek, szabályozók és bűnüldöző szervek elérhetőségeit. Tartson fenn hasonló kapcsolattartási listát a biztonsági fórumokon vagy ágazatspecifikus csoportokban való részvételhez (5.6). Tárolja ezeket az információkat hozzáférhető, de hozzáférés-szabályozott helyen, és építse be az incidensreagálási helyreállítási forgatókönyvbe.

Ez az utolsó mondat lényeges. Ha a nyilvántartás nincs benne az incidensreagálási helyreállítási forgatókönyvben, valós nyomás alatt valószínűleg nem fogják használni.

Példa kapcsolattartási nyilvántartási struktúrára FinTech- vagy SaaS-szolgáltató számára

Képzeljünk el egy fintech SaaS-szolgáltatót, amely uniós ügyfelek számára fizetési analitikát támogat. Felhőszolgáltatót, menedzselt detektálási szolgáltatót, identitásplatformot, ügyféltámogatási platformot és külső jogi tanácsadót használ. Szerepétől függően lehet pénzügyi szervezet, IKT harmadik fél szolgáltató, NIS2 hatálya alá tartozó digitális szolgáltató, vagy a GDPR szerinti személyesadat-feldolgozó.

Egy gyakorlati nyilvántartás így kezdődhet:

A bejegyzések nem tartalmazhatnak szükségtelen személyes adatokat. Ahol lehetséges, szerepköralapú kapcsolattartókat kell használni, védeni kell az érzékeny elérhetőségeket, és nagy kiesés esetére biztosítani kell az offline elérhetőséget. Az a nyilvántartás, amely csak ugyanazokból a rendszerekből érhető el, amelyeket egy zsarolóvírus-incidens érint, nem reziliens.

A nyilvántartás megfeleltetése ISO/IEC 27001:2022 bizonyítékokhoz

Az auditorok ritkán azért minősítenek nem megfelelőnek egy szervezetet, mert nincs táblázata. Azért teszik, mert a szervezet nem tudja igazolni, hogy a táblázat teljes, naprakész, jóváhagyott, védett, tesztelt és tényleges folyamatokhoz kapcsolódik.

Az ISO/IEC 27001:2022 a szervezeti kontextussal kezdődik. A 4.1–4.4 pontok előírják, hogy a szervezet értse a belső és külső kérdéseket, azonosítsa az érdekelt feleket és követelményeiket, határozza meg az IBIR alkalmazási területét, valamint értse az interfészeket és függőségeket. A szabályozói kapcsolattartási nyilvántartás erős bizonyíték arra, hogy a jogi, szabályozási, szerződéses és érdekelt felektől származó követelményeket operatív kapcsolatokra fordították le.

Ezt követi a vezetés. Az 5.1–5.3 pontok előírják, hogy a felső vezetés bizonyítsa vezető szerepét, jelölje ki a felelősségeket, biztosítsa a kommunikációt és támogassa az IBIR-t. Ha a nyilvántartás azonosítja, ki jogosult CSIRT-et, felügyeleti hatóságot vagy adatvédelmi hatóságot értesíteni, ki hagyja jóvá a külső kommunikációt, és ki jelent incidensstátuszt a felső vezetésnek, akkor vezetői bizonyítékot támogat.

A kockázattervezés ezután a kötelezettségeket intézkedésekké alakítja. A 6.1.1–6.1.3 pontok kockázatértékelési és kockázatkezelési folyamatot, az A melléklettel való összevetést, alkalmazhatósági nyilatkozatot, kockázatkezelési tervet és maradványkockázat-elfogadást írnak elő. A nyilvántartásnak meg kell jelennie az olyan kockázatok kezelési tervében, mint a jogi értesítési hiba, a késedelmes incidenseszkaláció, a beszállítói reagálási hiba, a határokon átnyúló értesítési hiba és az üzletmenet-folytonossági kommunikáció megszakadása.

Az A melléklet kontrollhivatkozásai egyértelműek:

A Zenith Controls: keresztmegfelelési útmutató Zenith Controls a hatóságokkal való kapcsolattartást 5.5 kontrollként kezeli, megelőző és helyesbítő jellemzőkkel. Támogatja a bizalmasságot, sértetlenséget és rendelkezésre állást, és kapcsolódik az Identify, Protect, Respond és Recover kiberbiztonsági koncepciókhoz. A Zenith Controls az incidens-tervezéshez, eseményjelentéshez, fenyegetettségi információkhoz, szakmai csoportokhoz és incidensreagáláshoz köti. Azt is bemutatja, hogy a szabályozókkal, bűnüldöző szervekkel, nemzeti CERT-ekkel vagy adatvédelmi ügynökségekkel előre kialakított kapcsolatok miért teszik lehetővé a gyorsabb eszkalációt és iránymutatást olyan események során, mint a jelentős adatsértések vagy zsarolóvírus-támadások.

A kontroll nem elszigetelt. A Zenith Controls a 6.8 kontrollt, az információbiztonsági események jelentését is feltérképezi észlelő kontrollként, amely incidens-tervezéshez, eseményértékeléshez, reagáláshoz, tanulságokhoz, tudatossághoz, felügyelethez és fegyelmi eljáráshoz kapcsolódik. Az 5.24 kontroll, az információbiztonsági incidenskezelés tervezése és előkészítése, eseményértékeléshez, tanulságokhoz, naplózáshoz, felügyelethez, zavartatás alatti biztonsághoz, folytonossághoz és a hatóságokkal való kapcsolattartáshoz kapcsolódik. Az audittörténet erősebbé válik, ha az eseményeket jelentik, értékelik, eszkalálják, kommunikálják, bizonyítják és javítják.

NIS2, DORA és GDPR: egy nyilvántartás, eltérő jogi határidők

Egyetlen incidens több jogi munkafolyamatot is aktiválhat. Egy SaaS-szolgáltatónál bekövetkező jogosulatlan hozzáférés lehet NIS2 szerinti jelentős incidens, GDPR szerinti személyesadat-sértés és szerződéses ügyfélértesítési esemény is. Egy pénzügyi szervezetnél bekövetkező kiesés lehet DORA szerinti jelentős IKT-vonatkozású incidens, miközben GDPR-elemzést és beszállítói koordinációt is igényel.

A NIS2 előírja, hogy az alapvető és fontos szervezetek indokolatlan késedelem nélkül értesítsék CSIRT-jüket vagy illetékes hatóságukat a szolgáltatásnyújtást érintő jelentős incidensekről. A szakaszos jelentési modell magában foglalja az indokolatlan késedelem nélkül és a tudomásszerzéstől számított 24 órán belül adandó korai figyelmeztetést, az indokolatlan késedelem nélkül és 72 órán belül adandó incidensértesítést, kérésre közbenső státuszjelentéseket, valamint az incidensértesítést követő egy hónapon belül zárójelentést. Ha az incidens még folyamatban van, előrehaladási jelentéstételre is szükség lehet.

A DORA előírja, hogy a pénzügyi szervezetek tartsanak fenn IKT-vonatkozású incidenskezelési folyamatot, amely észleli, kezeli és bejelenti az incidenseket, nyilvántartja az incidenseket és a jelentős kiberfenyegetéseket, besorolja a súlyosságot és kritikusságot, szerepköröket rendel hozzá, meghatározza az eszkalációt és kommunikációt, jelentős incidenseket jelent a felső vezetésnek, és támogatja az időszerű helyreállítást. A jelentős IKT-vonatkozású incidensek jelentése első, közbenső és záró jelentési logikát követ, az osztályozás pedig olyan tényezőkön alapul, mint az érintett ügyfelek, az időtartam, a földrajzi kiterjedés, az adatvesztés, a szolgáltatások kritikussága és a gazdasági hatás.

A GDPR hozzáadja a személyesadat-sértési értékelést. A kapcsolattartási nyilvántartás önmagában nem dönt a jogi jelentéskötelességről. Biztosítja, hogy a megfelelő személyek gyorsan tudjanak dönteni, aktuális csatornákat és dokumentált kritériumokat használva.

A Clarysec szabályzattára ezt operatívvá teszi. A KKV-k számára készült Incidenskezelési szabályzat Incidenskezelési szabályzat - KKV 5.1.1 pontja kimondja:

Az ügyvezető (GM) felelős valamennyi incidenseszkalációs döntés, szabályozói értesítés és külső kommunikáció engedélyezéséért.

Ugyanez a KKV-szabályzat a 7.4.1 pontban hozzáteszi:

Amennyiben ügyféladatok érintettek, az ügyvezetőnek a GDPR, NIS2 vagy DORA alkalmazhatósága alapján értékelnie kell a jogi értesítési kötelezettségeket.

Vállalati környezetben az Incidenskezelési szabályzat Incidenskezelési szabályzat 5.5 pontja meghatározza a kommunikációs keretrendszert:

Minden incidenssel kapcsolatos kommunikációnak a Kommunikációs és eszkalációs mátrixot kell követnie, biztosítva, hogy:

A 6.4.2 pont hozzáadja a bizonyítási követelményt:

Minden adatsértési értesítést dokumentálni és jóváhagyni kell a benyújtás előtt, és a másolatokat az IBIR-ben meg kell őrizni.

Itt válik a nyilvántartás ISO-bizonyítékká. Nem csak arról szól, hogy tudjuk, kit kell hívni. Arról szól, hogy igazolni tudjuk, ki volt jogosult, mit értékeltek, mit hagytak jóvá, mit nyújtottak be, és hol található a megőrzött másolat.

A Clarysec bizonyítási modellje: négy együtt működő artefaktum

Az erős szabályozói kapcsolattartási képességhez négy artefaktumnak kell egy bizonyítási láncként működnie.

A szabályozói kapcsolattartási nyilvántartás azonosítja a kapcsolattartókat, csatornákat, kiváltó feltételeket és felelősöket. A kommunikációs és eszkalációs mátrix meghatározza, ki mit tesz. A döntési napló rögzíti az osztályozást, a jelentéskötelességi értékelést, a jogi felülvizsgálatot és a jóváhagyást. Az értesítési bizonyítékcsomag megőrzi a benyújtott értesítéseket, portál-nyugtákat, e-maileket, hívásjegyzeteket, szabályozói visszajelzéseket, beszállítói válaszokat és zárójelentéseket.

A Clarysec Jogi és szabályozói megfelelési szabályzata Jogi és szabályozói megfelelési szabályzat - KKV explicitté teszi a nyilvántartási koncepciót. Az 5.5.2 pont kimondja:

A kulcsfontosságú megfelelési feltételeket (például az adatsértés-bejelentési határidőket és az adatkezelési záradékokat) ki kell nyerni és nyomon kell követni a Megfelelőségi Nyilvántartásban.

A Megfelelőségi Nyilvántartásnak táplálnia kell a szabályozói kapcsolattartási nyilvántartást. A jogi követelmény mondhatja azt, hogy „NIS2 korai figyelmeztetés 24 órán belül”, míg a kapcsolattartási nyilvántartás azonosítja a nemzeti CSIRT-portált, a tartalék ügyeleti számot, a benyújtásra jogosult szerepkört, a jogi felülvizsgálót, a szükséges bizonyítékokat és a megőrzési útvonalat.

Az üzletmenet-folytonossági szabályzatok ugyanezt az elvárást erősítik meg. A KKV Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzata Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat - KKV 5.2.1.1 pontja a következőkre hivatkozik:

kapcsolattartási listák és alternatív kommunikációs tervek

A vállalati Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat 5.3.3 pontja előírja, hogy a folytonossági intézkedéseket:

naprakész kapcsolattartási listáknak és eszkalációs folyamatoknak kell támogatniuk

A beszállítói irányítás szintén a modell része. A KKV Harmadik fél és beszállítói biztonsági szabályzatban Harmadik fél és beszállítói biztonsági szabályzat - KKV az 5.4.3 pont előír egy:

kijelölt kapcsolattartó személyt

NIS2 és DORA esetén ez a kapcsolattartó nem lehet általános. Ha egy kritikus felhőszolgáltató, menedzselt biztonsági szolgáltató, identitásszolgáltató vagy fizetési feldolgozó szabályozott szolgáltatást támogat, a nyilvántartásnak azonosítania kell az operatív kapcsolattartót, a biztonsági incidens kapcsolattartóját, a szerződéses értesítési csatornát és a bizonyítékkérések eszkalációs útvonalát.

A nyilvántartás elkészítése egy munkamenetben

Használható nyilvántartás gyorsan felépíthető, ha a megfelelő személyek vannak a szobában. Ütemezzen kétórás munkamenetet a CISO, a DPO, a jogi tanácsadó, a beszállítókezelő, az üzletmenet-folytonossági felelős, az incidensirányító és a megfelelési felelős részvételével.

Kezdje a Megfelelőségi Nyilvántartással. Gyűjtse ki a NIS2, DORA, GDPR, szerződéses és ágazati jelentéstételi kötelezettségeket. Rögzítse a határidőket, a jelentéskötelességi kritériumokat és a bizonyítási követelményeket.

Nyissa meg az incidensreagálási helyreállítási forgatókönyvet. Minden incidenskategóriához – például zsarolóvírus, jogosulatlan hozzáférés, szolgáltatáskiesés, adatkivitel, beszállítói incidens és felhőrégió-hiba – azonosítsa a szükséges külső kapcsolattartókat.

Töltse fel a szabályozói kapcsolattartási nyilvántartást hatósággal, joghatósággal, kiváltó feltétellel, elsődleges csatornával, tartalék csatornával, felelőssel, jóváhagyóval, szükséges bizonyítékokkal, utolsó ellenőrzési dátummal és megőrzési hellyel.

Kapcsolja be a beszállítói kapcsolattartókat. Minden kritikus vagy fontos funkció esetében azonosítsa a szolgáltató biztonsági incidens kapcsolattartóját, szerződéses értesítési csatornáját, auditkapcsolattartóját és vészhelyzeti eszkalációs útvonalát.

Vesse össze a szabályzatokkal. Erősítse meg, hogy az eszkalációs hatáskör megfelel az Incidenskezelési szabályzatnak, az értesítési bizonyítékok megőrzése az IBIR-ben történik, az üzletmenet-folytonossági kapcsolattartási listák összhangban vannak, és a beszállítói kapcsolattartóknak kijelölt felelőseik vannak.

Teszteljen egy forgatókönyvet. Használjon fókuszált asztali gyakorlatot: „02:17-kor EU-s ügyfeleket érintő ügyféladat-kitettséget észleltek, amelyet feltehetően kompromittálódott identitásszolgáltatói hitelesítő adatok okoztak.” Kérje meg a csapatot annak azonosítására, hogy szükség lehet-e CSIRT-, adatvédelmi hatósági, pénzügyi felügyeleti, beszállítói és ügyfélértesítésekre. A cél nem az, hogy a gyakorlat során végleges jogi következtetést kényszerítsenek ki. A cél annak igazolása, hol találhatók a kapcsolattartók, ki hagyja jóvá a kapcsolatfelvételt, milyen bizonyítékokra van szükség, és hol naplózzák a döntéseket.

Hozza létre a bizonyítékcsomagot. Mentse a nyilvántartás verzióját, a résztvevőket, a jóváhagyásokat, a forgatókönyv-jegyzeteket, a döntési naplót, az intézkedési tételeket és a frissített helyreállítási forgatókönyv hivatkozását.

Itt válik gyakorlativá a Zenith Blueprint 23. lépése:

Biztosítsa, hogy naprakész incidensreagálási terve (5.24) legyen, amely lefedi az előkészítést, az eszkalációt, a reagálást és a kommunikációt. Határozza meg, mi minősül bejelentésköteles biztonsági eseménynek (5.25), és hogyan indul el, illetve hogyan dokumentálják a döntéshozatali folyamatot. Válasszon ki egy közelmúltbeli eseményt, vagy tartson asztali gyakorlatot a terv ellenőrzésére.

A gyakorlatnak nem kell bonyolultnak lennie. A felkészültséget kell igazolnia.

Keresztmegfelelési megfeleltetés: egy nyilvántartás, sok keretrendszer

A szabályozói kapcsolattartási nyilvántartás értéke abban áll, hogy csökkenti a párhuzamos megfelelési erőfeszítéseket. Egyetlen bizonyítékkész artefaktum támogathatja az ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 és COBIT 2019 irányítási elvárásait.

A NIST CSF 2.0 különösen hasznos integrációs rétegként. GOVERN funkciója elvárja, hogy a szervezetek értsék az érdekelt feleket, a jogi és szabályozási kötelezettségeket, a kritikus szolgáltatásokat, a függőségeket, a kockázatvállalási hajlandóságot, a szerepköröket, a szabályzatokat, a felügyeletet és a beszállítói kockázatot. CSF-profiljai segítik a szervezeteket az aktuális profil dokumentálásában, a célprofil meghatározásában, a hiányok elemzésében és priorizált intézkedési terv létrehozásában. A szabályozói kapcsolattartási nyilvántartás konkrét bizonyíték lehet arra, hogy a jelenlegi és célállapotú incidensirányítás közötti rés megszűnt.

Az ellátási lánc esetében a NIST CSF 2.0 elvárja, hogy a beszállítók, ügyfelek és partnerek meghatározott kiberbiztonsági szerepkörökkel és felelősségekkel rendelkezzenek, a beszállítói kritikusság ismert legyen, a kiberbiztonsági követelmények beépüljenek a megállapodásokba, a beszállítói kockázatokat értékeljék, és a releváns beszállítókat bevonják az incidens-tervezésbe, reagálásba és helyreállításba. Ez közvetlenül megfelel a DORA IKT harmadik fél kockázatának és a NIS2 ellátási láncra vonatkozó elvárásainak.

Hogyan tesztelik az auditorok és felügyeletek ugyanazt a nyilvántartást

Egy jól karbantartott nyilvántartást a felülvizsgáló nézőpontjától függően eltérően vizsgálnak.

Egy ISO/IEC 27001:2022 auditor a hatókörrel és az érdekelt felekkel kezdi. Meg fogja kérdezni, hogyan azonosította a szervezet az alkalmazandó hatóságokat, jogi kötelezettségeket, szerződéses értesítési kötelezettségeket és kiszervezett függőségeket. Ezután a nyilvántartást az alkalmazhatósági nyilatkozathoz, az incidensreagálási tervhez, az üzletmenet-folytonossági tervhez és a bizonyítékmegőrzéshez vezeti vissza. Mintát vehet egy kapcsolattartóból, és kérheti az utolsó ellenőrzés bizonyítékát.

Egy NIS2-értékelő arra fog fókuszálni, hogy a szervezet azonosította-e a megfelelő CSIRT-et vagy illetékes hatóságot, és hogy a jelentős incidens küszöbértékei operatívvá váltak-e. Olyan folyamatot keres, amely képes támogatni a 24 órás korai figyelmeztetést, a 72 órás értesítést és a zárójelentést. A vezető testületi felügyeletet is vizsgálni fogja, mert a NIS2 Article 20 a kiberbiztonsági irányítást vezetői felelősséggé teszi.

Egy DORA-felügyelet vagy belső auditcsapat azt fogja tesztelni, hogy a nyilvántartás támogatja-e az incidenskezelést, az osztályozást, a jelentős IKT-vonatkozású incidensek jelentését, a válságkommunikációt, a felső vezetés felé történő jelentéstételt, a beszállítói koordinációt és az operatív helyreállítást. Megkérdezhetik, vannak-e kapcsolattartók a kritikus vagy fontos funkciókat támogató IKT harmadik fél szolgáltatókhoz, és hogy a kommunikációs kötelezettségek tükröződnek-e a szerződésekben.

Egy GDPR-auditor vagy DPO-felülvizsgálat a személyesadat-sértési értékelésre összpontosít. Megkérdezik, hogy a DPO és az adatvédelmi jogi kapcsolattartók korán bevonásra kerülnek-e, világosak-e az adatkezelői és adatfeldolgozói szerepek, azonosították-e a megfelelő felügyeleti hatóságot, és rögzítették-e az érintetti kommunikációs döntéseket.

Egy NIST CSF-értékelő a nyilvántartást a GOVERN eredmények bizonyítékaként kezeli: érdekelt felek elvárásai, jogi kötelezettségek, szerepkörök, szabályzatok, felügyelet és ellátási lánc kockázata. Egy COBIT 2019 vagy ISACA-típusú auditor azt vizsgálja, hogy az érdekelt felek igényei irányítási és menedzsmentgyakorlatokká alakultak-e, a felelősségeket kijelölték-e, és a folyamat teljesítményét monitorozzák-e.

Ugyanannak az artefaktumnak mindezeket a kérdéseket ki kell állnia. Ezért a nyilvántartásnak kontrolláltnak, tulajdonossal rendelkezőnek, felülvizsgáltnak, hozzáférés-szabályozottnak és teszteltnek kell lennie.

Gyakori hibaminták a kapcsolattartási irányításban

A szervezetek ritkán azért buknak el, mert egyáltalán nincsenek kapcsolattartóik. Azért buknak el, mert a kapcsolattartókban nem lehet megbízni valós incidens során.

Minden probléma előre látható auditmegállapítást eredményez. A helyesbítő intézkedés ugyanilyen előre látható: a nyilvántartást a szabályzathoz kell igazítani, be kell építeni az incidensreagálásba, ellenőrizni kell a kapcsolattartókat, tesztelni kell a munkafolyamatot és meg kell őrizni a bizonyítékokat.

Igazgatósági és vezetői elszámoltathatóság

A NIS2 előírja, hogy a vezető testületek hagyják jóvá a kiberbiztonsági kockázatkezelési intézkedéseket, felügyeljék a végrehajtást és képzésen vegyenek részt. A DORA Article 5 az irányító testületet teszi felelőssé az IKT-kockázati intézkedések meghatározásáért, jóváhagyásáért, felügyeletéért és elszámoltathatóságáért, beleértve a szabályzatokat, szerepköröket, IKT üzletmenet-folytonosságot, reagálási és helyreállítási terveket, IKT harmadik fél szabályzatot, tudatosságot és képzést. Az ISO/IEC 27001:2022 előírja, hogy a vezetés az IBIR-t a stratégiai iránnyal összhangba hozza, erőforrásokat biztosítson, felelősségeket jelöljön ki és támogassa a folyamatos fejlesztést.

Az igazgatóságnak nem kell fejből tudnia a CSIRT telefonszámát. Bizonyosságra van szüksége arról, hogy az értesítési felkészültség létezik, felelőse van, tesztelt és felülvizsgált.

Egy negyedéves vezetői csomagnak tartalmaznia kell:

• A szabályozói kapcsolattartási nyilvántartás felülvizsgálati státuszát
• Az alkalmazandó hatóságokban, felügyeletekben vagy joghatóságokban bekövetkezett változásokat
• A beszállítói incidenskapcsolattartók nyitott hiányosságait
• Az asztali gyakorlatok eredményeit és tanulságait
• Az értesítés-jóváhagyási munkafolyamat tesztelésének bizonyítékait
• Mutatókat az észleléstől az eszkalációs döntésig eltelt időről
• A NIS2, DORA, GDPR és szerződéses jelentéstételi kötelezettségek frissítéseit
• Vezetői elfogadást igénylő maradványkockázatokat

Ez a nyilvántartást operatív táblázatból irányítási kontrollá emeli.

Hogyan segít a Clarysec auditra kész kapcsolattartási irányítást kialakítani

A Clarysec a szabályzati szöveget, a bevezetési sorrendet és a keretrendszerek közötti kontrollmegfeleltetést egyetlen bizonyítási útvonallá kapcsolja össze.

A szabályzattár meghatározza az elszámoltathatóságot és a szükséges nyilvántartásokat. Az Incidenskezelési szabályzat meghatározza az eszkalációval, az értesítések jóváhagyásával és a megőrzéssel kapcsolatos elvárásokat. A Jogi és szabályozói megfelelési szabályzat előírja a megfelelési feltételek, például az adatsértés-bejelentési határidők nyomon követését. Az Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat naprakész kapcsolattartási listákat és alternatív kommunikációs terveket ír elő. A Harmadik fél és beszállítói biztonsági szabályzat kijelölt beszállítói kapcsolattartókat ír elő.

A Zenith Blueprint bevezetési sorrendet ad. Az IBIR Foundation & Leadership szakasz 5. lépése a kommunikációt, tudatosságot és kompetenciát kezeli, beleértve a külső érdekelt feleket, az időzítést, a kommunikátori szerepköröket és a kommunikációs terveket. A 22. lépés a hatósági és szakmai csoport kapcsolattartókat szervezeti kontrollokká építi be. A 23. lépés ellenőrzi az incidenskezelést, a bejelentésköteles eseményekre vonatkozó döntéseket, a forenzikus bizonyítékok megőrzését és a tanulságokat.

A Zenith Controls útmutató adja a keresztmegfelelési iránytűt. Megmutatja, hogyan kapcsolódik a hatóságokkal való kapcsolattartás az incidens-tervezéshez, eseményjelentéshez, fenyegetettségi információkhoz, szakmai csoportokhoz és incidensreagáláshoz. Azt is bemutatja, miért szükséges társai az információbiztonsági események jelentése és az incidensre való felkészülés. A kapcsolattartási nyilvántartás csak akkor hatékony, ha az eseményeket elég korán jelentik és értékelik ahhoz, hogy aktiválják.

KKV-k számára ez karcsú, de igazolható nyilvántartást, egyértelmű elszámoltathatóságot és arányossághoz illeszkedő bizonyítékot jelent. Vállalatok számára ez joghatóságok, jogi személyek, üzleti egységek, beszállítók, szabályozók, felügyeletek, CSIRT-ek és igazgatósági jelentéstétel közötti integrációt jelent.

Következő lépések: építse fel a nyilvántartást, mielőtt elindul az óra

Ha szervezete NIS2-re, DORA-ra, GDPR szerinti adatsértés-bejelentési felkészültségre vagy ISO/IEC 27001:2022 tanúsításra készül, ne várjon éles incidensre annak kiderítéséhez, hogy működik-e a kapcsolattartási irányítása.

Kezdje a héten négy lépéssel:

1. Hozza létre vagy frissítse a szabályozói kapcsolattartási nyilvántartást CSIRT-ek, illetékes hatóságok, pénzügyi felügyeletek, adatvédelmi hatóságok, bűnüldözés, kritikus beszállítók és belső eszkalációs szerepkörök számára.
2. Rendeljen minden kapcsolattartót kiváltó feltételhez, felelőshöz, jóváhagyási útvonalhoz, bizonyítási követelményhez és megőrzési helyhez.
3. Futtasson egy asztali gyakorlatot, amely az értesítési döntésekre, a hatósági kapcsolattartásra, a beszállítói koordinációra és a bizonyítékmegőrzésre fókuszál.
4. Frissítse az IBIR-nyilvántartásokat, beleértve a Megfelelőségi Nyilvántartást, az incidensreagálási helyreállítási forgatókönyvet, az üzletmenet-folytonossági kapcsolattartási listákat és a beszállítói kapcsolattartási nyilvántartásokat.

A Clarysec segíthet ezt gyorsan bevezetni a Zenith Blueprint Zenith Blueprint, a Zenith Controls Zenith Controls, valamint KKV- és vállalati szabályzattáraink használatával, beleértve az Incidenskezelési szabályzatot Incidenskezelési szabályzat, a Jogi és szabályozói megfelelési szabályzatot Jogi és szabályozói megfelelési szabályzat - KKV, az Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzatot Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat és a Harmadik fél és beszállítói biztonsági szabályzatot Harmadik fél és beszállítói biztonsági szabályzat - KKV.

A 24 órás határidő nem áll meg, amíg a csapata a megfelelő kapcsolattartót keresi. Építse fel most a nyilvántartást, tesztelje, és tegye az ISO-bizonyítékok részévé, mielőtt a következő incidens határozná meg az ütemezést.