Pranešimų apie DORA incidentus teikimas ir ISO 27001 kontrolės priemonės 2026 m.

2026 m. antradienio rytas, 08:17. Sarah, Europos FinTech informacijos saugumo vadovė (CISO), mato stebėsenos skydelį, mirksintį gintarine, o ne raudona spalva. Kritinė mokėjimų atsiskaitymo platforma lėtėja. Operacijos dar nėra visiškai sustojusios, tačiau jos trunka tris kartus ilgiau, nei leidžia paslaugų lygio susitarimai (SLA). SOC mato neįprastus autentifikavimo bandymus prieš administratoriaus paskyrą. Debesijos infrastruktūros teikėjas praneša apie pablogėjusią paslaugos kokybę vienoje prieinamumo zonoje. Klientų aptarnavimo komanda pradeda gauti verslo klientų skambučius, kuriuose klausiama, kodėl vėluoja mokėjimų failai.

Dar niekas nežino, ar tai kibernetinė ataka, veiklos atsparumo sutrikimas, tiekėjo paslaugos nepasiekiamumas, privatumo incidentas, ar visa tai vienu metu.

Sarah turi DORA problemą dar iki tol, kol techniniai faktai tampa aiškūs. Ar tai reikšmingas su IRT susijęs incidentas? Ar jis paveikia kritinę arba svarbią funkciją? Ar jis peržengė vidinę sunkumo ribą? Kam reikia pranešti, kada ir kokiais įrodymais remiantis? Jei susiję asmens duomenys, ar jau pradėjo tiksėti ir GDPR pranešimo terminas? Jei incidento grandinėje dalyvauja trečiosios šalies IRT teikėjas, kas atsako už faktus?

Būtent čia finansų subjektai pamato skirtumą tarp turimo reagavimo į incidentus plano ir auditui tinkamo DORA pranešimų apie incidentus veiklos modelio.

Pranešimų apie DORA incidentus teikimas 2026 m. reikalauja daugiau nei greito eskalavimo. Jis reikalauja pagrindžiamos grandinės nuo aptikimo iki klasifikavimo, nuo klasifikavimo iki pranešimo priežiūros institucijai, nuo pranešimo iki korekcinių veiksmų ir nuo korekcinių veiksmų iki įgytos patirties. ISO/IEC 27001:2022 suteikia valdymo sistemos struktūrą. ISO/IEC 27002:2022 A priedo kontrolės priemonės apibrėžia praktinius kontrolės lūkesčius. Clarysec politikos, 30 žingsnių veiksmų planas ir kryžminės atitikties gidas šiuos lūkesčius paverčia auditui parengtu įgyvendinimu.

Kodėl pranešimų apie DORA incidentus teikimas stringa esant spaudimui

Dauguma pranešimų apie DORA incidentus teikimo nesėkmių prasideda ne nuo aplaidumo. Jos prasideda nuo neapibrėžtumo.

Saugumo analitikas mato įspėjimą, bet nežino, ar jis pagal DORA laikytinas su IRT susijusiu incidentu. IT paslaugų vadovas pablogėjusį veikimą vertina kaip techninę paslaugos problemą, o atitikties funkcija – kaip reguliavimo įvykį. Teisės funkcija laukia patvirtinimo prieš eskaluodama. Verslo savininkas dar negali kiekybiškai įvertinti poveikio klientams. CISO nori įrodymų, bet aktualūs žurnalai išskaidyti tarp debesijos paslaugų, galinių įrenginių, tapatybės sistemų, SIEM ir tiekėjų platformų.

Kol organizacija susitaria dėl klasifikavimo, pranešimo terminas jau patiria spaudimą.

DORA 17–21 straipsniai nustato struktūruotą lūkestį dėl su IRT susijusių incidentų valdymo, klasifikavimo, pranešimo, pranešimo turinio ir priežiūrinio nagrinėjimo. Finansų subjektams praktinis reikalavimas aiškus: stebėti, valdyti, žurnaluoti, klasifikuoti, pranešti, atnaujinti informaciją ir mokytis iš su IRT susijusių incidentų taip, kad vėliau procesą būtų galima atkurti.

Clarysec Reagavimo į incidentus politika [IRP] DORA tiesiogiai įtraukia į pamatinę sistemą:

ES DORA reglamentas (2022/2554): 17 straipsnis: finansų įstaigų IRT incidentų pranešimo kompetentingoms institucijoms reikalavimai.

Ta pati politika incidentų valdymą susieja su ISO/IEC 27002:2022 kontrolės priemonėmis 5.25–5.27, apimančiomis atsakomybę už incidentų vertinimą, reagavimą, komunikaciją ir tobulinimą.

Mažesnėms finansinių technologijų įmonėms ir taupiai veikiančioms reguliuojamoms organizacijoms Clarysec Reagavimo į incidentus politika MVĮ [IRP-SME] šį įpareigojimą paverčia praktiniu, pabrėždama, kad DORA reikalauja, jog finansų subjektai klasifikuotų, praneštų ir sektų su IRT susijusius incidentus bei sutrikimus.

Ši formuluotė svarbi. DORA atitiktis nėra vien pranešimo šablonas. Organizacija turi klasifikuoti, pranešti ir sekti. Tai reiškia pradinio įvykio, sprendimo kriterijų, sunkumo lygio, pranešimo sprendimo, komunikacijos, atkūrimo veiksmų, tiekėjo dalyvavimo ir tolesnių veiksmų įrodymus.

ISO/IEC 27001:2022 kaip DORA incidentų valdymo centras

Brandži ISO/IEC 27001:2022 informacijos saugumo valdymo sistema neturi tapti dar vienu atitikties silosu šalia DORA. Ji turi tapti DORA pranešimų apie incidentus valdymo centru.

ISVS jau reikalauja rizikos savininkystės, kontrolės priemonių parinkimo, vidaus audito, vadovybės peržiūros, dokumentuotos informacijos, nuolatinio tobulinimo ir kontrolės priemonių veikimo įrodymų. DORA prideda sektoriui būdingą pranešimo spaudimą, tačiau ISO/IEC 27001:2022 suteikia valdysenos struktūrą, leidžiančią procesą kartoti nuosekliai.

Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas [ZB] šią integraciją sustiprina 13 žingsnyje – rizikos tvarkymo planavimas ir Taikomumo pareiškimas. Blueprint rekomenduoja susieti kontrolės priemones su rizikomis ir nuostatomis, kad būtų užtikrintas atsekamumas, įskaitant A priedo kontrolės priemonės nuorodos pridėjimą prie rizikų ir pažymėjimą, kada kontrolės priemonės palaiko GDPR, NIS2 arba DORA.

Sarah mokėjimų atsiskaitymo incidento rizikų registro įrašas galėtų būti:

„Mokėjimų apdorojimo platformos sutrikimas arba kompromitavimas.“

Susietos ISO/IEC 27001:2022 A priedo kontrolės priemonės apimtų 5.24, 5.25, 5.26, 5.27, 5.28, 6.8, 8.15 ir 8.16, kartu su DORA pastaba dėl reikšmingo su IRT susijusio incidento klasifikavimo ir pranešimo.

Clarysec Zenith Controls: kryžminės atitikties gidas [ZC] tada veikia kaip kryžminės atitikties kompasas. Zenith Controls Clarysec susieja ISO/IEC 27002:2022 kontrolės priemones su kitomis ISO/IEC 27001:2022 kontrolės priemonėmis, susijusiais standartais, audito lūkesčiais ir reglamentais, tokiais kaip DORA, GDPR ir NIS2. Jis nesukuria atskirų „Zenith kontrolės priemonių“. Jis parodo, kaip esamos ISO kontrolės priemonės veikia kartu ir kaip jos testuojamos.

DORA pranešimo darbo eigą galima vertinti kaip kontrolės priemonių grandinę:

Negalite pranešti apie tai, ko neaptikote. Negalite klasifikuoti to, ko neįvertinote. Negalite pagrįsti pranešimo sprendimo be įrašų. Negalite tobulėti be peržiūros po incidento.

Kontrolės priemonė 6.8: DORA laikmatis prasideda nuo žmonių

Sarah scenarijuje pirmas naudingas signalas gali ateiti ne iš SOC. Jis gali ateiti iš ryšių su klientais vadovo, girdinčio klientų skundus, finansų naudotojo, matančio nepavykusias atsiskaitymo partijas, arba inžinieriaus, pastebinčio neįprastą delsą.

Todėl ISO/IEC 27001:2022 A priedo kontrolės priemonė 6.8, informacijos saugumo įvykių pranešimas, yra esminė DORA požiūriu. Ji pranešimą paverčia visų darbuotojų atsakomybe, o ne vien saugumo operacijų funkcija.

Zenith Blueprint 16 žingsnyje „Personalo kontrolės priemonės II“ Clarysec nurodo:

Veiksminga reagavimo į incidentus sistema prasideda ne nuo įrankių, o nuo žmonių.

16 žingsnis rekomenduoja aiškius pranešimo kanalus, informuotumo mokymus, nekaltinimo kultūrą, pirminį vertinimą, konfidencialumą ir periodines simuliacijas. Naudingiausia praktinė žinutė paprasta:

„Jei abejoji, pranešk.“

Tai DORA kontrolės principas. Jei darbuotojai laukia, kol bus visiškai tikri, organizacija praranda laiką. Jei jie praneša anksti, organizacija gali įvertinti, klasifikuoti ir priimti sprendimą.

Zenith Controls 6.8 susieja kaip aptikimo kontrolės priemonę, palaikančią konfidencialumą, vientisumą ir prieinamumą. Ji jungiasi su 5.24, nes pranešimo kanalai turi būti incidentų plano dalis. Ji maitina 5.25, nes įvykiai gali būti įvertinti tik tada, kai apie juos pranešta. Ji inicijuoja 5.26, nes formalus reagavimas prasideda po to, kai pranešimai įvertinami.

DORA kontekste tai palaiko 17 ir 18 straipsnius, pagal kuriuos finansų subjektai turi valdyti, klasifikuoti ir pranešti apie reikšmingus su IRT susijusius incidentus ir reikšmingas kibernetines grėsmes. Tai taip pat palaiko GDPR 33 straipsnį ir 85 konstatuojamąją dalį, nes vidinis pranešimas lemia, kaip greitai identifikuojamas ir eskaluojamas asmens duomenų saugumo pažeidimas.

Praktinis Clarysec įgyvendinimo pavyzdys – vieno puslapio instrukcija „Kaip pranešti apie IRT incidentą“. Joje turi būti:

• Apie ką pranešti, įskaitant paslaugų nepasiekiamumą, įtartinus el. laiškus, prarastus įrenginius, neįprastą sistemų elgseną, įtariamą tiekėjo kompromitavimą, neteisėtą prieigą, duomenų nutekėjimą ir klientus paveikiantį paslaugos kokybės pablogėjimą.
• Kaip pranešti, naudojant stebimą pašto dėžutę, užklausos kategoriją, karštąją liniją, bendradarbiavimo kanalą arba SOC portalą.
• Ką įtraukti, pavyzdžiui, laiką, sistemą, naudotoją, verslo procesą, pastebėtą poveikį, ekrano kopijas, jei saugu, ir ar gali būti paveikti klientai arba asmens duomenys.
• Ko nedaryti, įskaitant žurnalų netrynimą, kritinių sistemų neperkrauti be nurodymo, nesusisiekti su išoriniais klientais be patvirtinimo ir netirti už savo vaidmens ribų.
• Kas vyksta toliau, įskaitant pirminį vertinimą, klasifikavimą, eskalavimą, reagavimą, įrodymų išsaugojimą ir galimą reguliacinį vertinimą.

Tikslas nėra kiekvieną darbuotoją paversti tyrėju. Tikslas – padaryti kiekvieną darbuotoją patikimu signalo šaltiniu.

Kontrolės priemonė 5.25: DORA klasifikavimo sprendimo taškas

Pranešimų apie reikšmingus su IRT susijusius incidentus teikimas pagal DORA priklauso nuo klasifikavimo. Čia ISO/IEC 27001:2022 A priedo kontrolės priemonė 5.25, informacijos saugumo įvykių vertinimas ir sprendimų priėmimas, tampa centrine.

Zenith Blueprint 23 žingsnis paaiškina praktinį iššūkį:

Ne kiekviena anomalija yra katastrofa. Ne kiekvienas įspėjimas rodo kompromitavimą.

Toliau 5.25 tikslas apibūdinamas taip:

atskirti nepavojingą nuo žalingo ir žinoti, kas reikalauja eskalavimo.

DORA kontekste tai momentas, kai saugumo įvykis, paslaugos kokybės pablogėjimas, tiekėjo sutrikimas, duomenų atskleidimas arba veiklos sutrikimas vertinamas pagal reikšmingo incidento kriterijus. Organizacija turi įvertinti veiklos poveikį, paveiktas paslaugas, kritines ar svarbias funkcijas, paveiktus klientus ir operacijas, trukmę, geografinį paplitimą, poveikį duomenims, reputacijos pasekmes ir ekonominį poveikį.

Zenith Controls 5.25 tiesiogiai susieja su DORA 18 straipsniu „Reikšmingų IRT incidentų klasifikavimas“. Tai struktūruotas vertinimo procesas, kuriuo nustatoma, ar pastebėtas įvykis laikytinas saugumo incidentu. Jis taip pat jungiasi su 8.16, stebėsenos veikla, nes įspėjimai ir žurnalų duomenys turi būti pirminiai įvertinti, ir su 5.26, nes klasifikavimas inicijuoja reagavimą.

Čia daugelis organizacijų neišlaiko audito. Jos turi užklausas, bet neturi klasifikavimo įrašų. Jos turi sunkumo žymas, bet neturi kriterijų. Jos turi pranešimus priežiūros institucijoms, bet neturi sprendimo pėdsako, įrodančio, kodėl incidentas buvo arba nebuvo laikomas reikšmingu.

Clarysec tai sprendžia įtraukdama DORA klasifikavimą į incidentų sunkumo modelį. Organizacijai skirtoje Reagavimo į incidentus politikoje 5.3.1 nuostata pateikia aiškų 1 lygio pavyzdį:

1 lygis: kritinis (pvz., patvirtintas duomenų saugumo pažeidimas, išpirkos reikalaujančios programinės įrangos protrūkis, produkcinės sistemos kompromitavimas)

Mažesnėms organizacijoms Reagavimo į incidentus politika MVĮ prideda griežtą operacinį lūkestį:

Generalinis direktorius, gavęs IT paslaugų teikėjo informaciją, privalo visus incidentus klasifikuoti pagal sunkumą per vieną valandą nuo pranešimo.

Šis vienos valandos klasifikavimo tikslas veiksmingas, nes priverčia laikytis valdysenos disciplinos. Mažesnė reguliuojama organizacija gali neturėti 24/7 SOC, bet ji vis tiek gali apibrėžti, kas klasifikuoja, kas konsultuoja ir kaip greitai turi būti priimtas sprendimas.

DORA ir ISO incidento pirminio vertinimo įrašas

Kad klasifikavimas būtų pagrindžiamas, sukurkite DORA incidento pirminio vertinimo įrašą savo užklausų, GRC arba incidentų valdymo sistemoje. Įrašas turi būti kuriamas kiekvienam potencialiai reikšmingam IRT įvykiui, net jei vėliau jo reikšmingumas sumažinamas.

Pridėkite sprendimo pastabą:

„Remiantis mokėjimo paslaugos sutrikimu, paveikiančiu kritinį verslo procesą, neišspręsta pagrindine priežastimi ir galimu poveikiu klientams, įvykis eskaluojamas kaip galimas reikšmingas su IRT susijęs incidentas. Atitikties ir teisės funkcijos turi įvertinti pranešimo priežiūros institucijoms reikalavimus. Įrodymų išsaugojimas pradėtas.“

Šis vienas įrašas palaiko DORA 17 straipsnio sekimą, 18 straipsnio klasifikavimą, 19 straipsnio pranešimo sprendimus, ISO/IEC 27001:2022 A priedo 5.25 vertinimą, 6.8 pranešimą, 5.26 reagavimą ir 5.28 įrodymų tvarkymą.

Kontrolės priemonės 5.24 ir 5.26: planavimas, vaidmenys ir reagavimas

Įvykus DORA incidentui, reagavimo planas jau turi atsakyti į nepatogius klausimus.

Kas turi įgaliojimus klasifikuoti? Kas susisiekia su kompetentinga institucija? Kas patvirtina pradinį pranešimą? Kas komunikuoja su klientais? Kas susisiekia su trečiosios šalies IRT teikėju? Kas nusprendžia, ar incidentas taip pat inicijuoja GDPR pranešimą? Kas išsaugo įrodymus? Kas atsako už galutinę ataskaitą?

ISO/IEC 27001:2022 A priedo kontrolės priemonė 5.24, informacijos saugumo incidentų valdymo planavimas ir pasirengimas, į šiuos klausimus atsako prieš krizę. Kontrolės priemonė 5.26, reagavimas į informacijos saugumo incidentus, užtikrina, kad incidento metu planas virstų kontroliuojamais veiksmais.

Zenith Controls 5.24 susieja su DORA 17–21 straipsniais, nes ji operacionalizuoja dokumentuotą, testuotą ir peržiūrėtą reagavimą į incidentus, įskaitant vidinį eskalavimą, išorinį pranešimą priežiūros institucijoms, suinteresuotųjų šalių komunikaciją ir įgytą patirtį.

ISO/IEC 27035-1:2023 tai palaiko išplėsdamas incidentų valdymą už reagavimo procedūrų ribų – į politiką, planavimą, pajėgumus, santykius, palaikymo mechanizmus, informuotumą, mokymus ir reguliarų testavimą. ISO/IEC 27035-2:2023 toliau detalizuoja incidentų valdymo procesą nuo pasirengimo iki įgytos patirties.

Zenith Blueprint 23 žingsnis pateikia tiesioginę įgyvendinimo instrukciją:

Užtikrinkite, kad turėtumėte aktualų reagavimo į incidentus planą (5.24), apimantį pasirengimą, eskalavimą, reagavimą ir komunikaciją.

DORA parengtas reagavimo į incidentus planas turi apibrėžti:

• IRT reagavimo į incidentus komandą ir pavaduojančius asmenis.
• Įgaliojimus dėl sunkumo klasifikavimo ir DORA pranešimo eskalavimo.
• Teisės, atitikties, privatumo, komunikacijos, IT, saugumo, tiekėjo ir verslo savininko atsakomybę.
• Reikšmingo su IRT susijusio incidento klasifikavimo kriterijus.
• Pradinio, tarpinio ir galutinio pranešimo priežiūros institucijoms procedūras.
• GDPR, NIS2, sutartinio, kibernetinio draudimo ir valdybos informavimo vertinimą.
• Lokalizavimo, pašalinimo, atkūrimo ir validavimo žingsnius.
• Įrodymų išsaugojimo reikalavimus.
• Tiekėjo eskalavimo ir prieigos prie žurnalų procedūras.
• Įgytos patirties ir korekcinių veiksmų sekimą.

Reagavimo į incidentus politika MVĮ taip pat susieja reagavimo terminus su teisiniais reikalavimais:

Reagavimo terminai, įskaitant duomenų atkūrimo ir pranešimo įpareigojimus, turi būti dokumentuoti ir suderinti su teisiniais reikalavimais, pavyzdžiui, GDPR 72 valandų asmens duomenų saugumo pažeidimo pranešimo reikalavimu.

Tai labai svarbu, nes vienas IRT incidentas gali tapti DORA reikšmingu incidentu, GDPR asmens duomenų saugumo pažeidimu, NIS2 reikšmingu incidentu, sutartiniu klientų informavimo įvykiu ir tiekėjų valdymo klausimu. Planas turi koordinuoti šiuos sluoksnius, o ne traktuoti juos kaip atskirus pasaulius.

Kontrolės priemonės 8.15 ir 8.16: žurnalai daro ataskaitą pagrindžiamą

DORA pranešimų apie incidentus teikimas priklauso nuo faktų. Faktai priklauso nuo žurnalavimo ir stebėsenos.

Mokėjimų atsiskaitymo scenarijuje Sarah turi žinoti, kada prasidėjo paslaugos kokybės pablogėjimas, kurios sistemos buvo paveiktos, ar buvo naudotos privilegijuotos paskyros, ar duomenys paliko aplinką, ar debesijos teikėjo sutrikimas sutampa su vidine telemetrija ir kada atkūrimas buvo užbaigtas.

ISO/IEC 27001:2022 A priedo kontrolės priemonė 8.15, žurnalavimas, ir 8.16, stebėsenos veikla, palaiko šią įrodymų bazę. Zenith Controls abi susieja su 5.24, nes reagavimo į incidentus planavimas turi apimti tinkamus žurnalų duomenis ir stebėsenos pajėgumą. Kontrolės priemonė 8.16 taip pat jungiasi su 5.25, nes įspėjimai turi būti pirminiai įvertinti ir paversti sprendimais.

Clarysec Žurnalų tvarkymo ir stebėsenos politika MVĮ [LMP-SME] apima praktinį eskalavimo reikalavimą:

Aukšto prioriteto įspėjimai turi būti eskaluojami generaliniam direktoriui ir privatumo koordinatoriui per 24 valandas

DORA reguliuojamiems subjektams potencialiai reikšmingi IRT incidentai paprastai reikalauja greitesnio operacinio eskalavimo modelio, ypač kai paveikiamos kritinės ar svarbios funkcijos. Vis dėlto valdysenos modelis teisingas: aukšto prioriteto įspėjimai negali likti vien IT viduje. Jie turi pasiekti verslo, privatumo ir vadovybės vaidmenis.

DORA parengtas žurnalavimo modelis turi apimti:

• Centralizuotą kritinių sistemų, tapatybės platformų, galinių įrenginių, debesijos paslaugų, tinklo saugumo priemonių ir verslo taikomųjų programų žurnalavimą.
• Laiko sinchronizavimą tarp sistemų, kad incidentų laiko juostos būtų patikimos.
• Įspėjimų kategorizavimą, suderintą su incidento sunkumu ir DORA klasifikavimu.
• Žurnalų saugojimą, suderintą su reguliaciniais, sutartiniais ir skaitmeninės kriminalistikos poreikiais.
• Prieigos kontrolės priemones, saugančias žurnalų vientisumą.
• Procedūras žurnalų momentinėms kopijoms užfiksuoti reikšmingų incidentų metu.
• Tiekėjų žurnalų prieigos reikalavimus kritinėms IRT paslaugoms.

Auditoriai nelaikys teiginio „tai yra SIEM“ pakankamu įrodymu. Jie klaus, ar egzistavo tinkami žurnalai, ar įspėjimai buvo peržiūrėti, ar eskalavimas įvyko laiku ir ar žurnalai buvo išsaugoti, kai incidentas tapo potencialiai praneštinas.

Kontrolės priemonė 5.28: įrodymų rinkimas ir perdavimo grandinė

Reikšmingo su IRT susijusio incidento metu įrodymai tarnauja trims tikslams: techniniam tyrimui, reguliacinei atskaitomybei ir teisiniam pagrįstumui.

Jei įrodymai neišsamūs, perrašyti, pakeisti arba nedokumentuoti, organizacijai gali būti sunku įrodyti, kas įvyko. Jai taip pat gali būti sunku pagrįsti savo klasifikavimo sprendimą.

Clarysec Įrodymų rinkimo ir kriminalistikos politika [ECF] nurodo:

Perdavimo grandinės žurnalas turi lydėti visus fizinius arba skaitmeninius įrodymus nuo jų gavimo iki archyvavimo arba perdavimo ir turi dokumentuoti:

MVĮ versija, Įrodymų rinkimo ir kriminalistikos politika MVĮ [ECF-SME], reikalavimą pateikia paprastai:

Kiekvienas skaitmeninių įrodymų vienetas turi būti užregistruotas nurodant:

Operacinė pamoka tiesioginė. Įrodymų tvarkymas negali prasidėti tik tada, kai teisės funkcija jų paprašo. Jis turi būti integruotas į reagavimą į incidentus.

ISO/IEC 27006-1:2024 sustiprina šį audito lūkestį, pabrėždamas procedūras, skirtas informacijos saugumo incidentų įrodymams identifikuoti, rinkti ir išsaugoti. DORA kontekste tas pats įrodymų rinkinys gali palaikyti pradinį pranešimą, tarpinius atnaujinimus, galutinę ataskaitą, peržiūrą po incidento ir priežiūros institucijų klausimus.

Praktinis su DORA susijusių incidentų įrodymų kontrolinis sąrašas turi apimti:

• Incidento užklausą ir pirminio vertinimo pastabas.
• Aptikimo, eskalavimo, klasifikavimo, pranešimo, lokalizavimo, atkūrimo ir uždarymo laiko juostą.
• SIEM įspėjimus ir koreliuotus žurnalus.
• Galinių įrenginių ir serverių artefaktus.
• Tapatybės ir privilegijuotos prieigos žurnalus.
• Tinklo srauto santraukas.
• Debesijos teikėjo būsenos ir audito žurnalus.
• Tiekėjų komunikaciją ir incidento pareiškimus.
• Verslo poveikio įrašus, įskaitant klientus, paslaugas, operacijas ir prastovą.
• Pranešimų priežiūros institucijoms projektus ir pateikimus.
• Vadovybės sprendimus ir patvirtinimus.
• Pagrindinės priežasties analizę.
• Įgytą patirtį ir korekcinius veiksmus.

Įrodymai turi parodyti ir techninius faktus, ir valdysenos sprendimus. DORA pranešimas yra ne tik apie tai, kas nutiko sistemoms. Jis taip pat yra apie tai, kaip vadovybė incidentą atpažino, įvertino, eskalavo, kontroliavo ir iš jo pasimokė.

Kontrolės priemonė 5.27: įgyta patirtis ir nuolatinis tobulinimas

DORA incidentas neuždaromas tada, kai pateikiama galutinė ataskaita. Jis uždaromas tada, kai organizacija iš jo pasimokė, priskyrė korekcinius veiksmus, atnaujino kontrolės priemones ir patikrino pagerėjimą.

ISO/IEC 27001:2022 A priedo kontrolės priemonė 5.27, mokymasis iš informacijos saugumo incidentų, susieja DORA pranešimą su ISO/IEC 27001:2022 nuolatinio tobulinimo ciklu. Zenith Controls 5.24 susieja su 5.27, nes incidentų valdymas nebaigtas be pagrindinės priežasties analizės, įgytos patirties ir kontrolės priemonių tobulinimo.

Zenith Blueprint 23 žingsnis nurodo organizacijoms atnaujinti planą pagal įgytą patirtį ir suteikti tikslinius mokymus apie reagavimą į incidentus ir įrodymų tvarkymą. Tai ypač svarbu DORA, nes pasikartojantys klasifikavimo vėlavimai, trūkstami tiekėjų įrodymai, silpni žurnalai ar neaiški komunikacija gali tapti priežiūros institucijų susirūpinimo priežastimi.

Įgytos patirties šablonas turi fiksuoti:

• Kas įvyko ir kada.
• Kurios kritinės arba svarbios funkcijos buvo paveiktos.
• Ar klasifikavimas buvo savalaikis ir tikslus.
• Ar DORA pranešimo sprendimai buvo priimti remiantis pakankamais įrodymais.
• Ar buvo įvertinti GDPR, NIS2, sutartiniai arba klientų informavimo kriterijai.
• Ar tiekėjai sureagavo sutartais terminais.
• Ar žurnalai ir skaitmeninės kriminalistikos įrodymai buvo išsaugoti.
• Kurios kontrolės priemonės nesuveikė arba kurių trūko.
• Kurias politikas, veiksmų planus, mokymus arba technines kontrolės priemones būtina patobulinti.
• Kas atsako už kiekvieną korekcinį veiksmą ir iki kada.

Tai taip pat maitina ISO/IEC 27001:2022 vadovybės peržiūrą. Incidentų tendencijas turi peržiūrėti vadovybė; jos neturi būti paslėptos techninėse poincidentinėse analizėse.

Kryžminė atitiktis: DORA, GDPR, NIS2, NIST ir COBIT 2019

DORA yra pagrindinė tema finansų subjektams, tačiau pranešimų apie incidentus teikimas retai priklauso tik vienai sistemai.

Vienas IRT incidentas gali apimti DORA reikšmingo su IRT susijusio incidento pranešimą, GDPR asmens duomenų saugumo pažeidimo pranešimą, NIS2 reikšmingo incidento pranešimą, klientų sutarčių įsipareigojimus, kibernetinio draudimo pranešimą ir ataskaitų teikimą valdybai.

Zenith Controls padeda sumažinti šį sudėtingumą susiedamas ISO/IEC 27002:2022 kontrolės priemones tarp sistemų. Pavyzdžiui:

NIST požiūriu tas pats modelis palaiko aptikimo, reagavimo ir atkūrimo rezultatus. COBIT 2019 ir ISACA audito požiūriu pagrindinis klausimas yra valdysena: ar incidentų valdymas, tęstinumas, rizika, atitiktis, tiekėjų atsakomybės ir veiklos stebėsena yra kontroliuojami.

Brandžiausios organizacijos nekuria atskirų darbo eigų kiekvienai sistemai. Jos sukuria vieną incidentų valdymo procesą su reguliaciniais sluoksniais. Užklausa vieną kartą užfiksuoja tuos pačius pagrindinius faktus, o tada, kai reikia, išsišakoja į DORA, GDPR, NIS2, sutartinį, draudimo arba sektoriui būdingą pranešimą.

Kaip auditoriai testuos jūsų DORA incidentų procesą

DORA parengtas pranešimų apie incidentus teikimo procesas turi atlaikyti skirtingus audito pjūvius.

ISO/IEC 27001:2022 auditorius tikrins, ar ISVS parinko ir įgyvendino aktualias A priedo kontrolės priemones, ar Taikomumo pareiškimas palaiko tas kontrolės priemones, ar egzistuoja incidentų įrašai ir ar vidaus auditas bei vadovybės peržiūra apima incidentų valdymo veiksmingumą.

Zenith Controls 5.24, 5.25 ir 6.8 kontrolės priemonėms remiasi ISO/IEC 19011:2018 audito metodika. Dėl 5.24 auditoriai nagrinėja reagavimo į incidentus planą dėl incidentų tipų, sunkumo klasifikacijų, priskirtų vaidmenų, kontaktų sąrašų, eskalavimo kelių, pranešimo priežiūros institucijoms instrukcijų ir komunikacijos atsakomybės. Dėl 5.25 jie tikrina, ar yra dokumentuoti klasifikavimo kriterijai, pavyzdžiui, sunkumo matricos arba sprendimų medžiai, grindžiami sistemos poveikiu, duomenų jautrumu ir trukme. Dėl 6.8 jie vertina pranešimo mechanizmus, pranešimo laiko rodiklius ir įrodymus, kad pranešti įvykiai yra žurnaluojami, pirminiai įvertinami ir išsprendžiami.

DORA priežiūrinė peržiūra sutelks dėmesį į tai, ar reikšmingi su IRT susiję incidentai aptinkami, klasifikuojami, apie juos pranešama, informacija atnaujinama ir jie uždaromi pagal reguliacinius lūkesčius. Peržiūrą atliekantis asmuo gali paprašyti pavyzdinio incidento ir atsekti jį nuo pirmojo įspėjimo iki galutinės ataskaitos.

Privatumo auditorius sutelks dėmesį į tai, ar buvo įvertinta asmens duomenų saugumo pažeidimo rizika ir ar buvo vykdomi GDPR 33 straipsnio ir 34 straipsnio įpareigojimai. BS EN 17926:2023 čia aktualus, nes papildo privatumo incidentų atsakomybėmis, pranešimo kriterijais, terminais ir suderinimu su priežiūros institucijų atskleidimo lūkesčiais.

Tie patys įrodymai gali atsakyti į kelis audito klausimus, jei nuo pradžių yra tinkamai struktūruoti.

DORA pranešimų apie incidentus teikimo pasirengimo kontrolinis sąrašas 2026 m.

Prieš kitą stalo pratybą, vidaus auditą arba priežiūrinę peržiūrą patikrinkite organizaciją pagal šį sąrašą:

• Ar darbuotojai žino, kaip pranešti apie įtariamus IRT incidentus?
• Ar yra atskiras incidentų pranešimo kanalas?
• Ar saugumo įvykiai žurnaluojami ir nuosekliai pirminiai įvertinami?
• Ar yra dokumentuota sunkumo ir DORA reikšmingo incidento klasifikavimo matrica?
• Ar reikalaujama klasifikuoti per apibrėžtą laiką po pranešimo?
• Ar kritinės arba svarbios funkcijos susietos su sistemomis ir tiekėjais?
• Ar DORA, GDPR, NIS2, sutartiniai, draudimo ir klientų pranešimo kriterijai vertinami vienoje darbo eigoje?
• Ar incidentų vaidmenys apibrėžti tarp IT, saugumo, teisės, atitikties, privatumo, komunikacijos ir verslo savininkų?
• Ar žurnalų pakanka incidento laiko juostoms atkurti?
• Ar įrodymai išsaugomi su perdavimo grandine?
• Ar testuojami tiekėjų incidentų įpareigojimai ir prieigos prie žurnalų teisės?
• Ar stalo pratybos atliekamos naudojant realistiškus DORA scenarijus?
• Ar įgyta patirtis susiejama su korekciniais veiksmais?
• Ar incidentų rodikliai peržiūrimi vadovybės peržiūroje?
• Ar Taikomumo pareiškimas susietas su DORA aktualiomis ISO/IEC 27001:2022 kontrolės priemonėmis?

Jei į bent vieną klausimą atsakymas yra „iš dalies“, tai nėra vien atitikties problema. Tai veiklos atsparumo problema.

Sukurkite auditui parengtą DORA pranešimų apie incidentus modelį

Pranešimų apie DORA incidentus teikimas 2026 m. yra valdysenos testas esant spaudimui. Gerai pasirodys ne tos organizacijos, kurios turi ilgiausius reagavimo į incidentus dokumentus. Gerai pasirodys tos, kurios turi aiškius pranešimo kanalus, greitą klasifikavimą, patikimus žurnalus, išsaugotus įrodymus, apmokytus darbuotojus, testuotą tiekėjų eskalavimą ir atsekamumą tarp sistemų.

Clarysec gali padėti sukurti tokį veiklos modelį.

Pradėkite nuo incidentų rizikų ir Taikomumo pareiškimo susiejimo naudodami Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą. Tada suderinkite incidentų kontrolės priemones su Zenith Controls: kryžminės atitikties gidu. Procesą įgyvendinkite naudodami Clarysec Reagavimo į incidentus politiką, Reagavimo į incidentus politiką MVĮ, Žurnalų tvarkymo ir stebėsenos politiką MVĮ, Įrodymų rinkimo ir kriminalistikos politiką ir Įrodymų rinkimo ir kriminalistikos politiką MVĮ.

Jei jūsų vadovų komanda nori pasitikėjimo prieš kitą realų incidentą, surenkite DORA reikšmingo su IRT susijusio incidento stalo pratybas su Clarysec priemonių rinkiniu ir parenkite įrodymų paketą, kurio tikėtųsi auditorius arba priežiūros institucija.