ENISA EUVD 2026: ISO 27001 taikymas NIS2 ir CRA reikmėms

2026 m. antradienį, 08:17, Maria, sparčiai augančios finansinių technologijų SaaS platformos vyriausioji informacijos saugumo vadovė (CISO), per kelias minutes gauna du signalus. Pirmiausia SOC incidentų kanale paskelbia ENISA ES pažeidžiamumų duomenų bazės įspėjimą. Paveiktas komponentas nėra tiesiogiai Maria valdomoje kodo bazėje. Jis yra trečiosios šalies autentifikavimo SDK, įterptas į mobiliąją programėlę, kurią prižiūri išorinis kūrimo partneris.

Tada saugumo tyrėjas viešuoju saugumo kontaktiniu adresu atsiunčia el. laišką tema: „Pažeidžiamumo atskleidimas – jūsų SaaS produktas“. Tyrėjas teigia, kad konkrečiomis sąlygomis trūkumas galėtų atskleisti nekritinius klientų metaduomenis.

Patvirtinto saugumo pažeidimo nėra. Nė vienas klientas nepranešė apie žalą. Skenavimo valdymo skydelis nerodo kritinės būsenos. Tačiau klausimai kyla iš karto.

Ar esame paveikti? Kurios klientams teikiamos paslaugos naudoja šį SDK? Ar tai NIS2 reikšmingas incidentas, su DORA susijęs IRT incidentas, GDPR asmens duomenų saugumo pažeidimas, ar Cyber Resilience Act produkto saugumo klausimas? Ar turime informuoti tiekėją, klientą, kompetentingą instituciją arba ENISA? Svarbiausia — ar galime įrodyti, kada apie tai sužinojome?

Būtent čia daugelis organizacijų supranta, kad pažeidžiamumų žvalgyba nėra informacijos srauto problema. Tai veiklos modelio problema.

ENISA EUVD taps praktiniu atskaitos tašku ES pažeidžiamumų žvalgybai, koordinuotam pažeidžiamumų atskleidimui ir produktų saugumo skaidrumui. Tačiau pati duomenų bazė Maria nepasakys, ar paveikta paslauga patenka į NIS2 taikymo sritį, ar DORA taikoma dėl finansinių paslaugų veiklos, ar tikėtina asmens duomenų ekspozicija, ar aktyvinamas pasirengimas CRA pranešimų teikimui. Šie sprendimai turi būti priimami valdomoje, dokumentuotoje ir audituojamoje informacijos saugumo valdymo sistemoje.

Clarysec požiūris — paversti EUVD praktine veikla per ISO/IEC 27001:2022 valdyseną, ISO/IEC 27002:2022 kontrolės priemonių įgyvendinimą, politikų atsakomybę ir kryžminės atitikties įrodymus. Tikslas nėra sukurti dar vieną skaičiuoklę pavadinimu „EUVD stebėjimo lentelė“. Tikslas — sukurti pagrįstą pažeidžiamumų žvalgybos ir pranešimų teikimo modelį, kuris atlaikytų reguliuotojų klausimus, klientų auditus, ISO 27001 sertifikavimo auditus ir valdybos peržiūrą.

Kodėl ENISA EUVD 2026 m. keičia pažeidžiamumų valdymą

Daugelį metų saugumo komandos pažeidžiamumų žvalgybą laikė pataisų diegimo įvestimi. Atsiranda CVE, skeneris aptinka ekspoziciją, operacijų komanda įdiegia pataisą, o užklausa uždaroma. ES reguliuojamoms organizacijoms tokio modelio nebepakanka.

NIS2 kibernetinio saugumo rizikos valdymą perkelia į valdyseną. Article 20 reikalauja, kad esminių ir svarbių subjektų valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir gautų kibernetinio saugumo mokymus. Article 21 reikalauja proporcingų techninių, operacinių ir organizacinių priemonių, įskaitant politikas, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų įsigijimą ir priežiūrą, pažeidžiamumų tvarkymą ir atskleidimą, veiksmingumo vertinimą, kibernetinę higieną, kriptografiją, personalo saugumą, prieigos kontrolę, turto valdymą ir, kai tinkama, daugiaveiksnį arba tęstinį autentifikavimą.

Article 23 papildomai nustato etapais vykdomą reikšmingų incidentų pranešimų teikimą, įskaitant ankstyvąjį perspėjimą per 24 valandas nuo sužinojimo, pranešimą apie incidentą per 72 valandas ir galutinę ataskaitą per vieną mėnesį. Jei EUVD įspėjimas virsta išnaudotu pažeidžiamumu, sukėlusiu paslaugos sutrikimą, organizacijai reikia įrodymų apie sužinojimą, triažą, poveikio vertinimą, rizikos mažinimą ir pranešimų teikimo sprendimus.

DORA finansų subjektams sukuria lygiagretų, tačiau sektoriui pritaikytą režimą. Jis reikalauja vidaus valdysenos ir kontrolės tvarkos dėl IRT rizikos, valdymo organo atskaitomybės, incidentų valdymo procesų, trečiųjų šalių IRT rizikos valdymo, testavimo, atsparumo, sutartinių kontrolės priemonių ir didelių su IRT susijusių incidentų pranešimo pagal DORA Article 19. Į taikymo sritį patenkantiems finansų subjektams DORA veikia kaip sektoriui skirta IRT rizikos ir incidentų pranešimų teikimo sistema.

GDPR prideda dar vieną dimensiją. Jei išnaudojimas galėtų lemti neteisėtą prieigą prie asmens duomenų, jų atskleidimą, praradimą, pakeitimą ar sunaikinimą, pažeidžiamumo darbo eiga turi būti susieta su asmens duomenų saugumo pažeidimo vertinimu. GDPR atskaitomybės principas reiškia, kad duomenų valdytojas turi pagrįsti atitiktį, o ne vien teigti, kad veikė pagrįstai.

Cyber Resilience Act pažeidžiamumų tvarkymą ir koordinuotą atskleidimą paverčia produkto saugumo pareiga skaitmeninių elementų turintiems produktams. Jis taip pat nustato pranešimų teikimo lūkesčius dėl aktyviai išnaudojamų pažeidžiamumų ir sunkių saugumo incidentų, kai tai taikoma. Net kai galutiniam teisiniam pranešimo sprendimui reikia specialisto peržiūros, operaciniai įrodymai yra saugumo įrodymai: paveiktas produktas, paveikta versija, išnaudojamumas, rizikos mažinimas, atskleidimo būsena, poveikis klientams, tiekėjų koordinavimas ir laiko juosta.

Kai pažeidžiamumas tampa viešai matomas per EUVD, auditoriai ir reguliuotojai gali klausti, kodėl jis nebuvo įvertintas, kodėl nebuvo nustatytas paveiktas turtas, kodėl nebuvo susisiekta su tiekėjais arba kodėl nebuvo svarstytas pranešimas. Stipriausios organizacijos galės įrodymais atsakyti į šešis klausimus:

1. Kurie EUVD įspėjimai mums svarbūs?
2. Kuris turtas, produktai, tiekėjai ir klientai yra paveikti?
3. Kas yra sprendimo savininkas?
4. Koks taisymo ar rizikos mažinimo terminas taikomas?
5. Kada pažeidžiamumų tvarkymas tampa pranešimu apie incidentą?
6. Kaip įrodome uždarymą ir vadovybės priežiūrą?

ISO 27001:2022 pagrindas EUVD įrodymams

ISO/IEC 27001:2022 yra natūralus valdymo sistemos pagrindas EUVD įgyvendinimui, nes jis prasideda nuo konteksto, suinteresuotųjų šalių, taikymo srities, rizikos ir įrodymų.

4.1–4.4 punktai reikalauja, kad organizacija apibrėžtų vidaus ir išorės klausimus, suinteresuotąsias šalis, teisinius, reguliacinius ir sutartinius reikalavimus, ISVS taikymo sritį, sąsajas ir priklausomybes. Pasirengiant EUVD, ISVS taikymo sritis negali baigtis ties vidiniais serveriais. Ji turi apimti SaaS produktus, debesijos paslaugas, išorinį kūrimą, valdomų paslaugų teikėjus, IRT tiekėjus, įsipareigojimus klientams, reguliacines pareigas ir produktų pažeidžiamumų lūkesčius.

5.1–5.3 punktai reikalauja lyderystės, politikų suderinimo, išteklių, komunikacijos, atskaitomybės ir pranešimų teikimo atsakomybių. Čia aukščiausioji vadovybė pripažįsta, kad pažeidžiamumų žvalgyba nėra techninis mandagumo veiksmas. Tai verslo rizikos signalas.

6.1.1–6.1.3 punktai suteikia rizikos vertinimo, rizikos tvarkymo, kontrolės priemonių parinkimo, palyginimo su A priedu, Taikomumo pareiškimo, likutinės rizikos patvirtinimo ir tvarkymo planavimo mechanizmą. Kai EUVD įrašas paveikia aplinką, atsakas turi inicijuoti kartojamą rizikos darbo eigą, susiejančią paveiktą turtą, tikimybę, poveikį, esamas kontrolės priemones, tvarkymo galimybes ir rizikos savininko patvirtinimą.

8.1–8.3 ir 9.1–9.3 punktai šį modelį paverčia veiklos ciklu. Organizacijos turi planuoti ir kontroliuoti ISVS procesus, saugoti dokumentuotą informaciją, kontroliuoti išorėje teikiamus procesus, iš naujo vertinti rizikas, įgyvendinti tvarkymo planus, stebėti ir matuoti veiksmingumą, atlikti vidaus auditus ir vykdyti vadovybės peržiūras.

Praktiniu požiūriu Clarysec EUVD susieja su trimis sluoksniais:

Pagrindinis principas paprastas. EUVD įspėjimai turi tapti įrašais ISVS viduje, o ne neformaliomis pokalbių žinutėmis, kurios dingsta įdiegus pataisą.

ISO 27001 kontrolės priemonių rinkinys, paverčiantis EUVD veiksminga

Svarbiausios ISO/IEC 27001:2022 A priedo kontrolės priemonės EUVD operacijoms yra 5.7 Grėsmių žvalgyba, 8.8 Techninių pažeidžiamumų valdymas, 5.21 Informacijos saugumo valdymas IRT tiekimo grandinėje ir 5.31 Teisiniai, teisės aktų, reguliaciniai ir sutartiniai reikalavimai.

Clarysec jas susieja per Zenith Controls: kryžminės atitikties vadovą Zenith Controls, kuris veikia kaip kryžminės atitikties kompasas ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST CSF ir audito įrodymų planavimui.

Zenith Controls susiejimas su ISO/IEC 27002:2022 kontrole 5.7, Grėsmių žvalgyba, žymi ją kaip prevencinę, aptikimo ir korekcinę, palaikančią konfidencialumą, vientisumą ir prieinamumą bei suderintą su kibernetinio saugumo sąvokomis Identify, Detect ir Respond. Jos operacinis pajėgumas yra grėsmių ir pažeidžiamumų valdymas, o saugumo sritys — gynyba ir atsparumas.

Zenith Controls susiejimas su ISO/IEC 27002:2022 kontrole 8.8, Techninių pažeidžiamumų valdymas, žymi ją kaip prevencinę, palaikančią konfidencialumą, vientisumą ir prieinamumą bei suderintą su Identify ir Protect. Jos operacinis pajėgumas yra grėsmių ir pažeidžiamumų valdymas, o saugumo sritys apima valdyseną, ekosistemą, apsaugą ir gynybą.

Zenith Controls susiejimas su ISO/IEC 27002:2022 kontrole 5.21, Informacijos saugumo valdymas IRT tiekimo grandinėje, žymi ją kaip prevencinę, palaikančią konfidencialumą, vientisumą ir prieinamumą bei suderintą su Identify. Jos operacinis pajėgumas yra tiekėjų santykių saugumas, o sritys — valdysena, ekosistema ir apsauga.

Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas Zenith Blueprint taip pat akcentuoja kontrolę 5.31 23 žingsnyje „Teisiniai, teisės aktų, reguliaciniai ir sutartiniai reikalavimai“:

Saugumas neegzistuoja vakuume. Jis veikia įsipareigojimų tinkle: vienus apibrėžia teisė, kitus — sutartys, dar kitus — sektoriui būdingas reguliavimas.

Tai yra valdysenos tiltas tarp EUVD ir reguliacinių pranešimų teikimo. Pažeidžiamumo įrašas gali prasidėti kaip grėsmių žvalgyba, tapti techninio pažeidžiamumo užklausa, inicijuoti tiekėjo bendradarbiavimą ir tada virsti incidentu arba teisinio pranešimo sprendimu.

Todėl EUVD neturėtų būti laikoma tik dar vienu informacijos srautu. Tai kontrolės priemonių integravimo taškas.

Clarysec politikų modelis: nuo įspėjimo iki atskaitingo sprendimo

Brandžiam EUVD veiklos modeliui reikia politikų formuluočių, kurios komandoms nurodo, ką daryti dar prieš pasirodant pirmajam kritiniam įspėjimui.

Clarysec Pažeidžiamumų ir pataisų valdymo politika Pažeidžiamumų ir pataisų valdymo politika organizacijų komandoms suteikia aiškų stebėsenos ir eskalavimo mandatą:

Stebėti grėsmių pranešimus (pvz., CVE, CISA KEV, tiekėjų biuletenius) ir eskaluoti kritinius pažeidžiamumus.

Ta pati politika reikalauja centralizuotos įrodymų bazės:

Centralizuotą Pažeidžiamumų valdymo registrą turi prižiūrėti Saugumo operacijų komanda, o CISO arba deleguotas įgaliotas asmuo turi jį peržiūrėti kas mėnesį.

MVĮ atveju Clarysec Pažeidžiamumų ir pataisų valdymo politika – MVĮ Pažeidžiamumų ir pataisų valdymo politika – MVĮ aiškiai apibrėžia šaltinių modelį, įtraukdama:

Patikimus grėsmių žvalgybos pranešimus (pvz., CISA, ENISA, nacionalinių CERT įspėjimus)

Ji taip pat išsaugo audito pėdsaką:

Pataisų žurnalas turi būti tvarkomas ir peržiūrimas auditų bei reagavimo į incidentus veiklų metu

Šios nuostatos užkerta kelią dažnai klaidai. Jei gaunamas EUVD įspėjimas ir niekas nežino, ar jis turi patekti į pažeidžiamumų registrą, incidentų eilę, tiekėjų stebėsenos priemonę ar teisinį vertinimą, organizacija praranda laiką. Politikos formuluotės pirmąjį veiksmą padaro automatinį.

Koordinuoto pažeidžiamumų atskleidimo dimensija valdoma per Clarysec Koordinuoto pažeidžiamumų atskleidimo politiką Koordinuoto pažeidžiamumų atskleidimo politika, kuri nustato priėmimo, patvirtinimo, sunkumo vertinimo ir tikrinimo darbo eigą:

Gavusi pranešimą, VRT turi jį užregistruoti ir per 2 darbo dienas nusiųsti pranešėjui gavimo patvirtinimą, priskirdama sekimo identifikatorių. VRT turi atlikti preliminarų sunkumo vertinimą, pavyzdžiui, naudodama CVSS balų sistemą, ir per tikslinį 5 darbo dienų terminą patikrinti problemą, prireikus pasitelkdama IT ir kūrimo komandas. Kritiniai pažeidžiamumai, pavyzdžiui, leidžiantys nuotolinį kodo vykdymą arba galintys sukelti didelį duomenų saugumo pažeidimą, turi būti tvarkomi skubos tvarka.

Ji taip pat susieja trečiųjų šalių pažeidžiamumus su tiekėjų bendradarbiavimu:

Dėl bet kurio patvirtinto kritinio arba didelės rizikos pažeidžiamumo CISO turi nedelsdamas informuoti vyresniąją vadovybę ir atitinkamus sistemų savininkus. Kai pažeidžiamumas paveikia tiekėjo ar kitos trečiosios šalies teikiamus produktus arba paslaugas, VRT turi be nepagrįsto delsimo informuoti tiekėjo saugumo kontaktinį asmenį ir siekti bendradarbiavimo dėl taisomųjų veiksmų.

Clarysec Taikomųjų programų saugumo reikalavimų politika – MVĮ Taikomųjų programų saugumo reikalavimų politika – MVĮ sustiprina produktų ir tiekėjų lūkesčius, reikalaudama, kad komandos:

nustatytų pažeidžiamumų atskleidimo, reagavimo terminų ir pataisų diegimo įpareigojimus.

Tiekėjų sutartims Clarysec Trečiųjų šalių ir tiekėjų saugumo politika – MVĮ Trečiųjų šalių ir tiekėjų saugumo politika – MVĮ apima:

Pranešimų apie duomenų saugumo pažeidimus terminai (pvz., per 24–72 valandas)

Galiausiai Clarysec Reagavimo į incidentus politika Reagavimo į incidentus politika reglamentuojamus duomenis ir sektoriaus pranešimų teikimą susieja su incidento sprendimu per 6.4.1 punktą:

MVĮ versija išlaiko tą patį praktinį paleidiklį. Clarysec Reagavimo į incidentus politika – MVĮ Reagavimo į incidentus politika – MVĮ nurodo:

Kai dalyvauja klientų duomenys, Generalinis vadovas turi įvertinti teisines pranešimo pareigas pagal GDPR, NIS2 arba DORA taikomumą.

Tai yra tiltas tarp „pamatėme pažeidžiamumą“ ir „įvertinome, ar apie tai reikia pranešti“.

Praktinis EUVD priėmimo įrašas

Tarkime, EUVD paskelbia arba atnaujina pažeidžiamumo įrašą, paveikiantį autentifikavimo SDK Maria mobiliojoje programėlėje. SDK prižiūri tiekėjas, jį integravo išorinis kūrimo partneris, o naudoja klientai, kurie autentifikuojasi prie fintech SaaS produkto. Viešai diskutuojama apie išnaudojimą, tačiau nuomininkų žurnaluose patvirtinto išnaudojimo nėra.

Pagrįstas priėmimo įrašas turi fiksuoti tiek techninį, tiek reguliacinį kontekstą.

Šis įrašas nėra atitikties dekoracija. Tai sprendimų valdymo centras.

Praktinė darbo eiga atrodo taip:

1. SOC gauna EUVD įspėjimą ir sukuria pažeidžiamumo įrašą.
2. Turto savininkas patvirtina, ar paveiktas komponentas egzistuoja produkcinėje aplinkoje.
3. Saugumo komanda atlieka sunkumo vertinimą pagal techninį sunkumą, išnaudojamumą, ekspoziciją, duomenų jautrumą ir paslaugos kritiškumą.
4. Tiekėjo savininkas susisiekia su SDK tiekėju arba išoriniu kūrimo partneriu naudodamas iš anksto nustatytus saugumo kontaktus.
5. Reagavimo į incidentus vadovas nusprendžia, ar yra išnaudojimo, paslaugos poveikio arba žalos klientams įrodymų.
6. Teisės, DPO ir atitikties komandos įvertina, ar aktyvinamos GDPR, NIS2, DORA arba su CRA susijusios darbo eigos.
7. Inžinerijos komanda įdiegia pataisą arba rizikos mažinimo priemonę.
8. Saugumo komanda patvirtina taisomuosius veiksmus skenavimu, versijos patikra, žurnalų peržiūra arba kompensuojančios kontrolės priemonės testu.
9. CISO peržiūri kritinius ir didelio sunkumo įrašus ir pateikia tendencijas vadovybės peržiūrai.

Kontrolių veikimo etape, 19 žingsnyje „Technologinės kontrolės priemonės I“, Zenith Blueprint techninių pažeidžiamumų valdymą paaiškina paprastais audito terminais:

Kontrolės esmė nėra tobulumas; jos esmė — organizuotas, skaidrus ir atskaitingas procesas.

Šis sakinys svarbus. Reguliuotojai ir auditoriai nesitiki, kad kiekvienas pažeidžiamumas bus pašalintas iš karto. Jie tikisi, kad organizacija žino, kas egzistuoja, prioritetizuoja, imasi proporcingų veiksmų, registruoja išimtis ir įrodo tolesnius veiksmus.

Grėsmių žvalgyba yra sprendimų funkcija, o ne pašto dėžutė

Didžiausia klaida planuojant EUVD — priskirti informacijos srautą vienam analitikui ir pavadinti tai „grėsmių žvalgyba“. Zenith Blueprint, Kontrolių veikimo etape, 22 žingsnyje „Organizacinės kontrolės priemonės“, ISO/IEC 27002:2022 kontrolę 5.7 paaiškina taip:

Geriausi grėsmių žvalgybos šaltiniai dažnai yra vidinės stebėsenos, išorinių partnerysčių ir bendruomenės įsitraukimo derinys.

Jame taip pat įspėjama, kad žvalgyba turi virsti veiksmu:

Ši kontrolė iš tikrųjų atgyja priimant sprendimus. Grėsmių žvalgyba turi tiesiogiai lemti, kurios kontrolės priemonės griežtinamos, kuris turtas perklasifikuojamas arba izoliuojamas, kokie scenarijai testuojami stalo pratybose ir kaip greitai diegiamos pataisos arba rizikos mažinimo priemonės.

EUVD atveju žvalgybos naudotojai turi būti apibrėžti pagal vaidmenį.

NIST CSF 2.0 gali padėti struktūruoti šį modelį. Jo GOVERN funkcija pabrėžia suinteresuotųjų šalių lūkesčius, teisinius ir reguliacinius įpareigojimus, rizikos apetitą, lyderystės atskaitomybę, apibrėžtus vaidmenis, politiką, išteklius ir priežiūrą. Operacinės funkcijos padeda organizuoti turto apskaitą, pažeidžiamumų identifikavimą, apsaugą, aptikimą, reagavimą, atkūrimą ir tobulinimą. NIST CSF profilio metodas gali būti naudojamas esamai ir tikslinei EUVD operacijų būsenai apibrėžti, o spragas paversti prioritetizuotu veiksmų planu.

Clarysec požiūriu NIST CSF yra naudingas organizavimo sluoksnis, ISO/IEC 27001:2022 — audituojama valdymo sistema, o Zenith Controls — kryžminės atitikties kompasas, išlaikantis susiejimų nuoseklumą.

Tiekėjų ir produktų pažeidžiamumų stebėsena

NIS2 Article 21 tiekimo grandinės saugumą padaro minimalių kibernetinio saugumo rizikos valdymo priemonių dalimi. Article 21(3) reikalauja, kad subjektai atsižvelgtų į kiekvienam tiesioginiam tiekėjui ir paslaugų teikėjui būdingus pažeidžiamumus, produktų kokybę ir tiekėjo kibernetinio saugumo praktikas, įskaitant saugaus kūrimo procedūras. 85 ir 86 konstatuojamosios dalys pabrėžia trečiųjų šalių riziką, kylančią iš duomenų tvarkymo, valdomų paslaugų, programinės įrangos tiekėjų ir valdomų saugumo paslaugų teikėjų.

DORA finansų subjektams yra labiau preskriptyvi. Ji reikalauja, kad IRT trečiųjų šalių rizika būtų valdoma kaip IRT rizikos sistemos dalis, naudojant informacijos registrus, deramą patikrinimą, koncentracijos rizikos analizę, rašytines sutartis, audito ir patikrinimo teises, pagalbą incidentų metu, subtiekimo matomumą, saugumo reikalavimus, nutraukimo teises ir patikrintas pasitraukimo strategijas.

EUVD skaudžiai išryškins silpną tiekėjų matomumą. Jei paveiktas tiekėjo komponentas, organizacijai reikia daugiau nei pirkimų kontakto. Jai reikia:

1. Įvardyto tiekėjo saugumo kontaktinio asmens.
2. Sutartinių pareigų pranešti apie pažeidžiamumus.
3. Produktų ir versijų apskaitos.
4. SBOM arba komponentų skaidrumo, kai tai aktualu.
5. Taisomųjų veiksmų SLA ir apėjimo sprendimų pareigų.
6. Audito arba patikinimo teisių.
7. Pagalbos incidentų metu įsipareigojimų.
8. Kritinių priklausomybių pasitraukimo arba pakeitimo planų.

Todėl Clarysec EUVD operacijas susieja su ISO/IEC 27002:2022 kontrole 5.21 per Zenith Controls. Valdysenos, ekosistemos ir apsaugos sritys atitinka praktinę tiekėjų problemą: negalite ištaisyti to, ko negalite atsekti, ir negalite pateikti įrodymų dėl to, ko sutartyje nereikalavote.

Pasirengimui CRA pranešimų teikimui tas pats tiekėjo ir produkto pažeidžiamumo įrašas tampa esminis. Net kai galutiniam reguliaciniam sprendimui reikia teisinės analizės, operaciniai įrodymai gaunami iš saugumo ir inžinerijos įrodymų.

Kada EUVD pažeidžiamumas tampa incidentu

Ne kiekvienas pažeidžiamumas yra incidentas. Tačiau kiekvienas rimtas pažeidžiamumas turi galėti greitai tapti incidento įrašu.

Praktinis paleidiklis yra toks: jei EUVD žvalgyba rodo galimą ekspoziciją, atidarykite pažeidžiamumo įrašą. Jei yra išnaudojimo, paslaugos poveikio, reglamentuojamų duomenų ekspozicijos, žalos klientams arba veiklos sutrikimo įrodymų, susiekite jį su incidento įrašu arba paverskite incidento įrašu.

NIS2 Article 23 reikalauja pranešti apie reikšmingus incidentus, darančius poveikį paslaugų teikimui, įskaitant incidentus, kurie sukelia arba galėtų sukelti didelį veiklos sutrikimą ar finansinius nuostolius, arba paveikia kitus per reikšmingą materialinę ar nematerialinę žalą. DORA reikalauja, kad finansų subjektai registruotų su IRT susijusius incidentus ir reikšmingas kibernetines grėsmes, klasifikuotų didelius su IRT susijusius incidentus, prireikus praneštų apie juos pagal Article 19, informuotų klientus, kai paveikiami jų finansiniai interesai, ir užbaigtų procesą pagrindinės priežasties analize. GDPR reikalauja asmens duomenų saugumo pažeidimo vertinimo, kai saugumo incidentas sukelia atsitiktinį ar neteisėtą asmens duomenų sunaikinimą, praradimą, pakeitimą, neteisėtą atskleidimą arba prieigą prie jų.

Zenith Blueprint, Kontrolių veikimo etapo 16 žingsnyje „Personalo kontrolės priemonės II“, pabrėžia pranešimų kultūros svarbą:

Skatinkite „žemo slenksčio pranešimo“ mąstyseną; žinutė turi būti tokia: „Jei abejoji, pranešk.“

EUVD atveju tai taikoma inžinieriams ir tiekėjams taip pat, kaip darbuotojams. Jei kūrėjas pamato paveiktą priklausomybę, jei tiekėjas patvirtina išnaudojamumą arba jei pagalbos tarnyba pastebi įtartiną klientų elgseną, organizacija turi teikti pirmenybę ankstyvam triažui, o ne pavėluotam tikrumui.

Kaip auditoriai tikrins jūsų EUVD programą

Stiprus EUVD veiklos modelis turi būti sukurtas kelioms audito perspektyvoms. Tie patys įrodymai gali patenkinti skirtingus lūkesčius, jei jie gerai struktūruoti.

ISO 27001 auditorius paprastai ims aukšto sunkumo EUVD inicijuoto įrašo imtį ir klaus, ar jis susietas su taikymo sritimi, suinteresuotųjų šalių įpareigojimais, rizikos vertinimu, tvarkymu, A priedo kontrolės priemonėmis, operaciniais įrodymais ir peržiūra. Į NIST orientuotas vertintojas sutelks dėmesį į rezultatus. COBIT tipo auditorius sutelks dėmesį į valdyseną, savininkystę, veiksmingumą ir užtikrinimą. DORA vertintojas ypatingą dėmesį skirs IRT trečiųjų šalių priklausomybėms, sutartinėms kontrolės priemonėms ir incidentų klasifikavimui.

Ataskaitos valdybai be CVE triukšmo

NIS2 ir DORA valdymo organus pastato į kibernetinio saugumo atskaitomybės centrą. Tačiau vadovams nereikia EUVD įrašų sąvartyno. Jiems reikia sprendimams tinkamų ataskaitų.

Mėnesinė pažeidžiamumų žvalgybos ataskaita turėtų apimti:

1. Kritinius ir didelius su EUVD susietus pažeidžiamumus, paveikiančius į taikymo sritį įtrauktą turtą.
2. Atvirus pažeidžiamumus, kuriems viršytas taisomųjų veiksmų SLA.
3. Tiekėjų sukeltus vėlavimus ir sutartinius eskalavimus.
4. Pažeidžiamumus, susietus su incidentais arba vos neįvykusiais incidentais.
5. CRA produkto pažeidžiamumų darbo eigos paleidiklius ir rezultatus.
6. NIS2, DORA arba GDPR pranešimų teikimo vertinimus.
7. Priimtas likutines rizikas ir kas jas priėmė.
8. Tendencijas pagal verslo paslaugą, produktą, tiekėją ir pagrindinę priežastį.
9. Kontrolės veiksmingumo rodiklius ir tobulinimo veiksmus.

Tai tiesiogiai atitinka ISO/IEC 27001:2022 9.3 punkto vadovybės peržiūros lūkesčius, įskaitant konteksto pokyčius, suinteresuotųjų šalių poreikius, veiksmingumo tendencijas, audito rezultatus, tikslų pasiekimą, grįžtamąjį ryšį, rizikos vertinimo rezultatus, tvarkymo būseną ir tobulinimo galimybes.

Dažnos pasirengimo EUVD klaidos

Organizacijos, kurioms sunkiai sekasi su pažeidžiamumų žvalgyba, paprastai klysta nuspėjamais būdais.

Pirma, jos neturi patikimos turto ir programinės įrangos apskaitos. EUVD aktualumo negalima įvertinti be produktų pavadinimų, versijų, bibliotekų, debesijos paslaugų, tiekėjų ir duomenų srautų.

Antra, jos atskiria pažeidžiamumų valdymą nuo reagavimo į incidentus. Pažeidžiamumų komanda uždaro užklausas, o incidentų komanda niekada neįvertina, ar įvyko išnaudojimas. Taip susidaro pranešimų teikimo aklosios zonos.

Trečia, tiekėjų sutartys tyli. Jei tiekėjas neprivalo pranešti, bendradarbiauti, diegti pataisų, pateikti įrodymų arba palaikyti reagavimo į incidentus, klientas kritiniu laikotarpiu turi mažai įtakos.

Ketvirta, teisės ir DPO komandos įtraukiamos per vėlai. Jei su GDPR, NIS2, DORA arba CRA susijusių pranešimų teikimo sprendimų priėmimas prasideda po to, kai inžinerija jau įdiegė pataisą ir perėjo prie kitų darbų, sužinojimo laiko juosta tampa neaiški.

Penkta, vadovybės ataskaitos yra pernelyg techninės. Valdybos gauna ilgus CVE sąrašus be verslo poveikio, reguliacinės reikšmės, tiekėjų tendencijų arba likutinės rizikos sprendimų.

Clarysec metodika tai ištaiso sujungdama kontrolės priemones. Zenith Blueprint 19 žingsnis stiprina techninių pažeidžiamumų valdymą, 22 žingsnis praktiškai įgyvendina grėsmių žvalgybą, 16 žingsnis stiprina pranešimo apie incidentus kultūrą, o 23 žingsnis išlaiko matomus teisinius, teisės aktų, reguliacinius ir sutartinius įpareigojimus.

30 dienų pasirengimo EUVD sprintas

Jei jūsų organizacijai reikia greito kelio, pradėkite nuo sutelkto 30 dienų sprinto.

Pirma savaitė: apibrėžkite taikymo sritį ir įpareigojimus. Patvirtinkite, ar organizacija potencialiai yra esminis arba svarbus subjektas pagal NIS2, ar DORA taikoma finansinei veiklai, ar GDPR taikomas asmens duomenų tvarkymui ir kur gali būti aktualūs su CRA susiję produkto pažeidžiamumų įpareigojimai. Atnaujinkite ISVS teisinių ir sutartinių reikalavimų registrą.

Antra savaitė: sukurkite priėmimo darbo eigą. Įtraukite EUVD, nacionalinius CERT, tiekėjų saugumo pranešimus ir sektoriaus srautus į pažeidžiamumų žvalgybos šaltinių sąrašą. Apibrėžkite, kas atidaro įrašus, kas patvirtina ekspoziciją, kas susisiekia su tiekėjais, kas vertina pranešimų teikimą ir kas tvirtina likutinę riziką.

Trečia savaitė: susiekite tiekėjus ir produktus. Nustatykite kritinius produktus, klientams skirtas paslaugas, tiesioginius IRT tiekėjus, išorės kūrėjus, debesijos paslaugų teikėjus ir valdomų saugumo paslaugų teikėjus. Patvirtinkite saugumo kontaktus, sutartines nuostatas, reagavimo į pažeidžiamumus įpareigojimus ir įrodymų lūkesčius.

Ketvirta savaitė: išbandykite darbo eigą. Surenkite stalo pratybas naudodami realistišką EUVD įspėjimą. Reikalaukite, kad komanda parengtų pažeidžiamumo įrašą, tiekėjo komunikaciją, incidento vertinimą, teisinio pranešimo sprendimą, pataisų žurnalą, likutinės rizikos patvirtinimą ir vadovybės santrauką.

Rezultatas neturėtų būti skaidrių rinkinys. Tai turi būti įrodymų paketas, iš kurio auditorius gali paimti imtį.

Paverskite EUVD kontrolės sistema, o ne dar vienu informacijos srautu

Iki 2026 m. organizacijos, kurios gerai tvarkysis su ENISA EUVD, nebus tos, kurios tiesiog užsiprenumeruos daugiau įspėjimų. Tai bus organizacijos, kurios viešą pažeidžiamumų žvalgybą pavers rizika grindžiamais veiksmais, tiekėjų atskaitomybe, koordinuotu atskleidimu, pranešimų teikimo sprendimais ir audito įrodymais.

Clarysec gali padėti jums sukurti šį modelį naudojant Zenith Blueprint Zenith Blueprint, Clarysec politikų biblioteką ir Zenith Controls Zenith Controls. Mes susiejame ISO/IEC 27001:2022 punktus ir ISO/IEC 27002:2022 kontrolės priemones su NIS2, DORA, GDPR, NIST CSF ir COBIT tipo audito lūkesčiais, o tada susiejimą paverčiame praktiniais registrais, reagavimo veiksmų planais, tiekėjų sąlygomis ir vadovybės ataskaitomis.

Jei jūsų komanda rengiasi NIS2 pažeidžiamumų tvarkymui, CRA pranešimų teikimo pasirengimui, koordinuoto pažeidžiamumų atskleidimo operacijoms arba EUVD grindžiamai pažeidžiamumų žvalgybai, pradėkite nuo Clarysec pasirengimo EUVD peržiūros. Padėsime nustatyti spragas, prioritetizuoti kontrolės priemones ir sukurti įrodymų pėdsaką prieš pirmąjį kritinį įspėjimą, kuris patikrins jūsų programą.