⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Pasirengimas ES kibernetinio solidarumo aktui pagal ISO 27001

Igor Petreski

03:17 incidentas, kuris ES bendradarbiavimą paverčia jūsų audito problema

Antradienio rytą 03:17 Maria, InnovateCloud vyriausioji informacijos saugumo pareigūnė (CISO), žiūri į ekraną, pilną įspėjimų. Jos įmonė yra vidutinio dydžio Europos SaaS teikėja, aptarnaujanti logistikos klientus Vokietijoje, Prancūzijoje ir Lenkijoje. Pirmasis įspėjimas atrodo kaip įtartina privilegijuota prieiga gamybiniame kliento segmente. Po dešimties minučių valdomų saugumo paslaugų teikėjas praneša apie panašią veiklą, paveikusią dar du klientus. Iki 04:00 SOC mato API iškvietimus iš infrastruktūros, kuri anksčiau buvo siejama su pasirengimo išpirkos reikalaujančios programinės įrangos atakai veikla.

InnovateCloud nebuvo pradinis taikinys. Panašu, kad pagrindinis infrastruktūros teikėjas pateko į pažeidimo poveikio zoną. Tačiau poveikis dabar yra Marios problema.

Vienas paveiktas klientas yra Vokietijos bankas, reikalaujantis atsakymų pagal DORA. Kitas – kritinis energetikos sektoriaus tiekėjas, jau priskirtas pagal nacionalines NIS2 taisykles. Aplinkoje gali būti asmens duomenų, tačiau duomenų eksfiltracija dar nepatvirtinta. Saugumo komanda nori nedelsdama izoliuoti grėsmę. Teisininkai nori žinoti, ar jau prasidėjo NIS2 24 valandų ankstyvojo perspėjimo terminas. Privatumo vadovas klausia, ar gali atsirasti GDPR pareiga pranešti apie pažeidimą. Valdyba nori žinoti, ar paslaugos sutrikimas gali išplisti per kelias valstybes nares.

2026 m. tai nebėra vien vidaus krizė.

ES kibernetinio solidarumo aktas keičia didelio masto ir tarpvalstybinių kibernetinių incidentų operacinę tikrovę. Jis įtvirtina ES lygmens aptikimo, pasirengimo ir reagavimo mechanizmus, įskaitant Europos kibernetinio saugumo perspėjimų sistemą, Kibernetinio saugumo ekstremaliųjų situacijų mechanizmą ir ES kibernetinio saugumo rezervą. Net jei organizacija niekada tiesiogiai neprašo rezervo pagalbos, jos įrodymai, institucijų kontaktai, tiekėjų sutartys, incidentų laiko juostos ir komunikacija su klientais gali tapti platesnės Europos reagavimo grandinės dalimi.

Spraga išryškėja greitai. Daugelis organizacijų turi įrankius, užklausas ir politikas, bet neturi įrodymų, kurie atlaikytų reguliacinę patikrą. Jos gali pasakyti „susisiekėme su reguliuotoju“, bet negali įrodyti, kas buvo įgaliotas tai padaryti, koks slenkstis inicijavo kontaktą, kas buvo perduota, ar žurnalai buvo išsaugoti, ar tiekėjas pagal sutartį privalėjo padėti, arba ar galutinę ataskaitą galima atkurti iš tuo metu priimtų sprendimų.

Atsakymas nėra dar vienas atskiras „Kibernetinio solidarumo akto segtuvas“. Atsakymas – ISO/IEC 27001:2022 informacijos saugumo valdymo sistema, kuri įrodymus sukuria vieną kartą ir pakartotinai naudoja juos NIS2, DORA, GDPR, NIST CSF 2.0 ir COBIT 2019 lūkesčiams pagrįsti.

Šie įrodymai pradedami rengti dar iki incidento.

Kodėl ES kibernetinio solidarumo aktas kelia įrodymų standartą

Kibernetinio solidarumo aktas skirtas ES lygmens kibernetinių grėsmių aptikimui, pasirengimui ir krizių valdymui. Jo praktinis poveikis CISO, auditoriams ir atitikties vadovams aiškus: didelio masto incidentų koordinavimui reikia greitesnių, aiškesnių, nuoseklesnių ir patikimiems suinteresuotiesiems subjektams lengviau perduodamų įrodymų.

Kai galimas tarpvalstybinis poveikis, organizacijai gali tekti koordinuoti veiksmus su nacionaliniais CSIRT, kompetentingomis institucijomis, sektorių reguliuotojais, priežiūros institucijomis, finansų priežiūros institucijomis, teisėsauga, klientais, duomenų tvarkytojais, tiekėjais ir išoriniais reagavimo į incidentus specialistais. ES kibernetinio saugumo rezervas prideda dar vieną dimensiją, nes iš anksto patikrinti privatūs paslaugų teikėjai gali remti pasirengimą, reagavimą ir atkūrimą. Dėl to tiekėjų valdysena, teisiniai įgaliojimai, duomenų tvarkymas ir įrodymų išsaugojimas tampa dar svarbesni.

Privatūs subjektai yra šios tikrovės centre. Debesijos paslaugų teikėjai, duomenų centrai, valdomų paslaugų teikėjai, valdomų saugumo paslaugų teikėjai, skaitmeninės infrastruktūros operatoriai, fintech įmonės ir SaaS platformos dažnai turi telemetrijos duomenis, žurnalus, klientų poveikio duomenis ir techninius faktus, kurių institucijoms reikia reikšmingam incidentui suprasti.

NIS2 jau krypsta šia linkme. Ji taikoma daugeliui vidutinių ir didelių subjektų I ir II priedų sektoriuose, kurie teikia paslaugas arba vykdo veiklą ES. Ji taip pat apima tam tikrus subjektus nepriklausomai nuo dydžio, įskaitant patikimumo užtikrinimo paslaugų teikėjus, DNS paslaugų teikėjus, aukščiausio lygio domenų registrus ir domenų vardų registravimo paslaugų teikėjus. I priede įtraukta skaitmeninė infrastruktūra, pavyzdžiui, debesijos paslaugos, duomenų centrų paslaugos, turinio teikimo tinklai, DNS teikėjai, patikimumo užtikrinimo paslaugų teikėjai ir TLD registrai. Jame taip pat įtrauktas IRT paslaugų valdymas B2B, įskaitant valdomų paslaugų teikėjus ir valdomų saugumo paslaugų teikėjus. II priede įtraukti skaitmeninių paslaugų teikėjai, tokie kaip internetinės prekyvietės, interneto paieškos sistemos ir socialinių tinklų paslaugų platformos.

DORA finansų sektoriui prideda antrą sluoksnį. Nuo 2025 m. sausio 17 d. ji taikoma plačiam finansų subjektų ratui, įskaitant kredito įstaigas, mokėjimo įstaigas, elektroninių pinigų įstaigas, investicines įmones, kriptoturto paslaugų teikėjus, prekybos vietas, draudimo ir perdraudimo įmones, kredito reitingų agentūras, sutelktinio finansavimo paslaugų teikėjus ir kitus subjektus. Ji taip pat nustato reikšmingus lūkesčius IRT trečiųjų šalių paslaugų teikėjams, nes finansų subjektai išlieka atsakingi už išorės IRT paslaugas.

Todėl fintech incidentas 2026 m. gali būti koordinuojamas per DORA priežiūros kanalus, o SaaS teikėjas ar MSSP, aptarnaujantis tą fintech įmonę, gali patekti į NIS2 taikymo sritį. Tas pats techninis įvykis skirtingiems dalyviams gali sukurti skirtingas pranešimo pareigas, įrodymų lūkesčius ir sutartinius įsipareigojimus.

ISO/IEC 27001:2022 organizacijoms suteikia operacinę sistemą šiam sudėtingumui valdyti. 4.1–4.4 punktai reikalauja, kad organizacija apibrėžtų ISVS pagal savo veiklos kontekstą, nustatytų suinteresuotąsias šalis ir jų teisinius, reguliacinius bei sutartinius reikalavimus, apibrėžtų ribas ir priklausomybes bei įdiegtų valdymo sistemą. 5.1–5.3 punktai nustato vadovybės atskaitomybę už politiką, išteklius, integravimą ir vaidmenų priskyrimą. 6.1.1–6.1.3 punktai reikalauja pakartojamo rizikos vertinimo, rizikos tvarkymo ir Taikomumo pareiškimo. 8.1 punktas reikalauja operacinės kontrolės, įskaitant išorėje teikiamų procesų, produktų ir paslaugų kontrolę.

Tai yra pasirengimo Kibernetinio solidarumo aktui esmė: įrodyti, kad krizių valdymas yra valdomas, testuojamas ir audituojamas, o ne improvizuojamas.

Clarysec įrodymų modelis: vienas incidentas, daug įpareigojimų

Tarpvalstybinis incidentas nelaukia, kol teisininkų komandos jį suklasifikuos. Įrodymai turi būti fiksuojami nuo pirmojo įspėjimo, o tada nukreipiami į tinkamus pranešimo ir koordinavimo kelius.

Clarysec požiūris sujungia tris išteklius:

  1. Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas Zenith Blueprint, kuris ISO/IEC 27001:2022 įgyvendinimą paverčia nuosekliu, auditui tinkamu procesu.
  2. Zenith Controls: atitikties susiejimo vadovas Zenith Controls, kuris ISO/IEC 27002:2022 kontrolės priemones susieja su susijusiomis kontrolės priemonėmis, atributais, operaciniais pajėgumais, saugumo sritimis ir skirtingų sistemų įrodymų lūkesčiais.
  3. Clarysec politikų šablonus, skirtus reagavimui į incidentus, įrodymų rinkimui, tiekėjų saugumui, žurnalavimui, stebėsenai ir veiklos tęstinumui, pritaikytus įmonių ir MVĮ aplinkoms.

Zenith Blueprint „Kontrolės priemonių taikymo praktikoje“ etape 22 žingsnis apima ISO/IEC 27002:2022 kontrolės priemonę 5.5 „Ryšys su institucijomis“. Jame nurodoma:

Kontrolės priemonė 5.5 užtikrina, kad organizacija būtų pasirengusi bendrauti su išorinėmis institucijomis, kai to reikia, ne reaktyviai ar panikuodama, o per iš anksto apibrėžtus, struktūruotus ir gerai suprantamus kanalus.

Toje pačioje dalyje užduodamas klausimas, į kurį kiekvienas CISO turėtų atsakyti iki krizės:

jei jūsų organizacija taptų kibernetinės atakos taikiniu, būtų įtraukta į duomenų saugumo pažeidimą arba taptų tyrimo objektu, kas kreiptųsi į institucijas? Kaip tie asmenys žinotų, ką sakyti? Kokiomis sąlygomis toks kontaktas būtų inicijuojamas?

Tai nėra administracinis formalumas. Kibernetinio solidarumo akto aplinkoje tai skirtumas tarp ramaus ankstyvojo perspėjimo ir prieštaringų pranešimų skirtingose jurisdikcijose.

Zenith Controls ISO/IEC 27002:2022 kontrolės priemonę 5.5 „Ryšys su institucijomis“ traktuoja kaip prevencinę ir korekcinę, susietą su konfidencialumu, vientisumu ir prieinamumu bei suderintą su identifikavimo, apsaugos, reagavimo ir atkūrimo sąvokomis. Ji sieja 5.5 su incidentų valdymo planavimu ir pasirengimu, pranešimu apie įvykius, grėsmių žvalgyba, specialiųjų interesų grupėmis ir reagavimu į incidentus.

Tas pats vadovas ISO/IEC 27002:2022 kontrolės priemonę 5.24 „Informacijos saugumo incidentų valdymo planavimas ir pasirengimas“ traktuoja kaip korekcinę kontrolės priemonę, susietą su reagavimu ir atkūrimu. Jos ryšiai su įvykių vertinimu, reagavimu į incidentus, įgyta patirtimi, žurnalavimu, stebėsena, saugumu trikdžių metu ir veiklos tęstinumu parodo, ką auditoriai dažnai tikrina: ar jūsų planas susieja aptikimą, klasifikavimą, eskalavimą, įrodymus, atkūrimą ir mokymąsi.

Įrodymų tvarkymui ypač svarbi ISO/IEC 27002:2022 kontrolės priemonė 5.28 „Įrodymų rinkimas“. Zenith Controls ją sieja su reagavimu į incidentus, žurnalavimu, stebėsena ir pranešimu apie įvykius. Rimto tarpvalstybinio incidento metu būtent čia techninis tyrimas tampa pagrindžiamas.

Pasirengimo Kibernetinio solidarumo aktui susiejimas su ISO 27001 įrodymais

ES kibernetinio solidarumo aktas sukuria pasirengimo ir koordinavimo aplinką. ISO/IEC 27001:2022 suteikia įrodymų variklį. NIS2, DORA ir GDPR apibrėžia daug konkrečių pranešimo, valdysenos ir apsaugos lūkesčių.

2026 m. scenarijaus reikalavimasISO/IEC 27001:2022 įrodymų pagrindasSusiję operaciniai įrodymaiClarysec pagalba
Nustatyti, ar organizacija, klientai ar tiekėjai patenka į NIS2, DORA arba GDPR taikymo sritį4.1, 4.2 ir 4.3 punktai dėl konteksto, suinteresuotųjų šalių ir ISVS taikymo sritiesReguliacinių reikalavimų registras, paslaugų žemėlapis, valstybių narių veiklos pėdsakas, klientų sektoriai, duomenų tvarkymo vaidmenysZenith Blueprint taikymo srities nustatymo žingsniai ir atitikties registro šablonai
Nuspręsti, ar incidentas turi tarpvalstybinį poveikįA priedo kontrolės priemonės A.5.24–A.5.28 ir 8.1 punkto operacinė kontrolėIncidento klasifikavimo įrašas, poveikio vertinimas, paveiktos šalys, paveiktos paslaugos, kompromitavimo indikatoriaiReagavimo į incidentus politika ir įrodymų rinkimo darbo eiga
Pranešti institucijoms per reikalaujamus terminusA.5.5 ryšys su institucijomis, A.5.31 teisiniai, įstatyminiai, reguliaciniai ir sutartiniai reikalavimai, A.5.24 planavimasInstitucijų kontaktų matrica, sprendimų žurnalas, pranešimų projektai, pateikimo laiko žymosZenith Blueprint 22 žingsnis ir Reagavimo į incidentus politika
Koordinuoti veiksmus su MSSP, debesijos teikėju arba rezervo pobūdžio reagavimo teikėjuA.5.19–A.5.23 tiekėjų ir debesijos kontrolės priemonės, 8.1 punkto išorinių procesų kontrolėTiekėjų registras, sutartinės nuostatos, incidentų pagalbos įsipareigojimai, teisės atlikti auditą, paslaugų vietosTrečiųjų šalių ir tiekėjų saugumo politika
Išsaugoti kriminalistinius įrodymus institucijoms ir mokymuisi po incidentoA.5.28 įrodymų rinkimas, A.8.15 žurnalavimas, A.8.16 stebėsenos veiklosĮrodymų saugojimo ir perdavimo grandinė, žurnalų eksportai, momentinės kopijos, kriminalistiniai atvaizdai, prieigos įrašaiĮrodymų rinkimo ir kriminalistikos politika, Žurnalavimo ir stebėsenos politika - MVĮ
Išlaikyti esminių paslaugų veikimą trikdžių metuA.5.29 informacijos saugumas trikdžių metu, A.5.30 IRT pasirengimas veiklos tęstinumui, A.8.13 informacijos atsarginės kopijosBIA, atkūrimo tikslai, atsarginių kopijų testai, alternatyvi komunikacija, krizės vaidmenysVeiklos tęstinumo ir atkūrimo po katastrofos politika

Atkreipkite dėmesį, ko čia nėra: atskiro atitikties siloso. Tie patys įrodymai, kurie palaiko ISO/IEC 27001:2022 sertifikavimą, gali palaikyti NIS2 vadovybės atskaitomybę, DORA IRT rizikos valdymą, GDPR saugumo atskaitomybę, NIST CSF komunikacijos rezultatus ir COBIT 2019 užtikrinimo lūkesčius.

NIS2: pranešimo terminas prasideda nuo sužinojimo momento

NIS2 yra 2026 m. pasirengimo centre, nes ji apibrėžia etapais vykdomą incidentų pranešimo darbo eigą.

Article 23 reikalauja, kad esminiai ir svarbūs subjektai nepagrįstai nedelsdami praneštų savo CSIRT arba kompetentingai institucijai apie reikšmingus incidentus, turinčius įtakos paslaugų teikimui. Ankstyvasis perspėjimas turi būti pateiktas nepagrįstai nedelsiant ir ne vėliau kaip per 24 valandas nuo sužinojimo apie reikšmingą incidentą. Jame, kai taikoma, turėtų būti nurodyta, ar įtariami piktavališki arba neteisėti veiksmai ir ar galimas tarpvalstybinis poveikis.

Pranešimas apie incidentą pateikiamas nepagrįstai nedelsiant ir ne vėliau kaip per 72 valandas nuo sužinojimo, atnaujinant ankstyvąjį perspėjimą ir pateikiant pradinį sunkumo, poveikio ir turimų kompromitavimo indikatorių vertinimą. Galutinė ataskaita turi būti pateikta per vieną mėnesį po pranešimo apie incidentą; joje nurodomas sunkumas, poveikis, tikėtinas grėsmės tipas arba pagrindinė priežastis, mažinimo priemonės ir tarpvalstybinis poveikis.

Todėl reagavimas į incidentus negali prasidėti nuo tuščio dokumento.

Įmonių Reagavimo į incidentus politika Reagavimo į incidentus politika nurodo:

NIS2 Article 23 (pranešimas per 24 valandas nuo sužinojimo apie incidentą)

MVĮ Reagavimo į incidentus politika - MVĮ Reagavimo į incidentus politika - MVĮ tą pačią terminų logiką perkelia į praktinę valdyseną:

„Reagavimo terminai, įskaitant duomenų atkūrimą ir pranešimo pareigas, turi būti dokumentuoti ir suderinti su teisiniais reikalavimais, tokiais kaip GDPR 72 valandų pranešimo apie asmens duomenų saugumo pažeidimą reikalavimas.“

Reagavimo į incidentus politika - MVĮ, skyriaus „Valdysenos reikalavimai“, punktas 5.3.2.

Ji taip pat įtraukia kelių režimų vertinimą į incidento procesą:

„Kai susiję klientų duomenys, generalinis direktorius turi įvertinti teisines pranešimo pareigas pagal GDPR, NIS2 arba DORA taikomumą.“

Reagavimo į incidentus politika - MVĮ, skyriaus „Rizikos tvarkymas ir išimtys“, punktas 7.4.1.

Kibernetinio solidarumo akto scenarijuje frazė „galimas tarpvalstybinis poveikis“ tampa operaciškai svarbi. Ankstyvajame perspėjime gali būti dar ne visi faktai, tačiau organizacija turi gebėti parodyti, kodėl, remdamasi turimais įrodymais, ji įtarė arba neįtarė tarpvalstybinio poveikio.

Incidento įraše turėtų būti fiksuojama:

  • Kada organizacija sužinojo apie įvykį.
  • Kas paskelbė įvykį galimu incidentu.
  • Kokios paslaugos, šalys, klientai ar sektoriai galėjo būti paveikti.
  • Ar buvo įtariama piktavališka arba neteisėta veikla.
  • Kokie kompromitavimo indikatoriai buvo prieinami.
  • Koks institucijos kontaktinis kelias buvo naudotas.
  • Ar buvo reikalinga komunikacija su klientais.
  • Kokie įrodymai buvo išsaugoti prieš reikšmingą taisymą.

Geriausias laikas suprojektuoti šiuos laukus yra iki 03:17.

DORA: kai klientas reguliuojamas, bet žurnalus turi tiekėjas

DORA keičia pokalbį su tiekėjais. Finansų subjektai turi valdyti IRT trečiųjų šalių riziką kaip savo IRT rizikos valdymo sistemos dalį. IRT paslaugų perdavimas išorės teikėjui neperkelia reguliacinės atsakomybės nuo finansų subjekto.

DORA reikalauja IRT trečiųjų šalių rizikos strategijų, IRT paslaugų sutarčių registrų, deramo patikrinimo, audito ir patikrinimų planavimo, nutraukimo teisių ir išbandytų pasitraukimo strategijų kritinėms ar svarbioms IRT paslaugoms. Article 30 reikalauja sutartinio aiškumo, įskaitant paslaugų aprašymus, vietas, duomenų tvarkymą, konfidencialumą, vientisumą, prieinamumą, paslaugų lygius, pagalbą IRT incidentų metu, bendradarbiavimą su institucijomis ir nutraukimo teises. Kritinėms ar svarbioms funkcijoms taikomos griežtesnės sąlygos.

Grįžkime prie Marios incidento. Vokietijos bankas reguliuojamas pagal DORA. InnovateCloud teikia SaaS paslaugas. MSSP aptinka įtartiną veiklą. Debesijos infrastruktūros teikėjas turi dalį pagrindinių audito žurnalų. Subtiekėjas eksploatuoja dalį telemetrijos konvejerio. Bankas išlieka atskaitingas, bet be tiekėjo įrodymų negali tinkamai klasifikuoti incidento ir apie jį pranešti.

Clarysec tai sprendžia per tiekėjų klasifikavimą ir sutartinius įrodymus. Įmonių Trečiųjų šalių ir tiekėjų saugumo politika Trečiųjų šalių ir tiekėjų saugumo politika reikalauja:

Sutartyse su tiekėjais turi būti numatyta:

MVĮ Trečiųjų šalių ir tiekėjų saugumo politika - MVĮ Trečiųjų šalių ir tiekėjų saugumo politika - MVĮ taiko tą pačią atitikties logiką paprastesniame veiklos modelyje:

Sutartyse turi būti privalomos nuostatos, apimančios:

Vertė slypi reikalavimų sąraše, kuris eina po šių žodžių: incidentų pranešimo pareigos, prieiga prie žurnalų, teisės atlikti auditą, konfidencialumas, duomenų vieta, subtiekėjų kontrolės priemonės, bendradarbiavimas su institucijomis, atkūrimo pagalba ir pasitraukimo įsipareigojimai.

Zenith Blueprint „Kontrolės priemonių taikymo praktikoje“ etapo 23 žingsnis pateikia įgyvendinimo kelią:

Sudarykite visą esamų tiekėjų ir paslaugų teikėjų sąrašą (5.19) ir klasifikuokite juos pagal prieigą prie sistemų, duomenų arba operacinę kontrolę. Kiekvienam klasifikuotam tiekėjui patikrinkite, ar saugumo lūkesčiai aiškiai įtraukti į sutartis (5.20), įskaitant konfidencialumą, prieigą, pranešimą apie incidentus ir atitikties įpareigojimus.

Toliau kalbama apie toliau perduodamą riziką:

Kiekvienam kritiniam tiekėjui nustatykite, ar jis naudoja subtiekėjus (subtvarkytojus), kurie gali pasiekti jūsų duomenis arba sistemas. Dokumentuokite, kaip jūsų informacijos saugumo reikalavimai perduodami šioms šalims – per tiekėjo sutarties sąlygas arba per jūsų tiesiogines nuostatas.

Tai taip pat yra pasirengimas kibernetinio saugumo rezervui. Jei išorinis reagavimo paslaugų teikėjas ekstremaliosios situacijos metu patenka į jūsų aplinką, turite žinoti teisinį pagrindą, prieigos taikymo sritį, įrodymų taisykles, duomenų tvarkymo įsipareigojimus, koordinavimo su institucijomis kelią ir pasitraukimo sąlygas. DORA tai aiškiai nustato finansų subjektams. NIS2 tai daro aktualu esminiams ir svarbiems subjektams. ISO/IEC 27001:2022 tai padaro audituojama.

GDPR: pažeidimo klausimas kibernetinės krizės viduje

Ne kiekvienas kibernetinio saugumo incidentas yra asmens duomenų saugumo pažeidimas, tačiau kiekvienas rimtas incidentas turi būti įvertintas dėl tokios galimybės.

GDPR taikomas duomenų tvarkymui ES įsisteigusio subjekto veiklos kontekste, taip pat ne ES duomenų valdytojams ar duomenų tvarkytojams, siūlantiems prekes ar paslaugas asmenims ES arba stebintiems jų elgesį ES. Jis apibrėžia asmens duomenis, duomenų tvarkymą, duomenų valdytoją, duomenų tvarkytoją ir asmens duomenų saugumo pažeidimą. Jo principai apima vientisumą, konfidencialumą ir atskaitomybę, todėl duomenų valdytojai turi gebėti įrodyti atitiktį.

03:17 incidento metu Marios komanda turi paklausti:

  • Ar prie asmens duomenų buvo prieita, ar jie buvo atskleisti, pakeisti, prarasti arba sunaikinti?
  • Ar InnovateCloud yra paveiktų duomenų duomenų valdytojas, duomenų tvarkytojas, ar abu?
  • Ar susiję specialių kategorijų asmens duomenys?
  • Kurie klientai ar asmenys paveikti?
  • Ar žurnalų pakanka taikymo sričiai įvertinti?
  • Ar GDPR pranešimo pareigos vykdomos lygiagrečiai su NIS2 arba DORA pareigomis?

Todėl privatumo koordinavimas turi būti incidento eskalavimo dalis, o ne vėlyva teisinė peržiūra po to, kai sistemos jau atkurtos, o žurnalai rotuoti.

MVĮ Žurnalavimo ir stebėsenos politika - MVĮ Žurnalavimo ir stebėsenos politika - MVĮ nurodo:

Aukšto prioriteto įspėjimai turi būti eskaluojami generaliniam direktoriui ir privatumo koordinatoriui per 24 valandas

Ši nuostata paprasta, bet ji sprendžia realų nesėkmės modelį. Privatumo vadovams reikia įrodymų, kol jie dar pakankamai švieži, kad būtų galima nustatyti, ar įvyko asmens duomenų saugumo pažeidimas ir ar asmenims kyla rizika.

Sukurkite 24 valandų tarpvalstybinio incidento įrodymų paketą

Praktinis pasirengimo pratimas turėtų simuliuoti pirmąsias 24 tarpvalstybinio incidento valandas. Tikslas nėra perteklinis pranešimas. Tikslas – įrodyti, kad organizacija gali surinkti faktus, priimti pagrindžiamus sprendimus ir išlaikyti komunikacijos nuoseklumą.

Scenarijus

Jūsų MSSP aptinka įtartiną privilegijuotą prieigą iš neįprasto regiono prie jūsų gamybinio kliento segmento. Ta pati šaltinio infrastruktūra pasirodo įspėjimuose, paveikusiuose du klientus dviejose valstybėse narėse. Vienas klientas yra finansų subjektas. Paveiktoje aplinkoje yra asmens duomenų, bet duomenų eksfiltracija nepatvirtinta.

1 žingsnis: atidarykite incidento įrašą

Sukurkite incidento užklausą naudodami patvirtintus klasifikavimo laukus. Įtraukite sužinojimo laiką, aptikimo šaltinį, paveiktą turtą, paveiktas paslaugas, galimai paveiktas šalis, įtariamą piktavališką veiklą, pradinį sunkumą ir incidento vadovą.

Susiekite tai su ISO/IEC 27002:2022 kontrolės priemonėmis 5.24, 5.25 ir 5.26 bei ISO/IEC 27001:2022 A priedo kontrolės priemonėmis A.5.24, A.5.25 ir A.5.26.

2 žingsnis: inicijuokite sprendimų dėl institucijų darbo eigą

Naudokite institucijų kontaktų matricą, kurios reikalaujama Zenith Blueprint 22 žingsnyje. Nustatykite, kurios institucijos gali būti aktualios: nacionalinis CSIRT, priežiūros institucija, finansų reguliuotojas, teisėsauga ir sektoriaus reguliuotojas.

Užfiksuokite sprendimą ir pagrindimą. Jei NIS2 ankstyvasis perspėjimas nepateikiamas, užfiksuokite kodėl. Jei galimas tarpvalstybinis poveikis, užfiksuokite įrodymus, kuriais grindžiama ši išvada.

3 žingsnis: išsaugokite įrodymus prieš reikšmingą taisymą

Įmonių Įrodymų rinkimo ir kriminalistikos politika Įrodymų rinkimo ir kriminalistikos politika nurodo:

Visi surinkti įrodymai turi būti unikaliai identifikuoti, pažymėti ir saugomi saugioje saugykloje su:

MVĮ Įrodymų rinkimo ir kriminalistikos politika - MVĮ Įrodymų rinkimo ir kriminalistikos politika - MVĮ tą pačią discipliną pateikia paprastesne forma:

„Kiekvienas skaitmeninių įrodymų elementas turi būti užregistruotas nurodant:“

Įrodymų rinkimo ir kriminalistikos politika - MVĮ, skyriaus „Valdysenos reikalavimai“, punktas 5.2.1.

Stalo pratyboms surinkite pavyzdinius įrodymų įrašus: SIEM įspėjimo eksportą, tapatybės teikėjo žurnalus, privilegijuotų sesijų įrašus, galinio įrenginio momentinę kopiją, ugniasienės žurnalus, debesijos audito žurnalus, klientų poveikio pastabas ir komunikacijos patvirtinimus.

4 žingsnis: aktyvuokite tiekėjų pagalbą

Patikrinkite tiekėjų registrą. Nustatykite MSSP, debesijos teikėją ir kritinius subtiekėjus. Patvirtinkite incidentų pagalbos nuostatas, eskalavimo kontaktus, žurnalų saugojimo terminus, įrodymų formatą ir bendradarbiavimo su institucijomis įsipareigojimus.

Tai tiesiogiai palaiko DORA IRT trečiųjų šalių rizikos reikalavimus ir NIS2 tiekimo grandinės saugumo lūkesčius.

5 žingsnis: parenkite tris komunikacijas

Parenkite tris komunikacijas iš tos pačios faktų bazės:

KomunikacijaTikslasReikalingi įrodymai
NIS2 tipo 24 valandų ankstyvasis perspėjimasPranešti apie sužinojimą apie reikšmingą incidentą ir galimą tarpvalstybinį poveikįSužinojimo laikas, įtariama piktavališka veikla, paveiktos paslaugos, valstybės narės, pradiniai indikatoriai
DORA tipo eskalavimas finansų klientuiPalaikyti finansų subjekto IRT incidento klasifikavimą ir trečiųjų šalių rizikos įsipareigojimusPaslaugos poveikis, kritinės funkcijos priklausomybė, tiekėjų dalyvavimas, atkūrimo įvertis, žurnalų prieinamumas
GDPR pažeidimo vertinimo pažymaNustatyti, ar reikalingas pranešimas apie asmens duomenų saugumo pažeidimąDuomenų vaidmenys, paveiktos duomenų kategorijos, prieigos įrodymai, duomenų eksfiltracijos indikatoriai, rizika asmenims

6 žingsnis: užbaikite įgytos patirties fiksavimu

Atnaujinkite rizikų registrą, Taikomumo pareiškimą, tiekėjų registrą ir reagavimo į incidentus planą. Jei pratybos atskleidžia trūkstamus žurnalus, neaiškius institucijų kontaktus arba silpnas tiekėjų nuostatas, inicijuokite korekcinius veiksmus.

Zenith Blueprint „Kontrolės priemonių taikymo praktikoje“ etapo 23 žingsnis organizacijoms nurodo taip validuoti incidentų pajėgumus:

Pasirinkite neseną įvykį arba atlikite stalo pratybas planui validuoti. Užfiksuokite ir užregistruokite visus sprendimus, vaidmenis ir komunikaciją (5.26) ir atnaujinkite planą įgyta patirtimi (5.27). Patvirtinkite, kad įdiegtos procedūros kriminalistiniams įrodymams išsaugoti (5.28), įskaitant žurnalų momentines kopijas, atsargines kopijas ir saugų paveiktų sistemų izoliavimą.

Ši pastraipa yra auditui tinkama pratybų darbotvarkė.

Žurnalavimas: skirtumas tarp koordinavimo ir spekuliacijų

Tarpvalstybinio incidento koordinavimas žlunga tada, kai visi turi nuomones, bet niekas neturi laiko žymų.

Zenith Blueprint „Kontrolės priemonių taikymo praktikoje“ etapo 19 žingsnis tai suformuluoja aiškiai:

Žurnalavimas yra bet kurios saugios IT aplinkos gyvybinė kraujotaka. Be jo incidentai lieka nematomi, atskaitomybė nyksta, o priežasties ir pasekmės ryšiai išnyksta ore.

Toliau nurodoma:

Iš esmės žurnalavimas yra atsekamumas. Kai kas nors nepavyksta – nesėkmingas prisijungimo bandymas, kritinių failų ištrynimas ar neautorizuotas scenarijus serveryje – žurnalai suteikia kriminalistinę giją, padedančią išnarplioti, kas iš tikrųjų įvyko.

NIS2 atveju žurnalai palaiko 72 valandų pranešimą apie incidentą su pradiniu sunkumu, poveikiu ir kompromitavimo indikatoriais. DORA atveju žurnalai palaiko reikšmingo su IRT susijusio incidento klasifikavimą, pagrindinės priežasties analizę, operacinį poveikį ir trečiųjų šalių atskaitomybę. GDPR atveju žurnalai palaiko vertinimą, ar prie asmens duomenų buvo prieita arba ar jie buvo atskleisti. Kibernetinio solidarumo akto kontekste žurnalai palaiko bendrą situacijos suvokimą, neverčiant reagavimo dalyvių remtis spekuliacijomis.

Žurnalavimo klausimasKodėl tai svarbu 2026 m. koordinavimui
Ar galite įrodyti, kada prasidėjo sužinojimas?NIS2 ir vidaus eskalavimo terminai priklauso nuo sužinojimo laiko
Ar galite nustatyti paveiktas paslaugas pagal šalį ir klientą?Tarpvalstybinio poveikio vertinimas priklauso nuo paslaugos ir geografijos
Ar galite išsaugoti žurnalus prieš tai, kai izoliavimo veiksmai pakeičia sistemas?Įrodymų rinkimas ir pagrindinės priežasties analizė priklauso nuo vientisumo
Ar galite atskirti klientų poveikio faktus nuo spekuliacijų?Išorinė komunikacija turi būti savalaikė, bet tiksli
Ar galite pakankamai greitai gauti tiekėjų žurnalus?DORA ir NIS2 tiekėjų atskaitomybei reikia sutartinės ir operacinės prieigos

Jei atsakymas į bet kurį klausimą yra „nežinome“, klausimas turi būti įtrauktas į rizikos tvarkymo planą.

Veiklos tęstinumas ir saugios krizės operacijos

Kibernetinio solidarumo akto diskusija natūraliai orientuota į reagavimą į incidentus, tačiau atsparumas taip pat reiškia saugų kritinių paslaugų palaikymą trikdžių metu.

NIS2 Article 21 reikalauja visų pavojų požiūrio, apimančio incidentų valdymą, veiklos tęstinumą, atsarginių kopijų valdymą, atkūrimą po katastrofos, krizių valdymą, tiekimo grandinės saugumą, pažeidžiamumų tvarkymą, veiksmingumo vertinimą, kibernetinę higieną, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą, daugiaveiksnį autentifikavimą, saugią komunikaciją ir, kai tinkama, saugią avarinę komunikaciją.

DORA panašiai reikalauja valdysenos, IRT rizikos valdymo, incidentų valdymo, atsparumo testavimo, trečiųjų šalių rizikos valdymo, tęstinumo ir atkūrimo. Mažesniems subjektams gali būti taikomi supaprastinti reikalavimai, tačiau jiems vis tiek reikia dokumentuoto IRT rizikos valdymo, stebėsenos, atsparių sistemų, incidentų valdymo, trečiųjų šalių priklausomybių identifikavimo, atsarginių kopijų, atkūrimo, testavimo, mokymosi po incidento ir mokymų.

Įmonių Veiklos tęstinumo ir atkūrimo po katastrofos politika Veiklos tęstinumo ir atkūrimo po katastrofos politika prasideda nuo paprasto reikalavimo:

Planai turi apimti:

Už šios frazės slypi veiklos tęstinumo įrodymai, kurių tikisi auditoriai: atkūrimo prioritetai, atkūrimo laiko tikslai, atkūrimo taško tikslai, atsarginių kopijų grafikai, atkūrimo testai, krizės vaidmenys, alternatyvi komunikacija, tiekėjų priklausomybės ir tobulinimo veiksmai po pratybų.

ISO/IEC 27002:2022 kontrolės priemonės 5.29 ir 5.30 čia yra esminės. Kontrolės priemonė 5.29 apima informacijos saugumą trikdžių metu. Kontrolės priemonė 5.30 apima IRT pasirengimą veiklos tęstinumui. Zenith Controls incidentų planavimas pagal 5.24 susietas su saugumu trikdžių metu ir platesniu veiklos tęstinumo planavimu. Tai ypač aktualu, kai įprasti kanalai nepasiekiami, tapatybės sistemos degraduoja arba krizės komandos turi koordinuoti veiksmus su institucijomis per saugią avarinę komunikaciją.

Atitikties susiejimo žemėlapis: NIS2, DORA, GDPR, NIST CSF 2.0 ir COBIT 2019

CISO nereikia penkių atskirų incidentų programų. Reikia vieno įrodymų modelio, kurį galima vertinti per penkis požiūrio kampus.

SistemaKą ji nori matytiISO/IEC 27001:2022 įrodymai, kurie padeda
NIS2Vadovybės atskaitomybė, rizikos valdymas, incidentų valdymas, tęstinumas, tiekimo grandinės saugumas, pranešimai ir mokymaiISVS taikymo sritis, vadovybės įrašai, rizikos vertinimas, Taikomumo pareiškimas, incidentų planas, institucijų matrica, tiekėjų registras, mokymų žurnalai
DORAIRT valdysena, atsparumo strategija, reikšmingų su IRT susijusių incidentų procesas, testavimas, IRT trečiųjų šalių rizika ir audituojamumasIRT rizikų registras, tęstinumo testai, incidentų įrodymai, tiekėjų sutartys, pasitraukimo planai, audito ataskaitos
GDPRSaugumas, konfidencialumas, atskaitomybė, pažeidimo vertinimas ir asmens duomenų vaidmenų aiškumasDuomenų žemėlapiai, duomenų valdytojo ir duomenų tvarkytojo įrašai, prieigos žurnalai, pažeidimo vertinimo pažymos, šifravimo kontrolės priemonės, įrodymų išsaugojimas
NIST CSF 2.0Valdysena, rizikos profiliai, tiekimo grandinės rizika, aptikimas, reagavimas, atkūrimas ir komunikacijaEsami ir tiksliniai profiliai, spragų veiksmų planas, stebėsenos įrodymai, reagavimo veiksmų planai, atkūrimo validavimas
COBIT 2019 ir ISACA audito praktikaValdysenos tikslai, vadovybės atskaitomybė, kontrolės priemonių projektavimas, veiklos stebėsena ir užtikrinimasValdybos ataskaitos, RACI, kontrolės priemonių savininkai, rodikliai, vidaus audito rezultatai, korekcinių veiksmų sekimas

NIST CSF 2.0 esamo ir tikslinio profilio metodas ypač naudingas organizacijoms, kurios dar nėra pakankamai brandžios visiškai integruotai GRC platformai. Jis skatina organizacijas apibrėžti profilio taikymo sritį, surinkti įvestis, tokias kaip politikos, įmonės rizikos prioritetai, poveikio veiklai analizė, reikalavimai, standartai, procedūros, apsaugos priemonės ir vaidmenys, tada analizuoti spragas ir sudaryti prioritetizuotą veiksmų planą. Tai artima praktiniam pasirengimo Kibernetinio solidarumo aktui sprintui: esami įrodymai, tiksliniai įpareigojimai, spragų planas, savininkai, datos ir audito pėdsakas.

COBIT 2019 ir ISACA tipo auditoriai paprastai klausia, ar valdysenos tikslai turi savininkus, ar yra matuojami ir stebimi. Jų netenkins atsakymas „tuo rūpinasi SOC“. Jie klaus, kaip valdymo organai tvirtina rizikos priemones, kaip teikiamos veiklos ataskaitos, kaip valdoma trečiųjų šalių rizika, kaip priimamos išimtys ir kaip sekami korekciniai veiksmai.

Kaip auditoriai tikrins tą patį incidentą

Tas pats 03:17 incidentas sukuria skirtingus audito klausimus priklausomai nuo vertintojo mandato.

ISO/IEC 27001:2022 auditorius pradės nuo ISVS. Jis klaus, ar incidentų procesas patenka į taikymo sritį, ar suinteresuotųjų šalių reikalavimai apima NIS2, DORA, GDPR ir sutartis, ar rizikos vertinime apsvarstyti tarpvalstybiniai ir tiekėjų scenarijai, ar A priedo kontrolės priemonės pasirinktos Taikomumo pareiškime ir ar operaciniai įrašai įrodo, kad procesas buvo vykdomas.

NIS2 orientuota institucija arba vertintojas daugiausia dėmesio skirs vadovybės atskaitomybei, Article 21 rizikos valdymo priemonėms ir Article 23 pranešimams. Jie gali klausti, kada organizacija sužinojo, kodėl incidentas buvo arba nebuvo reikšmingas, kaip buvo įvertintas tarpvalstybinis poveikis, ar klientai buvo informuoti ir ar korekcinės priemonės imtos nepagrįstai nedelsiant.

DORA priežiūros institucija arba vidaus audito komanda klaus, ar incidentas paveikė kritines arba svarbias funkcijas, ar IRT trečiųjų šalių teikėjai palaikė reagavimą, ar finansų subjektas išlaikė atsakomybę, ar informacijos registras buvo tikslus, ar incidentas teisingai klasifikuotas ir ar įgyta patirtis grįžo į atsparumo testavimą bei tiekėjų priežiūrą.

GDPR auditorius arba priežiūros institucija klaus, ar organizacija turėjo pakankamai įrodymų nustatyti, ar asmens duomenys buvo pažeisti, ar duomenų valdytojo ir duomenų tvarkytojo vaidmenys buvo aiškūs, ar duomenų subjektams kilo rizika, ar konfidencialumo ir vientisumo kontrolės priemonės buvo tinkamos ir ar atskaitomybės įrašai buvo palaikomi.

NIST CSF 2.0 vertintojas įvykį pavers valdysenos, identifikavimo, apsaugos, aptikimo, reagavimo ir atkūrimo rezultatais. Jis ieškos suinteresuotųjų šalių lūkesčių, teisinių prievolių, rizikos apetito, tiekėjų valdysenos, žurnalavimo, stebėsenos, reagavimo vykdymo, komunikacijos ir atkūrimo validavimo.

COBIT 2019 arba ISACA auditorius sutelks dėmesį į valdysenos ir valdymo sistemos veiksmingumą: savininkystę, sprendimų teises, rodiklius, rizikos priėmimą, proceso veiksmingumą, užtikrinimą ir nuolatinį tobulinimą.

Čia Zenith Controls naudinga kaip atitikties susiejimo kompasas. Ji nepervadina oficialių kontrolės priemonių ir nesukuria lygiagrečios kontrolės priemonių sistemos. Ji parodo, kaip ISO/IEC 27002:2022 kontrolės priemonės, tokios kaip 5.5, 5.24 ir 5.28, siejasi su operaciniais pajėgumais, susijusiomis kontrolės priemonėmis ir auditui svarbiais įrodymais.

Kontrolės priemonių ryšysSinergija pasirengimui Kibernetinio solidarumo aktuiISO/IEC 27002:2022 kontrolės priemonės
Nuo planavimo prie reagavimoTvirtas incidentų planas užtikrina struktūruotą reagavimą, aiškius vaidmenis ir valdomą komunikaciją5.24–5.26
Nuo reagavimo prie pranešimoReagavimo procesas turi išsaugoti įrodymus pagrindžiamu būdu, kad palaikytų pranešimą reguliuotojams5.26–5.28
Nuo reagavimo prie institucijųReagavimo plane turi būti iš anksto apibrėžti trigeriai ir kanalai susisiekti su nacionaliniais CSIRT ir reguliuotojais5.26–5.5
Nuo institucijų prie žvalgybosBendradarbiavimas su institucijomis gali suteikti grėsmių žvalgybos duomenų, kurie grįžta į rizikos vertinimą5.5–5.7

Ką CISO turėtų daryti dabar, kad pasirengtų 2026 m.

Jei rengiatės ES kibernetinio solidarumo akto operacinei tikrovei, pradėkite nuo įrodymų, o ne nuo šūkių.

Pirma, atnaujinkite ISVS kontekstą ir suinteresuotųjų šalių analizę. Nustatykite, ar jūsų organizacija, klientai ar tiekėjai patenka į NIS2, DORA arba GDPR taikymo sritį. Įtraukite valstybių narių veiklos pėdsaką, sektoriaus klasifikaciją, kritinius klientus, IRT paslaugų priklausomybes ir institucijų kontaktus.

Antra, atlikite tarpvalstybinio incidento stalo pratybas. Naudokite scenarijų, kuriame yra tiekėjas, daugiau nei viena valstybė narė, galimas asmens duomenų atskleidimas ir reguliuojamas finansų klientas. Pirmąsias 24 valandas apibrėžkite kaip atskirą laiko langą.

Trečia, peržiūrėkite tiekėjų sutartis. Patvirtinkite pranešimo pareigas, prieigą prie žurnalų, kriminalistinę pagalbą, bendradarbiavimą su institucijomis, subtiekėjams toliau perduodamas prievoles, duomenų vietą, teises atlikti auditą, tęstinumo pagalbą ir nutraukimo teises.

Ketvirta, išbandykite įrodymų rinkimą. Eksportuokite žurnalus, išsaugokite momentines kopijas, pažymėkite įrodymus, užregistruokite įrodymų saugojimo ir perdavimo grandinę ir patikrinkite prieigą prie saugyklos. Jei jūsų politika nurodo, kad įrodymai unikaliai identifikuojami ir saugiai saugomi, tai įrodykite.

Penkta, suderinkite incidento komunikaciją. Jūsų NIS2 ankstyvasis perspėjimas, DORA eskalavimas, GDPR pažeidimo vertinimas ir pranešimas klientui neturi vienas kitam prieštarauti. Jie gali turėti skirtingus teisinius tikslus, bet turi remtis ta pačia faktų baze.

Šešta, įtraukite valdybą į pratybas. NIS2 ir DORA abi padidina vadovybės atskaitomybės svarbą. ISO/IEC 27001:2022 vadovybės punktai tai padaro audituojama. Valdyba, kuri niekada nematė 24 valandų kibernetinio pranešimo termino, nėra pasirengusi tarpvalstybinei krizei.

Tolesni žingsniai su Clarysec

ES kibernetinio saugumo ateitis grindžiama bendradarbiavimu ir įrodytu pasitikėjimu. Organizacijos, kurios NIS2 ir DORA traktuoja kaip izoliuotus kontrolinius sąrašus, tarpvalstybinių incidentų metu susidurs su sunkumais. Organizacijos, kurios kuria įrodymais pagrįstas ISO/IEC 27001:2022 operacines sistemas, galės užtikrintai atsakyti reguliuotojams, klientams, auditoriams ir krizių reagavimo dalyviams.

Clarysec padeda CISO, atitikties vadovams, auditoriams ir verslo savininkams ES kibernetinį reguliavimą paversti auditui tinkamais operaciniais įrodymais per:

  • Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą, skirtą struktūruotam ISO/IEC 27001:2022 įgyvendinimui ir audito sekai.
  • Zenith Controls: atitikties susiejimo vadovą, skirtą incidentų, institucijų, tiekėjų, įrodymų, žurnalavimo ir tęstinumo kontrolės priemonėms susieti skirtingose sistemose.
  • Clarysec politikų šablonus, įskaitant Reagavimo į incidentus politiką, Įrodymų rinkimo ir kriminalistikos politiką, Trečiųjų šalių ir tiekėjų saugumo politiką, Veiklos tęstinumo ir atkūrimo po katastrofos politiką, taip pat MVĮ versijas, kai svarbus proporcingumas.

Geriausias laikas pasirengti tarpvalstybiniam incidentų koordinavimui yra iki 03:17 įspėjimo. Antras geriausias laikas – šiandien.

Pradėkite nuo Clarysec pasirengimo peržiūros, atsisiųskite atitinkamą politikų priemonių rinkinį arba paprašykite proceso peržiūros, kaip Zenith Blueprint ir Zenith Controls gali padėti jūsų ISVS sukurti įrodymus, kurių pareikalaus 2026 m. kibernetinis atsparumas.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article