NIS2 valdymo organo atsakomybė: ISO 27001 įrodymai

El. laiškas į Marijos pašto dėžutę atėjo pirmadienio rytą 08:15. Būdama sparčiai augančio Europos debesijos paslaugų teikėjo CISO, ji buvo pripratusi prie skubių pranešimų, tačiau šis atrodė kitoks.

CFO persiuntė kliento saugumo klausimyną CEO, valdybos sekretoriui ir Marijai. Temos eilutė buvo trumpa: „Prieš pratęsiant sutartį reikalingi NIS2 valdymo organo atskaitomybės įrodymai.“

Klientas neprašė dar vienos įsiskverbimo testavimo ataskaitos. Jis norėjo žinoti, ar valdymo organas patvirtino kibernetinio saugumo rizikos valdymo priemones, kaip buvo prižiūrimas jų įgyvendinimas, ar vadovai dalyvavo kibernetinės rizikos mokymuose, kaip buvo eskaluojami reikšmingi incidentai ir kaip tiekėjų rizikos buvo peržiūrimos vadovybės lygmeniu. CEO pridėjo vieną sakinį: „Marija, kokia mūsų rizikos ekspozicija ir kaip pagrindžiame deramą rūpestingumą? Valdybai to reikia kitą savaitę.“

Būtent tada NIS2 tampa realybe daugeliui SaaS, debesijos, MSP, MSSP, duomenų centrų, fintech ir skaitmeninės infrastruktūros paslaugų teikėjų. Direktyva (ES) 2022/2555 kibernetinio saugumo nelaiko techninio padalinio problema. Ji kibernetinę riziką paverčia valdymo organo atskaitomybės klausimu.

NIS2 Article 20 reikalauja, kad esminių ir svarbių subjektų valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir dalyvautų mokymuose. Jis taip pat leidžia valstybėms narėms nustatyti atsakomybę už pažeidimus. Article 21 nustato praktinį bazinį lygį: rizikos analizę, saugumo politikas, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų įsigijimą ir kūrimą, veiksmingumo vertinimą, kibernetinę higieną, mokymus, kriptografiją, personalo saugumą, prieigos kontrolę, turto valdymą ir autentifikavimą.

Organizacijoms, jau naudojančioms ISO/IEC 27001:2022, struktūra pažįstama. Skiriasi auditorija ir įrodymų našta. Klausimas nebėra tik „Ar turime saugumo kontrolės priemones?“ Dabar klausiama: „Ar valdymo organas gali įrodyti, kad šias kontrolės priemones patvirtino, suprato, finansavo, peržiūrėjo, kvestionavo ir gerino?“

Būtent čia ISO/IEC 27001:2022 tampa pagrindžiama valdysenos sistema. Clarysec požiūris – naudoti ISO/IEC 27001:2022 kaip įrodymų pagrindą, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint kaip įgyvendinimo kelią, Clarysec politikas kaip valdymo organui tinkamus artefaktus, o Zenith Controls: The Cross-Compliance Guide Zenith Controls kaip kelių sistemų susiejimo vadovą NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ir audito lūkesčiams.

Kodėl NIS2 valdymo organo atsakomybė keičia kibernetinio saugumo diskusiją

NIS2 nereikalauja, kad direktoriai taptų ugniasienių inžinieriais. Ji reikalauja valdysenos. Šis skirtumas svarbus.

CISO gali parodyti pažeidžiamumų ataskaitas, MFA aprėptį, galinių įrenginių apsaugos valdymo skydus ir debesijos saugumo būklės balus. Tai naudingi operaciniai signalai, tačiau jie savaime neįrodo valdymo organo priežiūros. Reguliuotojas, verslo klientas, sertifikavimo auditorius ar finansų sektoriaus vertintojas ieškos valdysenos įrodymų grandinės:

1. Organizacija įvertino, ar NIS2 taikoma, ir dokumentavo pagrindimą.
2. Valdymo organas arba aukščiausioji vadovybė patvirtino kibernetinio saugumo rizikos valdymo sistemą.
3. Buvo apibrėžtas rizikos apetitas ir tolerancijos slenksčiai.
4. Didelės kibernetinės rizikos buvo eskaluotos ir peržiūrėtos.
5. Rizikos apdorojimo sprendimai buvo patvirtinti, įskaitant priimtą liekamąją riziką.
6. Pranešimo apie incidentus procedūros, kai taikoma, atspindi 24 valandų, 72 valandų ir galutinės ataskaitos pareigas.
7. Tiekėjų ir debesijos priklausomybės yra atvaizduotos ir valdomos.
8. Vadovybės peržiūra apima audito išvadas, incidentų tendencijas, rodiklius ir gerinimo veiksmus.
9. Vadovai dalyvavo jų atskaitomybę atitinkančiuose mokymuose.
10. Sprendimai, išimtys ir eskalavimai yra atsekami.

Čia daugelis senųjų saugumo veiksmų planų žlunga. „NIS2 atitinkančio“ įrankio įsigijimas neįrodo valdymo organo priežiūros. Politikos pasirašymas ir padėjimas į bylą neparodo įgyvendinimo. Visiškas kibernetinio saugumo delegavimas CISO nepatenkina valdymo organo priežiūros pareigos.

ISO/IEC 27001:2022 išsprendžia šią problemą, nes informacijos saugumą apibrėžia kaip strateginę, rizika grindžiamą valdymo sistemą, integruotą į organizacijos procesus. Jo punktai dėl konteksto, suinteresuotųjų šalių, teisinių prievolių, taikymo srities, lyderystės, rizikos vertinimo, rizikos apdorojimo, operacinės kontrolės, veiklos vertinimo, vidaus audito, vadovybės peržiūros ir nuolatinio gerinimo sukuria struktūrą, kurios valdymo organui reikia deramam rūpestingumui pagrįsti.

Zenith Blueprint tai praktiškai įgyvendina ISVS pagrindų ir lyderystės etape, Step 3:

„Clause 5.1 yra apie lyderystę ir įsipareigojimą. ISO 27001 reikalauja, kad aukščiausioji vadovybė demonstruotų lyderystę patvirtindama ISVS, suteikdama išteklius, skatindama sąmoningumą, užtikrindama vaidmenų priskyrimą, integruodama ISVS į verslo procesus ir palaikydama nuolatinį gerinimą.“

Tai yra NIS2 Article 20 veikiantis modelis. Valdymo organui nereikia tvirtinti kiekvienos techninės užklausos, tačiau jis turi patvirtinti valdysenos modelį, suprasti esmines rizikas, užtikrinti išteklius ir prižiūrėti įgyvendinimą.

Valdymo organo įrodymų paketas, kurio iš tikrųjų reikalauja NIS2

Dažna klaida – NIS2 įrodymus laikyti teisine pažyma ir politikų aplanku. Rimtam vertintojui to dažniausiai nepakanka. Valdymo organo atskaitomybei reikia aktyvios valdysenos įrodymų, o ne pasyvios dokumentacijos.

Tvirtas NIS2 valdymo organo įrodymų paketas turi susieti teisines prievoles su valdymo organo sprendimais, kontrolės priemonėmis ir peržiūros ciklais.

Šio paketo stiprybė yra atsekamumas. Kiekvienas artefaktas atsako į valdysenos klausimą ir nurodo ISO/IEC 27001:2022 mechanizmą. Tai CISO, CEO ir valdymo organui suteikia pagrindžiamą naratyvą: kibernetinis saugumas nėra įrankių rinkinys – tai valdoma sistema.

Politikų pavertimas valdymo organo lygmens atskaitomybe

Pradinėje situacijoje Marijos CEO gali kilti pagunda klientui atsakyti ISO sertifikatu ir keliomis politikomis. NIS2 valdymo organo atskaitomybei to nepakanka. Organizacijai reikia įrodymų, kad atsakomybė priskirta, sprendimai registruojami, o rizikos eskaluojamos objektyviai.

Clarysec politikos sukurtos tam atsekamumui užtikrinti.

Mažesnėms organizacijoms Information Security Policy-sme Informacijos saugumo politika - SME, clause 4.1.1, nurodo, kad aukščiausioji vadovybė:

„Išlaiko bendrą atskaitomybę už informacijos saugumą.“

Šis sakinys svarbus. Jis užkerta kelią dažnam netinkamam modeliui, kai steigėjai, CEO arba vykdomosios komandos neformaliai perduoda visą saugumo atskaitomybę IT, patys nepasilikdami prasmingos priežiūros.

Didesnėms organizacijoms Risk Management Policy Rizikos valdymo politika, clause 4.1.1, nurodo, kad vadovybė:

„Patvirtina rizikos valdymo sistemą ir apibrėžia priimtiną rizikos apetitą bei tolerancijos slenksčius.“

Tai valdymo organui tinkamas NIS2 Article 20 įrodymas. Rizikos apetito pareiškimas, tolerancijos slenksčiai ir formalus rizikos įgaliojimų modelis parodo, kaip patvirtinimas ir eskalavimas veikia praktikoje.

Tos pačios politikos clause 5.6 papildomai nurodo:

„Rizikos įgaliojimų matrica turi aiškiai apibrėžti eskalavimo slenksčius aukščiausiajai vadovybei arba valdymo organui.“

Tai vienas svarbiausių NIS2 valdysenos artefaktų. Be eskalavimo slenksčių valdymo organas mato tik tai, ką kas nors nusprendžia eskaluoti. Esant slenksčiams, didelė liekamoji rizika, neišspręsti kritiniai pažeidžiamumai, reikšminga tiekėjų koncentracija, dideli incidentai, audito išvados ir toleranciją viršijančios išimtys automatiškai patenka į vykdomąją priežiūrą.

Governance Roles and Responsibilities Policy Valdysenos vaidmenų ir atsakomybių politika sustiprina įrodymų grandinę:

„Valdysena turi palaikyti integraciją su kitomis disciplinomis (pvz., rizika, teise, IT, HR), o ISVS sprendimai turi būti atsekami iki jų šaltinio (pvz., audito įrašų, peržiūros žurnalų, posėdžių protokolų).“

MVĮ skirtame dokumente Governance Roles and Responsibilities Policy-sme Valdysenos vaidmenų ir atsakomybių politika - SME nurodoma:

„Visi reikšmingi saugumo sprendimai, išimtys ir eskalavimai turi būti registruojami ir atsekami.“

Šios nuostatos valdymo organo priežiūrą paverčia ne pokalbiu, o audito pėdsaku.

ISO/IEC 27001:2022 įrodymų grandinė NIS2 Article 20

Valdymo organas gali operaciniu lygmeniu įgyvendinti NIS2 Article 20 per aiškią ISO/IEC 27001:2022 įrodymų grandinę.

Pirma, nustatykite kontekstą ir taikymo sritį. ISO/IEC 27001:2022 reikalauja, kad organizacija nustatytų vidinius ir išorinius klausimus, suinteresuotąsias šalis, teisinius, reglamentavimo ir sutartinius reikalavimus, ISVS ribas, sąsajas, priklausomybes ir sąveikaujančius procesus. SaaS arba debesijos paslaugų teikėjui ISVS taikymo sritis turėtų aiškiai identifikuoti ES paslaugas, debesijos aplinkas, pagalbos operacijas, kritinius tiekėjus, reguliuojamus klientų segmentus ir NIS2 rizikos ekspoziciją.

Antra, pademonstruokite lyderystę. ISO/IEC 27001:2022 reikalauja, kad aukščiausioji vadovybė suderintų saugumo tikslus su strategine kryptimi, integruotų ISVS reikalavimus į verslo procesus, suteiktų išteklius, komunikuotų svarbą, priskirtų atsakomybes ir skatintų nuolatinį gerinimą. NIS2 kontekste tai tampa įrodymu, kad valdymo organas patvirtino ir prižiūrėjo kibernetinio saugumo rizikos valdymo priemones.

Trečia, vykdykite pakartojamą rizikos vertinimą ir apdorojimą. ISO/IEC 27001:2022 reikalauja rizikos kriterijų, rizikų identifikavimo, rizikos savininkų, tikimybės ir pasekmių analizės, apdorojimo parinkčių, kontrolės priemonių parinkimo, Annex A palyginimo, Taikomumo pareiškimo, rizikos apdorojimo plano ir liekamosios rizikos patvirtinimo.

Zenith Blueprint, Rizikos valdymo etape, Step 13, patvirtinimo momentą apibrėžia aiškiai:

„Vadovybės patvirtinimas: Rizikos apdorojimo sprendimus ir SoA turėtų peržiūrėti ir patvirtinti aukščiausioji vadovybė. Vadovybei turi būti pristatytos pagrindinės rizikos ir siūlomi jų apdorojimo būdai, rizikos, siūlomos priimti, ir kontrolės priemonės, planuojamos įgyvendinti.“

NIS2 kontekste toks pristatymas neturi būti vienkartinis. Valdymo organo paketas turėtų rodyti dabartines svarbiausias rizikas, tendencijas, apdorojimo pažangą, priimtą liekamąją riziką, vėluojančius veiksmus, kritinių tiekėjų rizikos ekspoziciją, incidentų temas ir pagrindinius veiksmingumo rodiklius.

Ketvirta, vykdykite veiklą ir saugokite įrodymus. ISO/IEC 27001:2022 clause 8.1 reikalauja operacinio planavimo ir kontrolės. Annex A kontrolės priemonės palaiko tiekėjų saugumą, debesijos valdyseną, reagavimą į incidentus, veiklos tęstinumą, pažeidžiamumų valdymą, atsargines kopijas, žurnalų tvarkymą, stebėseną, saugų kūrimą, taikomųjų programų saugumą, architektūrą, testavimą, išorės paslaugas, pareigų atskyrimą ir pakeitimų valdymą.

Penkta, vertinkite ir gerinkite. Vidaus auditas, matavimas, vadovybės peržiūra, korekciniai veiksmai ir nuolatinis gerinimas kontrolės priemonių katalogą paverčia valdoma sistema.

Įmonės Information Security Policy Informacijos saugumo politika įtvirtina šį vadovybės peržiūros lūkestį:

„Vadovybės peržiūros veiklos (pagal ISO/IEC 27001 Clause 9.3) turi būti vykdomos bent kartą per metus ir turi apimti:“

Vertė yra ne vien tai, kad įvyksta susitikimas. Vertė yra ta, kad peržiūra sukuria įrodymus: įvestis, sprendimus, veiksmus, savininkus, terminus ir tolesnius veiksmus.

Audit and Compliance Monitoring Policy-sme Audito ir atitikties stebėsenos politika - SME, clause 5.4.3, uždaro ciklą:

„Audito išvados ir būsenos atnaujinimai turi būti įtraukti į ISVS vadovybės peržiūros procesą.“

Tai skirtumas tarp „turėjome auditą“ ir „vadovybė peržiūrėjo audito rezultatus ir nurodė trūkumų šalinimo veiksmus“.

Kryžminis atitikties susiejimas: NIS2, DORA, GDPR, NIST CSF 2.0 ir COBIT 2019

NIS2 retai ateina viena. Debesijos paslaugų teikėjas gali tvarkyti asmens duomenis pagal GDPR. Fintech klientas gali nustatyti DORA nulemtus tiekėjų reikalavimus. JAV verslo klientas gali prašyti suderinimo su NIST CSF 2.0. Valdymo organo audito komitetas gali kalbėti COBIT 2019 kalba.

Atsakymas nėra kurti atskirus atitikties aplankus. Atsakymas – naudoti ISO/IEC 27001:2022 kaip centrinę įrodymų sistemą.

Zenith Controls padeda komandoms konsoliduoti įrodymus susiejant ISO/IEC 27002:2022 control 5.4 „Management responsibilities“ su standartais, reglamentais ir audito metodais.

Zenith Controls įraše dėl ISO/IEC 27002:2022 control 5.4 „Management responsibilities“ kontrolės tipas klasifikuojamas kaip „Preventive“, susiejamas su konfidencialumu, vientisumu ir prieinamumu ir priskiriamas į valdyseną orientuotam operaciniam gebėjimui.

Tai svarbu, nes NIS2 Article 20 yra prevencinė valdysena. Vadovybės patvirtinimas ir priežiūra mažina tikimybę, kad kibernetinė rizika taps nematoma, nepakankamai finansuojama ar nevaldoma.

Zenith Controls taip pat sieja vadovybės atsakomybes su susijusiomis ISO/IEC 27002:2022 kontrolės priemonėmis: 5.1 informacijos saugumo politikos, 5.2 informacijos saugumo vaidmenys ir atsakomybės, 5.35 nepriklausoma informacijos saugumo peržiūra, 5.36 informacijos saugumo politikų, taisyklių ir standartų laikymasis ir 5.8 saugumas projektų valdyme. Valdymo organo atskaitomybė negali egzistuoti atskirai. Jai reikia politikų, vaidmenų, patikinimo, atitikties stebėsenos ir integracijos projektų lygmeniu.

Platesnis kryžminis susiejimas ypač naudingas ataskaitoms vadovybei.

DORA nusipelno ypatingo dėmesio. NIS2 Article 4 pripažįsta, kad sektoriui skirti ES teisės aktai gali pakeisti persidengiančias NIS2 nuostatas, kai taikomos lygiavertės kibernetinio saugumo rizikos valdymo arba pranešimo apie incidentus priemonės. DORA yra pagrindinis pavyzdys finansų subjektams. Jis taikomas nuo 2025 m. sausio 17 d. ir sukuria vienodą IRT rizikos valdymo, pranešimo apie incidentus, atsparumo testavimo, trečiųjų šalių rizikos valdymo ir priežiūros sistemą finansinėms paslaugoms.

SaaS arba debesijos paslaugų teikėjas gali nebūti tiesiogiai reguliuojamas kaip bankas, tačiau DORA vis tiek gali ateiti per klientų sutartis. Finansų subjektai turi valdyti IRT trečiųjų šalių riziką, tvarkyti IRT paslaugų sutarčių registrus, atlikti deramą rūpestingumą, vertinti koncentracijos riziką, įtraukti audito ir patikrinimo teises, apibrėžti nutraukimo teises ir palaikyti pasitraukimo strategijas. Tai reiškia, kad finansų sektoriaus klientus aptarnaujantys paslaugų teikėjai turėtų tikėtis įrodymų užklausų, labai panašių į NIS2 valdymo organo valdysenos klausimus.

GDPR prideda atskaitomybę už asmens duomenis. Article 5(2) reikalauja, kad valdytojai būtų atsakingi ir galėtų įrodyti atitiktį. Article 32 reikalauja tvarkymo saugumo, įskaitant reguliarų techninių ir organizacinių priemonių veiksmingumo testavimą, vertinimą ir įvertinimą. Kai paveikiami asmens duomenys, incidentų darbo eigos turi integruoti GDPR pažeidimo vertinimą su NIS2 reikšmingo incidento eskalavimu.

NIST CSF 2.0 per GOVERN funkciją suteikia vadovams suprantamą kalbą. Ji pabrėžia organizacijos kontekstą, rizikos valdymo strategiją, vaidmenis ir atsakomybes, politiką, priežiūrą ir tiekimo grandinės rizikos valdymą. COBIT 2019 prideda audito komitetams pažįstamą valdysenos žodyną, ypač per EDM03 rizikos optimizavimui ir MEA tikslus stebėsenai bei patikinimui.

90 dienų NIS2 valdymo organo įrodymų sprintas

Praktinis įrodymų sprintas gali padėti organizacijoms greitai judėti nesukuriant lygiagrečios biurokratijos.

1–30 dienos: nustatykite atskaitomybę

Pradėkite nuo NIS2 atskaitomybės registro, kuriame registruojama:

• Subjekto klasifikavimo analizė, įskaitant esminio, svarbaus, netiesiogiai paveikto arba į taikymo sritį nepatenkančio subjekto pagrindimą.
• Į taikymo sritį patenkančios paslaugos, pvz., SaaS, debesija, valdomos paslaugos, duomenų centras, DNS, patikimumo užtikrinimo paslaugos arba su ryšiais susijusios paslaugos.
• ES valstybės narės, kuriose teikiamos paslaugos.
• Paveikti klientų sektoriai, ypač finansinės paslaugos, sveikatos priežiūra, transportas, energetika, viešasis administravimas ir skaitmeninė infrastruktūra.
• Taikomos prievolės, įskaitant NIS2 Article 20, Article 21 ir Article 23.
• Susijusios prievolės pagal DORA, GDPR, klientų sutartis ir kibernetinį draudimą.
• Vadovybės savininkas ir ataskaitų valdymo organui dažnis.

Prijunkite tai prie ISO/IEC 27001:2022 konteksto, suinteresuotųjų šalių, įpareigojimų registro ir ISVS taikymo srities. Tada atnaujinkite Rizikos įgaliojimų matricą, naudodami Rizikos valdymo politikos reikalavimą, kad eskalavimo slenksčiai būtų apibrėžti aukščiausiajai vadovybei arba valdymo organui.

Naudingi eskalavimo paleidikliai apima liekamąją riziką, viršijančią rizikos apetitą, nepašalintus kritinius pažeidžiamumus, viršijusius SLA, tiekėjų koncentracijos riziką, neišspręstas reikšmingas audito išvadas, incidentus, galinčius sukelti NIS2 pranešimo pareigą, MFA, atsarginių kopijų, žurnalų tvarkymo, šifravimo arba reagavimo į incidentus reikalavimų išimtis ir esminius debesijos architektūros pakeitimus.

31–60 dienos: patvirtinkite rizikos apdorojimą

Naudokite Zenith Blueprint Step 13 valdymo organo sprendimų paketui dėl rizikos apdorojimo plano ir Taikomumo pareiškimo parengti. Paketas turėtų apimti:

• 10 svarbiausių kibernetinių rizikų.
• Siūlomą kiekvienos rizikos apdorojimo parinktį.
• Pasirinktas kontrolės priemonių grupes.
• Liekamąją riziką po apdorojimo.
• Rizikas, siūlomas priimti.
• Reikalingus biudžeto arba išteklių sprendimus.
• Priklausomybes nuo tiekėjų, teisės, HR, produkto ir IT.
• Prašomą vadovybės sprendimą.

Rezultatas turi būti pasirašytas arba protokoluotas patvirtinimas. Vien skaidrių paketo nepakanka.

Taip pat susiekite NIS2 Article 21 priemones su ISO/IEC 27001:2022 punktais ir Annex A kontrolės priemonėmis. Tai leidžia organizacijai parodyti, kad NIS2 tvarkoma per ISVS, o ne per atsietą kontrolinį sąrašą.

61–90 dienos: ištestuokite pranešimą apie incidentus ir peržiūrėkite įrodymus

NIS2 Article 23 reikalauja etapinio pranešimo apie reikšmingus incidentus: ankstyvojo įspėjimo per 24 valandas, pranešimo apie incidentą per 72 valandas, tarpinių atnaujinimų, kai reikalaujama arba prašoma, ir galutinės ataskaitos ne vėliau kaip per vieną mėnesį po pranešimo.

Vykdykite stalo pratybas su valdymo organo rėmėju, CEO, CISO, teisininkais, komunikacijos, klientų sėkmės ir operacijų funkcijomis. Naudokite realistišką scenarijų, pvz., debesijos konfigūracijos klaidą, atskleidžiančią klientų metaduomenis, trikdančią paslaugos prieinamumą ir paveikiančią reguliuojamą klientą.

Ištestuokite, kas sprendžia, ar incidentas gali būti reikšmingas, kas susisiekia su teisininku, kas, kai reikalaujama, informuoja kompetentingas institucijas arba CSIRT, kas tvirtina komunikaciją klientams, kaip išsaugomi įrodymai, kaip lygiagrečiai vertinamos GDPR pažeidimo prievolės ir kaip valdymo organas informuojamas per pirmąsias 24 valandas.

Tada surenkite formalią vadovybės peržiūrą. Zenith Blueprint, audito, peržiūros ir gerinimo etape, Step 28, paaiškina kodėl:

„Vadovybės peržiūra nėra vien pristatymas; jos esmė – sprendimų priėmimas.“

Ši peržiūra turėtų apimti audito išvadas, rizikos apdorojimo pažangą, pasirengimą incidentams, tiekėjų rizikas, rodiklius, sprendimus, priskirtus veiksmus ir tolesnių veiksmų savininkus.

Vadovybės peržiūros susitikimas, kuris iš tikrųjų veikia

Daugelis vadovybės peržiūrų žlunga, nes jos struktūruojamos kaip būsenos atnaujinimai. NIS2 pasirengusi vadovybės peržiūra turi būti sprendimų susitikimas.

Darbotvarkė turėtų apimti:

1. NIS2, DORA, GDPR, sutartinių ir klientų reikalavimų pokyčius.
2. Verslo konteksto, paslaugų, įsigijimų, tiekėjų, debesijos architektūros ir reguliuojamų klientų segmentų pokyčius.
3. Svarbiausių informacijos saugumo rizikų ir liekamosios rizikos būseną pagal rizikos apetitą.
4. Rizikos apdorojimo plano pažangą ir vėluojančius veiksmus.
5. Incidentų tendencijas, reikšmingus įvykius, beveik įvykusius incidentus ir pasirengimą pranešimui.
6. Tiekėjų ir IRT priklausomybių rizikas, įskaitant koncentracijos ir pasitraukimo klausimus.
7. Vidaus auditų, išorės auditų, klientų vertinimų ir įsiskverbimo testų rezultatus.
8. Saugumo sąmoningumo ir vadovų mokymų užbaigimą.
9. Prieigos kontrolės, pažeidžiamumų valdymo, atsarginių kopijų, žurnalų tvarkymo, stebėsenos, saugaus kūrimo ir tęstinumo testų rodiklius.
10. Reikalingus sprendimus, įskaitant rizikos priėmimą, biudžetą, personalą, politikos išimtis, tiekėjų trūkumų šalinimą ir kontrolės priemonių gerinimą.

Vadovų mokymai ypač svarbūs. NIS2 Article 20 reikalauja, kad valdymo organo nariai dalyvautų mokymuose. Information Security Awareness and Training Policy Informacijos saugumo sąmoningumo ir mokymo politika, clause 5.1.2.4, aiškiai įtraukia vadovų mokymų temas:

„Vadovai (pvz., valdysena, rizikos priėmimas, teisinės prievolės)“

Vadovų kibernetinio saugumo mokymai turi būti sutelkti į sprendimų teises, atsakomybę, eskalavimą, rizikos apetitą, krizių valdyseną, pranešimą apie incidentus ir reglamentavimo įpareigojimus. Jie neturi apsiriboti fišingo suvokimu.

Kaip auditoriai ir klientai tikrins valdymo organo priežiūrą

Skirtingi vertintojai vartos skirtingą kalbą, tačiau tikrins tą patį esminį klausimą: ar kibernetinis saugumas yra valdomas?

Zenith Controls vertingas tuo, kad apima audito metodikos susiejimus. Vadovybės atsakomybėms jis nurodo ISO/IEC 19011:2018 audito principus ir vykdymą, ISO/IEC 27007:2020 ISVS audito praktikas, ISO/IEC 27001:2022 clause 5.1, COBIT 2019 EDM01 ir EDM03, ISACA ITAF Section 1401 ir NIST SP 800-53A PM-1 bei PM-2. Nepriklausomai peržiūrai jis susieja ISO/IEC 27001:2022 clauses 9.2 ir 9.3, ISO/IEC 27007 audito planavimo ir įrodymų praktikas, ISACA ITAF Section 2400 ir NIST vertinimo metodus. Politikų laikymuisi jis susieja ISO/IEC 27001:2022 clauses 9.1, 9.2 ir 10.1, ISO/IEC 19011 įrodymų rinkimą, COBIT 2019 MEA01 ir NIST nuolatinės stebėsenos vertinimą.

Pamoka paprasta. Valdymo organo atskaitomybė neįrodoma vien dalyvavimu posėdžiuose. Ji įrodoma informuotais sprendimais, dokumentuotais patvirtinimais, rizika grindžiamu prioritetų nustatymu, išteklių paskirstymu ir tolesniais veiksmais.

Dažnos klaidos, nutraukiančios įrodymų grandinę

Organizacijos, kurioms sunkiai sekasi įgyvendinti NIS2 valdymo organo atskaitomybę, paprastai patenka į nuspėjamus modelius.

Pirma, jos painioja techninį kontrolės priemonių veikimą su valdysena. MFA aprėptis, SIEM įspėjimai, EDR diegimas ir atsarginių kopijų sėkmingumo rodikliai svarbūs, tačiau valdymo organui reikia rizikos konteksto, apdorojimo sprendimų ir patikinimo, kad kontrolės priemonės veikia.

Antra, jos tvirtina politikas, bet ne rizikos apdorojimą. Pasirašyta saugumo politika neįrodo, kad valdymo organas patvirtino proporcingas kibernetinio saugumo priemones. Rizikos apdorojimo planas ir SoA yra stipresni įrodymai, nes susieja rizikas, kontrolės priemones, liekamąją riziką ir vadovybės patvirtinimą.

Trečia, jos neturi eskalavimo slenksčių. Be Rizikos įgaliojimų matricos eskalavimas priklauso nuo asmenų. NIS2 valdysenai reikia objektyvių paleidiklių.

Ketvirta, jos atskiria reagavimą į incidentus nuo reglamentavimo pranešimų. NIS2, DORA ir GDPR pranešimų darbo eigos turi būti integruotos iki krizės.

Penkta, jos ignoruoja tiekėjų valdyseną. NIS2 Article 21 apima tiekimo grandinės saugumą ir tiekėjų pažeidžiamumų aspektus. DORA nulemti klientai gali tikėtis gilesnės IRT trečiųjų šalių valdysenos, įskaitant deramą rūpestingumą, audito teises, koncentracijos riziką, nutraukimo teises ir pasitraukimo strategijas.

Šešta, jos nemoko vadovų. Vadovų kibernetinio saugumo mokymai pagal NIS2 nėra neprivaloma dekoracija. Tai valdysenos įrodymų grandinės dalis.

Kaip atrodo geras rezultatas

Po 90 dienų patikimas NIS2 valdymo organo įrodymų aplankas turėtų apimti:

• Taikytinumo vertinimą.
• ISVS taikymo sritį ir įpareigojimų registrą.
• Lyderystės įsipareigojimo pareiškimą.
• Rizikos apetitą ir tolerancijos slenksčius.
• Rizikos įgaliojimų matricą.
• Kibernetinės rizikos registrą.
• Rizikos apdorojimo planą.
• Taikomumo pareiškimą.
• Valdymo organo patvirtinimo protokolus.
• Vadovų mokymų įrašus.
• Incidentų stalo pratybų ataskaitą.
• Tiekėjų rizikos valdymo skydą.
• Vidaus audito ataskaitą.
• Vadovybės peržiūros protokolus ir veiksmų sekimo priemonę.

Šis aplankas atsako į kliento klausimyną, kurį Marija gavo pirmadienio rytą. Dar svarbiau – jis padeda valdymo organui valdyti kibernetinę riziką prieš incidentui, auditui ar reguliuotojui viešai patikrinant organizaciją.

Paverskite NIS2 valdymo organo atsakomybę auditui tinkama valdysena

NIS2 pakeitė kibernetinio saugumo diskusiją. Valdymo organai turi patvirtinti kibernetinio saugumo rizikos valdymo priemones, prižiūrėti įgyvendinimą ir dalyvauti mokymuose. Article 21 reikalauja integruoto techninių, operacinių ir organizacinių priemonių rinkinio. Article 23 suspaudžia pranešimą apie incidentus į etapais vykdomą grafiką, kuriam reikia pasirengti iki krizės.

ISO/IEC 27001:2022 suteikia valdymo sistemą. Clarysec suteikia įgyvendinimo kelią, politikų kalbą, kryžminius atitikties susiejimus ir audito įrodymų modelį.

Jei jūsų valdymo organas klausia: „Ką turime patvirtinti ir kaip įrodyti priežiūrą?“, pradėkite nuo trijų veiksmų:

1. Naudokite Zenith Blueprint Step 3, Step 13 ir Step 28 lyderystės įsipareigojimui, rizikos apdorojimo patvirtinimui ir vadovybės peržiūrai struktūruoti.
2. Naudokite Clarysec politikas, tokias kaip Rizikos valdymo politika, Valdysenos vaidmenų ir atsakomybių politika, Informacijos saugumo politika ir MVĮ atitikmenis, kad formalizuotumėte atskaitomybę ir atsekamumą.
3. Naudokite Zenith Controls, kad susietumėte NIS2 valdymo organo priežiūrą su ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ir audito metodikos lūkesčiais.

Clarysec gali padėti parengti valdymo organo paketą, atnaujinti ISVS įrodymų grandinę, pasirengti vadovybės peržiūrai ir paversti NIS2 atskaitomybę pakartojamu kibernetinės rizikos valdysenos procesu, kurį supranta auditoriai, klientai ir vadovai. Atsisiųskite atitinkamus Clarysec priemonių rinkinius arba paprašykite vertinimo, kad valdymo organo atsakomybę paverstumėte auditui tinkamais įrodymais.