Per permainų audrą: kaip NIS2 ir DORA keičia Europos atitikties reikalavimus

ES NIS2 direktyva ir DORA reglamentas keičia kibernetinio saugumo atitikties reikalavimus, reikalaudami griežtesnio rizikos valdymo, pranešimo apie incidentus ir skaitmeninio veiklos atsparumo. Šiame vadove paaiškinamas jų poveikis, parodomas glaudus suderinamumas su ISO 27001 ir pateikiamas praktinis, nuoseklus pasirengimo kelias vyriausiesiems informacijos saugumo pareigūnams ir verslo vadovams.

Įvadas

Europos atitikties aplinka išgyvena didžiausią pokytį per visą kartą. Artėjant Tinklų ir informacinių sistemų saugumo direktyvos (NIS2) perkėlimo į nacionalinę teisę terminui 2024 m. spalį ir DORA reglamentą visa apimtimi pradėjus taikyti nuo 2025 m. sausio, kibernetinio saugumo kaip pagalbinės IT funkcijos era galutinai baigėsi. Šie du teisės aktai žymi paradigmos pokytį: kibernetinis saugumas ir veiklos atsparumas tampa organizacijos valdysenos centru, o valdymo organai tampa tiesiogiai atsakingi už nesėkmes.

Vyriausiesiems informacijos saugumo pareigūnams, atitikties vadovams ir verslo savininkams tai nėra dar viena sistema, pagal kurią reikia susieti kontrolės priemones. Tai įpareigojimas sukurti iš viršaus valdomą, rizika grindžiamą ir įrodymais pagrįstą atsparią saugumo būklę. NIS2 išplečia ankstesnės direktyvos taikymo sritį ir apima platų „esminių“ bei „svarbių“ subjektų ratą, o DORA nustato griežtas, suderintas taisykles visam ES finansų sektoriui ir jo kritiniams technologijų paslaugų teikėjams. Rizika didesnė, reikalavimai detalesni, o sankcijos už neatitiktį — griežtos. Šis straipsnis padės orientuotis naujoje aplinkoje, naudojant ISO 27001 sistemą kaip praktinį pagrindą NIS2 ir DORA atitikčiai pasiekti.

Kas rizikuojama

NIS2 ir DORA įpareigojimų nevykdymo pasekmės gerokai viršija formalų įspėjimą. Šie teisės aktai įtvirtina reikšmingas finansines sankcijas, asmeninę vadovybės atsakomybę ir didelių veiklos sutrikimų riziką. Šių rizikų masto supratimas yra pirmasis žingsnis kuriant įtikinamą verslo pagrindimą investicijoms ir organizaciniams pokyčiams.

NIS2 ypač smarkiai padidina finansinę riziką. Kaip paaiškinama mūsų išsamiame vadove Zenith Controls, sankcijos suprojektuotos taip, kad patrauktų valdybos dėmesį.

Esminiams subjektams baudos gali siekti iki 10 mln. EUR arba 2 % bendros pasaulinės metinės apyvartos už praėjusius finansinius metus, atsižvelgiant į tai, kuri suma yra didesnė. Svarbiems subjektams maksimali bauda yra 7 mln. EUR arba 1,4 % bendros pasaulinės metinės apyvartos.

Šie dydžiai panašūs į GDPR lygio sankcijas ir rodo ES siekį griežtai taikyti kibernetinio saugumo standartus. Nors reikalavimai suderinti ES lygmeniu, tikslios sankcijų struktūros gali šiek tiek skirtis priklausomai nuo to, kaip kiekviena valstybė narė perkelia NIS2 į nacionalinę teisę. Tačiau rizika nėra vien finansinė. NIS2 numato galimybę laikinai uždrausti eiti vadovaujamas pareigas asmenims, pripažintiems atsakingais už pažeidimus, todėl kibernetinis saugumas tampa asmeninės generalinių direktorių ir valdybos narių atskaitomybės klausimu.

DORA, nors orientuotas į finansų sektorių, sukuria savitą spaudimą. Pagrindinis jo tikslas — užtikrinti kritinių finansinių paslaugų tęstinumą net reikšmingo IRT sutrikimo metu. Čia rizika yra sisteminė. Vieno finansų subjekto arba vieno iš jo kritinių IRT trečiųjų šalių paslaugų teikėjų nesėkmė gali sukelti grandininį poveikį visai Europos ekonomikai. DORA įpareigojimas — užkirsti tam kelią taikant aukštą skaitmeninio veiklos atsparumo standartą. Neatitikties kaina gali reikšti ne tik baudas, bet ir veiklos licencijų praradimą bei katastrofišką reputacijos žalą sektoriuje, kuris grindžiamas pasitikėjimu.

Veiklos poveikis taip pat reikšmingas. Abu teisės aktai nustato griežtus pranešimų apie incidentus terminus. NIS2 reikalauja pateikti pradinį pranešimą kompetentingoms institucijoms per 24 valandas nuo sužinojimo apie reikšmingą incidentą, o išsamesnę ataskaitą — per 72 valandas. Toks suspaustas terminas sukuria didžiulį spaudimą reagavimo į incidentus komandoms ir reikalauja brandžių, gerai išbandytų procesų, kurių daugelis organizacijų šiandien dar neturi. Dėmesys nebėra sutelktas vien į lokalizavimą ir atkūrimą — jis apima greitą ir skaidrią komunikaciją su reguliuotojais.

Kaip atrodo gera praktika

Šioje padidintos priežiūros eroje „gera praktika“ nebėra vien politikos dokumentai lentynoje ar vienkartinis sertifikavimas. Tai nuolatinio, įrodymais pagrįsto veiklos atsparumo būklė. Tai perėjimas nuo reaktyvios, atitiktimi grindžiamos laikysenos prie proaktyvios, rizika pagrįstos kultūros, kurioje kibernetinis saugumas integruotas į organizacijos veiklą. Organizacija, sėkmingai veikianti NIS2 ir DORA aplinkoje, pasižymi keliais esminiais požymiais, kurių daugelis remiasi gerai įgyvendintos ISO 27001 pagrindu veikiančios informacijos saugumo valdymo sistemos (ISVS) principais.

Galutinis tikslas — būsena, kurioje organizacija gali užtikrintai atlaikyti IRT sutrikimus, į juos reaguoti ir po jų atsikurti, kartu apsaugodama savo kritinį turtą ir paslaugas. Tam reikia gilaus verslo procesų ir juos palaikančių technologijų supratimo. Kaip nurodo Zenith Controls, šių teisės aktų tikslas — sukurti patikimą skaitmeninę infrastruktūrą visoje ES.

Pagrindinis NIS2 direktyvos tikslas — pasiekti aukštą bendrą kibernetinio saugumo lygį visoje Sąjungoje. Ji siekia pagerinti tiek viešojo, tiek privataus sektoriaus atsparumą ir reagavimo į incidentus pajėgumus.

Šio „aukšto bendro lygio“ pasiekimas reiškia išsamios saugumo programos įgyvendinimą, apimantį valdyseną, rizikos valdymą, turto apsaugą, reagavimą į incidentus ir tiekėjų saugumą. Brandžioje organizacijoje turi būti aiškus ryšys nuo valdybos lygmens rizikos apetito iki konkrečių techninių kontrolės priemonių. Vadovybė ne tik patvirtina biudžetą — ji aktyviai dalyvauja rizikos valdymo sprendimuose, kaip to reikalauja tiek NIS2 (Article 20), tiek DORA (Article 5).

Šią siektiną būseną apibrėžia proaktyvus, žvalgyba grindžiamas saugumas. Užuot tik reagavusi į įspėjimus, organizacija aktyviai renka ir analizuoja grėsmių žvalgybą, kad galėtų numatyti ir mažinti galimas atakas. Tai tiesiogiai dera su ISO/IEC 27002:2022 Control 5.7 (Grėsmių žvalgyba) — praktika, kuri dabar yra aiškus lūkestis pagal abu naujuosius teisės aktus.

Be to, atsparumas turi būti testuojamas, o ne laikomas savaime suprantamu. Gera praktika reiškia organizaciją, kuri reguliariai atlieka realistiškus reagavimo į incidentus ir veiklos tęstinumo planų testus. Pagal DORA paskirtiems finansų subjektams tai gali apimti pažangų grėsmėmis grindžiamą įsiskverbimo testavimą (Threat-Led Penetration Testing, TLPT) — griežtą realių atakos scenarijų modeliavimą. Ne kiekviena organizacija pateks į šią taikymo sritį, tačiau toms, kurios patenka, TLPT yra privalomas reikalavimas. Tokia testavimo kultūra užtikrina, kad planai nėra tik teoriniai dokumentai, o veikiantys reagavimo veiksmų planai, tinkami naudoti esant spaudimui.

Sąsaja su ISO 27001:2022 kontrolės temomis

ISO 27001:2022 A priedo kontrolės priemonės, išsamiau paaiškintos ISO/IEC 27002:2022, sudaro šiuolaikinės ISVS pagrindą. Kaip pabrėžiama Zenith Controls: The Cross-Compliance Guide,

Tokios kontrolės priemonės kaip A.5.7 (Grėsmių žvalgyba), A.5.23 (Informacijos saugumas naudojant debesijos paslaugas) ir A.5.29 (Tiekėjų santykiai) yra tiesiogiai minimos tiek NIS2, tiek DORA įgyvendinimo gairėse, pabrėžiant jų svarbą tarpreglamentinei atitikčiai. Organizacijos, kurios visiškai įgyvendina šias kontrolės priemones ir pateikia jų įrodymus, yra gerai pasirengusios, tačiau vis tiek turi atliepti naujų teisės aktų nustatytus konkrečius pranešimų teikimo, valdysenos ir atsparumo įpareigojimus.

Praktinis kelias: nuoseklios gairės

Atitiktis NIS2 ir DORA gali atrodyti kaip milžiniškas darbas, tačiau ji tampa valdoma, kai išskaidoma į pagrindines saugumo sritis. Taikydamos struktūruotą ISO 27001 suderintos ISVS požiūrį, organizacijos gali sistemiškai kurti reikiamus pajėgumus. Toliau pateikiamas praktinis kelias, paremtas įtvirtintomis politikomis ir gerąja praktika.

1. Įtvirtinkite stiprią valdyseną ir atskaitomybę

Abu teisės aktai galutinę atsakomybę priskiria „valdymo organui“. Tai reiškia, kad kibernetinis saugumas nebegali būti deleguojamas vien IT skyriui. Valdyba turi suprasti, prižiūrėti ir tvirtinti kibernetinio saugumo rizikos valdymo sistemą.

Pirmasis žingsnis — formaliai įtvirtinti šią struktūrą. Jūsų organizacijos politikos turi atspindėti šį iš viršaus valdomą požiūrį. Pagal P01S informacijos saugumo politikų politiką - SME, pamatinį bet kurios ISVS dokumentą, pats politikų rinkinys reikalauja aiškaus aukščiausiosios vadovybės patvirtinimo.

Informacijos saugumo politikos turi būti patvirtintos vadovybės, paskelbtos ir perduotos darbuotojams bei atitinkamoms išorinėms šalims.

Tai reiškia, kad vadovybė aktyviai dalyvauja nustatant kryptį. Tai dar labiau sustiprinama apibrėžiant aiškius vaidmenis. P02S valdysenos vaidmenų ir atsakomybių politika - SME nurodo, kad „informacijos saugumo atsakomybės turi būti apibrėžtos ir priskirtos“, užtikrinant, kad nebūtų neaiškumo, kas atsakingas už konkrečią saugumo programos dalį. NIS2 ir DORA atveju tai turi apimti paskirtą asmenį arba komitetą, atsakingą už tiesioginį atitikties būklės raportavimą valdymo organui.

Pagrindiniai veiksmai:

• Paskirti valdybos lygmens kibernetinio saugumo ir atsparumo rėmėją.
• Numatyti reguliarias valdybos atliekamas ISVS veiksmingumo ir atitikties reglamentavimo reikalavimams peržiūras.
• Dokumentuoti sprendimus, veiksmus ir priežiūros įrodymus.

2. Įgyvendinkite išsamią rizikos valdymo sistemą

Iš naujo įvertinkite ir atnaujinkite rizikos vertinimo procesą. Kaip nurodyta Rizikos vertinimo metodikos įgyvendinimo vadove, „NIS2 ir DORA reikalauja dinamiškų, grėsmėmis grindžiamų rizikos vertinimų, kurie viršija statines metines peržiūras. Organizacijos turi integruoti grėsmių žvalgybą (A.5.7) ir užtikrinti, kad rizikos vertinimai būtų atnaujinami atsižvelgiant į grėsmių aplinkos ar verslo aplinkos pokyčius.“ Zenith Controls. NIS2 peržengia bendro pobūdžio rizikos vertinimą, nes Article 21 įpareigoja taikyti konkrečias rizikos valdymo priemones, įskaitant tiekimo grandinės saugumą, incidentų tvarkymą, veiklos tęstinumą ir kriptografijos naudojimą. Šie reikalavimai turi būti įgyvendinti taip, kad tai būtų galima įrodyti, ir reguliariai peržiūrimi; tai aiškiai rodo, kad atitiktis nėra vien dokumentacija, bet įrodomos operacinės praktikos.

Pagrindiniai veiksmai:

• Integruoti realiojo laiko grėsmių žvalgybą į rizikos vertinimus.
• Užtikrinti, kad rizikos vertinimai aiškiai apimtų tiekimo grandinės ir IRT trečiųjų šalių rizikas (A.5.29).
• Dokumentuoti peržiūros ir atnaujinimo procesą bei pateikti jo įrodymus.

Šis procesas turi būti tęstinis ir iteracinis, o ne metinė formalios atžymos veikla. Jis apima viską — nuo tiekimo grandinės saugumo iki darbuotojų sąmoningumo.

3. Sustiprinkite reagavimą į incidentus ir pranešimų teikimą

Griežti NIS2 pranešimų teikimo terminai (pradinis pranešimas per 24 valandas) ir išsami DORA klasifikavimo bei pranešimų schema reikalauja itin brandžios incidentų valdymo funkcijos. Tam reikia daugiau nei vien SOC — būtinas aiškiai apibrėžtas ir išbandytas planas.

P30S reagavimo į incidentus politika - SME pateikia šio pajėgumo modelį. Joje pabrėžiama, kad „organizacija turi planuoti ir pasirengti informacijos saugumo incidentų valdymui, apibrėždama, nustatydama ir komunikuodama informacijos saugumo incidentų valdymo procesus, vaidmenis ir atsakomybes“. Reagavimas į incidentus yra vienas pagrindinių NIS2 ir DORA akcentų. Informacijos saugumo incidentų valdymo politika (4.2 skyrius) nurodo:

Organizacijos turi įgyvendinti procedūras incidentams aptikti, apie juos pranešti ir į juos reaguoti per taikomų teisės aktų nustatytus terminus bei saugoti išsamius įrašus audito tikslais.

Įgyvendintini pagrindiniai elementai:

• Aiški „reikšmingo incidento“ apibrėžtis, nuo kurios pradedamas NIS2 ir DORA pranešimo termino skaičiavimas.
• Iš anksto apibrėžti komunikacijos kanalai ir šablonai pranešimams reguliuotojams, CSIRT ir kitoms suinteresuotosioms šalims.
• Reguliarios pratybos ir stalo pratybos, užtikrinančios, kad reagavimo komanda gali veiksmingai vykdyti planą esant spaudimui.
• Peržiūros po incidento procesai, leidžiantys mokytis iš kiekvieno įvykio ir nuolat gerinti reagavimo pajėgumus.

4. Sustiprinkite tiekimo grandinės ir trečiųjų šalių rizikos valdymą

DORA ypač pakelia IRT trečiųjų šalių rizikos valdymą nuo deramo patikrinimo veiklos iki pagrindinės veiklos atsparumo disciplinos. Finansų subjektai dabar aiškiai atsako už savo kritinių IRT paslaugų teikėjų atsparumą. NIS2 taip pat reikalauja, kad subjektai valdytų rizikas, kylančias iš jų tiekėjų.

Trečiųjų šalių ir tiekėjų saugumo politikos 5.2 skyrius - SME reikalauja, kad:

Prieš pasitelkimą kiekvienas tiekėjas turi būti įvertintas dėl galimų rizikų.

Joje taip pat nustatomos būtinos kontrolės priemonės, nurodant, kad „organizacijos informacijos saugumo reikalavimai turi būti suderinti su tiekėjais ir dokumentuoti“. DORA ir NIS2 atveju tai reiškia dar daugiau:

• Tvarkyti visų IRT trečiųjų šalių paslaugų teikėjų registrą, aiškiai išskiriant tuos, kurie laikomi „kritiniais“.
• Užtikrinti, kad sutartyse būtų konkrečios nuostatos, apimančios saugumo kontrolės priemones, audito teises ir pasitraukimo strategijas. DORA šioje srityje yra itin detalus.
• Reguliariai atlikti kritinių tiekėjų rizikos vertinimus, ne tik tiekėjų įtraukimo metu, bet per visą santykių gyvavimo ciklą.
• Parengti nenumatytų atvejų planus kritinio tiekėjo santykių nesėkmės arba nutraukimo atvejui, kad būtų užtikrintas paslaugų tęstinumas.

5. Kurkite ir testuokite atsparumą

Galiausiai abu teisės aktai iš esmės yra apie atsparumą. Jūsų organizacija turi gebėti palaikyti kritines operacijas kibernetinio saugumo incidento metu ir po jo. Tam reikia išsamios veiklos tęstinumo valdymo (BCM) programos.

Veiklos tęstinumo ir atkūrimo po katastrofos politika - SME pabrėžia būtinybę integruoti saugumą į BCM planavimą. Joje nurodoma: „Organizacija turi nustatyti savo informacijos saugumo ir informacijos saugumo valdymo tęstinumo reikalavimus nepalankiomis aplinkybėmis.“ Tai reiškia, kad jūsų BCM ir atkūrimo po katastrofos (DR) planai turi būti parengti atsižvelgiant į kibernetines atakas. Pagrindiniai veiksmai:

• Atlikti poveikio veiklai analizes (BIA), siekiant nustatyti kritinius procesus ir jų atkūrimo laiko tikslus (RTO).
• Parengti ir dokumentuoti BCM bei DR planus, kurie būtų aiškūs, įgyvendinami ir prieinami.
• Reguliariai testuoti šiuos planus pagal realistiškus scenarijus, įskaitant kibernetinių atakų modeliavimą. DORA reikalavimas paskirtiems subjektams atlikti grėsmėmis grindžiamą įsiskverbimo testavimą yra aukščiausias šios praktikos lygis.

Laikydamosi šių žingsnių ir įtraukdamos juos į ISO 27001 suderintą ISVS, organizacijos gali sukurti pagrįstą ir veiksmingą atitikties programą, atitinkančią aukštą NIS2 ir DORA kartelę.

Sąsajų sujungimas: tarpreglamentinės atitikties įžvalgos

Vienas veiksmingiausių būdų pasirengti NIS2 ir DORA yra pripažinti reikšmingą jų persidengimą su esamais, visame pasaulyje pripažintais standartais, pirmiausia ISO/IEC 27001 ir 27002 sistema. Vertindamos šiuos naujus teisės aktus per ISO kontrolės priemonių prizmę, organizacijos gali panaudoti esamas investicijas į ISVS ir išvengti darbo nuo nulio.

Zenith Controls pateikia svarbias kryžmines nuorodas, kurios paaiškina šias sąsajas ir parodo, kaip viena ISO/IEC 27002:2022 kontrolės priemonė gali padėti įvykdyti kelių teisės aktų reikalavimus.

Valdysena ir politika (ISO/IEC 27002:2022 Control 5.1): Valdymo organo priežiūros įpareigojimas yra kertinis tiek NIS2, tiek DORA elementas. Jis tiesiogiai dera su Control 5.1, kuri orientuota į aiškių informacijos saugumo politikų nustatymą. Kaip paaiškina Zenith Controls, ši kontrolės priemonė yra pamatinė įrodant vadovybės įsipareigojimą.

Ši kontrolės priemonė tiesiogiai palaiko NIS2 Article 20, pagal kurį valdymo organai atsako už kibernetinio saugumo rizikos valdymo priemonių įgyvendinimo priežiūrą. Ji taip pat dera su DORA Article 5, pagal kurį valdymo organas turi apibrėžti, patvirtinti ir prižiūrėti skaitmeninio veiklos atsparumo sistemą.

Įgyvendindami patikimą politikų sistemą, patvirtintą ir reguliariai peržiūrimą vadovybės, sukuriate pagrindinius įrodymus, reikalingus šiems svarbiems valdysenos straipsniams įvykdyti.

Incidentų valdymas (ISO/IEC 27002:2022 Control 5.24): Griežti abiejų teisės aktų pranešimo apie incidentus reikalavimai tiesiogiai atliepiami turint brandų incidentų valdymo planą. Control 5.24 (informacijos saugumo incidentų valdymo planavimas ir pasirengimas) suteikia tam struktūrą. Suderinimas yra aiškus:

Ši kontrolės priemonė yra būtina atitikčiai su NIS2 Article 21(2), kuris nustato saugumo incidentų tvarkymo priemones, ir Article 23, kuris nustato griežtus pranešimo apie incidentus terminus. Ji taip pat siejasi su DORA išsamiu incidentų valdymo procesu, aprašytu Article 17, įskaitant didelių su IRT susijusių incidentų klasifikavimą ir pranešimą apie juos.

Gerai dokumentuotas ir testuotas reagavimo į incidentus planas, paremtas šia kontrolės priemone, nėra vien gera praktika — tai tiesioginė prielaida NIS2 ir DORA atitikčiai.

IRT trečiųjų šalių rizika (ISO/IEC 27002:2022 Control 5.19): Intensyvus DORA dėmesys tiekimo grandinei yra vienas iš skiriamųjų jo bruožų. Control 5.19 (informacijos saugumas tiekėjų santykiuose) suteikia sistemą šioms rizikoms valdyti. Zenith Controls pabrėžia šią kritinę sąsają:

Ši kontrolės priemonė yra esminė įgyvendinant plačius DORA Chapter V reikalavimus dėl IRT trečiųjų šalių rizikos valdymo. Ji taip pat palaiko NIS2 Article 21(2)(d), pagal kurį subjektai turi užtikrinti savo tiekimo grandinių saugumą, įskaitant kiekvieno subjekto ir jo tiesioginių tiekėjų santykius.

Įgyvendinus Control 5.19 aprašytus procesus, pvz., tiekėjų patikrą, sutartinius susitarimus ir nuolatinę stebėseną, sukuriami būtent tie pajėgumai, kurių reikalauja DORA ir NIS2.

Veiklos tęstinumas (ISO/IEC 27002:2022 Control 5.30): Savo esme DORA yra apie atsparumą. Control 5.30 (IRT pasirengimas veiklos tęstinumui) yra ISO atitikmuo šiam principui. Sąsaja yra tiesioginė ir stipri.

Ši kontrolės priemonė yra kertinė siekiant pagrindinio DORA tikslo — užtikrinti IRT sistemų veiklos tęstinumą ir atsparumą. Ji tiesiogiai palaiko DORA Chapter III (skaitmeninio veiklos atsparumo testavimas) ir Chapter IV (IRT trečiųjų šalių rizikos valdymas) nustatytus reikalavimus. Ji taip pat dera su NIS2 Article 21(2)(e), kuris įpareigoja turėti veiklos tęstinumo politikas, pavyzdžiui, atsarginių kopijų valdymą ir atkūrimą po katastrofos.

Kurdami BCM programą aplink šią kontrolės priemonę, kartu kuriate DORA atitikties pagrindą. Tai parodo, kad ISO 27001 nėra paralelinis kelias — jis yra tiesioginė priemonė naujiems Europos reglamentavimo reikalavimams įvykdyti.

Trumpa apžvalga: ISO 27001 A priedas ir NIS2 bei DORA

Šis suderinimas rodo, kaip viena ISO kontrolės priemonė gali padėti patenkinti kelis reglamentavimo reikalavimus, todėl ISO 27001 tampa tiesiogine NIS2 ir DORA atitikties įgyvendinimo priemone.

Pasirengimas patikrai: ko klaus auditoriai

Kai reguliuotojai ar auditoriai pasibels į duris, jie ieškos apčiuopiamų gyvos ir veikiančios saugumo bei atsparumo programos įrodymų, o ne vien dokumentų rinkinio. Jie tikrins, ar jūsų politikos įgyvendintos, kontrolės priemonės veiksmingos, o planai — testuoti. Suprasdami jų dėmesio sritis, galite iš anksto parengti tinkamus įrodymus ir užtikrinti, kad komandos būtų pasirengusios atsakyti į sudėtingus klausimus.

Zenith Blueprint, auditoriaus veiksmų planas, suteikia vertingų įžvalgų apie tai, ko tikėtis. Auditoriai sistemiškai peržiūrės pagrindines sritis, todėl reikia pasirengti kiekvienai iš jų.

Toliau pateikiamas kontrolinis sąrašas, ko auditoriai prašys ir ką jie darys pagal savo metodiką:

1. Valdysena ir vadovybės įsipareigojimas:

• Ko jie prašys: valdybos posėdžių protokolų, rizikos komiteto nuostatų ir pasirašytų pagrindinių informacijos saugumo politikų kopijų.
• Ką jie darys: kaip aprašyta Zenith Blueprint „1 fazė, 3 žingsnis: suprasti valdysenos sistemą“, auditoriai „patikrins, ar valdymo organas formaliai patvirtino ISVS politiką ir yra reguliariai informuojamas apie organizacijos rizikos laikyseną“. Jie ieškos aktyvaus įsitraukimo įrodymų, o ne vien parašo ant prieš metus parengto dokumento.

2. Trečiųjų šalių rizikos valdymas:

• Ko jie prašys: išsamios IRT tiekėjų apskaitos, sutarčių su kritiniais teikėjais, tiekėjų rizikos vertinimo ataskaitų ir nuolatinės stebėsenos įrodymų.
• Ką jie darys: „4 fazė, 22 žingsnis: įvertinti trečiųjų šalių rizikos valdymą“ metu auditoriaus dėmesys bus sutelktas į deramą patikrinimą ir sutarčių griežtumą. Zenith Blueprint nurodo pagrindinius reikalingus įrodymus: „sutartys, paslaugų lygio susitarimai (SLA) ir tiekėjų audito ataskaitos“. Jie kruopščiai tikrins šiuos dokumentus, kad įsitikintų, jog juose yra DORA reikalaujamos konkrečios nuostatos, pavyzdžiui, audito teisės ir aiškūs saugumo įsipareigojimai.

3. Reagavimo į incidentus ir veiklos tęstinumo planai:

• Ko jie prašys: jūsų reagavimo į incidentus plano, veiklos tęstinumo plano, atkūrimo po katastrofos plano ir, svarbiausia, naujausių testų, pratybų ir modeliavimų rezultatų.
• Ką jie darys: auditoriai ne tik skaitys jūsų planus. Kaip išsamiai nurodyta „3 fazė, 15 žingsnis: peržiūrėti reagavimo į incidentus ir veiklos tęstinumo planus“, jų dėmesys bus sutelktas į „planų testavimą ir validavimą“. Jie prašys stalo pratybų ataskaitų po veiksmų, įsiskverbimo testavimo rezultatų (ypač TLPT ataskaitų DORA atveju) ir įrodymų, kad šių testų išvados buvo sekamos iki taisomųjų veiksmų įgyvendinimo. Planas, kuris niekada nebuvo testuotas, auditoriaus požiūriu laikomas neegzistuojančiu planu.

4. Saugumo suvokimas ir mokymai:

• Ko jie prašys: mokymų medžiagos, skirtingų darbuotojų grupių (įskaitant valdymo organą) mokymų baigimo įrašų ir fišingo simuliacijų rezultatų.
• Ką jie darys: „2 fazė, 10 žingsnis: įvertinti saugumo suvokimą ir mokymus“ metu auditoriai „įvertins mokymų programos veiksmingumą peržiūrėdami jos turinį, dažnumą ir baigimo rodiklius“. Jie norės matyti, kad mokymai pritaikyti konkretiems vaidmenims ir kad jų veiksmingumas matuojamas.

Iš anksto parengti šie įrodymai pavers auditą iš įtempto, reaktyvaus skubėjimo į sklandų jūsų organizacijos brandos ir įsipareigojimo atsparumui demonstravimą.

Dažniausios klaidos

Nors kelias į NIS2 ir DORA atitiktį yra aiškus, kelios dažnos klaidos gali sutrukdyti net ir gerai suplanuotoms pastangoms. Šių spąstų supratimas yra pirmasis žingsnis jų išvengti.

1. „Tik IT“ mąstysena: NIS2 ir DORA traktavimas kaip vien IT ar kibernetinio saugumo skyriaus problemos yra dažniausia klaida. Tai organizacijos lygmens reglamentavimo reikalavimai, orientuoti į veiklos atsparumą. Be valdymo organo ir verslo padalinių vadovų pritarimo bei aktyvaus dalyvavimo bet kokios atitikties pastangos neįvykdys pagrindinių valdysenos ir rizikos savininkystės reikalavimų.

2. Tiekimo grandinės nuvertinimas: daugelis organizacijų turi akląją zoną vertindamos tikrąjį priklausomybės nuo trečiųjų šalių IRT teikėjų mastą. DORA ypač reikalauja gilaus ir išsamaus šios ekosistemos supratimo. Vien saugumo klausimyno išsiuntimo nebepakanka. Netinkamas visų kritinių tiekėjų identifikavimas ir tvirtų saugumo bei atsparumo reikalavimų neįtraukimas į sutartis yra reikšminga atitikties spraga.

3. „Popierinis“ atsparumas: išsamių reagavimo į incidentus ir veiklos tęstinumo planų kūrimas, kurie gerai atrodo dokumentuose, bet niekada nebuvo testuoti pagal realistišką scenarijų. Auditoriai ir reguliuotojai tai greitai pastebės. Atsparumas įrodomas veiksmais, o ne dokumentacija. Reguliaraus ir griežto testavimo trūkumas yra aiškus signalas, kad organizacija nėra pasirengusi tikrai krizei.

4. Grėsmių žvalgybos ignoravimas: vien reaguoti į grėsmes yra pralaiminti strategija. Tiek NIS2, tiek DORA numanomai ir aiškiai reikalauja proaktyvesnio, žvalgyba grindžiamo saugumo požiūrio. Organizacijoms, kurios neįdiegia grėsmių žvalgybos rinkimo, analizės ir veiksmų pagal ją proceso, bus sunku įrodyti, kad jos veiksmingai valdo riziką, ir jos nuolat atsiliks nuo atakuotojų.

5. Atitikties traktavimas kaip vienkartinio projekto: NIS2 ir DORA nėra projektai su pabaigos data. Jie nustato nuolatinį stebėsenos, ataskaitų teikimo ir nuolatinio tobulinimo reikalavimą. Organizacijos, kurios tai mato kaip lenktynes iki termino, o po to sumažina išteklius, greitai praras atitiktį ir bus nepasirengusios kitam auditui arba, dar blogiau, kitam incidentui.

Tolesni veiksmai

Kelias į NIS2 ir DORA atitiktį yra maratonas, o ne sprintas. Jis reikalauja strateginio, struktūruoto požiūrio, paremto patikrintomis sistemomis. Veiksmingiausias kelias pirmyn — naudoti išsamias ISO 27001 kontrolės priemones kaip pagrindą.

1. Atlikite spragų analizę: pradėkite nuo dabartinės būklės vertinimo pagal NIS2, DORA ir ISO 27001 reikalavimus. Mūsų pagrindinis vadovas Zenith Controls pateikia išsamų susiejimą, reikalingą suprasti, kur jūsų kontrolės priemonės atitinka reikalavimus ir kur yra spragų.

2. Sukurkite savo ISVS: jei jos dar neturite, įdiekite formalią informacijos saugumo valdymo sistemą. Naudokite mūsų politikų šablonų rinkinį, pvz., Full SME Pack - SME arba Full Enterprise Pack, kad paspartintumėte savo valdysenos sistemos kūrimą.

3. Pasirenkite auditams: nuo pirmos dienos taikykite auditoriaus mąstyseną. Naudokite Zenith Blueprint, kad suprastumėte, kaip bus tikrinama jūsų programa, ir sukurtumėte įrodymų bazę, reikalingą užtikrintai pagrįsti atitiktį.

Išvada

NIS2 direktyvos ir DORA reglamento įsigaliojimas žymi esminį momentą kibernetinio saugumo ir veiklos atsparumo srityje Europoje. Tai nėra vien laipsniški esamų taisyklių atnaujinimai, o esminis reglamentavimo lūkesčių pertvarkymas, reikalaujantis didesnės vadovybės atskaitomybės, gilesnės tiekimo grandinės priežiūros ir apčiuopiamo įsipareigojimo atsparumui.

Nors iššūkis reikšmingas, tai kartu yra galimybė. Tai galimybė peržengti formalios atitikties ribas ir sukurti iš tiesų patikimą saugumo būklę, kuri ne tik tenkina reguliuotojus, bet ir apsaugo organizaciją nuo nuolat augančios sutrikimų grėsmės. Pasinaudodamos struktūruotu, rizika grindžiamu ISO 27001 požiūriu, organizacijos gali sukurti vieną, suvienodintą programą, kuri veiksmingai ir efektyviai atliepia pagrindinius abiejų teisės aktų reikalavimus. Kelias pirmyn reikalauja įsipareigojimo, investicijų ir iš viršaus inicijuoto kultūrinio pokyčio, tačiau rezultatas — organizacija, kuri yra ne tik atitinkanti reikalavimus, bet ir iš tikrųjų atspari šiuolaikinėms skaitmeninėms grėsmėms.