NIS2 įrodymų susiejimas su ISO 27001:2022 2026 metams
2026 m. NIS2 problema yra ne informuotumas, o įrodymai
Pirmadienio rytas, 08:35. Maria, neseniai paskirta sparčiai augančio B2B debesijos ir valdomų paslaugų teikėjo vyriausiąja informacijos saugumo vadove (CISO), prisijungia prie ketvirtinio valdybos rizikos posėdžio, nešiojamajame kompiuteryje atsidariusi išsamų NIS2 spragų vertinimą. Pirmoji skaidrė atrodo raminamai. Politikos yra. Rizikos vertinimas yra. Reagavimas į incidentus dokumentuotas. Tiekėjai įtraukti į sąrašą. Pažeidžiamumų skenavimas vykdomas kas mėnesį.
Tada posėdžio pirmininkas užduoda klausimą, kuris pakeičia susitikimo eigą:
„Ar galime įrodyti, kad šios priemonės veikė praėjusį ketvirtį, ir ar galime parodyti, kurios ISO 27001:2022 kontrolės priemonės, savininkai ir įrašai pagrindžia kiekvieną NIS2 įpareigojimą?“
Kambaryje stoja tyla.
Teisininkai žino, kad įmonė patenka į NIS2 taikymo sritį, nes ES klientams teikia valdomas IRT ir debesijos paslaugas. Atitikties funkcija žino, kad 21 straipsnis reikalauja techninių, operacinių ir organizacinių kibernetinio saugumo rizikos valdymo priemonių. Operacijų komanda žino, kad diegia pataisas sistemose, peržiūri tiekėjus ir stebi žurnalus. Tačiau įrodymai išskaidyti užklausų sistemose, SIEM eksportuose, politikų aplankuose, skaičiuoklėse, debesijos konsolėse, tiekėjų portaluose ir posėdžių užrašuose.
Niekas negali greitai parodyti dokumentuotos grandinės nuo NIS2 21 straipsnio iki ISO 27001:2022 taikymo srities, rizikos, kontrolės priemonės, politikos, savininko, procedūros, operacinio įrašo ir audito išvados.
Tai ir yra tikrasis 2026 m. iššūkis.
Daugelis organizacijų jau nebeklausia: „Ar patenkame į NIS2 taikymo sritį?“ Jos kelia sudėtingesnį klausimą: „Ar galime įrodyti, kad mūsų NIS2 techninės priemonės iš tikrųjų veikia?“ Atsakymas negali būti vienkartinė susiejimo skaičiuoklė. Tai turi būti gyvas operacinis modelis informacijos saugumo valdymo sistemoje, kuriame teisiniai įpareigojimai paverčiami rizikomis, politikomis, kontrolės priemonėmis, savininkais, įrodymais ir nuolatiniu tobulinimu.
Clarysec modelyje ISO/IEC 27001:2022 naudojamas kaip valdymo sistemos ašis, NIS2 21 straipsnis – kaip reglamentavimo įpareigojimų rinkinys, politikų nuostatos – kaip operacinių taisyklių rinkinys, Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas – kaip įgyvendinimo kelias, o Zenith Controls: kryžminės atitikties vadovas – kaip ISO 27001:2022, NIS2, DORA, GDPR, NIST CSF ir COBIT grindžiamo patikinimo kryžminės atitikties žemėlapis.
Pradėkite nuo taikymo srities, nes NIS2 įrodymai prasideda prieš kontrolės priemones
Dažna NIS2 klaida – pereiti tiesiai prie daugiaveiksnio autentifikavimo (MFA), žurnalavimo, reagavimo į incidentus ir pažeidžiamumų valdymo dar nepatvirtinus subjekto, paslaugų ir jurisdikcijos taikymo srities.
NIS2 taikoma į jos taikymo sritį patenkantiems viešiesiems ir privatiesiems subjektams reglamentuojamuose sektoriuose, kurie atitinka dydžio ir veiklos kriterijus, o tam tikrų tipų subjektams – nepriklausomai nuo dydžio. Aktualios skaitmeninės ir IRT kategorijos apima debesijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, turinio pristatymo tinklų teikėjus, patikimumo užtikrinimo paslaugų teikėjus, viešųjų elektroninių ryšių teikėjus, valdomų paslaugų teikėjus, valdomo saugumo paslaugų teikėjus, internetines prekyvietes, interneto paieškos sistemas ir socialinių tinklų platformas.
Debesijos teikėjams, SaaS platformoms, MSP, MSSP ir skaitmeninės infrastruktūros teikėjams šis taikymo srities nustatymas nėra teorinis. 3 straipsnis reikalauja, kad valstybės narės atskirtų esminius ir svarbius subjektus. 27 straipsnis reikalauja, kad ENISA tvarkytų kelių skaitmeninių ir IRT teikėjų registrą, įskaitant DNS paslaugų teikėjus, TLD vardų registrus, domenų vardų registravimo paslaugų teikėjus, debesijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, turinio pristatymo tinklų teikėjus, valdomų paslaugų teikėjus, valdomo saugumo paslaugų teikėjus, internetines prekyvietes, interneto paieškos sistemas ir socialinių tinklų platformas.
ISO 27001:2022 suteikia tinkamą struktūrą. 4.1–4.4 punktai reikalauja, kad organizacija suprastų išorinius ir vidinius klausimus, suinteresuotąsias šalis, reikalavimus, sąsajas ir priklausomybes, o tada apibrėžtų ISVS taikymo sritį. NIS2 turi būti įtraukta čia, o ne palikta teisinėje pažymoje.
Praktinis NIS2 taikymo srities įrašas turėtų apimti:
- juridinio asmens ir ES įsisteigimo analizę
- NIS2 sektorių ir paslaugos kategoriją
- esminio arba svarbaus subjekto statusą, kai tai patvirtinta nacionaliniu teisės aktu arba institucijos paskyrimu
- ENISA registro aktualumą, kai taikoma
- klientams teikiamas kritines paslaugas
- tinklų ir informacines sistemas, palaikančias šias paslaugas
- priklausomybes nuo debesijos, duomenų centro, telekomunikacijų, saugumo stebėsenos, tapatybės ir programinės įrangos teikėjų
- sąsajas su DORA, GDPR, klientų sutartimis ir sektoriui būdingais įpareigojimais
- įrodymų saugyklas, sistemų savininkus ir peržiūros periodiškumą
Čia taip pat būtina teisingai atskirti DORA. NIS2 pripažįsta, kad kai sektoriui skirtas ES teisės aktas nustato lygiaverčius kibernetinio saugumo rizikos valdymo arba pranešimo apie incidentus įpareigojimus, vietoj atitinkamų NIS2 nuostatų taikomas tas sektoriui skirtas režimas. Finansų subjektams, kuriems jis taikomas, DORA paprastai yra pagrindinis kibernetinio saugumo ir IRT incidentų pranešimo režimas. DORA taikomas nuo 2025 m. sausio 17 d. ir apima IRT rizikos valdymą, pranešimą apie incidentus, skaitmeninio operacinio atsparumo testavimą, IRT trečiųjų šalių riziką ir kritinių IRT trečiųjų šalių paslaugų teikėjų priežiūrą.
Todėl fintech grupėje vienoje įmonių struktūroje gali būti taikomi skirtingi atitikties režimai. Mokėjimų subjektui pirmiausia gali būti taikomas DORA. MSP patronuojamajai įmonei gali būti tiesiogiai taikomas NIS2. Bendra debesijos platforma gali palaikyti abu. Brandus atsakymas nėra dubliuoti kontrolės priemones. Tai vienas ISVS įrodymų modelis, galintis aptarnauti kelias reglamentavimo perspektyvas.
ISO 27001:2022 kaip NIS2 atitikties operacinė sistema
NIS2 21 straipsnis reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių rizikoms tinklų ir informacinėms sistemoms valdyti ir incidentų poveikiui paslaugų gavėjams bei kitoms paslaugoms išvengti arba sumažinti.
ISO 27001:2022 labai tinka šiam reikalavimui įgyvendinti, nes įtvirtina tris disciplinas.
Pirma – valdysena. 5.1–5.3 punktai reikalauja aukščiausiosios vadovybės įsipareigojimo, suderinimo su strategine kryptimi, išteklių skyrimo, komunikacijos, atsakomybių priskyrimo ir dokumentuotos informacijos saugumo politikos. Tai tiesiogiai atitinka NIS2 20 straipsnį, kuriame reikalaujama, kad valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir gautų mokymus.
Antra – rizikos tvarkymas. 6.1.1–6.1.3 punktai reikalauja kartotinio rizikos vertinimo proceso, rizikos savininkų, rizikos įvertinimo, tvarkymo parinkčių, kontrolės priemonių parinkimo, Taikomumo pareiškimo, rizikos tvarkymo plano ir liekamosios rizikos patvirtinimo.
Trečia – operacinė kontrolė. 8.1 punktas reikalauja, kad organizacija planuotų, įgyvendintų ir kontroliuotų ISVS procesus, palaikytų dokumentuotą informaciją, kontroliuotų pakeitimus ir valdytų išorės teikiamus procesus, produktus ir paslaugas, susijusius su ISVS.
Taip NIS2 iš teisinio kontrolinio sąrašo tampa kontrolės priemonių operaciniu modeliu.
| NIS2 21 straipsnio priemonių sritis | ISO 27001:2022 operacinis mechanizmas | Pagrindinės ISO 27001:2022 A priedo kontrolės priemonės | Įrodymai, patvirtinantys veikimą |
|---|---|---|---|
| Rizikos analizė ir saugumo politikos | ISVS taikymo sritis, rizikos vertinimas, rizikos tvarkymo planas, Taikomumo pareiškimas, politikų sistema | 5.1 Informacijos saugumo politikos, 5.31 Teisiniai, įstatyminiai, reglamentavimo ir sutartiniai reikalavimai, 5.36 Informacijos saugumo politikų, taisyklių ir standartų laikymasis | Rizikų registras, Taikomumo pareiškimas, politikų patvirtinimai, atitikties registras, vadovybės peržiūros protokolai |
| Incidentų valdymas | Reagavimo į incidentus procesas, triažas, eskalavimas, komunikacija, įgyta patirtis | 5.24 Incidentų valdymo planavimas ir pasirengimas, 5.25 Informacijos saugumo įvykių vertinimas ir sprendimų priėmimas, 5.26 Reagavimas į informacijos saugumo incidentus, 5.27 Mokymasis iš informacijos saugumo incidentų, 5.28 Įrodymų rinkimas | Incidentų registras, laiko juostos, sprendimai, pranešimai, pagrindinės priežasties analizė, korekciniai veiksmai |
| Veiklos tęstinumas ir krizių valdymas | Poveikio veiklai analizė (BIA), atsarginių kopijų valdymas, atkūrimas po katastrofos, krizių veiksmų planai, pratybos | 5.29 Informacijos saugumas sutrikimo metu, 5.30 IRT pasirengimas veiklos tęstinumui, 8.13 Informacijos atsarginės kopijos | Atsarginių kopijų testavimo rezultatai, atkūrimo testų ataskaitos, krizių pratybų įrašai, BIA patvirtinimai |
| Tiekimo grandinės saugumas | Tiekėjų deramas patikrinimas, saugumo nuostatos, stebėsena, debesijos valdysena, pasitraukimo planavimas | 5.19 Informacijos saugumas santykiuose su tiekėjais, 5.20 Informacijos saugumo įtraukimas į tiekėjų susitarimus, 5.21 Informacijos saugumo valdymas IRT tiekimo grandinėje, 5.22 Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas, 5.23 Informacijos saugumas naudojant debesijos paslaugas | Tiekėjų registras, deramo patikrinimo įrašai, sutartinės nuostatos, stebėsenos peržiūros, pasitraukimo planai |
| Saugus įsigijimas, kūrimas ir pažeidžiamumų tvarkymas | Saugus programinės įrangos kūrimo gyvavimo ciklas (SDLC), pažeidžiamumų skenavimas, pataisų SLA, atskleidimo eiga | 8.8 Techninių pažeidžiamumų valdymas, 8.25 Saugus kūrimo gyvavimo ciklas, 8.26 Taikomųjų programų saugumo reikalavimai, 8.28 Saugus programavimas | Skenavimo rezultatai, užklausos, diegimo patvirtinimai, validavimo skenavimai, išimčių patvirtinimai |
| Kibernetinė higiena ir mokymai | Informuotumo programa, vaidmenimis pagrįsti mokymai, galinių įrenginių taisyklės, saugus konfigūravimas, pataisų diegimas | 6.3 Informacijos saugumo informuotumas, švietimas ir mokymas, 8.1 Naudotojų galiniai įrenginiai, 8.5 Saugus autentifikavimas, 8.8 Techninių pažeidžiamumų valdymas, 8.9 Konfigūracijų valdymas | Mokymų įrašai, fišingo rezultatai, galinių įrenginių atitikties ataskaitos, pataisų valdymo skydai |
| Kriptografija, prieigos kontrolė, MFA ir saugi komunikacija | Kriptografijos standartas, tapatybių ir prieigos valdymo (IAM) gyvavimo ciklas, privilegijuotoji prieiga, saugus autentifikavimas, tinklo saugumas | 5.17 Autentifikavimo informacija, 8.2 Privilegijuotos prieigos teisės, 8.3 Informacijos prieigos ribojimas, 8.5 Saugus autentifikavimas, 8.20 Tinklų saugumas, 8.24 Kriptografijos naudojimas | Prieigos peržiūros, MFA ataskaitos, šifravimo nustatymai, privilegijuotos prieigos žurnalai, tinklo konfigūracijos įrašai |
| Kontrolės veiksmingumo vertinimas | Vidaus auditas, kontrolės priemonių testavimas, rodikliai, vadovybės peržiūra, korekciniai veiksmai | 5.35 Nepriklausoma informacijos saugumo peržiūra, 5.36 Informacijos saugumo politikų, taisyklių ir standartų laikymasis | Vidaus audito ataskaitos, kontrolės imtys, neatitiktys, korekcinių veiksmų sekimas |
Kiekvienai eilutei reikia savininko, įrašų šaltinio ir imties metodo. Jei jų nėra, organizacija turi kontrolės siekį, o ne veikiančią kontrolės priemonę.
Politika yra vieta, kur NIS2 tampa operacine elgsena
Politikos dažnai vertinamos kaip šablonai. NIS2 kontekste tai pavojinga. Reguliuotojo ar auditoriaus neįtikins politikų aplankas, jei politikose nepriskirta savininkystė, neapibrėžti įrašai, nėra sąsajų su rizikomis ir nekuriami įrodymai.
Organizacijos Teisinės ir reglamentavimo atitikties politika nustato pagrindą 6.2.1 punkte:
Visi teisiniai ir reglamentavimo įpareigojimai turi būti susieti su konkrečiomis politikomis, kontrolės priemonėmis ir savininkais informacijos saugumo valdymo sistemoje (ISVS).
Ši nuostata yra tiltas tarp NIS2 ir ISO 27001:2022. NIS2 21 straipsnis nėra tiesiog įtraukiamas kaip išorinis reikalavimas. Jis išskaidomas į politikos įpareigojimus, susiejamas su kontrolės priemonėmis, priskiriamas savininkams ir testuojamas įrodymais.
Mažesnėms organizacijoms MVĮ Teisinės ir reglamentavimo atitikties politika tą pačią koncepciją išlaiko lengvesne forma. 5.1.1 punktas reikalauja:
Generalinis direktorius turi tvarkyti paprastą, struktūruotą Atitikties registrą, kuriame nurodoma:
Sakinys sąmoningai praktinis. MVĮ pradžiai nereikia sudėtingo GRC įgyvendinimo. Joms reikia atitikties registro, kuriame fiksuojamas įpareigojimas, taikomumas, savininkas, politika, įrodymai ir peržiūros periodiškumas.
Tuomet rizikos tvarkymas įpareigojimą paverčia veiksmu. Organizacijos Rizikos valdymo politika, 6.4.2 punktas nustato:
Rizikos pareigūnas turi užtikrinti, kad tvarkymo veiksmai būtų realistiški, terminuoti ir susieti su ISO/IEC 27001 A priedo kontrolės priemonėmis.
MVĮ atveju Rizikos valdymo politika – MVĮ, 5.1.2 punktas nustato minimalų gyvybingą rizikos įrašą:
Kiekviename rizikos įraše turi būti: aprašymas, tikimybė, poveikis, balas, savininkas ir tvarkymo planas.
Šios nuostatos svarbios, nes NIS2 aiškiai grindžiama rizika ir proporcingumu. 21 straipsnis tikisi, kad priemonės atspindės technikos lygį, atitinkamus standartus, įgyvendinimo sąnaudas, rizikos ekspoziciją, dydį, incidento tikimybę ir sunkumą, įskaitant socialinį ir ekonominį poveikį. Rizikų registras be savininkų ir tvarkymo planų negali įrodyti proporcingumo.
Organizacijos Informacijos saugumo politika užbaigia įrodymų principą 6.6.1 punkte:
Visos įgyvendintos kontrolės priemonės turi būti tinkamos auditui, pagrįstos dokumentuotomis procedūromis ir saugomais veikimo įrodymais.
Tai skirtumas tarp NIS2 programos turėjimo ir NIS2 įrodymų programos turėjimo.
Clarysec kelias nuo susiejimo iki veikimo
Zenith Blueprint vertingas todėl, kad atspindi auditorių mąstyseną. Jie klausia ne tik, ar kontrolės priemonė egzistuoja. Jie klausia, kodėl ji pasirinkta, kur ji dokumentuota, kaip veikia, kam priskirta savininkystė, kokie įrodymai patvirtina jos veikimą ir kaip organizacija ją tobulina.
Rizikos valdymo etape 13 žingsnis nurodo komandoms pridėti atsekamumą tarp rizikų, kontrolės priemonių ir nuostatų:
✓ Susiekite kontrolės priemones su rizikomis: savo Rizikų registro tvarkymo plane kiekvienai rizikai nurodėte tam tikras kontrolės priemones. Prie kiekvienos rizikos galite pridėti stulpelį „A priedo kontrolės priemonės nuoroda“ ir išvardyti kontrolės priemonių numerius.
NIS2 atveju tai reiškia, kad rizikų registras ir Taikomumo pareiškimas turėtų parodyti, kodėl tokios kontrolės priemonės kaip 8.8 techninių pažeidžiamumų valdymas, 5.19 informacijos saugumas santykiuose su tiekėjais ir 5.24 incidentų valdymo planavimas ir pasirengimas yra taikomos.
Zenith Blueprint 14 žingsnis reglamentavimo susiejimą padaro aiškų:
Kiekvienam reglamentui, jei taikoma, galite sukurti paprastą susiejimo lentelę (tai gali būti ataskaitos priedas), kurioje išvardijami pagrindiniai reglamento saugumo reikalavimai ir atitinkamos jūsų ISVS kontrolės priemonės / politikos.
Tai apsaugo nuo fragmentacijos. GDPR asmens duomenų saugumas, NIS2 pranešimas apie incidentus, DORA IRT atsparumo testavimas ir klientų saugumo įsipareigojimai gali remtis tais pačiais įrodymais: prieigos peržiūromis, pažeidžiamumų šalinimu, žurnalavimo įrašais, atsarginių kopijų testais, tiekėjų peržiūromis ir incidentų ataskaitomis.
19 žingsnis perkelia dėmesį nuo projektavimo prie veikimo:
Susiekite kiekvieną iš šių dokumentų su atitinkama kontrolės priemone savo Taikomumo pareiškime arba ISVS vadove. Jie bus įgyvendinimo įrodymas ir vidinė nuoroda.
19 žingsnio dokumentacijos rinkinys apima galinių įrenginių saugumą, prieigos valdymą, autentifikavimą, saugios konfigūracijos bazinius rinkinius, žurnalavimą ir stebėseną, pataisų valdymą, pažeidžiamumų valdymą, pajėgumų planavimą ir IT operacijų ataskaitų teikimą. Būtent šie operaciniai dokumentai reikalingi, kad NIS2 techninės priemonės būtų tinkamos auditui.
26 žingsnis paaiškina, kaip turi būti renkami audito įrodymai:
Rinkdami įrodymus, užregistruokite savo išvadas. Pažymėkite, kur dalykai atitinka reikalavimą (teigiamos išvados), o kur neatitinka (galimos neatitiktys arba pastabos).
NIS2 atveju tai reiškia įrodymų imčių tikrinimą dar prieš reguliuotojui, kliento vertintojui ar sertifikavimo auditoriui jų paprašant.
Zenith Controls kryžminės atitikties vaidmuo
Zenith Controls nėra atskira kontrolės priemonių sistema. Tai Clarysec kryžminės atitikties vadovas, skirtas ISO/IEC 27001:2022 ir ISO/IEC 27002:2022 kontrolės priemonėms susieti su susijusiomis kontrolės priemonėmis, audito lūkesčiais ir išoriniais karkasais. Jis padeda komandoms suprasti, kaip viena ISO 27001:2022 kontrolės priemonė gali palaikyti NIS2, DORA, GDPR, NIST CSF 2.0 ir COBIT grindžiamą patikinimą.
Trys ISO 27001:2022 kontrolės priemonės yra ypač svarbios NIS2 įrodymų susiejimui.
Kontrolės priemonė 5.1 Informacijos saugumo politikos yra pradinis taškas, nes NIS2 21 straipsnis apima rizikos analizę ir informacinių sistemų saugumo politikas. Jei NIS2 techninė priemonė neatsispindi politikoje, ją sunku valdyti ir nuosekliai audituoti.
Kontrolės priemonė 5.36 Informacijos saugumo politikų, taisyklių ir standartų laikymasis yra realybės patikra. Ji susieja politikos reikalavimus su faktiniu vidaus taisyklių, standartų ir išorinių įpareigojimų laikymusi. NIS2 požiūriu čia organizacija klausia, ar ji daro tai, ką nurodo jos 21 straipsnio susiejimas.
Kontrolės priemonė 8.8 Techninių pažeidžiamumų valdymas yra viena sudėtingiausių 2026 m. testavimo sričių. Pažeidžiamumų valdymas tiesiogiai susijęs su saugiu įsigijimu, kūrimu, priežiūra, pažeidžiamumų tvarkymu ir atskleidimu. Jis taip pat palaiko DORA testavimą ir trūkumų šalinimą, GDPR saugumo atskaitomybę, NIST CSF Identify ir Protect rezultatus bei ISO 27001 audito imčių tikrinimą.
Papildomi standartai gali patikslinti projektavimą nereikalaudami papildomų sertifikatų. ISO/IEC 27002:2022 pateikia A priedo kontrolės priemonių įgyvendinimo gaires. ISO/IEC 27005 palaiko informacijos saugumo rizikos valdymą. ISO/IEC 27017 palaiko debesijos saugumą. ISO/IEC 27018 palaiko asmenį identifikuojančios informacijos apsaugą viešosios debesijos duomenų tvarkytojo scenarijuose. ISO 22301 palaiko veiklos tęstinumą. ISO/IEC 27035 palaiko incidentų valdymą. ISO/IEC 27036 palaiko tiekėjų santykių saugumą.
Tikslas nėra daugiau standartų dėl pačių standartų. Tikslas – geresnis įrodymų projektavimas.
Praktinis pavyzdys: sukurkite NIS2 pažeidžiamumų įrodymų paketą
Apsvarstykime Maria SaaS platformą. Ji aptarnauja ES gamybos klientus ir priklauso nuo debesijos paslaugų, atvirojo kodo komponentų, CI/CD konvejerių ir valdomos stebėsenos. Jos spragų ataskaitoje rašoma „pažeidžiamumų valdymas įgyvendintas“, tačiau įrodymai išskaidyti skeneriuose, Jira, GitHub, debesijos konfigūracijos priemonėse ir pakeitimų užklausose.
NIS2 parengtą įrodymų paketą galima sukurti per vieną sutelktą sprintą.
1 žingsnis: apibrėžkite rizikos scenarijų
Rizika: išnaudojamas į internetą nukreiptos taikomosios programos, priklausomybės arba debesijos komponento pažeidžiamumas sukelia paslaugos sutrikimą, neteisėtą prieigą arba kliento duomenų atskleidimą.
Rizikų registre turi būti aprašymas, tikimybė, poveikis, balas, savininkas ir tvarkymo planas. Tvarkymo plane turi būti nurodyta ISO 27001:2022 kontrolės priemonė 8.8 Techninių pažeidžiamumų valdymas, taip pat susijusios kontrolės priemonės turto apskaitai, saugiam kūrimui, žurnalavimui, prieigos kontrolei, tiekėjų valdymui ir reagavimui į incidentus.
2 žingsnis: susiekite riziką su NIS2 21 straipsniu
Rizika palaiko 21 straipsnio reikalavimus dėl saugaus įsigijimo, kūrimo ir priežiūros, pažeidžiamumų tvarkymo ir atskleidimo, rizikos analizės, incidentų valdymo, tiekimo grandinės saugumo ir kontrolės veiksmingumo vertinimo.
3 žingsnis: įtvirtinkite veikimo taisykles politikoje
Naudokite pažeidžiamumų valdymo procedūrą, saugaus kūrimo standartą, pataisų valdymo reikalavimus, saugumo testavimo politiką ir audito įrodymų taisykles.
Organizacijos Saugumo testavimo ir raudonosios komandos politikos 6.1 punktas nustato:
Testų tipai: Saugumo testavimo programa turi apimti bent: (a) pažeidžiamumų skenavimą, kurį sudaro automatizuotas savaitinis arba mėnesinis tinklų ir taikomųjų programų skenavimas žinomiems pažeidžiamumams nustatyti; (b) įsiskverbimo testavimą, kurį sudaro kvalifikuotų testuotojų rankinis išsamus konkrečių sistemų arba taikomųjų programų testavimas sudėtingiems trūkumams nustatyti; ir (c) raudonosios komandos pratybas, kurias sudaro scenarijais pagrįstos realių atakų simuliacijos, įskaitant socialinę inžineriją ir kitas taktikas, skirtas visos organizacijos aptikimo ir reagavimo gebėjimams testuoti.
Ši nuostata sukuria dokumentuotą testavimo bazinį lygį. Ji taip pat dera su DORA lūkesčiu, kad finansų subjektams, kuriems taikomas DORA, būtų vykdomas pasikartojantis, rizika grindžiamas skaitmeninio operacinio atsparumo testavimas.
4 žingsnis: apibrėžkite įrodymų metaduomenis
Audito ir atitikties stebėsenos politika – MVĮ, 6.2.3 punktas nustato:
Metaduomenys (pvz., kas juos surinko, kada ir iš kurios sistemos) turi būti dokumentuoti.
Pažeidžiamumų įrodymų paketas turėtų fiksuoti:
- skenerio pavadinimą ir konfigūraciją
- skenavimo datą ir laiką
- turto taikymo sritį ir išimtis
- kritines ir aukšto sunkumo išvadas
- užklausos numerį ir savininką
- pataisos arba riziką mažinančios priemonės sprendimą
- rizikos priėmimo sprendimą, kai taikoma
- trūkumų šalinimo datą
- validavimo skenavimą
- pakeitimo įrašo nuorodą
- išimties savininką ir galiojimo pabaigos datą
5 žingsnis: pridėkite žurnalavimo įrodymus
Žurnalavimo ir stebėsenos politika – MVĮ, 5.4.4 punktas apima tokius sistemos žurnalus kaip:
Sistemos žurnalai: konfigūracijos pakeitimai, administraciniai veiksmai, programinės įrangos diegimai, pataisų diegimo veikla
Vien pataisos užklausa gali neįrodyti, kad pakeitimas įvyko. Konfigūracijos žurnalai, administraciniai veiksmai ir programinės įrangos diegimo įrašai sustiprina įrodymų grandinę.
6 žingsnis: atlikite pavyzdinį auditą
Pasirinkite penkis kritinius arba aukšto sunkumo pažeidžiamumus iš ankstesnio ketvirčio. Kiekvienam elementui patikrinkite, ar turtas buvo apskaitoje, ar skeneris aptiko išvadą, ar užklausa buvo atidaryta per SLA, ar buvo priskirtas savininkas, ar trūkumų šalinimas atitiko sunkumą ir išnaudojamumą, ar žurnalai rodo pakeitimą, ar validavimas patvirtina uždarymą ir ar bet kuri išimtis turi rizikos savininko patvirtinimą su galiojimo pabaigos data.
Toks sprintas sukuria NIS2 parengtą pažeidžiamumų įrodymų paketą ir ISO 27001:2022 vidaus audito imtį.
Tiekėjų saugumas yra ekosistemos valdysena
NIS2 21 straipsnis reikalauja tiekimo grandinės saugumo, įskaitant saugumo aspektus, susijusius su santykiais su tiesioginiais tiekėjais ir paslaugų teikėjais. Taip pat tikimasi, kad organizacijos atsižvelgs į tiekėjų pažeidžiamumus, produktų kokybę, tiekėjų kibernetinio saugumo praktikas ir saugaus kūrimo praktikas.
Būtent čia pirmoji Maria spragų ataskaitos versija buvo silpniausia. Joje buvo išvardyti tiekėjai, tačiau nebuvo įrodytas deramas patikrinimas, sutartinės saugumo nuostatos, stebėsena ar pasirengimas pasitraukimui.
Trečiųjų šalių ir tiekėjų saugumo politika suteikia politikos atramą. Susijusį įgyvendinimą gali palaikyti Saugaus kūrimo politika, Informacijos saugumo informuotumo ir mokymo politika, Pažeidžiamumų ir pataisų valdymo politika, Kriptografinių kontrolės priemonių politika, Prieigos kontrolės politika ir Nuotolinio darbo politika.
Vienas tiekėjų įrodymų registras gali palaikyti NIS2, DORA ir ISO 27001:2022.
| Tiekėjo įrodymų elementas | Aktualumas NIS2 | Aktualumas DORA | Aktualumas ISO 27001:2022 |
|---|---|---|---|
| Tiekėjo kritiškumo įvertinimas | Identifikuoja paslaugų teikėjo riziką ir galimą socialinį arba ekonominį poveikį | Palaiko kritinės arba svarbios funkcijos analizę | Palaiko tiekėjo rizikos tvarkymą ir kontrolės priemonių parinkimą |
| Saugumo deramas patikrinimas | Vertina tiekėjo kibernetinio saugumo praktikas ir produkto riziką | Palaiko ikisutartinį ir gyvavimo ciklo vertinimą | Palaiko 5.19 Informacijos saugumas santykiuose su tiekėjais |
| Sutartinės saugumo nuostatos | Apibrėžia pagalbą incidentų metu, saugumo įpareigojimus ir pranešimo pareigas | Palaiko IRT trečiųjų šalių sutartinius reikalavimus | Palaiko 5.20 Informacijos saugumo įtraukimas į tiekėjų susitarimus |
| IRT tiekimo grandinės peržiūra | Apima priklausomybes, programinę įrangą, debesiją ir subtiekėjų riziką | Palaiko koncentracijos ir subtiekimo priežiūrą | Palaiko 5.21 Informacijos saugumo valdymas IRT tiekimo grandinėje |
| Stebėsenos peržiūra | Parodo nuolatinį tiekėjo veiklos ir saugumo vertinimą | Palaiko gyvavimo ciklo priežiūrą ir registro tikslumą | Palaiko 5.22 Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas |
| Debesijos paslaugos vertinimas | Apima debesijos konfigūraciją, pasidalytąją atsakomybę ir atsparumą | Palaiko su debesija susijusių IRT paslaugų priežiūrą | Palaiko 5.23 Informacijos saugumas naudojant debesijos paslaugas |
| Pasitraukimo planas | Mažina sutrikimus, priklausomybę nuo tiekėjo ir tęstinumo riziką | Palaiko pasitraukimo strategijos reikalavimus | Palaiko tiekėjų ir debesijos pasitraukimo valdymą |
Ši lentelė apsaugo nuo dubliuojamų klausimynų, dubliuojamų registrų ir prieštaringos kontrolės priemonių savininkystės.
Viena incidentų valdymo eiga NIS2, DORA ir GDPR
NIS2 23 straipsnis reikalauja apie reikšmingus incidentus pranešti nepagrįstai nedelsiant. Jame nustatyta etapinė laiko seka: ankstyvasis įspėjimas per 24 valandas nuo sužinojimo, pranešimas apie incidentą per 72 valandas su pradiniu sunkumo arba poveikio vertinimu ir turimais kompromitavimo indikatoriais, tarpiniai atnaujinimai, jei jų prašoma, ir galutinė ataskaita ne vėliau kaip per vieną mėnesį po pranešimo apie incidentą.
DORA finansų subjektams turi panašų gyvavimo ciklą: aptikimas, klasifikavimas, žurnalavimas, sunkumo vertinimas, eskalavimas, komunikacija su klientais, pranešimas institucijoms, pagrindinės priežasties analizė ir trūkumų šalinimas. GDPR prideda asmens duomenų saugumo pažeidimo analizę, įskaitant duomenų valdytojo ir duomenų tvarkytojo vaidmenis, poveikį duomenų subjektams ir 72 valandų pranešimo terminą, kai taikoma.
Teisingas projektavimas nėra trys incidentų procesai. Tai viena incidentų valdymo eiga su reglamentavimo sprendimų šakomis.
Reagavimo į incidentus politika – MVĮ, 5.4.1 punktas nustato:
Visi incidentų tyrimai, išvados ir korekciniai veiksmai turi būti registruojami incidentų registre, kurį tvarko generalinis direktorius.
Tvirtas incidentų registras turėtų apimti:
| Laukas | Kodėl tai svarbu NIS2, DORA ir GDPR |
|---|---|
| Sužinojimo laiko žyma | Pradeda NIS2 ankstyvojo įspėjimo ir pranešimo apie incidentą analizę |
| Poveikis paslaugai | Palaiko NIS2 reikšmingumo ir DORA kritiškumo klasifikavimą |
| Poveikis duomenims | Palaiko GDPR asmens duomenų saugumo pažeidimo analizę |
| Paveiktos šalys ir klientai | Palaiko tarpvalstybinius ir gavėjų informavimo sprendimus |
| Kompromitavimo indikatoriai | Palaiko NIS2 72 valandų pranešimo turinį |
| Pagrindinė priežastis | Palaiko galutinį pranešimą ir korekcinius veiksmus |
| Riziką mažinantys ir atkūrimo veiksmai | Rodo operacinę kontrolę ir paslaugos atkūrimą |
| Pranešimai institucijoms ir klientams | Parodo pranešimo sprendimus ir terminus |
| Įgyta patirtis | Maitina ISO 27001:2022 nuolatinį tobulinimą |
GDPR sąsajos nereikėtų nuvertinti. NIS2 kompetentingos institucijos gali informuoti GDPR priežiūros institucijas, kai kibernetinio saugumo rizikos valdymo ar pranešimo nesėkmės gali lemti asmens duomenų saugumo pažeidimą. Todėl ISVS turėtų privatumo vertinimą padaryti incidentų triažo dalimi, o ne vėlesniu priedu.
Kaip auditoriai ir reguliuotojai testuos jūsų NIS2 įrodymus
2026 m. parengta organizacija turėtų tikėtis, kad ta pati kontrolės priemonė bus testuojama per skirtingas perspektyvas.
ISO 27001:2022 auditorius pradės nuo ISVS. Jis klaus, ar NIS2 įpareigojimai identifikuoti kaip suinteresuotųjų šalių reikalavimai, ar ISVS taikymo sritis apima aktualias paslaugas ir priklausomybes, ar rizikos vertinamos ir tvarkomos, ar Taikomumo pareiškimas pagrindžia taikomas kontrolės priemones ir ar įrašai įrodo veikimą.
NIS2 kompetentinga institucija sutelks dėmesį į teisinius rezultatus. Ji gali klausti, ar visos 21 straipsnio priemonės įtrauktos, ar kontrolės priemonės tinkamos ir proporcingos, ar vadovybė jas patvirtino ir prižiūri, ir ar pranešimas apie incidentus gali atitikti nustatytus terminus.
DORA priežiūros institucija finansų subjektams, kuriems taikomas DORA, testuos IRT rizikos valdymą, incidentų klasifikavimą, atsparumo testavimą, trečiųjų šalių riziką, sutartinius susitarimus, koncentracijos riziką ir pasitraukimo strategijas.
GDPR vertintojas tikrins, ar techninės ir organizacinės priemonės apsaugo asmens duomenis, ar pažeidimo vertinimas integruotas į incidentų valdymą, ar duomenų valdytojo ir duomenų tvarkytojo vaidmenys aiškūs ir ar egzistuoja atskaitomybės įrašai.
NIST CSF 2.0 arba COBIT 2019 grindžiamas vertintojas sutelks dėmesį į valdyseną, rizikos savininkystę, veiklos rodiklius, esamus ir tikslinius rezultatus, proceso pajėgumą ir suderinimą su įmonės rizikos apetitu.
Organizacijos Audito ir atitikties stebėsenos politika, 3.4 punktas apibrėžia įrodymų tikslą:
Kurti dokumentuotus įrodymus ir audito pėdsaką, pagrindžiančius reglamentavimo institucijų paklausimus, teisinius procesus arba klientų patikinimo prašymus.
Tai operacinis standartas, kurio turėtų siekti NIS2 komandos.
Vadovybės atskaitomybė: valdyba negali deleguoti NIS2 atsakomybės
NIS2 20 straipsnis reikalauja, kad esminių ir svarbių subjektų valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir gautų mokymus. Valdymo organų nariai gali būti atsakingi už pažeidimus pagal nacionalines atsakomybės taisykles.
Tai dera su ISO 27001:2022 lyderystės reikalavimais. Aukščiausioji vadovybė turi užtikrinti, kad informacijos saugumo politika ir tikslai būtų suderinti su strategine kryptimi, ISVS reikalavimai būtų integruoti į verslo procesus, būtų skiriami ištekliai, komunikuojama svarba, priskiriamos atsakomybės ir skatinamas nuolatinis tobulinimas.
Valdybai nereikia neapdorotų skenerių eksportų ar pilnų SIEM žurnalų. Jai reikia sprendimams tinkamo patikinimo.
Ketvirtinis NIS2 valdybos įrodymų paketas turėtų apimti:
- Taikymo srities ir reglamentavimo statuso pokyčius
- Svarbiausias NIS2 rizikas ir tvarkymo būseną
- 21 straipsnio kontrolės veiksmingumo valdymo skydą
- Reikšmingus incidentus, vos neįvykusius incidentus ir pranešimo sprendimus
- Tiekėjų ir debesijos rizikos išimtis
- Vidaus audito išvadas, korekcinius veiksmus ir vėluojančius įrodymus
Šis paketas suteikia vadovybei informaciją, reikalingą priemonėms patvirtinti, išimtims ginčyti ir liekamajai rizikai priimti.
2026 m. Clarysec operacinis modelis
NIS2 techninių priemonių įgyvendinimui pagal ISO 27001:2022 reikia paprasto, bet disciplinuoto modelio:
- Įtraukite NIS2, DORA, GDPR ir sutartinius įpareigojimus į ISVS taikymo sritį
- Susiekite įpareigojimus su rizikomis, politikomis, kontrolės priemonėmis, savininkais ir įrodymais
- Naudokite Taikomumo pareiškimą kaip kontrolės priemonių tiesos šaltinį
- Kurkite įrodymų paketus didelės rizikos 21 straipsnio sritims
- Integruokite pranešimą apie incidentus į vieną reglamentavimo eigą
- Vertinkite tiekėjų saugumą kaip gyvavimo ciklą, o ne klausimyną
- Vykdykite vidaus auditus naudodami realias imtis
- Teikite kontrolės veiksmingumo ataskaitas valdymo organams
- Tobulinkite remdamiesi incidentais, audito išvadomis, testais ir reglamentavimo pokyčiais
Maria lūžio taškas buvo supratimas, kad jai nereikia atskiro NIS2 projekto. Jai reikėjo stipresnio ISVS įrodymų variklio.
Clarysec politikos, Zenith Blueprint ir Zenith Controls sukurti veikti kartu. Politikos apibrėžia tikėtiną elgseną ir įrašus. Zenith Blueprint suteikia 30 žingsnių įgyvendinimo ir audito kelią. Zenith Controls pateikia kryžminės atitikties susiejimą, kad NIS2, ISO 27001:2022, DORA, GDPR, NIST CSF ir COBIT grindžiamas patikinimas galėtų būti valdomi kaip viena nuosekli programa.
Kitas žingsnis: sukurkite NIS2 ir ISO 27001:2022 įrodymų žemėlapį
Jei jūsų NIS2 darbas vis dar gyvena spragų skaičiuoklėje, 2026 m. yra metas jį perkelti į operacinį veikimą.
Pradėkite nuo vienos didelės rizikos techninės priemonės, pavyzdžiui, pažeidžiamumų valdymo, incidentų valdymo arba tiekėjų saugumo. Susiekite ją su ISO 27001:2022 rizikomis, politikomis, A priedo kontrolės priemonėmis, savininkais, procedūromis ir įrodymais. Tada paimkite praėjusio ketvirčio įrašų imtį ir užduokite griežtą klausimą: ar tai patenkintų reguliuotoją, kliento vertintoją ir ISO 27001:2022 auditorių?
Clarysec gali padėti sukurti šį atsakymą naudojant politikų biblioteką, Zenith Blueprint ir Zenith Controls.
Tikslas nėra daugiau dokumentacijos. Tikslas – dokumentuoti, kartojami įrodymai, kad jūsų NIS2 techninės priemonės iš tikrųjų veikia.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
