NIS2 registracijos įrodymai ISO 27001:2022 kontekste

El. laiškas tyliai pasiekė Annos pašto dėžutę, tačiau tas tylumas labiau priminė sireną. Būdama CloudFlow CISO – sparčiai augančio B2B SaaS teikėjo, aptarnaujančio klientus visoje ES, – ji buvo pripratusi prie saugumo klausimynų, pirkimų auditų ir ISO 27001 priežiūros auditų. Šis pranešimas buvo kitoks.

Temos eilutėje buvo parašyta: „Informacijos prašymas dėl Direktyvos (ES) 2022/2555 (NIS2) nacionalinio įgyvendinimo.“ Nacionalinė kibernetinio saugumo institucija prašė CloudFlow patvirtinti savo klasifikaciją, parengti subjekto registracijos informaciją, identifikuoti į taikymo sritį patenkančias paslaugas ir būti pasirengus pagrįsti kibernetinio saugumo rizikos valdymo priemones.

Anna ant sienos turėjo įrėmintą ISO 27001:2022 sertifikatą. Pardavimų komanda jį naudojo sudarydama sutartis su stambiomis įmonėmis. Valdymo organas buvo patvirtinęs informacijos saugumo politiką. Vidaus auditas neseniai uždarė dvi išvadas. Tačiau jai pateiktas klausimas buvo daug konkretesnis nei sertifikavimo statusas.

Ar CloudFlow galėtų greitai ir pagrįstai įrodyti, kad jos ISO 27001:2022 ISVS apima NIS2 įpareigojimus?

Būtent čia daugelis organizacijų pasuka klaidingu keliu. Jos NIS2 subjekto registraciją traktuoja kaip administracinį pateikimą – panašiai kaip verslo registro ar mokesčių portalo duomenų atnaujinimą. Taip nėra. Registracija yra įėjimas į priežiūros institucijų matomumo lauką. Peržengus šį slenkstį, kompetentinga institucija gali paprašyti taikymo srities pagrindimo, valdymo organo patvirtinimų įrašų, pranešimo apie incidentus procedūrų, tiekėjų rizikos įrodymų, kontaktinių punktų, kontrolės priemonių veiksmingumo rodiklių ir įrodymų, kad organizacija žino, kurios paslaugos yra kritinės.

SaaS, debesijos, valdomų paslaugų, valdomo saugumo, duomenų centrų, skaitmeninės infrastruktūros ir tam tikriems finansų sektoriaus teikėjams tikrasis klausimas nebėra „Ar turime saugumo politiką?“ Tikrasis klausimas yra „Ar galime parodyti įrodymų grandinę nuo teisinio įpareigojimo iki ISVS taikymo srities, rizikos valdymo, kontrolės priemonių veikimo ir vadovybės priežiūros?“

Stipriausia pasirengimo NIS2 įgyvendinimui programa nėra lygiagreti skaičiuoklė. Tai atsekamas įrodymų modelis ISO 27001:2022 viduje.

NIS2 registracija iš esmės yra įrodymų klausimas

NIS2 plačiai taikoma viešiesiems arba privatiesiems subjektams sektoriuose, išvardytuose I priede ir II priede, jeigu jie atitinka arba viršija atitinkamą vidutinės įmonės ribą. Ji taip pat apima tam tikrus subjektus nepriklausomai nuo dydžio, įskaitant viešųjų elektroninių ryšių tinklų ar paslaugų teikėjus, patikimumo užtikrinimo paslaugų teikėjus, aukščiausiojo lygio domenų registrus, DNS paslaugų teikėjus, vienintelius esminių paslaugų teikėjus ir subjektus, kurių veiklos sutrikimas galėtų paveikti visuomenės saugą, sveikatą, sisteminę riziką arba turėtų kritinę nacionalinę ar regioninę svarbą.

Technologijų įmonėms ypač svarbios skaitmeninės kategorijos. I priedas apima skaitmeninę infrastruktūrą, pavyzdžiui, debesijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, turinio pristatymo tinklų teikėjus, patikimumo užtikrinimo paslaugų teikėjus, DNS paslaugų teikėjus ir viešųjų elektroninių ryšių tinklų ar paslaugų teikėjus. I priedas taip pat apima B2B IRT paslaugų valdymą, įskaitant valdomų paslaugų teikėjus ir valdomo saugumo paslaugų teikėjus. II priedas apima skaitmeninius teikėjus, tokius kaip internetinės prekyvietės, interneto paieškos sistemos ir socialinių tinklų paslaugų platformos.

Tai reiškia, kad organizacija gali patekti į NIS2 taikymo sritį net nelaikydama savęs „kritine infrastruktūra“. B2B SaaS įmonė, turinti valdomo saugumo funkcionalumą, debesijos platforma, aptarnaujanti reguliuojamus klientus, arba su finansinių technologijų ekosistema susijęs teikėjas staiga gali turėti parengti registracijos bylą, kompetentingos institucijos kontaktų modelį ir pagrįstą kontrolės priemonių pasakojimą.

NIS2 taip pat skiria esminius ir svarbius subjektus. Esminiams subjektams paprastai taikomas aktyvesnis priežiūros modelis, o svarbūs subjektai dažniausiai prižiūrimi po neatitikties arba incidentų įrodymų. Šis skirtumas svarbus, tačiau jis nepanaikina pasirengimo poreikio. Abiem kategorijoms reikia valdysenos, rizikos valdymo, pranešimo apie incidentus, tiekėjų saugumo ir įrodymų.

Finansų subjektai taip pat turi įvertinti DORA. NIS2 Article 4 pripažįsta, kad kai sektoriui būdingas Sąjungos teisės aktas nustato bent lygiaverčius kibernetinio saugumo rizikos valdymo ir pranešimo apie incidentus įpareigojimus, atitinkamose srityse taikomos tos sektoriui būdingos taisyklės. DORA taikoma nuo 2025 m. sausio 17 d. ir nustato IRT rizikos valdymą, pranešimą apie reikšmingus su IRT susijusius incidentus, skaitmeninio operacinio atsparumo testavimą, keitimąsi informacija, IRT trečiųjų šalių rizikos valdymą, sutartines kontrolės priemones ir kritinių IRT trečiųjų šalių paslaugų teikėjų priežiūrą. Finansų subjektams, kuriems taikoma DORA, ji yra pagrindinė kibernetinio atsparumo sistema sutampantiems reikalavimams, tačiau NIS2 sąsajos ir nacionalinių institucijų koordinavimas vis tiek gali būti svarbūs.

Pamoka paprasta. Nelaukite portalo lauko ar reguliuotojo el. laiško, kad pradėtumėte kaupti įrodymus. Kiekvienas registracijos atsakymas reiškia būsimą audito klausimą.

Pradėkite nuo ISVS taikymo srities, o ne nuo portalo formos

ISO 27001:2022 naudingas todėl, kad įpareigoja organizaciją apibrėžti kontekstą, suinteresuotąsias šalis, reguliavimo įpareigojimus, taikymo sritį, rizikas, rizikos tvarkymo planus, kontrolės priemonių veikimą, stebėseną, vidaus auditą, vadovybės peržiūrą ir tobulinimą.

4.1–4.4 punktai reikalauja, kad organizacija nustatytų vidinius ir išorinius veiksnius, identifikuotų suinteresuotąsias šalis ir jų reikalavimus, nuspręstų, kurie reikalavimai įgyvendinami per ISVS, apibrėžtų ISVS taikymo sritį atsižvelgdama į sąsajas ir priklausomybes, dokumentuotų šią taikymo sritį ir vykdytų ISVS procesus.

NIS2 kontekste ši taikymo sritis turėtų atsakyti į praktinius klausimus:

• Kurios ES paslaugos, juridiniai asmenys, dukterinės įmonės, platformos, infrastruktūros komponentai ir verslo padaliniai yra aktualūs?
• Kuri I priedo arba II priedo kategorija gali būti taikoma?
• Ar organizacija yra esminis subjektas, svarbus subjektas, DORA taikymo srities subjektas, už taikymo srities ribų, ar laukiama nacionalinės klasifikacijos?
• Kurios paslaugos yra kritinės klientams, visuomenės saugai, finansiniam stabilumui, sveikatos priežiūrai, skaitmeninei infrastruktūrai ar kitiems reguliuojamiems sektoriams?
• Kurie debesijos paslaugų teikėjai, MSP, MSSP, duomenų centrai, subtiekėjai ir kiti tiekėjai palaiko šias paslaugas?
• Kurios valstybės narės, kompetentingos institucijos, CSIRT, DAP ir finansų priežiūros institucijos gali būti aktualios?

Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas Zenith Blueprint šį darbą iškelia anksti – 2 žingsnyje „Suinteresuotųjų šalių poreikiai ir ISVS taikymo sritis“. Jame organizacijoms nurodoma identifikuoti reguliuotojus ir institucijas, peržiūrėti teisinius ir reguliavimo reikalavimus, peržiūrėti sutartis ir susitarimus, atlikti suinteresuotųjų šalių interviu ir atsižvelgti į tikėtinus sektoriaus standartus.

Veiksmo punktas 4.2: Sudarykite visų reikšmingų suinteresuotųjų šalių sąrašą ir pažymėkite jų reikalavimus, susijusius su informacijos saugumu. Būkite išsamūs – pagalvokite apie visus, kurie skųstųsi arba patirtų pasekmių, jei jūsų saugumas nesuveiktų arba jei neturėtumėte tam tikros kontrolės priemonės. Šis sąrašas padės nustatyti, ko privalote laikytis arba ką patenkinti per savo ISVS, ir bus naudojamas rizikos vertinimui bei kontrolės priemonių parinkimui.

Tai tinkamas NIS2 registracijos pradžios taškas. Prieš pateikdami registraciją, parenkite trumpą NIS2 taikymo srities memorandumą, kuris susieja verslo modelį su I priedo arba II priedo kategorijomis, dokumentuoja dydžio ir paslaugų prielaidas, fiksuoja nacionalinės teisės aiškinimą, identifikuoja kompetentingas institucijas ir nurodo, ar taip pat taikomos DORA, GDPR, klientų sutartys arba sektoriaus taisyklės.

Clarysec MVĮ teisinės ir reguliavimo atitikties politika Teisinės ir reguliavimo atitikties politika - MVĮ tikslą apibrėžia aiškiai:

„Ši politika apibrėžia organizacijos požiūrį į teisinių, reguliavimo ir sutartinių įsipareigojimų identifikavimą, vykdymą ir atitikties jiems pagrindimą.“

Didesnėms programoms Clarysec teisinės ir reguliavimo atitikties politika Teisinės ir reguliavimo atitikties politika yra dar aiškesnė:

„Visi teisiniai ir reguliavimo įpareigojimai turi būti susieti su konkrečiomis politikomis, kontrolės priemonėmis ir savininkais Informacijos saugumo valdymo sistemoje (ISVS).“

Šis sakinys yra pasirengimo įgyvendinimui pagrindas. Jei reguliuotojas paklausia, kaip buvo identifikuoti NIS2 įpareigojimai, atsakymas neturėtų būti „mums patarė teisininkai“. Atsakymas turėtų būti dokumentuotas registras, susietas su taikymo sritimi, rizikomis, kontrolės priemonių savininkais, procedūromis, saugomais įrodymais ir vadovybės peržiūra.

Sukurkite NIS2 įrodymų grandinę ISO 27001:2022 viduje

NIS2 Article 21 reikalauja, kad esminiai ir svarbūs subjektai įgyvendintų tinkamas ir proporcingas technines, operacines ir organizacines priemones, skirtas valdyti riziką tinklų ir informacinėms sistemoms, naudojamoms veiklai arba paslaugų teikimui. Priemonėse turi būti atsižvelgiama į naujausią technologijų lygį, kai taikoma – į atitinkamus Europos ir tarptautinius standartus, sąnaudas, rizikos ekspoziciją, dydį, incidentų tikimybę ir sunkumą, taip pat į socialinį ir ekonominį poveikį.

Article 21(2) išvardija minimalias sritis, įskaitant rizikos analizę ir informacinių sistemų saugumo politikas, incidentų tvarkymą, veiklos tęstinumą, atsargines kopijas, atkūrimą po katastrofos, krizių valdymą, tiekimo grandinės saugumą, saugų įsigijimą ir kūrimą, pažeidžiamumų valdymą, veiksmingumo vertinimą, kibernetinę higieną, mokymus, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą, kelių veiksnių arba tęstinį autentifikavimą ir, kai tinkama, saugią komunikaciją.

ISO 27001:2022 natūraliai susisieja su šia struktūra. 6.1.1–6.1.3 punktai reikalauja rizikos vertinimo ir rizikos tvarkymo, įskaitant rizikos priėmimo kriterijus, rizikos savininkus, tikimybės ir pasekmių analizę, rizikos tvarkymo planą, palyginimą su A priedo kontrolės priemonėmis ir Taikytinumo pareiškimą. 8 punktas reikalauja operacinio planavimo ir kontrolės, įrodymų, kad procesai veikė taip, kaip suplanuota, pakeitimų kontrolės, išorėje teikiamų procesų kontrolės, pasikartojančių rizikos vertinimų ir dokumentuotų tvarkymo rezultatų. 9.1 punktas reikalauja stebėsenos, matavimo, analizės ir vertinimo. 9.2 punktas reikalauja vidaus audito. 10.2 punktas reikalauja veiksmų dėl neatitikčių ir korekcinių veiksmų.

Clarysec rizikos valdymo politika Rizikos valdymo politika - MVĮ tai paverčia veiklos taisykle:

„Visos identifikuotos rizikos turi būti registruojamos rizikų registre.“

Įmonės rizikos valdymo politika Rizikos valdymo politika susieja rizikos tvarkymą su ISO 27001:2022 kontrolės priemonių parinkimu:

„Kontrolės priemonių sprendimai, priimti rizikos tvarkymo proceso metu, turi būti atspindėti SoA.“

Tai svarbu, nes NIS2 įrodymai turi būti atsekami. Jei institucija klausia, kodėl kontrolės priemonė egzistuoja, nurodykite įpareigojimą, riziką, rizikos tvarkymo sprendimą, kontrolės priemonės savininką, SoA įrašą, procedūrą ir įrodymus. Jei institucija klausia, kodėl kontrolės priemonė nebuvo pasirinkta, nurodykite SoA pagrindimą, patvirtintą rizikos priėmimą ir vadovybės peržiūrą.

Geriausia įrodymų grandinė yra nuobodžiai tvarkinga. Kiekvienas įpareigojimas turi savininką. Kiekvienas savininkas turi kontrolės priemonę. Kiekviena kontrolės priemonė turi įrodymus. Kiekviena išimtis turi patvirtinimą. Kiekviena audito išvada turi korekcinį veiksmą.

Article 20 valdyseną paverskite valdymo organo įrodymais

NIS2 Article 20 perkelia kibernetinį saugumą į valdymo organo darbotvarkę. Valdymo organai turi patvirtinti kibernetinio saugumo rizikos valdymo priemones, priimtas pagal Article 21, prižiūrėti jų įgyvendinimą ir gali būti laikomi atsakingais už pažeidimus. Valdymo organų nariai turi dalyvauti mokymuose, o subjektai skatinami reguliariai mokyti darbuotojus kibernetinio saugumo klausimais.

Valdymo organas negali tiesiog deleguoti NIS2 IT skyriui. Įrodymai turi rodyti, kad vadovybė suprato NIS2 taikymo srities analizę, patvirtino rizikos valdymo požiūrį, peržiūrėjo reikšmingas rizikas, paskyrė išteklius, stebėjo įgyvendinimą, peržiūrėjo incidentus ir pratybas bei dalyvavo mokymuose.

ISO 27001:2022 5.1–5.3 punktai palaiko šį valdysenos modelį reikalaudami aukščiausiosios vadovybės įsipareigojimo, informacijos saugumo tikslų suderinimo su verslo strategija, ISVS reikalavimų integravimo į verslo procesus, išteklių, komunikacijos, atskaitomybės ir ISVS veiksmingumo ataskaitų teikimo aukščiausiajai vadovybei.

Clarysec valdysenos vaidmenų ir atsakomybių politika Valdysenos vaidmenų ir atsakomybių politika saugumo ryšių palaikymo vaidmenį apibrėžia kaip vaidmenį, kuris:

„Veikia kaip pagrindinis ryšių su auditoriais, reguliuotojais ir aukščiausiąja vadovybe informacijos saugumo klausimais palaikymo punktas.“

Šis vaidmuo turi būti įvardytas NIS2 registracijos įrodymų pakete. Jis neturi būti numanomas. Institucijos, auditoriai ir klientai nori žinoti, kas koordinuoja ryšį su reguliuotojais, kas atsako už pranešimą apie incidentus, kas tvarko teisinių reikalavimų registrą, kas atnaujina institucijų kontaktus ir kas atsiskaito valdymo organui.

Praktinis valdysenos įrodymų rinkinys apima:

• Valdymo organo patvirtintą kibernetinio saugumo rizikos valdymo sistemą.
• Vadovybės peržiūros protokolus, apimančius NIS2 taikymo sritį, rizikas, incidentus, tiekėjus ir pasirengimą.
• Valdymo organų narių ir darbuotojų mokymų įrašus.
• RACI matricą NIS2 įpareigojimams, ISO 27001:2022 kontrolės priemonėms, pranešimui apie incidentus, tiekėjų patikinimui ir reguliacinei komunikacijai.
• Įrodymus, kad NIS2 įpareigojimai įtraukti į vidaus auditą ir atitikties stebėseną.
• Korekcinių veiksmų sekimą spragoms, vėluojančioms rizikoms, išimtims ir nepavykusiems testams.

Articles 32 ir 33 taip pat didina įrodymų kokybės svarbą, nes nurodo rimtų pažeidimų veiksnius, tokius kaip pakartotiniai pažeidimai, nepranešimas apie reikšmingus incidentus ar jų neištaisymas, trūkumų neištaisymas po privalomų nurodymų, auditų ar stebėsenos trukdymas ir klaidingos arba iš esmės netikslios informacijos pateikimas. Silpni įrodymai gali tapti įgyvendinimo problema net tada, kai techninės kontrolės priemonės egzistuoja.

Institucijų kontaktų ir pranešimo apie incidentus įrodymus parenkite iki 02:00

Skaudžiausi pranešimo apie incidentus nesėkmės atvejai dažnai prasideda nuo paprasto klausimo: „Kam turime pranešti?“ Išpirkos reikalaujančios programinės įrangos, DNS sutrikimo, debesijos kompromitavimo ar duomenų atskleidimo metu komandos praranda laiką ieškodamos tinkamo CSIRT, kompetentingos institucijos, DAP, finansų priežiūros institucijos, teisėsaugos kanalo, kliento šablono ir vidinio tvirtintojo.

NIS2 Article 23 reikalauja be nepagrįsto delsimo pranešti apie reikšmingus incidentus, paveikiančius paslaugų teikimą. Reikšmingas incidentas yra toks, kuris sukėlė arba galėtų sukelti didelį veiklos sutrikimą ar finansinį nuostolį, arba paveikė ar galėtų paveikti kitus sukeldamas didelę materialinę ar nematerialinę žalą. Terminas yra etapinis: ankstyvasis įspėjimas per 24 valandas nuo sužinojimo, pranešimas apie incidentą per 72 valandas, tarpiniai atnaujinimai pagal prašymą ir galutinė ataskaita per vieną mėnesį po 72 valandų pranešimo arba po incidento suvaldymo, jei incidentas tęsiasi. Kai tinkama, paslaugų gavėjai taip pat turi būti informuojami apie reikšmingus incidentus arba reikšmingas kibernetines grėsmes ir apsaugos priemones.

Zenith Blueprint fazėje „Kontrolės priemonės veikloje“, 22 žingsnyje, ryšys su institucijomis vertinamas kaip pasirengimas, o ne panika:

Principas paprastas: jei jūsų organizacija taptų kibernetinės atakos taikiniu, patirtų duomenų saugumo pažeidimą arba būtų tiriama, kas skambintų institucijoms? Kaip jie žinotų, ką sakyti? Kokiomis sąlygomis toks kontaktas būtų inicijuotas? Į šiuos klausimus būtina atsakyti iš anksto, o ne po fakto.

Clarysec Zenith Controls: kryžminės atitikties vadovas Zenith Controls apima ISO/IEC 27002:2022 kontrolę 5.5 „Ryšys su institucijomis“. Ši kontrolė klasifikuojama kaip prevencinė ir korekcinė, susieta su konfidencialumu, vientisumu ir prieinamumu, taip pat su identifikavimo, apsaugos, reagavimo ir atkūrimo koncepcijomis. Ji taip pat susieja kontrolę 5.5 su ISO/IEC 27002:2022 kontrolėmis 5.24 „Informacijos saugumo incidentų valdymo planavimas ir pasirengimas“, 6.8 „Informacijos saugumo įvykių pranešimas“, 5.7 „Grėsmių žvalgyba“, 5.6 „Ryšys su specialiųjų interesų grupėmis“ ir 5.26 „Reagavimas į informacijos saugumo incidentus“.

Kryžminės atitikties požiūriu Zenith Controls susieja ryšį su institucijomis su NIS2 Article 23, GDPR pranešimu apie pažeidimus, DORA pranešimu apie incidentus, NIST SP 800-53 IR-6 Incident Reporting ir COBIT 2019 išorinio eskalavimo praktikomis. Vienas institucijų kontaktų registras gali aptarnauti kelis įpareigojimus, jei jis tinkamai suprojektuotas.

Clarysec reagavimo į incidentus politika Reagavimo į incidentus politika - MVĮ aiškiai įtvirtina teisinį triažą:

„Kai susiję kliento duomenys, generalinis vadovas turi įvertinti teisinio pranešimo įpareigojimus pagal GDPR, NIS2 arba DORA taikymą.“

Stiprus institucijų kontaktų įrodymų paketas turėtų apimti:

• Kompetentingos institucijos ir CSIRT kontaktinius duomenis pagal valstybę narę ir paslaugą.
• DAP kontaktus GDPR asmens duomenų saugumo pažeidimo pranešimui.
• Finansų priežiūros institucijų kontaktus, jei taikoma DORA.
• Teisėsaugos ir kibernetinių nusikaltimų kontaktų maršrutus.
• Įgaliotus vidinius komunikatorius ir jų pavaduotojus.
• Incidentų slenksčius NIS2, GDPR, DORA, klientų sutartims ir kibernetiniam draudimui.
• 24 valandų, 72 valandų, tarpinio atnaujinimo ir vieno mėnesio ataskaitos šablonus.
• Stalo pratybų įrašus, testuojančius išorinį pranešimą.
• Ankstesnių pranešimų, sprendimų nepranešti ir teisinio pagrindimo įrašus.

Susiekite NIS2 Article 21 su ISO 27001 kontrolės priemonėmis ir politikos įrodymais

Vien sertifikatas neatsako į reguliuotojo klausimą. Atsako kontrolės priemonių susiejimas. Toliau pateikta lentelė saugumo ir atitikties komandoms suteikia praktinį tiltą tarp NIS2 Article 21 sričių, ISO/IEC 27002:2022 kontrolės priemonių, Clarysec politikų atramų ir įrodymų.

Clarysec Zenith Controls taip pat apima ISO/IEC 27002:2022 kontrolę 5.31 „Teisiniai, įstatyminiai, reguliavimo ir sutartiniai reikalavimai“ kaip prevencinę kontrolės priemonę, turinčią poveikį konfidencialumui, vientisumui ir prieinamumui. Ji susieja 5.31 su privatumu ir PII apsauga, įrašų saugojimu, nepriklausoma peržiūra ir vidaus politikų laikymusi. Ji taip pat susieja 5.31 su GDPR atskaitomybe, NIS2 tiekimo grandinės atitiktimi, DORA IRT rizikos valdymu, NIST CSF valdysena, NIST SP 800-53 programos kontrolės priemonėmis ir COBIT 2019 išorės atitikties priežiūra.

„Kontrolė 5.31 užtikrina, kad visi aktualūs teisiniai, reguliavimo, įstatyminiai ir sutartiniai reikalavimai, susiję su informacijos saugumu, būtų identifikuoti, dokumentuoti ir nuolat valdomi.“

Būtent tai nacionalinė institucija nori matyti po registracijos: ne tik tai, kad NIS2 yra įtraukta į sąrašą, bet ir tai, kad organizacija turi veikiantį mechanizmą įpareigojimams identifikuoti, susieti, įgyvendinti, stebėti ir atnaujinti.

Neatskirkite NIS2 nuo DORA, GDPR, tiekėjų ir debesijos

NIS2 įrodymai retai egzistuoja izoliuotai.

NIS2 Article 21(2)(d) reikalauja tiekimo grandinės saugumo, įskaitant su tiekėjais ir paslaugų teikėjais susijusių santykių saugumo aspektus. Article 21(3) reikalauja, kad sprendimuose dėl tiekėjų rizikos būtų atsižvelgiama į pažeidžiamumus, bendrą produkto kokybę, kibernetinio saugumo praktikas, saugaus kūrimo procedūras ir atitinkamus koordinuotus ES tiekimo grandinės rizikos vertinimus.

ISO 27001:2022 A priedas suteikia operacinį tiltą per A.5.19–A.5.23. SaaS ir debesijos organizacijoms šios kontrolės priemonės dažnai lemia, ar registracijos įrodymai yra paviršutiniški, ar pagrįsti.

DORA finansų subjektams sukonkretina tiekėjų klausimą. Articles 28 to 30 reikalauja IRT trečiųjų šalių rizikos valdymo, IRT paslaugų sutarčių registro, paslaugų, palaikančių kritines arba svarbias funkcijas, atskyrimo, ikisutartinio rizikos vertinimo, deramo patikrinimo, sutartinių saugumo reikalavimų, audito ir patikrinimo teisių, nutraukimo teisių, testuotų pasitraukimo strategijų, subtiekimo vertinimo, duomenų vietos skaidrumo, pagalbos incidentų atvejais, bendradarbiavimo su institucijomis ir perėjimo susitarimų. Jei SaaS teikėjas aptarnauja DORA reguliuojamus klientus, jo sutartys ir patikinimo paketas gali būti tikrinami net tada, kai jis pats nėra finansų subjektas.

Todėl Clarysec trečiųjų šalių ir tiekėjų saugumo politika - MVĮ Trečiųjų šalių ir tiekėjų saugumo politika - MVĮ turi būti susieta su NIS2 įrodymų paketu. Tiekėjų pasirengimas turėtų apimti:

• Tiekėjų apskaitą ir kritiškumo klasifikavimą.
• Tiekėjų deramą patikrinimą ir rizikos vertinimus.
• Sutartines nuostatas dėl saugumo, pagalbos incidentų atvejais, teisės atlikti auditą, duomenų vietos, subtiekimo ir pasitraukimo.
• Debesijos bendros atsakomybės matricas.
• Kritinių paslaugų teikėjų stebėsenos įrašus.
• Kritinių paslaugų pasitraukimo ir atkūrimo testavimą.
• Tiekėjų incidentų pranešimo ir eskalavimo procedūras.

GDPR taip pat turi būti integruotas. Reikšmingas NIS2 incidentas taip pat gali būti asmens duomenų saugumo pažeidimas, jei kompromituojami klientų, darbuotojų ar naudotojų duomenys. GDPR reikalauja, kad duomenų valdytojai galėtų pagrįsti atskaitomybę ir, kai pasiekiami pranešimo slenksčiai, per 72 valandas nuo sužinojimo apie asmens duomenų saugumo pažeidimą praneštų priežiūros institucijai. Jūsų reagavimo į incidentus darbo eiga turi lygiagrečiai vertinti NIS2, GDPR, DORA, sutartinius ir klientų įpareigojimus.

Per vieną savaitę surinkite NIS2 įrodymų paketą

SaaS teikėjas, MSP, MSSP, debesijos teikėjas arba skaitmeninės infrastruktūros įmonė per vieną kryptingą savaitę gali padaryti reikšmingą pažangą.

1 diena – suklasifikuokite subjektą ir paslaugas. Naudokite ISVS taikymo srities aprašą ir suinteresuotųjų šalių registrą. Pridėkite NIS2 taikymo srities memorandumą, kuriame identifikuojamos I priedo arba II priedo kategorijos, ES paslaugos, valstybės narės, klientai, priklausomybės, dydžio prielaidos ir tai, ar taikomos DORA arba sektoriaus taisyklės. Klasifikavimo neapibrėžtumą registruokite kaip riziką, jei teisinis aiškinimas dar nėra galutinis.

2 diena – atnaujinkite teisinių ir reguliavimo įpareigojimų registrą. Įtraukite NIS2 Articles 20, 21 ir 23, registracijos reikalavimus pagal nacionalinę teisę, GDPR pažeidimų pareigas, aktualius DORA įpareigojimus ir pagrindinius sutartinius pranešimo reikalavimus. Kiekvieną įpareigojimą susiekite su politika, savininku, kontrolės priemone, įrodymų šaltiniu ir peržiūros dažnumu.

3 diena – atnaujinkite rizikos vertinimą ir tvarkymą. Į rizikos kriterijus įtraukite teisinį, reguliavimo, operacinį, tiekėjų, finansinį, reputacinį ir socialinį poveikį. Įtraukite rizikas, tokias kaip nepavykusi registracija, neteisinga subjekto klasifikacija, praleistas 24 valandų ankstyvasis įspėjimas, neprieinami institucijų kontaktai, tiekėjo sutrikimas, paveikiantis kritines paslaugas, nepakankama valdymo organo priežiūra ir negalėjimas įrodyti kontrolės veiksmingumo.

4 diena – atnaujinkite SoA. Patvirtinkite NIS2 aktualias kontrolės priemones, įskaitant A.5.5 ryšį su institucijomis, A.5.19–A.5.23 tiekėjų ir debesijos kontrolės priemones, A.5.24–A.5.28 incidentų kontrolės priemones, A.5.29 saugumą sutrikimų metu, A.5.30 IRT pasirengimą veiklos tęstinumui, A.5.31 teisinius reikalavimus, A.5.34 privatumą, A.8.8 pažeidžiamumų valdymą, A.8.13 atsargines kopijas, A.8.15 žurnalavimą, A.8.16 stebėsenos veiklas, A.8.24 kriptografiją ir saugaus kūrimo kontrolės priemones A.8.25–A.8.32.

5 diena – testuokite pranešimą apie incidentus. Surenkite stalo pratybas: debesijos netinkama konfigūracija atskleidžia klientų duomenis ir sutrikdo paslaugą dviejose valstybėse narėse. Paleiskite laikmatį. Ar komanda gali suklasifikuoti įvykį, įvertinti GDPR, NIS2, DORA, sutartinius ir klientų slenksčius, parengti 24 valandų ankstyvąjį įspėjimą, paruošti 72 valandų pranešimo projektą, išsaugoti įrodymus ir paskirti pagrindinės priežasties analizę?

6 diena – surinkite įrodymus. Sukurkite priežiūros institucijai tinkamą aplanką su taikymo srities memorandumu, teisinių reikalavimų registru, rizikų registru, SoA, institucijų kontaktų sąrašu, incidentų veiksmų planu, tiekėjų registru, valdymo organo protokolais, mokymų įrašais, žurnalais, stebėsenos ataskaitomis, atsarginių kopijų testais, pažeidžiamumų ataskaitomis, vidaus audito taikymo sritimi ir korekcinių veiksmų žurnalu.

7 diena – vadovybės peržiūra. Pristatykite pasirengimo paketą vadovybei. Užfiksuokite patvirtinimus, liekamąsias rizikas, atvirus veiksmus, terminus, išteklius ir savininkų atskaitomybę. Jei registracijos terminas artėja, įrodymų indeksą pridėkite prie registracijos sprendimo įrašo.

Clarysec audito ir atitikties stebėsenos politika MVĮ Audito ir atitikties stebėsenos politika - MVĮ numato šį poreikį:

„Įrodymai turi būti suderinti su NIS2 įpareigojimais, kai organizacija priskiriama svarbiam subjektui arba kitu būdu patenka į nacionalinės teisės taikymo sritį.“

Įmonės audito ir atitikties stebėsenos politika Audito ir atitikties stebėsenos politika nurodo tikslą:

„Sukurti pagrįstus įrodymus ir audito pėdsaką reguliavimo institucijų užklausoms, teisiniams procesams arba klientų patikinimo prašymams pagrįsti.“

Toks ir yra tikslas: pagrįsti įrodymai dar prieš gaunant prašymą.

Pasirenkite skirtingoms audito perspektyvoms

Sertifikavimo auditorius, nacionalinė institucija, kliento auditorius, privatumo auditorius ir tiekėjų patikinimo komanda neužduos identiškų klausimų. Stiprus NIS2 įrodymų paketas veikia visose šiose perspektyvose.

ISO/IEC 27002:2022 kontrolės 5.5 atveju auditoriai paprastai tikisi dokumentuotų institucijų kontaktų, priskirtų atsakomybių, kontaktų palaikymo, reagavimo į incidentus veiksmų planų ir scenarijais pagrįsto aiškumo. Paprastas audito klausimas gali parodyti brandą: „Išpirkos reikalaujančios programinės įrangos atveju kas kreipiasi į teisėsaugą arba nacionalinį CSIRT?“ Jei atsakymas priklauso nuo to, ar kas nors prisimins vardą, kontrolės priemonė nėra parengta.

Clarysec žurnalų tvarkymo ir stebėsenos politika Žurnalų tvarkymo ir stebėsenos politika - MVĮ sustiprina įrodymų lūkestį:

„Žurnalai turi būti prieinami ir suprantami išorės auditoriams arba reguliuotojams pagal prašymą.“

Clarysec informacijos saugumo politika Informacijos saugumo politika nustato platesnį įmonės standartą:

„Visos įgyvendintos kontrolės priemonės turi būti audituojamos, pagrįstos dokumentuotomis procedūromis ir saugomais veikimo įrodymais.“

Tai audito testas vienu sakiniu. Jei kontrolės priemonės negalima pagrįsti įrodymais, ji neturės didelės reikšmės, kai kompetentinga institucija paprašys įrodymų.

Galutinis NIS2 registracijos įrodymų kontrolinis sąrašas

Naudokite šį kontrolinį sąrašą prieš registraciją arba prieš atsakydami į nacionalinės institucijos prašymą.

• Dokumentuokite NIS2 taikymo srities analizę, įskaitant I priedo arba II priedo pagrindimą, paslaugų aprašymus, dydžio prielaidas, valstybių narių aprėptį ir subjekto klasifikaciją.
• Identifikuokite, ar DORA taikoma tiesiogiai, ar netiesiogiai per finansų sektoriaus klientus ir IRT paslaugų sutartis.
• Atnaujinkite ISVS taikymo sritį, kad ji apimtų aktualias paslaugas, priklausomybes, išorėje perduotus procesus ir reguliavimo sąsajas.
• Įtraukite NIS2, GDPR, DORA, sektoriaus taisykles ir sutartinius reikalavimus į teisinių ir reguliavimo įpareigojimų registrą.
• Susiekite kiekvieną įpareigojimą su politikomis, kontrolės priemonėmis, savininkais, įrodymais, peržiūros dažnumu ir ataskaitų teikimu vadovybei.
• Patvirtinkite valdymo organo pritarimą ir kibernetinio saugumo rizikos valdymo priemonių priežiūrą.
• Tvarkykite vadovybės ir darbuotojų kibernetinio saugumo mokymų įrašus.
• Atnaujinkite rizikos kriterijus, kad jie apimtų reguliavimo poveikį, paslaugų sutrikimą, žalą klientams, tarpvalstybinį poveikį ir tiekėjų priklausomybę.
• Registruokite su NIS2 susijusias rizikas rizikų registre ir susiekite jas su rizikos tvarkymo planais.
• Atnaujinkite SoA, įtraukdami NIS2 aktualias A priedo kontrolės priemones ir įgyvendinimo būseną.
• Tvarkykite institucijų kontaktų sąrašus ir pranešimo procedūras CSIRT, kompetentingoms institucijoms, DAP, finansų priežiūros institucijoms ir teisėsaugai.
• Testuokite 24 valandų ankstyvojo įspėjimo, 72 valandų pranešimo, tarpinio atnaujinimo ir vieno mėnesio galutinės ataskaitos darbo eigą.
• Tvarkykite tiekėjų ir debesijos įrodymus, įskaitant deramą patikrinimą, sutartis, teisę atlikti auditą, stebėseną, subtiekimą ir pasitraukimo planus.
• Pagrįskite kontrolės veiksmingumą žurnalais, rodikliais, auditais, valdymo skydais, testavimo rezultatais ir korekciniais veiksmais.
• Parenkite įrodymų indeksą, kad į bet kokį reguliuotojo, kliento ar auditoriaus prašymą būtų galima atsakyti greitai.

Kitas Clarysec žingsnis

NIS2 subjekto registracija nėra finišo linija. Tai momentas, kai jūsų organizacija tampa matoma nacionalinei kibernetinio saugumo priežiūrai. Teisingas klausimas nėra „Ar galime užsiregistruoti?“ Teisingas klausimas yra „Jei institucija po registracijos paprašys įrodymų, ar galėsime per kelias valandas, o ne savaites, pateikti nuoseklų ISO 27001:2022 pasakojimą?“

Clarysec padeda organizacijoms sukurti šį pasakojimą per Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls ir praktinius ISO 27001:2022 politikų rinkinius, kurie susieja teisinius įpareigojimus, rizikos tvarkymą, pranešimą apie incidentus, tiekėjų saugumą, žurnalavimą, stebėseną, audito įrodymus ir vadovybės atskaitomybę.

Atlikite NIS2 įrodymų spragų peržiūrą pagal dabartinę savo ISVS. Pradėkite nuo taikymo srities memorandumo, teisinių reikalavimų registro, rizikų registro, SoA, institucijų kontaktų sąrašo, pranešimo apie incidentus darbo eigos, tiekėjų registro ir audito įrodymų aplanko. Jei šie artefaktai neišsamūs arba nesusieti, Clarysec gali padėti juos paversti priežiūros institucijai tinkamu įrodymų paketu dar prieš jūsų nacionalinei institucijai jo paprašant.