DORA incidentu ziņošana un ISO 27001 kontroles pasākumi 2026. gadā

Ir otrdienas rīts 2026. gadā, plkst. 08:17. Sāra, Eiropas FinTech uzņēmuma informācijas drošības vadītāja, redz informācijas paneli, kas mirgo dzeltenā, nevis sarkanā krāsā. Kritiska maksājumu norēķinu platforma sāk darboties lēnāk. Darījumi pilnībā neapstājas, taču tie aizņem trīsreiz ilgāku laiku, nekā pieļauj pakalpojumu līmeņa vienošanās. SOC konstatē neparastus autentifikācijas mēģinājumus pret administratora kontu. Mākoņinfrastruktūras pakalpojumu sniedzējs ziņo par pakalpojuma degradāciju vienā pieejamības zonā. Klientu atbalsts sāk saņemt zvanus no korporatīvajiem klientiem, kuri jautā, kāpēc maksājumu datnes kavējas.

Neviens vēl nezina, vai tas ir kiberuzbrukums, operacionālās noturības kļūme, piegādātāja nepieejamība, privātuma incidents vai viss vienlaikus.

Sārai DORA problēma rodas vēl pirms tehniskie fakti ir pilnīgi. Vai tas ir būtisks ar IKT saistīts incidents? Vai tas ietekmē kritisku vai svarīgu funkciju? Vai tas ir pārsniedzis iekšējo smaguma pakāpes slieksni? Kam, kad un ar kādiem pierādījumiem ir jāziņo? Ja ir iesaistīti personas dati, vai ir sācies arī GDPR paziņošanas termiņš? Ja incidenta ķēdē ir iesaistīts trešās puses IKT pakalpojumu sniedzējs, kam pieder fakti?

Tieši šeit finanšu iestādes ierauga atšķirību starp incidentu reaģēšanas plāna esamību un auditējamu DORA incidentu ziņošanas darbības modeli.

DORA incidentu ziņošana 2026. gadā prasa vairāk nekā ātru eskalāciju. Tā prasa juridiski un auditā pamatotu ķēdi no atklāšanas līdz klasifikācijai, no klasifikācijas līdz ziņošanai uzraudzības iestādei, no ziņošanas līdz trūkumu novēršanai un no trūkumu novēršanas līdz gūtajām mācībām. ISO/IEC 27001:2022 nodrošina pārvaldības sistēmas struktūru. ISO/IEC 27002:2022 A pielikuma kontroles pasākumi nosaka praktiskās kontroles gaidas. Clarysec politikas, 30 soļu ceļkarte un starpietvaru atbilstības ceļvedis pārvērš šīs gaidas auditam gatavā ieviešanā.

Kāpēc DORA incidentu ziņošana neiztur spiedienu

Lielākā daļa DORA incidentu ziņošanas kļūmju nesākas ar nolaidību. Tās sākas ar nenoteiktību.

Drošības analītiķis redz brīdinājumu, bet nezina, vai tas DORA izpratnē kvalificējas kā ar IKT saistīts incidents. IT pakalpojumu vadītājs degradētu veiktspēju uztver kā tehnisku pakalpojuma problēmu, savukārt atbilstības funkcija to uztver kā regulatīvu notikumu. Juridiskais dienests pirms eskalācijas gaida apstiprinājumu. Biznesa īpašnieks vēl nevar kvantificēt ietekmi uz klientiem. Informācijas drošības vadītājs vēlas pierādījumus, bet attiecīgie žurnāli ir izkliedēti mākoņpakalpojumos, galapunktos, identitātes sistēmās, SIEM un piegādātāju platformās.

Brīdī, kad organizācija vienojas par klasifikāciju, ziņošanas termiņš jau ir zem spiediena.

DORA 17.–21. pants nosaka strukturētas prasības ar IKT saistītu incidentu pārvaldībai, klasifikācijai, ziņošanai, ziņojumu saturam un uzraudzības iestāžu rīcībai. Finanšu iestādēm praktiskā prasība ir skaidra: uzraudzīt, pārvaldīt, reģistrēt žurnālos, klasificēt, ziņot, atjaunināt un mācīties no ar IKT saistītiem incidentiem tā, lai procesu vēlāk varētu rekonstruēt.

Clarysec Incidentu reaģēšanas politika [IRP] tieši iekļauj DORA atsauces ietvarā:

ES DORA (2022/2554): 17. pants: prasības finanšu iestādēm ziņot kompetentajām iestādēm par IKT incidentiem.

Tā pati politika sasaista incidentu pārvaldību ar ISO/IEC 27002:2022 kontroles pasākumiem 5.25 līdz 5.27, aptverot atbildību par incidentu izvērtēšanu, reaģēšanu, komunikāciju un pilnveidi.

Mazākām finanšu tehnoloģiju sabiedrībām un nelielām regulētām organizācijām Clarysec Incidentu reaģēšanas politika — SME [IRP-SME] padara pienākumu praktiski izpildāmu, uzsverot, ka DORA prasa finanšu iestādēm klasificēt, ziņot un izsekot ar IKT saistītus incidentus un traucējumus.

Šī frāze ir būtiska. DORA atbilstība nav tikai ziņošanas veidlapa. Organizācijai ir jāklasificē, jāziņo un jāizseko. Tas nozīmē pierādījumus par sākotnējo notikumu, lēmuma kritērijiem, smaguma pakāpi, ziņošanas lēmumu, komunikāciju, atjaunošanas darbībām, piegādātāja iesaisti un turpmāko rīcību.

ISO/IEC 27001:2022 kā DORA incidentu vadības centrs

Nobriedušai ISO/IEC 27001:2022 informācijas drošības pārvaldības sistēmai nevajadzētu kļūt par vēl vienu atbilstības izolētu jomu blakus DORA. Tai jākļūst par DORA incidentu ziņošanas vadības centru.

IDPS jau prasa riska īpašnieku noteikšanu, uz risku balstītu kontroles pasākumu atlasi, iekšējo auditu, vadības pārskatīšanu, dokumentētu informāciju, nepārtrauktu pilnveidi un pierādījumus par kontroles pasākumu darbību. DORA pievieno nozarei specifisku ziņošanas spiedienu, taču ISO/IEC 27001:2022 nodrošina pārvaldības struktūru, lai procesu padarītu atkārtojamu.

Clarysec Zenith Blueprint: auditora 30 soļu ceļkarte [ZB] nostiprina šo integrāciju 13. solī — risku apstrādes plānošana un Piemērojamības paziņojums. Blueprint iesaka kartēt kontroles pasākumus uz riskiem un punktiem, lai nodrošinātu izsekojamību, tostarp pievienot riskiem A pielikuma kontroles pasākuma atsauci un norādīt, kad kontroles pasākumi atbalsta GDPR, NIS2 vai DORA.

Sāras maksājumu norēķinu incidentam riska reģistra ieraksts varētu būt šāds:

“Maksājumu apstrādes platformas darbības traucējumi vai kompromitēšana.”

Kartētie ISO/IEC 27001:2022 A pielikuma kontroles pasākumi ietvertu 5.24, 5.25, 5.26, 5.27, 5.28, 6.8, 8.15 un 8.16, ar DORA piezīmi par būtiska ar IKT saistīta incidenta klasifikāciju un ziņošanu.

Clarysec Zenith Controls: starpietvaru atbilstības ceļvedis [ZC] pēc tam kalpo kā starpietvaru atbilstības kompass. Zenith Controls Clarysec kartē ISO/IEC 27002:2022 kontroles pasākumus uz citiem ISO/IEC 27001:2022 kontroles pasākumiem, saistītajiem standartiem, audita gaidām un regulējumiem, piemēram, DORA, GDPR un NIS2. Tas neveido atsevišķus “Zenith kontroles pasākumus”. Tas parāda, kā esošie ISO kontroles pasākumi darbojas kopā un kā tie tiek testēti.

DORA ziņošanas darbplūsmu var aplūkot kā kontroles pasākumu ķēdi:

Nevar ziņot par to, kas nav atklāts. Nevar klasificēt to, kas nav izvērtēts. Nevar pamatot ziņošanas lēmumu bez ierakstiem. Nevar pilnveidoties bez pēcincidenta pārskatīšanas.

Kontroles pasākums 6.8: DORA pulkstenis sākas ar cilvēkiem

Sāras scenārijā pirmais noderīgais signāls var nenākt no SOC. Tas var nākt no attiecību vadītāja, kurš dzird klientu sūdzības, finanšu lietotāja, kurš redz neveiksmīgas norēķinu partijas, vai inženiera, kurš pamana neparastu latentumu.

Tāpēc ISO/IEC 27001:2022 A pielikuma kontroles pasākums 6.8, informācijas drošības notikumu ziņošana, ir būtisks DORA vajadzībām. Tas padara ziņošanu par darbinieku atbildību, nevis tikai par drošības operāciju funkciju.

Zenith Blueprint 16. solī, People Controls II, Clarysec norāda:

Efektīva incidentu reaģēšanas sistēma sākas nevis ar rīkiem, bet ar cilvēkiem.

16. solis iesaka skaidrus ziņošanas kanālus, informētības apmācību, kultūru bez vainošanas, triāžu, konfidencialitāti un periodiskas simulācijas. Praktiski noderīgākais vēstījums ir vienkāršs:

“Ja šaubies, ziņo.”

Tas ir DORA kontroles princips. Ja darbinieki gaida, līdz ir pilnīgi pārliecināti, organizācija zaudē laiku. Ja viņi ziņo agri, organizācija var izvērtēt, klasificēt un pieņemt lēmumu.

Zenith Controls 6.8 ir kartēts kā atklājošs kontroles pasākums, kas atbalsta konfidencialitāti, integritāti un pieejamību. Tas ir saistīts ar 5.24, jo ziņošanas kanāliem jābūt incidentu plāna daļai. Tas baro 5.25, jo notikumus var izvērtēt tikai tad, ja par tiem ir ziņots. Tas iedarbina 5.26, jo formāla reaģēšana sākas pēc ziņojumu izvērtēšanas.

DORA kontekstā tas atbalsta 17. un 18. pantu, kuros finanšu iestādēm ir jāpārvalda, jāklasificē un jāziņo par būtiskiem ar IKT saistītiem incidentiem un nozīmīgiem kiberdraudiem. Tas atbalsta arī GDPR 33. pantu un 85. apsvērumu, jo iekšējā ziņošana nosaka, cik ātri tiek identificēts un eskalēts personas datu aizsardzības pārkāpums.

Praktiska Clarysec ieviešana ir vienas lapas instrukcija “Kā ziņot par IKT incidentu”. Tajā jāiekļauj:

• Par ko ziņot, tostarp par pakalpojumu nepieejamību, aizdomīgiem e-pastiem, nozaudētām ierīcēm, neparastu sistēmas uzvedību, aizdomām par piegādātāja kompromitēšanu, nesankcionētu piekļuvi, datu noplūdi un klientus ietekmējošu pakalpojuma degradāciju.
• Kā ziņot, izmantojot uzraudzītu pastkasti, pieteikuma kategoriju, palīdzības tālruni, sadarbības kanālu vai SOC portālu.
• Ko iekļaut, piemēram, laiku, sistēmu, lietotāju, biznesa procesu, novēroto ietekmi, ekrānuzņēmumus, ja tas ir droši, un informāciju par to, vai var būt ietekmēti klienti vai personas dati.
• Ko nedarīt, tostarp nedzēst žurnālus, nepārstartēt kritiskās sistēmas, ja nav saņemts norādījums, nesazināties ar klientiem ārēji bez apstiprinājuma un neveikt izmeklēšanu ārpus savas lomas.
• Kas notiek tālāk, tostarp triāža, klasifikācija, eskalācija, reaģēšana, pierādījumu saglabāšana un iespējama regulatīvā izvērtēšana.

Mērķis nav pārvērst katru darbinieku par izmeklētāju. Mērķis ir padarīt katru darbinieku par uzticamu signāla avotu.

Kontroles pasākums 5.25: DORA klasifikācijas lēmuma punkts

DORA būtisku ar IKT saistītu incidentu ziņošana balstās uz klasifikāciju. Tieši šeit ISO/IEC 27001:2022 A pielikuma kontroles pasākums 5.25, informācijas drošības notikumu izvērtēšana un lēmumu pieņemšana, kļūst centrāls.

Zenith Blueprint 23. solī skaidro praktisko izaicinājumu:

Ne katra anomālija ir katastrofa. Ne katrs brīdinājums norāda uz kompromitēšanu.

Tālāk tas apraksta 5.25 mērķi:

atšķirt nekaitīgo no kaitīgā un zināt, kas prasa eskalāciju.

DORA kontekstā tas ir brīdis, kad drošības notikums, pakalpojuma degradācija, piegādātāja darbības pārtraukums, datu ekspozīcija vai darbības traucējums tiek izvērtēts pret būtiska incidenta kritērijiem. Organizācijai jāņem vērā darbības ietekme, ietekmētie pakalpojumi, kritiskās vai svarīgās funkcijas, ietekmētie klienti un darījumi, ilgums, ģeogrāfiskais tvērums, ietekme uz datiem, reputācijas sekas un ekonomiskā ietekme.

Zenith Controls 5.25 ir tieši kartēts uz DORA 18. pantu, būtisku IKT incidentu klasifikāciju. Tas ir strukturēts izvērtēšanas process, lai noteiktu, vai novērotais notikums kvalificējas kā drošības incidents. Tas ir saistīts arī ar 8.16, uzraudzības darbībām, jo brīdinājumi un žurnālu dati ir jātriāžē, un ar 5.26, jo klasifikācija iedarbina reaģēšanu.

Tieši šeit daudzas organizācijas neiztur auditus. Tām ir pieteikumi, bet nav klasifikācijas ierakstu. Tām ir smaguma pakāpes marķējumi, bet nav kritēriju. Tām ir regulatīvie ziņojumi, bet nav lēmuma audita pēdas, kas pierāda, kāpēc incidents tika vai netika uzskatīts par būtisku.

Clarysec to risina, iestrādājot DORA klasifikāciju incidentu smaguma modelī. Uzņēmuma Incidentu reaģēšanas politika 5.3.1. punktā iekļauj skaidru 1. līmeņa piemēru:

1. līmenis: kritisks (piem., apstiprināts datu aizsardzības pārkāpums, izspiedējprogrammatūras uzliesmojums, ražošanas sistēmas kompromitēšana)

Mazākām organizācijām Incidentu reaģēšanas politika — SME pievieno skaidru operacionālu prasību:

Ģenerāldirektoram, saņemot IT pakalpojumu sniedzēja ievadi, visi incidenti jāklasificē pēc smaguma pakāpes vienas stundas laikā pēc paziņojuma saņemšanas.

Šis vienas stundas klasifikācijas mērķis ir spēcīgs, jo tas piespiež pārvaldības disciplīnu. Mazākai regulētai organizācijai var nebūt 24/7 SOC, taču tā joprojām var noteikt, kurš klasificē, kurš konsultē un cik ātri lēmumam jānotiek.

DORA uz ISO incidenta triāžas ieraksts

Lai klasifikāciju padarītu pamatotu, izveidojiet DORA incidenta triāžas ierakstu pieteikumu sistēmā, GRC rīkā vai incidentu pārvaldības sistēmā. Ieraksts jāizveido par katru potenciāli būtisku IKT notikumu, pat ja vēlāk tas tiek pazemināts.

Pievienojiet lēmuma piezīmi:

“Pamatojoties uz maksājumu pakalpojuma traucējumu, kas ietekmē kritisku biznesa procesu, neatrisinātu pamatcēloni un potenciālu ietekmi uz klientiem, notikums tiek eskalēts kā potenciāli būtisks ar IKT saistīts incidents. Atbilstības funkcijai un Juridiskajam dienestam jāizvērtē regulatīvās paziņošanas prasības. Uzsākta pierādījumu saglabāšana.”

Šis viens ieraksts atbalsta DORA 17. panta izsekošanu, 18. panta klasifikāciju, 19. panta ziņošanas lēmumus, ISO/IEC 27001:2022 A pielikuma 5.25 izvērtēšanu, 6.8 ziņošanu, 5.26 reaģēšanu un 5.28 pierādījumu apstrādi.

Kontroles pasākumi 5.24 un 5.26: plānošana, lomas un reaģēšana

Kad notiek DORA incidents, reaģēšanas plānam jau ir jāatbild uz neērtiem jautājumiem.

Kam ir pilnvaras klasificēt? Kas sazinās ar kompetento iestādi? Kas apstiprina sākotnējo paziņojumu? Kas komunicē ar klientiem? Kas sazinās ar IKT trešās puses pakalpojumu sniedzēju? Kas lemj, vai incidents iedarbina arī GDPR paziņošanu? Kas saglabā pierādījumus? Kam pieder galīgais ziņojums?

ISO/IEC 27001:2022 A pielikuma kontroles pasākums 5.24, informācijas drošības incidentu pārvaldības plānošana un sagatavošanās, atbild uz šiem jautājumiem pirms krīzes. Kontroles pasākums 5.26, reaģēšana uz informācijas drošības incidentiem, nodrošina, ka incidenta laikā plāns pārtop kontrolētā rīcībā.

Zenith Controls 5.24 ir sasaistīts ar DORA 17.–21. pantu, jo tas padara dokumentētu, testētu un pārskatītu reaģēšanu uz incidentiem operacionālu, ietverot iekšējo eskalāciju, ārējo regulatīvo paziņošanu, komunikāciju ar iesaistītajām pusēm un gūtās mācības.

ISO/IEC 27035-1:2023 to atbalsta, paplašinot incidentu pārvaldību ārpus reaģēšanas procedūrām uz politiku, plānošanu, spējām, attiecībām, atbalsta mehānismiem, informētību, apmācību un regulāru testēšanu. ISO/IEC 27035-2:2023 papildus detalizē incidentu pārvaldības procesu no sagatavošanās līdz gūtajām mācībām.

Zenith Blueprint 23. solis sniedz tiešu ieviešanas norādījumu:

Nodrošiniet, ka jums ir aktuāls incidentu reaģēšanas plāns (5.24), kas aptver sagatavošanos, eskalāciju, reaģēšanu un komunikāciju.

DORA gatavam incidentu reaģēšanas plānam jādefinē:

• IKT incidentu reaģēšanas komanda un aizvietotāji.
• Pilnvaras smaguma pakāpes klasifikācijai un DORA ziņošanas eskalācijai.
• Juridiskās funkcijas, atbilstības funkcijas, privātuma funkcijas, komunikācijas, IT, drošības, piegādātāja un biznesa īpašnieka pienākumi.
• Kritēriji būtiska ar IKT saistīta incidenta klasifikācijai.
• Procedūras sākotnējai, starpposma un galīgajai regulatīvajai ziņošanai.
• GDPR, NIS2, līgumisko, kiberdrošības apdrošināšanas un valdes paziņošanas pienākumu izvērtēšana.
• Ierobežošanas, izskaušanas, atjaunošanas un validācijas soļi.
• Pierādījumu saglabāšanas prasības.
• Piegādātāju eskalācijas un žurnālu piekļuves procedūras.
• Gūto mācību un korektīvo darbību izsekošana.

Incidentu reaģēšanas politika — SME sasaista reaģēšanas termiņus arī ar tiesiskajām prasībām:

Reaģēšanas termiņi, tostarp datu atjaunošanas un paziņošanas pienākumi, jādokumentē un jāsaskaņo ar tiesiskajām prasībām, piemēram, GDPR 72 stundu personas datu aizsardzības pārkāpuma paziņošanas prasību.

Tas ir būtiski, jo viens IKT incidents var kļūt par DORA būtisku incidentu, GDPR personas datu aizsardzības pārkāpumu, NIS2 būtisku incidentu, līgumisku klienta paziņošanas notikumu un piegādātāju pārvaldības jautājumu. Plānam šie pārklājumi ir jākoordinē, nevis jāuztver kā atsevišķas pasaules.

Kontroles pasākumi 8.15 un 8.16: žurnāli padara ziņojumu pamatotu

DORA incidentu ziņošana ir atkarīga no faktiem. Fakti ir atkarīgi no reģistrēšanas žurnālos un uzraudzības.

Maksājumu norēķinu scenārijā Sārai jāzina, kad degradācija sākās, kuras sistēmas tika ietekmētas, vai tika izmantoti priviliģēti konti, vai dati atstāja vidi, vai mākoņpakalpojumu sniedzēja darbības pārtraukums sakrīt ar iekšējo telemetriju un kad atjaunošana tika pabeigta.

ISO/IEC 27001:2022 A pielikuma kontroles pasākums 8.15, reģistrēšana žurnālos, un 8.16, uzraudzības darbības, atbalsta šo pierādījumu bāzi. Zenith Controls abi ir saistīti ar 5.24, jo incidentu reaģēšanas plānošanā jāiekļauj izmantojami žurnālu dati un uzraudzības spēja. Kontroles pasākums 8.16 ir saistīts arī ar 5.25, jo brīdinājumi jātriāžē lēmumos.

Clarysec Reģistrēšanas žurnālos un uzraudzības politika — SME [LMP-SME] ietver praktisku eskalācijas prasību:

Augstas prioritātes brīdinājumi 24 stundu laikā jāeskalē ģenerāldirektoram un privātuma koordinatoram

DORA regulētām organizācijām potenciāli būtiski IKT incidenti parasti prasa ātrāku operacionālās eskalācijas modeli, īpaši ja tiek ietekmētas kritiskas vai svarīgas funkcijas. Tomēr pārvaldības modelis ir pareizs: augstas prioritātes brīdinājumi nedrīkst palikt tikai IT ietvaros. Tiem jāsasniedz biznesa, privātuma un vadības lomas.

DORA gatavam reģistrēšanas žurnālos modelim jāietver:

• Centralizēta žurnālu reģistrēšana kritiskām sistēmām, identitātes platformām, galapunktiem, mākoņpakalpojumiem, tīkla drošības rīkiem un biznesa lietojumprogrammām.
• Laika sinhronizācija starp sistēmām, lai incidentu laika skalas būtu uzticamas.
• Brīdinājumu kategorizācija, kas saskaņota ar incidenta smaguma pakāpi un DORA klasifikāciju.
• Žurnālu glabāšana, kas saskaņota ar regulatīvajām, līgumiskajām un digitālās kriminālistikas vajadzībām.
• Piekļuves kontrole, kas aizsargā žurnālu integritāti.
• Procedūras žurnālu momentuzņēmumu fiksēšanai būtisku incidentu laikā.
• Piegādātāju žurnālu piekļuves prasības kritiskiem IKT pakalpojumiem.

Auditori nepieņems “tas ir SIEM” kā pietiekamu pierādījumu. Viņi jautās, vai pastāvēja pareizie žurnāli, vai brīdinājumi tika pārskatīti, vai eskalācija notika laikus un vai žurnāli tika saglabāti, kad incidents kļuva potenciāli ziņojams.

Kontroles pasākums 5.28: pierādījumu vākšana un pierādījumu glabāšanas ķēde

Būtiska ar IKT saistīta incidenta gadījumā pierādījumi kalpo trim mērķiem: tehniskai izmeklēšanai, regulatīvai pārskatatbildībai un juridiskam pamatojumam.

Ja pierādījumi ir nepilnīgi, pārrakstīti, mainīti vai nedokumentēti, organizācijai var būt grūti pierādīt, kas notika. Tai var būt grūti pamatot arī savu klasifikācijas lēmumu.

Clarysec Digitālo pierādījumu iegūšanas un kriminālistikas politika [ECF] nosaka:

Pierādījumu glabāšanas ķēdes žurnālam jāpavada visi fiziskie vai digitālie pierādījumi no iegūšanas brīža līdz arhivēšanai vai nodošanai un jādokumentē:

SME versija, Digitālo pierādījumu iegūšanas un kriminālistikas politika — SME [ECF-SME], prasību saglabā vienkāršu:

Katrs digitālo pierādījumu elements jāreģistrē ar:

Operacionālā mācība ir tieša. Pierādījumu apstrāde nedrīkst sākties tikai pēc tam, kad Juridiskais dienests to pieprasa. Tai jābūt iestrādātai reaģēšanā uz incidentiem.

ISO/IEC 27006-1:2024 nostiprina šo audita gaidu, uzsverot procedūras informācijas drošības incidentu pierādījumu identificēšanai, vākšanai un saglabāšanai. DORA gadījumā tas pats pierādījumu kopums var atbalstīt sākotnējo paziņojumu, starpposma atjauninājumus, galīgo ziņojumu, pēcincidenta pārskatīšanu un uzraudzības iestādes jautājumus.

Praktiskam pierādījumu kontrolsarakstam ar DORA saistītiem incidentiem jāietver:

• Incidenta pieteikums un triāžas piezīmes.
• Atklāšanas, eskalācijas, klasifikācijas, ziņošanas, ierobežošanas, atjaunošanas un slēgšanas laika skala.
• SIEM brīdinājumi un korelētie žurnāli.
• Galapunktu un serveru artefakti.
• Identitātes un privileģētas piekļuves žurnāli.
• Tīkla datplūsmas kopsavilkumi.
• Mākoņpakalpojumu sniedzēja statusa un audita žurnāli.
• Piegādātāju komunikācija un incidentu paziņojumi.
• Darbības ietekmes ieraksti, tostarp klienti, pakalpojumi, darījumi un dīkstāve.
• Regulatīvo paziņojumu projekti un iesniegumi.
• Vadības lēmumi un apstiprinājumi.
• Pamatcēloņa analīze.
• Gūtās mācības un korektīvās darbības.

Pierādījumiem jāparāda gan tehniskie fakti, gan pārvaldības lēmumi. DORA ziņošana nav tikai par to, kas notika ar sistēmām. Tā ir arī par to, kā vadība incidentu atpazina, izvērtēja, eskalēja, kontrolēja un pēc tā uzlaboja darbību.

Kontroles pasākums 5.27: gūtās mācības un nepārtraukta pilnveide

DORA incidents nav slēgts brīdī, kad iesniegts galīgais ziņojums. Tas ir slēgts tad, kad organizācija no tā ir mācījusies, piešķīrusi korektīvās darbības, atjauninājusi kontroles pasākumus un pārbaudījusi uzlabojumus.

ISO/IEC 27001:2022 A pielikuma kontroles pasākums 5.27, mācīšanās no informācijas drošības incidentiem, sasaista DORA ziņošanu ar ISO/IEC 27001:2022 nepārtrauktas pilnveides ciklu. Zenith Controls 5.24 ir saistīts ar 5.27, jo incidentu pārvaldība nav pilnīga bez pamatcēloņa analīzes, gūtajām mācībām un kontroles pasākumu pilnveides.

Zenith Blueprint 23. solis uzdod organizācijām atjaunināt plānu ar gūtajām mācībām un nodrošināt mērķtiecīgu apmācību par reaģēšanu uz incidentiem un pierādījumu apstrādi. Tas ir īpaši svarīgi DORA kontekstā, jo atkārtoti klasifikācijas kavējumi, trūkstoši piegādātāja pierādījumi, vāji žurnāli vai neskaidra komunikācija var kļūt par uzraudzības iestādes bažām.

Gūto mācību veidnei jāfiksē:

• Kas notika un kad.
• Kuras kritiskās vai svarīgās funkcijas tika ietekmētas.
• Vai klasifikācija bija savlaicīga un precīza.
• Vai DORA ziņošanas lēmumi tika pieņemti ar pietiekamiem pierādījumiem.
• Vai tika izvērtēti GDPR, NIS2, līgumiskie vai klientu paziņošanas ierosinātāji.
• Vai piegādātāji reaģēja saskaņotajos termiņos.
• Vai žurnāli un digitālās kriminālistikas pierādījumi tika saglabāti.
• Kuri kontroles pasākumi neizdevās vai trūka.
• Kuras politikas, rokasgrāmatas, apmācības vai tehniskie kontroles pasākumi jāpilnveido.
• Kam pieder katra korektīvā darbība un līdz kuram datumam.

Tas baro arī ISO/IEC 27001:2022 vadības pārskatīšanu. Incidentu tendences jāpārskata vadībai, nevis jāaprok tehniskajos pēcincidenta izvērtējumos.

Starpietvaru atbilstība: DORA, GDPR, NIS2, NIST un COBIT 2019

DORA ir centrālais regulējums finanšu iestādēm, taču incidentu ziņošana reti pieder tikai vienam ietvaram.

Viens IKT incidents var ietvert DORA būtiska ar IKT saistīta incidenta ziņošanu, GDPR personas datu aizsardzības pārkāpuma paziņošanu, NIS2 būtiska incidenta ziņošanu, klientu līgumu pienākumus, kiberdrošības apdrošināšanas paziņošanu un ziņošanu valdei.

Zenith Controls palīdz mazināt šo sarežģītību, kartējot ISO/IEC 27002:2022 kontroles pasākumus pāri ietvariem. Piemēram:

No NIST skatpunkta tas pats modelis atbalsta Detect, Respond un Recover rezultātus. No COBIT 2019 un ISACA audita skatpunkta galvenais jautājums ir pārvaldība: vai incidentu pārvaldība, nepārtrauktība, risks, atbilstība, piegādātāju pienākumi un veiktspējas uzraudzība ir kontrolēti.

Nobriedušākās organizācijas neveido atsevišķas darbplūsmas katram ietvaram. Tās izveido vienu incidentu pārvaldības procesu ar regulatīviem pārklājumiem. Pieteikums vienreiz fiksē tos pašus pamatfaktus un pēc tam, ja nepieciešams, atzarojas uz DORA, GDPR, NIS2, līgumisko, apdrošināšanas vai nozares specifisko ziņošanu.

Kā auditori testēs jūsu DORA incidentu procesu

DORA gatavam incidentu ziņošanas procesam jāiztur dažādi audita skatījumi.

ISO/IEC 27001:2022 auditors pārbaudīs, vai IDPS ir atlasījusi un ieviesusi attiecīgos A pielikuma kontroles pasākumus, vai Piemērojamības paziņojums atbalsta šos kontroles pasākumus, vai pastāv incidentu ieraksti un vai iekšējais audits un vadības pārskatīšana ietver incidentu veiktspēju.

Zenith Controls 5.24, 5.25 un 6.8 kontekstā atsaucas uz ISO/IEC 19011:2018 audita metodoloģiju. 5.24 gadījumā auditori pārbauda incidentu reaģēšanas plānu attiecībā uz incidentu veidiem, smaguma pakāpes klasifikācijām, piešķirtajām lomām, kontaktpersonu sarakstiem, eskalācijas ceļiem, regulatīvās ziņošanas norādījumiem un komunikācijas pienākumiem. 5.25 gadījumā viņi pārbauda, vai pastāv dokumentēti klasifikācijas kritēriji, piemēram, smaguma pakāpes matricas vai lēmumu koki, kas balstīti uz sistēmas ietekmi, datu sensitivitāti un ilgumu. 6.8 gadījumā viņi izvērtē ziņošanas mehānismus, laiku līdz ziņošanai un pierādījumus, ka ziņotie notikumi tiek reģistrēti žurnālos, triāžēti un atrisināti.

DORA uzraudzības pārskatīšana koncentrēsies uz to, vai būtiski ar IKT saistīti incidenti tiek atklāti, klasificēti, ziņoti, atjaunināti un slēgti atbilstoši regulatīvajām gaidām. Pārskatītājs var pieprasīt incidenta paraugu un izsekot to no pirmā brīdinājuma līdz galīgajam ziņojumam.

Privātuma auditors koncentrēsies uz to, vai tika izvērtēts personas datu aizsardzības pārkāpuma risks un vai tika iedarbināti GDPR 33. panta un 34. panta pienākumi. BS EN 17926:2023 šeit ir būtisks, jo tas pievieno privātuma incidentu pienākumus, paziņošanas kritērijus, termiņus un saskaņošanu ar uzraudzības iestādes izpaušanas gaidām.

Tie paši pierādījumi var apmierināt vairākus audita jautājumus, ja tie no sākuma ir pareizi strukturēti.

DORA incidentu ziņošanas gatavības kontrolsaraksts 2026. gadam

Pirms nākamajām galda mācībām, iekšējā audita vai uzraudzības pārskatīšanas pārbaudiet organizāciju pret šo kontrolsarakstu:

• Vai darbinieki zina, kā ziņot par aizdomīgiem IKT incidentiem?
• Vai ir izveidots atsevišķs incidentu ziņošanas kanāls?
• Vai drošības notikumi tiek konsekventi reģistrēti žurnālos un triāžēti?
• Vai ir dokumentēta smaguma pakāpes un DORA būtiska incidenta klasifikācijas matrica?
• Vai klasifikācija jāveic noteiktā laikā pēc paziņojuma saņemšanas?
• Vai kritiskās vai svarīgās funkcijas ir kartētas uz sistēmām un piegādātājiem?
• Vai DORA, GDPR, NIS2, līgumiskie, apdrošināšanas un klientu paziņošanas ierosinātāji tiek izvērtēti vienā darbplūsmā?
• Vai incidentu lomas ir definētas starp IT, drošības, juridisko, atbilstības, privātuma, komunikācijas funkcijām un biznesa īpašniekiem?
• Vai žurnāli ir pietiekami, lai rekonstruētu incidentu laika skalas?
• Vai pierādījumi tiek saglabāti ar pierādījumu glabāšanas ķēdi?
• Vai piegādātāju incidentu pienākumi un žurnālu piekļuves tiesības tiek testētas?
• Vai galda mācības tiek veiktas, izmantojot reālistiskus DORA scenārijus?
• Vai gūtās mācības tiek izsekotas līdz korektīvajām darbībām?
• Vai incidentu metrikas tiek pārskatītas vadības pārskatīšanā?
• Vai Piemērojamības paziņojums ir kartēts uz DORA atbilstošiem ISO/IEC 27001:2022 kontroles pasākumiem?

Ja atbilde uz kādu no šiem jautājumiem ir “daļēji”, problēma nav tikai atbilstība. Tā ir operacionālā noturība.

Izveidojiet pierādījumiem gatavu DORA incidentu ziņošanas modeli

DORA incidentu ziņošana 2026. gadā ir pārvaldības tests spiediena apstākļos. Labi strādās nevis tās organizācijas, kurām ir visgarākie incidentu reaģēšanas dokumenti, bet tās, kurām ir skaidri ziņošanas kanāli, ātra klasifikācija, uzticami žurnāli, saglabāti pierādījumi, apmācīti cilvēki, testēta piegādātāju eskalācija un izsekojamība pāri ietvariem.

Clarysec var palīdzēt izveidot šādu darbības modeli.

Sāciet ar incidentu risku un Piemērojamības paziņojuma kartēšanu, izmantojot Zenith Blueprint: auditora 30 soļu ceļkarti. Pēc tam saskaņojiet incidentu kontroles pasākumus ar Zenith Controls: starpietvaru atbilstības ceļvedi. Padariet procesu operacionālu ar Clarysec Incidentu reaģēšanas politiku, Incidentu reaģēšanas politiku — SME, Reģistrēšanas žurnālos un uzraudzības politiku — SME, Digitālo pierādījumu iegūšanas un kriminālistikas politiku un Digitālo pierādījumu iegūšanas un kriminālistikas politiku — SME.

Ja jūsu vadības komanda vēlas pārliecību pirms nākamā reālā incidenta, veiciet DORA būtiska ar IKT saistīta incidenta galda mācības ar Clarysec rīkkopu un sagatavojiet pierādījumu pakotni, ko auditors vai uzraudzības iestāde sagaidītu redzēt.