ENISA EUVD 2026: ISO 27001, NIS2 un CRA vajadzībām

Ir 2026. gada otrdiena, plkst. 08.17. Marija, strauji augošas fintech SaaS platformas informācijas drošības vadītāja (CISO), dažu minūšu laikā saņem divus signālus. Vispirms drošības operāciju centrs (SOC) incidentu kanālā publicē ENISA ES ievainojamību datubāzes brīdinājumu. Ietekmētais komponents tieši neatrodas Marijas organizācijas koda bāzē. Tas ir trešās puses autentifikācijas SDK, kas iegults mobilajā lietotnē, kuru uztur ārpakalpojuma izstrādes partneris.

Pēc tam drošības pētnieks nosūta e-pastu uz publisko drošības kontaktadresi ar tematu: “Vulnerability Disclosure - Your SaaS Product”. Pētnieks apgalvo, ka noteiktos apstākļos ievainojamība varētu atklāt nekritiskus klientu metadatus.

Apstiprināta pārkāpuma nav. Neviens klients nav ziņojis par kaitējumu. Skenēšanas informācijas panelis nav sarkans. Taču jautājumi rodas nekavējoties.

Vai esam pakļauti riskam? Kuri klientiem pieejamie pakalpojumi izmanto šo SDK? Vai tas ir NIS2 būtisks incidents, ar DORA saistīts IKT incidents, GDPR personas datu aizsardzības pārkāpums vai CRA produkta drošības jautājums? Vai mums jāinformē piegādātājs, klients, kompetentā iestāde vai ENISA? Pats svarīgākais — vai varam pierādīt, kad par to uzzinājām?

Tieši šajā brīdī daudzas organizācijas saprot, ka draudu izlūkošana ievainojamību jomā nav datu plūsmas problēma. Tā ir darbības modeļa problēma.

ENISA EUVD kļūs par praktisku atsauces punktu ES draudu izlūkošanai par ievainojamībām, koordinētai ievainojamību izpaušanai un produktu drošības pārredzamībai. Taču pati datubāze Marijai nepateiks, vai ietekmētais pakalpojums ietilpst NIS2 darbības jomā, vai DORA ir piemērojama finanšu pakalpojumu darbību dēļ, vai ir iespējama personas datu atklāšana, vai arī ir jāiedarbina gatavība CRA ziņošanai. Šie lēmumi jāpieņem pārvaldītā, dokumentētā un auditējamā informācijas drošības pārvaldības sistēmā.

Clarysec pieeja ir padarīt EUVD operacionāli izmantojamu, balstoties uz ISO/IEC 27001:2022 pārvaldību, ISO/IEC 27002:2022 kontroles pasākumu ieviešanu, politiku īpašumtiesībām un starpatbilstības pierādījumiem. Mērķis nav izveidot vēl vienu izklājlapu ar nosaukumu “EUVD tracker”. Mērķis ir izveidot pamatotu ievainojamību izlūkošanas un ziņošanas modeli, kas spēj izturēt regulatoru jautājumus, klientu auditus, ISO 27001 sertifikācijas auditus un valdes pārskatīšanu.

Kāpēc ENISA EUVD 2026. gadā maina ievainojamību pārvaldību

Daudzus gadus daudzas drošības komandas draudu izlūkošanu ievainojamību jomā uztvēra kā ielāpu pārvaldības ievaddatus. Parādās CVE, skeneris konstatē pakļautību, operāciju komanda ievieš ielāpu, un pieteikums tiek slēgts. ES regulētām organizācijām ar šādu modeli vairs nepietiek.

NIS2 pārceļ kiberdrošības risku pārvaldību pārvaldības līmenī. Article 20 pieprasa būtisko un svarīgo vienību vadības struktūrām apstiprināt kiberdrošības risku pārvaldības pasākumus, pārraudzīt ieviešanu un saņemt kiberdrošības apmācību. Article 21 pieprasa samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, tostarp politikas, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un uzturēšanu, ievainojamību apstrādi un izpaušanu, efektivitātes izvērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldības politiku un, attiecīgajos gadījumos, daudzfaktoru autentifikāciju (MFA) vai nepārtrauktu autentifikāciju.

Article 23 pievieno pakāpenisku ziņošanu par būtiskiem incidentiem, tostarp agrīnu brīdinājumu 24 stundu laikā pēc informācijas iegūšanas, incidenta paziņojumu 72 stundu laikā un gala ziņojumu viena mēneša laikā. Ja EUVD brīdinājums pārtop par izmantotu ievainojamību ar pakalpojuma darbības traucējumiem, organizācijai ir vajadzīgi pierādījumi par informētības brīdi, sākotnējo izvērtēšanu, ietekmes novērtēšanu, mazināšanu un ziņošanas lēmumiem.

DORA finanšu vienībām izveido paralēlu, bet nozarspecifisku režīmu. Tas prasa iekšēju pārvaldību un kontroles kārtību IKT riskam, vadības struktūras pārskatatbildību, incidentu pārvaldības procesus, trešo pušu IKT risku pārvaldību, testēšanu, noturību, līgumiskus kontroles pasākumus un ziņošanu par būtiskiem ar IKT saistītiem incidentiem saskaņā ar DORA Article 19. Finanšu vienībām, uz kurām tas attiecas, DORA darbojas kā nozarspecifisks ietvars IKT risku un incidentu ziņošanai.

GDPR pievieno vēl vienu dimensiju. Ja ievainojamības izmantošana var izraisīt neatļautu piekļuvi personas datiem, to izpaušanu, zudumu, izmaiņas vai iznīcināšanu, ievainojamības darbplūsmai jābūt savienotai ar personas datu aizsardzības pārkāpuma izvērtēšanu. GDPR pārskatatbildības princips nozīmē, ka pārzinim ir jāspēj pierādīt atbilstība, nevis tikai apgalvot, ka tas rīkojies saprātīgi.

CRA padara ievainojamību apstrādi un koordinētu izpaušanu par produkta drošības pienākumu produktiem ar digitāliem elementiem. Tas arī nosaka ziņošanas prasības par aktīvi izmantotām ievainojamībām un smagiem drošības incidentiem attiecīgajos gadījumos. Pat tad, ja galīgajam tiesiskās ziņošanas lēmumam nepieciešama speciālistu pārbaude, operatīvie pierādījumi ir drošības pierādījumi: ietekmētais produkts, ietekmētā versija, izmantojamība, mazināšana, izpaušanas statuss, ietekme uz klientiem, piegādātāju koordinācija un laika skala.

Kad ievainojamība ir publiski redzama EUVD, auditori un regulatori var jautāt, kāpēc tā netika izvērtēta, kāpēc netika identificēti ietekmētie aktīvi, kāpēc netika sazināts ar piegādātājiem vai kāpēc netika apsvērta ziņošana. Spēcīgākās organizācijas spēs ar pierādījumiem atbildēt uz sešiem jautājumiem:

1. Kuri EUVD brīdinājumi mums ir būtiski?
2. Kuri aktīvi, produkti, piegādātāji un klienti ir ietekmēti?
3. Kam pieder lēmums?
4. Kāds ievainojamības novēršanas vai mazināšanas termiņš ir piemērojams?
5. Kad ievainojamību apstrāde kļūst par incidentu ziņošanu?
6. Kā pierādām slēgšanu un vadības pārraudzību?

ISO 27001:2022 pamats EUVD pierādījumiem

ISO/IEC 27001:2022 ir dabisks pārvaldības sistēmas pamats EUVD ieviešanai operatīvajā darbībā, jo tas sākas ar kontekstu, ieinteresētajām pusēm, darbības jomu, risku un pierādījumiem.

4.1.–4.4. punkti pieprasa organizācijai definēt iekšējos un ārējos jautājumus, ieinteresētās puses, tiesiskās, regulatīvās un līgumiskās prasības, ISMS darbības jomu, saskarnes un atkarības. Gatavībai EUVD ISMS darbības joma nevar apstāties pie iekšējiem serveriem. Tajā jāņem vērā SaaS produkti, mākoņpakalpojumi, ārpakalpojuma izstrāde, pārvaldīto pakalpojumu sniedzēji, IKT piegādātāji, klientu saistības, regulatīvie pienākumi un produkta ievainojamību prasības.

5.1.–5.3. punkti pieprasa vadību, politiku saskaņošanu, resursus, komunikāciju, pārskatatbildību un ziņošanas pienākumus. Šeit augstākā vadība pieņem, ka draudu izlūkošana ievainojamību jomā nav tehniska pieklājība. Tas ir biznesa riska signāls.

6.1.1.–6.1.3. punkti nodrošina mehānismu risku izvērtēšanai, riska apstrādei, kontroles pasākumu atlasei, salīdzinājumam ar A pielikumu, piemērojamības deklarācijai (SoA), atlikušā riska apstiprināšanai un apstrādes plānošanai. Kad EUVD ieraksts ietekmē vidi, reakcijai jāiedarbina atkārtojama riska darbplūsma, kas sasaista ietekmētos aktīvus, varbūtību, ietekmi, esošos kontroles pasākumus, apstrādes iespējas un riska īpašnieka apstiprinājumu.

8.1.–8.3. un 9.1.–9.3. punkti pārvērš šo modeli darbības ciklā. Organizācijām jāplāno un jākontrolē ISMS procesi, jāuztur dokumentēta informācija, jākontrolē ārēji nodrošināti procesi, atkārtoti jāizvērtē riski, jāievieš riska apstrādes plāni, jāuzrauga un jāmēra veiktspēja, jāveic iekšējie auditi un jāīsteno vadības pārskatīšana.

Praktiski Clarysec kartē EUVD trīs slāņos:

Pamatprincips ir vienkāršs. EUVD brīdinājumiem jākļūst par ierakstiem ISMS ietvaros, nevis par neformālām tērzēšanas ziņām, kas pazūd pēc ielāpa ieviešanas.

ISO 27001 kontroles pasākumu kopa, kas padara EUVD izmantojamu

Svarīgākie ISO/IEC 27001:2022 A pielikuma kontroles pasākumi EUVD darbībām ir 5.7 Draudu izlūkošana, 8.8 Tehnisko ievainojamību pārvaldība, 5.21 Informācijas drošības pārvaldība IKT piegādes ķēdē un 5.31 Tiesiskās, normatīvās, regulatīvās un līgumiskās prasības.

Clarysec tos kartē, izmantojot Zenith Controls: starpatbilstības ceļvedi Zenith Controls, kas darbojas kā starpatbilstības kompass ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST CSF un audita pierādījumu plānošanai.

Zenith Controls kartējums ISO/IEC 27002:2022 kontroles pasākumam 5.7 Draudu izlūkošana to atzīmē kā preventīvu, atklājošu un koriģējošu, kas atbalsta konfidencialitāti, integritāti un pieejamību un ir saskaņots ar Identify, Detect un Respond kiberdrošības konceptiem. Tā operatīvā spēja ir draudu un ievainojamību pārvaldība, ar aizsardzības un noturības drošības jomām.

Zenith Controls kartējums ISO/IEC 27002:2022 kontroles pasākumam 8.8 Tehnisko ievainojamību pārvaldība to atzīmē kā preventīvu, kas atbalsta konfidencialitāti, integritāti un pieejamību un ir saskaņots ar Identify un Protect. Tā operatīvā spēja ir draudu un ievainojamību pārvaldība, un drošības jomas ietver pārvaldību, ekosistēmu, aizsardzību un aizsardzības darbības.

Zenith Controls kartējums ISO/IEC 27002:2022 kontroles pasākumam 5.21 Informācijas drošības pārvaldība IKT piegādes ķēdē to atzīmē kā preventīvu, kas atbalsta konfidencialitāti, integritāti un pieejamību un ir saskaņots ar Identify. Tā operatīvā spēja ir piegādātāju attiecību drošība, ar pārvaldības, ekosistēmas un aizsardzības jomām.

Zenith Blueprint: auditora 30 soļu ceļvedis Zenith Blueprint arī uzsver kontroles pasākumu 5.31 Step 23 sadaļā Legal, statutory, regulatory and contractual requirements:

Drošība nepastāv vakuumā. Tā darbojas pienākumu tīklā — daļa no tiem ir noteikti tiesību aktos, daļa līgumos, bet citi nozarspecifiskā regulējumā.

Tas ir pārvaldības tilts starp EUVD un regulatīvo ziņošanu. Ievainojamības ieraksts var sākties kā draudu izlūkošana, kļūt par tehniskas ievainojamības uzdevumu, iedarbināt piegādātāja sadarbību un pēc tam kļūt par incidenta vai juridiska paziņojuma lēmumu.

Tāpēc EUVD nedrīkst uztvert kā vēl vienu plūsmu. Tas ir kontroles pasākumu integrācijas punkts.

Clarysec politiku modelis: no brīdinājuma līdz atbildīgam lēmumam

Nobriedušam EUVD darbības modelim ir vajadzīga politikas valoda, kas komandām nosaka, ko darīt pirms pirmā kritiskā brīdinājuma.

Clarysec Ievainojamību un ielāpu pārvaldības politika Ievainojamību un ielāpu pārvaldības politika uzņēmumu komandām dod skaidru uzraudzības un eskalācijas mandātu:

Uzraudzīt draudu paziņojumus (piemēram, CVE, CISA KEV, piegādātāju biļetenus) un eskalēt kritiskās ievainojamības.

Tā pati politika pieprasa centralizētu pierādījumu bāzi:

Drošības operāciju komandai jāuztur centralizēts ievainojamību pārvaldības reģistrs, un CISO vai deleģētai pilnvarotai personai tas jāpārskata reizi mēnesī.

SME vajadzībām Clarysec Ievainojamību un ielāpu pārvaldības politika - SME Ievainojamību un ielāpu pārvaldības politika - SME avotu modeli padara skaidru, iekļaujot:

Uzticami draudu izlūkošanas paziņojumi (piemēram, CISA, ENISA, nacionālo CERT brīdinājumi)

Tā arī saglabā audita pēdu:

Jāuztur ielāpu žurnāls, un tas jāpārskata auditu un incidentu reaģēšanas darbību laikā

Šie punkti novērš biežu kļūmi. Ja pienāk EUVD brīdinājums un neviens nezina, vai tas jāievieto ievainojamību reģistrā, incidentu rindā, piegādātāju uzskaitē vai juridiskā izvērtēšanā, organizācija zaudē laiku. Politikas valoda padara pirmo darbību automātisku.

CVD dimensija tiek pārvaldīta ar Clarysec Koordinētas ievainojamību izpaušanas politiku Koordinētas ievainojamību izpaušanas politika, kas nodrošina saņemšanas, apstiprinājuma, smaguma pakāpes izvērtēšanas un validācijas darbplūsmu:

Saņemot ziņojumu, VRT to reģistrē un 2 darbdienu laikā nosūta ziņotājam apstiprinājumu, piešķirot izsekošanas atsauci. VRT veic sākotnējo smaguma pakāpes izvērtēšanu, piemēram, izmantojot CVSS vērtējumu, un validē problēmu, vajadzības gadījumā piesaistot IT un izstrādes komandas, mērķa termiņā — 5 darbdienu laikā. Kritiskās ievainojamības, piemēram, tādas, kas ļauj veikt attālinātu koda izpildi vai izraisa būtisku datu aizsardzības pārkāpumu, jāapstrādā paātrināti.

Tā arī savieno trešo pušu ievainojamības ar piegādātāju sadarbību:

Par jebkuru apstiprinātu kritisku vai augsta riska ievainojamību CISO nekavējoties informē augstāko vadību un attiecīgos sistēmu īpašniekus. Ja ievainojamība ietekmē piegādātāja vai citas trešās puses nodrošinātus produktus vai pakalpojumus, VRT bez nepamatotas kavēšanās informē piegādātāja drošības kontaktpersonu un pieprasa sadarbību ievainojamības novēršanā.

Clarysec Lietojumprogrammu drošības prasību politika - SME Lietojumprogrammu drošības prasību politika - SME pastiprina produktu un piegādātāju prasības, pieprasot komandām:

noteikt pienākumus ievainojamību izpaušanai, reaģēšanas termiņiem un ielāpu uzstādīšanai.

Piegādātāju līgumiem Clarysec Trešo pušu un piegādātāju drošības politika - SME Trešo pušu un piegādātāju drošības politika - SME ietver:

Datu aizsardzības pārkāpumu paziņošanas termiņi (piemēram, 24–72 stundu laikā)

Visbeidzot, Clarysec Incidentu reaģēšanas politika Incidentu reaģēšanas politika sasaista regulētus datus un nozaru ziņošanu ar incidenta lēmumu, izmantojot 6.4.1. punktu:

SME versija saglabā to pašu praktisko trigeri. Clarysec Incidentu reaģēšanas politika - SME Incidentu reaģēšanas politika - SME nosaka:

Ja ir iesaistīti klientu dati, ģenerāldirektoram jāizvērtē juridiskie paziņošanas pienākumi, balstoties uz GDPR, NIS2 vai DORA piemērojamību.

Tas ir tilts starp “mēs redzējām ievainojamību” un “mēs izvērtējām, vai par to ir jāziņo”.

Praktisks EUVD saņemšanas ieraksts

Pieņemsim, ka EUVD publicē vai atjaunina ievainojamības ierakstu, kas ietekmē autentifikācijas SDK Marijas mobilajā lietotnē. SDK uztur piegādātājs, to integrējis ārpakalpojuma izstrādes partneris, un to izmanto klienti, kuri autentificējas fintech SaaS produktā. Publiski tiek apspriesti izmantošanas paņēmieni, taču nomnieku žurnālos nav apstiprinātas izmantošanas.

Pamatotam saņemšanas ierakstam jāaptver gan tehniskais, gan regulatīvais konteksts.

Šis ieraksts nav atbilstības dekorācija. Tas ir lēmumu kontroles centrs.

Praktiska darbplūsma izskatās šādi:

1. SOC saņem EUVD brīdinājumu un izveido ievainojamības ierakstu.
2. Aktīva īpašnieks apstiprina, vai ietekmētais komponents pastāv produkcijas vidē.
3. Drošības komanda veic smaguma pakāpes izvērtēšanu, izmantojot tehnisko smagumu, izmantojamību, pakļautību, datu sensitivitāti un pakalpojuma kritiskumu.
4. Piegādātāja īpašnieks sazinās ar SDK piegādātāju vai ārpakalpojuma izstrādes partneri, izmantojot iepriekš definētas drošības kontaktpersonas.
5. Incidentu reaģēšanas vadītājs nosaka, vai ir pierādījumi par izmantošanu, pakalpojuma ietekmi vai klientu kaitējumu.
6. Juridiskā funkcija, DPO un atbilstības komanda izvērtē, vai tiek iedarbinātas ar GDPR, NIS2, DORA vai CRA saistītas darbplūsmas.
7. Inženierijas komanda ievieš ielāpu vai mazināšanas pasākumu.
8. Drošības komanda validē novēršanu ar skenēšanu, versijas pārbaudi, žurnālu pārskatīšanu vai kompensējošā kontroles pasākuma testu.
9. CISO pārskata kritiskos un augstos ierakstus un ziņo tendences vadības pārskatīšanai.

Controls in Action fāzē, Step 19, Technological Controls I, Zenith Blueprint skaidro tehnisko ievainojamību pārvaldību vienkāršos audita terminos:

Kontroles pasākums nav par pilnību; tas ir par organizētu, caurskatāmu un atbildīgu procesu.

Šis teikums ir būtisks. Regulatori un auditori negaida, ka katra ievainojamība tiks novērsta nekavējoties. Viņi sagaida, ka organizācija zina, kas pastāv, nosaka prioritātes, veic samērīgas darbības, reģistrē izņēmumus un pierāda izpildi līdz galam.

Draudu izlūkošana ir lēmumu funkcija, nevis pastkaste

Lielākā kļūda EUVD plānošanā ir piešķirt plūsmu vienam analītiķim un nosaukt to par “draudu izlūkošanu”. Zenith Blueprint, Controls in Action fāzē, Step 22, Organizational controls, ISO/IEC 27002:2022 kontroles pasākumu 5.7 skaidro šādi:

Labākie draudu izlūkošanas avoti bieži ir iekšējās uzraudzības, ārējo partnerību un kopienas iesaistes apvienojums.

Tas arī brīdina, ka izlūkošanai jākļūst par rīcību:

Šis kontroles pasākums patiesi atdzīvojas lēmumu pieņemšanā. Draudu izlūkošanai tieši jāietekmē, kuri kontroles pasākumi tiek pastiprināti, kuri aktīvi tiek pārklasificēti vai izolēti, kādi scenāriji tiek testēti galda vingrinājumos un cik ātri tiek ieviesti ielāpi vai mazināšanas pasākumi.

EUVD gadījumā izlūkošanas informācijas patērētāji jādefinē pēc lomas.

NIST CSF 2.0 var palīdzēt strukturēt šo modeli. Tā GOVERN funkcija uzsver ieinteresēto pušu gaidas, tiesiskos un regulatīvos pienākumus, riska apetīti, vadības pārskatatbildību, definētas lomas, politikas, resursus un pārraudzību. Tā operatīvās funkcijas palīdz organizēt aktīvu uzskaiti, ievainojamību identificēšanu, aizsardzību, atklāšanu, reaģēšanu, atjaunošanu un uzlabošanu. NIST CSF profila metodi var izmantot, lai definētu pašreizējo un mērķa stāvokli EUVD darbībām un pēc tam pārvērstu trūkumus prioritizētā rīcības plānā.

Clarysec skatījumā NIST CSF ir noderīgs organizēšanas slānis, ISO/IEC 27001:2022 ir auditējamā pārvaldības sistēma, un Zenith Controls ir starpatbilstības kompass, kas uztur kartējumus konsekventus.

Piegādātāju un produktu ievainojamību izsekošana

NIS2 Article 21 padara piegādes ķēdes drošību par daļu no minimālajiem kiberdrošības risku pārvaldības pasākumiem. Article 21(3) pieprasa vienībām ņemt vērā katram tiešajam piegādātājam un pakalpojumu sniedzējam specifiskās ievainojamības, produktu kvalitāti un piegādātāju kiberdrošības prakses, tostarp drošas izstrādes procedūras. 85. un 86. apsvērums uzsver trešo pušu risku, kas rodas no datu apstrādes, pārvaldītiem pakalpojumiem, programmatūras piegādātājiem un pārvaldītās drošības pakalpojumu sniedzējiem.

DORA finanšu vienībām ir preskriptīvāka. Tā prasa pārvaldīt IKT trešo pušu risku kā daļu no IKT riska ietvara, izmantojot informācijas reģistrus, sākotnējo izpēti, koncentrācijas riska analīzi, rakstiskus līgumus, audita un pārbaudes tiesības, incidentu atbalstu, apakšuzņēmēju redzamību, drošības prasības, izbeigšanas tiesības un pārbaudītas izstāšanās stratēģijas.

EUVD padarīs vāju piegādātāju redzamību sāpīgi acīmredzamu. Ja tiek ietekmēts piegādātāja komponents, organizācijai vajag vairāk nekā iepirkuma kontaktpersonu. Tai vajag:

1. Nosauktu piegādātāja drošības kontaktpersonu.
2. Līgumiskus pienākumus paziņot par ievainojamībām.
3. Produktu un versiju uzskaiti.
4. SBOM vai komponentu pārredzamību, kur tas ir būtiski.
5. Novēršanas SLA un apiešanas risinājumu nodrošināšanas pienākumus.
6. Audita vai apliecinājuma tiesības.
7. Incidentu atbalsta pienākumus.
8. Izstāšanās vai aizstāšanas plānus kritiskām atkarībām.

Tāpēc Clarysec kartē EUVD darbības uz ISO/IEC 27002:2022 kontroles pasākumu 5.21, izmantojot Zenith Controls. Pārvaldības, ekosistēmas un aizsardzības jomas atbilst praktiskajai piegādātāju problēmai: nevar novērst to, ko nevar izsekot, un nevar pierādīt to, ko nav prasīts nodrošināt līgumā.

CRA ziņošanas gatavībai tas pats piegādātāja un produkta ievainojamības ieraksts kļūst būtisks. Pat tad, ja galīgajam regulatīvajam lēmumam nepieciešama juridiskā analīze, operatīvais pierādījums nāk no drošības un inženierijas pierādījumiem.

Kad EUVD ievainojamība kļūst par incidentu

Ne katra ievainojamība ir incidents. Taču katrai nopietnai ievainojamībai jāspēj ātri kļūt par incidenta ierakstu.

Praktiskais trigeris ir šāds: ja EUVD izlūkošanas informācija norāda uz iespējamu pakļautību, atveriet ievainojamības ierakstu. Ja ir pierādījumi par izmantošanu, pakalpojuma ietekmi, regulētu datu atklāšanu, klientu kaitējumu vai darbības traucējumiem, sasaistiet to ar incidenta ierakstu vai pārveidojiet par tādu.

NIS2 Article 23 pieprasa paziņot par būtiskiem incidentiem, kas ietekmē pakalpojumu sniegšanu, tostarp incidentiem, kas izraisa vai var izraisīt smagus darbības traucējumus vai finansiālus zaudējumus, vai ietekmē citus ar būtisku materiālu vai nemateriālu kaitējumu. DORA pieprasa finanšu vienībām reģistrēt ar IKT saistītus incidentus un būtiskus kiberdraudus, klasificēt būtiskus ar IKT saistītus incidentus, ziņot par tiem saskaņā ar Article 19, ja tas nepieciešams, informēt klientus, ja ietekmētas finanšu intereses, un noslēgt procesu ar pamatcēloņa analīzi. GDPR pieprasa personas datu aizsardzības pārkāpuma izvērtēšanu, ja drošības incidents izraisa nejaušu vai nelikumīgu personas datu iznīcināšanu, zudumu, izmaiņas, neatļautu izpaušanu vai piekļuvi tiem.

Zenith Blueprint, Controls in Action fāzē, Step 16, People Controls II, pastiprina ziņošanas kultūras nozīmi:

Veiciniet “zemas barjeras ziņošanas” domāšanas veidu — vēstījumam jābūt: “Ja šaubies, ziņo.”

EUVD gadījumā tas attiecas uz inženieriem un piegādātājiem tikpat lielā mērā kā uz darbiniekiem. Ja izstrādātājs pamana ietekmētu atkarību, ja piegādātājs apstiprina izmantojamību vai ja atbalsta komanda redz aizdomīgu klientu uzvedību, organizācijai jādod priekšroka agrīnai sākotnējai izvērtēšanai, nevis novēlotai pārliecībai.

Kā auditori testēs jūsu EUVD programmu

Spēcīgam EUVD darbības modelim jābūt izstrādātam vairākām audita perspektīvām. Tie paši pierādījumi var apmierināt dažādas prasības, ja tie ir labi strukturēti.

ISO 27001 auditors parasti atlasīs augstas smaguma pakāpes EUVD ierosinātu ierakstu un jautās, vai tas sasaistās ar darbības jomu, ieinteresēto pušu pienākumiem, risku izvērtēšanu, apstrādi, A pielikuma kontroles pasākumiem, operatīvajiem pierādījumiem un pārskatīšanu. Uz NIST orientēts izvērtētājs koncentrēsies uz rezultātiem. COBIT tipa auditors koncentrēsies uz pārvaldību, īpašumtiesībām, veiktspēju un apliecinājumu. DORA pārskatītājs īpašu uzmanību pievērsīs IKT trešo pušu atkarībām, līguma kontroles pasākumiem un incidentu klasifikācijai.

Ziņošana valdei bez CVE trokšņa

NIS2 un DORA novieto vadības struktūras kiberdrošības pārskatatbildības centrā. Taču vadītājiem nav vajadzīga EUVD ierakstu izgāztuve. Viņiem vajadzīga ziņošana, kas atbalsta lēmumu pieņemšanu.

Ikmēneša ziņojumā par draudu izlūkošanu ievainojamību jomā jāiekļauj:

1. Kritiskās un augstās ar EUVD saskaņotās ievainojamības, kas ietekmē darbības jomā ietilpstošos aktīvus.
2. Atvērtās ievainojamības ārpus novēršanas SLA.
3. Piegādātāju izraisītas kavēšanās un līgumu eskalācijas.
4. Ievainojamības, kas saistītas ar incidentiem vai gandrīz notikušiem gadījumiem.
5. CRA produktu ievainojamību darbplūsmas trigeri un rezultāti.
6. NIS2, DORA vai GDPR ziņošanas izvērtējumi.
7. Pieņemtie atlikušie riski un kas tos pieņēma.
8. Tendences pēc biznesa pakalpojuma, produkta, piegādātāja un pamatcēloņa.
9. Kontroles efektivitātes rādītāji un uzlabošanas darbības.

Tas tieši atbilst ISO/IEC 27001:2022 9.3. punkta vadības pārskatīšanas prasībām, tostarp izmaiņām kontekstā, ieinteresēto pušu vajadzībām, veiktspējas tendencēm, audita rezultātiem, mērķu izpildei, atsauksmēm, risku izvērtēšanas rezultātiem, apstrādes statusam un uzlabošanas iespējām.

Biežākās gatavības EUVD kļūmes

Organizācijas, kurām ir grūtības ar draudu izlūkošanu ievainojamību jomā, parasti kļūdās paredzamos veidos.

Pirmkārt, tām nav uzticamas aktīvu un programmatūras uzskaites. EUVD nozīmīgumu nevar izvērtēt bez produktu nosaukumiem, versijām, bibliotēkām, mākoņpakalpojumiem, piegādātājiem un datu plūsmām.

Otrkārt, tās nodala ievainojamību pārvaldību no reaģēšanas uz incidentiem. Ievainojamību komanda slēdz uzdevumus, bet incidentu komanda nekad neizvērtē, vai izmantošana ir notikusi. Tas rada ziņošanas aklās zonas.

Treškārt, piegādātāju līgumi klusē. Ja piegādātājam nav pienākuma paziņot, sadarboties, uzstādīt ielāpus, sniegt pierādījumus vai atbalstīt reaģēšanu uz incidentiem, klientam kritiskā logā ir maz ietekmes līdzekļu.

Ceturtkārt, juridiskās un DPO komandas tiek iesaistītas pārāk vēlu. Ja ar GDPR, NIS2, DORA vai CRA saistīti ziņošanas lēmumi sākas pēc tam, kad inženierija jau ir ieviesusi ielāpu un virzījusies tālāk, informētības laika skala kļūst neskaidra.

Piektkārt, vadības ziņošana ir pārāk tehniska. Valdes saņem garus CVE sarakstus bez biznesa ietekmes, regulatīvās nozīmes, piegādātāju tendenču vai atlikušā riska lēmumiem.

Clarysec metodoloģija to labo, savienojot kontroles pasākumus. Zenith Blueprint Step 19 pastiprina tehnisko ievainojamību pārvaldību, Step 22 ievieš draudu izlūkošanu operatīvajā darbībā, Step 16 stiprina incidentu ziņošanas kultūru, un Step 23 uztur redzamus tiesiskos, normatīvos, regulatīvos un līgumiskos pienākumus.

30 dienu EUVD gatavības sprints

Ja jūsu organizācijai vajadzīgs ātrs ceļš, sāciet ar fokusētu 30 dienu sprintu.

Pirmā nedēļa: definējiet darbības jomu un pienākumus. Apstipriniet, vai organizācija potenciāli ir būtiska vai svarīga vienība saskaņā ar NIS2, vai DORA attiecas uz finanšu darbībām, vai GDPR attiecas uz personas datu apstrādi un kur var būt būtiski ar CRA saistīti produktu ievainojamību pienākumi. Atjauniniet ISMS juridisko un līgumisko reģistru.

Otrā nedēļa: izveidojiet saņemšanas darbplūsmu. Pievienojiet EUVD, nacionālos CERT, piegādātāju paziņojumus un nozaru plūsmas ievainojamību izlūkošanas avotu sarakstam. Definējiet, kas atver ierakstus, kas validē pakļautību, kas sazinās ar piegādātājiem, kas izvērtē ziņošanu un kas apstiprina atlikušo risku.

Trešā nedēļa: savienojiet piegādātājus un produktus. Identificējiet kritiskos produktus, klientiem pieejamos pakalpojumus, tiešos IKT piegādātājus, ārpakalpojuma izstrādātājus, mākoņpakalpojumu sniedzējus un pārvaldītās drošības pakalpojumu sniedzējus. Apstipriniet drošības kontaktpersonas, līguma klauzulas, ievainojamību reaģēšanas pienākumus un pierādījumu prasības.

Ceturtā nedēļa: testējiet darbplūsmu. Veiciet galda vingrinājumu, izmantojot reālistisku EUVD brīdinājumu. Pieprasiet komandai sagatavot ievainojamības ierakstu, piegādātāja komunikāciju, incidenta izvērtējumu, juridiskā paziņojuma lēmumu, ielāpu žurnālu, atlikušā riska apstiprinājumu un vadības kopsavilkumu.

Rezultātam nevajadzētu būt slaidu komplektam. Tam jābūt pierādījumu pakotnei, ko auditors var atlasīt pārbaudei.

Padariet EUVD par kontroles sistēmu, nevis vēl vienu plūsmu

Līdz 2026. gadam organizācijas, kas labi pārvaldīs ENISA EUVD, nebūs tās, kuras vienkārši abonē vairāk brīdinājumu. Tās būs organizācijas, kas publisku draudu izlūkošanu ievainojamību jomā pārvērš uz risku balstītā rīcībā, piegādātāju pārskatatbildībā, koordinētā izpaušanā, ziņošanas lēmumos un audita pierādījumos.

Clarysec var palīdzēt jums izveidot šo modeli, izmantojot Zenith Blueprint Zenith Blueprint, Clarysec politiku bibliotēku un Zenith Controls Zenith Controls. Mēs kartējam ISO/IEC 27001:2022 punktus un ISO/IEC 27002:2022 kontroles pasākumus uz NIS2, DORA, GDPR, NIST CSF un COBIT tipa audita prasībām, pēc tam pārvēršam kartējumu praktiskos reģistros, rokasgrāmatās, piegādātāju klauzulās un vadības ziņošanā.

Ja jūsu komanda gatavojas NIS2 ievainojamību apstrādei, CRA ziņošanas gatavībai, CVD darbībām vai EUVD virzītai draudu izlūkošanai ievainojamību jomā, sāciet ar Clarysec EUVD gatavības pārskatīšanu. Mēs palīdzēsim identificēt trūkumus, prioritizēt kontroles pasākumus un izveidot pierādījumu pēdu, pirms pirmais kritiskais brīdinājums pārbaudīs jūsu programmu.