Gatavība ES Kibersolidaritātes aktam ar ISO 27001

03:17 incidents, kas ES sadarbību pārvērš par jūsu audita problēmu
Otrdienas rītā plkst. 03:17 Maria, InnovateCloud CISO, skatās ekrānā, kas pilns ar brīdinājumiem. Viņas uzņēmums ir vidēja lieluma Eiropas SaaS pakalpojumu sniedzējs, kas apkalpo loģistikas klientus Vācijā, Francijā un Polijā. Pirmais brīdinājums izskatās pēc aizdomīgas priviliģētas piekļuves produkcijas nomniekvidē. Pēc desmit minūtēm pārvaldīto drošības pakalpojumu sniedzējs (MSSP) ziņo par līdzīgu aktivitāti, kas skar vēl divus klientus. Līdz plkst. 04:00 SOC redz API izsaukumus no infrastruktūras, kas iepriekš saistīta ar izspiedējprogrammatūras sagatavošanas posmu.
InnovateCloud nebija sākotnējais mērķis. Šķiet, trieciena zonā ir nonācis pamatinfrastruktūras pakalpojumu sniedzējs. Tomēr ietekme tagad ir Marijas problēma.
Viens skartais klients ir Vācijas banka, kas prasa atbildes saskaņā ar DORA. Cits ir kritisks piegādātājs enerģētikas nozarē, kas jau klasificēts saskaņā ar valsts NIS2 noteikumiem. Vidē var būt personas dati, bet datu neatļauta iznese vēl nav apstiprināta. Drošības komanda vēlas nekavējoties ierobežot apdraudējumu. Juridiskā nodaļa vēlas zināt, vai ir sācies NIS2 24 stundu agrīnās brīdināšanas termiņš. Datu aizsardzības vadītājs jautā, vai varētu būt nepieciešama GDPR paziņošana par personas datu aizsardzības pārkāpumu. Valde vēlas zināt, vai dīkstāve var izplatīties vairākās dalībvalstīs.
- gadā tā vairs nav tikai iekšēja krīze.
ES Kibersolidaritātes akts maina darbības realitāti liela mēroga un pārrobežu kiberincidentiem. Tas ievieš ES līmeņa atklāšanas, gatavības un reaģēšanas mehānismus, tostarp Eiropas kiberdrošības brīdinājumu sistēmu, Kiberdrošības ārkārtas mehānismu un ES kiberdrošības rezervi. Pat ja organizācija nekad tieši nepieprasa palīdzību no rezerves, tās pierādījumi, iestāžu kontakti, piegādātāju līgumi, incidentu laika līnijas un klientu komunikācija var kļūt par daļu no plašākas Eiropas reaģēšanas ķēdes.
Plaisa kļūst redzama ātri. Daudzām organizācijām ir rīki, pieteikumi un politikas, bet nav pierādījumu, kas iztur regulatīvu pārbaudi. Tās var pateikt: “mēs sazinājāmies ar regulatoru”, bet nevar pierādīt, kurš bija pilnvarots to darīt, kurš slieksnis aktivizēja saziņu, kas tika paziņots, vai žurnāli tika saglabāti, vai piegādātājam līgumiski bija pienākums palīdzēt un vai galīgo ziņojumu var rekonstruēt no lēmumiem, kas pieņemti notikumu gaitā.
Risinājums nav vēl viena izolēta “Kibersolidaritātes akta mape”. Risinājums ir ISO/IEC 27001:2022 informācijas drošības pārvaldības sistēma (IDPS), kas pierādījumus rada vienreiz un atkārtoti izmanto NIS2, DORA, GDPR, NIST CSF 2.0 un COBIT 2019 prasību izpildei.
Šie pierādījumi sākas pirms incidenta.
Kāpēc ES Kibersolidaritātes akts paaugstina pierādījumu standartu
Kibersolidaritātes akts ir paredzēts ES līmeņa kiberdraudu atklāšanai, gatavībai un krīzes reaģēšanai. Tā praktiskā ietekme CISO, auditoriem un atbilstības vadītājiem ir skaidra: liela mēroga incidentu koordinācijai ir vajadzīgi pierādījumi, kas ir ātrāk iegūstami, tīrāki, konsekventāki un vieglāk koplietojami ar uzticamām iesaistītajām pusēm.
Ja iespējama pārrobežu ietekme, organizācijai var būt jākoordinē darbības ar valstu CSIRT, kompetentajām iestādēm, nozaru regulatoriem, datu aizsardzības iestādēm, finanšu uzraugiem, tiesībaizsardzības iestādēm, klientiem, apstrādātājiem, piegādātājiem un ārējiem incidentu reaģēšanas speciālistiem. ES kiberdrošības rezerve pievieno vēl vienu dimensiju, jo iepriekš pārbaudīti privātie pakalpojumu sniedzēji var atbalstīt gatavību, reaģēšanu un atjaunošanu. Tas piegādātāju pārvaldību, juridiskās pilnvaras, datu apstrādi un pierādījumu saglabāšanu padara vēl nozīmīgāku.
Privātās struktūras atrodas šīs realitātes centrā. Mākoņpakalpojumu sniedzēji, datu centri, pārvaldīto pakalpojumu sniedzēji, pārvaldīto drošības pakalpojumu sniedzēji, digitālās infrastruktūras operatori, finanšu tehnoloģiju uzņēmumi un SaaS platformas bieži glabā telemetriju, žurnālus, klientu ietekmes datus un tehniskos faktus, kas iestādēm nepieciešami būtiska incidenta izpratnei.
NIS2 jau norāda šajā virzienā. Tā attiecas uz daudzām vidēja lieluma un lielām vienībām I pielikuma un II pielikuma nozarēs, kas sniedz pakalpojumus vai veic darbības ES. Tā aptver arī noteiktas vienības neatkarīgi no lieluma, tostarp uzticamības pakalpojumu sniedzējus, DNS pakalpojumu sniedzējus, augstākā līmeņa domēnu reģistrus un domēna vārdu reģistrācijas pakalpojumu sniedzējus. I pielikums ietver digitālo infrastruktūru, piemēram, mākoņdatošanas pakalpojumus, datu centru pakalpojumus, satura piegādes tīklus, DNS pakalpojumu sniedzējus, uzticamības pakalpojumu sniedzējus un TLD reģistrus. Tas ietver arī IKT pakalpojumu pārvaldību B2B vidē, tostarp pārvaldīto pakalpojumu sniedzējus un pārvaldīto drošības pakalpojumu sniedzējus. II pielikums ietver digitālo pakalpojumu sniedzējus, piemēram, tiešsaistes tirdzniecības vietas, tiešsaistes meklētājprogrammas un sociālo tīklu pakalpojumu platformas.
DORA pievieno otru slāni finanšu sektoram. Kopš 2025. gada 17. janvāra tā attiecas uz plašu finanšu vienību loku, tostarp kredītiestādēm, maksājumu iestādēm, elektroniskās naudas iestādēm, ieguldījumu sabiedrībām, kriptoaktīvu pakalpojumu sniedzējiem, tirdzniecības vietām, apdrošināšanas un pārapdrošināšanas uzņēmumiem, kredītreitingu aģentūrām, kolektīvās finansēšanas pakalpojumu sniedzējiem un citiem. Tā arī rada būtiskas prasības IKT trešo pušu pakalpojumu sniedzējiem, jo finanšu vienības saglabā atbildību par ārpakalpojumā nodotajiem IKT pakalpojumiem.
Tāpēc finanšu tehnoloģiju incidents 2026. gadā var tikt koordinēts, izmantojot DORA uzraudzības kanālus, kamēr SaaS pakalpojumu sniedzējs vai MSSP, kas atbalsta šo finanšu tehnoloģiju uzņēmumu, var būt NIS2 darbības jomā. Tas pats tehniskais notikums dažādiem dalībniekiem var radīt atšķirīgus ziņošanas pienākumus, pierādījumu gaidas un līgumiskos pienākumus.
ISO/IEC 27001:2022 dod organizācijām darbības sistēmu šīs sarežģītības pārvaldībai. Punkti 4.1 līdz 4.4 prasa organizācijai definēt IDPS tās biznesa kontekstā, identificēt ieinteresētās puses un to juridiskās, regulatīvās un līgumiskās prasības, noteikt robežas un atkarības un izveidot pārvaldības sistēmu. Punkti 5.1 līdz 5.3 nosaka vadības atbildību par politiku, resursiem, integrāciju un lomu piešķiršanu. Punkti 6.1.1 līdz 6.1.3 prasa atkārtojamu risku izvērtēšanu, riska apstrādi un Piemērojamības paziņojumu. Punkts 8.1 prasa darbības kontroli, tostarp kontroli pār ārēji nodrošinātiem procesiem, produktiem un pakalpojumiem.
Tas ir Kibersolidaritātes akta gatavības pamats: pierādīt, ka krīzes reaģēšana ir pārvaldīta, testēta un auditējama, nevis improvizēta.
Clarysec pierādījumu modelis: viens incidents, daudzi pienākumi
Pārrobežu incidents negaida, kamēr juridiskās komandas to klasificēs. Pierādījumi jāfiksē jau no pirmā brīdinājuma un pēc tam jānovirza pareizajos ziņošanas un koordinācijas ceļos.
Clarysec pieeja sasaista trīs aktīvus:
- Zenith Blueprint: auditora 30 soļu ceļvedis Zenith Blueprint, kas ISO/IEC 27001:2022 ieviešanu pārvērš secīgā, auditam gatavā procesā.
- Zenith Controls: savstarpējās atbilstības ceļvedis Zenith Controls, kas kartē ISO/IEC 27002:2022 kontroles pasākumus ar saistītajiem kontroles pasākumiem, atribūtiem, darbības spējām, drošības jomām un dažādu ietvaru pierādījumu gaidām.
- Clarysec politiku veidnes reaģēšanai uz incidentiem, pierādījumu vākšanai, piegādātāju drošībai, žurnalēšanai, uzraudzībai un darbības nepārtrauktībai, pielāgotas uzņēmumu un SME vidēm.
Zenith Blueprint posmā Controls in Action 22. solis aplūko ISO/IEC 27002:2022 kontroles pasākumu 5.5 “Saziņa ar iestādēm”. Tajā norādīts:
Kontroles pasākums 5.5 nodrošina, ka organizācija ir gatava sazināties ar ārējām iestādēm, kad tas nepieciešams, nevis reaģējot panikā vai tikai pēc fakta, bet izmantojot iepriekš noteiktus, strukturētus un labi saprotamus kanālus.
Tajā pašā sadaļā uzdots jautājums, uz kuru katram CISO jāatbild pirms krīzes:
ja jūsu organizācija kļūtu par kiberuzbrukuma mērķi, būtu iesaistīta datu aizsardzības pārkāpumā vai nonāktu izmeklēšanā, kurš pieņemtu lēmumu par saziņu ar iestādēm? Kā šī persona zinātu, ko teikt? Pie kādiem nosacījumiem šāda saziņa tiktu uzsākta?
Tas nav administratīvs formalitāšu darbs. Kibersolidaritātes akta vidē tā ir atšķirība starp mierīgu agrīno brīdinājumu un pretrunīgiem paziņojumiem dažādās jurisdikcijās.
Zenith Controls ISO/IEC 27002:2022 kontroles pasākumu 5.5 “Saziņa ar iestādēm” aplūko kā preventīvu un koriģējošu kontroles pasākumu, kas saistīts ar konfidencialitāti, integritāti un pieejamību un saskaņots ar Identify, Protect, Respond un Recover funkcijām. Tas sasaista 5.5 ar incidentu pārvaldības plānošanu un sagatavošanos, notikumu ziņošanu, draudu izlūkošanu, īpašo interešu grupām un reaģēšanu uz incidentiem.
Tajā pašā ceļvedī ISO/IEC 27002:2022 kontroles pasākums 5.24 “Informācijas drošības incidentu pārvaldības plānošana un sagatavošanās” tiek aplūkots kā koriģējošs kontroles pasākums, kas saistīts ar Respond un Recover. Tā saiknes ar notikumu izvērtēšanu, reaģēšanu uz incidentiem, gūtajām mācībām, žurnalēšanu, uzraudzību, drošību traucējumu laikā un darbības nepārtrauktību parāda to, ko auditori bieži pārbauda: vai plāns sasaista atklāšanu, klasifikāciju, eskalāciju, pierādījumus, atjaunošanu un mācīšanos.
Pierādījumu apstrādei īpaši svarīgs ir ISO/IEC 27002:2022 kontroles pasākums 5.28 “Pierādījumu vākšana”. Zenith Controls sasaista to ar reaģēšanu uz incidentiem, žurnalēšanu, uzraudzību un notikumu ziņošanu. Nopietnā pārrobežu incidentā tieši šeit tehniskā izmeklēšana kļūst pamatota un aizstāvama.
Kibersolidaritātes akta gatavības kartēšana ar ISO 27001 pierādījumiem
ES Kibersolidaritātes akts rada gatavības un koordinācijas vidi. ISO/IEC 27001:2022 nodrošina pierādījumu dzinēju. NIS2, DORA un GDPR nosaka daudzas konkrētas ziņošanas, pārvaldības un aizsardzības prasības.
| 2026. gada scenārija prasība | ISO/IEC 27001:2022 pierādījumu enkurs | Saistītie darbības pierādījumi | Clarysec atbalsts |
|---|---|---|---|
| Noteikt, vai organizācija, klienti vai piegādātāji ietilpst NIS2, DORA vai GDPR darbības jomā | Punkti 4.1, 4.2 un 4.3 par kontekstu, ieinteresētajām pusēm un IDPS darbības jomu | Regulatīvais reģistrs, pakalpojumu karte, klātbūtne dalībvalstīs, klientu nozares, datu apstrādes lomas | Zenith Blueprint darbības jomas noteikšanas soļi un atbilstības reģistra veidnes |
| Izlemt, vai incidentam ir pārrobežu ietekme | A pielikuma kontroles pasākumi A.5.24 līdz A.5.28 un punkta 8.1 darbības kontrole | Incidenta klasifikācijas ieraksts, ietekmes izvērtējums, skartās valstis, skartie pakalpojumi, kompromitācijas indikatori | Incidentu reaģēšanas politika un pierādījumu vākšanas darbplūsma |
| Paziņot iestādēm noteiktajos termiņos | A.5.5 saziņa ar iestādēm, A.5.31 juridiskās, normatīvās, regulatīvās un līgumiskās prasības, A.5.24 plānošana | Iestāžu kontaktu matrica, lēmumu žurnāls, paziņojumu projekti, iesniegšanas laikspiedoli | Zenith Blueprint 22. solis un Incidentu reaģēšanas politika |
| Koordinēt darbības ar MSSP, mākoņpakalpojumu sniedzēju vai rezerves tipa reaģētāju | A.5.19 līdz A.5.23 piegādātāju un mākoņpakalpojumu kontroles pasākumi, punkta 8.1 ārējo procesu kontrole | Piegādātāju reģistrs, līguma klauzulas, incidentu atbalsta pienākumi, audita tiesības, pakalpojumu atrašanās vietas | Trešo pušu un piegādātāju drošības politika |
| Saglabāt digitālās kriminālistikas pierādījumus iestādēm un pēcincidenta mācībām | A.5.28 pierādījumu vākšana, A.8.15 žurnalēšana, A.8.16 uzraudzības darbības | Pierādījumu glabāšanas ķēde, žurnālu eksporti, momentuzņēmumi, digitālās kriminālistikas attēli, piekļuves ieraksti | Digitālo pierādījumu iegūšanas un kriminālistikas politika, Žurnalēšanas un uzraudzības politika - SME |
| Uzturēt būtiskos pakalpojumus traucējumu laikā | A.5.29 informācijas drošība traucējumu laikā, A.5.30 IKT gatavība darbības nepārtrauktībai, A.8.13 informācijas rezerves kopijas | BIA, atjaunošanas mērķi, rezerves kopiju testi, alternatīvā komunikācija, krīzes lomas | Darbības nepārtrauktības politika un avārijas atjaunošanas politika |
Pievērsiet uzmanību tam, kā šeit nav: atsevišķas atbilstības izolācijas. Tie paši pierādījumi, kas atbalsta ISO/IEC 27001:2022 sertifikāciju, var atbalstīt NIS2 vadības pārskatatbildību, DORA IKT risku pārvaldību, GDPR drošības pārskatatbildību, NIST CSF komunikācijas rezultātus un COBIT 2019 apliecinājuma gaidas.
NIS2: ziņošanas termiņš sākas, kad sākas informētība
NIS2 ir centrāla 2026. gada gatavībai, jo tā nosaka pakāpenisku incidentu ziņošanas darbplūsmu.
Article 23 prasa būtiskām un svarīgām vienībām bez nepamatotas kavēšanās paziņot savai CSIRT vai kompetentajai iestādei par būtiskiem incidentiem, kas ietekmē pakalpojumu sniegšanu. Agrīnais brīdinājums jāiesniedz bez nepamatotas kavēšanās un ne vēlāk kā 24 stundu laikā pēc informētības iegūšanas par būtisko incidentu. Tajā attiecīgā gadījumā jānorāda, vai ir aizdomas par ļaunprātīgām vai nelikumīgām darbībām un vai iespējama pārrobežu ietekme.
Incidenta paziņojums seko bez nepamatotas kavēšanās un ne vēlāk kā 72 stundu laikā pēc informētības iegūšanas, atjauninot agrīno brīdinājumu un sniedzot sākotnējo smaguma pakāpes, ietekmes un pieejamo kompromitācijas indikatoru izvērtējumu. Galīgais ziņojums jāiesniedz viena mēneša laikā pēc incidenta paziņojuma, iekļaujot smaguma pakāpi, ietekmi, iespējamo apdraudējuma veidu vai pamatcēloni, mazināšanas pasākumus un pārrobežu ietekmi.
Tieši tāpēc reaģēšana uz incidentiem nedrīkst sākties ar tukšu dokumentu.
Uzņēmuma Incidentu reaģēšanas politika Incidentu reaģēšanas politika nosaka:
NIS2 Article 23 (paziņošana 24 stundu laikā pēc informētības iegūšanas par incidentu)
SME Incidentu reaģēšanas politika - SME Incidentu reaģēšanas politika - SME to pašu termiņu loģiku ievieš praktiskā pārvaldībā:
“Reaģēšanas termiņi, tostarp datu atjaunošanas un paziņošanas pienākumi, ir jādokumentē un jāsaskaņo ar juridiskajām prasībām, piemēram, GDPR prasību paziņot par personas datu aizsardzības pārkāpumu 72 stundu laikā.”
No Incidentu reaģēšanas politikas - SME, sadaļas “Pārvaldības prasības”, punkta 5.3.2.
Tā arī iestrādā vairāku režīmu izvērtēšanu incidenta procesā:
“Ja ir iesaistīti klientu dati, ģenerāldirektoram jāizvērtē juridiskie paziņošanas pienākumi, pamatojoties uz GDPR, NIS2 vai DORA piemērojamību.”
No Incidentu reaģēšanas politikas - SME, sadaļas “Risku apstrāde un izņēmumi”, punkta 7.4.1.
Kibersolidaritātes akta scenārijā “iespējama pārrobežu ietekme” kļūst operacionāli nozīmīga. Agrīnajam brīdinājumam var nebūt visu faktu, bet organizācijai jāspēj parādīt, kāpēc tā, balstoties uz pieejamajiem pierādījumiem, uzskatīja vai neuzskatīja, ka pastāv pārrobežu ietekme.
Incidenta ierakstā jāfiksē:
- Kad organizācija ieguva informētību.
- Kas pasludināja notikumu par potenciālu incidentu.
- Kuri pakalpojumi, valstis, klienti vai nozares varēja būt skarti.
- Vai bija aizdomas par ļaunprātīgu vai nelikumīgu darbību.
- Kuri kompromitācijas indikatori bija pieejami.
- Kurš iestāžu saziņas ceļš tika izmantots.
- Vai bija nepieciešama komunikācija ar klientiem.
- Kuri pierādījumi tika saglabāti pirms būtiskas trūkumu novēršanas.
Labākais laiks šo lauku projektēšanai ir pirms 03:17.
DORA: kad klients ir regulēts, bet žurnāli ir pie piegādātāja
DORA maina sarunu par piegādātājiem. Finanšu vienībām IKT trešo pušu risks jāpārvalda kā daļa no to IKT risku pārvaldības ietvara. IKT pakalpojumu nodošana ārpakalpojumā nepārnes regulatīvo atbildību prom no finanšu vienības.
DORA prasa IKT trešo pušu riska stratēģijas, IKT pakalpojumu līgumu reģistrus, sākotnējo izpēti, audita un pārbaudes plānošanu, izbeigšanas tiesības un testētas izstāšanās stratēģijas kritiskiem vai svarīgiem IKT pakalpojumiem. Article 30 prasa līgumisku skaidrību, tostarp pakalpojumu aprakstus, atrašanās vietas, datu apstrādi, konfidencialitāti, integritāti, pieejamību, pakalpojumu līmeņus, palīdzību IKT incidentu laikā, sadarbību ar iestādēm un izbeigšanas tiesības. Kritiskām vai svarīgām funkcijām piemēro stingrākus noteikumus.
Atgriezīsimies pie Marijas incidenta. Vācijas banka ir regulēta saskaņā ar DORA. InnovateCloud sniedz SaaS pakalpojumus. MSSP konstatē aizdomīgu aktivitāti. Mākoņinfrastruktūras pakalpojumu sniedzējam ir daļa no būtiskajiem audita žurnāliem. Apakšuzņēmējs ekspluatē daļu telemetrijas cauruļvada. Banka saglabā pārskatatbildību, bet bez piegādātāju pierādījumiem tā nevar pienācīgi klasificēt incidentu un par to ziņot.
Clarysec to risina ar piegādātāju klasifikāciju un līgumiskajiem pierādījumiem. Uzņēmuma Trešo pušu un piegādātāju drošības politika Trešo pušu un piegādātāju drošības politika prasa:
Līgumos ar piegādātājiem jāiekļauj:
SME Trešo pušu un piegādātāju drošības politika - SME Trešo pušu un piegādātāju drošības politika - SME izmanto to pašu atbilstības loģiku vieglākā darbības modelī:
Līgumos jāiekļauj obligātas klauzulas, kas aptver:
Vērtība ir to vārdu pamatā esošajā sarakstā: incidentu paziņošanas pienākumi, piekļuve žurnāliem, audita tiesības, konfidencialitāte, datu atrašanās vieta, apakšuzņēmēju kontroles pasākumi, sadarbība ar iestādēm, atjaunošanas atbalsts un izstāšanās pienākumi.
Zenith Blueprint posmā Controls in Action 23. solis sniedz ieviešanas ceļu:
Apkopojiet pilnu pašreizējo piegādātāju un pakalpojumu sniedzēju sarakstu (5.19) un klasificējiet tos, pamatojoties uz piekļuvi sistēmām, datiem vai darbības kontroli. Katram klasificētajam piegādātājam pārbaudiet, vai drošības prasības ir skaidri iestrādātas līgumos (5.20), tostarp konfidencialitāte, piekļuve, incidentu ziņošana un atbilstības pienākumi.
Tas turpinās ar pakārtoto risku:
Katram kritiskam piegādātājam noskaidrojiet, vai tas izmanto apakšuzņēmējus (apakšapstrādātājus), kuri var piekļūt jūsu datiem vai sistēmām. Dokumentējiet, kā jūsu informācijas drošības prasības tiek tālāk nodotas šīm pusēm — ar piegādātāja līguma noteikumiem vai jūsu tiešajām klauzulām.
Tā ir arī gatavība kiberdrošības rezervei. Ja ārējs reaģēšanas pakalpojumu sniedzējs ārkārtas situācijā ienāk jūsu vidē, jums jāzina tiesiskais pamats, piekļuves apjoms, pierādījumu noteikumi, datu apstrādes pienākumi, iestāžu koordinācijas ceļš un izstāšanās nosacījumi. DORA to tieši nosaka finanšu vienībām. NIS2 to padara aktuālu būtiskām un svarīgām vienībām. ISO/IEC 27001:2022 padara to auditējamu.
GDPR: pārkāpuma jautājums kiberkrīzes laikā
Ne katrs kiberdrošības incidents ir personas datu aizsardzības pārkāpums, bet katrs nopietns incidents jāizvērtē šādas iespējas kontekstā.
GDPR attiecas uz apstrādi ES iestādes kontekstā, kā arī uz ārpus ES esošiem pārziņiem vai apstrādātājiem, kas piedāvā preces vai pakalpojumus fiziskām personām ES vai uzrauga viņu uzvedību ES. Tas definē personas datus, apstrādi, pārzini, apstrādātāju un personas datu aizsardzības pārkāpumu. Tā principi ietver integritāti, konfidencialitāti un pārskatatbildību, kas nozīmē, ka pārziņiem jāspēj pierādīt atbilstību.
03:17 incidenta laikā Marijas komandai jāuzdod jautājumi:
- Vai personas datiem tika piekļūts, vai tie tika izpausti, mainīti, zaudēti vai iznīcināti?
- Vai InnovateCloud ir pārzinis, apstrādātājs vai abi attiecībā uz skartajiem datiem?
- Vai ir iesaistīti īpašu kategoriju personas dati?
- Kuri klienti vai fiziskās personas ir skartas?
- Vai žurnāli ir pietiekami apjoma izvērtēšanai?
- Vai GDPR paziņošanas pienākumi darbojas paralēli NIS2 vai DORA pienākumiem?
Tāpēc datu aizsardzības koordinācijai ir jābūt incidenta eskalācijas daļai, nevis vēlīnai juridiskai pārskatīšanai pēc tam, kad sistēmas ir pārbūvētas un žurnāli rotēti.
SME Žurnalēšanas un uzraudzības politika - SME Žurnalēšanas un uzraudzības politika - SME nosaka:
Augstas prioritātes brīdinājumi 24 stundu laikā jāeskalē GM un privātuma koordinatoram
Šī klauzula ir vienkārša, bet tā novērš reālu kļūdu modeli. Datu aizsardzības vadītājiem pierādījumi ir vajadzīgi, kamēr tie vēl ir pietiekami svaigi, lai noteiktu, vai noticis personas datu aizsardzības pārkāpums un vai fiziskām personām pastāv risks.
Izveidojiet 24 stundu pārrobežu incidenta pierādījumu paketi
Praktiskā gatavības vingrinājumā jāsimulē pirmās 24 stundas pārrobežu incidentā. Mērķis nav pārmērīga ziņošana. Mērķis ir pierādīt, ka organizācija spēj apkopot faktus, pieņemt pamatotus lēmumus un uzturēt konsekventu komunikāciju.
Scenārijs
Jūsu MSSP konstatē aizdomīgu priviliģētu piekļuvi no neparasta reģiona jūsu produkcijas nomniekvidē. Tā pati avota infrastruktūra parādās brīdinājumos, kas skar divus klientus divās dalībvalstīs. Viens klients ir finanšu vienība. Skartā vide satur personas datus, bet datu neatļauta iznese nav apstiprināta.
1. solis: atveriet incidenta ierakstu
Izveidojiet incidenta pieteikumu, izmantojot apstiprinātus klasifikācijas laukus. Iekļaujiet informētības laiku, atklāšanas avotu, ietekmētos aktīvus, ietekmētos pakalpojumus, potenciāli skartās valstis, aizdomas par ļaunprātīgu aktivitāti, sākotnējo smaguma pakāpi un incidenta vadītāju.
Sasaistiet to ar ISO/IEC 27002:2022 kontroles pasākumiem 5.24, 5.25 un 5.26 un ar ISO/IEC 27001:2022 A pielikuma kontroles pasākumiem A.5.24, A.5.25 un A.5.26.
2. solis: iedarbiniet lēmumu darbplūsmu saziņai ar iestādēm
Izmantojiet iestāžu kontaktu matricu, ko prasa Zenith Blueprint 22. solis. Nosakiet, kuras iestādes var būt būtiskas: valsts CSIRT, datu aizsardzības iestāde, finanšu regulators, tiesībaizsardzības iestāde un nozares regulators.
Ierakstiet lēmumu un pamatojumu. Ja NIS2 agrīnais brīdinājums netiek sniegts, fiksējiet iemeslu. Ja iespējama pārrobežu ietekme, ierakstiet pierādījumus, kas pamato šo secinājumu.
3. solis: saglabājiet pierādījumus pirms būtiskas trūkumu novēršanas
Uzņēmuma Digitālo pierādījumu iegūšanas un kriminālistikas politika Digitālo pierādījumu iegūšanas un kriminālistikas politika nosaka:
Visi savāktie pierādījumi ir unikāli jāidentificē, jāmarķē un jāglabā drošā repozitorijā ar:
SME Digitālo pierādījumu iegūšanas un kriminālistikas politika - SME Digitālo pierādījumu iegūšanas un kriminālistikas politika - SME to pašu disciplīnu sniedz vienkāršākā formā:
“Katrs digitālo pierādījumu objekts jāreģistrē ar:”
No Digitālo pierādījumu iegūšanas un kriminālistikas politikas - SME, sadaļas “Pārvaldības prasības”, punkta 5.2.1.
Galda mācībām savāciet parauga pierādījumu ierakstus: SIEM brīdinājuma eksportu, identitātes nodrošinātāja žurnālus, priviliģēto sesiju ierakstus, galapunkta momentuzņēmumu, ugunsmūra žurnālus, mākoņvides audita žurnālus, klientu ietekmes piezīmes un komunikācijas apstiprinājumus.
4. solis: aktivizējiet piegādātāja palīdzību
Pārbaudiet piegādātāju reģistru. Identificējiet MSSP, mākoņpakalpojumu sniedzēju un kritiskos apakšuzņēmējus. Apstipriniet incidentu atbalsta klauzulas, eskalācijas kontaktus, žurnālu glabāšanas termiņus, pierādījumu formātu un pienākumus sadarboties ar iestādēm.
Tas tieši atbalsta DORA IKT trešo pušu riska prasības un NIS2 piegādes ķēdes drošības gaidas.
5. solis: sagatavojiet trīs komunikācijas
Sagatavojiet trīs komunikācijas no vienas un tās pašas faktu bāzes:
| Komunikācija | Mērķis | Nepieciešamie pierādījumi |
|---|---|---|
| NIS2 tipa 24 stundu agrīnais brīdinājums | Paziņot par informētību par būtisku incidentu un iespējamu pārrobežu ietekmi | Informētības laiks, aizdomas par ļaunprātīgu aktivitāti, skartie pakalpojumi, dalībvalstis, sākotnējie indikatori |
| DORA tipa eskalācija finanšu klientam | Atbalstīt finanšu vienības IKT incidenta klasifikāciju un trešo pušu riska pienākumus | Pakalpojuma ietekme, kritiskās funkcijas atkarība, piegādātāju iesaiste, atjaunošanas aplēse, žurnālu pieejamība |
| GDPR pārkāpuma izvērtēšanas piezīme | Noteikt, vai nepieciešama paziņošana par personas datu aizsardzības pārkāpumu | Datu lomas, skarto datu kategorijas, piekļuves pierādījumi, datu neatļautas izneses indikatori, risks fiziskām personām |
6. solis: noslēdziet ar gūtajām mācībām
Atjauniniet riska reģistru, Piemērojamības paziņojumu, piegādātāju reģistru un incidentu reaģēšanas plānu. Ja vingrinājums atklāj trūkstošus žurnālus, neskaidrus iestāžu kontaktus vai vājas piegādātāju klauzulas, ierosiniet korektīvās darbības.
Zenith Blueprint posmā Controls in Action 23. solis uzdod organizācijām šādi validēt incidentu spējas:
Izvēlieties nesenu notikumu vai veiciet galda vingrinājumu, lai validētu savu plānu. Fiksējiet un reģistrējiet visus lēmumus, lomas un komunikāciju (5.26), un atjauniniet plānu ar gūtajām mācībām (5.27). Apstipriniet, ka ir ieviestas procedūras digitālās kriminālistikas pierādījumu saglabāšanai (5.28), tostarp žurnālu momentuzņēmumiem, rezerves kopijām un ietekmēto sistēmu drošai izolācijai.
Šī rindkopa ir auditam gatava vingrinājuma darba kārtība.
Žurnalēšana: atšķirība starp koordināciju un minējumiem
Pārrobežu incidentu koordinācija neizdodas, ja visiem ir viedokļi, bet nevienam nav laikspiedolu.
Zenith Blueprint posmā Controls in Action 19. solis to formulē skaidri:
Žurnālfiksēšana ir jebkuras drošas IT vides dzīvības līnija. Bez tās incidenti paliek neredzami, pārskatatbildība izzūd, un cēloņsakarības pazūd gaisā.
Tas turpinās:
Savā būtībā žurnālfiksēšana ir par izsekojamību. Kad kaut kas noiet greizi — neveiksmīgs pieteikšanās mēģinājums, kritisku datņu dzēšana vai neautorizēts skripts serverī — žurnāli nodrošina kriminālistisko pavedienu, kas palīdz atšķetināt, kas patiesībā notika.
NIS2 kontekstā žurnāli atbalsta 72 stundu incidenta paziņojumu ar sākotnējo smaguma pakāpi, ietekmi un kompromitācijas indikatoriem. DORA kontekstā žurnāli atbalsta būtiska ar IKT saistīta incidenta klasifikāciju, pamatcēloņa analīzi, darbības ietekmi un trešo pušu pārskatatbildību. GDPR kontekstā žurnāli atbalsta izvērtējumu, vai personas datiem tika piekļūts vai tie tika izpausti. Kibersolidaritātes akta kontekstā žurnāli atbalsta kopīgu situācijas izpratni, neliekot reaģētājiem paļauties uz minējumiem.
| Žurnalēšanas jautājums | Kāpēc tas ir svarīgi 2026. gada koordinācijā |
|---|---|
| Vai varat pierādīt, kad sākās informētība? | NIS2 un iekšējās eskalācijas termiņi ir atkarīgi no informētības laika |
| Vai varat identificēt skartos pakalpojumus pēc valsts un klienta? | Pārrobežu ietekmes izvērtēšana ir atkarīga no pakalpojuma un ģeogrāfijas |
| Vai varat saglabāt žurnālus pirms ierobežošanas izmaiņas maina sistēmas? | Pierādījumu vākšana un pamatcēloņa analīze ir atkarīga no integritātes |
| Vai varat nošķirt klientu ietekmes faktus no minējumiem? | Ārējai komunikācijai jābūt savlaicīgai, bet precīzai |
| Vai varat pietiekami ātri iegūt piegādātāju žurnālus? | DORA un NIS2 piegādātāju pārskatatbildībai nepieciešama līgumiska un operacionāla piekļuve |
Ja atbilde uz kādu jautājumu ir “nav pārliecības”, problēma jāiekļauj risku apstrādes plānā.
Darbības nepārtrauktība un drošas krīzes operācijas
Kibersolidaritātes akta diskusija dabiski koncentrējas uz reaģēšanu uz incidentiem, taču noturība nozīmē arī kritisko pakalpojumu drošu uzturēšanu traucējumu laikā.
NIS2 Article 21 prasa visu apdraudējumu pieeju, kas aptver incidentu apstrādi, darbības nepārtrauktību, rezerves kopiju pārvaldību, avārijas atjaunošanu, krīzes pārvaldību, piegādes ķēdes drošību, ievainojamību apstrādi, efektivitātes izvērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, HR drošību, piekļuves kontroli, aktīvu pārvaldību, daudzfaktoru autentifikāciju, drošu saziņu un drošu ārkārtas saziņu, ja piemērojams.
DORA līdzīgi prasa pārvaldību, IKT risku pārvaldību, incidentu pārvaldību, noturības testēšanu, trešo pušu riska pārvaldību, nepārtrauktību un atjaunošanu. Mazākām vienībām var būt vienkāršotas prasības, bet tām joprojām nepieciešama dokumentēta IKT risku pārvaldība, uzraudzība, noturīgas sistēmas, incidentu apstrāde, trešo pušu atkarību identificēšana, rezerves kopijas, atjaunošana, testēšana, pēcincidenta mācīšanās un apmācība.
Uzņēmuma Darbības nepārtrauktības politika un avārijas atjaunošanas politika Darbības nepārtrauktības politika un avārijas atjaunošanas politika sākas ar vienkāršu prasību:
Plānos jāaptver:
Aiz šīs frāzes ir nepārtrauktības pierādījumi, ko sagaida auditori: atjaunošanas prioritātes, atjaunošanas laika mērķi, atjaunošanas punkta mērķi, rezerves kopiju grafiki, atjaunošanas testi, krīzes lomas, alternatīvā komunikācija, piegādātāju atkarības un uzlabojumu darbības pēc vingrinājumiem.
ISO/IEC 27002:2022 kontroles pasākumi 5.29 un 5.30 šeit ir centrāli. Kontroles pasākums 5.29 attiecas uz informācijas drošību traucējumu laikā. Kontroles pasākums 5.30 attiecas uz IKT gatavību darbības nepārtrauktībai. Zenith Controls incidentu plānošana pie 5.24 ir sasaistīta ar drošību traucējumu laikā un plašāku nepārtrauktības plānošanu. Tas ir īpaši svarīgi, ja parastie kanāli nav pieejami, identitātes sistēmas ir degradētas vai krīzes komandām jākoordinē darbības ar iestādēm, izmantojot drošus ārkārtas saziņas kanālus.
Savstarpējās atbilstības karte: NIS2, DORA, GDPR, NIST CSF 2.0 un COBIT 2019
CISO nav vajadzīgas piecas atsevišķas incidentu programmas. Ir vajadzīgs viens pierādījumu modelis, ko var skatīt no pieciem skatpunktiem.
| Ietvars | Ko tas vēlas redzēt | ISO/IEC 27001:2022 pierādījumi, kas palīdz |
|---|---|---|
| NIS2 | Vadības pārskatatbildība, risku pārvaldība, incidentu apstrāde, nepārtrauktība, piegādes ķēdes drošība, ziņošana un apmācība | IDPS darbības joma, vadības ieraksti, risku izvērtēšana, Piemērojamības paziņojums, incidentu plāns, iestāžu matrica, piegādātāju reģistrs, apmācību žurnāli |
| DORA | IKT pārvaldība, noturības stratēģija, būtisku ar IKT saistītu incidentu process, testēšana, IKT trešo pušu risks un auditējamība | IKT risku reģistrs, nepārtrauktības testi, incidentu pierādījumi, piegādātāju līgumi, izstāšanās plāni, audita pārskati |
| GDPR | Drošība, konfidencialitāte, pārskatatbildība, pārkāpuma izvērtēšana un personas datu lomu skaidrība | Datu kartes, pārziņa-apstrādātāja ieraksti, piekļuves žurnāli, pārkāpuma izvērtēšanas piezīmes, šifrēšanas kontroles pasākumi, pierādījumu saglabāšana |
| NIST CSF 2.0 | Pārvaldība, riska profili, piegādes ķēdes risks, atklāšana, reaģēšana, atjaunošana un komunikācija | Pašreizējais un mērķa profils, trūkumu novēršanas rīcības plāns, uzraudzības pierādījumi, reaģēšanas rokasgrāmatas, atjaunošanas validācija |
| COBIT 2019 un ISACA audita prakse | Pārvaldības mērķi, vadības pārskatatbildība, kontroles dizains, veiktspējas uzraudzība un apliecinājums | Valdes ziņojumi, RACI, kontroles pasākumu īpašumtiesības, metrikas, iekšējā audita rezultāti, korektīvo darbību izsekošana |
NIST CSF 2.0 pašreizējā un mērķa profila metode ir īpaši noderīga organizācijām, kuras vēl nav pietiekami nobriedušas pilnai integrētai GRC platformai. Tā mudina organizācijas noteikt profila darbības jomu, apkopot ievades datus, piemēram, politikas, uzņēmuma risku prioritātes, biznesa ietekmes analīzes, prasības, standartus, procedūras, drošības pasākumus un lomas, pēc tam analizēt trūkumus un izveidot prioritizētu rīcības plānu. Tas ir tuvu praktiskam Kibersolidaritātes akta gatavības sprintam: pašreizējie pierādījumi, mērķa pienākumi, trūkumu plāns, īpašnieki, termiņi un audita pēda.
COBIT 2019 un ISACA tipa auditori parasti jautā, vai pārvaldības mērķiem ir īpašnieki, vai tie tiek mērīti un uzraudzīti. Viņus neapmierinās atbilde “ar to nodarbojas SOC”. Viņi jautās, kā vadības struktūras apstiprina riska pasākumus, kā tiek ziņots par veiktspēju, kā tiek pārvaldīts trešo pušu risks, kā tiek pieņemti izņēmumi un kā tiek izsekotas korektīvās darbības.
Kā auditori testēs to pašu incidentu
Tas pats 03:17 incidents rada atšķirīgus audita jautājumus atkarībā no vērtētāja pilnvarojuma.
ISO/IEC 27001:2022 auditors sāks ar IDPS. Viņš jautās, vai incidentu process ir darbības jomā, vai ieinteresēto pušu prasības ietver NIS2, DORA, GDPR un līgumus, vai risku izvērtēšanā ir ņemti vērā pārrobežu un piegādātāju scenāriji, vai A pielikuma kontroles pasākumi ir izvēlēti Piemērojamības paziņojumā un vai darbības ieraksti pierāda, ka process tika ievērots.
NIS2 fokusēta iestāde vai vērtētājs koncentrēsies uz vadības pārskatatbildību, Article 21 riska pārvaldības pasākumiem un Article 23 ziņošanu. Tie var jautāt, kad organizācija ieguva informētību, kāpēc incidents bija vai nebija būtisks, kā tika izvērtēta pārrobežu ietekme, vai klienti tika informēti un vai korektīvie pasākumi tika veikti bez nepamatotas kavēšanās.
DORA uzraugs vai iekšējā audita komanda jautās, vai incidents ietekmēja kritiskas vai svarīgas funkcijas, vai IKT trešo pušu pakalpojumu sniedzēji atbalstīja reaģēšanu, vai finanšu vienība saglabāja atbildību, vai informācijas reģistrs bija precīzs, vai incidents tika klasificēts pareizi un vai gūtās mācības tika atgrieztas noturības testēšanā un piegādātāju pārraudzībā.
GDPR auditors vai datu aizsardzības iestāde jautās, vai organizācijai bija pietiekami pierādījumi, lai noteiktu, vai personas dati tika pārkāpti, vai pārziņa un apstrādātāja lomas bija skaidras, vai datu subjekti bija pakļauti riskam, vai konfidencialitātes un integritātes kontroles pasākumi bija atbilstoši un vai pārskatatbildības ieraksti tika uzturēti.
NIST CSF 2.0 vērtētājs pārtulkos notikumu Govern, Identify, Protect, Detect, Respond un Recover rezultātos. Viņš meklēs ieinteresēto pušu gaidas, juridiskos pienākumus, riska apetīti, piegādātāju pārvaldību, žurnalēšanu, uzraudzību, reaģēšanas izpildi, komunikāciju un atjaunošanas validāciju.
COBIT 2019 vai ISACA auditors koncentrēsies uz pārvaldības un vadības sistēmas efektivitāti: īpašumtiesībām, lēmumu pieņemšanas tiesībām, metrikām, riska pieņemšanu, procesa veiktspēju, apliecinājumu un nepārtrauktu uzlabošanu.
Tieši šeit Zenith Controls ir noderīgs kā savstarpējās atbilstības kompass. Tas nepārdēvē oficiālos kontroles pasākumus un nerada paralēlu kontroles ietvaru. Tas parāda, kā ISO/IEC 27002:2022 kontroles pasākumi, piemēram, 5.5, 5.24 un 5.28, sasaistās ar darbības spējām, saistītajiem kontroles pasākumiem un auditam nozīmīgiem pierādījumiem.
| Kontroles pasākumu saikne | Sinerģija Kibersolidaritātes akta gatavībai | ISO/IEC 27002:2022 kontroles pasākumi |
|---|---|---|
| No plānošanas uz reaģēšanu | Stabils incidentu plāns nodrošina strukturētu reaģēšanu, skaidras lomas un pārvaldītu komunikāciju | 5.24 līdz 5.26 |
| No reaģēšanas uz ziņošanu | Reaģēšanas procesam pierādījumi jāsaglabā pamatotā veidā, lai atbalstītu regulatīvo ziņošanu | 5.26 līdz 5.28 |
| No reaģēšanas uz iestādēm | Reaģēšanas plānā jābūt iepriekš definētiem aktivizējošajiem kritērijiem un kanāliem saziņai ar valstu CSIRT un regulatoriem | 5.26 līdz 5.5 |
| No iestādēm uz izlūkošanu | Iesaistīšanās ar iestādēm var nodrošināt draudu izlūkošanu, kas tiek atgriezta risku izvērtēšanā | 5.5 līdz 5.7 |
Kas CISO jādara tagad, lai sagatavotos 2026. gadam
Ja gatavojaties ES Kibersolidaritātes akta darbības realitātei, sāciet ar pierādījumiem, nevis saukļiem.
Pirmkārt, atjauniniet IDPS kontekstu un ieinteresēto pušu analīzi. Nosakiet, vai jūsu organizācija, klienti vai piegādātāji ietilpst NIS2, DORA vai GDPR darbības jomā. Iekļaujiet klātbūtni dalībvalstīs, nozares klasifikāciju, kritiskos klientus, IKT pakalpojumu atkarības un iestāžu kontaktus.
Otrkārt, veiciet pārrobežu incidenta galda mācības. Izmantojiet scenāriju, kurā ietverts piegādātājs, vairāk nekā viena dalībvalsts, iespējama personas datu ekspozīcija un regulēts finanšu klients. Ierobežojiet pirmās 24 stundas ar laika rāmi.
Treškārt, pārskatiet piegādātāju līgumus. Apstipriniet paziņošanas pienākumus, piekļuvi žurnāliem, digitālās kriminālistikas atbalstu, sadarbību ar iestādēm, apakšuzņēmēju tālāk nododamos pienākumus, datu atrašanās vietu, audita tiesības, nepārtrauktības atbalstu un izbeigšanas tiesības.
Ceturtkārt, testējiet pierādījumu vākšanu. Eksportējiet žurnālus, saglabājiet momentuzņēmumus, marķējiet pierādījumus, reģistrējiet pierādījumu glabāšanas ķēdi un validējiet piekļuvi repozitorijam. Ja jūsu politika nosaka, ka pierādījumi tiek unikāli identificēti un droši glabāti, pierādiet to.
Piektkārt, saskaņojiet incidentu komunikāciju. Jūsu NIS2 agrīnais brīdinājums, DORA eskalācija, GDPR pārkāpuma izvērtējums un klienta paziņojums nedrīkst būt savstarpēji pretrunīgi. Tiem var būt atšķirīgi juridiskie mērķi, bet tiem jābalstās uz vienu un to pašu faktu bāzi.
Sestkārt, iesaistiet valdi vingrinājumā. Gan NIS2, gan DORA paaugstina vadības pārskatatbildības nozīmi. ISO/IEC 27001:2022 vadības punkti padara to auditējamu. Valde, kas nekad nav redzējusi 24 stundu kiberpaziņošanas termiņu, nav gatava pārrobežu krīzei.
Nākamie soļi ar Clarysec
ES kiberdrošības nākotne balstās sadarbībā un pierādītā uzticamībā. Organizācijām, kas NIS2 un DORA uztver kā izolētus kontrolsarakstus, pārrobežu incidentu laikā būs grūtības. Organizācijas, kas veido uz pierādījumiem balstītas ISO/IEC 27001:2022 darbības sistēmas, spēs pārliecinoši atbildēt regulatoriem, klientiem, auditoriem un krīzes reaģētājiem.
Clarysec palīdz CISO, atbilstības vadītājiem, auditoriem un uzņēmumu īpašniekiem pārvērst ES kiberdrošības regulējumu auditam gatavos darbības pierādījumos, izmantojot:
- Zenith Blueprint: auditora 30 soļu ceļvedi strukturētai ISO/IEC 27001:2022 ieviešanai un audita secības plānošanai.
- Zenith Controls: savstarpējās atbilstības ceļvedi incidentu, iestāžu, piegādātāju, pierādījumu, žurnalēšanas un nepārtrauktības kontroles pasākumu kartēšanai dažādos ietvaros.
- Clarysec politiku veidnes, tostarp Incidentu reaģēšanas politiku, Digitālo pierādījumu iegūšanas un kriminālistikas politiku, Trešo pušu un piegādātāju drošības politiku, Darbības nepārtrauktības politiku un avārijas atjaunošanas politiku, kā arī SME versijas gadījumiem, kuros svarīga proporcionalitāte.
Labākais laiks sagatavoties pārrobežu incidentu koordinācijai ir pirms 03:17 brīdinājuma. Otrs labākais laiks ir šodien.
Sāciet ar Clarysec gatavības pārskatīšanu, lejupielādējiet attiecīgo politiku rīkkopu vai pieprasiet demonstrāciju par to, kā Zenith Blueprint un Zenith Controls var palīdzēt jūsu IDPS radīt pierādījumus, ko prasīs 2026. gada kiberdrošības noturība.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


