EUCS mākoņpakalpojumu sertifikācijas pierādījumi 2026. gada auditiem
Sanāksmju telpas projektora gaisma izgaismoja Amēlijas seju, kad viņa raudzījās slaidā ar nosaukumu “2026. gada atbilstības horizonts”. Būdama strauji augoša finanšu tehnoloģiju uzņēmuma informācijas drošības vadītāja (CISO), viņa ekrānā redzēja trīs akronīmus un vienu atkārtotu operacionālu problēmu aiz tiem visiem: NIS2, DORA un GDPR visi norādīja atpakaļ uz tām pašām mākoņplatformām.
DORA auditors pieprasīja pierādījumus par IKT trešo pušu risku pārvaldību mākoņpakalpojumiem, kuros izvietotas maksājumu lietojumprogrammas. NIS2 kompetentā iestāde bija klasificējusi uzņēmumu kā svarīgu vienību un jautāja, kā tiek pārvaldīta piegādes ķēdes drošība. Datu aizsardzības speciālists gatavojās GDPR pārskatīšanai, kuras fokuss bija apstrādātāju drošība, datu rezidence un gatavība pārkāpumiem. Pēc tam iepirkumu komanda pārsūtīja īsu e-pastu no mākoņanalītikas pakalpojumu sniedzēja:
“Mēs gatavojamies EUCS sertifikācijai. Vai tas var aizstāt jūsu piegādātāju drošības pārbaudi?”
Aizņemtam CISO, atbilstības vadītājam vai dibinātājam vilinošā atbilde ir jā. Eiropas mākoņpakalpojumu kiberdrošības sertifikācija izklausās tieši pēc tāda pierādījuma, kam būtu jāsamazina aptaujas anketu skaits, jānomierina auditori un jāapmierina klienti.
Precīzāka atbilde ir šāda: EUCS mākoņpakalpojumu sertifikācija var kļūt par spēcīgu mākoņpakalpojumu sniedzēja apliecinājuma pierādījumu, bet tikai tad, ja tā ir sasaistīta ar jūsu pašu ISO/IEC 27001:2022 risku izvērtēšanu, Piemērojamības paziņojumu, piegādātāju reģistru, Mākoņpakalpojumu reģistru, līgumiskajiem kontroles pasākumiem, incidentu reaģēšanas procedūrām un GDPR pārskatatbildības ierakstiem.
Šī atšķirība ir būtiska. NIS2 padara piegādes ķēdes drošību un digitālās infrastruktūras noturību par uzraudzības jautājumu. DORA nosaka, ka finanšu vienības saglabā pārskatatbildību par IKT trešo pušu risku arī tad, ja mākoņpakalpojumi tiek nodoti ārpakalpojumā. GDPR prasa pārziņiem un apstrādātājiem pierādīt pārskatatbildīgu, likumīgu un drošu apstrādi. ISO/IEC 27001:2022 prasa noteiktas darbības jomas, riskos balstītu pārvaldības sistēmu, kurā ņemtas vērā tiesiskās, regulatīvās, līgumiskās un trešo pušu atkarības.
EUCS šos pienākumus neatceļ. Tas nodrošina strukturētu pierādījumu, kas ir jāizvērtē, jānormalizē, jāapstrīd un jāizmanto atkārtoti.
Clarysec pieeja ir vienkārša: uztveriet EUCS kā augstvērtīgu piegādātāju apliecinājuma ievaddatu, nevis kā atbilstības saīsni. Zenith Controls: starpatbilstības ceļvedī mākoņpakalpojumu apliecinājuma klasteris sākas ar ISO/IEC 27002:2022 kontroles pasākumu 5.23, informācijas drošība mākoņpakalpojumu izmantošanā, un tiek sasaistīts ar 5.20, informācijas drošības iekļaušana piegādātāju līgumos, un 5.22, piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība. Šie trīs kontroles pasākumi veido pamatu pamatotai EUCS pierādījumu pārskatīšanai.
Kāpēc mākoņpakalpojumu apliecinājums vairs netiek galā ar NIS2, DORA un GDPR
Līdz 2026. gadam mākoņpakalpojumu apliecinājums vairs nav tikai iepirkuma darbplūsma. Tas ir valdes, regulatora un audita jautājums.
NIS2 Direktīva, Direktīva (ES) 2022/2555, paplašina būtisko un svarīgo vienību kiberdrošības pienākumus. Tās darbības joma ietver daudzas nozares, kas lielā mērā paļaujas uz mākoņdatošanu, un digitālās infrastruktūras tvērumā ietilpst mākoņdatošanas pakalpojumu sniedzēji, datu centru pakalpojumu sniedzēji, satura piegādes tīkli, uzticamības pakalpojumu sniedzēji, DNS pakalpojumu sniedzēji un TLD nosaukumu reģistri. Uzmanības lokā ir arī pārvaldīto pakalpojumu sniedzēji (MSP) un pārvaldīto drošības pakalpojumu sniedzēji.
Article 21 prasa atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, tostarp riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un izstrādi, ievainojamību apstrādi, efektivitātes izvērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, piekļuves kontroli, aktīvu pārvaldības politiku un autentifikāciju. Article 23 nosaka pakāpeniskas incidentu ziņošanas prasības, tostarp agrīnu brīdinājumu 24 stundu laikā un incidenta paziņošanu 72 stundu laikā, ievērojot Direktīvu un valsts ieviešanas noteikumus. Article 24 noteiktos apstākļos ļauj dalībvalstīm pieprasīt izmantot IKT produktus, pakalpojumus vai procesus, kas sertificēti saskaņā ar Eiropas kiberdrošības sertifikācijas shēmām. Article 25 veicina attiecīgu Eiropas un starptautisko standartu izmantošanu.
DORA, Regula (ES) 2022/2554, finanšu vienībām ir vēl tiešāka. No 2025. gada 17. janvāra tā prasa finanšu organizācijām pārvaldīt IKT risku, ziņot par būtiskiem ar IKT saistītiem incidentiem, testēt digitālo operacionālo noturību un pārvaldīt IKT trešo pušu risku. Vienībām, kas ietilpst tās darbības jomā, DORA darbojas kā nozares specifisks Savienības tiesību akts attiecīgajiem kiberdrošības pienākumiem, kas pārklājas ar NIS2 nacionālajiem noteikumiem.
DORA nepieļauj pārskatatbildības nodošanu ārpakalpojuma sniedzējam. Articles 28 to 30 prasa finanšu vienībām veikt sākotnējo izpēti, izvērtēt koncentrācijas risku, uzturēt līgumisko vienošanos reģistrus, iekļaut obligātus līgumiskus drošības pasākumus, saglabāt audita tiesības un piekļuves tiesības, nodrošināt incidentu atbalstu, sadarboties ar kompetentajām iestādēm un uzturēt izstāšanās stratēģijas IKT pakalpojumiem, kas atbalsta kritiskas vai svarīgas funkcijas.
GDPR, Regula (ES) 2016/679, pievieno pārskatatbildības un datu aizsardzības slāni. Article 5 prasa pārziņiem ievērot datu aizsardzības principus un spēt pierādīt atbilstību. Article 28 regulē attiecības ar apstrādātājiem un prasa pietiekamas garantijas no apstrādātājiem. Article 32 prasa atbilstošus tehniskos un organizatoriskos pasākumus apstrādes drošības nodrošināšanai.
Rezultāts ir konverģences problēma. Viens mākoņpakalpojumu sniedzējs var būt kritiska IKT trešā puse DORA izpratnē, tiešs piegādātājs NIS2 piegādes ķēdē un apstrādātājs vai apakšapstrādātājs GDPR izpratnē. Ja apliecinājums tiek pārvaldīts ar nesaistītām aptaujas anketām, sertifikācijas PDF failiem un līgumu mapēm, katrs audits kļūst par rekonstrukcijas darbu.
EUCS var mazināt šo haosu, bet tikai tad, ja tas tiek iestrādāts pārvaldītā pierādījumu modelī.
Ko EUCS var pierādīt un ko nevar
ES kiberdrošības sertifikācijas shēma mākoņpakalpojumiem, ko parasti dēvē par EUCS, ir izstrādāta, lai nodrošinātu Eiropas mākoņpakalpojumu apliecinājuma mehānismu plašākā ES kiberdrošības sertifikācijas ietvarā. Tās praktiskā vērtība nav tikai marķējumā. Vērtība ir pamatā esošajā sertifikāta darbības jomā, apliecinājuma līmenī, izvērtētajos pakalpojumos, reģionos, juridiskajās personās, izvērtēšanas robežās, derīguma termiņā un uzraudzības modelī.
Pareizais mākoņpakalpojumu apliecinājuma jautājums nav vienkārši: “Vai šim pakalpojumu sniedzējam ir EUCS?” Tas ir:
- Kuri tieši mākoņpakalpojumi ir aptverti?
- Kuri reģioni, datu atrašanās vietas un juridiskās personas ir aptvertas?
- Kurš apliecinājuma līmenis ir piemērojams?
- Kāda izvērtēšanas metode tika izmantota?
- Kuri dalītās atbildības pieņēmumi paliek klienta pusē?
- Kādus pierādījumus var izpaust klientiem, regulatoriem un auditoriem?
- Kā sertifikāts ietekmē audita tiesības, incidentu paziņošanu, apakšuzņēmēju pārredzamību un izstāšanās plānošanu?
Mākoņpakalpojuma sertifikāts reti aptver jūsu konfigurāciju. Ja organizācija atspējo MFA, eksponē glabātuvi, piešķir pārmērīgas administratīvās privilēģijas, neveido žurnālus par priviliģētu piekļuvi vai nepareizi konfigurē reģionus, pakalpojumu sniedzēja sertifikācija jūsu auditu neizglābs.
Tāpēc EUCS vieta ir pierādījumu matricā, nevis uz pjedestāla. Tas var atbalstīt pakalpojumu sniedzēja puses apliecinājumu, bet organizācijai joprojām ir jāpierāda savi pārvaldības, konfigurācijas, līgumiskie un uzraudzības kontroles pasākumi.
Zenith Blueprint: auditora 30 soļu ceļkarte to skaidri parāda Risku pārvaldības posmā, 13. solī, Riska apstrādes plānošana un Piemērojamības paziņojums:
SoA faktiski ir sasaistes dokuments: tas sasaista jūsu risku izvērtēšanu/apstrādi ar faktiskajiem kontroles pasākumiem, kas jums ir. To aizpildot, jūs vienlaikus pārbaudāt, vai nav izlaisti kādi kontroles pasākumi.
Tas ir pareizais domāšanas modelis EUCS izmantošanai. Sertifikāts ir piegādātāja pierādījums. Jūsu Piemērojamības paziņojums paskaidro, kāpēc saistītie kontroles pasākumi ir piemērojami, kā organizācija ir ieviesusi savu dalītās atbildības daļu, kuri piegādātāja pierādījumi tika pieņemti un kādi atlikušie riski saglabājas.
ISO 27001 pamats EUCS pierādījumiem
ISO/IEC 27001:2022 nodrošina EUCS vietu sistēmā. Tā klauzulas prasa organizācijām izprast iekšējos un ārējos jautājumus, identificēt ieinteresētās puses un prasības, definēt IDPS darbības jomu, piešķirt vadības atbildības, izvērtēt riskus, atlasīt kontroles pasākumus, uzturēt Piemērojamības paziņojumu un nepārtraukti pilnveidoties.
Mākoņpakalpojumu apliecinājumam EUCS jāparādās vismaz sešos IDPS artefaktos.
| IDPS artefakts | Kā EUCS jāizmanto | Auditora jautājums |
|---|---|---|
| IDPS darbības joma | Identificēt mākoņpakalpojumus, reģionus, juridiskās personas, klientu datus un ārpakalpojumu atkarības | Vai IDPS ietver būtiskas mākoņpakalpojumu atkarības un ārpakalpojumus? |
| Riska reģistrs | Reģistrēt pakalpojumu sniedzēja atteices, nepareizas konfigurācijas, datu atrašanās vietas, apakšuzņēmēju un incidentu ziņošanas riskus | Vai mākoņpakalpojumu riski ir izvērtēti pret biznesa ietekmi un dalīto atbildību? |
| Piegādātāju sākotnējā izpēte | Izmantot EUCS kā pierādījumu, pēc tam pārbaudīt darbības jomu, apliecinājuma līmeni, derīgumu un trūkumus | Vai sertifikāts aptver tieši izmantoto pakalpojumu? |
| Piemērojamības paziņojums | Sasaistīt mākoņpakalpojumu, piegādātāju, piekļuves, žurnālfiksēšanas, incidentu un nepārtrauktības kontroles pasākumus ar riskiem un regulējumu | Vai kontroles pasākumu atlase ir pamatota un izsekojama? |
| Mākoņpakalpojumu reģistrs | Reģistrēt pakalpojumu sniedzēju, mērķi, datu tipus, atrašanās vietas, piekļuvi un līguma informāciju | Vai organizācija spēj identificēt visus apstiprinātos mākoņpakalpojumus? |
| Līguma un audita lieta | Glabāt sertifikāciju, vienošanās, audita tiesības, paziņošanas noteikumus, apakšuzņēmēju noteikumus un izstāšanās nosacījumus | Vai organizācija var pierādīt izpildāmus piegādātāja pienākumus? |
Clarysec politiku bibliotēka pārvērš šīs prasības operacionālā disciplīnā.
SME Mākoņpakalpojumu izmantošanas politika - SME, sadaļa Pārvaldības prasības, punkts 5.2, nosaka pamatprasības apstiprinātiem mākoņpakalpojumiem:
Apstiprinātajiem mākoņpakalpojumiem jāatbilst šādiem pamatkritērijiem: 5.2.1 Pakalpojumu sniedzējs uztur spēcīgu reputāciju pieejamības un drošības jomā 5.2.2 Daudzfaktoru autentifikācija (MFA) tiek atbalstīta un to var iespējot 5.2.3 Datu rezidence un privātuma prakse atbilst piemērojamām tiesiskajām prasībām (piem., GDPR) 5.2.4 Pakalpojums nodrošina drošas piekļuves kontroles, žurnālfiksēšanu un datu aizsardzības iespējas
EUCS sertifikāts var atbalstīt 5.2.1 un daļu no 5.2.3 un 5.2.4. Tas nepierāda, ka jūsu nomnieka vidē ir iespējota MFA, konfigurēta žurnālfiksēšana, ieviesta datu rezidence vai pārskatīta administratīvā piekļuve.
Lielākām organizācijām Enterprise Mākoņpakalpojumu izmantošanas politika, sadaļa Pārvaldības prasības, punkts 5.2, paaugstina prasību līmeni:
Visiem mākoņpakalpojumu izmantošanas gadījumiem pirms aktivizēšanas jāiziet riskos balstīta sākotnējā izpēte, tostarp pakalpojumu sniedzēja izvērtēšana, tiesiskās atbilstības validācija un kontroles pasākumu validācijas pārskatīšana.
Šis teikums ir politikas nostāja, kas jāievēro katrā EUCS pārskatīšanā: pakalpojumu sniedzēja izvērtēšana, tiesiskās atbilstības validācija un kontroles pasākumu validācija, nevis akla pieņemšana.
EUCS sasaistīšana ar ISO 27001, NIS2, DORA un GDPR
EUCS kļūst auditam gatavs, kad sertifikāta fakti tiek sasaistīti ar pienākumiem. CISO jāizveido starpatbilstības mākoņpakalpojumu apliecinājuma matrica, kas pārvērš pakalpojumu sniedzēja pierādījumus atkārtoti izmantojamos kontroles pierādījumos.
| EUCS pierādījumu elements | ISO 27001 un ISO 27002 nozīme | NIS2 nozīme | DORA nozīme | GDPR nozīme |
|---|---|---|---|---|
| Sertifikāta darbības joma un aptvertie pakalpojumi | Atbalsta piegādātāju riska novērtējumu un kontroles pasākumus 5.19, 5.20, 5.22 un 5.23 | Atbalsta piegādes ķēdes drošību un sertifikācijas pierādījumus | Atbalsta IKT pakalpojumu sniedzēja sākotnējo izpēti un reģistra precizitāti | Atbalsta apstrādātāja un apakšapstrādātāja izvērtēšanu |
| Apliecinājuma līmenis un izvērtēšanas metode | Atbalsta kontroles pasākumu validāciju un Piemērojamības paziņojuma pamatojumu | Parāda samērīgumu ar risku un pakalpojuma kritiskumu | Atbalsta kritiskas vai svarīgas funkcijas izvērtēšanu | Atbalsta pārskatatbildību par mākoņvidē izvietotiem personas datiem |
| Datu atrašanās vietas un jurisdikcijas pierādījumi | Atbalsta tiesisko, regulatīvo un līgumisko prasību sasaisti | Atbalsta pakalpojumu nepārtrauktības un piegādes ķēdes risku analīzi | Atbalsta koncentrācijas un apakšuzņēmēju riska izvērtēšanu | Atbalsta datu rezidences un pārsūtīšanas riska analīzi |
| Incidentu paziņošanas saistības | Atbalsta incidentu plānošanu un piegādātāju līguma kontroles pasākumus | Atbalsta gatavību ziņot par būtiskiem incidentiem | Atbalsta atkarības būtisku IKT incidentu ziņošanā | Atbalsta gatavību reaģēt uz personas datu aizsardzības pārkāpumiem |
| Apakšuzņēmēju un piegādes ķēdes pierādījumi | Atbalsta piegādātāju uzraudzību un izmaiņu pārvaldību | Atbalsta piegādātājam specifisku ievainojamību izvērtēšanu | Atbalsta apakšuzņēmēju ķēdes un koncentrācijas riska analīzi | Atbalsta apstrādātāju ķēdes pārskatatbildību |
| Izstāšanās un datu atdošanas pierādījumi | Atbalsta nepārtrauktību, izbeigšanu un drošu datu apstrādi | Atbalsta visaptverošu noturību un nepārtrauktību | Atbalsta testētas izstāšanās stratēģijas kritiskiem IKT pakalpojumiem | Atbalsta dzēšanas, glabāšanas un apstrādes ierobežošanas pierādījumus |
Šī tabula nav paredzēta tikai atbilstības dokumentācijai. Tā ir saikne starp pakalpojumu sniedzēja apliecinājumu un jūsu organizācijas pārskatatbildību.
NIS2 jautā, vai jūsu vienība ir veikusi atbilstošus un samērīgus pasākumus. DORA jautā, vai finanšu vienība pārvalda IKT trešo pušu risku, izmantojot sākotnējo izpēti, līgumus, uzraudzību un izstāšanās plānošanu. GDPR jautā, vai personas datu apstrāde ir likumīga, droša un pierādāma. ISO/IEC 27001:2022 jautā, vai tas viss ir integrēts riskos balstītā pārvaldības sistēmā.
Praktisks piemērs: EUCS pārskatīšana mākoņanalītikas pakalpojumu sniedzējam
Atgriezīsimies pie Amēlijas finanšu tehnoloģiju uzņēmuma Northstar Pay. Uzņēmums vēlas ieviest mākoņanalītikas platformu krāpšanas noteikšanai un darījumu pārskatu sagatavošanai. Pakalpojumu sniedzējs iesniedz EUCS sertifikātu un apgalvo, ka tam vajadzētu apmierināt drošības pārbaudi.
Clarysec strukturētu pierādījumu pārskatīšanu sešos soļos.
1. solis: atjauniniet Mākoņpakalpojumu reģistru
Mākoņpakalpojumu izmantošanas politika - SME, sadaļa Pārvaldības prasības, punkts 5.3, prasa reģistru, kurā tiek fiksēts mākoņpakalpojuma nosaukums, mērķis, atbildīgais īpašnieks, datu tipi, valsts vai reģions, piekļuves tiesības, administratīvie konti, līguma informācija, atjaunošanas datumi un atbalsta kontaktpersonas.
Enterprise Mākoņpakalpojumu izmantošanas politika, sadaļa Pārvaldības prasības, punkts 5.1, sākas ar īpašumtiesībām:
Organizācijai jāuztur centralizēts Mākoņpakalpojumu reģistrs, kura īpašnieks ir CISO un kurā ietverts:
Northstar Pay reģistrē pakalpojumu pirms apstiprināšanas, nevis pēc nodošanas produkcijas vidē.
| Reģistra lauks | Ieraksta piemērs |
|---|---|
| Mākoņpakalpojums | Pakalpojumu sniedzēja analītikas platforma |
| Biznesa mērķis | Krāpšanas analītika un darījumu tendenču pārskati |
| Lietotnes īpašnieks | Datu platformu vadītājs |
| Datu tipi | Klientu identifikatori, darījumu metadati, pseidonimizēti analītikas notikumi |
| Datu atrašanās vieta | Tikai ES reģions, līgumiski ierobežots |
| Piekļuve | SSO, MFA, vārdiskie administratora konti, minimāli nepieciešamo tiesību lomas |
| Pierādījumi | EUCS sertifikāts, ISO 27001 sertifikāts, drošības apraksts, datu apstrādes līgums, līgums, apakšapstrādātāju saraksts |
| Pārskatīšanas datums | Ikgadējā pārskatīšana un pārskatīšana būtisku pakalpojuma izmaiņu gadījumā |
2. solis: validējiet sertifikāta darbības jomu
Komanda pārbauda, vai EUCS sertifikāts aptver tieši to analītikas pakalpojumu, izvietošanas modeli, reģionu un juridisko personu, ko izmantos Northstar Pay. Ja sertifikāts aptver infrastruktūras pakalpojumus, bet neietver analītikas moduli, pierādījumu vērtība ir ierobežota.
Tieši šeit daudzi auditi izgāžas. Pakalpojumu sniedzējs saka “sertificēts”, bet klients nevar parādīt, ka sertifikāts attiecas uz pakalpojumu, kurā tiek apstrādāti reglamentēti dati.
3. solis: sasaistiet EUCS ar riska apstrādi un Piemērojamības paziņojumu
Izmantojot Zenith Blueprint, 13. soli, Northstar Pay sasaista sertifikātu ar riska reģistru un Piemērojamības paziņojumu.
| Riska scenārijs | EUCS pierādījumu vērtība | Klienta puses kontroles pasākums, kas joprojām nepieciešams |
|---|---|---|
| Nesankcionēta piekļuve analītikas datiem | Atbalsta pakalpojumu sniedzēja infrastruktūras drošības apliecinājumu | Piemērot SSO, MFA, RBAC, administratoru pārskatīšanu un žurnālfiksēšanu |
| Dati tiek glabāti ārpus apstiprinātā reģiona | Var atbalstīt pakalpojumu sniedzēja atrašanās vietas kontroles pasākumus | Līgumiska tikai ES glabāšana, nomnieka konfigurācija un periodiska verifikācija |
| Pakalpojumu sniedzējs kavē incidenta ziņošanu | Var atbalstīt incidentu procesa apliecinājumu | Līgumiski paziņošanas termiņi, eskalācijas kontaktpersonas un incidentu reaģēšanas procedūra |
| Apakšapstrādātāja maiņa ietekmē risku | Var atbalstīt piegādes ķēdes pārvaldību | Līguma apstiprināšanas tiesības, apakšapstrādātāju uzraudzība un atkārtota izvērtēšana |
| Mākoņpakalpojuma nepieejamība ietekmē pārskatu sagatavošanu | Var atbalstīt pieejamības kontroles pasākumus | Darbības nepārtrauktības plāns, RTO un RPO analīze, rezerves kopiju vai eksporta stratēģija |
Piemērojamības paziņojumā pēc tam reģistrē ISO/IEC 27002:2022 kontroles pasākumus 5.20, 5.22 un 5.23 kā piemērojamus, jo organizācija izmanto mākoņpakalpojumus reglamentētai apstrādei un svarīgām analītikas darbplūsmām.
4. solis: apstipriniet līguma klauzulas un audita tiesības
SME Trešo pušu un piegādātāju drošības politika - SME, sadaļa Pārvaldības prasības, punkts 5.3, prasa obligātas līguma klauzulas:
Līgumos jāiekļauj obligātas klauzulas, kas aptver: 5.3.1 Konfidencialitāti un neizpaušanu 5.3.2 Informācijas drošības pienākumus 5.3.3 Datu aizsardzības pārkāpuma paziņošanas termiņus (piem., 24–72 stundu laikā) 5.3.4 Audita tiesības vai atbilstības pierādījumu pieejamību 5.3.5 Ierobežojumus turpmākai apakšuzņēmēju piesaistei bez apstiprinājuma 5.3.6 Izbeigšanas noteikumus, tostarp drošu datu atdošanu vai iznīcināšanu
EUCS pierādījumi un līgumiskās tiesības kalpo atšķirīgiem mērķiem. Sertifikāts atbalsta apliecinājumu. Līgums rada izpildāmību.
Enterprise Trešo pušu un piegādātāju drošības politika, sadaļa Politikas ieviešanas prasības, punkts 6.1.2.2, skaidri ietver:
Audita pārskatu pārskatīšana (piem., SOC 2, ISO 27001, ISAE 3402)
EUCS pieder pie šīs pierādījumu grupas līdzās citiem apliecinājuma pārskatiem. Tam nevajadzētu aizstāt līguma pārskatīšanu, audita tiesības, incidentu atbalstu vai izstāšanās stratēģijas klauzulas, ko prasa DORA.
5. solis: piemērojiet datu rezidenci reglamentētiem datiem
Mākoņpakalpojumu izmantošanas politika, sadaļa Politikas ieviešanas prasības, punkts 6.6.2, nosaka:
Datu rezidences prasības jāpiemēro līgumiski (piem., tikai ES glabāšana GDPR reglamentētiem datiem).
GDPR pārskatatbildībai sertifikāts, kas apraksta reģionālos kontroles pasākumus, ir noderīgs. Tas joprojām nav pietiekami. Northstar Pay nepieciešams datu apstrādes līgums, līgumiska tikai ES glabāšanas formulējuma iekļaušana, nomnieka konfigurācijas pierādījumi un metode izmaiņu uzraudzībai.
Ja analītikas platforma ļauj administratoriem izvēlēties reģionus, audita lietā jāiekļauj konfigurācijas ekrānuzņēmumi, eksportēti iestatījumi vai citi ieraksti, kas parāda apstiprināto ES reģionu.
6. solis: plānojiet ikgadējās un notikumu ierosinātās pārskatīšanas
Trešo pušu un piegādātāju drošības politika - SME, sadaļa Politikas ieviešanas prasības, punkts 6.3.1, prasa ikgadēju kritisko vai augsta riska piegādātāju pārskatīšanu, lai pārbaudītu drošas piekļuves metodes, derīgas drošības sertifikācijas vai atjauninātus kontroles pierādījumus, incidentu vēsturi un līgumsaistību atbilstību.
Pārskatīšana jāierosina arī tad, ja pakalpojumu sniedzējs maina apakšuzņēmējus, reģionus, pakalpojumus, identitātes arhitektūru, šifrēšanas modeli, incidentu vēsturi vai sertifikāta statusu. Apliecinājuma pierādījumi noveco, un piegādātāja risks nav statisks.
Clarysec EUCS pierādījumu pakotne
Nobriedusi EUCS apliecinājuma pakotne ietver vairāk nekā sertifikāta PDF failu. Clarysec strukturē pierādījumus septiņās sadaļās.
| Pierādījumu sadaļa | Saturs | Kāpēc tas ir svarīgi |
|---|---|---|
| 1. Mākoņpakalpojuma apstiprināšana | Biznesa pamatojums, īpašnieks, riska vērtējums, apstiprināšanas lēmums | Parāda kontrolētu mākoņpakalpojumu iegādi un izmantošanu |
| 2. Pakalpojumu sniedzēja apliecinājums | EUCS sertifikāts, citas sertifikācijas, drošības pārskats, dalītās atbildības modelis | Parāda piegādātāja drošības pierādījumus un darbības jomu |
| 3. Juridiskie un privātuma jautājumi | Datu apstrādes līgums, datu rezidences noteikumi, apakšapstrādātāju saraksts, likumīgas apstrādes sasaiste | Atbalsta GDPR pārskatatbildību un līguma prasības |
| 4. Tehniskā konfigurācija | MFA, SSO, RBAC, šifrēšana, žurnālfiksēšana, rezerves kopijas, tīkla ierobežojumi | Pierāda klienta pusi dalītajā atbildībā |
| 5. Piegādātāja līgums | Drošības pienākumi, tiesības uz audita pierādījumiem, incidentu paziņošana, apakšuzņēmēji, izbeigšana | Atbalsta ISO, NIS2 un DORA piegādātāju pārvaldību |
| 6. Incidenti un noturība | Pakalpojumu sniedzēja eskalācijas ceļš, integrācija reaģēšanas procedūrās, RTO un RPO, testēšanas ieraksti | Atbalsta NIS2 ziņošanu un DORA operacionālo noturību |
| 7. Uzraudzība un pārskatīšana | Ikgadējā pārskatīšana, sertifikāta derīgums, incidenti, pakalpojuma izmaiņas, izņēmumi | Atbalsta nepārtrauktu piegādātāju uzraudzību un nepārtrauktu pilnveidi |
Tiesiskās un regulatīvās atbilstības politika, sadaļa Politikas ieviešanas prasības, punkts 6.2.1, formulē darbības principu:
Visi juridiskie un regulatīvie pienākumi jāsaista ar konkrētām politikām, kontroles pasākumiem un īpašniekiem informācijas drošības pārvaldības sistēmā (ISMS).
Tā ir atšķirība starp sertifikātu vākšanu un pamatota atbilstības darbības modeļa izveidi.
Incidentu un noturības pierādījumi: kur EUCS nav pietiekams
NIS2 un DORA abas padara incidentu un noturības gatavību par nopietnu mākoņpakalpojumu pārvaldības pārbaudi.
Mākoņpakalpojumu sniedzēja EUCS sertifikāts var parādīt, ka pakalpojumu sniedzējam ir incidentu pārvaldības kontroles pasākumi. Jūsu organizācijai joprojām jāzina, kas saņem paziņojumus, kā tiek veikta brīdinājumu sākotnējā izvērtēšana, kā tiek saglabāti pierādījumi, kā tiek izvērtēta ietekme uz personas datiem un kurš sazinās ar regulatoriem, klientiem un iekšējo vadību.
NIS2 gadījumā pakalpojumu sniedzēja paziņošanas noteikumiem jāatbalsta agrīna brīdinājuma un incidenta paziņošanas pienākumi. DORA gadījumā mākoņincidentiem jāiekļaujas ar IKT saistītu incidentu klasifikācijas, eskalācijas, ziņošanas un klientu komunikācijas procesos. GDPR gadījumā pārkāpuma darbplūsmai jāatbalsta izvērtēšana, vai ir noticis personas datu aizsardzības pārkāpums un vai nepieciešama paziņošana uzraudzības iestādei vai skartajām personām.
NIST CSF 2.0 šeit ir noderīgs kā integrācijas valoda. Tā GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND un RECOVER funkcijas palīdz organizācijām pārvērst juridiskos pienākumus un tehniskos kontroles pasākumus operacionālos rezultātos. Tā piegādes ķēdes rezultāti prasa, lai piegādātāji būtu zināmi, prioritizēti, līgumiski pārvaldīti, uzraudzīti, iekļauti incidentu plānošanā un pārvaldīti izbeigšanas posmā. Tā reaģēšanas un atjaunošanas rezultāti aptver sākotnējo izvērtēšanu, eskalāciju, koordināciju ar trešajām pusēm, ieinteresēto pušu informēšanu, atjaunošanas izpildi un atjaunošanas verifikāciju.
Sertifikāts nonāk lietā. Reaģēšanas procedūra pierāda gatavību.
Kā auditori pārbaudīs EUCS pierādījumus
Dažādi auditori pieiet mākoņpakalpojumu apliecinājumam no dažādiem skatpunktiem. Starpatbilstības pierādījumu modelis novērš nepieciešamību tos pašus faktus katrai pārskatīšanai salikt no jauna.
| Audita skatpunkts | Kam auditors pievērsīs uzmanību | Kādi pierādījumi tiks gaidīti |
|---|---|---|
| ISO 27001 auditors | IDPS darbības joma, risku izvērtēšana, Piemērojamības paziņojums, piegādātāju kontroles pasākumi, mākoņpakalpojumu pārvaldība, nepārtraukta pilnveide | Mākoņpakalpojumu reģistrs, riska reģistrs, Piemērojamības paziņojums, piegādātāja izvērtējums, līgums, konfigurācijas ieraksti, pārskatīšanas pierādījumi |
| NIS2 uzraugs vai izvērtētājs | Vadības apstiprinājums, Article 21 pasākumi, piegādes ķēdes drošība, gatavība incidentu ziņošanai | Valdes ziņojumi, piegādātāju riska analīze, incidentu reaģēšanas procedūra, darbības nepārtrauktības pierādījumi, paziņošanas darbplūsma |
| DORA auditors | IKT trešo pušu reģistrs, kritiskas vai svarīgas funkcijas izvērtējums, līgumi, audita tiesības, izstāšanās plāni, noturības testēšana | IKT līgumu reģistrs, sākotnējā izpēte, koncentrācijas riska analīze, Article 30 līguma klauzulas, testēšanas ieraksti, izstāšanās stratēģija |
| GDPR pārskatītājs | Pārskatatbildība, apstrādes nolūks, datu kategorijas, datu atrašanās vieta, drošība, gatavība pārkāpumiem | Apstrādes darbību reģistra ievaddati, datu apstrādes līgums, datu rezidences noteikumi, piekļuves kontroles pasākumi, pārkāpuma izvērtēšanas darbplūsma, apstrādātāja pierādījumi |
| NIST CSF izvērtētājs | Pašreizējie un mērķa profili, pārvaldība, piegādes ķēdes risku pārvaldība, uzraudzība, reaģēšana un atjaunošana | Profila trūkumu analīze, piegādātāju dzīves cikla ieraksti, uzraudzības pārskati, incidentu mācības, atjaunošanas validācija |
| COBIT 2019 vai ISACA auditors | Pārvaldības mērķi, vadības pārskatatbildība, pakalpojumu sniedzēju uzraudzība, riska optimizācija, atbilstības uzraudzība | Pārvaldības sanāksmju protokoli, kontroles pasākumu īpašumtiesības, veiktspējas rādītāji, trešo pušu pārraudzības ieraksti, atbilstības informācijas panelis |
Zenith Blueprint, posms Kontroles pasākumi darbībā, 23. solis, brīdina, ka mākoņpakalpojumu kontroles pasākumi tiek rūpīgi pārbaudīti:
Šis kontroles pasākums bieži tiek rūpīgi pārbaudīts. Auditori jautās:
✓ “Kādus mākoņpakalpojumus jūs izmantojat?” ✓ “Kas tos apstiprināja?” ✓ “Kā jūs nodrošināt datu aizsardzību?”
Šie jautājumi ir EUCS apliecinājuma būtība. Sertifikāts var palīdzēt atbildēt, kā tiek pierādīta pakalpojumu sniedzēja puses aizsardzība, bet tas nevar atbildēt, kuri pakalpojumi tiek izmantoti vai kas tos apstiprināja, ja jūsu Mākoņpakalpojumu reģistrs un apstiprināšanas darbplūsma nav aktuāli.
Biežākās EUCS apliecinājuma kļūdas, no kurām jāizvairās
Pirmā kļūda ir uztvert EUCS kā universālu caurlaidi. Tas ir darbības jomā ierobežots pierādījums. Ja sertifikāts neaptver jūsu iegādāto pakalpojumu, reģionu, izvietošanas modeli vai juridisko personu, tā apliecinājuma vērtība var būt ierobežota.
Otrā kļūda ir sajaukt pakalpojumu sniedzēja kontroles pasākumus ar klienta kontroles pasākumiem. Pakalpojumu sniedzēja sertifikācija nepierāda nomnieka MFA, RBAC, žurnālfiksēšanu, šifrēšanas iestatījumus, rezerves kopijas, administratīvās piekļuves tiesību pārskatīšanu vai uzraudzību.
Trešā kļūda ir DORA līguma prasību neievērošana. Finanšu vienībām nepieciešamas rakstiskas tiesības un pienākumi, tostarp pakalpojumu apraksti, datu atrašanās vietas, informācijas drošības prasības, piekļuves un audita tiesības, pakalpojumu līmeņi, incidentu atbalsts, sadarbība ar iestādēm, izbeigšanas tiesības un izstāšanās stratēģijas kritiskām vai svarīgām funkcijām.
Ceturtā kļūda ir GDPR pierādījumu ignorēšana. Datu rezidences formulējums, apakšapstrādātāju pārredzamība, pārkāpumu apstrāde, likumīga apstrāde un pārskatatbildības ieraksti joprojām ir nepieciešami. EUCS var atbalstīt Article 32 drošības pierādījumus, bet tas nenosaka jūsu tiesisko pamatu, apstrādes nolūku vai glabāšanas noteikumus.
Piektā kļūda ir sertifikāta statusa neuzraudzīšana. Ja sertifikācijas termiņš beidzas, mainās darbības joma, parādās uzraudzības konstatējumi vai pakalpojumu sniedzējs maina arhitektūru, jūsu piegādātāju riska pārskatīšanai šīs izmaiņas ir jāfiksē.
Praktisks 2026. gada EUCS pārskatīšanas kontrolsaraksts
Izmantojiet šo kontrolsarakstu pirms EUCS pieņemšanas kā mākoņpakalpojumu sniedzēja apliecinājuma pierādījumu:
- Apstipriniet sertifikācijas shēmu, apliecinājuma līmeni, sertifikāta turētāju un derīguma termiņu.
- Apstipriniet precīzos pakalpojumus, reģionus, izvietošanas modeļus un juridiskās personas darbības jomā.
- Salīdziniet sertifikāta darbības jomu ar ierakstu jūsu Mākoņpakalpojumu reģistrā.
- Sasaistiet pierādījumus ar ISO/IEC 27002:2022 kontroles pasākumiem 5.20, 5.22 un 5.23.
- Atjauniniet riska reģistru un Piemērojamības paziņojumu ar sertifikāta pierādījumiem un atlikušo risku.
- Validējiet klienta puses kontroles pasākumus, īpaši identitāti, MFA, žurnālfiksēšanu, šifrēšanu, rezerves kopijas un administratora piekļuvi.
- Apstipriniet datu rezidences, apakšapstrādātāju, pārkāpuma paziņošanas, audita pierādījumu un izbeigšanas klauzulas.
- Sasaistiet incidentu paziņošanas ceļus ar NIS2, DORA un GDPR termiņiem.
- Pārskatiet koncentrācijas risku un izstāšanās stratēģiju kritiskiem vai svarīgiem pakalpojumiem.
- Ieplānojiet ikgadējo pārskatīšanu un notikumu ierosinātu atkārtotu izvērtēšanu.
Panāciet, lai EUCS pierādījumi strādā jūsu IDPS ietvaros
EUCS mākoņpakalpojumu sertifikācija 2026. gadā var būtiski uzlabot mākoņpakalpojumu sniedzēja apliecinājumu. Tā var samazināt aptaujas anketu slogu, stiprināt piegādātāju sākotnējo izpēti un atbalstīt ISO 27001, NIS2, DORA un GDPR pierādījumus. Tomēr tā kļūst pamatota tikai tad, ja tiek sasaistīta ar jūsu pārvaldības sistēmu.
Clarysec palīdz organizācijām pārvērst mākoņpakalpojumu sertifikācijas pierādījumus auditam gatavās atbilstības operācijās, izmantojot Zenith Blueprint, Zenith Controls, Mākoņpakalpojumu izmantošanas politika, Mākoņpakalpojumu izmantošanas politika - SME, Trešo pušu un piegādātāju drošības politika - SME, Trešo pušu un piegādātāju drošības politika un Tiesiskās un regulatīvās atbilstības politika.
Ja jūsu 2026. gada ceļkartē ietilpst EUCS, gatavība NIS2, DORA IKT trešo pušu risks, GDPR mākoņapstrāde vai ISO/IEC 27001:2022 sertifikācija, sāciet ar vienu praktisku darbību: izveidojiet Mākoņpakalpojumu reģistru, pievienojiet pakalpojumu sniedzēja apliecinājuma pierādījumus un sasaistiet katru kritisko mākoņpakalpojumu ar riskiem, līgumiem, kontroles pasākumiem un īpašniekiem. Tur mākoņpakalpojumu apliecinājums kļūst pamatots.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
