Vētras pārvarēšana: kā NIS2 un DORA pārdefinē atbilstības prasības Eiropā

ES NIS2 direktīva un DORA regula pārveido kiberdrošības atbilstību, pieprasot stingrāku risku pārvaldību, incidentu ziņošanu un digitālo darbības noturību. Šajā ceļvedī skaidrota to ietekme, parādīta ciešā sasaiste ar ISO 27001 un sniegts praktisks, soli pa solim īstenojams ceļš uz gatavību informācijas drošības vadītājiem (CISO) un organizāciju vadītājiem.

Ievads

Eiropas atbilstības vide piedzīvo nozīmīgākās pārmaiņas paaudzes laikā. Līdz ar Tīklu un informācijas sistēmu drošības direktīvas (NIS2) transponēšanas termiņu 2024. gada oktobrī un Regulas par digitālās darbības noturību finanšu sektorā (DORA) pilnīgu piemērošanu no 2025. gada janvāra kiberdrošība vairs nav fona IT funkcija. Šie divi tiesību akti nozīmē paradigmas maiņu: kiberdrošība un darbības noturība tiek izvirzītas korporatīvās pārvaldības centrā, un vadības struktūras kļūst tieši atbildīgas par prasību neizpildi.

Informācijas drošības vadītājiem (CISO), atbilstības vadītājiem un uzņēmumu īpašniekiem tas nav vēl viens ietvars, pret kuru kartēt kontroles pasākumus. Tas ir mandāts vadības līmeņa virzītai, uz risku balstītai un pierādāmi noturīgai drošības nostājai. NIS2 paplašina iepriekšējās direktīvas darbības jomu, aptverot plašu “būtisko” un “svarīgo” subjektu loku, savukārt DORA nosaka stingras, harmonizētas prasības visam ES finanšu sektoram un tā kritiskajiem tehnoloģiju pakalpojumu sniedzējiem. Likmes ir augstākas, prasības ir detalizētākas, un sodi par neatbilstību ir smagi. Šis raksts kalpos kā ceļvedis jaunajā regulējuma vidē, izmantojot ISO 27001 ietvaru kā praktisku pamatu atbilstības nodrošināšanai gan NIS2, gan DORA prasībām.

Kas ir likts uz spēles

NIS2 un DORA pienākumu neizpildes sekas sniedzas tālu pāri formālam aizrādījumam. Šie regulējumi ievieš būtiskus finanšu sodus, personisku atbildību vadībai un smagu darbības traucējumu risku. Šo risku nopietnības izpratne ir pirmais solis pārliecinoša biznesa pamatojuma izveidei ieguldījumiem un organizatoriskām pārmaiņām.

Jo īpaši NIS2 ievērojami paaugstina finanšu risku. Kā skaidro mūsu visaptverošais ceļvedis Zenith Controls, sodi ir veidoti tā, lai tiem pievērstu uzmanību valdes līmenī.

Būtiskajiem subjektiem naudas sodi var sasniegt līdz 10 miljoniem eiro vai 2% no iepriekšējā finanšu gada kopējā pasaules gada apgrozījuma — atkarībā no tā, kura summa ir lielāka. Svarīgajiem subjektiem maksimālais sods ir 7 miljoni eiro vai 1,4% no kopējā pasaules gada apgrozījuma.

Šie apmēri ir salīdzināmi ar GDPR līmeņa sodiem, apliecinot ES nodomu stingri piemērot kiberdrošības standartus. Lai gan regulējums ir harmonizēts ES līmenī, precīzas sodu struktūras var nedaudz atšķirties atkarībā no tā, kā katra dalībvalsts transponē NIS2 nacionālajos tiesību aktos. Taču risks nav tikai finansiāls. NIS2 ievieš iespēju uz laiku aizliegt ieņemt vadības amatus personām, kas atzītas par atbildīgām par pārkāpumiem, padarot kiberdrošību par personiskas atbildības jautājumu izpilddirektoriem un valdes locekļiem.

DORA, lai gan koncentrējas uz finanšu sektoru, rada savu spiediena kopumu. Tās galvenais mērķis ir nodrošināt kritisku finanšu pakalpojumu nepārtrauktību arī būtisku IKT traucējumu laikā. Šeit risks ir sistēmisks. Kļūme vienā finanšu subjektā vai pie viena no tā kritiskajiem IKT trešo pušu pakalpojumu sniedzējiem var radīt kaskādes ietekmi visā Eiropas ekonomikā. DORA mandāts ir to novērst, piemērojot augstu digitālās darbības noturības standartu. Neatbilstības izmaksas var būt ne tikai naudas sodi, bet arī darbības licenču zaudēšana un katastrofisks kaitējums reputācijai sektorā, kura pamatā ir uzticēšanās.

Darbības ietekme ir tikpat nopietna. Abi regulējumi nosaka stingrus incidentu ziņošanas termiņus. NIS2 paredz sākotnēju paziņojumu kompetentajām iestādēm 24 stundu laikā pēc būtiska incidenta konstatēšanas, kam 72 stundu laikā seko detalizētāks ziņojums. Šis saspiestais termiņš rada ievērojamu slodzi incidentu reaģēšanas komandām, prasot nobriedušus un iepriekš izmēģinātus procesus, kuru daudzām organizācijām pašlaik trūkst. Uzsvars vairs nav tikai uz incidenta ierobežošanu un atjaunošanu, bet arī uz ātru, pārredzamu komunikāciju ar regulatoriem.

Kā izskatās laba prakse

Šajā pastiprinātas pārbaudes laikmetā “labi” vairs nenozīmē politikas, kas glabājas plauktā, vai vienreiz iegūtu sertifikāciju. Tas nozīmē nepārtrauktu, pierādāmu darbības noturību. Tas nozīmē pāreju no reaģējošas, atbilstības virzītas nostājas uz proaktīvu, risku informācijā balstītu kultūru, kur kiberdrošība ir iestrādāta organizācijas darbības pamatā. Organizācijai, kas veiksmīgi orientējas NIS2 un DORA vidē, būs vairākas būtiskas pazīmes, no kurām daudzas sakņojas labi ieviestas, uz ISO 27001 balstītas informācijas drošības pārvaldības sistēmas principos.

Galīgais mērķis ir stāvoklis, kurā organizācija spēj pārliecinoši izturēt IKT traucējumus, reaģēt uz tiem un atjaunoties pēc tiem, vienlaikus aizsargājot savus kritiskos aktīvus un pakalpojumus. Tas prasa dziļu izpratni par biznesa procesiem un tehnoloģijām, kas tos nodrošina. Kā norāda Zenith Controls, šo regulējumu mērķis ir izveidot noturīgu digitālo infrastruktūru visā ES.

NIS2 direktīvas galvenais mērķis ir panākt augstu kopēju kiberdrošības līmeni visā Savienībā. Tā tiecas uzlabot gan publiskā, gan privātā sektora noturību un incidentu reaģēšanas spējas.

Šī “augstā kopējā līmeņa” sasniegšana nozīmē visaptverošas drošības programmas ieviešanu, kas aptver pārvaldību, risku pārvaldību, aktīvu aizsardzību, reaģēšanu uz incidentiem un piegādātāju drošību. Nobriedušai organizācijai būs skaidra sasaite no valdes līmenī apstiprinātas riska apetītes līdz konkrētiem tehniskajiem kontroles pasākumiem. Vadība ne tikai apstiprinās budžetu; tā aktīvi piedalīsies risku pārvaldības lēmumos, kā to paredz gan NIS2 (Article 20), gan DORA (Article 5).

Šo ideālo stāvokli raksturo proaktīva, izlūkošanas datos balstīta drošība. Tā vietā, lai tikai reaģētu uz brīdinājumiem, organizācija aktīvi vāc un analizē draudu izlūkdatus, lai paredzētu un mazinātu iespējamos uzbrukumus. Tas tieši saskan ar ISO/IEC 27002:2022 Control 5.7 (Threat intelligence), kas tagad ir skaidra prasība abos jaunajos regulējumos.

Turklāt noturība ir jāpārbauda, nevis jāpieņem kā pašsaprotama. “Labi” nozīmē organizāciju, kas regulāri veic reālistiskus incidentu reaģēšanas un darbības nepārtrauktības plānu testus. DORA noteiktajiem finanšu subjektiem tas var ietvert arī progresīvu draudu informācijā balstītu ielaušanās testēšanu (Threat-Led Penetration Testing, TLPT) — stingru reālu uzbrukuma scenāriju simulāciju. Ne katra organizācija ietilps darbības jomā, taču tām, uz kurām tas attiecas, TLPT ir saistoša prasība. Šāda testēšanas kultūra nodrošina, ka plāni nav tikai teorētiski dokumenti, bet praktiskas rokasgrāmatas, kas darbojas arī paaugstināta spiediena apstākļos.

Sasaiste ar ISO 27001:2022 kontroles tēmām

ISO 27001:2022 A pielikuma kontroles pasākumi, kā tie detalizēti izklāstīti ISO/IEC 27002:2022, veido mūsdienīgas informācijas drošības pārvaldības sistēmas pamatu. Kā uzsvērts Zenith Controls: The Cross-Compliance Guide,

Tādi kontroles pasākumi kā A.5.7 (Threat Intelligence), A.5.23 (Information Security for Use of Cloud Services) un A.5.29 (Supplier Relationships) ir tieši minēti gan NIS2, gan DORA ieviešanas vadlīnijās, uzsverot to centrālo nozīmi starpregulatīvā atbilstībā. Organizācijas, kas pilnībā ievieš šos kontroles pasākumus un nodrošina pierādījumus par to darbību, ir labā pozīcijā, taču tām joprojām jāizpilda jaunajos regulējumos ieviestie specifiskie ziņošanas, pārvaldības un noturības pienākumi.

Praktiskais ceļš: soli pa solim īstenojamas vadlīnijas

Atbilstības sasniegšana NIS2 un DORA prasībām var šķist milzīgs uzdevums, taču tas kļūst pārvaldāms, ja to sadala galvenajās drošības jomās. Izmantojot strukturētu pieeju, ko nodrošina ar ISO 27001 saskaņota informācijas drošības pārvaldības sistēma, organizācijas var sistemātiski izveidot nepieciešamās spējas. Tālāk sniegts praktisks ceļš, balstoties uz izveidotām politikām un nozares labo praksi.

1. Izveidot stingru pārvaldību un pārskatatbildību

Abi regulējumi galīgo atbildību uzliek “vadības struktūrai”. Tas nozīmē, ka kiberdrošību vairs nevar deleģēt tikai IT nodaļai. Valdei ir jāizprot, jāpārrauga un jāapstiprina kiberdrošības risku pārvaldības ietvars.

Pirmais solis ir šīs struktūras formalizēšana. Organizācijas politikām jāatspoguļo šī vadības līmeņa virzītā pieeja. Saskaņā ar P01S Informācijas drošības politiku — SME, kas ir pamatdokuments jebkurai informācijas drošības pārvaldības sistēmai, pašam politiku ietvaram ir nepieciešams skaidrs augstākās vadības apstiprinājums.

Informācijas drošības politikas jāapstiprina vadībai, jāpublicē un jākomunicē darbiniekiem un attiecīgajām ārējām pusēm.

Tas nozīmē, ka vadība aktīvi piedalās virziena noteikšanā. To vēl vairāk nostiprina skaidri definētas lomas. P02S Pārvaldības lomu un atbildību politika — SME nosaka, ka “informācijas drošības pienākumi jādefinē un jāpiešķir”, nodrošinot, ka nav neskaidrību par to, kurš ir atbildīgs par katru drošības programmas aspektu. NIS2 un DORA kontekstā tam jāietver norīkota persona vai komiteja, kas ir atbildīga par tiešu ziņošanu vadības struktūrai par atbilstības statusu.

Galvenās darbības:

• Iecelt valdes līmeņa sponsoru kiberdrošībai un noturībai.
• Ieplānot regulāru valdes līmeņa IDPS veiktspējas un regulatīvās atbilstības pārskatīšanu.
• Dokumentēt lēmumus, darbības un pārraudzības pierādījumus.

2. Ieviest visaptverošu risku pārvaldības ietvaru

Atkārtoti izvērtējiet un atjauniniet savu risku izvērtēšanas procesu. Kā norādīts Riska novērtēšanas metodoloģijas ieviešanas ceļvedī, “NIS2 un DORA pieprasa dinamisku, draudu informācijā balstītu risku izvērtēšanu, kas pārsniedz statiskus, ikgadējus pārskatus. Organizācijām jāintegrē draudu izlūkdati (A.5.7) un jānodrošina, ka risku izvērtēšana tiek atjaunināta, reaģējot uz izmaiņām apdraudējumu vidē vai uzņēmuma vidē.” Zenith Controls. NIS2 pārsniedz vispārīgu risku izvērtēšanu, Article 21 nosakot konkrētus risku pārvaldības pasākumus, tostarp piegādes ķēdes drošību, incidentu apstrādi, darbības nepārtrauktību un kriptogrāfijas izmantošanu. Šīm prasībām jābūt pierādāmi ieviestām un regulāri pārskatītām, skaidri parādot, ka atbilstība nav tikai dokumentācija, bet pierādāma darbības prakse.

Galvenās darbības:

• Iekļaut reāllaika draudu izlūkdatus risku izvērtēšanā.
• Nodrošināt, ka risku izvērtēšana skaidri aptver piegādes ķēdes un IKT trešo pušu riskus (A.5.29).
• Dokumentēt pārskatīšanas un atjaunināšanas procesu un nodrošināt tā pierādījumus.

Šim procesam jābūt nepārtrauktam un iteratīvam, nevis ikgadējai atzīmei kontrolsarakstā. Tas aptver visu — no piegādes ķēdes drošības līdz darbinieku informētībai.

3. Stiprināt reaģēšanu uz incidentiem un ziņošanu

NIS2 stingrie ziņošanas termiņi (sākotnējs paziņojums 24 stundu laikā) un DORA detalizētā klasifikācijas un ziņošanas shēma prasa ļoti nobriedušu incidentu pārvaldības funkciju. Tam nepietiek tikai ar SOC; ir nepieciešams skaidri definēts un izmēģināts plāns.

P30S Incidentu reaģēšanas politika — SME sniedz šīs spējas izveides plānu. Tajā uzsvērts, ka “organizācijai jāplāno un jāsagatavojas informācijas drošības incidentu pārvaldībai, definējot, izveidojot un komunicējot informācijas drošības incidentu pārvaldības procesus, lomas un pienākumus.” Reaģēšana uz incidentiem ir gan NIS2, gan DORA centrālais elements. Informācijas drošības incidentu pārvaldības politika (4.2. sadaļa) nosaka:

Organizācijām jāievieš procedūras incidentu atklāšanai, ziņošanai un reaģēšanai uz tiem piemērojamo regulējumu noteiktajos termiņos, kā arī jāuztur detalizēti ieraksti audita vajadzībām.

Galvenie ieviešamie elementi:

• Skaidra “būtiska incidenta” definīcija, kas iedarbina NIS2 un DORA ziņošanas termiņu.
• Iepriekš definēti komunikācijas kanāli un veidnes ziņošanai regulatoriem, CSIRT un citām ieinteresētajām pusēm.
• Regulāras praktiskās mācības un galda simulācijas, lai nodrošinātu, ka reaģēšanas komanda spēj efektīvi izpildīt plānu paaugstināta spiediena apstākļos.
• Pēc incidenta izvērtēšanas procesi, lai mācītos no katra notikuma un nepārtraukti pilnveidotu reaģēšanas spēju.

4. Stiprināt piegādes ķēdes un trešo pušu risku pārvaldību

Īpaši DORA paceļ IKT trešo pušu risku pārvaldību no sākotnējās uzticamības pārbaudes darbības līdz pamatdisciplīnai darbības noturībā. Finanšu subjekti tagad ir skaidri atbildīgi par savu kritisko IKT pakalpojumu sniedzēju noturību. Arī NIS2 prasa subjektiem risināt riskus, kas rodas no to piegādātājiem.

Trešo pušu un piegādātāju drošības politika, 5.2. sadaļa — SME prasa:

Pirms sadarbības uzsākšanas katrs piegādātājs ir jāpārskata attiecībā uz iespējamiem riskiem.

Tā arī nosaka nepieciešamos kontroles pasākumus, norādot, ka “organizācijas informācijas drošības prasības jāsaskaņo ar piegādātājiem un jādokumentē.” DORA un NIS2 gadījumā tas iet tālāk:

• Uzturēt visu IKT trešo pušu pakalpojumu sniedzēju reģistru, skaidri nošķirot tos, kas tiek uzskatīti par “kritiskiem”.
• Nodrošināt, ka līgumos ir iekļautas konkrētas klauzulas, kas aptver drošības kontroles pasākumus, audita tiesības un izstāšanās stratēģijas. Šajā jomā DORA ir ļoti preskriptīva.
• Regulāri veikt risku izvērtēšanu kritiskajiem piegādātājiem — ne tikai sākotnējās piesaistes laikā, bet visā attiecību dzīves ciklā.
• Izstrādāt ārkārtas rīcības plānus kritiskas piegādātāja attiecības neveiksmes vai izbeigšanas gadījumam, lai nodrošinātu pakalpojumu nepārtrauktību.

5. Veidot noturību un to testēt

Visbeidzot, abi regulējumi pēc būtības ir par noturību. Organizācijai jāspēj uzturēt kritiskas darbības kiberdrošības incidenta laikā un pēc tā. Tam nepieciešama visaptveroša darbības nepārtrauktības pārvaldības (BCM) programma.

Darbības nepārtrauktības un avārijas atjaunošanas politika — SME uzsver nepieciešamību drošību iestrādāt BCM plānošanā. Tā nosaka: “organizācijai jānosaka prasības informācijas drošībai un informācijas drošības pārvaldības nepārtrauktībai nelabvēlīgās situācijās.” Tas nozīmē, ka BCM un avārijas atjaunošanas (DR) plāni jāizstrādā, ņemot vērā kiberuzbrukumus. Galvenās darbības:

• Veikt biznesa ietekmes analīzi (BIA), lai identificētu kritiskos procesus un to atjaunošanas laika mērķus (RTO).
• Izstrādāt un dokumentēt BCM un DR plānus, kuri ir skaidri, izpildāmi un pieejami.
• Regulāri testēt šos plānus, izmantojot reālistiskus scenārijus, tostarp kiberuzbrukumu simulācijas. DORA prasība veikt draudu informācijā balstītu ielaušanās testēšanu noteiktajiem subjektiem ir šīs prakses augstākais līmenis.

Ievērojot šos soļus un iestrādājot tos ar ISO 27001 saskaņotā informācijas drošības pārvaldības sistēmā, organizācijas var izveidot pamatotu un efektīvu atbilstības programmu, kas atbilst augstajai latiņai, ko nosaka gan NIS2, gan DORA.

Sasaistes punkti: starpatbilstības atziņas

Viens no efektīvākajiem veidiem, kā pievērsties NIS2 un DORA, ir atzīt to būtisko pārklāšanos ar esošiem, globāli atzītiem standartiem, jo īpaši ISO/IEC 27001 un 27002 ietvaru. Skatot šos jaunos regulējumus caur ISO kontroles pasākumu prizmu, organizācijas var izmantot jau veiktos ieguldījumus informācijas drošības pārvaldības sistēmā un izvairīties no riteņa izgudrošanas no jauna.

Zenith Controls sniedz būtiskas krusteniskās atsauces, kas izgaismo šīs saiknes, parādot, kā viens ISO/IEC 27002:2022 kontroles pasākums var palīdzēt izpildīt vairāku regulējumu prasības.

Pārvaldība un politika (ISO/IEC 27002:2022 Control 5.1): Vadības struktūras pārraudzības mandāts ir gan NIS2, gan DORA stūrakmens. Tas pilnībā saskan ar Control 5.1, kas koncentrējas uz skaidru informācijas drošības politiku izveidi. Kā skaidro Zenith Controls, šis kontroles pasākums ir pamats vadības apņemšanās demonstrēšanai.

Šis kontroles pasākums tieši atbalsta NIS2 Article 20, kas paredz vadības struktūru atbildību par kiberdrošības risku pārvaldības pasākumu ieviešanas pārraudzību. Tas arī saskan ar DORA Article 5, kas prasa vadības struktūrai definēt, apstiprināt un pārraudzīt digitālās darbības noturības ietvaru.

Ieviešot noturīgu politiku ietvaru, ko apstiprina un regulāri pārskata vadība, tiek radīti galvenie pierādījumi, kas nepieciešami šo būtisko pārvaldības pantu izpildei.

Incidentu pārvaldība (ISO/IEC 27002:2022 Control 5.24): Abu regulējumu stingrās incidentu ziņošanas prasības tieši risina nobriedis incidentu pārvaldības plāns. Control 5.24 (Information security incident management planning and preparation) nodrošina tam struktūru. Sasaiste ir skaidra:

Šis kontroles pasākums ir būtisks atbilstībai NIS2 Article 21(2), kas nosaka pasākumus drošības incidentu apstrādei, un Article 23, kas nosaka stingrus incidentu ziņošanas termiņus. Tas arī kartējas uz DORA detalizēto incidentu pārvaldības procesu, kas aprakstīts Article 17 un ietver būtisku ar IKT saistītu incidentu klasificēšanu un ziņošanu.

Labi dokumentēts un pārbaudīts incidentu reaģēšanas plāns, kas balstīts uz šo kontroles pasākumu, nav tikai laba prakse; tas ir tiešs priekšnosacījums NIS2 un DORA atbilstībai.

IKT trešo pušu risks (ISO/IEC 27002:2022 Control 5.19): DORA intensīvā koncentrēšanās uz piegādes ķēdi ir viena no tās raksturīgākajām iezīmēm. Control 5.19 (Information security in supplier relationships) nodrošina ietvaru šo risku pārvaldībai. Zenith Controls uzsver šo kritisko saikni:

Šis kontroles pasākums ir fundamentāls, lai izpildītu plašās prasības DORA Chapter V par IKT trešo pušu risku pārvaldību. Tas arī atbalsta NIS2 Article 21(2)(d), kas prasa subjektiem nodrošināt savu piegādes ķēžu drošību, tostarp attiecības starp katru subjektu un tā tiešajiem piegādātājiem.

Ieviešot Control 5.19 aprakstītos procesus, piemēram, piegādātāju pārbaudi, līgumiskās vienošanās un nepārtrauktu uzraudzību, tiek izveidotas tieši tās spējas, ko pieprasa DORA un NIS2.

Darbības nepārtrauktība (ISO/IEC 27002:2022 Control 5.30): DORA būtība ir noturība. Control 5.30 (ICT readiness for business continuity) ir šī principa ISO ekvivalents. Saikne ir tieša un spēcīga.

Šis kontroles pasākums ir stūrakmens DORA pamatmērķa sasniegšanai — nodrošināt IKT sistēmu darbības nepārtrauktību un noturību. Tas tieši atbalsta prasības, kas izklāstītas DORA Chapter III (Digital Operational Resilience Testing) un Chapter IV (Managing ICT Third-Party Risk). Tas arī saskan ar NIS2 Article 21(2)(e), kas nosaka politikas darbības nepārtrauktībai, piemēram, rezerves kopiju pārvaldību un avārijas atjaunošanu.

Veidojot BCM programmu ap šo kontroles pasākumu, jūs vienlaikus veidojat DORA atbilstības pamatu. Tas parāda, ka ISO 27001 nav paralēls ceļš, bet tiešs Eiropas jauno regulatīvo prasību izpildes veicinātājs.

Ātrais pārskats: ISO 27001 A pielikums pret NIS2 un DORA

Šī sasaiste parāda, kā viens ISO kontroles pasākums var palīdzēt izpildīt vairākas regulatīvās prasības, padarot ISO 27001 par tiešu NIS2 un DORA atbilstības veicinātāju.

Gatavošanās pārbaudei: ko jautās auditori

Kad pie durvīm klauvēs regulatori vai auditori, viņi meklēs taustāmus pierādījumus par dzīvu, praksē darbojošos drošības un noturības programmu, nevis tikai dokumentu kopumu. Viņi pārbaudīs, vai jūsu politikas ir ieviestas, kontroles pasākumi ir efektīvi un plāni ir testēti. Izprotot viņu fokusu, varat sagatavot pareizos pierādījumus un nodrošināt, ka komandas ir gatavas atbildēt uz sarežģītiem jautājumiem.

Auditoru ceļvedis Zenith Blueprint sniedz vērtīgu ieskatu par to, ko sagaidīt. Auditori sistemātiski pārskatīs galvenās jomas, un jums jābūt gataviem katrai no tām.

Tālāk ir kontrolsaraksts par to, ko auditori pieprasīs un ko viņi darīs, balstoties uz savu metodoloģiju:

1. Pārvaldība un vadības apņemšanās:

• Ko viņi pieprasīs: valdes sanāksmju protokolus, risku komitejas nolikumus un parakstītas galveno informācijas drošības politiku kopijas.
• Ko viņi darīs: kā aprakstīts Zenith Blueprint sadaļā “1. fāze, 3. solis: izprast pārvaldības ietvaru”, auditori “pārbaudīs, vai vadības struktūra ir formāli apstiprinājusi ISMS politiku un regulāri saņem informāciju par organizācijas riska stāvokli.” Viņi meklēs pierādījumus par aktīvu iesaisti, nevis tikai parakstu uz gadu veca dokumenta.

2. Trešo pušu risku pārvaldība:

• Ko viņi pieprasīs: pilnīgu IKT piegādātāju uzskaiti, līgumus ar kritiskajiem pakalpojumu sniedzējiem, piegādātāju risku izvērtēšanas pārskatus un pierādījumus par nepārtrauktu uzraudzību.
• Ko viņi darīs: “4. fāze, 22. solis: novērtēt trešo pušu risku pārvaldību” laikā auditora uzmanības centrā būs uzticamības pārbaude un līgumiskā stingrība. Zenith Blueprint norāda nepieciešamos galvenos pierādījumus: “līgumi, pakalpojumu līmeņa vienošanās (SLA) un piegādātāju audita pārskati.” Viņi rūpīgi pārbaudīs šos dokumentus, lai pārliecinātos, ka tajos ir DORA noteiktās specifiskās klauzulas, piemēram, audita tiesības un skaidri drošības pienākumi.

3. Incidentu reaģēšanas un darbības nepārtrauktības plāni:

• Ko viņi pieprasīs: jūsu incidentu reaģēšanas plānu, darbības nepārtrauktības plānu, avārijas atjaunošanas plānu un, pats svarīgākais, pēdējo testu, mācību un simulāciju rezultātus.
• Ko viņi darīs: auditori ne tikai lasīs jūsu plānus. Kā detalizēti norādīts “3. fāze, 15. solis: pārskatīt incidentu reaģēšanas un darbības nepārtrauktības plānus”, viņu fokuss būs uz “plānu testēšanu un validēšanu.” Viņi pieprasīs pēcdarbību pārskatus no galda simulācijām, ielaušanās testēšanas rezultātus (īpaši TLPT pārskatus DORA gadījumā) un pierādījumus, ka testos konstatētie audita konstatējumi tika izsekoti līdz trūkumu novēršanas pasākumiem. Plāns, kas nekad nav testēts, auditoram tiek uzskatīts par plānu, kas faktiski nepastāv.

4. Drošības izpratne un apmācība:

• Ko viņi pieprasīs: apmācību materiālus, pabeigšanas ierakstus dažādām darbinieku grupām (tostarp vadības struktūrai) un pikšķerēšanas simulācijas rezultātus.
• Ko viņi darīs: sadaļā “2. fāze, 10. solis: novērtēt drošības informētību un apmācību” auditori “novērtēs apmācību programmas efektivitāti, pārskatot tās saturu, biežumu un pabeigšanas rādītājus.” Viņi vēlēsies redzēt, ka apmācība ir pielāgota konkrētām lomām un ka tās efektivitāte tiek mērīta.

Iepriekš sagatavoti pierādījumi pārvērtīs auditu no stresa pilnas, reaģējošas dokumentu meklēšanas par raitu jūsu organizācijas brieduma un apņemšanās noturībai demonstrāciju.

Biežākās kļūdas

Lai gan ceļš uz NIS2 un DORA atbilstību ir skaidrs, vairākas bieži sastopamas kļūdas var izjaukt pat labi iecerētus centienus. Šo risku apzināšanās ir pirmais solis to novēršanā.

1. “Tikai IT” domāšana: NIS2 un DORA uzskatīšana par problēmu, kas attiecas tikai uz IT vai kiberdrošības nodaļu, ir visizplatītākā kļūda. Tie ir organizācijas līmeņa regulējumi, kas koncentrējas uz darbības noturību. Bez vadības struktūras un biznesa vienību vadītāju atbalsta un aktīvas līdzdalības jebkuri atbilstības centieni nespēs aptvert pārvaldības un risku īpašumtiesību pamatprasības.

2. Piegādes ķēdes nenovērtēšana: Daudzām organizācijām ir aklā zona attiecībā uz patieso atkarību no trešo pušu IKT pakalpojumu sniedzējiem. Īpaši DORA prasa padziļinātu un visaptverošu izpratni par šo ekosistēmu. Vienkārša drošības anketas nosūtīšana vairs nav pietiekama. Nespēja pienācīgi identificēt visus kritiskos piegādātājus un līgumos iestrādāt noturīgas drošības un noturības prasības ir būtisks atbilstības trūkums.

3. “Papīra” noturība: Detalizētu incidentu reaģēšanas un darbības nepārtrauktības plānu izveide, kas labi izskatās uz papīra, bet nekad nav testēti reālistiskā scenārijā. Auditori un regulatori to ātri pamanīs. Noturība tiek pierādīta ar darbību, nevis dokumentāciju. Regulāras un stingras testēšanas trūkums ir brīdinājuma signāls, ka organizācija nav gatava reālai krīzei.

4. Draudu izlūkošanas ignorēšana: Tikai reaģēt uz apdraudējumiem nozīmē spēlēt zaudējošu spēli. Gan NIS2, gan DORA netieši un tieši prasa proaktīvāku, izlūkošanas datos balstītu pieeju drošībai. Organizācijām, kas neizveido procesu draudu izlūkdatu vākšanai, analīzei un izmantošanai, būs grūti pierādīt, ka tās efektīvi pārvalda risku, un tās vienmēr būs soli aiz uzbrucējiem.

5. Atbilstības uztveršana kā vienreizējs projekts: NIS2 un DORA nav projekti ar beigu datumu. Tie nosaka nepārtrauktu prasību pēc uzraudzības, ziņošanas un nepārtrauktas uzlabošanas. Organizācijas, kas to uztver kā skrējienu līdz termiņam un pēc tam samazina resursus, ātri zaudēs atbilstību un nebūs gatavas nākamajam auditam vai, vēl sliktāk, nākamajam incidentam.

Nākamie soļi

Ceļš uz NIS2 un DORA atbilstību ir maratons, nevis sprints. Tas prasa stratēģisku, strukturētu pieeju, kas balstīta pārbaudītos ietvaros. Visefektīvākais ceļš uz priekšu ir izmantot ISO 27001 visaptverošos kontroles pasākumus kā pamatu.

1. Veiciet trūkumu analīzi: Sāciet ar pašreizējās drošības nostājas izvērtēšanu pret NIS2, DORA un ISO 27001 prasībām. Mūsu galvenais ceļvedis Zenith Controls nodrošina detalizētu kartējumu, kas nepieciešams, lai saprastu, kur jūsu kontroles pasākumi atbilst prasībām un kur pastāv trūkumi.

2. Izveidojiet savu IDPS: Ja jums tādas vēl nav, izveidojiet formālu informācijas drošības pārvaldības sistēmu. Izmantojiet mūsu politiku veidņu kopu, piemēram, Full SME Pack — SME vai Full Enterprise Pack, lai paātrinātu pārvaldības ietvara izstrādi.

3. Sagatavojieties auditiem: No pirmās dienas pieņemiet auditora skatījumu. Izmantojiet Zenith Blueprint, lai saprastu, kā jūsu programma tiks pārbaudīta, un izveidotu pierādījumu bāzi, kas nepieciešama pārliecinošai atbilstības demonstrēšanai.

Secinājums

NIS2 direktīvas un DORA regulas stāšanās spēkā iezīmē izšķirošu brīdi kiberdrošībai un darbības noturībai Eiropā. Tie nav tikai pakāpeniski atjauninājumi esošajiem noteikumiem, bet gan būtiska regulatīvo gaidu pārveide, kas prasa lielāku vadības pārskatatbildību, dziļāku piegādes ķēdes pārbaudi un taustāmu apņemšanos nodrošināt noturību.

Lai gan izaicinājums ir būtisks, tā ir arī iespēja. Tā ir iespēja pāriet no kontrolsarakstu atbilstības uz patiesi noturīgu drošības stāvokli, kas ne tikai apmierina regulatorus, bet arī aizsargā organizāciju pret arvien pieaugošiem darbības traucējumu draudiem. Izmantojot ISO 27001 strukturēto, uz risku balstīto pieeju, organizācijas var izveidot vienotu programmu, kas efektīvi un rezultatīvi aptver abu regulējumu pamatprasības. Ceļš uz priekšu prasa apņemšanos, ieguldījumus un vadības līmeņa virzītu kultūras maiņu, taču rezultāts ir organizācija, kas nav tikai atbilstoša prasībām, bet patiesi noturīga mūsdienu digitālo apdraudējumu priekšā.