NIS2 reģistrācijas pierādījumi ISO 27001:2022 kontekstā

E-pasts Annas iesūtnē ienāca klusi, bet sajūta bija kā pēc sirēnas. Kā CloudFlow CISO — strauji augoša B2B SaaS pakalpojumu sniedzēja, kas apkalpo klientus visā ES, — viņa bija pieradusi pie drošības anketām, iepirkumu auditiem un ISO 27001 uzraudzības vizītēm. Šis ziņojums bija citāds.

Tēmas rindiņā bija rakstīts: “Information Request Regarding National Implementation of Directive (EU) 2022/2555 (NIS2).” Nacionālā kiberdrošības iestāde vēlējās, lai CloudFlow apstiprina savu klasifikāciju, sagatavo subjekta reģistrācijas informāciju, identificē darbības jomā esošos pakalpojumus un spēj pamatot kiberdrošības risku pārvaldības pasākumus.

Annai pie sienas bija ierāmēts ISO 27001:2022 sertifikāts. Pārdošanas komanda to izmantoja darījumos ar lielajiem uzņēmumiem. Valde bija apstiprinājusi informācijas drošības politiku. Iekšējais audits nesen bija slēdzis divus konstatējumus. Taču jautājums, kas tagad bija viņas priekšā, bija daudz konkrētāks par sertifikācijas statusu.

Vai CloudFlow varētu ātri un pamatoti pierādīt, ka tā ISO 27001:2022 IDPS aptver NIS2 pienākumus?

Tieši šeit daudzas organizācijas kļūdās. Tās uztver NIS2 subjekta reģistrāciju kā administratīvu iesniegumu — līdzīgi kā uzņēmumu reģistra vai nodokļu portāla datu atjaunināšanu. Tā tas nav. Reģistrācija ir ieeja uzraudzības redzamībā. Pēc šīs ieejas kompetentā iestāde var pieprasīt darbības jomas pamatojumu, valdes apstiprinājumu ierakstus, incidentu ziņošanas procedūras, piegādātāju riska pierādījumus, kontaktpunktus, kontroles efektivitātes rādītājus un pierādījumus, ka organizācija zina, kuri pakalpojumi ir kritiski.

SaaS, mākoņpakalpojumu, pārvaldīto pakalpojumu, pārvaldītās drošības, datu centru, digitālās infrastruktūras un noteiktiem finanšu sektora pakalpojumu sniedzējiem īstais jautājums vairs nav “Vai mums ir drošības politika?” Tas ir: “Vai mēs varam parādīt pierādījumu ķēdi no juridiskā pienākuma līdz IDPS darbības jomai, riska apstrādei, kontroles pasākuma darbībai un vadības pārraudzībai?”

Spēcīgākā NIS2 ieviešanas gatavības programma nav paralēla izklājlapa. Tas ir izsekojams pierādījumu modelis ISO 27001:2022 ietvarā.

NIS2 reģistrācija patiesībā ir pierādījumu jautājums

NIS2 plaši attiecas uz publiskām vai privātām organizācijām nozarēs, kas uzskaitītas I pielikumā un II pielikumā, ja tās sasniedz vai pārsniedz attiecīgo vidēja uzņēmuma slieksni. Tā aptver arī noteiktus subjektus neatkarīgi no lieluma, tostarp publisko elektronisko sakaru tīklu vai pakalpojumu sniedzējus, uzticamības pakalpojumu sniedzējus, TLD reģistrus, DNS pakalpojumu sniedzējus, vienīgos būtisku pakalpojumu sniedzējus un subjektus, kuru darbības traucējumi varētu ietekmēt sabiedrības drošību, veselību, sistēmisku risku vai nacionālu vai reģionālu kritiskumu.

Tehnoloģiju uzņēmumiem īpaši svarīgas ir digitālās kategorijas. I pielikumā ir iekļauta digitālā infrastruktūra, piemēram, mākoņdatošanas pakalpojumu sniedzēji, datu centru pakalpojumu sniedzēji, satura piegādes tīklu pakalpojumu sniedzēji, uzticamības pakalpojumu sniedzēji, DNS pakalpojumu sniedzēji un publisko elektronisko sakaru tīklu vai pakalpojumu sniedzēji. I pielikumā iekļauta arī IKT pakalpojumu pārvaldība uzņēmumu savstarpējiem pakalpojumiem, tostarp pārvaldīto pakalpojumu sniedzēji un pārvaldītās drošības pakalpojumu sniedzēji. II pielikumā ir iekļauti digitālo pakalpojumu sniedzēji, piemēram, tiešsaistes tirdzniecības vietas, tiešsaistes meklētājprogrammas un sociālo tīklu pakalpojumu platformas.

Tas nozīmē, ka organizācija var nonākt NIS2 darbības jomā pat tad, ja tā sevi neuzskata par “kritisko infrastruktūru”. B2B SaaS uzņēmumam ar pārvaldītas drošības funkcionalitāti, mākoņplatformai, kas atbalsta regulētus klientus, vai ar fintech saistītam pakalpojumu sniedzējam pēkšņi var būt nepieciešama reģistrācijas lieta, kompetentās iestādes kontaktu modelis un pamatots kontroles pasākumu stāsts.

NIS2 arī nošķir būtiskus un svarīgus subjektus. Būtiski subjekti parasti saskaras ar proaktīvāku uzraudzības modeli, savukārt svarīgi subjekti parasti tiek uzraudzīti pēc pierādījumiem par neatbilstību vai pēc incidentiem. Šī atšķirība ir svarīga, taču tā neatceļ sagatavošanās nepieciešamību. Abām kategorijām ir vajadzīga pārvaldība, risku pārvaldība, incidentu ziņošana, piegādātāju drošība un pierādījumi.

Finanšu iestādēm jāņem vērā arī DORA. NIS2 Article 4 atzīst, ka gadījumos, kad nozarspecifisks Savienības tiesību akts nosaka vismaz līdzvērtīgus kiberdrošības risku pārvaldības un incidentu ziņošanas pienākumus, attiecīgajās jomās piemēro šos nozarspecifiskos noteikumus. DORA piemēro no 2025. gada 17. janvāra, un tā nosaka IKT risku pārvaldību, būtisku ar IKT saistītu incidentu ziņošanu, digitālās operacionālās noturības testēšanu, informācijas apmaiņu, IKT trešo pušu risku pārvaldību, līgumiskos kontroles pasākumus un kritisko IKT trešo pušu pakalpojumu sniedzēju pārraudzību. Finanšu iestādēm, uz kurām attiecas DORA, DORA ir primārais kibernoturības ietvars pārklājošajām prasībām, taču NIS2 saskarnes un nacionālo iestāžu koordinācija joprojām var būt nozīmīga.

Mācība ir vienkārša. Negaidiet portāla lauku vai regulatora e-pastu, pirms sākat veidot pierādījumus. Katra reģistrācijas atbilde nozīmē nākotnes audita jautājumu.

Sāciet ar IDPS darbības jomu, nevis portāla veidlapu

ISO 27001:2022 ir noderīgs, jo tas liek organizācijai noteikt kontekstu, ieinteresētās puses, regulatīvos pienākumus, darbības jomu, riskus, apstrādes plānus, kontroles pasākumu darbību, uzraudzību, iekšējo auditu, vadības pārskatīšanu un pilnveidošanu.

Punkti 4.1 līdz 4.4 prasa organizācijai noteikt iekšējos un ārējos jautājumus, identificēt ieinteresētās puses un to prasības, izlemt, kuras prasības tiek risinātas ar IDPS, definēt IDPS darbības jomu, ņemot vērā saskarnes un atkarības, dokumentēt šo darbības jomu un uzturēt IDPS procesus.

NIS2 kontekstā šai darbības jomai jāatbild uz praktiskiem jautājumiem:

• Kuri ES pakalpojumi, juridiskās personas, meitasuzņēmumi, platformas, infrastruktūras komponenti un biznesa vienības ir būtiskas?
• Kura I pielikuma vai II pielikuma kategorija var būt piemērojama?
• Vai organizācija ir būtisks subjekts, svarīgs subjekts, DORA aptverta, ārpus darbības jomas vai gaida nacionālo klasifikāciju?
• Kuri pakalpojumi ir kritiski klientiem, sabiedrības drošībai, finanšu stabilitātei, veselības aprūpei, digitālajai infrastruktūrai vai citām regulētām nozarēm?
• Kuri mākoņpakalpojumu sniedzēji, MSP, MSSP, datu centri, apakšuzņēmēji un citi piegādātāji atbalsta šos pakalpojumus?
• Kuras dalībvalstis, kompetentās iestādes, CSIRT, DPA un finanšu uzraugi var būt būtiski?

Clarysec Zenith Blueprint: Auditor’s 30-Step Roadmap Zenith Blueprint šo darbu novieto agrīnā posmā — 2. solī, ieinteresēto pušu vajadzības un IDPS darbības joma. Tas organizācijām uzdod identificēt regulatorus un iestādes, pārskatīt tiesiskās un regulatīvās prasības, pārskatīt līgumus un vienošanās, veikt intervijas ar ieinteresētajām pusēm un ņemt vērā sagaidāmos nozares standartus.

4.2. darbības punkts: Apkopojiet visu nozīmīgo ieinteresēto pušu sarakstu un pierakstiet to prasības attiecībā uz informācijas drošību. Esiet rūpīgi — padomājiet par jebkuru personu vai organizāciju, kas sūdzētos vai ciestu sekas, ja jūsu drošība nedarbotos vai ja jums trūktu noteikta kontroles pasākuma. Šis saraksts noteiks, kam jums jānodrošina atbilstība vai izpilde ar IDPS starpniecību, un tas tiks izmantots risku izvērtēšanā un kontroles pasākumu atlasē.

Tas ir pareizais sākumpunkts NIS2 reģistrācijai. Pirms iesniegšanas izveidojiet īsu NIS2 darbības jomas memorandu, kas sasaista biznesa modeli ar I pielikuma vai II pielikuma kategorijām, dokumentē lieluma un pakalpojumu pieņēmumus, fiksē nacionālā regulējuma interpretāciju, identificē kompetentās iestādes un norāda, vai piemēro arī DORA, GDPR, klientu līgumus vai nozares noteikumus.

Clarysec SME Legal and Regulatory Compliance Policy Legal and Regulatory Compliance Policy - SME skaidri definē mērķi:

“Šī politika nosaka organizācijas pieeju tiesisko, regulatīvo un līgumisko pienākumu identificēšanai, izpildei un atbilstības pierādīšanai.”

Lielākām programmām Clarysec Legal and Regulatory Compliance Policy Legal and Regulatory Compliance Policy ir vēl tiešāka:

“Visi tiesiskie un regulatīvie pienākumi ir jākartē pret konkrētām politikām, kontroles pasākumiem un īpašniekiem informācijas drošības pārvaldības sistēmā (ISMS).”

Šis teikums ir ieviešanas gatavības pamats. Ja regulators jautā, kā tika identificēti NIS2 pienākumi, atbildei nevajadzētu būt “juridiskais dienests mūs informēja”. Atbildei jābūt dokumentētam reģistram, kas sasaistīts ar darbības jomu, riskiem, kontroles pasākumu īpašniekiem, procedūrām, saglabātiem pierādījumiem un vadības pārskatīšanu.

Veidojiet NIS2 pierādījumu ķēdi ISO 27001:2022 ietvarā

NIS2 Article 21 prasa būtiskiem un svarīgiem subjektiem ieviest atbilstošus un samērīgus tehniskus, operacionālus un organizatoriskus pasākumus, lai pārvaldītu riskus tīklu un informācijas sistēmām, kas tiek izmantotas darbībai vai pakalpojumu sniegšanai. Pasākumiem jāņem vērā jaunākais tehnoloģiju līmenis, attiecīgie Eiropas un starptautiskie standarti, ja piemērojami, izmaksas, pakļautība riskam, lielums, incidentu iespējamība un smaguma pakāpe, kā arī sabiedriskā un ekonomiskā ietekme.

Article 21(2) uzskaita minimālās jomas, tostarp riska analīzi un informācijas sistēmu drošības politikas, incidentu apstrādi, darbības nepārtrauktību, rezerves kopijas, avārijas atjaunošanu, krīzes pārvaldību, piegādes ķēdes drošību, drošu iegādi un izstrādi, ievainojamību apstrādi, efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, cilvēkresursu drošību, piekļuves kontroli, aktīvu pārvaldību, daudzfaktoru autentifikāciju vai nepārtrauktu autentifikāciju un drošu saziņu, ja tas ir atbilstoši.

ISO 27001:2022 dabiski atbilst šai struktūrai. Punkti 6.1.1 līdz 6.1.3 prasa risku izvērtēšanu un riska apstrādi, tostarp riska pieņemšanas kritērijus, riska īpašniekus, iespējamības un seku analīzi, risku apstrādes plānu, salīdzinājumu ar A pielikuma kontroles pasākumiem un Piemērojamības deklarāciju. 8. punkts prasa darbības plānošanu un kontroli, pierādījumus, ka procesi darbojas, kā plānots, izmaiņu kontroli, ārēji nodrošināto procesu kontroli, atkārtotu risku izvērtēšanu un dokumentētus apstrādes rezultātus. 9.1. punkts prasa uzraudzību, mērīšanu, analīzi un izvērtēšanu. 9.2. punkts prasa iekšējo auditu. 10.2. punkts prasa rīcību saistībā ar neatbilstībām un korektīvās darbības.

Clarysec Risk Management Policy Risk Management Policy - SME to pārvērš darbības noteikumā:

“Visi identificētie riski jāreģistrē Riska reģistrā.”

Uzņēmuma Risk Management Policy Risk Management Policy sasaista riska apstrādi ar ISO 27001:2022 kontroles pasākumu atlasi:

“Kontroles lēmumi, kas izriet no riska apstrādes procesa, ir jāatspoguļo SoA.”

Tas ir svarīgi, jo NIS2 pierādījumiem jābūt izsekojamiem. Ja iestāde jautā, kāpēc pastāv konkrēts kontroles pasākums, norādiet uz pienākumu, risku, apstrādes lēmumu, kontroles īpašnieku, SoA ierakstu, procedūru un pierādījumu. Ja iestāde jautā, kāpēc kontroles pasākums netika izvēlēts, norādiet uz SoA pamatojumu, apstiprinātu riska pieņemšanu un vadības pārskatīšanu.

Labākā pierādījumu ķēde ir garlaicīga vislabākajā nozīmē. Katram pienākumam ir īpašnieks. Katram īpašniekam ir kontroles pasākums. Katram kontroles pasākumam ir pierādījumi. Katram izņēmumam ir apstiprinājums. Katram audita konstatējumam ir korektīvā darbība.

Iekļaujiet Article 20 pārvaldību valdes pierādījumos

NIS2 Article 20 pārceļ kiberdrošību valdes līmenī. Vadības struktūrām jāapstiprina Article 21 vajadzībām pieņemtie kiberdrošības risku pārvaldības pasākumi, jāuzrauga to ieviešana, un tās var tikt sauktas pie atbildības par pārkāpumiem. Vadības struktūru locekļiem jāapgūst apmācība, un subjekti tiek mudināti nodrošināt regulāras kiberdrošības apmācības darbiniekiem.

Valde nevar vienkārši deleģēt NIS2 IT funkcijai. Pierādījumiem jāparāda, ka vadība saprata NIS2 darbības jomas analīzi, apstiprināja risku pārvaldības pieeju, pārskatīja būtiskos riskus, piešķīra resursus, sekoja ieviešanai, pārskatīja incidentus un mācības un saņēma apmācību.

ISO 27001:2022 punkti 5.1 līdz 5.3 atbalsta šo pārvaldības modeli, prasot augstākās vadības apņemšanos, informācijas drošības mērķu saskaņošanu ar biznesa stratēģiju, IDPS prasību integrāciju biznesa procesos, resursus, komunikāciju, pārskatatbildību un IDPS veiktspējas ziņošanu augstākajai vadībai.

Clarysec Governance Roles and Responsibilities Policy Governance Roles and Responsibilities Policy definē drošības koordinatora lomu kā tādu, kas:

“Kalpo kā galvenā saziņas persona ar auditoriem, regulatoriem un augstāko vadību informācijas drošības jautājumos.”

Šī loma NIS2 reģistrācijas pierādījumu paketē jānorāda konkrēti. To nedrīkst tikai pieņemt kā pašsaprotamu. Iestādes, auditori un klienti vēlas zināt, kurš koordinē regulatīvo saziņu, kurš ir incidentu ziņošanas īpašnieks, kurš uztur tiesisko reģistru, kurš atjaunina iestāžu kontaktus un kurš ziņo valdei.

Praktisks pārvaldības pierādījumu kopums ietver:

• Valdes apstiprinājumu kiberdrošības risku pārvaldības ietvaram.
• Vadības pārskatīšanas protokolus, kas aptver NIS2 darbības jomu, riskus, incidentus, piegādātājus un gatavību.
• Apmācību ierakstus vadības struktūru locekļiem un darbiniekiem.
• RACI matricu NIS2 pienākumiem, ISO 27001:2022 kontroles pasākumiem, incidentu ziņošanai, piegādātāju apliecināšanai un regulatīvajai komunikācijai.
• Pierādījumus, ka NIS2 pienākumi ir iekļauti iekšējā auditā un atbilstības uzraudzībā.
• Korektīvo darbību izsekošanu trūkumiem, nokavētiem riskiem, izņēmumiem un neveiksmīgiem testiem.

Articles 32 un 33 arī padara pierādījumu kvalitāti būtisku, identificējot nopietnu pārkāpumu faktorus, piemēram, atkārtotus pārkāpumus, nespēju paziņot par nozīmīgiem incidentiem vai novērst tos, nespēju novērst trūkumus pēc saistošiem norādījumiem, auditu vai uzraudzības kavēšanu un nepatiesu vai rupji neprecīzu informāciju. Vāji pierādījumi var kļūt par izpildes problēmu pat tad, ja tehniskie kontroles pasākumi pastāv.

Sagatavojiet iestāžu kontaktus un incidentu ziņošanas pierādījumus pirms 02:00

Sāpīgākās incidentu ziņošanas kļūmes bieži sākas ar pamatjautājumu: “Kam mums jāziņo?” Izspiedējprogrammatūras, DNS atteices, mākoņpakalpojumu kompromitēšanas vai datu ekspozīcijas laikā komandas zaudē laiku, meklējot pareizo CSIRT, kompetento iestādi, DPA, finanšu uzraugu, tiesībaizsardzības kanālu, klienta veidni un iekšējo apstiprinātāju.

NIS2 Article 23 prasa bez nepamatotas kavēšanās paziņot par nozīmīgiem incidentiem, kas ietekmē pakalpojumu sniegšanu. Nozīmīgs incidents ir tāds, kas ir izraisījis vai varētu izraisīt smagus darbības traucējumus vai finanšu zaudējumus, vai ir ietekmējis vai varētu ietekmēt citus, radot būtisku materiālu vai nemateriālu kaitējumu. Laika grafiks ir pakāpenisks: agrīnais brīdinājums 24 stundu laikā pēc tam, kad organizācija uzzina par incidentu, incidenta paziņojums 72 stundu laikā, starpposma atjauninājumi pēc pieprasījuma un galīgais ziņojums viena mēneša laikā pēc 72 stundu paziņojuma vai pēc incidenta apstrādes pastāvīgu incidentu gadījumā. Ja atbilstoši, pakalpojumu saņēmēji jāinformē arī par nozīmīgiem incidentiem vai būtiskiem kiberdraudiem un aizsardzības pasākumiem.

Zenith Blueprint, fāzē “Kontroles pasākumi darbībā”, 22. solī, uzskata kontaktu ar iestādēm par sagatavotību, nevis paniku:

Princips ir vienkāršs: ja jūsu organizācija būtu kiberuzbrukuma mērķis, iesaistīta datu aizsardzības pārkāpumā vai izmeklēšanā, kurš zvanītu iestādēm? Kā viņš zinātu, ko teikt? Kādos apstākļos šāda saziņa tiktu uzsākta? Uz šiem jautājumiem jāatbild iepriekš, nevis pēc fakta.

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls aptver ISO/IEC 27002:2022 control 5.5, saziņu ar iestādēm. Tas klasificē kontroles pasākumu kā preventīvu un koriģējošu, sasaistītu ar konfidencialitāti, integritāti un pieejamību, kā arī saistītu ar Identify, Protect, Respond un Recover jēdzieniem. Tas arī sasaista control 5.5 ar ISO/IEC 27002:2022 controls 5.24 informācijas drošības incidentu pārvaldības plānošana un sagatavošana, 6.8 informācijas drošības notikumu ziņošana, 5.7 draudu izlūkošana, 5.6 saziņa ar īpašu interešu grupām un 5.26 reaģēšana uz informācijas drošības incidentiem.

No savstarpējās atbilstības perspektīvas Zenith Controls kartē saziņu ar iestādēm pret NIS2 Article 23, GDPR paziņošanu par pārkāpumu, DORA incidentu ziņošanu, NIST SP 800-53 IR-6 Incident Reporting un COBIT 2019 ārējās eskalācijas praksēm. Viens iestāžu kontaktu reģistrs var kalpot vairākiem pienākumiem, ja tas ir pareizi izstrādāts.

Clarysec Incident Response Policy Incident Response Policy - SME skaidri nosaka juridisko triāžu:

“Ja ir iesaistīti klientu dati, ģenerāldirektoram jāizvērtē juridiskie paziņošanas pienākumi, pamatojoties uz GDPR, NIS2 vai DORA piemērojamību.”

Spēcīgā iestāžu kontaktu pierādījumu paketē jāiekļauj:

• Kompetentās iestādes un CSIRT kontaktinformācija pa dalībvalstīm un pakalpojumiem.
• DPA kontakti GDPR personas datu aizsardzības pārkāpuma paziņošanai.
• Finanšu uzraudzības kontakti, ja piemēro DORA.
• Tiesībaizsardzības un kibernoziegumu kontaktceļi.
• Pilnvarotie iekšējie komunikatori un aizvietotāji.
• Incidentu sliekšņi NIS2, GDPR, DORA, klientu līgumiem un kiberapdrošināšanai.
• 24 stundu, 72 stundu, starpposma atjauninājuma un viena mēneša ziņojumu veidnes.
• Galda mācību ieraksti, kuros testēta ārējā paziņošana.
• Ieraksti par iepriekšējiem paziņojumiem, lēmumiem nepaziņot un juridisko pamatojumu.

Kartējiet NIS2 Article 21 pret ISO 27001 kontroles pasākumiem un politiku pierādījumiem

Sertifikāts pats par sevi neatbild uz regulatora jautājumu. To dara kontroles pasākumu kartējums. Nākamā tabula drošības un atbilstības komandām sniedz praktisku tiltu starp NIS2 Article 21 jomām, ISO/IEC 27002:2022 kontroles pasākumiem, Clarysec politiku balstiem un pierādījumiem.

Clarysec Zenith Controls aptver arī ISO/IEC 27002:2022 control 5.31, tiesiskās, normatīvās, regulatīvās un līgumiskās prasības, kā preventīvu kontroles pasākumu ar ietekmi uz konfidencialitāti, integritāti un pieejamību. Tas sasaista 5.31 ar PII privātumu un aizsardzību, ierakstu glabāšanu, neatkarīgu pārskatīšanu un atbilstību iekšējām politikām. Tas arī kartē 5.31 pret GDPR pārskatatbildību, NIS2 piegādes ķēdes atbilstību, DORA IKT risku pārvaldību, NIST CSF pārvaldību, NIST SP 800-53 programmas kontroles pasākumiem un COBIT 2019 ārējās atbilstības pārraudzību.

“Control 5.31 nodrošina, ka visas būtiskās tiesiskās, regulatīvās, normatīvās un līgumiskās prasības, kas saistītas ar informācijas drošību, tiek identificētas, dokumentētas un nepārtraukti pārvaldītas.”

Tieši to nacionālā iestāde vēlas redzēt pēc reģistrācijas: ne tikai to, ka NIS2 ir uzskaitīts, bet arī to, ka organizācijai ir dzīvs mehānisms pienākumu identificēšanai, kartēšanai, ieviešanai, uzraudzībai un atjaunināšanai.

Neatdaliet NIS2 no DORA, GDPR, piegādātājiem un mākoņa

NIS2 pierādījumi reti pastāv izolēti.

NIS2 Article 21(2)(d) prasa piegādes ķēdes drošību, tostarp ar drošību saistītus aspektus attiecībās ar piegādātājiem un pakalpojumu sniedzējiem. Article 21(3) prasa piegādātāju riska lēmumos ņemt vērā ievainojamības, kopējo produkta kvalitāti, kiberdrošības prakses, drošas izstrādes procedūras un attiecīgus koordinētus ES piegādes ķēdes riska izvērtējumus.

ISO 27001:2022 A pielikums nodrošina darbības tiltu ar A.5.19 līdz A.5.23. SaaS un mākoņpakalpojumu organizācijām šie kontroles pasākumi bieži nosaka, vai reģistrācijas pierādījumi ir virspusēji vai pamatoti.

DORA finanšu iestādēm pastiprina piegādātāju aspektu. Articles 28 līdz 30 prasa IKT trešo pušu risku pārvaldību, IKT pakalpojumu līgumu reģistru, atšķirību starp pakalpojumiem, kas atbalsta kritiskas vai svarīgas funkcijas, pirmslīguma riska izvērtēšanu, sākotnējo izpēti, līgumiskās drošības prasības, audita un pārbaudes tiesības, izbeigšanas tiesības, testētas izstāšanās stratēģijas, apakšuzņēmēju izvērtēšanu, datu atrašanās vietas pārredzamību, atbalstu incidentu gadījumā, sadarbību ar iestādēm un pārejas pasākumus. Ja SaaS pakalpojumu sniedzējs apkalpo DORA regulētus klientus, tā līgumi un apliecinājumu pakete var tikt pārbaudīti pat tad, ja tas pats nav finanšu iestāde.

Tādēļ Clarysec Third-party and supplier security policy - SME Third-party and supplier security policy - SME jāsaista ar NIS2 pierādījumu paketi. Piegādātāju gatavībai jāietver:

• Piegādātāju uzskaite un kritiskuma klasifikācija.
• Piegādātāju sākotnējā izpēte un risku izvērtēšana.
• Līgumu klauzulas par drošību, atbalstu incidentu gadījumā, audita tiesībām, datu atrašanās vietu, apakšuzņēmējiem un izstāšanos.
• Mākoņa kopīgās atbildības matricas.
• Kritisko pakalpojumu sniedzēju uzraudzības ieraksti.
• Kritisko pakalpojumu izstāšanās un atjaunošanas testēšana.
• Piegādātāju incidentu paziņošanas un eskalācijas procedūras.

Jāintegrē arī GDPR. Nozīmīgs NIS2 incidents var būt arī personas datu aizsardzības pārkāpums, ja tiek kompromitēti klientu, darbinieku vai lietotāju dati. GDPR prasa pārziņiem pierādīt pārskatatbildību un, ja paziņošanas sliekšņi ir sasniegti, paziņot uzraudzības iestādei 72 stundu laikā pēc tam, kad tie uzzina par personas datu aizsardzības pārkāpumu. Jūsu incidentu reaģēšanas darbplūsmai paralēli jāizvērtē NIS2, GDPR, DORA, līgumiskie un klientu pienākumi.

Sagatavojiet vienas nedēļas NIS2 pierādījumu paketi

SaaS pakalpojumu sniedzējs, MSP, MSSP, mākoņpakalpojumu sniedzējs vai digitālās infrastruktūras uzņēmums vienas fokusētas nedēļas laikā var panākt būtisku progresu.

1. diena, klasificējiet subjektu un pakalpojumus. Izmantojiet IDPS darbības jomas paziņojumu un ieinteresēto pušu reģistru. Pievienojiet NIS2 darbības jomas memorandu, kas identificē I pielikuma vai II pielikuma kategorijas, ES pakalpojumus, dalībvalstis, klientus, atkarības, lieluma pieņēmumus un to, vai piemēro DORA vai nozares noteikumus. Ja juridiskā interpretācija nav galīga, reģistrējiet klasifikācijas nenoteiktību kā risku.

2. diena, atjauniniet tiesisko un regulatīvo pienākumu reģistru. Pievienojiet NIS2 Articles 20, 21 un 23, reģistrācijas prasības saskaņā ar nacionālajiem tiesību aktiem, GDPR pārkāpumu pienākumus, DORA pienākumus, ja attiecināmi, un galvenās līgumiskās paziņošanas prasības. Kartējiet katru pienākumu pret politiku, īpašnieku, kontroles pasākumu, pierādījumu avotu un pārskatīšanas biežumu.

3. diena, atjauniniet risku izvērtēšanu un apstrādi. Riska kritērijos iekļaujiet tiesisko, regulatīvo, operacionālo, piegādātāju, finanšu, reputācijas un sabiedrisko ietekmi. Pievienojiet tādus riskus kā nereģistrēšanās, nepareiza subjekta klasifikācija, nokavēts 24 stundu agrīnais brīdinājums, nepieejami iestāžu kontakti, piegādātāja darbības pārtraukums, kas ietekmē kritiskus pakalpojumus, nepietiekama valdes pārraudzība un nespēja pierādīt kontroles efektivitāti.

4. diena, atsvaidziniet SoA. Apstipriniet NIS2 būtiskos kontroles pasākumus, tostarp A.5.5 saziņu ar iestādēm, A.5.19 līdz A.5.23 piegādātāju un mākoņa kontroles pasākumus, A.5.24 līdz A.5.28 incidentu kontroles pasākumus, A.5.29 drošību traucējumu laikā, A.5.30 IKT gatavību darbības nepārtrauktībai, A.5.31 tiesiskās prasības, A.5.34 privātumu, A.8.8 ievainojamību pārvaldību, A.8.13 rezerves kopijas, A.8.15 žurnalēšanu, A.8.16 uzraudzības darbības, A.8.24 kriptogrāfiju un drošas izstrādes kontroles pasākumus A.8.25 līdz A.8.32.

5. diena, testējiet incidentu ziņošanu. Veiciet galda mācības: mākoņpakalpojuma nepareiza konfigurācija atklāj klientu datus un traucē pakalpojumu divās dalībvalstīs. Sāciet laika atskaiti. Vai komanda var klasificēt notikumu, izvērtēt GDPR, NIS2, DORA, līgumiskos un klientu sliekšņus, sagatavot 24 stundu agrīno brīdinājumu, sagatavot 72 stundu paziņojuma projektu, saglabāt pierādījumus un piešķirt pamatcēloņa analīzi?

6. diena, apkopojiet pierādījumus. Izveidojiet regulatoram gatavu mapi ar darbības jomas memorandu, tiesisko reģistru, riska reģistru, SoA, iestāžu kontaktu sarakstu, incidentu rokasgrāmatu, piegādātāju reģistru, valdes protokoliem, apmācību ierakstiem, žurnāliem, uzraudzības pārskatiem, rezerves kopiju testiem, ievainojamību pārskatiem, iekšējā audita darbības jomu un korektīvo darbību žurnālu.

7. diena, vadības pārskatīšana. Prezentējiet gatavības paketi vadībai. Reģistrējiet apstiprinājumus, atlikušos riskus, atvērtās darbības, termiņus, resursus un īpašnieku pārskatatbildību. Ja reģistrācija ir jāveic, pievienojiet pierādījumu indeksu reģistrācijas lēmuma ierakstam.

Clarysec Audit and Compliance Monitoring Policy for SMEs Audit and Compliance Monitoring Policy-sme - SME paredz šo vajadzību:

“Pierādījumiem jābūt saskaņotiem ar NIS2 pienākumiem, ja organizācija ir noteikta kā svarīgs subjekts vai citādi ietilpst nacionālo tiesību aktu darbības jomā”

Uzņēmuma Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy nosaka mērķi:

“Ģenerēt pamatotus pierādījumus un audita pēdu, lai atbalstītu regulatīvos pieprasījumus, tiesvedību vai klientu apliecinājuma pieprasījumus.”

Tas ir mērķis: pamatoti pierādījumi pirms pieprasījuma saņemšanas.

Sagatavojieties dažādām audita perspektīvām

Sertifikācijas auditors, nacionālā iestāde, klienta auditors, privātuma auditors un piegādātāju apliecinājuma komanda neuzdos identiskus jautājumus. Spēcīga NIS2 pierādījumu pakete darbojas visās šajās perspektīvās.

ISO/IEC 27002:2022 control 5.5 gadījumā auditori parasti sagaida dokumentētus iestāžu kontaktus, piešķirtu atbildību, kontaktu uzturēšanu, incidentu reaģēšanas rokasgrāmatas un scenārijos balstītu skaidrību. Vienkāršs audita jautājums var atklāt briedumu: “Izspiedējprogrammatūras gadījumā kurš sazinās ar tiesībaizsardzības iestādēm vai nacionālo CSIRT?” Ja atbilde ir atkarīga no tā, vai kāds atceras konkrētu vārdu, kontroles pasākums nav gatavs.

Clarysec Logging and Monitoring Policy Logging and Monitoring Policy - SME pastiprina pierādījumu gaidas:

“Žurnāliem jābūt pieejamiem un saprotamiem ārējiem auditoriem vai regulatoriem pēc pieprasījuma”

Clarysec Information Security Policy Information Security Policy nosaka plašāku uzņēmuma standartu:

“Visiem ieviestajiem kontroles pasākumiem jābūt auditējamiem, atbalstītiem ar dokumentētām procedūrām un saglabātiem darbības pierādījumiem.”

Tas ir audita tests vienā teikumā. Ja kontroles pasākumu nevar pierādīt, tam nebūs lielas nozīmes brīdī, kad kompetentā iestāde pieprasīs pierādījumus.

Galīgais NIS2 reģistrācijas pierādījumu kontrolsaraksts

Izmantojiet šo kontrolsarakstu pirms reģistrācijas vai pirms atbildes uz nacionālās iestādes pieprasījumu.

• Dokumentējiet NIS2 darbības jomas analīzi, tostarp I pielikuma vai II pielikuma pamatojumu, pakalpojumu aprakstus, lieluma pieņēmumus, dalībvalstu klātbūtni un subjekta klasifikāciju.
• Identificējiet, vai DORA piemēro tieši vai netieši caur finanšu sektora klientiem un IKT pakalpojumu līgumiem.
• Atjauniniet IDPS darbības jomu, iekļaujot attiecīgos pakalpojumus, atkarības, ārpakalpojuma procesus un regulatīvās saskarnes.
• Pievienojiet NIS2, GDPR, DORA, nozares noteikumus un līgumiskās prasības tiesisko un regulatīvo pienākumu reģistram.
• Kartējiet katru pienākumu pret politikām, kontroles pasākumiem, īpašniekiem, pierādījumiem, pārskatīšanas biežumu un vadības ziņošanu.
• Apstipriniet valdes apstiprinājumu un kiberdrošības risku pārvaldības pasākumu pārraudzību.
• Uzturiet vadības un darbinieku kiberdrošības apmācību ierakstus.
• Atjauniniet riska kritērijus, iekļaujot regulatīvo ietekmi, pakalpojumu traucējumus, klientu kaitējumu, pārrobežu ietekmi un piegādātāju atkarību.
• Reģistrējiet ar NIS2 saistītos riskus riska reģistrā un sasaistiet tos ar apstrādes plāniem.
• Atjauniniet SoA ar NIS2 būtiskajiem A pielikuma kontroles pasākumiem un ieviešanas statusu.
• Uzturiet iestāžu kontaktu sarakstus un paziņošanas procedūras CSIRT, kompetentajām iestādēm, DPA, finanšu uzraugiem un tiesībaizsardzības iestādēm.
• Testējiet 24 stundu agrīnā brīdinājuma, 72 stundu paziņojuma, starpposma atjauninājuma un viena mēneša galīgā ziņojuma darbplūsmu.
• Uzturiet piegādātāju un mākoņa pierādījumus, tostarp sākotnējo izpēti, līgumus, audita tiesības, uzraudzību, apakšuzņēmējus un izstāšanās plānus.
• Pierādiet kontroles efektivitāti ar žurnāliem, metriku, auditiem, informācijas paneļiem, testēšanas rezultātiem un korektīvajām darbībām.
• Sagatavojiet pierādījumu indeksu, lai uz jebkuru regulatora, klienta vai auditora pieprasījumu varētu atbildēt ātri.

Nākamais Clarysec solis

NIS2 subjekta reģistrācija nav finiša līnija. Tas ir brīdis, kad jūsu organizācija kļūst redzama nacionālajai kiberdrošības uzraudzībai. Pareizais jautājums nav “Vai mēs varam reģistrēties?” Pareizais jautājums ir: “Ja iestāde pēc reģistrācijas pieprasīs pierādījumus, vai mēs varam stundās, nevis nedēļās sagatavot saskaņotu ISO 27001:2022 stāstu?”

Clarysec palīdz organizācijām veidot šo stāstu ar Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls un praktiskiem ISO 27001:2022 politiku komplektiem, kas sasaista tiesiskos pienākumus, riska apstrādi, incidentu ziņošanu, piegādātāju drošību, žurnalēšanu, uzraudzību, audita pierādījumus un vadības pārskatatbildību.

Veiciet NIS2 pierādījumu trūkumu pārskatīšanu pret savu esošo IDPS. Sāciet ar darbības jomas memorandu, tiesisko reģistru, riska reģistru, SoA, iestāžu kontaktu sarakstu, incidentu ziņošanas darbplūsmu, piegādātāju reģistru un audita pierādījumu mapi. Ja šie artefakti ir nepilnīgi vai nesasaistīti, Clarysec var palīdzēt tos pārvērst regulatoram gatavā pierādījumu paketē, pirms nacionālā iestāde to pieprasa.