Kamp ta’ applikazzjoni tal-ISMS ISO 27001 għal NIS2, DORA u GDPR
Maria, is-CISO f’fintech Ewropea li kienet qed tikber b’rata mgħaġġla, ħasbet li l-awditu ta’ sorveljanza ISO 27001 kien taħt kontroll.
Iċ-ċertifikat kien għadu ġdid. Id-Dikjarazzjoni ta’ Applikabbiltà kienet tidher matura. Id-dikjarazzjoni tal-kamp ta’ applikazzjoni kienet tkopri “is-sistema korporattiva ta’ ġestjoni tas-sigurtà tal-informazzjoni li tappoġġja l-operazzjonijiet tal-pjattaforma SaaS.” L-ambjent cloud tal-produzzjoni kien dokumentat. Il-proċedura ta’ rispons għall-inċidenti kienet teżisti. Ir-Reġistru tar-Riskji kellu sidien, dati u klassifikazzjonijiet tar-riskju residwu.
Imbagħad l-awditur staqsa mistoqsija waħda sempliċi:
“Liema partijiet minn din il-pjattaforma SaaS huma wkoll fil-kamp ta’ applikazzjoni għar-reġistrazzjoni taħt NIS2, liema servizzi esternalizzati jappoġġjaw funzjonijiet kritiċi jew importanti taħt DORA għall-klijenti finanzjarji tagħkom, u eżattament fejn tiġi pproċessata data personali taħt GDPR?”
Il-kamra waqgħet fis-skiet.
It-tim legali fetaħ spreadsheet tal-obbligi regolatorji. It-tim tal-prodott fetaħ dijagramma tal-arkitettura. Id-DPO fetaħ ir-Record of Processing Activities (RoPA). L-akkwist fetaħ il-lista tal-fornituri. L-operazzjonijiet fetħu l-pjan ta’ rkupru minn diżastru. L-ebda wieħed minnhom ma kien jaqbel mal-ieħor.
Il-kamp ta’ applikazzjoni tal-ISMS kien jgħid “pjattaforma SaaS.” L-evalwazzjoni taħt NIS2 identifikat servizzi ta’ infrastruttura diġitali f’diversi Stati Membri. Il-kuntratti tal-klijenti ddeskrivew il-pjattaforma bħala waħda li tappoġġja operazzjonijiet finanzjarji regolati. Ir-reġistri taħt GDPR kienu jinkludu data tal-identità, telemetrija, indirizzi IP, metadata tal-pagamenti, tickets ta’ appoġġ u analitika sottokuntrattata. Il-pjan ta’ rkupru minn diżastru kien ikopri l-produzzjoni, iżda mhux il-pjattaforma tal-appoġġ lill-klijenti użata għall-komunikazzjonijiet dwar ksur. Id-diliġenza dovuta tal-fornituri kienet tkopri l-fornitur tal-hosting, iżda mhux is-servizz Managed Detection and Response (MDR) konness mal-logijiet tal-produzzjoni.
Din hija l-problema tal-2026 fid-definizzjoni tal-kamp ta’ applikazzjoni tal-ISMS. Iċ-ċertifikazzjoni ISO 27001 tibqa’ siewja, iżda “kamp minimu vijabbli” jista’ jsir responsabbiltà meta s-superviżuri, il-klijenti u l-awdituri jistennew li l-istess sistema ta’ ġestjoni tispjega s-servizzi essenzjali taħt NIS2, il-funzjonijiet kritiċi jew importanti taħt DORA u l-konfini tal-ipproċessar taħt GDPR.
Għal ISO/IEC 27001:2022, NIS2, DORA u GDPR, kamp ta’ applikazzjoni dgħajjef mhuwiex difett amministrattiv. Huwa l-ewwel domino. Jekk il-kamp ikun żbaljat, il-valutazzjoni tar-riskju tkun mhux kompluta, is-SoA tkun qarrieqa, il-kontrolli tal-fornituri jitilfu fornituri kritiċi, il-ħinijiet tar-rappurtar tal-inċidenti jsiru inċerti u r-responsabbiltà għall-privatezza tinqasam bejn it-timijiet.
Għaliex il-kamp ta’ applikazzjoni tal-ISMS ISO 27001 issa huwa konfini regolatorju
ISO/IEC 27001:2022 Clause 4.3 teħtieġ li organizzazzjoni tiddetermina l-konfini u l-applikabbiltà tal-ISMS, filwaqt li tqis kwistjonijiet interni u esterni, ir-rekwiżiti tal-partijiet interessati, u l-interfaċċi u d-dipendenzi ma’ organizzazzjonijiet oħra ISO/IEC 27001:2022.
Dak il-kliem huwa aktar importanti fl-2026 milli kien f’ċikli preċedenti ta’ ċertifikazzjoni. NIS2, DORA, GDPR, esternalizzazzjoni cloud, kuntratti tal-klijenti, servizzi teknoloġiċi tal-grupp u fornituri ta’ servizzi ġestiti mhumiex noti sekondarji. Huma inputs għall-konfini tal-ISMS.
NIS2 tgħolli l-livell tal-governanza għal entitajiet essenzjali u importanti. Teħtieġ li l-korpi ta’ tmexxija japprovaw miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni u jirċievu taħriġ. NIS2 Article 21 teħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati, inklużi analiżi tar-riskju, ġestjoni tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, akkwist u żvilupp siguri, evalwazzjoni tal-effettività, iġjene ċibernetika, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi u awtentikazzjoni multifattur fejn xieraq.
DORA tbiddel il-konverżazzjoni dwar il-kamp ta’ applikazzjoni għall-entitajiet finanzjarji. Tapplika mis-17 ta’ Jannar 2025 u tistabbilixxi rekwiżiti uniformi għall-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti relatati mal-ICT, l-ittestjar tar-reżiljenza operattiva diġitali, il-qsim tal-informazzjoni u l-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT. DORA Article 6 teħtieġ qafas dokumentat għall-ġestjoni tar-riskju tal-ICT. DORA Article 8 teħtieġ l-identifikazzjoni, il-klassifikazzjoni u d-dokumentazzjoni tal-funzjonijiet tan-negozju appoġġjati mill-ICT, l-assi tal-informazzjoni u l-assi tal-ICT, inklużi d-dipendenzi. DORA Article 28 teħtieġ il-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT.
GDPR iżżid l-assi tad-data personali. Tapplika għall-ipproċessar awtomatizzat jew strutturat ta’ data personali, inkluż ipproċessar minn stabbilimenti fl-UE u minn ċerti kontrolluri jew proċessuri mhux tal-UE li joffru oġġetti jew servizzi lil persuni fl-Unjoni jew li jimmonitorjaw l-imġiba tagħhom. GDPR Article 30 teħtieġ reġistri tal-attivitajiet tal-ipproċessar, Article 32 teħtieġ is-sigurtà tal-ipproċessar, u Article 33 jistabbilixxi l-aspettattivi għan-notifika ta’ ksur.
Għalhekk, kamp ta’ applikazzjoni tal-ISMS difensibbli ma jinkitibx madwar dipartimenti. Jinkiteb madwar servizzi regolati, funzjonijiet kritiċi jew importanti, ipproċessar ta’ data personali, assi ta’ appoġġ u dipendenzi fuq partijiet terzi.
L-iżball: ISO 27001, NIS2, DORA u GDPR jiġu trattati bħala programmi separati
F’ħafna organizzazzjonijiet jidher mudell komuni:
- Is-sigurtà tabbozza l-kamp ta’ applikazzjoni ta’ ISO 27001.
- It-tim legali jevalwa l-applikabbiltà ta’ NIS2.
- Ir-riskju jew il-konformità jmexxu l-obbligi ta’ DORA.
- Il-privatezza żżomm ir-reġistri tal-attivitajiet tal-ipproċessar taħt GDPR.
- L-akkwist għandu l-lista tal-fornituri.
- L-operazzjonijiet għandhom il-kontinwità tan-negozju u l-irkupru minn diżastru.
Kull tim jista’ jkun qed jagħmel xogħol raġonevoli. Il-problema hija li r-realtà regolata taqsam dawn kollha.
Servizz tal-identità tal-klijenti ospitat fil-cloud jista’ fl-istess ħin jappoġġja l-provvista ta’ servizz taħt NIS2, operazzjonijiet tal-klijenti regolati minn DORA u ipproċessar ta’ data personali taħt GDPR. Fornitur Managed Detection and Response (MDR) jista’ jkun fornitur tas-sigurtà, dipendenza tar-rispons għall-inċidenti, proċessur jew sottoproċessur tad-data tal-logijiet u input ewlieni għad-deċiżjonijiet dwar notifika regolatorja. Pjattaforma ta’ appoġġ tista’ titqies “mhux ta’ produzzjoni,” filwaqt li xorta timmaniġġja komunikazzjonijiet dwar ksur ta’ data personali u talbiet tal-klijenti għal evidenza.
L-ISMS huwa l-aħjar post biex dawn l-obbligi jiġu integrati, għax ISO 27001 timponi mistoqsija dixxiplinata waħda: x’hemm ġewwa l-konfini, x’hemm barra, u għaliex?
Zenith Blueprint: pjan direzzjonali fi 30 pass għall-awditur ta’ Clarysec Zenith Blueprint jindirizza dan fil-fażi tal-pedament u t-tmexxija tal-ISMS, Pass 2: rekwiżiti tal-partijiet interessati u kamp ta’ applikazzjoni tal-ISMS:
“Meta l-kuntest ikun mifhum u r-rekwiżiti tal-partijiet interessati jkunu identifikati, Clause 4.3 titlobek tiddetermina l-konfini u l-applikabbiltà tal-ISMS biex tistabbilixxi l-kamp ta’ applikazzjoni tiegħu. Il-kamp ta’ applikazzjoni tal-ISMS huwa definizzjoni kruċjali li tistabbilixxi x’inhu inkluż taħt il-programm tiegħek ta’ ġestjoni tas-sigurtà (u x’mhuwiex).”
Il-Zenith Blueprint jenfasizza wkoll punt li ħafna dikjarazzjonijiet tal-kamp ta’ applikazzjoni għadhom jitilfu:
“Jekk testernalizza l-infrastruttura tal-IT tiegħek lil fornitur cloud, dan ma jeskludihiex mill-kamp ta’ applikazzjoni; għall-kuntrarju, tinkludi l-ġestjoni ta’ dik ir-relazzjoni u l-assi cloud bħala parti mill-kamp ta’ applikazzjoni.”
L-esternalizzazzjoni tbiddel l-eżekuzzjoni. Ma tħassarx ir-responsabbiltà.
Il-mudell b’erba’ konfini għall-kamp ta’ applikazzjoni ta’ ISO 27001 fl-2026
Għal organizzazzjonijiet affettwati minn NIS2, DORA u GDPR, Clarysec tirrakkomanda li l-kamp ta’ applikazzjoni tal-ISMS ISO 27001 jiġi definit permezz ta’ erba’ konfini konnessi.
| Konfini | Mistoqsija ewlenija dwar il-kamp ta’ applikazzjoni | Evidenza tipika | Rilevanza regolatorja |
|---|---|---|---|
| Konfini tas-servizz | Liema servizzi jingħataw lill-klijenti, liċ-ċittadini, lill-pazjenti, lill-entitajiet finanzjarji jew lil partijiet interessati regolati oħra? | Katalgu tas-servizzi, evalwazzjoni tal-applikabbiltà ta’ NIS2, kuntratti tal-klijenti, dijagrammi tal-arkitettura | Klassifikazzjoni bħala entità essenzjali jew importanti taħt NIS2 u analiżi tal-impatt fuq is-servizz |
| Konfini tal-funzjoni | Liema proċessi tan-negozju jew servizzi tal-ICT jappoġġjaw funzjonijiet kritiċi jew importanti? | BIA, immappjar tal-funzjonijiet kritiċi taħt DORA, strateġija ta’ reżiljenza, reġistri RTO u RPO | Ġestjoni tar-riskju tal-ICT taħt DORA, ittestjar tar-reżiljenza operattiva u riskju ta’ partijiet terzi |
| Konfini tal-ipproċessar | Fejn tinġabar, tinħażen, tintuża, tiġi trasferita, tiġi rreġistrata f’logijiet, tiġi appoġġjata jew titħassar data personali? | RoPA, mapep tal-flussi tad-data, DPIAs, lista tal-proċessuri, skeda ta’ żamma | Responsabbiltà taħt GDPR, sigurtà tal-ipproċessar u rispons għal ksur |
| Konfini tad-dipendenzi | Liema fornituri, servizzi cloud, sottokuntratturi u servizzi interni kondiviżi jappoġġjaw dan ta’ hawn fuq? | Reġistru tal-fornituri, kuntratti, inventarju cloud, pjanijiet ta’ ħruġ, reġistri ta’ monitoraġġ | Sigurtà tal-katina tal-provvista taħt NIS2, riskju ta’ partijiet terzi tal-ICT taħt DORA u kontrolli tal-fornituri ta’ ISO 27001 |
Dikjarazzjoni dgħajfa tal-kamp ta’ applikazzjoni tgħid biss “il-pjattaforma SaaS.” Dikjarazzjoni aktar b’saħħitha tgħid liema servizzi tan-negozju, sistemi, ambjenti, postijiet, attivitajiet ta’ pproċessar tad-data, gruppi ta’ persunal, relazzjonijiet mal-fornituri u proċessi ta’ ġestjoni huma inklużi.
Verżjoni aktar difensibbli tista’ taqra hekk:
“L-ISMS ikopri l-governanza, il-ġestjoni tar-riskju, l-operat u t-titjib kontinwu tas-sigurtà tal-informazzjoni għall-pjattaforma SaaS tal-kumpanija fl-UE għall-analitika tal-pagamenti, inklużi ambjenti cloud ta’ produzzjoni u mhux ta’ produzzjoni, servizzi tal-identità tal-klijenti, interfaċċi amministrattivi, operazzjonijiet ta’ appoġġ, pjattaformi ta’ logging u monitoraġġ, rispons għall-inċidenti, kontinwità tan-negozju, ġestjoni tal-fornituri u l-attivitajiet kollha ta’ pproċessar tad-data personali li jappoġġjaw is-servizz. L-ISMS jinkludi l-ġestjoni tal-cloud hosting esternalizzat, Managed Detection and Response (MDR) u għodod ta’ appoġġ lill-klijenti użati għat-twassil tas-servizz, ir-reżiljenza, il-monitoraġġ tas-sigurtà jew komunikazzjonijiet relatati ma’ GDPR.”
Dan il-kamp ta’ applikazzjoni mhuwiex sempliċement itwal. Huwa aktar adattat għall-awditjar għax jgħaqqad servizzi, assi, ipproċessar u dipendenzi.
Kif il-politiki ta’ Clarysec ibiddlu l-kamp ta’ applikazzjoni f’lingwaġġ ta’ governanza
Il-kamp ta’ applikazzjoni m’għandux jgħix f’dokument waħdu. Għandu jkun allinjat mal-politika tas-sigurtà tal-informazzjoni, il-konformità legali u regolatorja, il-ġestjoni tar-riskju, il-privatezza, il-governanza tal-fornituri, il-kriterji tal-awditjar u l-ippjanar tal-kontinwità.
Il-Politika tas-Sigurtà tal-Informazzjoni għall-intrapriżi Politika tas-Sigurtà tal-Informazzjoni tipprevjeni ambigwità dwar l-esklużjonijiet:
“Kwalunkwe esklużjoni jew limitazzjoni għal dan il-kamp ta’ applikazzjoni għandha tiġi dokumentata fid-Dikjarazzjoni tal-kamp ta’ applikazzjoni tal-ISMS u ġġustifikata b’approvazzjoni formali mit-Tmexxija Għolja.”
Din il-klawżola hija importanti meta unità tan-negozju ssostni li l-appoġġ lill-klijenti huwa barra mill-pjattaforma, minkejja li l-aġenti tal-appoġġ jaċċessaw identifikaturi tal-klijenti u jimmaniġġjaw komunikazzjonijiet dwar ksur. L-esklużjoni hija possibbli biss jekk tkun dokumentata, iġġustifikata u approvata.
Il-Politika dwar il-Konformità Legali u Regolatorja għall-intrapriżi Politika dwar il-Konformità Legali u Regolatorja tagħmel l-immappjar legali operattiv:
“L-obbligi legali u regolatorji kollha għandhom jiġu mmappjati għal politiki, kontrolli u sidien speċifiċi fi ħdan is-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS).”
Dan huwa l-pont bejn l-applikabbiltà legali u d-Dikjarazzjoni ta’ Applikabbiltà. NIS2 Article 21 m’għandux jibqa’ f’memorandum legali. L-obbligi ta’ partijiet terzi tal-ICT taħt DORA m’għandhomx jibqgħu biss fi gwida tal-akkwist. L-obbligi taħt GDPR Article 30 u Article 32 m’għandhomx jibqgħu biss fir-reġistru tal-privatezza. Jeħtieġu sidien, kontrolli u evidenza mmappjati.
Il-Politika tal-Ġestjoni tar-Riskju għall-intrapriżi Politika tal-Ġestjoni tar-Riskju twessa’ l-kamp ta’ applikazzjoni għal partijiet terzi:
“Din il-politika tapplika għall-unitajiet organizzattivi kollha, il-proċessi tan-negozju, is-sistemi, il-persunal u l-involvimenti ma’ partijiet terzi involuti fl-immaniġġjar, l-iżvilupp, il-ħażna jew il-ġestjoni tal-assi tal-informazzjoni.”
Dan il-kliem jallinja mas-sigurtà tal-katina tal-provvista taħt NIS2, ir-riskju ta’ partijiet terzi tal-ICT taħt DORA u r-responsabbiltà ta’ kontrollur jew proċessur taħt GDPR.
Il-Politika dwar il-Protezzjoni tad-Data u l-Privatezza għall-intrapriżi Politika dwar il-Protezzjoni tad-Data u l-Privatezza torbot il-kamp tal-privatezza mal-ipproċessar:
“Din il-politika tapplika għall-unitajiet organizzattivi, il-persunal u s-sistemi kollha involuti fl-ipproċessar ta’ informazzjoni li tidentifika persuna (PII), inklużi:”
Il-prinċipju huwa deċiżiv. Jekk sistema tipproċessa PII, ma tistax tkun inviżibbli għall-ISMS għax hija “appoġġ biss,” “mhux ta’ produzzjoni” jew “proprjetà tal-marketing.”
Il-Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru għall-intrapriżi Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru torbot il-kamp ta’ applikazzjoni mar-riżultati tal-BIA:
“Din il-politika tapplika għall-unitajiet organizzattivi kollha, is-sistemi tal-informazzjoni, il-proċessi tan-negozju, il-persunal u s-servizzi ta’ partijiet terzi kklassifikati bħala kritiċi jew essenzjali abbażi tar-riżultati tal-Business Impact Analysis (BIA).”
Dik il-klawżola tallinja b’mod naturali mal-funzjonijiet kritiċi jew importanti taħt DORA u l-kontinwità tas-servizzi taħt NIS2.
Għal organizzazzjonijiet iżgħar, il-politiki għall-SMEs ta’ Clarysec iżommu l-kliem konċiż filwaqt li jippreservaw l-istess loġika. Il-Politika tal-Monitoraġġ tal-Awditjar u tal-Konformità għall-SMEs Politika tal-Monitoraġġ tal-Awditjar u tal-Konformità għall-SMEs tiddefinixxi l-kopertura tal-awditjar bħala:
“Il-kontrolli u s-sistemi kollha fil-kamp ta’ applikazzjoni tas-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS)”
Il-Politika dwar il-Protezzjoni tad-Data u l-Privatezza għall-SMEs Politika dwar il-Protezzjoni tad-Data u l-Privatezza għall-SMEs tiddefinixxi l-kamp tal-privatezza bħala:
“Kwalunkwe sistema, applikazzjoni jew post fejn tinħażen jew tiġi trażmessa data personali”
Il-Politika tal-Ġestjoni tar-Riskju għall-SMEs Politika tal-Ġestjoni tar-Riskju għall-SMEs iżżomm is-servizzi esternalizzati viżibbli:
“L-informazzjoni, is-servizzi u l-assi kollha ġestiti internament jew permezz ta’ partijiet terzi”
Klawżoli qosra bħal dawn huma b’saħħithom għax iwaqqfu konfini ta’ ċertifikazzjoni milli jeskludi data regolata, servizzi cloud jew assi ġestiti minn fornituri.
L-inventarju tal-assi huwa fejn il-kamp ta’ applikazzjoni jsir reali
Dikjarazzjoni tal-kamp ta’ applikazzjoni tkun kredibbli biss jekk tista’ tiġi traċċata għal assi, sidien, fornituri, flussi tad-data u evidenza.
Il-Zenith Blueprint, fil-fażi tal-Ġestjoni tar-Riskju, Pass 9: Identifikazzjoni tal-Assi, it-Theddid u l-Vulnerabbiltajiet, jordna lill-organizzazzjonijiet jelenkaw l-assi fil-kamp ta’ applikazzjoni tal-ISMS u jirreġistraw is-sid, il-post u l-klassifikazzjoni. Jagħti eżempju prattiku:
“Database tal-klijenti – proprjetà tad-Dipartiment tal-IT – ospitata fuq AWS – fiha data personali u finanzjarja (sensittività għolja).”
L-istess pass iżid tfakkira dwar il-kamp ta’ applikazzjoni li hija direttament rilevanti għal NIS2 u GDPR:
“Kun żgur li l-assi tad-data personali jiġu mmarkati (għar-rilevanza ta’ GDPR) u li l-assi ta’ servizzi kritiċi jiġu nnutati (għal applikabbiltà potenzjali ta’ NIS2 jekk tkun f’settur regolat).”
Zenith Controls: Il-Gwida għall-Konformità Trasversali ta’ Clarysec Zenith Controls tittratta ISO/IEC 27002:2022 control 5.9, Inventarju tal-informazzjoni u assi assoċjati oħra, bħala kontroll fundamentali għall-konformità trasversali. L-attributi tiegħu jikklassifikaw il-kontroll bħala preventiv, li jappoġġja l-kunfidenzjalità, l-integrità u d-disponibbiltà, allinjat mal-kunċett taċ-ċibersigurtà Identify, il-kapaċità operattiva tal-ġestjoni tal-assi, u l-oqsma tal-governanza, l-ekosistema u l-protezzjoni.
Zenith Controls jispjega b’mod ċar ir-rilevanza għal GDPR u NIS2:
“Mingħajr inventarju tal-assi preċiż u aġġornat, l-organizzazzjonijiet ma jistgħux jevalwaw jew jimplimentaw protezzjonijiet xierqa.”
Għal NIS2, l-inventarju tal-assi jappoġġja l-identifikazzjoni ta’ sistemi u komponenti kritiċi li jsostnu servizzi essenzjali jew importanti. Għal DORA, DORA Article 8 jagħmel l-identifikazzjoni tal-assi tal-ICT u tal-assi tal-informazzjoni ċentrali għar-reżiljenza operattiva. Għal GDPR, l-inventarju tal-assi jappoġġja l-immappjar tal-flussi tad-data, il-kwalità tar-RoPA u r-rispons għal ksur.
Standards ISO ta’ appoġġ isaħħu l-istess loġika. ISO/IEC 27005:2024 isaħħaħ l-identifikazzjoni tal-assi fil-valutazzjoni tar-riskju tas-sigurtà tal-informazzjoni. ISO 22301:2019 jappoġġja l-identifikazzjoni tar-riżorsi meħtieġa għall-kontinwità tan-negozju. ISO/IEC 19770-1:2017 jappoġġja l-maturità tal-ġestjoni tal-assi tal-IT. ISO/IEC 27017:2015 u ISO/IEC 27018:2019 jappoġġjaw kontrolli speċifiċi għall-cloud u l-protezzjoni ta’ PII f’clouds pubbliċi. ISO/IEC 27701:2019 jestendi l-ġestjoni tal-informazzjoni tal-privatezza. ISO/IEC 29100:2011 jikkontribwixxi prinċipji tal-privatezza bħat-trasparenza, il-minimizzazzjoni u s-salvagwardji tas-sigurtà.
Eżerċizzju prattiku ta’ definizzjoni tal-kamp għal timijiet SaaS u fintech
Ibda b’servizz regolat wieħed, mhux bil-kumpanija kollha. Pereżempju: “SaaS tal-analitika tal-pagamenti fl-UE għal istituzzjonijiet finanzjarji.”
Imbagħad ibni mappa minn servizz għal assi għal ipproċessar.
| Element tal-kamp ta’ applikazzjoni | Eżempju ta’ entrata | Għaliex għandu jkun fil-kamp ta’ applikazzjoni |
|---|---|---|
| Servizz regolat | SaaS tal-analitika tal-pagamenti fl-UE | Jista’ jappoġġja klassifikazzjoni ta’ servizz diġitali taħt NIS2 u obbligi regolatorji tal-klijenti |
| Funzjoni kritika jew importanti | Dashboard ta’ monitoraġġ tat-tranżazzjonijiet għal klijenti finanzjarji regolati | Jista’ jitqies mill-klijenti bħala appoġġ għal funzjonijiet kritiċi jew importanti taħt DORA |
| Ipproċessar ta’ data personali | Identità tal-utent, dettalji ta’ kuntatt tal-klijent, indirizzi IP, tickets ta’ appoġġ, logijiet tal-awditjar | GDPR tapplika għal ipproċessar awtomatizzat jew strutturat ta’ data personali |
| Assi ewlenin | Tenant cloud tal-produzzjoni, cluster tad-database, API gateway, IAM, pipeline CI/CD, stack ta’ monitoraġġ | Meħtieġa għall-valutazzjoni tar-riskju ISO 27001, il-ġestjoni tal-assi taħt NIS2 u l-viżibbiltà tal-ICT taħt DORA |
| Fornituri ewlenin | Fornitur cloud, fornitur Managed Detection and Response (MDR), SaaS għall-appoġġ lill-klijenti, servizz tal-email, fornitur tal-backup | Meħtieġa għas-sigurtà tal-katina tal-provvista taħt NIS2 u r-riskju ta’ partijiet terzi tal-ICT taħt DORA |
| Dipendenzi tal-kontinwità | Vault tal-backup, reġjun għall-irkupru minn diżastru, komunikazzjonijiet tal-appoġġ, pont tal-inċidenti | Meħtieġa għar-reżiljenza taħt DORA u l-kontinwità tan-negozju taħt NIS2 |
| Sidien tal-evidenza | CISO, DPO, Kap tal-Inġinerija, Responsabbli tal-Akkwist, Sid tas-Servizz | Meħtieġa għar-responsabbiltà fl-awditjar u r-rieżami tal-ġestjoni |
Kampjun aktar dettaljat tal-assi jista’ jidher hekk.
| Isem jew deskrizzjoni tal-assi | Sid | Servizz tan-negozju appoġġjat | Rilevanza regolatorja | Fil-kamp ta’ applikazzjoni tal-ISMS? | Ġustifikazzjoni |
|---|---|---|---|---|---|
| Servizz ta’ awtentikazzjoni tal-klijenti | Kap tal-Pjattaforma | Login tal-utent u MFA | DORA, GDPR, NIS2 | Iva | Kritiku għall-aċċess għall-pjattaforma u jipproċessa data personali |
| Database ta’ staging | Tim DevOps | Ittestjar ta’ qabel il-produzzjoni | GDPR | Iva | Tipproċessa data personali psewdonimizzata u tista’ taffettwa s-sigurtà tal-produzzjoni |
| API ta’ pagamenti ta’ parti terza | Kap tal-Prodott | Ipproċessar ewlieni tal-pagamenti | DORA, GDPR | Iva, ġestjoni tal-fornitur | Tappoġġja t-twassil ta’ servizz kritiku u tipproċessa data personali jew finanzjarja |
| Wiki interna | Maniġer tal-IT | Dokumentazzjoni interna | ISO 27001 | Iva | Fiha dettalji tal-konfigurazzjoni, proċeduri u dokumentazzjoni tas-sigurtà |
| Netwerk iżolat tar-R&D | Kap tar-R&D | Riċerka futura | Mhux applikabbli bħalissa | Le | Air-gapped, l-ebda data tal-produzzjoni, l-ebda PII, l-ebda funzjoni kritika, esklużjoni approvata formalment |
Imbagħad uża Zenith Blueprint Step 13: Ippjanar tat-Trattament tar-Riskju u Dikjarazzjoni ta’ Applikabbiltà. Il-gwida tordna lill-utenti jibnu s-SoA permezz tal-mudell li jelenka l-kontrolli kollha ta’ Annex A u jiddeċiedu l-applikabbiltà abbażi tat-trattament tar-riskju, rekwiżiti legali jew kuntrattwali, rilevanza tal-kamp ta’ applikazzjoni u kuntest organizzattiv. Tgħid:
“Għal kull kontroll (ringiela) fil-folja tas-SoA, iddeċiedi jekk huwiex Applikabbli għall-ISMS tiegħek.”
Għall-eżempju ta’ hawn fuq, is-SoA għandha tqis kontrolli għas-sigurtà tal-fornituri, servizzi cloud, ġestjoni tal-inċidenti, kontinwità, rekwiżiti legali u regolatorji, privatezza, ġestjoni tal-vulnerabbiltajiet, backups, logging, monitoraġġ, kontrolli kriptografiċi, żvilupp sigur, ittestjar tas-sigurtà u ġestjoni tat-tibdil.
Fluss tax-xogħol prattiku huwa:
- Oħloq tab “Immappjar tal-Kamp ta’ Applikazzjoni tal-ISMS” fir-Reġistru tar-Riskji u s-SoA Builder.
- Żid ringiela waħda għal kull servizz regolat jew linja ta’ prodott.
- Rabat kull servizz ma’ assi, tipi ta’ data, fornituri, postijiet u sidien tan-negozju.
- Immarka r-rilevanza għal NIS2, ir-rilevanza għal DORA u r-rilevanza tal-ipproċessar taħt GDPR.
- Żid xenarji ta’ riskju għal servizz mhux disponibbli, ksur ta’ data personali, falliment tal-fornitur, konfigurazzjoni ħażina tal-cloud, vulnerabbiltà kritika u falliment fir-rappurtar ta’ inċident.
- Agħżel il-kontrolli tas-SoA abbażi ta’ dawk ir-riskji u obbligi.
- Iddokumenta esklużjonijiet, kontrolli kumpensatorji u aċċettazzjoni tar-riskju.
- Ikseb approvazzjoni mit-tmexxija għolja għall-konfini u l-esklużjonijiet finali.
- Għaddi l-konfini finali lill-awditjar intern, lir-rieżami tal-ġestjoni u lill-monitoraġġ tal-fornituri.
Ir-riżultat mhuwiex biss dikjarazzjoni aħjar tal-kamp ta’ applikazzjoni. Huwa katina difensibbli minn servizz regolat għal assi, fornitur, data, kontroll, sid u evidenza.
Immappjar tal-konformità trasversali: kamp wieħed, ħafna obbligi
ISMS ISO 27001 b’kamp ta’ applikazzjoni tajjeb isir is-saff operattiv fejn l-aspettattivi ta’ NIS2, DORA, GDPR, NIST CSF u COBIT jistgħu jiġu rrikonċiljati.
| Kontroll ISO/IEC 27002:2022 | Valur primarju għall-kamp ta’ applikazzjoni | Rilevanza għal NIS2 | Rilevanza għal DORA | Rilevanza għal GDPR | Rilevanza għal NIST CSF u COBIT |
|---|---|---|---|---|---|
| 5.9 Inventarju tal-informazzjoni u assi assoċjati oħra | Jidentifika assi, sidien, postijiet, klassifikazzjoni u dipendenzi tas-servizzi | Jappoġġja Article 21 għall-ġestjoni tal-assi u l-identifikazzjoni ta’ sistemi li jappoġġjaw servizzi | Jappoġġja Article 8 għall-identifikazzjoni ta’ assi tal-ICT, assi tal-informazzjoni u funzjonijiet | Jappoġġja l-preċiżjoni tar-RoPA, is-sigurtà tal-ipproċessar u l-investigazzjoni ta’ ksur | Jimmappja għal NIST CSF ID.AM u COBIT 2019 BAI09 Manage Assets |
| 5.31 Rekwiżiti legali, statutorji, regolatorji u kuntrattwali | Jgħaqqad obbligi ma’ politiki, kontrolli, sidien u evidenza | Jappoġġja l-governanza tad-dmirijiet taħt NIS2 u l-konformità tal-katina tal-provvista | Jappoġġja l-ġestjoni tar-riskju tal-ICT, ir-rappurtar u l-obbligi ta’ partijiet terzi | Jappoġġja r-responsabbiltà u l-konformità legali | Jimmappja għal NIST CSF GOVERN u COBIT 2019 MEA03 Managed Compliance with External Requirements |
| 5.34 Privatezza u protezzjoni ta’ PII | Jiżgura li l-ipproċessar tad-data personali jkun viżibbli u protett | Jappoġġja l-protezzjoni tad-data tar-riċevituri tas-servizz fejn rilevanti | Jappoġġja l-integrità, is-sigurtà u l-kunfidenzjalità tad-data fis-servizzi tal-ICT | Jappoġġja GDPR Article 32 u aspettattivi ta’ protezzjoni tad-data mid-disinn | Jappoġġja l-governanza tal-privatezza u l-ġestjoni operattiva tal-privatezza |
Għal ISO/IEC 27002:2022 control 5.31, Rekwiżiti legali, statutorji, regolatorji u kuntrattwali, Zenith Controls torbot l-obbligi ta’ konformità mal-privatezza, il-protezzjoni ta’ PII, iż-żamma tar-reġistri, ir-rieżami indipendenti u l-konformità mal-politiki interni. Timmappja b’mod naturali mar-responsabbiltà taħt GDPR, il-konformità tal-katina tal-provvista taħt NIS2, il-ġestjoni tar-riskju tal-ICT u l-konformità taħt DORA, il-governanza ta’ NIST CSF, u l-monitoraġġ tal-konformità esterna taħt COBIT 2019.
Għal ISO/IEC 27002:2022 control 5.34, Privatezza u protezzjoni ta’ PII, Zenith Controls tgħaqqad il-privatezza mal-inventarju tal-assi, servizzi cloud, klassifikazzjoni, trasferiment tal-informazzjoni, kontroll tal-aċċess, ġestjoni tal-identità u rieżamijiet tat-tibdil fil-proġetti. L-immappjar tagħha għal GDPR ikopri s-sigurtà tal-ipproċessar u l-protezzjoni tad-data mid-disinn. L-immappjar tagħha għal DORA jappoġġja l-integrità, is-sigurtà u l-kunfidenzjalità tad-data, inkluża data personali mmaniġġjata f’servizzi tal-ICT.
Il-prinċipju huwa sempliċi: toħloqx erba’ programmi ta’ konformità skonnessi. Oħloq ISMS wieħed b’kamp ta’ applikazzjoni definit li jista’ jispjega kif l-obbligi jiġu ssodisfatti, ippruvati b’evidenza u awditjati.
Kamp ta’ applikazzjoni għar-rappurtar tal-inċidenti: fejn il-konfini jaffettwaw l-arloġġi regolatorji
Kamp ta’ applikazzjoni żbaljat jidher b’mod iebes waqt l-inċidenti.
NIS2 Article 23 teħtieġ rappurtar f’fażijiet ta’ inċidenti sinifikanti, inkluż twissija bikrija fi żmien 24 siegħa, notifika ta’ inċident fi żmien 72 siegħa, rapporti intermedji meta jintalbu u rapport finali fi żmien xahar. Tista’ tkun meħtieġa wkoll komunikazzjoni lir-riċevituri affettwati.
DORA teħtieġ li l-entitajiet finanzjarji jiskopru, jimmaniġġjaw, jikklassifikaw u jirrappurtaw inċidenti maġġuri relatati mal-ICT billi jużaw kriterji bħal klijenti jew kontropartijiet affettwati, tul ta’ żmien, ħin ta’ waqfien, firxa ġeografika, telf ta’ data, kritiċità tas-servizzi affettwati u impatt ekonomiku. Il-klijenti għandhom jiġu infurmati mingħajr dewmien żejjed meta inċident maġġuri tal-ICT jaffettwa l-interessi finanzjarji tagħhom.
In-notifika ta’ ksur ta’ data personali taħt GDPR tiddependi fuq jekk ksur iwassalx għal qerda, telf, alterazzjoni, żvelar mhux awtorizzat jew aċċess mhux awtorizzat għal data personali, b’mod aċċidentali jew illegali.
Jekk il-pjattaforma tal-appoġġ, l-ambjent tal-logijiet, is-servizz tal-identità, il-kanal tan-notifika lill-klijenti jew il-fornitur Managed Detection and Response (MDR) ikunu barra mill-kamp ta’ applikazzjoni tal-ISMS, it-timijiet tal-inċidenti jistgħu ma jkunux jafu jekk avveniment jiskattax rappurtar taħt NIS2, DORA, GDPR, kuntratt tal-klijent jew kollha kemm huma. Dik l-inċertezza taħli l-ħin disponibbli għar-rappurtar.
Kamp ta’ applikazzjoni matur jinkludi dipendenzi rilevanti għall-inċidenti: għodod ta’ sejbien, ħażniet tal-logijiet, repożitorji forensiċi, kanali ta’ komunikazzjoni mal-klijenti, għodod ta’ appoġġ, ambjenti tal-backup, pontijiet tal-inċidenti u fornituri involuti fit-triage jew fl-irkupru.
Kif l-awdituri u s-superviżuri jittestjaw il-kamp ta’ applikazzjoni tal-ISMS tiegħek
Kamp ta’ applikazzjoni b’saħħtu jiflaħ għall-kampjunar. Kamp dgħajjef jiġġarraf meta l-awdituri jqabblu d-dokumenti mar-realtà.
| Lenti tal-awditjar | X’se jittestja l-awditur | Evidenza tipika mitluba |
|---|---|---|
| Awditur ISO 27001 | Jekk il-kamp ta’ applikazzjoni jqis il-kuntest, ir-rekwiżiti tal-partijiet interessati, l-interfaċċi, id-dipendenzi u l-esklużjonijiet dokumentati | Dikjarazzjoni tal-kamp ta’ applikazzjoni tal-ISMS, reġistru tal-partijiet interessati, reġistru legali, inventarju tal-assi, SoA, approvazzjoni tal-ġestjoni |
| Valutatur orjentat lejn NIST | Jekk l-assi, il-fornituri, ir-risponsi għar-riskju, il-monitoraġġ u l-kriterji tal-inċidenti jallinjaw mal-konfini ddikjarat | Current and Target Profiles, inventarju tal-assi, Reġistru tar-Riskji, pjan ta’ azzjoni, kopertura tal-monitoraġġ, pjanijiet tal-inċidenti |
| Awditur COBIT 2019 | Jekk il-governanza tkopri obbligi esterni, servizzi kritiċi, monitoraġġ tal-konformità u responsabbiltà | Rapporti lill-bord, immappjar tal-konformità, sjieda tas-servizzi, dashboards tar-riskju, monitoraġġ stil MEA03 |
| Awditur ISACA ITAF | Jekk l-evidenza hijiex suffiċjenti, xierqa u traċċabbli mill-obbligi għall-kontrolli u r-riżultati | Assi kampjunati, kuntratti tal-fornituri, logijiet, reġistru legali, traċċi tal-awditjar, intervisti mas-sidien |
| Reviżur DORA | Jekk assi tal-ICT u servizzi ta’ partijiet terzi li jappoġġjaw funzjonijiet kritiċi jew importanti humiex identifikati u ttestjati | Reġistru tal-ICT, immappjar tal-funzjonijiet kritiċi, kuntratti, pjanijiet ta’ ħruġ, riżultati tat-testijiet, reġistri tal-inċidenti |
| Awditur tal-privatezza | Jekk l-ipproċessar tad-data personali huwiex inventarjat, protett u marbut ma’ kontrolli | RoPA, DPIAs, ftehimiet mal-proċessuri, logijiet tal-aċċess, evidenza taż-żamma, proċeduri ta’ ksur |
Zenith Controls tipprovdi aspettattivi utli tal-awditjar għal ISO/IEC 27002:2022 control 5.9. Awdituri stil ISO/IEC 19011 jitolbu l-inventarju kmieni biex jiddeterminaw il-kamp ta’ evalwazzjonijiet oħra u jagħmlu kontrolli spot fuq assi fiżiċi, software u cloud. Awdituri stil ISO/IEC 27007 jistaqsu kif u meta jiġi aġġornat l-inventarju, filwaqt li jfittxu rabtiet mal-akkwist, il-ġestjoni tat-tibdil u d-dekummissjonar. Awdituri stil NIST SP 800-53A jivverifikaw li d-dettalji tal-inventarju jinkludu tip ta’ assi, sid, post, indirizz tan-netwerk fejn applikabbli u status, u li assi cloud, virtwali u mobbli jkunu inklużi.
Għal control 5.31, Zenith Controls tinnota li l-awdituri taċ-ċertifikazzjoni jistennew Reġistru tal-Konformità jew lista ta’ liġijiet u kuntratti, b’referenza fis-SoA u fil-pjanijiet ta’ trattament tar-riskju. Awdituri COBIT ifittxu sidien tal-konformità, evalwazzjonijiet u rappurtar lill-maniġment għoli. Awdituri ISACA ITAF jieħdu kampjuni tal-evidenza biex jikkonfermaw li l-organizzazzjoni mhux biss taf l-obbligi tagħha, iżda tiżgura b’mod attiv li jiġu ssodisfatti.
Għal control 5.34, l-awdituri jirrieżaminaw politiki tal-privatezza, inventarji tad-data, DPIAs, logijiet tat-taħriġ, evidenza tal-iċċifrar, kontrolli tal-aċċess, kampjuni ta’ DSAR, evidenza ta’ privatezza mid-disinn u reġistri tal-inċidenti li jinvolvu PII. Dikjarazzjoni tal-kamp ta’ applikazzjoni li teskludi sistema li tipproċessa data personali tiġi kkontestata malajr.
Il-mistoqsija tal-bord: x’ma jistax jiġi eskluż?
It-tmexxija għolja spiss tistaqsi jekk unità tan-negozju, post, fornitur jew sistema jistgħux jibqgħu barra mill-kamp ta’ applikazzjoni tal-ISMS. Xi drabi t-tweġiba hija iva. Iżda mhux jekk l-esklużjoni tipprevjeni lill-organizzazzjoni milli tissodisfa obbligi legali, regolatorji, kuntrattwali jew ta’ sigurtà tas-servizz.
Uża dan it-test tal-esklużjoni qabel tapprova kwalunkwe limitazzjoni tal-konfini:
- L-unità, is-sistema jew il-fornitur jappoġġjaw servizz regolat minn NIS2?
- Jappoġġjaw funzjoni kritika jew importanti taħt DORA għall-organizzazzjoni jew għall-klijenti regolati tagħha?
- Jiġbru, jaħżnu, jittrażmettu, jirreġistraw f’logijiet, jappoġġjaw jew iħassru data personali?
- Jipprovdu monitoraġġ tas-sigurtà, identità, backup, rispons għall-inċidenti jew irkupru għal servizz fil-kamp ta’ applikazzjoni?
- Jipprovdu evidenza meħtieġa għall-klassifikazzjoni tal-inċidenti jew għan-notifika regolatorja?
- Kuntratt tal-klijent jeħtieġ li jkunu koperti mill-ISMS?
- Kompromess tagħhom jaffettwa l-kunfidenzjalità, l-integrità, id-disponibbiltà, il-konformità legali jew il-kontinwità tas-servizz fil-kamp iddikjarat?
Jekk it-tweġiba hija iva, l-esklużjoni teħtieġ evidenza b’saħħitha, governanza kumpensatorja, aċċettazzjoni tar-riskju u approvazzjoni formali mit-tmexxija għolja. F’ħafna każijiet, m’għandhiex tiġi eskluża.
Kamp ta’ applikazzjoni modern tal-ISMS ISO 27001 għandu jinkludi:
- Servizzi tan-negozju u linji ta’ prodotti koperti.
- Entitajiet legali, unitajiet organizzattivi u postijiet koperti.
- Segmenti tal-klijenti u ġurisdizzjonijiet li joħolqu obbligi.
- Funzjonijiet kritiċi jew importanti u servizzi essenzjali bbażati fuq BIA.
- Assi tal-informazzjoni, assi tal-ICT u ambjenti cloud.
- Attivitajiet ta’ pproċessar tad-data personali u repożitorji ta’ PII.
- Proċessi ta’ żvilupp, ittestjar, appoġġ, monitoraġġ u inċidenti.
- Fornituri u servizzi esternalizzati li jappoġġjaw servizzi fil-kamp ta’ applikazzjoni.
- Interfaċċi u dipendenzi ma’ kumpaniji tal-grupp jew fornituri esterni.
- Esklużjonijiet espliċiti b’ġustifikazzjoni, aċċettazzjoni tar-riskju u approvazzjoni mit-tmexxija għolja.
B’dan il-mod il-kamp ta’ applikazzjoni ta’ ISO 27001 isir pożizzjoni ta’ governanza fil-livell tal-bord, mhux shortcut ta’ ċertifikazzjoni.
Agħmel il-kamp ta’ applikazzjoni tal-ISMS tiegħek lest għall-awditjar qabel ma jiddefinixxih l-awditur għalik
L-agħar żmien biex tiskopri problema fil-kamp ta’ applikazzjoni huwa waqt iċ-ċertifikazzjoni, rieżami superviżorju, diliġenza dovuta tal-klijenti jew inċident live.
Ċertifikat dejjaq jista’ jissodisfa checkbox tal-akkwist, iżda ma jiflaħx għal skrutinju serju jekk jeskludi s-servizzi, il-funzjonijiet tal-ICT, il-fornituri u l-ipproċessar tad-data personali li joħolqu espożizzjoni regolatorja. Fl-2026, l-organizzazzjonijiet li jgħaddu l-awditi b’kunfidenza jkunu dawk li jistgħu juru mappa koerenti waħda minn servizz regolat għal assi, fornitur, data personali, kontroll, sid u evidenza.
Ibda bi tliet azzjonijiet konkreti:
- Uża l-fażi tal-Zenith Blueprint Zenith Blueprint: pedament u tmexxija tal-ISMS, Pass 2, biex tabbozza mill-ġdid il-kamp ta’ applikazzjoni tal-ISMS madwar servizzi, funzjonijiet, ipproċessar u dipendenzi.
- Uża Zenith Controls Zenith Controls biex timmappja l-inventarju tal-assi, l-obbligi legali u l-protezzjoni ta’ PII fuq l-aspettattivi tal-awditjar ta’ ISO 27001, NIS2, DORA, GDPR, NIST u COBIT 2019.
- Allinja l-kamp ta’ applikazzjoni tal-politiki permezz tal-Politika tas-Sigurtà tal-Informazzjoni ta’ Clarysec Politika tas-Sigurtà tal-Informazzjoni, il-Politika dwar il-Konformità Legali u Regolatorja Politika dwar il-Konformità Legali u Regolatorja, il-Politika tal-Ġestjoni tar-Riskju Politika tal-Ġestjoni tar-Riskju, il-Politika dwar il-Protezzjoni tad-Data u l-Privatezza Politika dwar il-Protezzjoni tad-Data u l-Privatezza u l-Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru.
Jekk il-kamp ta’ applikazzjoni attwali tal-ISMS tiegħek għadu jaqra bħal tikketta ta’ dipartiment, ibnih mill-ġdid bħala konfini ta’ konformità. Niżżel it-toolkits ta’ Clarysec, immappja servizz regolat wieħed minn tarf sa tarf, u biddel il-kamp ta’ applikazzjoni tiegħek ta’ ISO 27001 f’evidenza lesta għall-awditjar għal NIS2, DORA u GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
