Rappurtar ta’ inċidenti DORA u kontrolli ISO 27001 fl-2026

Huma t-08:17 ta’ filgħodu, nhar ta’ Tlieta fl-2026. Sarah, il-Kap tas-Sigurtà tal-Informazzjoni (CISO) ta’ kumpanija fintech Ewropea, tara dashboard iteptep bl-ambra, mhux bl-aħmar. Pjattaforma kritika għas-saldu tal-pagamenti qed tesperjenza degradazzjoni fil-prestazzjoni. It-tranżazzjonijiet mhumiex qed ifallu kompletament, iżda qed jieħdu tliet darbiet aktar milli jippermetti l-ftehim dwar il-livell tas-servizz. Is-SOC jidentifika tentattivi mhux tas-soltu ta’ awtentikazzjoni kontra kont ta’ amministratur. Il-fornitur tal-infrastruttura cloud jirrapporta servizz degradat f’żona waħda ta’ disponibbiltà. It-tim tal-appoġġ għall-klijenti jibda jirċievi telefonati minn klijenti korporattivi li jistaqsu għaliex il-fajls tal-pagamenti qed jittardjaw.

Ħadd għadu ma jaf jekk dan huwiex attakk ċibernetiku, falliment tar-reżiljenza operattiva, qtugħ tas-servizz min-naħa ta’ fornitur, inċident tal-privatezza, jew dawn kollha flimkien.

Sarah għandha problema DORA qabel ma l-fatti tekniċi jkunu kompluti. Dan huwa inċident maġġuri tal-ICT? Jaffettwa funzjoni kritika jew importanti? Qabeż il-limitu intern tas-severità? Min għandu jiġi nnotifikat, meta, u b’liema evidenza? Jekk tkun involuta data personali, beda wkoll l-arloġġ tan-notifika taħt GDPR? Jekk fornitur terz tal-ICT huwa parti mill-katina tal-inċident, min għandu s-sjieda tal-fatti?

Hawnhekk l-entitajiet finanzjarji jindunaw bid-distakk bejn li jkollhom pjan ta’ rispons għall-inċidenti u li jkollhom mudell operattiv awditjabbli għar-rappurtar ta’ inċidenti DORA.

Ir-rappurtar ta’ inċidenti DORA fl-2026 jeħtieġ aktar minn eskalazzjoni rapida. Jeħtieġ katina difensibbli mis-sejbien sal-klassifikazzjoni, mill-klassifikazzjoni għar-rappurtar superviżorju, mir-rappurtar għar-rimedjazzjoni, u mir-rimedjazzjoni għal lessons learned. ISO/IEC 27001:2022 jipprovdi l-istruttura tas-sistema ta’ ġestjoni. Il-kontrolli tal-Anness A ta’ ISO/IEC 27002:2022 jipprovdu l-aspettattivi prattiċi tal-kontrolli. Il-politiki ta’ Clarysec, il-pjan direzzjonali ta’ 30 pass u l-gwida cross-compliance jibdlu dawk l-aspettattivi f’implimentazzjoni lesta għall-evidenza.

Għaliex ir-rappurtar ta’ inċidenti DORA ifalli taħt pressjoni

Il-biċċa l-kbira tal-fallimenti fir-rappurtar ta’ inċidenti DORA ma jibdewx b’negliġenza. Jibdew b’ambigwità.

Analista tas-sigurtà jara twissija iżda ma jafx jekk tikkwalifikax bħala inċident tal-ICT taħt DORA. Il-maniġer tas-servizz tal-IT jittratta prestazzjoni degradata bħala kwistjoni teknika tas-servizz, filwaqt li l-funzjoni tal-Konformità tittrattaha bħala avveniment regolatorju. Il-funzjoni Legali tistenna konferma qabel teskala. Is-sid tan-negozju għadu ma jistax jikkwantifika l-impatt fuq il-klijenti. Is-CISO teħtieġ evidenza, iżda l-logs rilevanti huma mifruxa bejn servizzi cloud, endpoints, sistemi tal-identità, is-SIEM u pjattaformi tal-fornituri.

Sakemm l-organizzazzjoni taqbel dwar il-klassifikazzjoni, it-tieqa tar-rappurtar tkun diġà taħt pressjoni.

DORA Articles 17 to 21 joħolqu aspettattiva strutturata għall-ġestjoni, il-klassifikazzjoni, ir-rappurtar, il-kontenut tar-rapporti u t-trattament superviżorju ta’ inċidenti tal-ICT. Għall-entitajiet finanzjarji, ir-rekwiżit prattiku huwa ċar: għandhom jimmonitorjaw, jimmaniġġjaw, jirreġistraw fil-logs, jikklassifikaw, jirrapportaw, jaġġornaw u jitgħallmu minn inċidenti tal-ICT b’mod li jista’ jerġa’ jinbena aktar tard.

Il-Politika dwar ir-Rispons għall-Inċidenti [IRP] ta’ Clarysec tinkorpora lil DORA direttament fil-qafas ta’ referenza:

DORA tal-UE (2022/2554): Article 17: rekwiżiti ta’ rappurtar ta’ inċidenti tal-ICT għall-istituzzjonijiet finanzjarji lill-awtoritajiet kompetenti.

L-istess politika torbot il-ġestjoni tal-inċidenti mal-Kontrolli 5.25 sa 5.27 ta’ ISO/IEC 27002:2022, li jkopru r-responsabbiltajiet għall-evalwazzjoni tal-inċidenti, ir-rispons, il-komunikazzjoni u t-titjib.

Għal ditti iżgħar tat-teknoloġija finanzjarja u entitajiet regolati b’riżorsi limitati, il-Politika dwar ir-Rispons għall-Inċidenti - SME [IRP-SME] ta’ Clarysec tagħmel l-obbligu prattiku billi tenfasizza li DORA teħtieġ li l-entitajiet finanzjarji jikklassifikaw, jirrapportaw u jsegwu inċidenti u tfixkil tal-ICT.

Dik il-frażi hija importanti. Il-konformità ma’ DORA mhijiex biss mudell ta’ rappurtar. L-organizzazzjoni għandha tikklassifika, tirrapporta u ssegwi. Dan ifisser evidenza tal-avveniment inizjali, kriterji tad-deċiżjoni, livell ta’ severità, deċiżjoni ta’ rappurtar, komunikazzjonijiet, azzjonijiet ta’ rkupru, involviment tal-fornitur u segwitu.

ISO/IEC 27001:2022 bħala ċ-ċentru ta’ kmand għall-inċidenti DORA

Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni skont ISO/IEC 27001:2022 matura m’għandhiex issir silo ieħor ta’ konformità ħdejn DORA. Għandha ssir iċ-ċentru ta’ kmand għar-rappurtar ta’ inċidenti DORA.

L-ISMS diġà jeħtieġ sjieda tar-riskju, għażla ta’ kontrolli, awditjar intern, rieżami mill-maniġment, informazzjoni dokumentata, titjib kontinwu u evidenza tal-operat tal-kontrolli. DORA żżid pressjoni ta’ rappurtar speċifika għas-settur, iżda ISO/IEC 27001:2022 jagħti l-istruttura ta’ governanza biex il-proċess ikun ripetibbli.

Il-Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur [ZB] ta’ Clarysec isaħħaħ din l-integrazzjoni fil-Pass 13, Ippjanar tat-Trattament tar-Riskju u Dikjarazzjoni ta’ Applikabbiltà. Il-Blueprint jirrakkomanda li l-kontrolli jiġu mmappjati mar-riskji u mal-klawżoli għat-traċċabbiltà, inkluż li tiżdied referenza għall-kontroll tal-Anness A mar-riskji u li jiġi nnotat meta l-kontrolli jappoġġaw lil GDPR, NIS2 jew DORA.

Għall-inċident tas-saldu tal-pagamenti ta’ Sarah, l-entrata fir-Reġistru tar-Riskji tista’ tkun:

“Interruzzjoni jew kompromess tal-pjattaforma tal-ipproċessar tal-pagamenti.”

Il-kontrolli mmappjati tal-Anness A ta’ ISO/IEC 27001:2022 jinkludu 5.24, 5.25, 5.26, 5.27, 5.28, 6.8, 8.15 u 8.16, b’nota DORA għall-klassifikazzjoni u r-rappurtar ta’ inċidenti maġġuri tal-ICT.

Il-Zenith Controls: Il-gwida cross-compliance [ZC] ta’ Clarysec imbagħad taħdem bħala kumpass għall-konformità bejn oqfsa differenti. F’Zenith Controls, Clarysec timmappja l-kontrolli ISO/IEC 27002:2022 ma’ kontrolli oħra ta’ ISO/IEC 27001:2022, standards relatati, aspettattivi tal-awditjar u regolamenti bħal DORA, GDPR u NIS2. Ma toħloqx “kontrolli Zenith” separati. Turi kif il-kontrolli ISO eżistenti jaħdmu flimkien u kif jiġu ttestjati.

Il-fluss tax-xogħol tar-rappurtar DORA jista’ jitqies bħala katina ta’ kontrolli:

Ma tistax tirrapporta dak li ma skoprejtx. Ma tistax tikklassifika dak li ma evalwajtx. Ma tistax tiġġustifika deċiżjoni ta’ rappurtar mingħajr reġistri. Ma tistax ittejjeb mingħajr reviżjoni wara l-inċident.

Kontroll 6.8: l-arloġġ DORA jibda min-nies

Fix-xenarju ta’ Sarah, l-ewwel sinjal utli jista’ ma jiġix mis-SOC. Jista’ jiġi minn maniġer tar-relazzjonijiet li jisma’ lmenti tal-klijenti, minn utent tal-finanzi li jara batches tas-saldu li fallew, jew minn inġinier li jinnota latenza anormali.

Għalhekk il-kontroll 6.8 tal-Anness A ta’ ISO/IEC 27001:2022, Rappurtar ta’ avvenimenti tas-sigurtà tal-informazzjoni, huwa essenzjali għal DORA. Jagħmel ir-rappurtar responsabbiltà tal-forza tax-xogħol, mhux biss funzjoni tal-operazzjonijiet tas-sigurtà.

Fil-Zenith Blueprint, Pass 16, Kontrolli tar-riżorsi umani II, Clarysec tiddikjara:

Sistema effettiva ta’ rispons għall-inċidenti ma tibdiex bl-għodod, iżda bin-nies.

Il-Pass 16 jirrakkomanda kanali ċari ta’ rappurtar, taħriġ ta’ għarfien, kultura mingħajr ħtija, trijaġġ, kunfidenzjalità u simulazzjonijiet perjodiċi. L-aktar messaġġ prattiku utli huwa sempliċi:

“Meta jkollok dubju, irrapporta.”

Dan huwa prinċipju ta’ kontroll DORA. Jekk l-impjegati jistennew sakemm ikunu ċerti, l-organizzazzjoni titlef il-ħin. Jekk jirrapportaw kmieni, l-organizzazzjoni tista’ tevalwa, tikklassifika u tiddeċiedi.

F’Zenith Controls, 6.8 huwa mmappjat bħala kontroll detettiv li jappoġġa l-kunfidenzjalità, l-integrità u d-disponibbiltà. Jorbot ma’ 5.24 għaliex il-kanali ta’ rappurtar għandhom ikunu parti mill-pjan tal-inċidenti. Jalimenta lil 5.25 għaliex l-avvenimenti jistgħu jiġu evalwati biss jekk jiġu rrappurtati. Jattiva lil 5.26 għaliex ir-rispons formali jibda wara li r-rapporti jiġu evalwati.

Għal DORA, dan jappoġġa Articles 17 and 18, fejn l-entitajiet finanzjarji għandhom jimmaniġġjaw, jikklassifikaw u jirrapportaw inċidenti maġġuri tal-ICT u theddid ċibernetiku sinifikanti. Jappoġġa wkoll GDPR Article 33 u Recital 85, għaliex ir-rappurtar intern jiddetermina kemm malajr jiġi identifikat u eskalat ksur ta’ data personali.

Implimentazzjoni prattika ta’ Clarysec hija folja ta’ struzzjonijiet ta’ paġna waħda “Kif tirrapporta inċident tal-ICT”. Għandha tinkludi:

• X’għandu jiġi rrappurtat, inkluż qtugħ fis-servizz, emails suspettużi, apparati mitlufa, imġiba mhux tas-soltu tas-sistema, kompromess suspettat ta’ fornitur, aċċess mhux awtorizzat, tnixxija ta’ data u degradazzjoni tas-servizz b’impatt fuq il-klijenti.
• Kif għandu jsir ir-rappurtar, permezz ta’ mailbox immonitorjata, kategorija ta’ ticket, hotline, kanal ta’ kollaborazzjoni jew portal tas-SOC.
• X’għandu jiġi inkluż, bħal ħin, sistema, utent, proċess tan-negozju, impatt osservat, screenshots jekk ikun sikur, u jekk il-klijenti jew id-data personali jistgħux ikunu affettwati.
• X’ma għandux isir, inkluż li ma jitħassrux logs, li sistemi kritiċi ma jerġgħux jinbdew sakemm ma jkunx hemm struzzjoni, li klijenti ma jiġux ikkuntattjati esternament mingħajr approvazzjoni, u li ma ssirx investigazzjoni lil hinn mir-rwol.
• X’jiġri wara, inkluż trijaġġ, klassifikazzjoni, eskalazzjoni, rispons, preservazzjoni tal-evidenza u evalwazzjoni regolatorja possibbli.

L-għan mhuwiex li kull impjegat isir investigatur. Huwa li kull impjegat isir sors affidabbli ta’ sinjal.

Kontroll 5.25: il-punt tad-deċiżjoni tal-klassifikazzjoni DORA

Ir-rappurtar ta’ inċidenti maġġuri tal-ICT taħt DORA jiddependi fuq il-klassifikazzjoni. Hawnhekk il-kontroll 5.25 tal-Anness A ta’ ISO/IEC 27001:2022, Evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni, isir ċentrali.

Il-Zenith Blueprint, Pass 23, jispjega l-isfida prattika:

Mhux kull anomalija hija diżastru. Mhux kull twissija tindika kompromess.

Imbagħad jiddeskrivi l-għan ta’ 5.25 bħala:

li tiddistingwi dak li ma jagħmilx ħsara minn dak li jagħmel ħsara, u li tkun taf x’jeħtieġ eskalazzjoni.

Għal DORA, dan huwa l-mument meta avveniment tas-sigurtà, degradazzjoni tas-servizz, qtugħ minn fornitur, espożizzjoni tad-data jew tfixkil operattiv jiġi evalwat kontra l-kriterji ta’ inċident maġġuri. L-organizzazzjoni għandha tqis l-impatt operattiv, is-servizzi affettwati, il-funzjonijiet kritiċi jew importanti, il-klijenti u t-tranżazzjonijiet affettwati, it-tul ta’ żmien, il-firxa ġeografika, l-impatt fuq id-data, l-implikazzjonijiet reputazzjonali u l-impatt ekonomiku.

F’Zenith Controls, 5.25 huwa mmappjat direttament ma’ DORA Article 18, Klassifikazzjoni ta’ Inċidenti ICT Maġġuri. Huwa l-proċess strutturat ta’ evalwazzjoni biex jiġi ddeterminat jekk avveniment osservat jikkwalifikax bħala inċident tas-sigurtà. Jorbot ukoll ma’ 8.16, Attivitajiet ta’ monitoraġġ, għaliex it-twissijiet u d-data tal-logs għandhom jiġu soġġetti għal trijaġġ, u ma’ 5.26, għaliex il-klassifikazzjoni tattiva r-rispons.

Hawnhekk ħafna organizzazzjonijiet ifallu fl-awditi. Ikollhom tickets, iżda mhux reġistri tal-klassifikazzjoni. Ikollhom tikketti tas-severità, iżda mhux kriterji. Ikollhom rapporti regolatorji, iżda mhux it-traċċa tad-deċiżjonijiet li turi għaliex inċident tqies jew ma tqiesx maġġuri.

Clarysec tindirizza dan billi tinkorpora l-klassifikazzjoni DORA fil-mudell tas-severità tal-inċidenti. Fil-Politika dwar ir-Rispons għall-Inċidenti għall-intrapriżi, il-klawżola 5.3.1 tinkludi eżempju ċar ta’ Livell 1:

Livell 1: Kritiku (eż., ksur ta’ data kkonfermat, tifqigħa ta’ ransomware, kompromess ta’ sistema ta’ produzzjoni)

Għal organizzazzjonijiet iżgħar, il-Politika dwar ir-Rispons għall-Inċidenti - SME iżżid aspettattiva operattiva stretta:

Il-Maniġer Ġenerali, b’kontribut mill-fornitur tal-IT, għandu jikklassifika l-inċidenti kollha skont is-severità fi żmien siegħa min-notifika.

Dak il-mira ta’ klassifikazzjoni fi żmien siegħa hija qawwija għax timponi dixxiplina ta’ governanza. Entità regolata iżgħar jista’ ma jkollhiex SOC 24/7, iżda xorta tista’ tiddefinixxi min jikklassifika, min jagħti parir, u kemm malajr għandha tittieħed id-deċiżjoni.

Reġistru tat-trijaġġ tal-inċidenti minn DORA għal ISO

Biex il-klassifikazzjoni tkun difensibbli, oħloq reġistru tat-trijaġġ tal-inċidenti DORA fis-sistema tiegħek ta’ ticketing, GRC jew ġestjoni tal-inċidenti. Ir-reġistru għandu jinħoloq għal kull avveniment ICT potenzjalment materjali, anki jekk aktar tard jiġi degradat.

Żid nota tad-deċiżjoni:

“Abbażi ta’ tfixkil fis-servizz tal-pagamenti li jaffettwa proċess kritiku tan-negozju, kawża ewlenija mhux riżolta u impatt potenzjali fuq il-klijenti, l-avveniment jiġi eskalat bħala inċident maġġuri potenzjali tal-ICT. Il-Konformità u l-Legali għandhom jevalwaw ir-rekwiżiti ta’ notifika regolatorja. Il-preservazzjoni tal-evidenza nbdiet.”

Dan ir-reġistru wieħed jappoġġa t-traċċar taħt DORA Article 17, il-klassifikazzjoni taħt Article 18, id-deċiżjonijiet ta’ rappurtar taħt Article 19, l-evalwazzjoni 5.25 tal-Anness A ta’ ISO/IEC 27001:2022, ir-rappurtar 6.8, ir-rispons 5.26 u l-immaniġġjar tal-evidenza 5.28.

Kontrolli 5.24 u 5.26: ippjanar, rwoli u rispons

Meta jseħħ inċident DORA, il-pjan ta’ rispons għandu jkun diġà wieġeb il-mistoqsijiet diffiċli.

Min għandu l-awtorità li jikklassifika? Min jikkuntattja lill-awtorità kompetenti? Min japprova n-notifika inizjali? Min jikkomunika mal-klijenti? Min jikkuntattja lill-fornitur terz tal-ICT? Min jiddeċiedi jekk l-inċident jattivax ukoll notifika taħt GDPR? Min jippreserva l-evidenza? Min għandu s-sjieda tar-rapport finali?

Il-kontroll 5.24 tal-Anness A ta’ ISO/IEC 27001:2022, Ippjanar u tħejjija għall-ġestjoni ta’ inċidenti tas-sigurtà tal-informazzjoni, iwieġeb dawn il-mistoqsijiet qabel il-kriżi. Il-kontroll 5.26, Rispons għal inċidenti tas-sigurtà tal-informazzjoni, jiżgura li l-pjan jinbidel f’azzjoni kkontrollata waqt l-inċident.

F’Zenith Controls, 5.24 huwa marbut ma’ DORA Articles 17 to 21 għaliex ipoġġi fil-prattika rispons għall-inċidenti dokumentat, ittestjat u rivedut, inkluż eskalazzjoni interna, notifika regolatorja esterna, komunikazzjoni mal-partijiet interessati u lessons learned.

ISO/IEC 27035-1:2023 jappoġġa dan billi jestendi l-ġestjoni tal-inċidenti lil hinn mill-proċeduri ta’ rispons għal politika, ippjanar, kapaċitajiet, relazzjonijiet, mekkaniżmi ta’ appoġġ, għarfien, taħriġ u ttestjar regolari. ISO/IEC 27035-2:2023 jiddettalja aktar il-proċess tal-ġestjoni tal-inċidenti mit-tħejjija sal-lessons learned.

Il-Zenith Blueprint, Pass 23, jagħti struzzjoni diretta għall-implimentazzjoni:

Żgura li jkollok pjan ta’ rispons għall-inċidenti aġġornat (5.24), li jkopri t-tħejjija, l-eskalazzjoni, ir-rispons u l-komunikazzjoni.

Pjan ta’ rispons għall-inċidenti lest għal DORA għandu jiddefinixxi:

• It-tim ta’ rispons għall-inċidenti ICT u s-sostituti tiegħu.
• L-awtorità għall-klassifikazzjoni tas-severità u l-eskalazzjoni tar-rappurtar DORA.
• Ir-responsabbiltajiet tal-Legali, il-Konformità, il-Privatezza, il-Komunikazzjonijiet, l-IT, is-Sigurtà, il-fornitur u s-sid tan-negozju.
• Kriterji għall-klassifikazzjoni ta’ inċident maġġuri tal-ICT.
• Proċeduri għar-rappurtar regolatorju inizjali, intermedju u finali.
• Evalwazzjoni ta’ skattaturi ta’ notifika taħt GDPR, NIS2, kuntratti, assigurazzjoni ċibernetika u lill-bord.
• Passi ta’ trażżin, eradikazzjoni, irkupru u verifika.
• Rekwiżiti għall-preservazzjoni tal-evidenza.
• Proċeduri għall-eskalazzjoni mal-fornituri u għall-aċċess għal logs.
• Traċċar ta’ lessons learned u azzjonijiet korrettivi.

Il-Politika dwar ir-Rispons għall-Inċidenti - SME torbot ukoll l-iskadenzi tar-rispons mar-rekwiżiti legali:

L-iskadenzi tar-rispons, inkluż l-irkupru tad-data u l-obbligi tan-notifika, għandhom jiġu dokumentati u allinjati mar-rekwiżiti legali, bħar-rekwiżit taħt GDPR għal notifika ta’ ksur ta’ data personali fi żmien 72 siegħa.

Dan huwa vitali għaliex inċident ICT wieħed jista’ jsir inċident maġġuri DORA, ksur ta’ data personali taħt GDPR, inċident sinifikanti taħt NIS2, avveniment ta’ notifika kuntrattwali lill-klijenti u kwistjoni ta’ ġestjoni tal-fornituri. Il-pjan għandu jikkoordina dawn is-saffi minflok jittrattahom bħala dinjiet separati.

Kontrolli 8.15 u 8.16: il-logs jagħmlu r-rapport difensibbli

Ir-rappurtar ta’ inċidenti DORA jiddependi fuq il-fatti. Il-fatti jiddependu fuq il-logging u l-monitoraġġ.

Fix-xenarju tas-saldu tal-pagamenti, Sarah trid tkun taf meta bdiet id-degradazzjoni, liema sistemi ġew affettwati, jekk intużawx kontijiet privileġġjati, jekk id-data ħarġitx mill-ambjent, jekk il-qtugħ tal-fornitur cloud jaqbilx mat-telemetrija interna, u meta tlesta l-irkupru.

Il-kontroll 8.15 tal-Anness A ta’ ISO/IEC 27001:2022, Logging, u 8.16, Attivitajiet ta’ monitoraġġ, jappoġġaw din il-bażi ta’ evidenza. F’Zenith Controls, it-tnejn jorbtu ma’ 5.24 għaliex l-ippjanar tar-rispons għall-inċidenti għandu jinkludi data tal-logs li tista’ tintuża u kapaċità ta’ monitoraġġ. Il-kontroll 8.16 jorbot ukoll ma’ 5.25 għaliex it-twissijiet għandhom jiġu soġġetti għal trijaġġ u jinbidlu f’deċiżjonijiet.

Il-Politika tal-Logging u l-Monitoraġġ - SME [LMP-SME] ta’ Clarysec tinkludi rekwiżit prattiku ta’ eskalazzjoni:

Twissijiet ta’ prijorità għolja għandhom jiġu eskalati lill-GM u lill-Koordinatur tal-Privatezza fi żmien 24 siegħa

Għal entitajiet regolati minn DORA, inċidenti ICT potenzjalment maġġuri normalment jeħtieġu mudell ta’ eskalazzjoni operattiva aktar mgħaġġel, speċjalment meta funzjonijiet kritiċi jew importanti jkunu affettwati. Madankollu, il-mudell ta’ governanza huwa korrett: twissijiet ta’ prijorità għolja ma jistgħux jibqgħu ġewwa l-IT. Għandhom jaslu għand ir-rwoli tan-negozju, tal-privatezza u tal-maniġment.

Mudell ta’ logging lest għal DORA għandu jinkludi:

• Logging ċentralizzat għal sistemi kritiċi, pjattaformi tal-identità, endpoints, servizzi cloud, għodod tas-sigurtà tan-network u applikazzjonijiet tan-negozju.
• Sinkronizzazzjoni tal-ħin bejn is-sistemi sabiex il-linji taż-żmien tal-inċidenti jkunu affidabbli.
• Kategorizzazzjoni tat-twissijiet allinjata mas-severità tal-inċidenti u l-klassifikazzjoni DORA.
• Żamma tal-logs allinjata mal-ħtiġijiet regolatorji, kuntrattwali u forensiċi.
• Kontrolli tal-aċċess li jipproteġu l-integrità tal-logs.
• Proċeduri biex jinqabdu snapshots tal-logs waqt inċidenti maġġuri.
• Rekwiżiti ta’ aċċess għal logs tal-fornituri għal servizzi ICT kritiċi.

L-awdituri mhux se jaċċettaw “is-SIEM għandu kollox” bħala evidenza suffiċjenti. Se jistaqsu jekk il-logs it-tajbin kinux jeżistu, jekk it-twissijiet ġewx riveduti, jekk l-eskalazzjoni seħħitx fil-ħin, u jekk il-logs ġewx preservati ladarba l-inċident sar potenzjalment rapportabbli.

Kontroll 5.28: ġbir tal-evidenza u katina tal-kustodja

F’inċident maġġuri tal-ICT, l-evidenza sservi tliet skopijiet: investigazzjoni teknika, responsabbiltà regolatorja u difensibbiltà legali.

Jekk l-evidenza tkun inkompleta, inkiteb fuqha, inbidlet jew ma tkunx dokumentata, l-organizzazzjoni tista’ ssibha diffiċli tipprova x’ġara. Tista’ wkoll issibha diffiċli tiġġustifika d-deċiżjoni tal-klassifikazzjoni tagħha.

Il-Politika dwar il-Ġbir tal-Evidenza u l-Forensika [ECF] ta’ Clarysec tiddikjara:

Log tal-katina tal-kustodja għandu jakkumpanja kull evidenza fiżika jew diġitali mill-ħin tal-akkwist sal-arkivjar jew it-trasferiment u għandu jiddokumenta:

Il-verżjoni SME, il-Politika dwar il-Ġbir tal-Evidenza u l-Forensika - SME [ECF-SME], iżżomm ir-rekwiżit sempliċi:

Kull oġġett ta’ evidenza diġitali għandu jiġi rreġistrat b’:

Il-lezzjoni operattiva hija diretta. L-immaniġġjar tal-evidenza ma jistax jibda wara li l-Legali jitlobha. Għandu jkun inkorporat fir-rispons għall-inċidenti.

ISO/IEC 27006-1:2024 isaħħaħ din l-aspettattiva tal-awditjar billi jenfasizza proċeduri biex tiġi identifikata, miġbura u preservata evidenza minn inċidenti tas-sigurtà tal-informazzjoni. Għal DORA, l-istess sett ta’ evidenza jista’ jappoġġa n-notifika inizjali, l-aġġornamenti intermedji, ir-rapport finali, ir-reviżjoni wara l-inċident u l-mistoqsijiet superviżorji.

Lista ta’ kontroll prattika għall-evidenza għal inċidenti relatati ma’ DORA għandha tinkludi:

• Ticket tal-inċident u noti tat-trijaġġ.
• Linja taż-żmien tas-sejbien, l-eskalazzjoni, il-klassifikazzjoni, ir-rappurtar, it-trażżin, l-irkupru u l-għeluq.
• Twissijiet SIEM u logs korrelatati.
• Artifacts tal-endpoint u tas-server.
• Logs tal-identità u tal-aċċess privileġġjat.
• Sommarji tat-traffiku tan-network.
• Status tal-fornitur cloud u logs tal-awditjar.
• Komunikazzjonijiet mal-fornituri u dikjarazzjonijiet dwar l-inċidenti.
• Reġistri tal-impatt fuq in-negozju, inkluż klijenti, servizzi, tranżazzjonijiet u ħin ta’ waqfien.
• Abbozzi u sottomissjonijiet ta’ notifiki regolatorji.
• Deċiżjonijiet u approvazzjonijiet tal-maniġment.
• Analiżi tal-kawża ewlenija.
• Lessons learned u azzjonijiet korrettivi.

L-evidenza għandha turi kemm il-fatti tekniċi kif ukoll id-deċiżjonijiet ta’ governanza. Ir-rappurtar DORA mhuwiex biss dwar x’ġara lis-sistemi. Huwa wkoll dwar kif il-maniġment għaraf, evalwa, eskala, ikkontrolla u tejjeb mill-inċident.

Kontroll 5.27: lessons learned u titjib kontinwu

Inċident DORA ma jingħalaqx meta jiġi sottomess ir-rapport finali. Jingħalaq meta l-organizzazzjoni tkun tgħallmet minnu, assenjat azzjonijiet korrettivi, aġġornat il-kontrolli u vverifikat it-titjib.

Il-kontroll 5.27 tal-Anness A ta’ ISO/IEC 27001:2022, Tagħlim minn inċidenti tas-sigurtà tal-informazzjoni, jgħaqqad ir-rappurtar DORA maċ-ċiklu ta’ titjib kontinwu ta’ ISO/IEC 27001:2022. F’Zenith Controls, 5.24 huwa marbut ma’ 5.27 għaliex il-ġestjoni tal-inċidenti tkun inkompleta mingħajr analiżi tal-kawża ewlenija, lessons learned u titjib tal-kontrolli.

Il-Zenith Blueprint, Pass 23, jordna lill-organizzazzjonijiet jaġġornaw il-pjan bil-lessons learned u jipprovdu taħriġ immirat dwar ir-rispons għall-inċidenti u l-immaniġġjar tal-evidenza. Dan huwa partikolarment importanti għal DORA għaliex dewmien rikorrenti fil-klassifikazzjoni, evidenza nieqsa mill-fornituri, logs dgħajfa jew komunikazzjonijiet mhux ċari jistgħu jsiru tħassib superviżorju.

Mudell għal lessons learned għandu jaqbad:

• X’ġara u meta.
• Liema funzjonijiet kritiċi jew importanti ġew affettwati.
• Jekk il-klassifikazzjoni kinitx f’waqtha u preċiża.
• Jekk id-deċiżjonijiet ta’ rappurtar DORA ttieħdux b’evidenza suffiċjenti.
• Jekk ġewx evalwati skattaturi ta’ notifika taħt GDPR, NIS2, kuntrattwali jew lill-klijenti.
• Jekk il-fornituri wieġbux fi żmien l-iskadenzi miftiehma.
• Jekk il-logs u l-evidenza forensika ġewx preservati.
• Liema kontrolli fallew jew kienu neqsin.
• Liema politiki, playbooks, taħriġ jew kontrolli tekniċi għandhom jitjiebu.
• Min għandu s-sjieda ta’ kull azzjoni korrettiva u sa meta.

Dan jalimenta wkoll ir-rieżami mill-maniġment ta’ ISO/IEC 27001:2022. Ix-xejriet tal-inċidenti għandhom jiġu riveduti mit-tmexxija, mhux midfuna f’postmortems tekniċi.

Cross-compliance: DORA, GDPR, NIS2, NIST u COBIT 2019

DORA huwa t-titlu ewlieni għall-entitajiet finanzjarji, iżda r-rappurtar ta’ inċidenti rarament jappartjeni għal qafas wieħed biss.

Inċident ICT wieħed jista’ jinvolvi rappurtar ta’ inċident maġġuri tal-ICT taħt DORA, notifika ta’ ksur ta’ data personali taħt GDPR, rappurtar ta’ inċident sinifikanti taħt NIS2, obbligi kuntrattwali mal-klijenti, notifika lill-assigurazzjoni ċibernetika u rappurtar lill-bord.

Zenith Controls jgħin inaqqas din il-kumplessità billi jimmappja l-kontrolli ISO/IEC 27002:2022 bejn oqfsa differenti. Pereżempju:

Mill-perspettiva ta’ NIST, l-istess mudell jappoġġa r-riżultati Detect, Respond u Recover. Mill-perspettiva ta’ awditjar COBIT 2019 u ISACA, it-tħassib huwa l-governanza: jekk il-ġestjoni tal-inċidenti, il-kontinwità, ir-riskju, il-konformità, ir-responsabbiltajiet tal-fornituri u l-monitoraġġ tal-prestazzjoni humiex ikkontrollati.

L-aktar organizzazzjonijiet maturi ma joħolqux flussi tax-xogħol separati għal kull qafas. Joħolqu proċess wieħed ta’ ġestjoni tal-inċidenti b’saffi regolatorji. It-ticket jaqbad l-istess fatti ewlenin darba, imbagħad jallinjahom ma’ DORA, GDPR, NIS2, kuntrattwali, assigurazzjoni jew rappurtar speċifiku għas-settur meta jkun meħtieġ.

Kif l-awdituri se jittestjaw il-proċess tiegħek ta’ inċidenti DORA

Proċess ta’ rappurtar ta’ inċidenti lest għal DORA għandu jiflaħ għal perspettivi differenti ta’ awditjar.

Awditur ISO/IEC 27001:2022 jeżamina jekk l-ISMS għażilx u implimentax il-kontrolli rilevanti tal-Anness A, jekk id-Dikjarazzjoni ta’ Applikabbiltà tappoġġax dawk il-kontrolli, jekk jeżistux reġistri tal-inċidenti, u jekk l-awditjar intern u r-rieżami mill-maniġment jinkludux il-prestazzjoni tal-ġestjoni tal-inċidenti.

Zenith Controls jiċċita l-metodoloġija ta’ awditjar ISO/IEC 19011:2018 għal 5.24, 5.25 u 6.8. Għal 5.24, l-awdituri jeżaminaw il-pjan ta’ rispons għall-inċidenti għat-tipi ta’ inċidenti, klassifikazzjonijiet tas-severità, rwoli assenjati, listi ta’ kuntatti, mogħdijiet ta’ eskalazzjoni, struzzjonijiet tar-rappurtar regolatorju u responsabbiltajiet ta’ komunikazzjoni. Għal 5.25, jeżaminaw jekk jeżistux kriterji dokumentati ta’ klassifikazzjoni, bħal matriċi tas-severità jew decision trees ibbażati fuq l-impatt tas-sistema, is-sensittività tad-data u t-tul ta’ żmien. Għal 6.8, jevalwaw il-mekkaniżmi ta’ rappurtar, il-metriċi tal-ħin għar-rappurtar u l-evidenza li l-avvenimenti rrappurtati jiġu rreġistrati fil-logs, soġġetti għal trijaġġ u solvuti.

Rieżami superviżorju DORA jiffoka fuq jekk inċidenti maġġuri tal-ICT humiex skoperti, ikklassifikati, irrappurtati, aġġornati u magħluqa skont l-aspettattivi regolatorji. Ir-rieżaminatur jista’ jitlob kampjun ta’ inċident u jsegwih mill-ewwel twissija sal-rapport finali.

Awditur tal-privatezza jiffoka fuq jekk ir-riskju ta’ ksur ta’ data personali ġiex evalwat u jekk ġewx attivati l-obbligi taħt GDPR Article 33 u Article 34. BS EN 17926:2023 huwa rilevanti hawnhekk għaliex iżid responsabbiltajiet dwar inċidenti tal-privatezza, kriterji ta’ notifika, ħinijiet u allinjament mal-aspettattivi ta’ żvelar superviżorju.

L-istess evidenza tista’ tissodisfa diversi mistoqsijiet ta’ awditjar jekk tkun strutturata tajjeb mill-bidu.

Lista ta’ kontroll għall-kapaċità ta’ rappurtar ta’ inċidenti DORA fl-2026

Qabel l-eżerċizzju tabletop, l-awditjar intern jew ir-rieżami superviżorju li jmiss, ittestja l-organizzazzjoni tiegħek kontra din il-lista ta’ kontroll:

• L-impjegati jafu kif jirrapportaw inċidenti ICT suspettati?
• Hemm kanal apposta għar-rappurtar tal-inċidenti?
• L-avvenimenti tas-sigurtà jiġu rreġistrati fil-logs u soġġetti għal trijaġġ b’mod konsistenti?
• Hemm matriċi dokumentata tas-severità u tal-klassifikazzjoni ta’ inċidenti maġġuri DORA?
• Il-klassifikazzjoni hija meħtieġa fi żmien definit wara n-notifika?
• Il-funzjonijiet kritiċi jew importanti huma mmappjati mas-sistemi u mal-fornituri?
• L-iskattaturi ta’ notifika taħt DORA, GDPR, NIS2, kuntrattwali, assigurazzjoni u lill-klijenti jiġu evalwati f’fluss tax-xogħol wieħed?
• Ir-rwoli tal-inċidenti huma definiti bejn IT, Sigurtà, Legali, Konformità, Privatezza, Komunikazzjonijiet u sidien tan-negozju?
• Il-logs huma biżżejjed biex jerġgħu jinbnew il-linji taż-żmien tal-inċidenti?
• L-evidenza tiġi preservata b’katina tal-kustodja?
• L-obbligi tal-fornituri dwar inċidenti u d-drittijiet ta’ aċċess għal logs jiġu ttestjati?
• Isiru tabletop exercises b’xenarji DORA realistiċi?
• Il-lessons learned jiġu traċċati ma’ azzjonijiet korrettivi?
• Il-metriċi tal-inċidenti jiġu riveduti fir-rieżami mill-maniġment?
• Id-Dikjarazzjoni ta’ Applikabbiltà hija mmappjata mal-kontrolli ISO/IEC 27001:2022 rilevanti għal DORA?

Jekk it-tweġiba għal xi waħda minn dawn hija “parzjalment”, il-kwistjoni mhijiex biss konformità. Hija reżiljenza operattiva.

Ibni mudell ta’ rappurtar ta’ inċidenti DORA lest għall-evidenza

Ir-rappurtar ta’ inċidenti DORA fl-2026 huwa test ta’ governanza taħt pressjoni. L-organizzazzjonijiet li jirnexxu mhux se jkunu dawk bl-itwal dokumenti ta’ rispons għall-inċidenti. Se jkunu dawk b’kanali ċari ta’ rappurtar, klassifikazzjoni rapida, logs affidabbli, evidenza preservata, nies imħarrġa, eskalazzjoni tal-fornituri ttestjata u traċċabbiltà bejn oqfsa differenti.

Clarysec tista’ tgħinek tibni dak il-mudell operattiv.

Ibda billi timmappja r-riskji tal-inċidenti tiegħek u d-Dikjarazzjoni ta’ Applikabbiltà bl-użu tal-Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur. Imbagħad allinja l-kontrolli tal-inċidenti tiegħek ma’ Zenith Controls: Il-gwida cross-compliance. Poġġi l-proċess fil-prattika bil-Politika dwar ir-Rispons għall-Inċidenti, il-Politika dwar ir-Rispons għall-Inċidenti - SME, il-Politika tal-Logging u l-Monitoraġġ - SME, il-Politika dwar il-Ġbir tal-Evidenza u l-Forensika, u l-Politika dwar il-Ġbir tal-Evidenza u l-Forensika - SME ta’ Clarysec.

Jekk it-tim tat-tmexxija tiegħek irid kunfidenza qabel l-inċident reali li jmiss, wettaq eżerċizzju tabletop ta’ inċident maġġuri tal-ICT taħt DORA bit-toolkit ta’ Clarysec u pproduċi l-pakkett ta’ evidenza li awditur jew superviżur ikun jistenna li jara.