Reġistru tal-Informazzjoni ta’ DORA: Gwida għal ISO 27001
Huma d-09:15 ta’ nhar ta’ Tlieta. Sarah, is-CISO ta’ fintech li qed tikber malajr, tinsab f’evalwazzjoni ta’ tħejjija flimkien mal-Maniġer tal-Konformità tagħha, il-konsulent legali, ir-responsabbli tal-akkwist u l-Arkitett tas-Sigurtà tal-Cloud. Il-konsulent estern qed jaqdi r-rwol ta’ superviżur ta’ DORA.
“Grazzi tal-preżentazzjoni,” jgħid. “Jekk jogħġobkom ipprovdu r-Reġistru tal-Informazzjoni kif meħtieġ mill-Artikolu 28 ta’ DORA, inklużi l-arranġamenti kuntrattwali tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti, il-viżibbiltà tas-sottokuntrattar, is-sjieda tal-assi u l-evidenza li r-reġistru jinżamm taħt il-qafas għall-ġestjoni tar-riskju tal-ICT tagħkom.”
L-ewwel tweġiba tinstema’ kunfidenti: “Għandna lista tal-fornituri.”
Imbagħad jibdew il-mistoqsijiet.
Liema fornituri jappoġġjaw l-awtorizzazzjoni tal-pagamenti? Liema kuntratti jinkludu drittijiet ta’ awditjar, assistenza fl-inċidenti, impenji dwar il-post tad-data, drittijiet ta’ terminazzjoni u appoġġ għall-ħruġ? Liema pjattaformi SaaS jipproċessaw data personali tal-klijenti? Liema servizzi tal-cloud jappoġġjaw funzjonijiet kritiċi jew importanti? Liema sottokuntratturi hemm wara l-fornitur tas-sigurtà ġestita? Liema sid tal-assi intern approva d-dipendenza? Liema riskji fil-Pjan ta’ Trattament tar-Riskju ta’ ISO/IEC 27001:2022 huma marbuta ma’ dawn il-fornituri? Liema entrati fid-Dikjarazzjoni ta’ Applikabbiltà jiġġustifikaw il-kontrolli?
Sal-10:30, it-tim fetaħ erba’ spreadsheets, esportazzjoni minn Configuration Management Database (CMDB), folder ta’ SharePoint b’kuntratti PDF, lista ta’ proċessuri għall-privatezza, rapport tal-kontijiet tal-cloud u task tracker SaaS miżmum manwalment. L-ebda wieħed minnhom ma jaqbel mal-ieħor.
Din hija l-isfida prattika tar-Reġistru tal-Informazzjoni ta’ DORA fl-2026. L-implimentazzjoni ta’ DORA għaddiet minn “neħtieġu pjan direzzjonali” għal “urini l-evidenza”. Għall-entitajiet finanzjarji, il-fornituri terzi ta’ servizzi tal-ICT, is-CISOs, l-awdituri interni u t-timijiet tal-konformità, ir-reġistru m’għadux mudell amministrattiv. Huwa t-tessut konnettiv bejn kuntratti tal-ICT, riskju tal-fornituri, ktajjen ta’ sottokuntrattar, servizzi tal-cloud, assi tal-ICT, funzjonijiet kritiċi, sjieda tal-governanza u evidenza ta’ ISO/IEC 27001:2022.
L-approċċ ta’ Clarysec huwa sempliċi: tibnix ir-Reġistru tal-Informazzjoni ta’ DORA bħala artefatt separat ta’ konformità. Ibnih bħala saff ħaj ta’ evidenza fi ħdan l-ISMS tiegħek, appoġġjat mill-ġestjoni tal-assi, is-sigurtà tal-fornituri, il-governanza tal-użu tal-cloud, l-immappjar tal-obbligi legali u regolatorji, il-metadata tal-awditu u t-traċċabbiltà tat-trattament tar-riskju.
Zenith Controls: The Cross-Compliance Guide ta’ Clarysec Zenith Controls jidentifika tliet kontrolli ankra ta’ ISO/IEC 27001:2022 Annex A bħala partikolarment rilevanti għal dan is-suġġett: A.5.9, inventarju tal-informazzjoni u ta’ assi oħra assoċjati; A.5.19, sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri; u A.5.20, indirizzar tas-sigurtà tal-informazzjoni fi ħdan ftehimiet mal-fornituri. Dawn il-kontrolli mhumiex burokrazija żejda. Huma s-sinsla operattiva biex jiġi ppruvat li r-reġistru huwa komplut, għandu sid, huwa aġġornat u jista’ jiġi awditjat.
X’jistenna DORA mir-Reġistru tal-Informazzjoni
DORA japplika mis-17 ta’ Jannar 2025 u joħloq qafas regolatorju għar-reżiljenza tal-ICT fis-settur finanzjarju għall-ġestjoni tar-riskju tal-ICT, ir-rappurtar tal-inċidenti, l-ittestjar tar-reżiljenza, ir-riskju ta’ partijiet terzi, l-arranġamenti kuntrattwali, is-sorveljanza ta’ fornituri terzi kritiċi tal-ICT u l-infurzar superviżorju. Għall-entitajiet finanzjarji identifikati wkoll taħt it-traspożizzjoni nazzjonali ta’ NIS2, DORA jopera bħala l-att legali tal-Unjoni speċifiku għas-settur għar-rekwiżiti korrispondenti tal-ġestjoni tar-riskji taċ-ċibersigurtà u tar-rappurtar tal-inċidenti.
L-obbligu tar-reġistru jinsab fid-dixxiplina ta’ DORA għall-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT. L-Artikolu 28 ta’ DORA jeħtieġ li l-entitajiet finanzjarji jimmaniġġjaw ir-riskju ta’ partijiet terzi tal-ICT bħala parti mill-qafas għall-ġestjoni tar-riskju tal-ICT, jibqgħu kompletament responsabbli għall-konformità anki meta jużaw fornituri tal-ICT, iżommu reġistru tal-informazzjoni għall-arranġamenti kuntrattwali tas-servizzi tal-ICT u jiddistingwu arranġamenti li jappoġġjaw funzjonijiet kritiċi jew importanti.
L-Artikolu 29 ta’ DORA iżid konsiderazzjonijiet dwar ir-riskju ta’ konċentrazzjoni u s-sottokuntrattar. Dan jinkludi sostitwibbiltà, dipendenzi multipli fuq l-istess fornituri jew fornituri konnessi, sottokuntrattar f’pajjiżi terzi, restrizzjonijiet ta’ insolvenza, irkupru tad-data, konformità mal-protezzjoni tad-data u ktajjen ta’ sottokuntrattar twal jew kumplessi.
L-Artikolu 30 ta’ DORA imbagħad jiddefinixxi s-sustanza tal-kuntratt li l-awdituri jistennew jaraw. Dan jinkludi deskrizzjonijiet tas-servizzi, kundizzjonijiet tas-sottokuntrattar, postijiet tal-ipproċessar tad-data, impenji dwar il-protezzjoni tad-data, obbligi ta’ aċċess u rkupru, livelli tas-servizz, appoġġ għall-inċidenti, kooperazzjoni mal-awtoritajiet, drittijiet ta’ terminazzjoni, parteċipazzjoni fit-taħriġ, drittijiet ta’ awditjar u strateġiji ta’ ħruġ għal arranġamenti li jappoġġjaw funzjonijiet kritiċi jew importanti.
Reġistru tal-Informazzjoni ta’ DORA matur għandu jwieġeb erba’ mistoqsijiet prattiċi.
| Mistoqsija dwar ir-reġistru | X’qed jittestjaw tassew is-superviżuri u l-awdituri |
|---|---|
| Liema servizzi tal-ICT tużaw? | Il-kompletezza tal-arranġamenti kuntrattwali tal-ICT, is-servizzi tal-cloud, il-pjattaformi SaaS u s-servizzi ġestiti |
| Min jipprovdihom u min hemm warajhom? | Sjieda tal-fornituri, ktajjen ta’ sottokuntrattar, sottoproċessuri u riskju ta’ konċentrazzjoni |
| X’jappoġġjaw? | Rabta ma’ funzjonijiet kritiċi jew importanti, proċessi tan-negozju, assi tal-ICT u data |
| Tistgħu tipprovdu evidenza tal-governanza? | Kuntratti, valutazzjonijiet tar-riskju, kontrolli, sidien, monitoraġġ, drittijiet ta’ awditjar, tħejjija għall-ħruġ u metadata tar-rieżami |
Reġistru dgħajjef huwa spreadsheet li l-akkwist jaġġorna darba fis-sena. Reġistru b’saħħtu huwa dataset taħt governanza li jgħaqqad portafoll tal-fornituri, inventarju tal-assi, reġistru tal-cloud, repożitorju tal-kuntratti, reġistri tal-privatezza, Pjanijiet tal-Kontinwità tan-Negozju (BCPs), playbooks tal-inċidenti, Reġistru tar-Riskji u evidenza ta’ ISO/IEC 27001:2022.
Għaliex ISO 27001 huwa l-aktar rotta mgħaġġla għal reġistru DORA difensibbli
ISO/IEC 27001:2022 jagħti lill-organizzazzjonijiet l-istruttura ta’ sistema ta’ ġestjoni li ħafna drabi tkun nieqsa mill-evidenza ta’ DORA. Il-klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tiddefinixxi l-kuntest, il-partijiet interessati, l-obbligi legali, regolatorji u kuntrattwali, il-kamp ta’ applikazzjoni, l-interfaċċi u d-dipendenzi. Dan huwa eżattament fejn DORA għandu jkun fl-ISMS, għaliex ir-reġistru jiddependi fuq li jkun magħruf liema servizzi finanzjarji, fornituri tal-ICT, klijenti, awtoritajiet, pjattaformi tal-cloud u proċessi esternalizzati jaqgħu fil-kamp ta’ applikazzjoni.
Il-klawżoli 5.1 sa 5.3 jeħtieġu tmexxija, allinjament tal-politiki, riżorsi, responsabbiltajiet u rappurtar lit-tmexxija għolja. Dan huwa importanti għaliex l-Artikolu 5 ta’ DORA jqiegħed ir-responsabbiltà fuq il-korp maniġerjali biex jiddefinixxi, japprova, jissorvelja u jibqa’ responsabbli għall-qafas għall-ġestjoni tar-riskju tal-ICT, inklużi politiki dwar servizzi ta’ partijiet terzi tal-ICT u kanali ta’ rappurtar.
Il-klawżoli 6.1.1 sa 6.1.3 huma fejn ir-reġistru jsir ibbażat fuq ir-riskju. ISO/IEC 27001:2022 jeħtieġ proċess ripetibbli ta’ valutazzjoni tar-riskju, sidien tar-riskju, analiżi tal-probabbiltà u tal-konsegwenzi, trattament tar-riskju, għażla tal-kontrolli, Dikjarazzjoni ta’ Applikabbiltà u approvazzjoni tas-sid tar-riskju għar-riskju residwu. Reġistru DORA li mhuwiex marbut mat-trattament tar-riskju jsir lista statika. Reġistru marbut ma’ xenarji ta’ riskju, kontrolli u sidien isir evidenza tal-awditu.
Il-klawżoli 8.1 sa 8.3 imbagħad jibdlu l-ippjanar f’operazzjonijiet ikkontrollati. Huma jappoġġjaw informazzjoni dokumentata, ippjanar u kontroll operattiv, kontroll tal-bidliet, kontroll ta’ proċessi pprovduti minn barra, rivalutazzjonijiet ippjanati tar-riskju, implimentazzjoni tat-trattament u żamma tal-evidenza. Dan huwa kritiku għall-2026 għaliex is-superviżuri mhux biss qed jistaqsu jekk reġistru kienx jeżisti f’mument partikolari. Qed jistaqsu jekk kuntratti ġodda, servizzi mibdula, sottokuntratturi ġodda, migrazzjonijiet tal-cloud u avvenimenti ta’ ħruġ jinqabdux fiċ-ċiklu tal-governanza.
Is-saff tal-kontrolli ta’ Annex A isaħħaħ l-istess punt. Ir-relazzjonijiet mal-fornituri, il-ftehimiet mal-fornituri, ir-riskju tal-katina tal-provvista tal-ICT, il-monitoraġġ tas-servizzi tal-fornituri, l-akkwist u l-ħruġ minn servizzi tal-cloud, il-ġestjoni tal-inċidenti, il-kontinwità tan-negozju, l-obbligi legali u regolatorji, il-privatezza, il-backups, il-logging, il-monitoraġġ, il-kontrolli kriptografiċi u l-ġestjoni tal-vulnerabbiltajiet kollha jikkontribwixxu għall-kwalità tar-reġistru.
Zenith Blueprint: An Auditor’s 30-Step Roadmap ta’ Clarysec Zenith Blueprint jispjega l-bażi tal-assi fil-fażi Controls in Action, Step 22:
Fl-aktar forma strateġika tiegħu, inventarju tal-assi jaġixxi bħala s-sistema nervuża ċentrali tal-ISMS tiegħek. Jinforma kif jiġi pprovdut l-aċċess (8.2), fejn għandu jiġi applikat l-iċċifrar (8.24), liema sistemi jeħtieġu backup (8.13), liema logs jinġabru (8.15), u anki kif jiġu applikati l-politiki ta’ klassifikazzjoni u ta’ żamma (5.10, 8.10).
Din il-kwotazzjoni taqbad il-punt prattiku. Ma tistax iżżomm Reġistru tal-Informazzjoni ta’ DORA affidabbli sakemm l-inventarju tal-assi sottostanti ma jkunx affidabbli. Jekk ir-reġistru tiegħek jgħid “Core Banking SaaS”, iżda l-inventarju tal-assi tiegħek ma jurix APIs, kontijiet ta’ servizz, datasets, sorsi tal-logs, ċwievet tal-iċċifrar, dipendenzi tal-backup u sidien, ir-reġistru huwa inkomplet minn perspettiva ta’ awditu.
Il-mudell tad-data ta’ Clarysec: reġistru wieħed, diversi veduti tal-evidenza
Reġistru tal-Informazzjoni ta’ DORA m’għandux jissostitwixxi r-reġistru tal-fornituri, ir-Reġistru tal-Assi jew ir-reġistru tal-cloud tiegħek. Għandu jgħaqqadhom. Clarysec normalment jiddisinja r-reġistru bħala saff ewlieni ta’ evidenza b’relazzjonijiet ikkontrollati ma’ reġistri eżistenti tal-ISMS.
Il-mudell minimu vijabbli għandu seba’ oġġetti marbuta.
| Oġġett | Oqsma eżemplari | Sid l-evidenza |
|---|---|---|
| Arranġament kuntrattwali tal-ICT | ID tal-kuntratt, deskrizzjoni tas-servizz, data tal-bidu, data tat-tmiem, tiġdid, drittijiet ta’ terminazzjoni, drittijiet ta’ awditjar | Dipartiment Legali jew Ġestjoni tal-Fornituri |
| Fornitur terz tal-ICT | Entità legali, post, kritikalità, ċertifikazzjonijiet, status tad-diliġenza dovuta, klassifikazzjoni tar-riskju | Ġestjoni tal-Fornituri |
| Sottokuntrattur jew sottoproċessur | Rwol tas-servizz, aċċess għad-data, pajjiż, status tal-approvazzjoni, obbligi ta’ trasferiment downstream | Ġestjoni tal-Fornituri u Privatezza |
| Servizz tal-ICT | SaaS, ospitar tal-cloud, sigurtà ġestita, gateway tal-pagamenti, analiżi tad-data | IT jew sid tas-servizz |
| Funzjoni appoġġjata | Indikatur ta’ funzjoni kritika jew importanti, proċess tan-negozju, prijorità tal-irkupru | Sid tan-Negozju |
| Informazzjoni u assi tal-ICT | Applikazzjonijiet, datasets, interfaċċi tal-ipprogrammar tal-applikazzjonijiet, logs, ċwievet, kontijiet, repożitorji, infrastruttura | Sid tal-Assi |
| Evidenza tal-ISMS | Valutazzjoni tar-riskju, immappjar tas-SoA, klawżoli tal-kuntratt, rieżami tal-monitoraġġ, playbook tal-inċidenti, test tal-ħruġ | CISO jew Konformità |
Din l-istruttura tippermetti lil reġistru wieħed jappoġġja diversi talbiet għall-evidenza. Superviżur ta’ DORA jista’ jara arranġamenti kuntrattwali li jappoġġjaw funzjonijiet kritiċi jew importanti. Awditur ta’ ISO jista’ jsegwi l-kontrolli tal-fornituri għar-referenzi ta’ Annex A u għat-trattament tar-riskju. Rieżaminatur ta’ GDPR jista’ jara proċessuri, kategoriji ta’ data, postijiet u impenji dwar il-protezzjoni tad-data. Valutatur orjentat lejn NIST jista’ jirrieżamina l-governanza tal-katina tal-provvista, il-kritikalità tal-fornituri, ir-rekwiżiti kuntrattwali u l-monitoraġġ taċ-ċiklu tal-ħajja.
Ir-reġistru jsir aktar minn “min huma l-fornituri tagħna?” Isir graff tad-dipendenzi.
Bażijiet ta’ politika li jagħmlu r-reġistru adattat għall-awditu
Is-sett ta’ politiki ta’ Clarysec jagħti lir-reġistru post operattiv. Għall-SMEs, Third-Party and Supplier Security Policy-sme Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME tibda b’rekwiżit ċar għar-reġistru:
Reġistru tal-fornituri għandu jinżamm u jiġi aġġornat mill-kuntatt amministrattiv jew tal-akkwist. Għandu jinkludi:
L-istess politika għall-SMEs tistabbilixxi li l-kuntratti għandhom ikun fihom obbligi ta’ sigurtà definiti:
Il-kuntratti għandhom jinkludu klawżoli obbligatorji li jkopru:
Għalkemm il-klawżoli kkwotati jintroduċu listi ta’ oqsma u kategoriji ta’ klawżoli obbligatorji fil-politika nnifisha, il-messaġġ tal-implimentazzjoni huwa dirett: il-governanza tal-fornituri għandha tkun dokumentata, assenjata u infurzata kuntrattwalment.
Għal ambjenti ta’ intrapriża, Supplier Dependency Risk Management Policy ta’ Clarysec Politika tal-Ġestjoni tar-Riskju tad-Dipendenza fuq il-Fornituri hija saħansitra eqreb lejn l-aspettattivi superviżorji ta’ DORA:
Reġistru tad-dipendenzi fuq il-fornituri: Il-VMO għandu jżomm reġistru aġġornat tal-fornituri kritiċi kollha, inklużi dettalji bħas-servizzi/prodotti pprovduti; jekk il-fornitur huwiex fornitur uniku; fornituri alternattivi disponibbli jew sostitwibbiltà; termini kuntrattwali attwali; u evalwazzjoni tal-impatt jekk il-fornitur ifalli jew jiġi kompromess. Ir-reġistru għandu jidentifika b’mod ċar fornituri b’dipendenza għolja (eż., dawk li għalihom ma teżistix alternattiva rapida).
Dan jimmappja b’mod ċar mal-Artikolu 29 ta’ DORA dwar ir-riskju ta’ konċentrazzjoni u s-sostitwibbiltà. Jekk fornitur huwa fornitur uniku, jappoġġja funzjoni kritika, jopera f’pajjiż terz, juża katina twila ta’ sottokuntrattar u m’għandux mogħdija ta’ ħruġ ittestjata, ir-reġistru m’għandux jaħbi dak ir-riskju f’nota b’test liberu. Għandu jimmarkah, jassenjalu sid u jqabbdu mat-trattament tar-riskju.
Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri għall-intrapriżi ta’ Clarysec Politika tas-Sigurtà ta’ partijiet terzi u tal-fornituri tagħmel il-kamp ta’ applikazzjoni espliċitu:
Tkopri kemm fornituri diretti kif ukoll, fejn applikabbli, is-sottokuntratturi tagħhom, u tinkludi software ta’ partijiet terzi, infrastruttura, appoġġ u servizzi ġestiti.
Din is-sentenza tindirizza lakuna komuni f’DORA. Ħafna organizzazzjonijiet jaqbdu fornituri diretti tal-ICT iżda ma jiddokumentawx sottokuntratturi, sottoproċessuri, għodod ta’ servizzi ġestiti, pjattaformi ta’ appoġġ jew software ta’ partijiet terzi inkorporat f’servizz.
L-evidenza kuntrattwali hija importanti wkoll. L-istess politika għall-intrapriżi tinkludi:
Drittijiet li jsir awditu, spezzjoni u talba għal evidenza tas-sigurtà
Din il-frażi għandha tkun viżibbli fil-lista ta’ kontroll tar-rieżami tal-kuntratti tiegħek. Jekk kuntratt ta’ fornitur kritiku tal-ICT jonqsu drittijiet ta’ awditjar jew ta’ evidenza, ir-reġistru għandu jimmarka azzjoni ta’ rimedju.
L-evidenza tal-assi hija importanti daqstant ieħor. Il-Politika tal-Ġestjoni tal-Assi għall-SMEs ta’ Clarysec Politika tal-Ġestjoni tal-Assi - SME tiddikjara:
L-IT Lead għandu jżomm inventarju strutturat tal-assi li jinkludi, mill-inqas, l-oqsma li ġejjin:
Il-Politika tal-Ġestjoni tal-Assi għall-intrapriżi Politika tal-Ġestjoni tal-Assi bl-istess mod tiddikjara:
L-Inventarju tal-Assi għandu jkun fih, mill-inqas:
Ir-reġistru m’għandux għalfejn jidduplika kull qasam tal-assi, iżda għandu jirreferi għall-inventarju tal-assi. Jekk SaaS ta’ monitoraġġ tal-pagamenti jappoġġja skoperta ta’ frodi, ir-reġistru DORA għandu jintrabat mal-assi tal-applikazzjoni, l-assi tad-dataset, il-kontijiet ta’ servizz, l-integrazzjonijiet tal-API, is-sorsi tal-logs u s-sid tan-negozju.
Is-servizzi tal-cloud jistħoqqilhom veduta dedikata. Il-Politika dwar l-Użu tal-Cloud għall-SMEs ta’ Clarysec Politika dwar l-Użu tal-Cloud - SME teħtieġ:
Reġistru tas-Servizzi cloud għandu jinżamm mill-fornitur tal-IT jew mill-GM. Għandu jirreġistra:
Dan huwa partikolarment siewi għall-iskoperta ta’ shadow IT. Reġistru DORA li jeskludi servizzi tal-cloud mixtrija barra l-akkwist se jfalli t-test prattiku tal-kompletezza.
Fl-aħħar nett, il-Politika dwar il-Konformità Legali u Regolatorja ta’ Clarysec Politika dwar il-Konformità Legali u Regolatorja tbiddel il-konformità trasversali f’rekwiżit tal-ISMS:
L-obbligi legali u regolatorji kollha għandhom jiġu mmappjati ma’ politiki, kontrolli u sidien speċifiċi fi ħdan is-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS).
Dan huwa l-pont mir-reġistru DORA għall-evidenza ta’ ISO 27001. Ir-reġistru m’għandux juri biss il-fornituri. Għandu juri liema politiki, kontrolli u sidien jissodisfaw l-obbligu regolatorju.
Immappjar tar-rekwiżiti ta’ DORA ma’ ISO 27001 u l-evidenza ta’ Clarysec
It-tabella hawn taħt tgħaqqad l-aspettattivi ewlenin tar-reġistru mal-kontrolli ta’ ISO/IEC 27001:2022 Annex A u artefatti prattiċi tal-evidenza ta’ Clarysec.
| Rekwiżit tar-reġistru DORA | Ankra tal-evidenza ISO/IEC 27001:2022 | Politika jew għodda ta’ Clarysec | Artefatt prattiku tal-evidenza |
|---|---|---|---|
| Reġistru tal-arranġamenti kuntrattwali kollha tas-servizzi tal-ICT | A.5.20, indirizzar tas-sigurtà tal-informazzjoni fi ħdan ftehimiet mal-fornituri | Third-Party and Supplier Security Policy-sme | Reġistru tal-kuntratti b’ID tal-kuntratt, sid, dati, status tat-tiġdid u klawżoli ewlenin |
| Identifikazzjoni ta’ funzjonijiet kritiċi jew importanti | Klawżoli 4.3, 6.1.2, 8.1 u A.5.9 | Supplier Dependency Risk Management Policy | Indikatur tal-kritikalità marbut ma’ funzjoni tan-negozju, valutazzjoni tar-riskju u Sid tal-Assi |
| Immappjar tal-fornituri mal-assi | A.5.9, inventarju tal-informazzjoni u ta’ assi oħra assoċjati | Asset Management Policy | Reġistri tal-inventarju tal-assi marbuta mar-reġistri tal-fornitur u tas-servizz tal-ICT |
| Għarfien tal-katina tas-sottokuntrattar | A.5.19, relazzjonijiet mal-fornituri u A.5.21, ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT | Third party and supplier security policy | Reġistri tad-diliġenza dovuta, reġistri tas-sottoproċessuri u evidenza tal-obbligi ta’ trasferiment downstream |
| Monitoraġġ tal-fornituri | A.5.22, monitoraġġ, rieżami u ġestjoni tal-bidliet tas-servizzi tal-fornituri | Supplier Dependency Risk Management Policy | Rieżamijiet kull tliet xhur, evidenza ta’ assigurazzjoni, rappurtar tal-SLA u traċċar tal-kwistjonijiet |
| Governanza u ħruġ tas-servizzi tal-cloud | A.5.23, sigurtà tal-informazzjoni għall-użu tas-servizzi tal-cloud | Cloud Usage Policy - SME | Reġistru tas-servizzi tal-cloud, valutazzjoni tar-riskju tal-cloud u pjan ta’ ħruġ |
| Drittijiet ta’ awditjar u spezzjoni | A.5.20 u A.5.35, rieżami indipendenti tas-sigurtà tal-informazzjoni | Third party and supplier security policy | Lista ta’ kontroll tal-klawżoli tal-kuntratt u drittijiet għal talba ta’ evidenza |
| Immappjar tal-obbligi legali u regolatorji | Klawżoli 4.2, 4.3, 6.1.3 u A.5.31, rekwiżiti legali, statutorji, regolatorji u kuntrattwali | Legal and Regulatory Compliance Policy | Mappa tal-obbligi ta’ DORA marbuta ma’ politiki, kontrolli u sidien |
| Aġġornament u metadata tal-evidenza | Klawżola 7.5 u Klawżola 9.1 | Audit and Compliance Monitoring Policy - SME | Esportazzjoni tar-reġistru bis-sistema tas-sors, il-kollettur, id-data, ir-rieżaminatur u l-istatus tal-approvazzjoni |
Dan l-immappjar huwa fejn ir-reġistru jieqaf ikun spreadsheet u jsir mudell ta’ evidenza. Kull ringiela għandu jkollha sid tal-kuntratt, sid tal-fornitur, sid tas-servizz, Sid tan-Negozju u sid tal-konformità. Kull relazzjoni kritika għandu jkollha reġistru tar-riskju, lista ta’ kontroll tal-klawżoli tal-kuntratt, rabta mal-assi u ċiklu ta’ monitoraġġ.
Eżempju prattiku: immappjar ta’ kuntratt wieħed tal-ICT ma’ evidenza ta’ ISO 27001
Immaġina li entità finanzjarja tuża pjattaforma ta’ analiżi tal-frodi f’ambjent tal-cloud. Is-servizz jassorbi metadata tat-tranżazzjonijiet, jappoġġja punteġġjar tal-frodi f’ħin reali, jintegra mal-pjattaforma tal-pagamenti, jaħżen identifikaturi psewdonimizzati tal-klijenti, juża sottokuntrattur ta’ ospitar tal-cloud u jipprovdi appoġġ ġestit minn post approvat f’pajjiż terz.
Ringiela dgħajfa tar-reġistru tgħid: “Fornitur: FraudCloud. Servizz: analiżi tal-frodi. Kuntratt iffirmat. Kritiku: iva.”
Ringiela ta’ livell superviżorju fir-reġistru tidher differenti ħafna.
| Qasam tar-reġistru | Dħul eżemplari |
|---|---|
| Fornitur tal-ICT | FraudCloud Ltd |
| Servizz tal-ICT | API tal-cloud għall-analiżi u l-punteġġjar tal-frodi |
| ID tal-kuntratt | LEG-ICT-2026-014 |
| Funzjoni appoġġjata | Skoperta ta’ frodi fil-pagamenti, funzjoni kritika jew importanti |
| Sid tan-negozju | Kap tal-Operazzjonijiet tal-Pagamenti |
| Sid tal-ICT | Responsabbli mill-Inġinerija tal-Pjattaformi |
| Rabtiet mal-assi | APP-042 API tal-punteġġjar tal-frodi, DATA-119 metadata tat-tranżazzjonijiet, API-017 integrazzjoni tal-gateway tal-pagamenti, LOG-088 logs tal-awditu tal-frodi |
| Rwol tad-data | Proċessur għal metadata tat-tranżazzjonijiet u identifikaturi psewdonimizzati tal-klijenti |
| Postijiet | Ipproċessar primarju fir-reġjun tal-UE, aċċess għall-appoġġ minn post approvat f’pajjiż terz |
| Sottokuntratturi | Fornitur ta’ ospitar tal-cloud, pjattaforma ta’ biljetti tal-appoġġ |
| Klawżoli ewlenin | Assistenza fl-inċidenti, drittijiet ta’ awditjar, notifika dwar sottokuntratturi, ritorn tad-data, livelli tas-servizz, appoġġ għall-ħruġ |
| Evidenza ISO | Valutazzjoni tar-riskju tal-fornitur, reġistru tal-inventarju tal-assi, referenzi tas-SoA, lista ta’ kontroll tar-rieżami tal-kuntratt, evalwazzjoni tal-cloud, rieżami tal-monitoraġġ |
| Indikaturi tar-riskju DORA | Funzjoni kritika, appoġġ minn pajjiż terz, sottokuntrattar, riskju ta’ konċentrazzjoni jekk ma teżistix alternattiva |
| Ċiklu tar-rieżami | Rieżami tal-prestazzjoni kull tliet xhur, assigurazzjoni annwali tal-fornitur, rieżami skattat fuq bidla fis-sottokuntrattur jew fl-arkitettura |
Issa t-tim tal-konformità jista’ jipproduċi pakkett koerenti ta’ evidenza. Ir-reġistru tal-fornituri jipprova li l-fornitur jeżisti u għandu sid. L-inventarju tal-assi jipprova li s-sistemi interni, l-APIs, id-datasets u l-logs huma magħrufa. Il-lista ta’ kontroll tal-kuntratt tipprova li l-klawżoli obbligatorji ta’ DORA ġew rieżaminati. Il-valutazzjoni tar-riskju tipprova li l-konċentrazzjoni, is-sottokuntrattar, il-protezzjoni tad-data u r-reżiljenza operattiva ġew ikkunsidrati. Id-Dikjarazzjoni ta’ Applikabbiltà turi liema kontrolli ntgħażlu. Ir-rieżami tal-monitoraġġ jipprova li l-arranġament ma jintnesiex wara l-onboarding.
Zenith Blueprint, fażi tal-Ġestjoni tar-Riskju, Step 13, jirrakkomanda eżattament din it-tip ta’ traċċabbiltà:
Agħmel referenzi inkroċjati mar-regolamenti: jekk ċerti kontrolli jiġu implimentati speċifikament biex jikkonformaw ma’ GDPR, NIS2 jew DORA, tista’ tinnota dan jew fir-Reġistru tar-Riskji (bħala parti mill-ġustifikazzjoni tal-impatt tar-riskju) jew fin-noti tas-SoA.
Hekk ir-reġistru DORA jsir evidenza ta’ ISO 27001 minflok burokrazija parallela.
Il-katina tal-fornituri u tas-sottokuntratturi hija fejn tfalli l-kwalità tar-reġistru
L-akbar fallimenti tar-reġistru mhumiex ikkawżati minn fornituri ewlenin nieqsa. Huma kkawżati minn ktajjen ta’ dipendenza moħbija.
Fornitur ta’ sigurtà ġestita jista’ juża pjattaforma SIEM, aġent tat-telemetrija tal-endpoint, sistema ta’ ticketing u tim offshore ta’ triage. Proċessur tal-pagamenti jista’ jiddependi fuq ospitar tal-cloud, servizzi tal-identità, databases tal-frodi u konnettività tas-saldu. Fornitur SaaS jista’ jiddependi fuq diversi sottoproċessuri għall-analiżi, email, osservabbiltà, appoġġ għall-klijenti u backups.
L-Artikolu 29 ta’ DORA jisforza attenzjoni fuq ir-riskju ta’ konċentrazzjoni u s-sottokuntrattar. L-Artikolu 21 ta’ NIS2 jeħtieġ ukoll sigurtà tal-katina tal-provvista għal fornituri diretti u fornituri tas-servizzi u jistenna li l-entitajiet jikkunsidraw vulnerabbiltajiet speċifiċi għal kull fornitur dirett, il-kwalità ġenerali tal-prodott, il-prattiki taċ-ċibersigurtà tal-fornitur u proċeduri ta’ żvilupp sigur. Għall-entitajiet finanzjarji koperti minn DORA, DORA jaġixxi bħala l-qafas regolatorju speċifiku għas-settur għar-rekwiżiti li jikkoinċidu ma’ NIS2 dwar il-ġestjoni tar-riskji taċ-ċibersigurtà u r-rappurtar tal-inċidenti, iżda l-loġika tal-katina tal-provvista hija allinjata.
Zenith Blueprint ta’ Clarysec, fil-fażi Controls in Action, Step 23, jagħti istruzzjoni prattika:
Għal kull fornitur kritiku, identifika jekk jużax sottokuntratturi (subprocessors) li jistgħu jaċċessaw id-data jew is-sistemi tiegħek. Iddokumenta kif ir-rekwiżiti tiegħek tas-sigurtà tal-informazzjoni jiġu mgħoddija lil dawn il-partijiet, jew permezz tat-termini tal-kuntratt tal-fornitur tiegħek jew permezz tal-klawżoli diretti tiegħek stess.
Dan huwa fejn ħafna organizzazzjonijiet jeħtieġu azzjoni ta’ rimedju fl-2026. Kuntratti ffirmati qabel it-tħejjija għal DORA jistgħu ma jinkludux trasparenza tas-sottokuntratturi, drittijiet għal evidenza tal-awditu, kooperazzjoni mal-awtoritajiet, assistenza fl-inċidenti, appoġġ għall-ħruġ jew impenji dwar il-post. Għalhekk ir-reġistru għandu jinkludi status ta’ rimedju tal-kuntratt, bħal komplut, lakuna aċċettata, negozjar mill-ġdid għaddej jew għażla ta’ ħruġ meħtieġa.
Konformità trasversali: DORA, NIS2, GDPR u NIST jeħtieġu l-istess verità dwar id-dipendenzi
Reġistru tal-Informazzjoni ta’ DORA mfassal tajjeb jappoġġja aktar minn DORA.
L-Artikolu 20 ta’ NIS2 jagħmel iċ-ċibersigurtà responsabbiltà tal-korp maniġerjali permezz ta’ approvazzjoni, sorveljanza u taħriġ. L-Artikolu 21 jeħtieġ analiżi tar-riskju, politiki, immaniġġjar tal-inċidenti, kontinwità, sigurtà tal-katina tal-provvista, akkwist u manutenzjoni siguri, evalwazzjoni tal-effettività, iġjene ċibernetika, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi u awtentikazzjoni b’diversi fatturi fejn xieraq. Dawn l-oqsma jikkoinċidu b’mod qawwi ma’ ISO/IEC 27001:2022 u mal-mudell tal-evidenza tar-reġistru.
GDPR iżid responsabbiltà tal-privatezza. Il-kamp territorjali tiegħu jista’ japplika għal organizzazzjonijiet fl-UE u barra l-UE li jipproċessaw data personali fil-kuntest ta’ stabbilimenti fl-UE, joffru oġġetti jew servizzi lil individwi fl-UE, jew jimmonitorjaw l-imġiba tagħhom. Id-definizzjonijiet ta’ GDPR għal kontrollur, proċessur, ipproċessar, psewdonimizzazzjoni u ksur ta’ data personali huma direttament rilevanti għall-immappjar tal-fornituri tal-ICT. Jekk ir-reġistru DORA jidentifika fornituri tal-ICT u sottokuntratturi iżda ma jidentifikax rwoli ta’ pproċessar ta’ data personali, kategoriji ta’ data, postijiet u salvagwardji, ma jappoġġjax l-evidenza għal GDPR.
NIST CSF 2.0 jipprovdi lenti utli oħra. Il-funzjoni GOVERN tiegħu teħtieġ li l-organizzazzjonijiet jifhmu l-missjoni, l-aspettattivi tal-partijiet interessati, id-dipendenzi, ir-rekwiżiti legali u kuntrattwali, is-servizzi li oħrajn jiddependu fuqhom u s-servizzi li l-organizzazzjoni tiddependi fuqhom. Ir-riżultati GV.SC għall-katina tal-provvista jitolbu programm ta’ ġestjoni tar-riskju tal-katina tal-provvista, rwoli definiti tal-fornituri, integrazzjoni fil-ġestjoni tar-riskju tal-intrapriża, kritikalità tal-fornituri, rekwiżiti kuntrattwali, diliġenza dovuta, monitoraġġ taċ-ċiklu tal-ħajja, koordinazzjoni tal-inċidenti u ppjanar ta’ wara r-relazzjoni.
Veduta prattika ta’ konformità trasversali tidher hekk.
| Ħtieġa ta’ evidenza | Veduta DORA | Veduta tal-evidenza ISO 27001 | Veduta NIST CSF 2.0 | Veduta GDPR |
|---|---|---|---|---|
| Kompletezza tal-fornituri tal-ICT | Reġistru tal-arranġamenti kuntrattwali tas-servizzi tal-ICT | Reġistru tal-fornituri u kontroll ta’ proċess ipprovdut minn barra | GV.SC identifikazzjoni u prijoritizzazzjoni tal-fornituri | Reġistri tal-proċessuri u tas-sottoproċessuri |
| Kritikalità | Indikatur ta’ funzjoni kritika jew importanti | Valutazzjoni tar-riskju, impatt fuq in-negozju u sjieda tal-assi | Kuntest organizzattiv u servizzi kritiċi | Riskju għas-suġġetti tad-data fejn tkun involuta data personali |
| Klawżoli tal-kuntratt | Kontenut kuntrattwali tal-Artikolu 30 ta’ DORA | Evidenza tal-kontroll tal-ftehim mal-fornitur | Rekwiżiti kuntrattwali taċ-ċibersigurtà | Termini tal-ipproċessar tad-data u salvagwardji |
| Sottokuntrattar | Katina tas-sottokuntratturi u riskju ta’ konċentrazzjoni | Monitoraġġ tal-fornituri u obbligi ta’ trasferiment downstream | Monitoraġġ taċ-ċiklu tal-ħajja tal-katina tal-provvista | Trasparenza tas-sottoproċessuri u salvagwardji għat-trasferimenti |
| Ħruġ | Terminazzjoni, tranżizzjoni u ritorn tad-data | Ħruġ mill-cloud, kontinwità u evidenza taċ-ċiklu tal-ħajja tal-assi | Ippjanar ta’ wara r-relazzjoni | Evidenza tar-ritorn, tat-tħassir u taż-żamma |
Il-punt mhuwiex li jinħolqu ħames flussi ta’ xogħol ta’ konformità. Il-punt huwa li jinħoloq mudell wieħed ta’ evidenza li jista’ jiġi ffiltrat għal kull qafas.
Minn għajnejn l-awditur
Superviżur ta’ DORA jiffoka fuq il-kompletezza, funzjonijiet kritiċi jew importanti, arranġamenti kuntrattwali, sottokuntrattar, riskju ta’ konċentrazzjoni, governanza, rappurtar u jekk ir-reġistru jinżammx. Jista’ jitlob kampjun ta’ fornituri kritiċi u jistenna li jara klawżoli tal-kuntratt, valutazzjonijiet tar-riskju, strateġiji ta’ ħruġ, termini ta’ appoġġ għall-inċidenti u evidenza ta’ sorveljanza mill-maniġment.
Awditur ta’ ISO/IEC 27001:2022 jibda mill-kamp ta’ applikazzjoni tal-ISMS, il-partijiet interessati, l-obbligi regolatorji, il-valutazzjoni tar-riskju, id-Dikjarazzjoni ta’ Applikabbiltà, il-kontroll operattiv u l-informazzjoni dokumentata. Jittestja jekk ir-relazzjonijiet mal-fornituri u l-inventarji tal-assi humiex miżmuma, jekk il-proċessi pprovduti minn barra humiex ikkontrollati, jekk il-bidliet jiskattawx rivalutazzjoni u jekk l-evidenza tappoġġjax l-implimentazzjoni ddikjarata tal-kontrolli.
Valutatur ta’ NIST CSF 2.0 spiss jitlob profili attwali u fil-mira, aspettattivi ta’ governanza, immappjar tad-dipendenzi, kritikalità tal-fornituri, integrazzjoni tal-kuntratti, monitoraġġ taċ-ċiklu tal-ħajja u azzjonijiet ta’ titjib ipprijoritizzati.
Awditur orjentat lejn COBIT 2019 tipikament jeżamina sjieda tal-governanza, responsabbiltà tal-proċessi, drittijiet għat-teħid tad-deċiżjonijiet, monitoraġġ tal-prestazzjoni, rappurtar tar-riskju u assigurazzjoni. Jistaqsi jekk ir-reġistru huwiex inkorporat fil-governanza tal-intrapriża, mhux biss miżmum mill-konformità.
Zenith Controls jgħin jittraduċi dawn il-perspettivi billi jankra s-suġġett fil-kontrolli ta’ ISO/IEC 27001:2022 Annex A A.5.9, A.5.19 u A.5.20, imbagħad juża interpretazzjoni ta’ konformità trasversali biex jgħaqqad assi, relazzjonijiet mal-fornituri u ftehimiet mal-fornituri ma’ aspettattivi regolatorji, ta’ governanza u ta’ awditu. Din hija d-differenza bejn “għandna reġistru” u “nistgħu niddefendu r-reġistru.”
Il-Politika ta’ Monitoraġġ tal-Awditu u l-Konformità għall-SMEs ta’ Clarysec Politika ta’ Monitoraġġ tal-Awditu u l-Konformità - SME tindirizza wkoll il-kwalità tal-evidenza:
Il-metadata (eż., min ġabarha, meta, u minn liema sistema) għandha tiġi dokumentata.
Dan ir-rekwiżit huwa żgħir iżda qawwi. F’talba għal evidenza fl-2026, spreadsheet mingħajr metadata tal-ġbir hija dgħajfa. Esportazzjoni tar-reġistru li turi s-sistema tas-sors, id-data tal-estrazzjoni, is-sid responsabbli, l-istatus tal-approvazzjoni u ċ-ċiklu tar-rieżami hija aktar b’saħħitha.
Sejbiet komuni dwar ir-Reġistru tal-Informazzjoni ta’ DORA fl-2026
L-aktar sejbiet frekwenti huma prattiċi.
L-ewwel, kompletezza nieqsa tar-reġistru. Servizzi tal-cloud, għodod ta’ appoġġ, pjattaformi ta’ monitoraġġ, għodod tal-iżviluppaturi, sistemi ta’ ticketing u pjattaformi ta’ analiżi tad-data spiss jonqsu għax ma ġewx ikklassifikati bħala servizzi tal-ICT mill-akkwist.
It-tieni, loġika dgħajfa tal-kritikalità. Xi timijiet jimmarkaw fornituri bħala kritiċi abbażi tal-infiq, mhux tal-impatt fuq in-negozju. DORA jinteressah jekk is-servizz tal-ICT jappoġġjax funzjoni kritika jew importanti.
It-tielet, lakuni fl-evidenza kuntrattwali. Ftehimiet qodma mal-fornituri spiss jonqoshom klawżoli lesti għal DORA dwar drittijiet ta’ awditjar, assistenza fl-inċidenti, sottokuntrattar, kooperazzjoni mal-awtoritajiet, postijiet tas-servizz, ritorn tad-data, terminazzjoni u appoġġ għall-ħruġ.
Ir-raba’, rabta dgħajfa mal-assi. Ir-reġistri jelenkaw fornituri iżda ma jorbtuhomx ma’ applikazzjonijiet, datasets, interfaċċi tal-ipprogrammar tal-applikazzjonijiet, identitajiet, logs, infrastruttura jew servizzi tan-negozju. Dan jagħmel l-analiżi tal-impatt diffiċli waqt inċidenti u fallimenti tal-fornituri.
Il-ħames, opaċità tas-sottokuntratturi. L-organizzazzjoni taf min hu l-fornitur prinċipali iżda ma tistax tispjega liema sottoproċessuri jew fornituri tekniċi jappoġġjaw is-servizz.
Is-sitt, nuqqas ta’ skattaturi tal-bidla. Fornitur iżid sottoproċessur ġdid, jibdel ir-reġjun tal-ospitar, jemigra l-arkitettura jew jimmodifika l-aċċess għall-appoġġ, iżda ħadd ma jaġġorna r-reġistru jew jerġa’ jevalwa r-riskju.
Is-seba’, nuqqas ta’ ċiklu tal-evidenza. M’hemm l-ebda frekwenza definita għar-rieżami tal-fornituri, ir-rieżami tal-kuntratti, il-validazzjoni tal-assi, ir-rikonċiljazzjoni tar-reġistru tal-cloud jew ir-rappurtar lill-maniġment.
Dawn huma kwistjonijiet li jistgħu jiġu solvuti, iżda biss jekk ir-reġistru jkollu sidien u flussi tax-xogħol.
Pjan prattiku ta’ titjib għal 30 jum
Ibda bil-kamp ta’ applikazzjoni. Identifika l-funzjonijiet kollha tan-negozju li jistgħu jkunu kritiċi jew importanti taħt DORA. Għal kull funzjoni, elenka s-servizzi tal-ICT li tiddependi fuqhom. Tibdiex bl-infiq tal-akkwist. Ibda bid-dipendenza operattiva.
Irrikonċilja s-sorsi ewlenin tad-data: reġistru tal-fornituri, repożitorju tal-kuntratti, inventarju tal-assi u reġistru tas-servizzi tal-cloud. Żid reġistri tal-proċessuri għall-privatezza u dipendenzi tar-Rispons għall-Inċidenti fejn rilevanti. L-għan mhuwiex il-perfezzjoni fl-ewwel jum. L-għan huwa sinsla waħda tar-reġistru b’informazzjoni mhux magħrufa mmarkata b’mod ċar.
Ikklassifika fornituri u servizzi billi tuża kriterji bħall-funzjoni appoġġjata, is-sensittività tad-data, is-sostitwibbiltà operattiva, il-konċentrazzjoni, is-sottokuntrattar, il-postijiet, l-impatt tal-inċident, il-ħin għall-irkupru u r-rilevanza regolatorja.
Irrevedi l-kuntratti għal kull arranġament tal-ICT kritiku jew importanti. Iċċekkja jekk il-kuntratt jinkludix deskrizzjonijiet tas-servizzi, kundizzjonijiet tas-sottokuntrattar, postijiet, impenji dwar il-protezzjoni tad-data, aċċess u rkupru, livelli tas-servizz, appoġġ għall-inċidenti, drittijiet ta’ awditjar, kooperazzjoni mal-awtoritajiet, terminazzjoni, parteċipazzjoni fit-taħriġ u appoġġ għall-ħruġ.
Immappa l-evidenza ISO għal kull arranġament kritiku. Qabbad ma’ reġistri tal-assi, entrati tal-valutazzjoni tar-riskju, kontrolli tas-SoA, diliġenza dovuta tal-fornituri, rieżamijiet tal-monitoraġġ, pjanijiet ta’ kontinwità, playbooks tal-inċidenti u evidenza tal-istrateġija ta’ ħruġ.
Assenja ċiklu. Fornituri kritiċi jistgħu jeħtieġu rieżami kull tliet xhur, assigurazzjoni annwali, rieżami tal-kuntratt qabel it-tiġdid u rivalutazzjoni immedjata fuq bidla materjali. Fornituri mhux kritiċi jistgħu jiġu rieżaminati kull sena jew fuq avvenimenti skattaturi.
Uża din il-lista ta’ kontroll biex tibdel ir-reġistru fi proċess operattiv:
- Oħloq sid tar-reġistru DORA u sid ta’ backup.
- Qabbad kull ringiela tar-reġistru ma’ ID tal-kuntratt u sid tal-fornitur.
- Qabbad kull servizz tal-ICT kritiku jew importanti ma’ funzjoni tan-negozju u reġistri tal-assi.
- Żid oqsma għas-sottokuntratturi u s-sottoproċessuri, anki jekk inizjalment jiġu mmarkati bħala mhux magħrufa.
- Żid status tal-klawżoli tal-kuntratt għal termini kritiċi għal DORA.
- Żid referenzi tar-riskju u tas-SoA ta’ ISO/IEC 27001:2022.
- Żid rwol GDPR, data personali u oqsma tal-post fejn applikabbli.
- Żid ċiklu tar-rieżami u metadata tal-aħħar rieżami.
- Oħloq regoli ta’ eskalazzjoni għal klawżoli nieqsa, sottokuntratturi mhux magħrufa u riskju għoli ta’ konċentrazzjoni.
- Irrapporta metriċi tal-kwalità tar-reġistru lill-maniġment.
Hawnhekk il-metodu ta’ implimentazzjoni ta’ 30 pass ta’ Clarysec, is-sett ta’ politiki u Zenith Controls jaħdmu flimkien. Zenith Blueprint jagħti l-mogħdija tal-implimentazzjoni, mit-trattament tar-riskju u t-traċċabbiltà tas-SoA fi Step 13 għall-inventarju tal-assi fi Step 22 u l-kontrolli tal-fornituri fi Step 23. Il-politiki jiddefinixxu min għandu jżomm ir-reġistri, liema evidenza kuntrattwali u tal-assi għandha teżisti u kif tinqabad il-metadata tal-konformità. Zenith Controls jipprovdi l-kumpass tal-konformità trasversali għall-immappjar tal-istess evidenza mal-aspettattivi tal-awditjar ta’ DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST u COBIT 19.
Ibdel ir-reġistru f’evidenza qabel ma jitlobha s-superviżur
Jekk ir-Reġistru tal-Informazzjoni ta’ DORA tiegħek għadu spreadsheet maqtugħ mill-kuntratti, l-assi, il-fornituri, is-sottokuntratturi u l-evidenza ta’ ISO 27001, l-2026 hija s-sena biex tirranġah.
Ibda billi tuża Zenith Blueprint Zenith Blueprint biex tgħaqqad trattament tar-riskju, inventarju tal-assi u governanza tal-fornituri. Uża Zenith Controls Zenith Controls biex timmappja l-kontrolli ta’ ISO/IEC 27001:2022 Annex A A.5.9, A.5.19 u A.5.20 f’evidenza ta’ konformità trasversali. Imbagħad poġġi r-rekwiżiti f’operat permezz tal-politiki ta’ Clarysec dwar fornituri, assi, cloud, konformità legali u monitoraġġ tal-awditu, inklużi Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME, Politika tal-Ġestjoni tar-Riskju tad-Dipendenza fuq il-Fornituri, Politika tas-Sigurtà ta’ partijiet terzi u tal-fornituri, Politika tal-Ġestjoni tal-Assi - SME, Politika tal-Ġestjoni tal-Assi, Politika dwar l-Użu tal-Cloud - SME, Politika dwar il-Konformità Legali u Regolatorja u Politika ta’ Monitoraġġ tal-Awditu u l-Konformità - SME.
L-aħjar ħin biex tirranġa l-kwalità tar-reġistru huwa qabel talba minn awtorità, awditu intern, qtugħ fis-servizz ta’ fornitur jew tiġdid ta’ kuntratt. It-tieni l-aħjar ħin huwa issa. Niżżel il-politiki rilevanti ta’ Clarysec, immappja r-reġistru attwali tiegħek mal-mudell tal-evidenza ta’ hawn fuq u ibbukkja evalwazzjoni tar-reġistru DORA biex tbiddel data mifruxa tal-fornituri f’evidenza ta’ livell superviżorju.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
