⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Tħejjija għall-Att dwar is-Solidarjetà Ċibernetika tal-UE permezz ta’ ISO 27001

Igor Petreski
14 min read
Dijagramma tal-immappjar tal-evidenza ISO 27001 għall-Att dwar is-Solidarjetà Ċibernetika tal-UE

L-inċident tat-03:17 li jibdel il-kooperazzjoni tal-UE fi problema tal-awditjar tiegħek

Fit-03:17 ta’ filgħodu ta’ nhar ta’ Tlieta, Maria, il-CISO ta’ InnovateCloud, qed tħares lejn skrin mimli twissijiet. Il-kumpanija tagħha hija fornitur Ewropew SaaS ta’ daqs medju li jaqdi klijenti tal-loġistika fil-Ġermanja, fi Franza u fil-Polonja. L-ewwel twissija tidher bħala aċċess privileġġjat suspettuż f’tenant tal-produzzjoni. Għaxar minuti wara, il-fornitur tas-servizzi tas-sigurtà ġestiti jirrapporta attività simili li taffettwa żewġ klijenti oħra. Sal-04:00, is-SOC jara sejħiet API minn infrastruttura li qabel kienet assoċjata ma’ tħejjija għal ransomware.

InnovateCloud ma kinitx il-mira oriġinali. Fornitur ewlieni tal-infrastruttura jidher li jinsab fiż-żona tal-impatt. Madankollu, l-impatt issa huwa l-problema ta’ Maria.

Klijent affettwat huwa bank Ġermaniż li qed jitlob tweġibiet taħt DORA. Ieħor huwa fornitur kritiku fis-settur tal-enerġija diġà klassifikat taħt regoli nazzjonali NIS2. L-ambjent jista’ jkun fih data personali, iżda l-eżfiltrazzjoni għadha mhijiex ikkonfermata. It-tim tas-sigurtà għandu jikkontjeni t-theddida immedjatament. Il-funzjoni legali trid tkun taf jekk bdietx l-iskadenza ta’ 24 siegħa għat-twissija bikrija ta’ NIS2. L-uffiċjal tal-privatezza qed jistaqsi jekk hijiex meħtieġa notifika ta’ ksur taħt GDPR. Il-bord irid ikun jaf jekk il-qtugħ fis-servizz jistax jinfirex bejn Stati Membri.

Fl-2026, din m’għadhiex biss kriżi interna.

L-Att dwar is-Solidarjetà Ċibernetika tal-UE jibdel ir-realtà operattiva għal inċidenti ċibernetiċi fuq skala kbira u transfruntiera. Jintroduċi mekkaniżmi ta’ sejbien, tħejjija u rispons fil-livell tal-UE, inklużi s-Sistema Ewropea ta’ Twissija taċ-Ċibersigurtà, il-Mekkaniżmu ta’ Emerġenza taċ-Ċibersigurtà u r-Riżerva taċ-Ċibersigurtà tal-UE. Anki jekk organizzazzjoni qatt ma titlob direttament għajnuna mir-riżerva, l-evidenza tagħha, il-kuntatti tal-awtoritajiet, il-kuntratti tal-fornituri, il-kronoloġiji tal-inċidenti u l-komunikazzjonijiet mal-klijenti jistgħu jsiru parti minn katina usa’ ta’ rispons Ewropew.

Il-lakuna tidher malajr. Ħafna organizzazzjonijiet għandhom għodod, tickets u politiki, iżda mhux evidenza li tiflaħ għall-iskrutinju regolatorju. Jistgħu jgħidu, “ikkuntattjajna lir-regolatur,” iżda ma jistgħux jippruvaw min kien awtorizzat, liema limitu attiva l-kuntatt, x’ġie kkomunikat, jekk il-logs ġewx ippreservati, jekk fornitur kienx obbligat b’kuntratt jassisti, jew jekk rapport finali jistax jiġi rikostruwit minn deċiżjonijiet kontemporanji.

It-tweġiba mhijiex fajl iżolat ieħor dwar l-“Att dwar is-Solidarjetà Ċibernetika”. It-tweġiba hija sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni ISO/IEC 27001:2022 li tipproduċi l-evidenza darba u terġa’ tużaha skont l-aspettattivi ta’ NIS2, DORA, GDPR, NIST CSF 2.0 u COBIT 2019.

Dik l-evidenza tibda qabel l-inċident.

Għaliex l-Att dwar is-Solidarjetà Ċibernetika tal-UE jgħolli l-istandard tal-evidenza

L-Att dwar is-Solidarjetà Ċibernetika huwa mfassal għas-sejbien, it-tħejjija u r-rispons għal kriżijiet ċibernetiċi fil-livell tal-UE. L-effett prattiku tiegħu għas-CISOs, għall-awdituri u għall-maniġers tal-konformità huwa ċar: il-koordinazzjoni ta’ inċidenti fuq skala kbira teħtieġ evidenza aktar rapida, aktar nadifa, aktar konsistenti u aktar faċli biex tinqasam ma’ partijiet interessati fdati.

Meta impatt transfruntiera jkun possibbli, organizzazzjoni jista’ jkollha tikkoordina ma’ CSIRTs nazzjonali, awtoritajiet kompetenti, regolaturi settorjali, awtoritajiet tal-protezzjoni tad-data, superviżuri finanzjarji, korpi tal-infurzar tal-liġi, klijenti, proċessuri, fornituri u rispondenti esterni għall-inċidenti. Ir-Riżerva taċ-Ċibersigurtà tal-UE żżid dimensjoni oħra, għaliex fornituri privati vverifikati minn qabel jistgħu jappoġġjaw it-tħejjija, ir-rispons u l-irkupru. Dan jagħmel il-governanza tal-fornituri, l-awtorità legali, l-immaniġġjar tad-data u l-preservazzjoni tal-evidenza saħansitra aktar importanti.

Entitajiet privati jinsabu fiċ-ċentru ta’ din ir-realtà. Fornituri cloud, ċentri tad-data, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi tas-sigurtà ġestiti, operaturi tal-infrastruttura diġitali, fintechs u pjattaformi SaaS ħafna drabi jżommu t-telemetrija, il-logs, id-data dwar l-impatt fuq il-klijenti u l-fatti tekniċi li l-awtoritajiet jeħtieġu biex jifhmu inċident maġġuri.

NIS2 diġà jindika din id-direzzjoni. Japplika għal ħafna entitajiet ta’ daqs medju u kbir fis-setturi tal-Anness I u tal-Anness II li jipprovdu servizzi jew iwettqu attivitajiet fl-UE. Jaqbad ukoll ċerti entitajiet irrispettivament mid-daqs, inklużi fornituri ta’ servizzi ta’ fiduċja, fornituri ta’ servizzi DNS, reġistri ta’ dominji tal-ogħla livell u fornituri ta’ servizzi ta’ reġistrazzjoni tal-ismijiet tad-dominju. L-Anness I jinkludi infrastruttura diġitali bħal servizzi tal-cloud computing, servizzi taċ-ċentri tad-data, netwerks tal-kunsinna tal-kontenut, fornituri DNS, fornituri ta’ servizzi ta’ fiduċja u reġistri TLD. Jinkludi wkoll ġestjoni ta’ servizzi ICT B2B, inklużi fornituri ta’ servizzi ġestiti u fornituri ta’ servizzi tas-sigurtà ġestiti. L-Anness II jinkludi fornituri diġitali bħal swieq online, magni tat-tiftix online u pjattaformi ta’ servizzi ta’ netwerking soċjali.

DORA jżid saff ieħor għas-settur finanzjarju. Mis-17 ta’ Jannar 2025, japplika għal firxa wiesgħa ta’ entitajiet finanzjarji, inklużi istituzzjonijiet ta’ kreditu, istituzzjonijiet ta’ pagament, istituzzjonijiet tal-flus elettroniċi, ditti ta’ investiment, fornituri ta’ servizzi ta’ kriptoassi, ċentri tan-negozjar, impriżi tal-assigurazzjoni u tar-riassigurazzjoni, aġenziji tal-klassifikazzjoni tal-kreditu, fornituri ta’ servizzi ta’ crowdfunding u oħrajn. Joħloq ukoll aspettattivi sinifikanti għal fornituri terzi ta’ servizzi ICT għaliex l-entitajiet finanzjarji jibqgħu responsabbli għas-servizzi ICT esternalizzati.

Inċident f’fintech fl-2026 għalhekk jista’ jiġi kkoordinat permezz ta’ kanali superviżorji DORA, filwaqt li l-fornitur SaaS jew l-MSSP li jappoġġja lil dik il-fintech jista’ jkun jaqa’ taħt NIS2. L-istess avveniment tekniku jista’ joħloq obbligi differenti ta’ rappurtar, aspettattivi ta’ evidenza u obbligi kuntrattwali għal atturi differenti.

ISO/IEC 27001:2022 jagħti lill-organizzazzjonijiet is-sistema operattiva biex jimmaniġġjaw din il-kumplessità. Il-klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tiddefinixxi l-ISMS fil-kuntest tan-negozju tagħha, tidentifika l-partijiet interessati u r-rekwiżiti legali, regolatorji u kuntrattwali tagħhom, tiddefinixxi l-konfini u d-dipendenzi, u tistabbilixxi s-sistema ta’ ġestjoni. Il-klawżoli 5.1 sa 5.3 jagħmlu lit-tmexxija responsabbli għall-politika, ir-riżorsi, l-integrazzjoni u l-assenjazzjoni tar-rwoli. Il-klawżoli 6.1.1 sa 6.1.3 jeħtieġu valutazzjoni tar-riskju ripetibbli, trattament tar-riskju u Dikjarazzjoni ta’ Applikabbiltà. Il-klawżola 8.1 teħtieġ kontroll operattiv, inkluż kontroll fuq proċessi, prodotti u servizzi pprovduti esternament.

Dan huwa l-qalba tat-tħejjija għall-Att dwar is-Solidarjetà Ċibernetika: li tipprova li r-rispons għall-kriżijiet huwa ġestit, ittestjat u awditabbli, mhux improvizzat.

Il-mudell tal-evidenza ta’ Clarysec: inċident wieħed, ħafna obbligi

Inċident transfruntiera ma jistenniex sakemm it-timijiet legali jikklassifikawh. L-evidenza trid tinqabad mill-ewwel twissija, imbagħad tiġi ffiltrata lejn il-mogħdijiet korretti ta’ rappurtar u koordinazzjoni.

L-approċċ ta’ Clarysec jgħaqqad tliet assi:

  1. Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, li jbiddel l-implimentazzjoni ta’ ISO/IEC 27001:2022 fi vjaġġ sekwenzjat u lest għall-awditjar.
  2. Zenith Controls: The Cross-Compliance Guide Zenith Controls, li jimmappja l-kontrolli ISO/IEC 27002:2022 ma’ kontrolli relatati, attributi, kapaċitajiet operattivi, oqsma tas-sigurtà u aspettattivi ta’ evidenza bejn oqfsa differenti.
  3. Mudelli ta’ politiki ta’ Clarysec għar-rispons għall-inċidenti, il-ġbir tal-evidenza, is-sigurtà tal-fornituri, il-logging, il-monitoraġġ u l-kontinwità tan-negozju, adattati għal ambjenti ta’ intrapriżi u SME.

Fil-Zenith Blueprint, il-fażi Controls in Action, il-Pass 22 jindirizza l-kontroll ISO/IEC 27002:2022 5.5, Kuntatt mal-awtoritajiet. Jgħid:

Il-Kontroll 5.5 jiżgura li organizzazzjoni tkun ippreparata biex tinteraġixxi ma’ awtoritajiet esterni meta jkun meħtieġ, mhux b’mod reattiv jew taħt paniku, iżda permezz ta’ kanali predefiniti, strutturati u mifhuma sew.

L-istess taqsima tistaqsi l-mistoqsija li kull CISO għandu jwieġeb qabel il-kriżi:

jekk l-organizzazzjoni tiegħek tkun fil-mira ta’ attakk ċibernetiku, involuta fi ksur ta’ data, jew taħt investigazzjoni, min jagħmel is-sejħa lill-awtoritajiet? Kif ikunu jafu x’għandhom jgħidu? Taħt liema kundizzjonijiet jinbeda kuntatt bħal dan?

Din mhijiex burokrazija amministrattiva. F’ambjent tal-Att dwar is-Solidarjetà Ċibernetika, hija d-differenza bejn twissija bikrija kkontrollata u messaġġi kontradittorji f’ġurisdizzjonijiet differenti.

Zenith Controls jittratta l-kontroll ISO/IEC 27002:2022 5.5, Kuntatt mal-awtoritajiet, bħala preventiv u korrettiv, marbut mal-kunfidenzjalità, l-integrità u d-disponibbiltà, u allinjat mal-kunċetti Identify, Protect, Respond u Recover. Jorbot 5.5 mal-ippjanar u t-tħejjija għall-ġestjoni tal-inċidenti, ir-rappurtar tal-avvenimenti, l-intelligence dwar it-theddid, gruppi ta’ interess speċjali u r-rispons għall-inċidenti.

L-istess gwida tittratta l-kontroll ISO/IEC 27002:2022 5.24, Ippjanar u tħejjija għall-ġestjoni tal-inċidenti tas-sigurtà tal-informazzjoni, bħala kontroll korrettiv marbut ma’ Respond u Recover. Ir-rabtiet tiegħu mal-valutazzjoni tal-avvenimenti, ir-rispons għall-inċidenti, il-lessons learned, il-logging, il-monitoraġġ, is-sigurtà waqt tfixkil u l-kontinwità juru dak li l-awdituri ħafna drabi jittestjaw: jekk il-pjan tiegħek jgħaqqadx is-sejbien, il-klassifikazzjoni, l-eskalazzjoni, l-evidenza, l-irkupru u t-tagħlim.

Għall-immaniġġjar tal-evidenza, il-kontroll ISO/IEC 27002:2022 5.28, Ġbir tal-evidenza, huwa partikolarment importanti. Zenith Controls jorbtu mar-rispons għall-inċidenti, il-logging, il-monitoraġġ u r-rappurtar tal-avvenimenti. F’inċident transfruntiera serju, hawnhekk l-investigazzjoni teknika ssir difensibbli.

Immappjar tat-tħejjija għall-Att dwar is-Solidarjetà Ċibernetika mal-evidenza ISO 27001

L-Att dwar is-Solidarjetà Ċibernetika tal-UE joħloq ambjent ta’ tħejjija u koordinazzjoni. ISO/IEC 27001:2022 jipprovdi l-magna tal-evidenza. NIS2, DORA u GDPR jiddefinixxu ħafna aspettattivi speċifiċi ta’ rappurtar, governanza u protezzjoni.

Rekwiżit tax-xenarju tal-2026Ankra tal-evidenza ISO/IEC 27001:2022Evidenza operattiva relatataAppoġġ ta’ Clarysec
Identifika jekk l-organizzazzjoni, il-klijenti jew il-fornituri humiex fil-kamp ta’ applikazzjoni ta’ NIS2, DORA jew GDPRKlawżoli 4.1, 4.2 u 4.3 għall-kuntest, partijiet interessati u kamp ta’ applikazzjoni tal-ISMSReġistru regolatorju, mappa tas-servizzi, preżenza fl-Istati Membri, setturi tal-klijenti, rwoli tal-ipproċessar tad-dataPassi tal-iskoping ta’ Zenith Blueprint u mudelli tar-reġistru tal-konformità
Iddeċiedi jekk inċident għandux impatt transfruntieraKontrolli tal-Anness A A.5.24 sa A.5.28 u klawżola 8.1 dwar kontroll operattivReġistru tal-klassifikazzjoni tal-inċident, valutazzjoni tal-impatt, pajjiżi affettwati, servizzi affettwati, indikaturi ta’ kompromessIncident Response Policy u fluss tax-xogħol tal-ġbir tal-evidenza
Innotifika lill-awtoritajiet fi ħdan it-twieqi ta’ żmien meħtieġaA.5.5 kuntatt mal-awtoritajiet, A.5.31 rekwiżiti legali, statutorji, regolatorji u kuntrattwali, A.5.24 ippjanarMatriċi tal-kuntatti tal-awtoritajiet, log tad-deċiżjonijiet, abbozzi tan-notifiki, timestamps tas-sottomissjonijietZenith Blueprint Pass 22 u Incident Response Policy
Ikkoordina ma’ MSSP, fornitur cloud jew rispondent tat-tip riżervaA.5.19 sa A.5.23 kontrolli tal-fornituri u tal-cloud, klawżola 8.1 kontroll ta’ proċessi esterniReġistru tal-fornituri, klawżoli kuntrattwali, obbligi ta’ appoġġ għall-inċidenti, drittijiet ta’ awditjar, postijiet tas-servizzThird party and supplier security policy
Ippreserva evidenza forensika għall-awtoritajiet u għat-tagħlim wara l-inċidentA.5.28 ġbir tal-evidenza, A.8.15 logging, A.8.16 attivitajiet ta’ monitoraġġChain of custody, esportazzjonijiet tal-logs, snapshots, immaġnijiet forensiċi, reġistri tal-aċċessEvidence Collection and Forensics Policy, Logging and Monitoring Policy - SME
Żomm servizzi essenzjali waqt tfixkilA.5.29 sigurtà tal-informazzjoni waqt tfixkil, A.5.30 tħejjija tal-ICT għall-kontinwità tan-negozju, A.8.13 backup tal-informazzjoniBIA, objettivi ta’ rkupru, testijiet tal-backup, komunikazzjonijiet alternattivi, rwoli tal-kriżiBusiness Continuity Policy and Disaster Recovery Policy

Innota x’inhu nieqes: silo separat tal-konformità. L-istess evidenza li tappoġġja ċ-ċertifikazzjoni ISO/IEC 27001:2022 tista’ tappoġġja r-responsabbiltà tal-maniġment taħt NIS2, il-ġestjoni tar-riskju tal-ICT taħt DORA, ir-responsabbiltà għas-sigurtà taħt GDPR, ir-riżultati tal-komunikazzjoni ta’ NIST CSF u l-aspettattivi ta’ assigurazzjoni ta’ COBIT 2019.

NIS2: l-arloġġ tar-rappurtar jibda meta jibda l-għarfien

NIS2 huwa ċentrali għat-tħejjija tal-2026 għaliex jiddefinixxi fluss tax-xogħol f’fażijiet għar-rappurtar tal-inċidenti.

Article 23 jeħtieġ li entitajiet essenzjali u importanti jinnotifikaw lis-CSIRT jew lill-awtorità kompetenti tagħhom mingħajr dewmien mhux dovut dwar inċidenti sinifikanti li jaffettwaw il-provvista tas-servizzi. It-twissija bikrija għandha tiġi sottomessa mingħajr dewmien mhux dovut u mhux aktar tard minn 24 siegħa wara li jsiru jafu bl-inċident sinifikanti. Għandha tindika, fejn applikabbli, jekk humiex suspettati atti malizzjużi jew illegali u jekk impatt transfruntiera huwiex possibbli.

Notifika tal-inċident issegwi mingħajr dewmien mhux dovut u mhux aktar tard minn 72 siegħa wara l-għarfien, taġġorna t-twissija bikrija u tagħti valutazzjoni inizjali tas-severità, l-impatt u l-indikaturi ta’ kompromess disponibbli. Rapport finali għandu jingħata fi żmien xahar wara n-notifika tal-inċident, bis-severità, l-impatt, it-tip probabbli ta’ theddida jew l-analiżi tal-kawża ewlenija, miżuri ta’ mitigazzjoni u impatt transfruntiera.

Għalhekk ir-rispons għall-inċidenti ma jistax jibda b’dokument vojt.

Il-Incident Response Policy Incident Response Policy għall-intrapriżi tgħid:

NIS2 Article 23 (notifika fi żmien 24 siegħa minn meta jsiru jafu bl-inċident)

Il-Incident Response Policy - SME Incident Response Policy - SME iġġib l-istess loġika taż-żmien f’governanza prattika:

“L-iskadenzi tar-rispons, inklużi l-irkupru tad-data u l-obbligi tan-notifika, għandhom jiġu dokumentati u allinjati mar-rekwiżiti legali, bħar-rekwiżit ta’ notifika ta’ ksur ta’ data personali fi żmien 72 siegħa taħt GDPR.”

Mill-Incident Response Policy - SME, taqsima “Rekwiżiti ta’ governanza”, klawżola 5.3.2.

Timponi wkoll il-valutazzjoni bejn reġimi differenti fil-proċess tal-inċident:

“Fejn tkun involuta data tal-klijenti, il-Maniġer Ġenerali għandu jevalwa l-obbligi legali ta’ notifika abbażi tal-applikabbiltà ta’ GDPR, NIS2 jew DORA.”

Mill-Incident Response Policy - SME, taqsima “Trattament tar-riskju u eċċezzjonijiet”, klawżola 7.4.1.

F’xenarju tal-Att dwar is-Solidarjetà Ċibernetika, “impatt transfruntiera huwa possibbli” isir importanti operattivament. It-twissija bikrija jista’ ma jkollhiex fatti kompluti, iżda l-organizzazzjoni trid tkun tista’ turi għaliex issuspettat jew ma ssuspettatx impatt transfruntiera abbażi tal-evidenza disponibbli.

Ir-reġistru tal-inċident għandu jaqbad:

  • Meta l-organizzazzjoni saret taf.
  • Min iddikjara l-avveniment bħala inċident potenzjali.
  • Liema servizzi, pajjiżi, klijenti jew setturi kienu potenzjalment affettwati.
  • Jekk attività malizzjuża jew illegali kinitx suspettata.
  • Liema indikaturi ta’ kompromess kienu disponibbli.
  • Liema mogħdija ta’ kuntatt mal-awtorità ntużat.
  • Jekk komunikazzjonijiet mal-klijenti kinux meħtieġa.
  • Liema evidenza ġiet ippreservata qabel rimedjazzjoni maġġuri.

L-aħjar żmien biex tfassal dawn l-oqsma huwa qabel it-03:17.

DORA: meta l-klijent huwa rregolat iżda l-fornitur iżomm il-logs

DORA jibdel il-konverżazzjoni mal-fornituri. Entitajiet finanzjarji għandhom jimmaniġġjaw ir-riskju ta’ partijiet terzi tal-ICT bħala parti mill-qafas tal-ġestjoni tar-riskju tal-ICT tagħhom. L-esternalizzazzjoni tas-servizzi ICT ma tittrasferixxix ir-responsabbiltà regolatorja lil hinn mill-entità finanzjarja.

DORA jeħtieġ strateġiji għar-riskju ta’ partijiet terzi tal-ICT, reġistri ta’ kuntratti tas-servizzi ICT, diliġenza dovuta, ippjanar ta’ awditjar u spezzjoni, drittijiet ta’ terminazzjoni u strateġiji ta’ ħruġ ittestjati għal servizzi ICT kritiċi jew importanti. Article 30 jeħtieġ ċarezza kuntrattwali, inklużi deskrizzjonijiet tas-servizzi, postijiet, immaniġġjar tad-data, kunfidenzjalità, integrità, disponibbiltà, livelli tas-servizz, assistenza waqt inċidenti ICT, kooperazzjoni mal-awtoritajiet u drittijiet ta’ terminazzjoni. Għal funzjonijiet kritiċi jew importanti, japplikaw termini aktar stretti.

Erġa’ lura għall-inċident ta’ Maria. Il-bank Ġermaniż huwa rregolat taħt DORA. InnovateCloud jipprovdi servizzi SaaS. L-MSSP jiskopri attività suspettuża. Il-fornitur tal-infrastruttura cloud għandu wħud mill-logs ewlenin tal-awditjar. Sottokuntrattur jopera parti mill-pipeline tat-telemetrija. Il-bank jibqa’ responsabbli, iżda ma jistax jikklassifika u jirrapporta tajjeb mingħajr evidenza mill-fornituri.

Clarysec jindirizza dan permezz ta’ klassifikazzjoni tal-fornituri u evidenza kuntrattwali. Il-Third party and supplier security policy Third party and supplier security policy għall-intrapriżi teħtieġ:

Il-kuntratti mal-fornituri għandhom jinkludu:

Il-Third-Party and Supplier Security Policy - SME Third-Party and Supplier Security Policy - SME tuża l-istess loġika ta’ konformità f’mudell operattiv aktar ħafif:

Il-kuntratti għandhom jinkludu klawżoli obbligatorji li jkopru:

Il-valur jinsab fl-iskeda wara dak il-kliem: obbligi ta’ notifika tal-inċidenti, aċċess għall-logs, drittijiet ta’ awditjar, kunfidenzjalità, post tad-data, kontrolli tas-sottokuntratturi, kooperazzjoni mal-awtoritajiet, appoġġ għall-irkupru u obbligi ta’ ħruġ.

Il-Zenith Blueprint, il-fażi Controls in Action, il-Pass 23, jagħti r-rotta tal-implimentazzjoni:

Ikkompila lista sħiħa tal-fornituri u l-fornituri tas-servizzi attwali (5.19), u kklassifikahom abbażi tal- aċċess għas-sistemi, id-data jew il-kontroll operattiv. Għal kull fornitur ikklassifikat, ivverifika li l-aspettattivi tas-sigurtà ikunu inkorporati b’mod ċar fil-kuntratti (5.20), inklużi kunfidenzjalità, aċċess, rappurtar tal-inċidenti u obbligi ta’ konformità.

Ikompli bir-riskju downstream:

Għal kull fornitur kritiku, identifika jekk jużawx sottokuntratturi (subprocessors) li jistgħu jaċċessaw id-data jew is-sistemi tiegħek. Iddokumenta kif ir-rekwiżiti tas-sigurtà tal-informazzjoni tiegħek jiġu mgħoddija lil dawn il-partijiet, jew permezz tat-termini kuntrattwali tal-fornitur tiegħek jew permezz tal-klawżoli diretti tiegħek.

Din hija wkoll tħejjija għar-Riżerva taċ-Ċibersigurtà. Jekk fornitur estern tar-rispons jidħol fl-ambjent tiegħek waqt emerġenza, trid tkun taf il-bażi legali, il-kamp ta’ applikazzjoni tal-aċċess, ir-regoli tal-evidenza, l-obbligi tal-immaniġġjar tad-data, il-mogħdija tal-koordinazzjoni mal-awtoritajiet u l-kundizzjonijiet tal-ħruġ. DORA jagħmel dan espliċitu għall-entitajiet finanzjarji. NIS2 jagħmlu rilevanti għal entitajiet essenzjali u importanti. ISO/IEC 27001:2022 jagħmlu awditabbli.

GDPR: il-mistoqsija dwar il-ksur fil-kriżi ċibernetika

Mhux kull inċident taċ-ċibersigurtà huwa ksur ta’ data personali, iżda kull inċident serju għandu jiġi evalwat għal dik il-possibbiltà.

GDPR japplika għall-ipproċessar fil-kuntest ta’ stabbiliment fl-UE, u wkoll għal kontrolluri jew proċessuri mhux tal-UE li joffru oġġetti jew servizzi lil individwi fl-UE jew jimmonitorjaw l-imġiba tagħhom fl-UE. Jiddefinixxi data personali, ipproċessar, kontrollur, proċessur u ksur ta’ data personali. Il-prinċipji tiegħu jinkludu integrità, kunfidenzjalità u responsabbiltà, jiġifieri l-kontrolluri għandhom ikunu jistgħu juru l-konformità.

Waqt l-inċident tat-03:17, it-tim ta’ Maria għandu jistaqsi:

  • Data personali ġiet aċċessata, żvelata, mibdula, mitlufa jew meqruda?
  • InnovateCloud hija kontrollur, proċessur jew it-tnejn għad-data affettwata?
  • Huma involuti kategoriji speċjali ta’ data personali?
  • Liema klijenti jew individwi huma affettwati?
  • Il-logs huma biżżejjed biex jiġi evalwat il-kamp ta’ applikazzjoni?
  • L-obbligi ta’ notifika taħt GDPR jimxu b’mod parallel mal-obbligi taħt NIS2 jew DORA?

Għalhekk il-koordinazzjoni tal-privatezza għandha tkun parti mill-eskalazzjoni tal-inċident, mhux rieżami legali tard wara li s-sistemi jkunu nbnew mill-ġdid u l-logs ikunu ġew rotati.

Il-Logging and Monitoring Policy - SME Logging and Monitoring Policy - SME tgħid:

Twissijiet ta’ prijorità għolja għandhom jiġu eskalati lill-GM u lill-Koordinatur tal-Privatezza fi żmien 24 siegħa

Dik il-klawżola hija sempliċi, iżda ssolvi mudell reali ta’ falliment. Il-mexxejja tal-privatezza jeħtieġu evidenza waqt li tkun għadha friska biżżejjed biex jiġi determinat jekk seħħx ksur ta’ data personali u jekk l-individwi humiex f’riskju.

Ibni pakkett ta’ evidenza ta’ 24 siegħa għal inċident transfruntiera

Eżerċizzju prattiku ta’ tħejjija għandu jissimula l-ewwel 24 siegħa ta’ inċident transfruntiera. L-għan mhuwiex li tirrapporta żżejjed. L-għan huwa li tipprova li l-organizzazzjoni tista’ tiġbor il-fatti, tieħu deċiżjonijiet difensibbli u żżomm il-komunikazzjonijiet konsistenti.

Xenarju

L-MSSP tiegħek jiskopri aċċess privileġġjat suspettuż minn reġjun mhux tas-soltu kontra t-tenant tal-produzzjoni tiegħek. L-istess infrastruttura sors tidher fi twissijiet li jaffettwaw żewġ klijenti f’żewġ Stati Membri. Klijent wieħed huwa entità finanzjarja. L-ambjent affettwat fih data personali, iżda l-eżfiltrazzjoni mhijiex ikkonfermata.

Pass 1: Iftaħ ir-reġistru tal-inċident

Oħloq it-ticket tal-inċident billi tuża oqsma ta’ klassifikazzjoni approvati. Inkludi l-ħin tal-għarfien, is-sors tas-sejbien, l-assi milquta, is-servizzi milquta, il-pajjiżi potenzjalment affettwati, l-attività malizzjuża suspettata, is-severità inizjali u l-kmandant tal-inċident.

Orbot dan mal-kontrolli ISO/IEC 27002:2022 5.24, 5.25 u 5.26, u mal-kontrolli tal-Anness A ta’ ISO/IEC 27001:2022 A.5.24, A.5.25 u A.5.26.

Pass 2: Attiva l-fluss tax-xogħol għad-deċiżjoni dwar l-awtoritajiet

Uża l-matriċi tal-kuntatti tal-awtoritajiet meħtieġa mill-Zenith Blueprint Pass 22. Identifika liema awtoritajiet jistgħu jkunu rilevanti: CSIRT nazzjonali, awtorità tal-protezzjoni tad-data, regolatur finanzjarju, infurzar tal-liġi u regolatur settorjali.

Irreġistra d-deċiżjoni u r-raġunament. Jekk ma ssirx twissija bikrija taħt NIS2, aqbad għaliex. Jekk impatt transfruntiera huwa possibbli, irreġistra l-evidenza li tappoġġja dik il-konklużjoni.

Pass 3: Ippreserva l-evidenza qabel rimedjazzjoni maġġuri

Il-Evidence Collection and Forensics Policy Evidence Collection and Forensics Policy għall-intrapriżi tgħid:

L-evidenza kollha miġbura għandha tiġi identifikata b’mod uniku, ittikkettata u maħżuna f’repożitorju sigur b’:

Il-Evidence Collection and Forensics Policy - SME Evidence Collection and Forensics Policy - SME tagħti l-istess dixxiplina f’forma aktar sempliċi:

“Kull oġġett ta’ evidenza diġitali għandu jiġi rreġistrat b’:”

Mill-Evidence Collection and Forensics Policy - SME, taqsima “Rekwiżiti ta’ governanza”, klawżola 5.2.1.

Għall-eżerċizzju tabletop, iġbor entrati ta’ evidenza kampjun: esportazzjoni ta’ twissija SIEM, logs tal-fornitur tal-identità, reġistri ta’ sessjonijiet privileġġjati, snapshot tal-endpoint, logs tal-firewall, logs tal-awditjar tal-cloud, noti dwar l-impatt fuq il-klijenti u approvazzjonijiet tal-komunikazzjoni.

Pass 4: Attiva l-assistenza tal-fornituri

Iċċekkja r-reġistru tal-fornituri. Identifika l-MSSP, il-fornitur cloud u s-sottokuntratturi kritiċi. Ikkonferma l-klawżoli ta’ appoġġ għall-inċidenti, il-kuntatti ta’ eskalazzjoni, il-perjodi ta’ żamma tal-logs, il-format tal-evidenza u l-obbligi ta’ kooperazzjoni mal-awtoritajiet.

Dan jappoġġja direttament ir-rekwiżiti ta’ DORA għar-riskju ta’ partijiet terzi tal-ICT u l-aspettattivi ta’ NIS2 dwar is-sigurtà tal-katina tal-provvista.

Pass 5: Ipprepara tliet komunikazzjonijiet

Ipprepara tliet komunikazzjonijiet mill-istess bażi ta’ fatti:

KomunikazzjoniGħanEvidenza meħtieġa
Twissija bikrija ta’ 24 siegħa stil NIS2Tinnotifika għarfien ta’ inċident sinifikanti u impatt transfruntiera possibbliĦin tal-għarfien, attività malizzjuża suspettata, servizzi affettwati, Stati Membri, indikaturi inizjali
Eskalazzjoni lil klijent finanzjarju stil DORATappoġġja l-klassifikazzjoni ta’ inċident ICT u l-obbligi tar-riskju ta’ partijiet terzi tal-entità finanzjarjaImpatt fuq is-servizz, dipendenza fuq funzjoni kritika, involviment tal-fornituri, stima tal-irkupru, disponibbiltà tal-logs
Nota ta’ valutazzjoni ta’ ksur taħt GDPRTiddetermina jekk hijiex meħtieġa notifika ta’ ksur ta’ data personaliRwoli tad-data, kategoriji tad-data affettwati, evidenza tal-aċċess, indikaturi ta’ eżfiltrazzjoni, riskju għall-individwi

Pass 6: Agħlaq bil-lessons learned

Aġġorna r-Reġistru tar-Riskji, id-Dikjarazzjoni ta’ Applikabbiltà, ir-reġistru tal-fornituri u l-pjan ta’ rispons għall-inċidenti. Jekk l-eżerċizzju juri logs neqsin, kuntatti mhux ċari mal-awtoritajiet jew klawżoli dgħajfa tal-fornituri, qajjem azzjonijiet korrettivi.

Il-Zenith Blueprint, il-fażi Controls in Action, il-Pass 23, jagħti struzzjoni lill-organizzazzjonijiet biex jivvalidaw il-kapaċitajiet tal-inċidenti b’dan il-mod:

Agħżel avveniment riċenti jew wettaq eżerċizzju tabletop biex tivvalida l-pjan tiegħek. Aqbad u rreġistra d-deċiżjonijiet, ir-rwoli u l-komunikazzjonijiet kollha (5.26), u aġġorna l-pjan bil-lessons learned (5.27). Ikkonferma li hemm proċeduri fis-seħħ biex tiġi ppreservata evidenza forensika (5.28), inklużi snapshots tal-logs, backups, u iżolament sigur tas-sistemi milquta.

Dak il-paragrafu huwa aġenda ta’ eżerċizzju lesta għall-awditjar.

Logging: id-differenza bejn koordinazzjoni u spekulazzjoni

Il-koordinazzjoni ta’ inċident transfruntiera tfalli meta kulħadd ikollu opinjonijiet u ħadd ma jkollu timestamps.

Il-Zenith Blueprint, il-fażi Controls in Action, il-Pass 19, ipoġġiha b’mod ċar:

Il-logging huwa l-fluss vitali ta’ kull ambjent tal-IT sigur. Mingħajru, l-inċidenti jibqgħu inviżibbli, ir-responsabbiltà tiddgħajjef, u r-relazzjonijiet ta’ kawża u effett jisparixxu għal kollox.

Ikompli:

Fil-qalba tiegħu, il-logging huwa dwar it-traċċabbiltà. Meta xi ħaġa tmur ħażin, kemm jekk tentattiv ta’ login fallut, it-tħassir ta’ fajls kritiċi, jew script mhux awtorizzat jaħdem fuq server, il-logs jipprovdu il-ħajt forensiku li jgħinek tifhem x’ġara tassew.

Għal NIS2, il-logs jappoġġjaw in-notifika tal-inċident ta’ 72 siegħa b’severità inizjali, impatt u indikaturi ta’ kompromess. Għal DORA, il-logs jappoġġjaw il-klassifikazzjoni ta’ inċident maġġuri relatat mal-ICT, l-analiżi tal-kawża ewlenija, l-impatt operattiv u r-responsabbiltà ta’ partijiet terzi. Għal GDPR, il-logs jappoġġjaw il-valutazzjoni ta’ jekk data personali ġietx aċċessata jew żvelata. F’kuntest tal-Att dwar is-Solidarjetà Ċibernetika, il-logs jappoġġjaw għarfien tas-sitwazzjoni kondiviż mingħajr ma jġiegħlu lir-rispondenti jiddependu fuq spekulazzjoni.

Mistoqsija dwar il-loggingGħaliex hija importanti fil-koordinazzjoni tal-2026
Tista’ tipprova meta beda l-għarfien?L-iskadenzi ta’ NIS2 u tal-eskalazzjoni interna jiddependu fuq il-ħin tal-għarfien
Tista’ tidentifika s-servizzi affettwati skont il-pajjiż u l-klijent?Il-valutazzjoni tal-impatt transfruntiera tiddependi fuq is-servizz u l-ġeografija
Tista’ tippreserva l-logs qabel ma l-konteniment ibiddel is-sistemi?Il-ġbir tal-evidenza u l-analiżi tal-kawża ewlenija jiddependu fuq l-integrità
Tista’ tissepara fatti dwar l-impatt fuq il-klijenti mill-ispekulazzjoni?Il-komunikazzjonijiet esterni għandhom ikunu f’waqthom iżda preċiżi
Tista’ tikseb logs tal-fornituri malajr biżżejjed?Ir-responsabbiltà tal-fornituri taħt DORA u NIS2 teħtieġ aċċess kuntrattwali u operattiv

Jekk it-tweġiba għal xi mistoqsija hija “mhux ċert,” il-kwistjoni tappartjeni fil-pjan ta’ trattament tar-riskju.

Kontinwità tan-negozju u operazzjonijiet ta’ kriżi siguri

Il-konverżazzjoni dwar l-Att dwar is-Solidarjetà Ċibernetika naturalment tiffoka fuq ir-rispons għall-inċidenti, iżda r-reżiljenza tfisser ukoll li s-servizzi kritiċi jinżammu siguri waqt tfixkil.

NIS2 Article 21 jeħtieġ approċċ għall-perikli kollha li jkopri l-immaniġġjar tal-inċidenti, kontinwità tan-negozju, ġestjoni tal-backup, irkupru minn diżastru, ġestjoni tal-kriżijiet, sigurtà tal-katina tal-provvista, immaniġġjar tal-vulnerabbiltajiet, valutazzjoni tal-effettività, iġjene ċibernetika, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi, awtentikazzjoni b’diversi fatturi, komunikazzjonijiet siguri u komunikazzjonijiet ta’ emerġenza siguri fejn xieraq.

DORA bl-istess mod jeħtieġ governanza, ġestjoni tar-riskju tal-ICT, ġestjoni tal-inċidenti, ittestjar tar-reżiljenza, ġestjoni tar-riskju ta’ partijiet terzi, kontinwità u rkupru. Entitajiet iżgħar jista’ jkollhom rekwiżiti simplifikati, iżda xorta jeħtieġu ġestjoni dokumentata tar-riskju tal-ICT, monitoraġġ, sistemi reżiljenti, immaniġġjar tal-inċidenti, identifikazzjoni ta’ dipendenzi fuq partijiet terzi, backups, restawr, ittestjar, tagħlim wara l-inċident u taħriġ.

Il-Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy għall-intrapriżi tibda minn rekwiżit sempliċi:

Il-pjanijiet għandhom ikopru:

Wara dik il-frażi hemm l-evidenza tal-kontinwità li l-awdituri jistennew: prijoritajiet tal-irkupru, objettivi ta’ ħin għall-irkupru, objettivi tal-punt ta’ rkupru, skedi tal-backup, testijiet ta’ restawr, rwoli tal-kriżi, komunikazzjonijiet alternattivi, dipendenzi fuq il-fornituri u azzjonijiet ta’ titjib wara l-eżerċizzju.

Il-kontrolli ISO/IEC 27002:2022 5.29 u 5.30 huma ċentrali hawn. Il-Kontroll 5.29 jindirizza s-sigurtà tal-informazzjoni waqt tfixkil. Il-Kontroll 5.30 jindirizza t-tħejjija tal-ICT għall-kontinwità tan-negozju. F’Zenith Controls, l-ippjanar tal-inċidenti taħt 5.24 huwa marbut mas-sigurtà waqt tfixkil u mal-ippjanar usa’ tal-kontinwità. Dan huwa partikolarment rilevanti meta kanali normali ma jkunux disponibbli, sistemi tal-identità jkunu degradati jew it-timijiet tal-kriżi jkollhom jikkoordinaw mal-awtoritajiet permezz ta’ komunikazzjonijiet ta’ emerġenza siguri.

Mappa ta’ konformità trasversali: NIS2, DORA, GDPR, NIST CSF 2.0 u COBIT 2019

CISO m’għandux bżonn ħames programmi separati għall-inċidenti. Jeħtieġ mudell wieħed ta’ evidenza li jista’ jidher minn ħames perspettivi.

QafasX’irid jaraEvidenza ISO/IEC 27001:2022 li tgħin
NIS2Responsabbiltà tal-maniġment, ġestjoni tar-riskju, immaniġġjar tal-inċidenti, kontinwità, sigurtà tal-katina tal-provvista, rappurtar u taħriġKamp ta’ applikazzjoni tal-ISMS, reġistri tat-tmexxija, valutazzjoni tar-riskju, Dikjarazzjoni ta’ Applikabbiltà, pjan tal-inċidenti, matriċi tal-awtoritajiet, reġistru tal-fornituri, reġistri tat-taħriġ
DORAGovernanza tal-ICT, strateġija ta’ reżiljenza, proċess għal inċidenti maġġuri relatati mal-ICT, ittestjar, riskju ta’ partijiet terzi tal-ICT u awditabbiltàReġistru tar-riskju tal-ICT, testijiet tal-kontinwità, evidenza tal-inċidenti, kuntratti tal-fornituri, pjanijiet ta’ ħruġ, rapporti tal-awditjar
GDPRSigurtà, kunfidenzjalità, responsabbiltà, valutazzjoni tal-ksur u ċarezza dwar ir-rwoli tad-data personaliMapep tad-data, reġistri kontrollur-proċessur, logs tal-aċċess, noti ta’ valutazzjoni tal-ksur, kontrolli tal-iċċifrar, preservazzjoni tal-evidenza
NIST CSF 2.0Governanza, profili tar-riskju, riskju tal-katina tal-provvista, sejbien, rispons, irkupru u komunikazzjoniCurrent and Target Profiles, pjan ta’ azzjoni għal-lakuni, evidenza tal-monitoraġġ, playbooks tar-rispons, validazzjoni tal-irkupru
COBIT 2019 u prattika tal-awditjar ISACAObjettivi ta’ governanza, responsabbiltà tal-maniġment, tfassil tal-kontrolli, monitoraġġ tal-prestazzjoni u assigurazzjoniRapporti tal-bord, RACI, sjieda tal-kontrolli, metriċi, riżultati tal-awditjar intern, traċċar tal-azzjonijiet korrettivi

Il-metodu Current and Target Profile ta’ NIST CSF 2.0 huwa partikolarment utli għal organizzazzjonijiet li għadhom mhux maturi biżżejjed għal pjattaforma GRC integrata sħiħa. Iħeġġeġ lill-organizzazzjonijiet jistabbilixxu l-kamp ta’ applikazzjoni ta’ profil, jiġbru inputs bħal politiki, prijoritajiet tar-riskju tal-intrapriża, Business Impact Analysis (BIA), rekwiżiti, standards, proċeduri, salvagwardji u rwoli, imbagħad janalizzaw il-lakuni u joħolqu pjan ta’ azzjoni prijoritizzat. Dan huwa qrib sprint prattiku ta’ tħejjija għall-Att dwar is-Solidarjetà Ċibernetika: evidenza attwali, obbligi fil-mira, pjan tal-lakuni, sidien, dati u traċċa tal-awditjar.

Awdituri stil COBIT 2019 u ISACA għandhom it-tendenza jistaqsu jekk l-objettivi ta’ governanza għandhomx sidien, humiex imkejla u humiex immonitorjati. Mhux se jkunu sodisfatti b’“is-SOC jieħu ħsiebha.” Se jistaqsu kif il-korpi ta’ maniġment japprovaw miżuri tar-riskju, kif tiġi rrappurtata l-prestazzjoni, kif jiġi ggvernat ir-riskju ta’ partijiet terzi, kif jiġu aċċettati l-eċċezzjonijiet u kif jiġu traċċati l-azzjonijiet korrettivi.

Kif l-awdituri se jittestjaw l-istess inċident

L-istess inċident tat-03:17 jipproduċi mistoqsijiet differenti ta’ awditjar skont il-mandat tal-valutatur.

Awditur ISO/IEC 27001:2022 jibda mill-ISMS. Jistaqsi jekk il-proċess tal-inċidenti huwiex fil-kamp ta’ applikazzjoni, jekk ir-rekwiżiti tal-partijiet interessati jinkludux NIS2, DORA, GDPR u kuntratti, jekk il-valutazzjoni tar-riskju kkunsidratx xenarji transfruntiera u tal-fornituri, jekk il-kontrolli tal-Anness A ġewx magħżula fid-Dikjarazzjoni ta’ Applikabbiltà, u jekk ir-reġistri operattivi jippruvawx li l-proċess ġie segwit.

Awtorità jew valutatur iffukat fuq NIS2 jiffoka fuq ir-responsabbiltà tal-maniġment, il-miżuri ta’ ġestjoni tar-riskju taħt Article 21 u r-rappurtar taħt Article 23. Jista’ jistaqsi meta l-organizzazzjoni saret taf, għaliex l-inċident kien jew ma kienx sinifikanti, kif ġie evalwat l-impatt transfruntiera, jekk il-klijenti ġewx infurmati u jekk ittieħdux miżuri korrettivi mingħajr dewmien mhux dovut.

Superviżur DORA jew tim tal-awditjar intern jistaqsi jekk l-inċident affettwax funzjonijiet kritiċi jew importanti, jekk fornituri terzi tal-ICT appoġġjawx ir-rispons, jekk l-entità finanzjarja żammitx ir-responsabbiltà, jekk ir-reġistru tal-informazzjoni kienx preċiż, jekk l-inċident ġiex ikklassifikat korrettament u jekk il-lessons learned ġewx riflessi fl-ittestjar tar-reżiljenza u fis-sorveljanza tal-fornituri.

Awditur GDPR jew awtorità tal-protezzjoni tad-data jistaqsi jekk l-organizzazzjoni kellhiex biżżejjed evidenza biex tiddetermina jekk inkisritx data personali, jekk ir-rwoli ta’ kontrollur u proċessur kinux ċari, jekk is-suġġetti tad-data kinux f’riskju, jekk il-kontrolli tal-kunfidenzjalità u tal-integrità kinux xierqa u jekk inżammux reġistri tar-responsabbiltà.

Valutatur NIST CSF 2.0 jittraduċi l-avveniment f’riżultati Govern, Identify, Protect, Detect, Respond u Recover. Ifittex aspettattivi tal-partijiet interessati, obbligi legali, aptit għar-riskju, governanza tal-fornituri, logging, monitoraġġ, eżekuzzjoni tar-rispons, komunikazzjonijiet u validazzjoni tal-irkupru.

Awditur COBIT 2019 jew ISACA jiffoka fuq l-effettività tal-governanza u tas-sistema ta’ ġestjoni: sjieda, drittijiet ta’ deċiżjoni, metriċi, aċċettazzjoni tar-riskju, prestazzjoni tal-proċess, assigurazzjoni u titjib kontinwu.

Hawnhekk Zenith Controls huwa utli bħala kumpass ta’ konformità trasversali. Ma jbiddilx l-ismijiet tal-kontrolli uffiċjali u ma joħloqx qafas parallel ta’ kontrolli. Juri kif kontrolli ISO/IEC 27002:2022 bħal 5.5, 5.24 u 5.28 jingħaqdu ma’ kapaċitajiet operattivi, kontrolli relatati u evidenza rilevanti għall-awditjar.

Relazzjoni tal-kontrollSinerġija għat-tħejjija għall-Att dwar is-Solidarjetà ĊibernetikaKontrolli ISO/IEC 27002:2022
Mill-ippjanar għar-risponsPjan robust tal-inċidenti jiżgura rispons strutturat, rwoli ċari u komunikazzjoni ġestita5.24 sa 5.26
Mir-rispons għar-rappurtarIl-proċess tar-rispons għandu jippreserva evidenza b’mod difensibbli biex jappoġġja rappurtar regolatorju5.26 sa 5.28
Mir-rispons għall-awtoritajietIl-pjan tar-rispons għandu jkun fih skattaturi u kanali predefiniti għall-kuntatt ma’ CSIRTs nazzjonali u regolaturi5.26 sa 5.5
Mill-awtoritajiet għall-intelligenceL-involviment mal-awtoritajiet jista’ jipprovdi intelligence dwar it-theddid li terġa’ tidħol fil-valutazzjoni tar-riskju5.5 sa 5.7

X’għandhom jagħmlu s-CISOs issa għat-tħejjija tal-2026

Jekk qed tipprepara għar-realtà operattiva tal-Att dwar is-Solidarjetà Ċibernetika tal-UE, ibda bl-evidenza, mhux bis-slogans.

L-ewwel, aġġorna l-kuntest tal-ISMS tiegħek u l-analiżi tal-partijiet interessati. Identifika jekk l-organizzazzjoni, il-klijenti jew il-fornituri tiegħek jaqgħux taħt NIS2, DORA jew GDPR. Inkludi l-preżenza fl-Istati Membri, il-klassifikazzjoni settorjali, klijenti kritiċi, dipendenzi fuq servizzi ICT u kuntatti tal-awtoritajiet.

It-tieni, wettaq eżerċizzju tabletop għal inċident transfruntiera. Uża xenarju li jinkludi fornitur, aktar minn Stat Membru wieħed, espożizzjoni possibbli ta’ data personali u klijent finanzjarju rregolat. Ikkonfina l-ewwel 24 siegħa f’ħin definit.

It-tielet, irrevedi l-kuntratti tal-fornituri. Ikkonferma l-obbligi ta’ notifika, l-aċċess għall-logs, l-appoġġ forensiku, il-kooperazzjoni mal-awtoritajiet, flow-down għas-sottokuntratturi, il-post tad-data, drittijiet ta’ awditjar, appoġġ għall-kontinwità u drittijiet ta’ terminazzjoni.

Ir-raba’, ittestja l-ġbir tal-evidenza. Esporta logs, ippreserva snapshots, ittikketta l-evidenza, irreġistra chain of custody u vverifika l-aċċess għar-repożitorju. Jekk il-politika tiegħek tgħid li l-evidenza hija identifikata b’mod uniku u maħżuna b’mod sigur, ipprovaha.

Il-ħames, allinja l-komunikazzjonijiet tal-inċidenti. It-twissija bikrija tiegħek taħt NIS2, l-eskalazzjoni taħt DORA, il-valutazzjoni tal-ksur taħt GDPR u l-avviż lill-klijenti m’għandhomx jikkontradixxu lil xulxin. Jista’ jkollhom għanijiet legali differenti, iżda għandhom jiġu mill-istess bażi ta’ fatti.

Is-sitt, daħħal lill-bord fl-eżerċizzju. NIS2 u DORA t-tnejn jgħollu r-responsabbiltà tal-maniġment. Il-klawżoli tat-tmexxija ta’ ISO/IEC 27001:2022 jagħmlu dan awditabbli. Bord li qatt ma ra arloġġ ta’ 24 siegħa għan-notifika ċibernetika mhuwiex lest għal kriżi transfruntiera.

Il-passi li jmiss ma’ Clarysec

Il-futur taċ-ċibersigurtà tal-UE huwa wieħed ta’ kollaborazzjoni u fiduċja ppruvata. Organizzazzjonijiet li jittrattaw NIS2 u DORA bħala listi ta’ kontroll iżolati se jissieltu waqt inċidenti transfruntiera. Organizzazzjonijiet li jibnu sistemi operattivi ISO/IEC 27001:2022 appoġġjati bl-evidenza jkunu jistgħu jwieġbu lir-regolaturi, lill-klijenti, lill-awdituri u lir-rispondenti għall-kriżijiet b’kunfidenza.

Clarysec jgħin lis-CISOs, lill-maniġers tal-konformità, lill-awdituri u lis-sidien tan-negozju jibdlu r-regolamentazzjoni ċibernetika tal-UE f’evidenza operattiva lesta għall-awditjar permezz ta’:

  • Zenith Blueprint: An Auditor’s 30-Step Roadmap għal implimentazzjoni strutturata ta’ ISO/IEC 27001:2022 u sekwenzjar tal-awditjar.
  • Zenith Controls: The Cross-Compliance Guide għall-immappjar tal-kontrolli tal-inċidenti, tal-awtoritajiet, tal-fornituri, tal-evidenza, tal-logging u tal-kontinwità bejn oqfsa differenti.
  • Mudelli ta’ politiki ta’ Clarysec, inklużi Incident Response Policy, Evidence Collection and Forensics Policy, Third party and supplier security policy, Business Continuity Policy and Disaster Recovery Policy, flimkien ma’ verżjonijiet SME fejn il-proporzjonalità hija importanti.

L-aħjar żmien biex tipprepara għall-koordinazzjoni ta’ inċident transfruntiera huwa qabel it-twissija tat-03:17. It-tieni l-aħjar żmien huwa llum.

Ibda b’rieżami tat-tħejjija ta’ Clarysec, niżżel it-toolkit tal-politiki rilevanti, jew itlob walkthrough ta’ kif Zenith Blueprint u Zenith Controls jistgħu jgħinu lill-ISMS tiegħek jipproduċi l-evidenza li r-reżiljenza ċibernetika tal-2026 se titlob.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Awditu intern ISO 27001 għal NIS2 u DORA

Awditu intern ISO 27001 għal NIS2 u DORA

Gwida prattika għal CISOs, maniġers tal-konformità u awdituri li qed jibnu programm unifikat ta’ awditjar intern ISO 27001:2022 li jappoġġa l-assigurazzjoni ta’ NIS2, DORA, GDPR, NIST CSF u COBIT. Tinkludi d-definizzjoni tal-kamp ta’ applikazzjoni, il-kampjunar, is-sejbiet, l-azzjoni korrettiva, l-immappjar trasversali tal-konformità u kalendarju tal-evidenza għall-2026.

Analiżi tal-Impatt fuq in-Negozju għal ISO 27001, NIS2 u DORA

Analiżi tal-Impatt fuq in-Negozju għal ISO 27001, NIS2 u DORA

Analiżi moderna tal-Impatt fuq in-Negozju torbot is-servizzi kritiċi, l-assi tal-ICT, il-fornituri, l-objettivi ta’ rkupru, l-ittestjar tal-kontinwità u l-approvazzjoni mill-maniġment f’katina waħda ta’ evidenza difensibbli għal ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 u COBIT 2019.