Klassifikazzjoni tas-severità tal-inċidenti għal DORA, NIS2 u GDPR

Is-sejħa dwar l-inċident fit-02:17 li ssir deċiżjoni regolatorja

Fit-02:17 ta’ filgħodu nhar ta’ Ħamis, Sarah, is-CISO ta’ FinScale, tara l-ewwel twissija: traffiku API anormali, żidiet f’daqqa fil-fallimenti tal-awtentikazzjoni u latenza fid-dashboard tal-pagamenti ta’ aktar minn 3000ms. Fi ftit minuti, l-appoġġ għall-klijenti jirrapporta żbalji fl-istatus tal-pagamenti. Il-fornitur cloud jgħid li ma hemm l-ebda inċident li jaffettwa l-pjattaforma kollha. Is-SOC jara tokens tal-aċċess suspettużi minn żewġ reġjuni ġeografiċi. It-tim tal-prodott jikkonferma li d-dashboard reġa’ ġie online wara 19-il minuta, iżda tnax-il klijent diġà fetħu tickets.

Sat-03:05, Sarah tkun fuq il-kanal tal-kriżi mal-mexxej tal-inċident, il-konsulent legali, il-koordinatur tal-privatezza, ir-responsabbli mill-operazzjonijiet cloud u l-isponsor eżekuttiv. Il-mistoqsija teknika hija ċara biżżejjed: x’ġara lill-gateway tal-API? Il-mistoqsijiet regolatorji huma aktar diffiċli:

1. Dan huwa inċident ICT maġġuri relatat ma’ DORA?
2. Huwa inċident sinifikanti taħt NIS2?
3. Hemm ksur ta’ data personali taħt GDPR li jeħtieġ notifika?
4. L-organizzazzjoni tista’ tipprova kif waslet għal dawn it-tweġibiet?

It-tweġiba ħażina tista’ toħloq espożizzjoni regolatorja. It-tweġiba bil-mod tista’ titlef tieqa ta’ rappurtar. Tweġiba mhux dokumentata tista’ tfalli awditu ISO/IEC 27001:2022 xhur wara.

Din hija l-isfida tar-rispons għall-inċidenti fl-2026. Ħafna organizzazzjonijiet għandhom Pjan ta’ Rispons għall-Inċidenti, proċeduri forensiċi, playbooks tal-privatezza u mudelli għall-komunikazzjoni f’każ ta’ kriżi. Inqas għandhom mudell difensibbli għall-klassifikazzjoni tas-severità tal-inċidenti li jittrasforma avveniment storbjuż tas-sigurtà f’deċiżjoni dokumentata madwar DORA, NIS2, GDPR u l-aspettattivi ta’ evidenza ta’ ISO/IEC 27001:2022.

Is-soluzzjoni mhijiex tliet proċessi separati ta’ triage. Hija mudell wieħed tas-severità taħt governanza, b’saffi regolatorji separati, limiti miżurabbli, regoli ta’ eskalazzjoni, reġistri tad-deċiżjonijiet u rekwiżiti għall-ġbir tal-evidenza. B’mod prattiku, is-severità tal-inċident m’għandhiex tkun tikketta magħżula taħt pressjoni. Għandha tkun deċiżjoni tan-negozju kkontrollata li tiflaħ għall-iskrutinju tar-regolaturi, tal-awdituri, tal-membri tal-bord, tal-klijenti u tad-DPO.

Għaliex il-klassifikazzjoni tas-severità tal-inċidenti issa hija kontroll fil-livell tal-bord

Il-klassifikazzjoni tal-inċidenti kienet fil-biċċa l-kbira teknika: severità tal-malware, hosts affettwati, vulnerabbiltajiet sfruttati u jekk id-data ġietx eżfiltrata. Fl-2026, hija wkoll legali, finanzjarja, soċjali u kuntrattwali.

DORA jagħmel ir-reżiljenza operattiva diġitali obbligu ta’ governanza għall-entitajiet finanzjarji. Il-korp maniġerjali huwa mistenni jiddefinixxi, japprova, jissorvelja u jibqa’ responsabbli għall-qafas tal-ġestjoni tar-riskju tal-ICT. Dan jinkludi kontinwità tan-negozju tal-ICT, pjanijiet ta’ rispons u rkupru, kanali għar-rappurtar ta’ inċidenti maġġuri, riskju ta’ partijiet terzi tal-ICT u tagħlimiet miksuba.

NIS2 jgħolli l-livell ta’ governanza għall-entitajiet essenzjali u importanti. Article 20 jirrikjedi li l-korpi maniġerjali japprovaw miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni u jsegwu taħriġ. Jorbot ukoll fallimenti fil-ġestjoni tar-riskji u fir-rappurtar tal-inċidenti ma’ konsegwenzi serji ta’ sorveljanza. Għal entitajiet essenzjali, il-linji bażi massimi tal-multi amministrattivi jistgħu jilħqu mill-inqas EUR 10,000,000 jew 2 fil-mija tal-fatturat annwali dinji totali, skont liema jkun l-ogħla. Għal entitajiet importanti, il-linja bażi hija mill-inqas EUR 7,000,000 jew 1.4 fil-mija tal-fatturat, skont liema jkun l-ogħla.

GDPR iżid perspettiva differenti. Ksur ta’ data personali mhuwiex limitat għal żvelar pubbliku kkonfermat jew fajls misruqa. Jinkludi qerda, telf, tibdil, żvelar mhux awtorizzat ta’, jew aċċess għal, data personali, b’mod aċċidentali jew illegali. Il-kontrolluri għandhom jivvalutaw ir-riskju għall-individwi u juru responsabbiltà għad-deċiżjoni li jinnotifikaw jew le.

ISO/IEC 27001:2022 jagħti lil dawn l-obbligi sinsla ta’ evidenza. Clauses 4.1 sa 4.4 jirrikjedu li l-organizzazzjoni tifhem il-kuntest tagħha, ir-rekwiżiti tal-partijiet interessati, il-kamp ta’ applikazzjoni, l-interfaċċi u d-dipendenzi. Clauses 5.1 sa 5.3 jirrikjedu impenn tat-tmexxija, politika, rwoli, responsabbiltajiet u rappurtar. Clauses 6.1.1 sa 6.1.3 jirrikjedu ppjanar ibbażat fuq ir-riskju, valutazzjoni tar-riskju, trattament tar-riskju u Dikjarazzjoni ta’ Applikabbiltà. Clauses 8.1 sa 8.3 jirrikjedu kontroll operattiv, kontroll tat-tibdil, evidenza miżmuma u rivalutazzjoni meta l-kundizzjonijiet tar-riskju jinbidlu. ISO/IEC 27001:2022

Meta sseħħ is-sejħa dwar l-inċident, il-mistoqsija m’għandhiex tkun, “Min jaħseb li dan huwa kritiku?” Għandha tkun, “X’jeħtieġu minna issa l-kriterji approvati, l-attivaturi legali, l-evidenza u r-regoli ta’ eskalazzjoni tagħna?”

Avveniment wieħed, tliet sistemi regolatorji ta’ klassifikazzjoni

DORA, NIS2 u GDPR ma jużawx l-istess lingwaġġ għall-inċidenti. Din hija r-raġuni ewlenija għaliex l-organizzazzjonijiet isibu diffikultà matul l-ewwel siegħa.

DORA Article 17 jirrikjedi li l-entitajiet finanzjarji jistabbilixxu proċess ta’ ġestjoni ta’ inċidenti relatati mal-ICT li jiskopri, jimmaniġġja u jinnotifika inċidenti ICT, jirreġistra inċidenti relatati mal-ICT u theddid ċibernetiku sinifikanti, jindirizza l-kawżi ewlenin, juża indikaturi ta’ twissija bikrija, jikkategorizza u jikklassifika l-inċidenti, jassenja rwoli, jimmaniġġja l-komunikazzjonijiet, jeskala inċidenti maġġuri lit-tmexxija superjuri u jirrestawra operazzjonijiet siguri.

DORA Article 18 jirrikjedi klassifikazzjoni bl-użu ta’ kriterji bħal klijenti affettwati, kontropartijiet affettwati, tranżazzjonijiet, tul ta’ żmien, ħin ta’ waqfien, firxa ġeografika, telf ta’ data li jaffettwa d-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità, il-kritiċità tas-servizzi affettwati u l-impatt ekonomiku. DORA Article 19 jirrikjedi r-rappurtar ta’ inċidenti ICT maġġuri u komunikazzjoni mal-klijenti fejn ikunu affettwati l-interessi finanzjarji tagħhom.

NIS2 Article 23 jiddefinixxi inċident sinifikanti bħala wieħed li kkawża jew jista’ jikkawża tfixkil operattiv sever jew telf finanzjarju, jew li affettwa jew jista’ jaffettwa lil oħrajn billi jikkawża dannu materjali jew mhux materjali konsiderevoli. Jirrikjedi twissija bikrija fi żmien 24 siegħa minn meta l-entità ssir konxja tal-inċident sinifikanti, notifika tal-inċident fi żmien 72 siegħa, rapporti interim fuq talba u rapport finali fi żmien xahar min-notifika tal-inċident. Fejn applikabbli, ir-riċevituri tas-servizz affettwati għandhom ukoll jiġu infurmati dwar miżuri jew rimedji li jistgħu jieħdu.

GDPR jistaqsi mistoqsija dwar ir-riskju għall-privatezza. Ksur tas-sigurtà kkawża qerda, telf, tibdil, żvelar mhux awtorizzat ta’, jew aċċess għal, data personali? Jekk iva, il-kontrollur għandu jivvaluta r-riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi. Jekk il-ksur x’aktarx jirriżulta f’riskju, l-awtorità superviżorja ġeneralment għandha tiġi nnotifikata fi żmien 72 siegħa mill-għarfien. Jekk x’aktarx jirriżulta f’riskju għoli, l-individwi affettwati jista’ jkollhom jiġu infurmati mingħajr dewmien żejjed.

Għalhekk inċident wieħed jeħtieġ klassifikazzjoni simultanja.

Għall-entitajiet finanzjarji, DORA huwa l-att legali tal-Unjoni speċifiku għas-settur għall-ġestjoni tar-riskju tal-ICT u għall-obbligi ta’ rappurtar tal-inċidenti li jikkoinċidu ma’ NIS2. Dan ma jagħmilx lil NIS2 irrilevanti. Jista’ xorta jkun rilevanti għall-kooperazzjoni, il-flussi ta’ informazzjoni, servizzi barra l-perimetru ta’ DORA, entitajiet mhux finanzjarji fi grupp, servizzi cloud, servizzi ġestiti u obbligi kuntrattwali tal-klijenti. Il-mudell tas-severità għandu jirreġistra mhux biss ir-riżultat, iżda wkoll il-loġika tal-applikabbiltà.

Il-mudell ta’ Clarysec: ikklassifika l-avveniment, mhux l-emozzjoni

Clarysec jibda minn ISO/IEC 27002:2022 kontroll 5.25, evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni, bħala l-ankra għall-konformità trasversali. F’Zenith Controls: The Cross-Compliance Guide Zenith Controls, dan is-suġġett huwa mmappjat permezz tal-entrata “Evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni” għal kontroll 5.25, appoġġjat minn “Ippjanar u tħejjija għall-ġestjoni ta’ inċidenti tas-sigurtà tal-informazzjoni” għal kontroll 5.24 u “Ġbir tal-evidenza” għal kontroll 5.28.

L-aktar mument importanti għall-konformità spiss mhuwiex it-trażżin. Huwa l-punt fejn avveniment tas-sigurtà jsir inċident regolatorju, jew fejn jiġi rreġistrat b’mod difensibbli bħala avveniment ta’ severità aktar baxxa.

Zenith Blueprint: An Auditor’s 30-Step Roadmap ta’ Clarysec Zenith Blueprint jiddeskrivi dan il-mument fil-fażi Controls in Action, Step 23:

“Mhux kull anomalija hija diżastru. Mhux kull twissija tindika kompromess. Fid-dinja reali, it-timijiet tas-sigurtà u l-unitajiet tan-negozju huma mgħarrqa b’ħoss: tentattivi ta’ login, anomaliji fil-logs, ksur minuri tal-politiki, attività ta’ shadow IT. L-isfida reali mhijiex biss is-sejbien, iżda li tiddistingwi dak li ma jagħmilx ħsara minn dak li jagħmel ħsara, u tkun taf x’jeħtieġ eskalazzjoni.”

Din is-sentenza taqbad il-problema operattiva. Twissija tas-SIEM ma tfissirx awtomatikament inċident maġġuri taħt DORA. Qtugħ temporanju ma jfissirx awtomatikament inċident sinifikanti taħt NIS2. Query suspettuża fuq database ma tfissirx awtomatikament notifika taħt GDPR. Kull wieħed jista’ jsir rapportabbli skont l-impatt, il-kamp ta’ applikazzjoni, id-data, il-partijiet affettwati u l-evidenza.

Zenith Blueprint, fil-fażi Risk Management, Step 10, jirrakkomanda wkoll li d-definizzjonijiet tal-impatt jiġu adattati għall-iskala tan-negozju u għall-espożizzjoni regolatorja:

“Meta tiddefinixxi l-impatt, huwa għaqli li torbot il-livelli mal-iskala speċifika tan-negozju tiegħek. Pereżempju, ‘Impatt finanzjarju maġġuri = telf > $100k’ (aġġustah għall-kuntest tiegħek). Ikkunsidra wkoll l-impatt regolatorju: pereżempju, ksur ta’ data personali jista’ awtomatikament ikun ‘Maġġuri’ jew ‘Sever’ minħabba multi u rekwiżiti ta’ notifika taħt GDPR, anki jekk it-telf finanzjarju dirett ma jkunx ċar.”

Dan huwa l-prinċipju tad-disinn għall-klassifikazzjoni tas-severità tal-inċidenti fl-2026: is-severità hija impatt tan-negozju flimkien ma’ impatt legali flimkien ma’ kunfidenza fl-evidenza.

Tassonomija prattika tas-severità tal-inċidenti għal DORA, NIS2 u GDPR

Tassonomija difensibbli għandha tissepara s-severità interna mill-klassifikazzjoni regolatorja. Is-severità interna tmexxi l-urġenza tar-rispons, l-allokazzjoni tar-riżorsi u l-eskalazzjoni eżekuttiva. Il-klassifikazzjoni regolatorja tmexxi n-notifika, ir-rieżami legali u l-komunikazzjoni esterna.

Il-livell tas-severità interna mhuwiex it-tweġiba regolatorja finali. Huwa l-mod operattiv. Avveniment SEV 3 jista’ jsir notifikabbli taħt GDPR wara rieżami tal-logs. Qtugħ SEV 2 jista’ ma jkunx inċident maġġuri taħt DORA jekk il-limiti tal-impatt ma jintlaħqux. Inċident ransomware SEV 1 jista’ jattiva DORA, NIS2, GDPR, kuntratti tal-klijenti u koordinazzjoni mal-infurzar tal-liġi fl-istess ħin.

Matriċi ta’ klassifikazzjoni aktar dettaljata tgħin lit-tim jimxi minn twissija għal azzjoni.

Il-mudell għandu jkun inkorporat fil-politika, mhux jitħalla f’idejn l-aktar vuċi qawwija fuq il-kanal tal-kriżi. Il-Politika dwar ir-Rispons għall-Inċidenti-sme Politika dwar ir-Rispons għall-Inċidenti-sme - SME, Rekwiżiti ta’ governanza, clause 5.3.1, tgħid:

“Il-Maniġer Ġenerali, b’input mill-fornitur tal-IT, għandu jikklassifika l-inċidenti kollha skont is-severità fi żmien siegħa min-notifika.”

L-istess politika SME, Trattament tar-riskju u eċċezzjonijiet, clause 7.4.1, iżżid:

“Meta tkun involuta data tal-klijenti, il-Maniġer Ġenerali għandu jivvaluta l-obbligi legali ta’ notifika abbażi tal-applikabbiltà ta’ GDPR, NIS2 jew DORA.”

Għal organizzazzjonijiet akbar, il-Politika dwar ir-Rispons għall-Inċidenti Politika dwar ir-Rispons għall-Inċidenti, Rekwiżiti ta’ governanza, clause 5.3, tifformalizza l-istess kunċett:

“Il-klassifikazzjoni tal-inċidenti għandha ssegwi mudell fuq livelli differenti:”

Il-lingwaġġ tal-politika huwa importanti għaliex ir-regolaturi u l-awdituri jistaqsu jekk il-kriterji tal-klassifikazzjoni kinux jeżistu qabel l-inċident. Matriċi maħluqa wara l-fatt hija evidenza dgħajfa. Matriċi approvata, mgħallma, eżerċitata u użata b’mod konsistenti hija difensibbli.

Ir-reġistru tad-deċiżjonijiet: l-aktar artefatt importanti tal-evidenza

Meta awdituri, regolaturi jew membri tal-bord jirrieżaminaw inċident, rarament jistaqsu biss, “X’ġara?” Jistaqsu, “Meta kontu tafu, min iddeċieda, fuq liema evidenza, u għaliex ma nnotifikajtux qabel?”

Għalhekk Clarysec jirrakkomanda reġistru tad-deċiżjonijiet dwar is-severità għal kull avveniment SEV 3 u ogħla, u għal kwalunkwe avveniment li jinvolvi data personali, servizzi kritiċi, klijenti finanzjarji, servizzi ġestiti, infrastruttura cloud jew impatt transkonfinali.

Dan jimmappja direttament ma’ ISO/IEC 27001:2022. Clause 8.1 tirrikjedi li l-proċessi jiġu ppjanati, implimentati u kkontrollati, b’informazzjoni dokumentata biżżejjed miżmuma biex turi li ħadmu kif ippjanat. Clauses 8.2 u 8.3 jirrikjedu rivalutazzjoni meta jseħħu bidliet sinifikanti u żamma ta’ evidenza tat-trattament tar-riskju. Il-kontrolli Annex A A.5.24 sa A.5.28 jipprovdu s-sinsla tal-ġestjoni tal-inċidenti: ippjanar u tħejjija, evalwazzjoni u deċiżjoni tal-avveniment, rispons, tagħlim mill-inċidenti u ġbir tal-evidenza.

Il-Politika dwar il-Protezzjoni tad-Data u l-Privatezza-sme Politika dwar il-Protezzjoni tad-Data u l-Privatezza-sme - SME, Applikazzjoni u konformità, clause 8.3.2, tappoġġa n-naħa tal-GDPR tal-mudell:

“Il-Koordinatur tal-Privatezza jiddetermina s-severità, jibda azzjonijiet ta’ trażżin u jiddokumenta l-każ”

L-evalwazzjoni tal-privatezza m’għandhiex tibda wara li l-arloġġ regolatorju jsir skomdu. Għandha tkun parti mill-fluss tax-xogħol tat-triage.

Eżempju prattiku: il-klassifikazzjoni tal-inċident API ta’ Sarah

Nirritornaw għal FinScale. Hija pjattaforma fintech B2B li tuża infrastruttura cloud, fornitur estern ta’ analitika tal-frodi u fornitur immaniġġjat tas-sigurtà. Hija entità finanzjarja koperta minn DORA għal xi attivitajiet. Hija wkoll fornitur ta’ servizzi diġitali b’operazzjonijiet rilevanti għal NIS2 fi Stat Membru wieħed. Tipproċessa data personali tal-klijenti bħala kontrollur għal servizzi tal-kontijiet u bħala proċessur għal xi klijenti enterprise.

Fit-02:17, jiġi skopert traffiku API anormali. Fit-02:35, jinfetaħ it-ticket tal-inċident. Fit-03:00, Sarah tlesti t-triage inizjali mal-mexxej tal-inċident.

L-ewwel, tiġi stabbilita s-severità interna. L-inċident affettwa d-disponibbiltà tad-dashboard tal-klijenti għal 19-il minuta, involva tokens tal-aċċess suspettużi u mess funzjoni kritika aċċessibbli għall-klijenti. Jiġi kklassifikat bħala SEV 3 Moderat sakemm ikun hemm konferma, b’eskalazzjoni lill-mexxej tal-inċident, lill-koordinatur tal-privatezza, lill-konsulent legali u lis-sid tas-servizz.

It-tieni, titlesta l-verifika DORA. It-tim jiċċekkja klijenti affettwati, kontropartijiet, tranżazzjonijiet, tul ta’ żmien, ħin ta’ waqfien, firxa ġeografika, telf ta’ data, kritiċità u impatt ekonomiku. L-ebda tranżazzjoni falluta jew mibdula ma hija kkonfermata. Il-ħin ta’ waqfien huwa limitat. L-ebda telf ta’ data ma huwa ppruvat. Madankollu, minħabba li komponent kritiku tas-servizz finanzjarju u l-interessi finanzjarji tal-klijenti jistgħu jkunu affettwati, l-inċident jibqa’ taħt monitoraġġ DORA u jista’ jiġi rikklassifikat.

It-tielet, tiġi rreġistrata l-verifika NIS2. It-tim jinnota li DORA huwa r-reġim primarju ta’ rappurtar speċifiku għas-settur għall-obbligi tal-entità finanzjarja koperta. Jiċċekkja wkoll jekk l-inċident jaffettwax servizzi jew klijenti barra l-perimetru ta’ DORA. F’dan l-istadju, l-ebda tfixkil operattiv sever jew dannu konsiderevoli ma huwa kkonfermat.

Ir-raba’, tibda l-verifika GDPR. It-tokens suspettużi setgħu ppermettew aċċess għad-data tad-dashboard tal-klijenti. Il-koordinatur tal-privatezza jiddokumenta l-kategoriji tad-data, l-utenti affettwati, il-kamp ta’ applikazzjoni tat-token, il-logs riveduti, jekk id-data ntwerietx jew ġietx esportata, u salvagwardji bħal skadenza tat-token u kontrolli tal-aċċess.

Sal-04:20, l-analiżi tal-logs turi li żewġ tokens intużaw biex jaċċessaw metadata tad-dashboard għal 41 klijent, inklużi ismijiet, IDs tal-kontijiet u status tat-tranżazzjonijiet, iżda l-ebda kredenzjali tal-pagament jew dokumenti tal-identità. It-tim jaġġorna l-inċident għal SEV 2 Maġġuri minħabba li l-kunfidenzjalità tad-data personali kienet affettwata u tista’ tkun meħtieġa komunikazzjoni mal-klijenti. Id-DPO jivvaluta r-riskju GDPR għall-individwi. Id-deċiżjoni DORA tiġi riveduta abbażi tal-impatt fuq il-klijenti, l-impatt fuq it-tranżazzjonijiet u l-impatt ekonomiku.

Dan huwa l-valur prattiku tal-mudell. Il-klassifikazzjoni inizjali mhijiex konklużjoni legali finali. Hija deċiżjoni mmexxija mill-evidenza li tista’ tiġi aġġornata hekk kif jiżviluppaw il-fatti.

Illoggjar, monitoraġġ u evidenza forensika: is-saff tal-prova

Mudell tas-severità mingħajr evidenza huwa opinjoni ta’ laqgħa. L-aspettattiva għall-2026 hija li l-klassifikazzjoni tkun appoġġata minn logs, monitoraġġ, artefatti ppreservati u katina ta’ kustodja.

Il-Politika tal-Illoggjar u l-Monitoraġġ-sme Politika tal-Illoggjar u l-Monitoraġġ-sme - SME, Applikazzjoni u konformità, clause 8.3.4, tgħid:

“L-investigazzjonijiet ta’ ksur għandhom ikunu appoġġati minn logs adegwati biex jintlaħaq il-prinċipju ta’ responsabbiltà taħt GDPR u DORA”

L-immaniġġjar forensiku huwa daqstant ieħor importanti. Il-Politika dwar il-Ġbir tal-Evidenza u l-Forensika-sme Politika dwar il-Ġbir tal-Evidenza u l-Forensika-sme - SME, Rekwiżiti ta’ governanza, clause 5.3.1, tirrikjedi:

“Għandu jinżamm log sempliċi tal-katina ta’ kustodja (eż., fajl Excel jew dokument mudell) għal kull inċident.”

Għal ambjenti ta’ intrapriża, il-Politika dwar il-Ġbir tal-Evidenza u l-Forensika Politika dwar il-Ġbir tal-Evidenza u l-Forensika, Rekwiżiti ta’ governanza, clause 5.5, tirrikjedi:

“L-evidenza miġbura kollha għandha tiġi identifikata b’mod uniku, ittikkettata u maħżuna f’repożitorju sigur bi:”

Zenith Blueprint, fil-fażi Controls in Action, Step 23, jispjega għaliex dan huwa importanti għal ISO/IEC 27002:2022 kontroll 5.28:

“Meta jseħħ inċident tas-sigurtà tal-informazzjoni, wieħed mill-aktar elementi kritiċi tar-rispons, iżda spiss injorat, huwa l-evidenza. Mhux logs, mhux screenshots, mhux narrattivi laxki, iżda evidenza ppreservata kif suppost, li tirrispetta l-katina ta’ kustodja u li hija reżistenti għat-tbagħbis.”

Pakkett prattiku ta’ evidenza għal inċident maġġuri jew potenzjalment rapportabbli għandu jinkludi:

• Ticket tal-inċident u linja taż-żmien
• Reġistru tad-deċiżjonijiet dwar is-severità u storja tar-riklassifikazzjoni
• Twissijiet SIEM, twissijiet EDR, logs cloud u logs tal-identità
• Logs tal-aċċess għad-data u logs tal-esportazzjoni
• Entrati tal-inventarju tal-assi u tas-servizzi affettwati
• Evalwazzjoni tal-impatt fuq klijenti, tranżazzjonijiet u ġeografija
• Folja ta’ ħidma ta’ verifika DORA, NIS2 u GDPR
• Evalwazzjoni tad-DPO jew legali
• Approvazzjonijiet tal-komunikazzjonijiet u messaġġi mibgħuta
• Reġistru tal-katina ta’ kustodja
• Analiżi tal-kawża ewlenija
• Azzjonijiet korrettivi u tagħlimiet miksuba

Dan il-pakkett ta’ evidenza jappoġġa wkoll il-kontrolli Annex A ta’ ISO/IEC 27001:2022 A.8.15 illoggjar, A.8.16 attivitajiet ta’ monitoraġġ, A.5.28 ġbir tal-evidenza, A.5.27 tagħlim minn inċidenti tas-sigurtà tal-informazzjoni, A.5.31 rekwiżiti legali, statutorji, regolatorji u kuntrattwali, u A.5.34 privatezza u protezzjoni ta’ informazzjoni identifikabbli personalment.

Immappjar trasversali tal-konformità: ibni darba, wieġeb lil ħafna awdituri

L-aktar mudelli b’saħħithom tas-severità tal-inċidenti jinbnew darba u jiġu mmappjati ħafna drabi. Zenith Controls huwa ddisinjat bħala kumpass ta’ konformità trasversali għal dan ix-xogħol. Għal dan is-suġġett, l-entrati ewlenin ta’ ISO/IEC 27002:2022 huma 5.24 ippjanar u tħejjija għall-ġestjoni ta’ inċidenti tas-sigurtà tal-informazzjoni, 5.25 evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni, 5.26 rispons għal inċidenti tas-sigurtà tal-informazzjoni, 5.27 tagħlim minn inċidenti tas-sigurtà tal-informazzjoni u 5.28 ġbir tal-evidenza.

Dawn il-kontrolli jorbtu b’mod naturali mas-sistema ta’ ġestjoni ISO/IEC 27001:2022. Clauses 4, 5, 6 u 8 jiddefinixxu l-kamp ta’ applikazzjoni, it-tmexxija, il-kriterji tar-riskju, it-trattament u l-evidenza operattiva. ISO/IEC 27002:2022 jipprovdi l-lingwaġġ tal-implimentazzjoni tal-kontrolli. Ħsieb ta’ kontinwità tan-negozju fl-istil ta’ ISO 22301 jappoġġa limiti tat-tfixkil, prijoritajiet tal-irkupru u ġestjoni tal-kriżijiet. Prattiki ta’ ġestjoni tal-inċidenti fl-istil ta’ ISO/IEC 27035 jappoġġaw sejbien, rappurtar, evalwazzjoni, rispons u tagħlim strutturati. Governanza tal-privatezza fl-istil ta’ ISO/IEC 27701 tappoġġa rwoli ta’ ksur ta’ data personali, kunsiderazzjonijiet ta’ kontrollur u proċessur, evidenza tal-privatezza u responsabbiltà.

L-istess mudell jimmappja ma’ NIST Cybersecurity Framework 2.0. Il-Funzjoni GOVERN tirrikjedi li l-obbligi legali, regolatorji, kuntrattwali, tal-privatezza u tal-libertajiet ċivili jinftiehmu u jiġu mmaniġġjati. Tistenna wkoll li jiġu definiti l-aptit għar-riskju, ir-rwoli, l-awtoritajiet, il-politiki u s-sorveljanza. Il-Funzjonijiet DETECT, RESPOND u RECOVER jappoġġaw triage, analiżi, eskalazzjoni, trażżin, restawr, komunikazzjonijiet u titjib.

Il-benefiċċju huwa prattiku. Meta superviżur DORA jitlob ir-raġunament għal inċident ICT maġġuri, awtorità NIS2 tistaqsi dwar id-deċiżjoni tat-twissija bikrija ta’ 24 siegħa, DPA tistaqsi għaliex saret jew ma saritx notifika GDPR, u awditur ISO jistaqsi jekk l-ISMS ħadimx kif ippjanat, l-organizzazzjoni tista’ twieġeb mill-istess sett ta’ evidenza.

Kif l-awdituri u r-regolaturi se jittestjaw il-mudell tiegħek

Awditur ISO/IEC 27001:2022 normalment jibda mill-kamp ta’ applikazzjoni u mir-rekwiżiti legali. Jistaqsi jekk DORA, NIS2, GDPR, kuntratti tal-klijenti u obbligi ta’ partijiet terzi tal-ICT ġewx identifikati bħala rekwiżiti tal-partijiet interessati. Imbagħad isegwi t-traċċa lejn il-kriterji tar-riskju, id-Dikjarazzjoni ta’ Applikabbiltà, il-proċeduri tal-inċidenti, ir-reġistri operattivi u ż-żamma tal-evidenza. Irid prova li l-proċess ta’ klassifikazzjoni ma nħoloqx waqt l-inċident.

Superviżur DORA jew tim tal-awditjar intern ifittex ċiklu sħiħ tal-ħajja: proċess ta’ ġestjoni tal-inċidenti, indikaturi ta’ twissija bikrija, kriterji ta’ klassifikazzjoni, eskalazzjoni ta’ inċidenti maġġuri, komunikazzjoni mal-klijenti, kawża ewlenija, figuri finali tal-impatt, ittestjar tar-reżiljenza u sorveljanza mill-korp maniġerjali. Jistaqsi wkoll jekk ġewx ikkunsidrati dipendenzi fuq partijiet terzi tal-ICT, speċjalment fejn kienu involuti fornituri cloud, SaaS, sigurtà ġestita jew outsourcing.

Awditur jew awtorità ffukata fuq NIS2 tittestja jekk l-entità tistax tidentifika inċidenti sinifikanti, tissodisfa skadenzi f’fażijiet, tikkomunika mar-riċevituri tas-servizz affettwati u tipprovdi evidenza ta’ evalwazzjoni tal-impatt transkonfinali. Tgħaqqad l-immaniġġjar tal-inċidenti mal-miżuri ta’ ġestjoni tar-riskju ta’ Article 21, inklużi kontinwità tan-negozju, ġestjoni tal-kriżijiet, sigurtà tal-katina tal-provvista, kontroll tal-aċċess, ġestjoni tal-assi u taħriġ.

DPO GDPR jew awtorità superviżorja teżamina jekk l-organizzazzjoni identifikatx data personali, rwoli, suġġetti tad-data, kategoriji, sistemi affettwati, tip ta’ ksur u riskju għall-individwi. Tittestja jekk il-kontrollur jistax juri responsabbiltà u jekk in-notifiki mill-proċessuri lill-kontrolluri kinux f’waqthom u kompluti.

Awditur fl-istil ISACA jew COBIT 2019 jiffoka fuq evidenza tal-governanza. Min approva t-tassonomija tas-severità? Min għandu r-riskju? Liema metriċi jiġu rrappurtati lit-tmexxija? Kif jiġu mmaniġġjati l-eċċezzjonijiet? Kif jinbidlu t-tagħlimiet miksuba f’titjib tal-kontrolli?

Xejriet komuni ta’ falliment fil-klassifikazzjoni tal-inċidenti

L-ewwel falliment huwa l-ħsieb b’tikketta waħda. It-timijiet jikklassifikaw avveniment bħala għoli, medju jew baxx, iżda qatt ma jivvalutaw separatament l-attivaturi ta’ DORA, NIS2 u GDPR. Ir-riżultat huwa tikketta ta’ severità li ma tistax tispjega deċiżjoni ta’ rappurtar.

It-tieni falliment huwa preġudizzju lejn ksur ikkonfermat. It-timijiet jistennew prova assoluta ta’ eżfiltrazzjoni qabel jinvolvu l-privatezza jew il-legali. L-evalwazzjoni ta’ ksur taħt GDPR spiss tibda b’aċċess mhux awtorizzat, telf, tibdil jew żvelar possibbli, mhux biss b’pubblikazzjoni kkonfermata tad-data.

It-tielet falliment huwa konfużjoni dwar l-arloġġ. L-iskadenzi ta’ NIS2 u GDPR jiddependu fuq l-għarfien u l-evalwazzjoni. Jekk it-ticket tal-inċident ma jaqbadx il-ħin tal-għarfien, il-ħin tal-klassifikazzjoni u l-ħin tal-eskalazzjoni, l-organizzazzjoni tista’ ssibha diffiċli tipprova li aġixxiet fil-ħin.

Ir-raba’ falliment huwa l-forensika wara t-tindif. L-inġiniera jduru ċwievet, jerġgħu jibnu hosts u jħassru evidenza temporanja qabel ma tiġi attivata pożizzjoni investigattiva. Dan jista’ jeqred prova meħtieġa għal rieżami regolatorju, kuntrattwali jew legali.

Il-ħames falliment huwa nuqqas ta’ viżibbiltà fuq il-fornituri. DORA, NIS2 u NIST CSF 2.0 kollha jenfasizzaw ir-riskju ta’ partijiet terzi u tal-katina tal-provvista. Jekk fornitur cloud, fornitur ta’ servizzi ġestiti, proċessur tal-pagamenti, fornitur tal-identità jew fornitur SaaS ikun parti mill-katina tal-inċident, il-mudell ta’ klassifikazzjoni għandu jinkludi l-impatt fuq il-fornitur u l-obbligi kuntrattwali ta’ notifika.

Lista ta’ kontroll ta’ implimentazzjoni ta’ Clarysec għall-2026

Biex jiġi operazzjonalizzat mudell difensibbli għall-klassifikazzjoni tas-severità tal-inċidenti, Clarysec jirrakkomanda din is-sekwenza:

1. Ikkonferma l-applikabbiltà regolatorja madwar DORA, NIS2, GDPR, kuntratti tal-klijenti u regoli settorjali.
2. Aġġorna l-kamp ta’ applikazzjoni tal-ISMS u r-rekwiżiti tal-partijiet interessati taħt ISO/IEC 27001:2022.
3. Iddefinixxi livelli ta’ severità interna b’limiti miżurabbli għall-ħin ta’ waqfien, data, klijenti, ġeografija, telf finanzjarju u kritiċità.
4. Żid mistoqsijiet separati ta’ verifika DORA, NIS2 u GDPR fil-fluss tax-xogħol tat-ticket tal-inċident.
5. Iddefinixxi attivaturi ta’ eskalazzjoni għall-mexxej tal-inċident, DPO, legali, tmexxija superjuri u bord.
6. Oħloq mudell għar-reġistru tad-deċiżjonijiet dwar is-severità.
7. Rabat il-klassifikazzjoni mal-proċeduri tal-ġbir tal-evidenza u tal-katina ta’ kustodja.
8. Ivverifika l-kopertura tal-illoggjar għall-identità, cloud, applikazzjoni, database, network u avvenimenti tal-fornituri.
9. Mexxi eżerċizzji ta’ simulazzjoni fuq mejda għal xenarji ta’ inċident maġġuri taħt DORA, inċident sinifikanti taħt NIS2 u ksur taħt GDPR.
10. Daħħal it-tagħlimiet miksuba fit-trattament tar-riskju, id-Dikjarazzjoni ta’ Applikabbiltà, it-taħriġ u l-ittestjar tar-reżiljenza.

Zenith Blueprint, fil-fażi Controls in Action, Step 16, isaħħaħ in-naħa umana ta’ dan il-mudell: ir-rapporti għandhom jiġu rreġistrati fil-logs, triaged, eskalati permezz tal-pjan ta’ rispons għall-inċidenti, u anki avvenimenti minuri għandhom jiġu traċċati għaliex ix-xejriet jiżvelaw dgħufijiet fil-kontrolli. Jippromwovi mentalità ta’ rappurtar b’limitu baxx: “Meta jkollok dubju, irrapporta.”

Dan il-punt kulturali huwa kritiku. Mudell tas-severità jfalli jekk l-impjegati jdewwmu r-rappurtar għax jibżgħu minn reazzjoni żejda. L-għan huwa rappurtar mgħaġġel, triage dixxiplinat u klassifikazzjoni difensibbli.

Ittrasforma l-inċertezza tal-inċidenti f’evidenza lesta għall-awditjar

Fl-2026, il-klassifikazzjoni tas-severità tal-inċidenti m’għadhiex deċiżjoni tas-SOC biss. Hija proċess ta’ governanza regolata li għandu jgħaqqad il-kriterji ta’ inċident ICT maġġuri taħt DORA, il-limiti ta’ inċident sinifikanti taħt NIS2, ir-riskju ta’ ksur taħt GDPR u l-evidenza ta’ ISO/IEC 27001:2022.

L-organizzazzjonijiet li jwettqu l-aħjar waqt inċidenti mhux se jkunu dawk bl-eħxen binder tar-rispons. Se jkunu dawk li jistgħu jwieġbu erba’ mistoqsijiet malajr u jippruvaw kull tweġiba aktar tard:

• X’ġara?
• Kemm huwa sever?
• Liema obbligi regolatorji jistgħu japplikaw?
• Liema evidenza tappoġġa d-deċiżjoni?

Clarysec jgħin lill-organizzazzjonijiet jibnu dan il-pont permezz ta’ mudelli ta’ politiki, tassonomiji tas-severità, reġistri tad-deċiżjonijiet, xenarji ta’ simulazzjoni fuq mejda u immappjar trasversali tal-konformità. Ibda bil-politiki tal-inċidenti, ivvalida l-kriterji tar-riskju tiegħek f’Zenith Blueprint Zenith Blueprint, u uża Zenith Controls Zenith Controls biex timmappja l-kontrolli ISO/IEC 27002:2022 5.24, 5.25, 5.26, 5.27 u 5.28 madwar DORA, NIS2, GDPR, NIST CSF u l-aspettattivi tal-awditjar.

Jekk it-tim tiegħek ma jistax iwieġeb “Dan huwa DORA maġġuri, NIS2 sinifikanti jew notifikabbli taħt GDPR?” fl-ewwel siegħa, il-pass li jmiss mhuwiex pjan ġeneriku ieħor ta’ rispons għall-inċidenti. Il-pass li jmiss huwa mudell operattiv difensibbli għall-klassifikazzjoni tas-severità tal-inċidenti, ittestjat qabel tasal is-sejħa li jmiss fit-02:17.

Lest li tibdel il-paniku fi proċess? Niżżel il-mudelli ta’ Clarysec għall-politiki tar-rispons għall-inċidenti u tal-ġbir tal-evidenza, irrevedi t-tassonomija attwali tas-severità tiegħek kontra Zenith Blueprint, jew itlob evalwazzjoni tal-kapaċità li tintwera l-konformità minn Clarysec biex tibni mudell ta’ klassifikazzjoni tal-inċidenti DORA, NIS2, GDPR u ISO/IEC 27001 lest għall-awditjar.