L-SoA tal-ISO 27001 għat-tħejjija għal NIS2 u DORA

Huma t-08:30 ta’ nhar ta’ Tnejn, u Elena, iċ-CISO ta’ fornitur B2B fintech SaaS li qed jikber b’rata mgħaġġla, tiftaħ talba mill-bord immarkata bħala urġenti. Il-kumpanija għadha kemm kisbet iċ-ċertifikazzjoni ISO/IEC 27001:2022, iżda prospett bankarju ewlieni fl-UE qed jistaqsi mistoqsijiet aktar diffiċli mill-kwestjonarju tas-sigurtà tas-soltu.

Mhumiex jistaqsu biss jekk il-kumpanija tikkriptax id-data, tużax MFA, jew għandhiex rapport ta’ test ta’ penetrazzjoni. Iridu jkunu jafu jekk il-pjattaforma SaaS tappoġġax l-obbligi tagħhom taħt DORA, jekk il-fornitur jistax jaqa’ fil-kamp ta’ applikazzjoni ta’ NIS2 bħala servizz ICT jew bħala dipendenza fuq infrastruttura diġitali, u jekk id-Dikjarazzjoni ta’ Applikabbiltà tal-ISO 27001 tistax tiġġustifika kull kontroll inkluż, kull kontroll eskluż u kull biċċa evidenza.

Il-bord jistaqsi l-mistoqsija li kull CISO, maniġer tal-konformità u fundatur ta’ SaaS qed jisma’ dejjem aktar ta’ spiss:

L-SoA tal-ISO 27001 tagħna tista’ tipprova t-tħejjija għal NIS2 u DORA?

Elena taf li t-tweġiba żbaljata tkun li tniedi tliet programmi ta’ konformità separati, wieħed għal ISO 27001, wieħed għal NIS2 u wieħed għal DORA. Dan joħloq evidenza duplikata, sidien tal-kontrolli f’kunflitt u pressjoni kontinwa qabel kull valutazzjoni tal-klijent. It-tweġiba aħjar hija li jintuża l-ISMS eżistenti bħala s-sistema operattiva għall-konformità, bid-Dikjarazzjoni ta’ Applikabbiltà, jew SoA, bħala d-dokument ewlieni tat-traċċabbiltà.

L-SoA mhijiex sempliċiment spreadsheet għaċ-ċertifikazzjoni ISO. F’ambjent tal-UE taċ-ċibersigurtà u tar-reżiljenza operattiva, hija l-post fejn organizzazzjoni turi għaliex jeżistu l-kontrolli, għaliex l-esklużjonijiet huma difensibbli, min huwa s-sid ta’ kull kontroll, liema evidenza tappoġġa l-implimentazzjoni, u kif is-sett ta’ kontrolli jindirizza NIS2, DORA, GDPR, kuntratti tal-klijenti u t-trattament intern tar-riskju.

Il-Politika tas-Sigurtà tal-Informazzjoni għall-intrapriżi ta’ Clarysec Politika tas-Sigurtà tal-Informazzjoni tiddikjara:

L-ISMS għandu jinkludi limiti definiti tal-kamp ta’ applikazzjoni, metodoloġija ta’ valutazzjoni tar-riskju, objettivi miżurabbli u kontrolli dokumentati ġġustifikati fid-Dikjarazzjoni ta’ Applikabbiltà (SoA).

Dak ir-rekwiżit, mill-klawżola 6.1.2 tal-politika fil-Politika tas-Sigurtà tal-Informazzjoni, huwa l-pedament għal approċċ lest għall-awditjar. L-SoA għandha ssir il-pont bejn l-obbligi, ir-riskji, il-kontrolli, l-evidenza u d-deċiżjonijiet tal-maniġment.

Għaliex NIS2 u DORA bidlu xi jfisser “applikabbli”

SoA tradizzjonali tal-ISO/IEC 27001:2022 ħafna drabi tibda b’mistoqsija sempliċi: “Liema kontrolli tal-Anness A japplikaw għall-pjan tagħna ta’ trattament tar-riskju?” Dan għadu korrett, iżda m’għadux biżżejjed għal fornituri ta’ SaaS, cloud, servizzi ġestiti, fintech, teknoloġija finanzjarja u fornituri kritiċi fil-katina tal-provvista.

NIS2 tgħolli l-livell bażi għall-ġestjoni tar-riskju taċ-ċibersigurtà fost entitajiet essenzjali u importanti fl-UE. Tkopri setturi bħall-infrastruttura diġitali, fornituri ta’ servizzi tal-cloud computing, fornituri ta’ servizzi taċ-ċentri tad-data, netwerks ta’ twassil tal-kontenut, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi ta’ sigurtà ġestiti, banek u infrastrutturi tas-swieq finanzjarji. L-Istati Membri għandhom jidentifikaw entitajiet essenzjali u importanti u fornituri ta’ servizzi ta’ reġistrazzjoni ta’ ismijiet ta’ dominju, u ħafna fornituri tat-teknoloġija li qabel kienu jqisu r-regolamentazzjoni taċ-ċibersigurtà bħala kwistjoni tal-klijent issa jew jaqgħu direttament fil-kamp ta’ applikazzjoni jew huma esposti permezz ta’ rekwiżiti kuntrattwali li jiġu mgħoddija lilhom.

NIS2 Article 21 jeħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati fir-rigward tal-analiżi tar-riskju, politiki tas-sigurtà, immaniġġjar tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, akkwist u żvilupp siguri, valutazzjoni tal-effettività tal-kontrolli, iġjene ċibernetika, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi u awtentikazzjoni fejn xieraq. NIS2 Article 23 iżid aspettattivi ta’ rappurtar f’fażijiet għal inċidenti sinifikanti, inklużi twissija bikrija, notifika, aġġornamenti u rapport finali.

DORA, id-Digital Operational Resilience Act, japplika mis-17 ta’ Jannar 2025 u jiffoka fuq entitajiet finanzjarji u l-ekosistema tagħhom tar-riskju tal-ICT. Ikopri l-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti relatati mal-ICT, ir-rappurtar ta’ inċidenti operattivi jew ta’ sigurtà fil-ħlasijiet għal ċerti entitajiet, l-ittestjar tar-reżiljenza operattiva diġitali, il-qsim ta’ informazzjoni dwar theddid ċibernetiku, il-ġestjoni tar-riskju tal-ICT minn partijiet terzi, l-arranġamenti kuntrattwali u s-sorveljanza ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT.

Għal entitajiet finanzjarji li huma wkoll entitajiet essenzjali jew importanti taħt NIS2, DORA jiffunzjona bħala r-reġim speċifiku għas-settur għal obbligi ekwivalenti ta’ ġestjoni tar-riskju tal-ICT u rappurtar tal-inċidenti. Iżda għal fornituri ta’ SaaS, fornituri cloud, MSPs u fornituri MDR li jservu klijenti finanzjarji, ir-realtà prattika hija li l-aspettattivi ta’ DORA jaslu permezz tal-akkwist, il-kuntratti, id-drittijiet ta’ awditjar, l-obbligi ta’ appoġġ għall-inċidenti, l-ippjanar tal-ħruġ, it-trasparenza tas-subkuntratturi u l-evidenza tar-reżiljenza.

Dan ibiddel il-konverżazzjoni dwar l-SoA. Il-mistoqsija m’għadhiex, “L-Anness A fih dan il-kontroll?” Il-mistoqsija aħjar hija:

Nistgħu nippruvaw li l-għażla tal-kontrolli hija bbażata fuq ir-riskju, konxja mill-obbligi, proporzjonata, b’sidien assenjati, implimentata, immonitorjata, sostnuta b’evidenza u approvata?

ISO 27001 huwa t-traduttur universali għal NIS2 u DORA

ISO/IEC 27001:2022 huwa siewi għax huwa standard ta’ sistema ta’ ġestjoni, mhux checklist limitata. Jeħtieġ li l-ISMS jiġi integrat fil-proċessi tal-organizzazzjoni u skalat skont il-ħtiġijiet tagħha. Dan jagħmlu traduttur universali effettiv għal talbiet ta’ konformità li jirkbu fuq xulxin.

Il-klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tifhem il-kuntest tagħha, tidentifika l-partijiet interessati, tiddetermina r-rekwiżiti rilevanti u tiddefinixxi l-kamp ta’ applikazzjoni tal-ISMS. Għal fornitur fintech SaaS bħall-kumpanija ta’ Elena, dawn ir-rekwiżiti tal-partijiet interessati jistgħu jinkludu klijenti tal-UE, klijenti finanzjarji affettwati minn DORA, espożizzjoni settorjali għal NIS2, obbligi ta’ kontrollur u proċessur taħt GDPR, dipendenzi cloud esternalizzati, interfaċċi mal-fornituri u aspettattivi tal-bord.

Il-klawżoli 6.1.1 sa 6.1.3 jeħtieġu ppjanar għar-riskji u l-opportunitajiet, proċess ripetibbli ta’ valutazzjoni tar-riskju tas-sigurtà tal-informazzjoni, proċess ta’ trattament tar-riskju, tqabbil mal-Anness A, u Dikjarazzjoni ta’ Applikabbiltà li tidentifika l-kontrolli inklużi, l-istatus tal-implimentazzjoni u l-ġustifikazzjonijiet tal-esklużjonijiet.

Hawnhekk l-SoA ssir reġistru tad-deċiżjonijiet dwar il-kontrolli. Kontroll jista’ jiġi inkluż għax jittratta riskju, jissodisfa rekwiżit legali, jissodisfa kuntratt tal-klijent, jappoġġa objettiv tan-negozju jew jirrappreżenta iġjene bażika tas-sigurtà. Kontroll jista’ jiġi eskluż biss wara li l-organizzazzjoni tkun evalwatu b’mod konxju, sabitu irrilevanti għall-kamp ta’ applikazzjoni tal-ISMS, iddokumentat ir-raġunament u kisbet approvazzjoni xierqa.

Il-Politika tal-Ġestjoni tar-Riskju għall-intrapriżi ta’ Clarysec Politika tal-Ġestjoni tar-Riskju tiddikjara:

Dikjarazzjoni ta’ Applikabbiltà (SoA) għandha tirrifletti d-deċiżjonijiet kollha ta’ trattament u għandha tiġi aġġornata kull meta tinbidel il-kopertura tal-kontrolli.

Dan ir-rekwiżit, mill-klawżola 5.4 tal-politika fil-Politika tal-Ġestjoni tar-Riskju, huwa kritiku għat-tħejjija għal NIS2 u DORA. Klijent regolat ġdid, dipendenza cloud ġdida, obbligu ġdid ta’ rappurtar ta’ inċidenti, jew riskju ġdid ta’ konċentrazzjoni fuq fornitur kollha jistgħu jibdlu l-applikabbiltà tal-kontrolli.

Ibda mir-reġistru tal-konformità, mhux mil-lista tal-kontrolli

SoA dgħajfa tibda bl-Anness A u tistaqsi, “Liema kontrolli diġà għandna?” SoA b’saħħitha tibda mir-realtà operattiva tal-organizzazzjoni u tistaqsi, “Liema obbligi, servizzi, riskji, data, fornituri u klijenti għandu jindirizza l-ISMS?”

ISO/IEC 27005:2022 jappoġġa dan l-approċċ billi jenfasizza r-rekwiżiti tal-partijiet interessati, il-kriterji tar-riskju u l-ħtieġa li jiġu kkunsidrati standards, regoli interni, liġijiet, regolamenti, kuntratti u kontrolli eżistenti. Jenfasizza wkoll li n-nuqqas ta’ applikabbiltà jew in-nuqqas ta’ konformità għandu jiġi spjegat u ġġustifikat.

Il-Politika dwar il-Konformità Legali u Regolatorja għall-SME ta’ Clarysec Politika dwar il-Konformità Legali u Regolatorja għall-SME taqbad l-istess prinċipju operattiv:

Il-GM għandu jżomm Reġistru tal-Konformità sempliċi u strutturat li jelenka:

Dak ir-rekwiżit ġej mill-klawżola 5.1.1 tal-Politika dwar il-Konformità Legali u Regolatorja għall-SME. Għal organizzazzjoni iżgħar, ir-reġistru jista’ jkun sempliċi. Għal intrapriża, għandu jkun aktar dettaljat. Il-loġika hija l-istess: l-obbligi għandhom ikunu viżibbli qabel ma jkunu jistgħu jiġu mmappjati.

Il-Politika dwar il-Konformità Legali u Regolatorja għall-intrapriżi ta’ Clarysec Politika dwar il-Konformità Legali u Regolatorja hija espliċita:

L-obbligi legali u regolatorji kollha għandhom jiġu mmappjati għal politiki, kontrolli u sidien speċifiċi fi ħdan is-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS).

Din hija l-klawżola 6.2.1 tal-politika fil-Politika dwar il-Konformità Legali u Regolatorja. Hija s-sinsla tal-governanza għall-użu tad-Dikjarazzjoni ta’ Applikabbiltà ISO 27001 għat-tħejjija għall-konformità ma’ NIS2 u DORA.

Ibni kriterji tar-riskju li jirriflettu r-reżiljenza, il-privatezza, il-fornituri u r-regolamentazzjoni

Ħafna ġustifikazzjonijiet tal-SoA ifallu għax il-mudell tal-punteġġjar tar-riskju jkun dejjaq wisq. Ikejjel il-probabbiltà u l-impatt tekniċi, iżda ma jaqbadx l-espożizzjoni regolatorja, il-kritiċità tas-servizz, il-ħsara lill-klijenti, id-dipendenza fuq il-fornituri, l-impatt fuq il-privatezza jew tfixkil operattiv sistemiku.

NIS2 mhijiex biss dwar il-kunfidenzjalità. Tiffoka fuq il-prevenzjoni u t-tnaqqis tal-impatt tal-inċidenti fuq is-servizzi u r-riċevituri tas-servizzi. DORA jiddefinixxi funzjonijiet kritiċi jew importanti skont jekk tfixkil jaffettwax b’mod materjali l-prestazzjoni finanzjarja, il-kontinwità tas-servizz jew il-konformità regolatorja. GDPR iżid responsabbiltà, integrità, kunfidenzjalità, tħejjija għal ksur u ħsara lis-suġġetti tad-data.

Il-Politika tal-Ġestjoni tar-Riskju għall-SME ta’ Clarysec Politika tal-Ġestjoni tar-Riskju għall-SME tagħti minimu prattiku:

Kull entrata tar-riskju għandha tinkludi: deskrizzjoni, probabbiltà, impatt, punteġġ, sid u pjan ta’ trattament.

Din hija l-klawżola 5.1.2 tal-Politika tal-Ġestjoni tar-Riskju għall-SME. Għat-tħejjija għal NIS2 u DORA, Clarysec testendi dak il-minimu għal oqsma bħas-sors tal-obbligu, is-servizz affettwat, il-kategorija ta’ data, id-dipendenza fuq fornitur, is-sid tan-negozju, l-impatt regolatorju, ir-riskju residwu, l-istatus tat-trattament u s-sors tal-evidenza.

Innota l-lingwaġġ. Ġustifikazzjoni b’saħħitha ma tgħidx biss “implimentat”. Tispjega għaliex il-kontroll huwa applikabbli fil-kuntest tan-negozju, tar-regolamentazzjoni u tar-riskju tal-organizzazzjoni.

Immappja d-dominji ta’ NIS2 u DORA mal-kontrolli ISO 27001:2022

Ladarba r-reġistru tal-konformità u l-kriterji tar-riskju jkunu stabbiliti, ix-xogħol prattiku huwa li d-dominji regolatorji jiġu mmappjati mal-kontrolli tal-Anness A. Dan l-immappjar fih innifsu ma jippruvax il-konformità, iżda jagħti lill-awdituri u lill-klijenti indiċi ċar għall-ittestjar tal-evidenza.

Għal Elena, dan l-immappjar biddel il-konverżazzjoni mal-bord. Minflok ippreżentat NIS2 u DORA bħala proġetti separati, setgħet turi l-koinċidenza: governanza, ġestjoni tar-riskju, inċidenti, kontinwità, fornituri, ittestjar, kontroll tal-aċċess u kontrolli kriptografiċi.

It-tliet kontrolli ISO li fuqhom tiddependi kull SoA għal NIS2 u DORA

F’Zenith Controls: The Cross-Compliance Guide Zenith Controls, Clarysec jittratta tliet kontrolli ISO/IEC 27002:2022 bħala ċentrali għall-governanza tal-SoA lesta għall-awditjar għal NIS2 u DORA. Dawn huma kontrolli ISO, imsaħħa b’attributi ta’ cross-compliance fil-gwida Zenith Controls.

Dawn il-kontrolli mhumiex iżolati. Huma marbuta direttament mal-kontrolli tar-relazzjonijiet mal-fornituri A.5.19 sa A.5.23, il-kontrolli tal-ġestjoni tal-inċidenti A.5.24 sa A.5.28, il-kontrolli tal-kontinwità A.5.29 u A.5.30, il-kontroll tal-privatezza A.5.34, il-ġestjoni tal-vulnerabbiltajiet A.8.8, il-ġestjoni tal-konfigurazzjoni A.8.9, il-backup tal-informazzjoni A.8.13, il-logging A.8.15, l-attivitajiet ta’ monitoraġġ A.8.16, il-kontrolli kriptografiċi A.8.24, il-kontrolli ta’ żvilupp sigur A.8.25 sa A.8.29, u l-ġestjoni tat-tibdil A.8.32.

Il-valur ta’ Zenith Controls huwa li jgħin lit-timijiet jevitaw li jittrattaw l-SoA bħala artifact ta’ standard wieħed. Kontroll 5.31 jappoġġa l-immappjar legali u kuntrattwali. Kontroll 5.35 jappoġġa l-awditjar intern, ir-rieżami indipendenti u l-assigurazzjoni tal-maniġment. Kontroll 5.36 jappoġġa l-konformità operattiva ma’ politiki, proċeduri, standards u rekwiżiti tal-kontrolli.

Uża ż-Zenith Blueprint biex tibni, tittestja u tiddefendi l-SoA

F’Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Clarysec ipoġġi l-kostruzzjoni tal-SoA fil-fażi tal-Ġestjoni tar-Riskju, Pass 13: Ippjanar tat-Trattament tar-Riskju u Dikjarazzjoni ta’ Applikabbiltà. Il-Blueprint jagħti struzzjonijiet lill-organizzazzjonijiet biex jużaw il-folja tal-SoA fit-template “Risk Register and SoA Builder.xlsx”, jiddeċiedu jekk kull wieħed mit-93 kontroll tal-Anness A huwiex applikabbli, u jibbażaw id-deċiżjoni fuq it-trattament tar-riskju, ir-rekwiżiti legali u kuntrattwali, ir-rilevanza għall-kamp ta’ applikazzjoni u l-kuntest organizzattiv.

Il-Blueprint jiddikjara:

L-SoA hija effettivament dokument ta’ rabta: torbot il-valutazzjoni/trattament tar-riskju tiegħek mal-kontrolli attwali li għandek.

Dik is-sentenza taqbad il-mudell operattiv. L-SoA torbot l-obbligi, ir-riskji, il-politiki, il-kontrolli, l-evidenza u l-konklużjonijiet tal-awditjar.

Il-Zenith Blueprint jagħti wkoll struzzjonijiet lit-timijiet biex jirreferenzjaw ir-regolamenti fin-noti tal-SoA fejn xieraq. Jekk kontroll ikun implimentat għal GDPR, NIS2 jew DORA, dan għandu jidher fir-reġistru tar-riskji jew fin-noti tal-SoA. Aktar tard, fil-Pass 24, il-Blueprint jgħid lill-organizzazzjonijiet jaġġornaw l-SoA wara l-implimentazzjoni u jivverifikawha b’mod inkroċjat mal-pjan ta’ trattament tar-riskju. Fil-Pass 30, Tħejjija għaċ-Ċertifikazzjoni, Rieżami Finali u Mock Audit, il-Blueprint jiggwida lit-timijiet biex jikkonfermaw li kull kontroll applikabbli tal-Anness A għandu evidenza bħal politika, proċedura, rapport, pjan jew reġistru tal-implimentazzjoni.

Dik is-sekwenza tagħmel lill-SoA strument ħaj ta’ konformità:

1. Il-Pass 13 jibniha mit-trattament tar-riskju u mill-obbligi.
2. Il-Pass 24 jittestjaha kontra r-realtà tal-implimentazzjoni.
3. Il-Pass 30 jiddefendiha permezz ta’ rieżami finali tal-evidenza u mock audit.

Kif tikteb ġustifikazzjonijiet ta’ inklużjoni li l-awdituri jistgħu jsegwu

Kontroll għandu jiġi inkluż meta jkun hemm mill-inqas mutur wieħed difensibbli: trattament tar-riskju, rekwiżit legali, rekwiżit kuntrattwali, rilevanza għall-kamp ta’ applikazzjoni, iġjene bażika tas-sigurtà, aspettattiva ta’ assigurazzjoni għall-klijenti, jew objettiv ta’ reżiljenza approvat mill-maniġment.

Formula utli hija:

Applikabbli għaliex [riskju jew obbligu] jaffettwa [servizz, assi, data jew proċess], u dan il-kontroll jipprovdi [riżultat preventiv, detettiv, korrettiv jew ta’ reżiljenza], sostnut b’evidenza minn [politika, reġistru, test, rapport jew output tas-sistema].

Għal fornitur fintech SaaS, ringiela waħda tal-SoA tista’ tidher hekk:

Din hija lesta għall-awditjar għaliex torbot il-kontroll mal-kuntest, mar-riskju, mal-obbligu, mal-implimentazzjoni, mas-sjieda u mal-evidenza.

Kif tiġġustifika l-esklużjonijiet mingħajr ma toħloq espożizzjoni għall-awditjar

L-esklużjonijiet mhumiex fallimenti. Esklużjonijiet ġġustifikati ħażin huma fallimenti.

ISO/IEC 27001:2022 jeħtieġ li l-SoA tiġġustifika l-kontrolli esklużi tal-Anness A. ISO/IEC 27005:2022 isaħħaħ li n-nuqqas ta’ applikabbiltà għandu jiġi spjegat u ġġustifikat. Il-Politika tas-Sigurtà tal-Informazzjoni għall-intrapriżi ta’ Clarysec tiddikjara:

Il-linja bażi tista’ tiġi adattata; madankollu, l-esklużjonijiet għandhom jiġu dokumentati b’approvazzjoni formali u ġustifikazzjoni fl-SoA.

Din hija l-klawżola 7.2.2 tal-Politika tas-Sigurtà tal-Informazzjoni.

Il-Politika tas-Sigurtà tal-Informazzjoni għall-SME ta’ Clarysec Politika tas-Sigurtà tal-Informazzjoni għall-SME tiddikjara:

Kull devjazzjoni minn din il-politika għandha tiġi dokumentata, u għandha tispjega b’mod ċar għaliex id-devjazzjoni hija meħtieġa, liema miżuri protettivi alternattivi huma fis-seħħ, u d-data definita għar-rievalwazzjoni.

Dak ir-rekwiżit ġej mill-klawżola 7.2.1 fil-Politika tas-Sigurtà tal-Informazzjoni għall-SME.

Għal NIS2 u DORA, l-esklużjonijiet jeħtieġu attenzjoni żejda. Kumpanija SaaS rari għandha teskludi logging, monitoraġġ, backups, ġestjoni tal-inċidenti, kontroll tal-aċċess, sigurtà tal-fornituri jew ġestjoni tal-vulnerabbiltajiet. Anki fejn kontroll ma jkunx marbut ma’ riskju speċifiku wieħed, xorta jista’ jkun meħtieġ bħala sigurtà bażika, assigurazzjoni għall-klijenti, aspettattiva kuntrattwali jew obbligu legali.

Il-Politika tal-Ġestjoni tar-Riskju għall-SME ta’ Clarysec tfakkar ukoll lit-timijiet kif għandu jiġi mmaniġġjat riskju aċċettat:

Aċċetta: Iġġustifika għaliex ma hija meħtieġa ebda azzjoni ulterjuri u rreġistra r-riskju residwu.

Dik il-klawżola, 6.1.1 fil-Politika tal-Ġestjoni tar-Riskju għall-SME, hija eżattament il-mentalità meħtieġa għall-esklużjonijiet u għad-deċiżjonijiet dwar ir-riskju residwu.

Rappurtar tal-inċidenti: ipprova l-fluss tax-xogħol, mhux l-eżistenza tal-politika

NIS2 Article 23 jeħtieġ rappurtar f’fażijiet ta’ inċidenti sinifikanti, inkluż twissija bikrija fi żmien 24 siegħa mill-għarfien, notifika fi żmien 72 siegħa, aġġornamenti fejn mitluba, u rapport finali fi żmien xahar min-notifika ta’ 72 siegħa. DORA jeħtieġ li entitajiet finanzjarji jiskopru, jimmaniġġjaw, jikklassifikaw, jeskalaw, jikkomunikaw u jirrappurtaw inċidenti maġġuri relatati mal-ICT, jinfurmaw lill-klijenti affettwati fejn meħtieġ, iwettqu analiżi tal-kawża ewlenija u jtejbu l-kontrolli.

Fornitur SaaS jista’ mhux dejjem jirrapporta direttament lil awtorità ta’ DORA, iżda jista’ jkollu bżonn jappoġġa l-iskadenzi ta’ rappurtar tal-klijenti finanzjarji. Dan jagħmel il-kontrolli tal-inċidenti rilevanti ħafna fl-SoA.

SoA dgħajfa tgħid: “Teżisti politika ta’ rispons għall-inċidenti.”

SoA b’saħħitha tgħid: “Applikabbli għaliex l-organizzazzjoni għandha tiskopri, tevalwa, tikklassifika, teskala, tikkomunika, tippreserva l-evidenza, tappoġġa skadenzi ta’ rappurtar regolatorju, tinnotifika klijenti affettwati fejn meħtieġ kuntrattwalment, u titgħallem minn inċidenti li jaffettwaw servizzi, data jew klijenti regolati.”

L-evidenza għandha tinkludi:

• Pjan ta’ rispons għall-inċidenti u matriċi ta’ eskalazzjoni.
• Kriterji tal-klassifikazzjoni tas-severità.
• Fluss tax-xogħol għan-notifika tal-klijenti.
• Siġra tad-deċiżjonijiet għan-notifika regolatorja fejn applikabbli.
• Tickets u linji taż-żmien tal-inċidenti.
• Logs u twissijiet tal-monitoraġġ.
• Reġistri ta’ eżerċizzji tabletop.
• Rieżami wara l-inċident u azzjonijiet korrettivi.
• Proċeduri għall-preservazzjoni tal-evidenza.

Il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità għall-intrapriżi ta’ Clarysec Politika tal-Awditjar u l-Monitoraġġ tal-Konformità tispjega għaliex dan huwa importanti:

Biex tiġi ġġenerata evidenza difensibbli u traċċa ta’ awditjar b’appoġġ għal mistoqsijiet regolatorji, proċeduri legali jew talbiet ta’ assigurazzjoni tal-klijenti.

Dak l-objettiv ġej mill-klawżola 3.4 fil-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità.

Għal organizzazzjonijiet iżgħar, iż-żamma tal-evidenza trid tkun ukoll espliċita. Il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità għall-SME ta’ Clarysec Politika tal-Awditjar u l-Monitoraġġ tal-Konformità għall-SME tiddikjara:

L-evidenza għandha tinżamm għal mill-inqas sentejn, jew għal aktar żmien fejn meħtieġ minn ċertifikazzjoni jew ftehimiet tal-klijenti.

Din hija l-klawżola 6.2.4 fil-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità għall-SME.

SoA waħda, diversi konverżazzjonijiet ta’ awditjar

L-aħjar SoA ma tidduplikax oqfsa. Toħloq narrattiva traċċabbli tal-kontrolli li awdituri differenti jistgħu jifhmu.

Awditur tal-ISO 27001 normalment jibda bil-loġika tal-klawżoli: kamp ta’ applikazzjoni, partijiet interessati, valutazzjoni tar-riskju, trattament tar-riskju, SoA, objettivi, awditjar intern, rieżami tal-ġestjoni u titjib. Rieżaminatur orjentat lejn NIS2 jiffoka fuq il-proporzjonalità, ir-responsabbiltà tal-maniġment, it-taħriġ, il-katina tal-provvista, il-linji taż-żmien tal-inċidenti u l-impatt fuq is-servizz. Valutatur tal-klijent orjentat lejn DORA jiffoka fuq ir-riskju tal-ICT, funzjonijiet kritiċi jew importanti, inċidenti maġġuri tal-ICT, ittestjar tar-reżiljenza, klawżoli kuntrattwali, drittijiet ta’ awditjar, pjanijiet tal-ħruġ, subkuntrattar u riskju ta’ konċentrazzjoni. Rieżaminatur tal-privatezza jiffoka fuq ir-responsabbiltà taħt GDPR u t-tħejjija għal ksur. Awditur bi stil COBIT 2019 jew ISACA jittestja l-governanza, il-metriċi, is-sjieda, l-assigurazzjoni u l-azzjoni korrettiva.

Għalhekk l-SoA ma tistax tinżamm biss mit-tim tas-sigurtà. Teħtieġ sjieda legali, tal-privatezza, tal-akkwist, tal-inġinerija, tal-operazzjonijiet, tar-Riżorsi Umani u tal-maniġment eżekuttiv.

Fallimenti komuni tal-SoA fi proġetti ta’ tħejjija għal NIS2 u DORA

Clarysec ripetutament isib l-istess kwistjonijiet fi proġetti ta’ tħejjija:

1. L-SoA timmarka kontrolli bħala applikabbli, iżda ma jiġix irreġistrat l-ebda riskju, obbligu jew raġuni tan-negozju.
2. NIS2 u DORA jissemmew fil-politiki, iżda ma jiġux immappjati mal-kontrolli, mas-sidien jew mal-evidenza.
3. Il-kontrolli tal-fornituri huma mmarkati bħala implimentati, iżda m’hemmx reġistru tal-fornituri, klassifikazzjoni tal-kritiċità, rieżami kuntrattwali jew pjan tal-ħruġ.
4. Jeżistu kontrolli tal-inċidenti, iżda l-proċess ma jappoġġax flussi tax-xogħol ta’ rappurtar ta’ 24 siegħa, 72 siegħa, għall-klijenti jew finali.
5. L-approvazzjoni tal-maniġment hija implikata, iżda m’hemmx reġistru ta’ aċċettazzjoni tar-riskju, approvazzjoni tal-SoA jew deċiżjoni dwar riskju residwu.
6. L-esklużjonijiet jiġu kkupjati minn template u ma jaqblux mal-mudell operattiv attwali cloud, remot, SaaS jew fintech.
7. L-evidenza teżisti f’għodod differenti, iżda l-ebda traċċa ta’ awditjar ma torbot l-evidenza mal-SoA.
8. L-ipproċessar tad-data personali taħt GDPR mhuwiex marbut mal-kontrolli tas-sigurtà, ir-rispons għal ksur, il-kuntratti tal-fornituri jew iż-żamma.
9. L-awditjar intern jiċċekkja d-dokumenti iżda ma jittestjax jekk l-SoA tirriflettix l-implimentazzjoni reali.
10. L-SoA tiġi aġġornata biss qabel iċ-ċertifikazzjoni, mhux wara klijenti ġodda, fornituri, inċidenti, sejbiet tal-awditjar jew bidliet regolatorji.

Dawn mhumiex kwistjonijiet ta’ burokrazija. Huma kwistjonijiet ta’ governanza.

Lista ta’ kontroll prattika għal SoA tal-ISO 27001 lesta għall-awditjar

Uża din il-lista ta’ kontroll qabel awditu taċ-ċertifikazzjoni ISO 27001, rieżami tat-tħejjija għal NIS2, valutazzjoni tal-klijent taħt DORA, laqgħa tal-bord jew proċess ta’ diliġenza dovuta tal-investituri.

Ibdel l-SoA f’pont difensibbli għall-konformità

Il-preżentazzjoni ta’ Elena lill-bord irnexxiet għax ma ppreżentatx tliet proġetti ta’ konformità skonnessi. Ippreżentat mudell operattiv wieħed ikkontrollat u bbażat fuq evidenza, mibni fuq ISO/IEC 27001:2022, bl-SoA bħala l-pont bejn ir-regolamentazzjoni, ir-riskju, l-implimentazzjoni tal-kontrolli, l-evidenza u s-sorveljanza tal-maniġment.

NIS2 u DORA ma jagħmlux lil ISO 27001 skadut. Jagħmlu Dikjarazzjoni ta’ Applikabbiltà ISO 27001 mibnija tajjeb aktar siewja. L-SoA tista’ ssir il-post wieħed fejn l-organizzazzjoni tiegħek tispjega għaliex jeżistu l-kontrolli, għaliex l-esklużjonijiet huma difensibbli, kif tinżamm l-evidenza, kif jiġu governati l-fornituri, kif jiġu eskalati l-inċidenti, u kif il-maniġment ikun jaf li l-ISMS qed jaħdem.

L-azzjoni immedjata tiegħek hija sempliċi:

1. Iftaħ l-SoA attwali tiegħek.
2. Agħżel ħames kontrolli mmarkati bħala applikabbli u staqsi, “Liema riskju, obbligu jew kuntratt jiġġustifika dan?”
3. Agħżel ħames esklużjonijiet u staqsi, “Dan għadu jagħmel sens għal awditur ta’ NIS2, DORA, GDPR jew ISO/IEC 27001:2022?”
4. Iċċekkja jekk kull kontroll applikabbli għandux evidenza attwali.
5. Ikkonferma li l-maniġment approva r-riskji residwi u d-deċiżjonijiet tal-SoA.
6. Aġġorna r-reġistru tal-konformità, ir-reġistru tar-riskji u l-SoA kull meta jinbidlu s-servizzi, il-fornituri, il-klijenti, ir-regolamenti jew l-inċidenti.

Clarysec jgħin lill-organizzazzjonijiet jagħmlu dan permezz ta’ Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, settijiet ta’ politiki għall-intrapriżi u għall-SME, għodod għar-reġistru tar-riskji, templates tal-SoA, tħejjija għall-awditjar u immappjar ta’ cross-compliance għal NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 u assigurazzjoni għall-klijenti.

Jekk l-SoA tiegħek ma tistax twieġeb għaliex, min hu s-sid, liema evidenza tipprovaha, u liema obbligu tappoġġa, għadha mhijiex lesta. Uża Clarysec biex tibdilha f’pont ta’ konformità lest għall-awditjar qabel ma regolatur, awditur jew klijent jistaqsi l-istess mistoqsijiet l-ewwel.