Immappjar ta’ NIS2 2024/2690 għal ISO 27001 għall-fornituri ta’ servizzi cloud

Fit-08:17 ta’ nhar ta’ Tlieta, Maria, CISO ta’ fornitur Ewropew ta’ servizzi ġestiti, tirċievi t-twissija li kull MSP jibża’ minnha. Kont privileġġjat għall-ġestjoni remota qajjem twissijiet ta’ impossible travel. Żewġ tenants ta’ klijenti qed juru azzjonijiet amministrattivi anormali. Is-SOC diġà fetaħ sejħa ta’ koordinazzjoni għal inċident kritiku.

Sad-09:00, il-CEO jingħaqad mas-sejħa. Il-mistoqsijiet jinbidlu minnufih.

Aħna fil-kamp ta’ applikazzjoni ta’ NIS2? Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/2690 japplika għalina? Għandna bżonn noħorġu twissija bikrija fi żmien 24 siegħa? Liema klijenti għandhom jiġu nnotifikati? Nistgħu nippruvaw li MFA, logging, segmentazzjoni, ġestjoni tal-vulnerabbiltajiet, kontrolli tal-fornituri u eskalazzjoni tal-inċidenti kienu qed joperaw qabel l-inċident?

Il-kumpanija ta’ Maria hija ċċertifikata ISO/IEC 27001:2022. Tipprovdi ġestjoni tal-cloud, servizzi ta’ ċentru tad-data u appoġġ tas-sigurtà ġestit lil klijenti li jinkludu fornitur tal-loġistika u bank reġjonali. Iċ-ċertifikat huwa importanti, iżda waħdu ma jweġibx il-mistoqsijiet operattivi. It-tim legali għandu proċess ta’ notifika f’abbozz. Il-Maniġer tal-Konformità għandu spreadsheet. L-awditur talab id-Dikjarazzjoni ta’ Applikabbiltà, ittestjar tar-rispons għall-inċidenti, logs tal-aċċess privileġġjat, diliġenza dovuta tal-fornituri, evidenza tar-responsabbiltà kondiviża fil-cloud u suppożizzjonijiet dwar il-kontinwità tan-negozju.

Dan huwa l-mument meta NIS2 ma jibqax test legali u jsir problema ta’ kontroll operattiv.

Għall-fornituri ta’ servizzi cloud computing, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi tas-sigurtà ġestiti u fornituri ta’ ċentri tad-data, NIS2 u r-Regolament ta’ Implimentazzjoni 2024/2690 jgħollu l-livell minn intenzjoni ġenerali ta’ sigurtà għal evidenza ta’ kontroll li tista’ tiġi spezzjonata. Il-governanza, il-ġestjoni tar-riskju, il-kontroll tal-aċċess, il-ġestjoni tal-assi, il-ġestjoni tal-vulnerabbiltajiet, ir-rispons għall-inċidenti, is-sigurtà tal-fornituri, il-logging, il-monitoraġġ, l-iċċifrar, il-kontinwità tan-negozju u r-reżiljenza fiżika għandhom joperaw bħala sistema waħda.

ISO/IEC 27001:2022 hija l-aħjar sinsla għal dik is-sistema, iżda biss jekk l-organizzazzjoni timmappja r-rekwiżiti NIS2 fl-ISMS, fir-Reġistru tar-Riskji, fid-Dikjarazzjoni ta’ Applikabbiltà, fil-politiki u fil-mudell tal-evidenza. Ċertifikat fuq il-ħajt mhuwiex biżżejjed. Ix-xogħol reali huwa li tinbena katina li tista’ tiġi awditjata: mir-regolament għar-riskju, mir-riskju għall-kontroll, mill-kontroll għall-politika, u mill-politika għall-evidenza operattiva.

Għaliex NIS2 2024/2690 ibiddel id-diskors dwar il-konformità għall-cloud u l-MSPs

NIS2 juża mudell ibbażat fuq is-settur u d-daqs, iżda l-kategoriji tiegħu għall-infrastruttura diġitali u l-ġestjoni tas-servizzi tal-ICT huma intenzjonalment wiesgħa. Skont Artikolu 2 u Artikolu 3 ta’ NIS2, moqrija flimkien ma’ Anness I u Anness II, ħafna organizzazzjonijiet jistgħu jiġu kklassifikati bħala entitajiet essenzjali jew importanti, inklużi fornituri ta’ servizzi cloud computing, fornituri ta’ servizzi ta’ ċentri tad-data, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi tas-sigurtà ġestiti, fornituri DNS, reġistri TLD, networks għall-kunsinna tal-kontenut u fornituri ta’ servizzi ta’ fiduċja. L-Istati Membri għandhom jistabbilixxu u jirrieżaminaw perjodikament listi ta’ entitajiet essenzjali u importanti, bl-ewwel skadenza tal-lista stabbilita għas-17 ta’ April 2025.

Dan huwa importanti għax il-fornituri tal-cloud, MSPs, MSSPs u ċentri tad-data jinsabu fil-ktajjen tar-riskju ta’ organizzazzjonijiet oħra. Kompromess fil-control plane tal-cloud jista’ jaffettwa eluf ta’ sistemi tal-klijenti. Qtugħ f’ċentru tad-data jista’ jinxtered lejn il-banek, il-kura tas-saħħa, il-loġistika u l-amministrazzjoni pubblika. Ksur tal-kredenzjali ta’ MSP jista’ jsir avveniment ransomware b’ħafna klijenti. Falliment ta’ skoperta minn MSSP jista’ jdewwem it-trażżin fost klijenti regolati.

Artikolu 20 ta’ NIS2 jeħtieġ li l-korpi ta’ tmexxija japprovaw miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà u jeżerċitaw sorveljanza fuq l-implimentazzjoni. Artikolu 21 jeħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati bbażati fuq approċċ kontra kull periklu. Il-linja bażi tinkludi analiżi tar-riskju, ġestjoni tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, akkwist u żvilupp siguri, ġestjoni u żvelar tal-vulnerabbiltajiet, evalwazzjoni tal-effettività, iġjene ċibernetika, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi, MFA jew awtentikazzjoni kontinwa, komunikazzjonijiet siguri u komunikazzjonijiet ta’ emerġenza.

Artikolu 23 iżid rappurtar f’fażijiet ta’ inċidenti sinifikanti, inkluża twissija bikrija fi żmien 24 siegħa, notifika tal-inċident fi żmien 72 siegħa, rapporti intermedji meta jintalbu u rapport finali fi żmien xahar min-notifika jew wara l-ġestjoni tal-inċident meta l-inċident ikun għadu għaddej.

Ir-Regolament ta’ Implimentazzjoni 2024/2690 jagħmel dawn l-aspettattivi aktar konkreti għall-fornituri diġitali rilevanti. Fil-prattika, l-awtoritajiet, il-klijenti u l-awdituri mhux se jistaqsu biss jekk jeżistux politiki. Se jistaqsu jekk il-kontrolli humiex immappjati, għandhomx sid, humiex ittestjati u humiex appoġġati b’evidenza.

ISO/IEC 27001:2022 ibiddel NIS2 f’kuntest operattiv tal-ISMS

Żball komuni fit-tħejjija għal NIS2 huwa li wieħed jibda b’lista ta’ kontroll estensiva u jqassam kompiti bejn IT, legali, SOC, infrastruttura, ġestjoni tal-fornituri u konformità. Dan jista’ joħloq attività, iżda spiss ifalli waqt awditu għax ħadd ma jkun jista’ juri għaliex intgħażlu l-kontrolli, kif jirrelataw mar-riskju, min aċċetta r-riskju residwu u liema evidenza turi l-effettività.

ISO/IEC 27001:2022 tagħti lill-fornituri l-istruttura biex jevitaw dan il-falliment.

Il-klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tiddetermina kwistjonijiet interni u esterni, tidentifika l-partijiet interessati u r-rekwiżiti tagħhom, tiddeċiedi liema rekwiżiti se jiġu indirizzati permezz tal-ISMS u tiddefinixxi l-kamp ta’ applikazzjoni tal-ISMS, inklużi l-interfaċċi u d-dipendenzi. Għal fornitur tal-cloud jew MSP, il-kamp ta’ applikazzjoni għandu jikkunsidra b’mod espliċitu NIS2, ir-Regolament ta’ Implimentazzjoni 2024/2690, skedi tas-sigurtà tal-klijenti, rekwiżiti tal-klijenti mmexxija minn DORA, reġjuni tal-cloud, subkuntratturi, dipendenzi fuq ċentri tad-data, pjattaformi ta’ ġestjoni remota, mogħdijiet ta’ aċċess privileġġjat u obbligi ta’ notifika tal-inċidenti.

Il-klawżoli 5.1 sa 5.3 jeħtieġu tmexxija, allinjament tal-politika, riżorsi, komunikazzjoni, responsabbiltajiet assenjati u responsabbiltà tal-maniġment. Dan jappoġġa direttament Artikolu 20 ta’ NIS2.

Il-klawżoli 6.1.1 sa 6.1.3 jeħtieġu valutazzjoni tar-riskju, trattament tar-riskju, sidien tar-riskju, analiżi tal-probabbiltà u tal-konsegwenzi, għażla ta’ kontrolli, tqabbil ma’ Anness A, Dikjarazzjoni ta’ Applikabbiltà, Pjan ta’ Trattament tar-Riskju u aċċettazzjoni formali tar-riskju residwu. Hawnhekk NIS2 isir operattiv. Kull rekwiżit regolatorju jsir xprun tar-riskju, obbligu ta’ konformità, rekwiżit ta’ kontroll jew rekwiżit ta’ evidenza.

Clarysec tibda dan ix-xogħol b’Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, speċjalment il-fażi tal-ġestjoni tar-riskju.

Minn Pass 13, Ippjanar tat-Trattament tar-Riskju u Dikjarazzjoni ta’ Applikabbiltà, Zenith Blueprint jiggwida lit-timijiet biex jibnu traċċabbiltà bejn ir-riskji, il-kontrolli u x-xpruni regolatorji:

“Irreferi b’mod inkroċjat għar-regolamenti: jekk ċerti kontrolli jiġu implimentati speċifikament biex tinkiseb konformità ma’ GDPR, NIS2 jew DORA, tista’ tinnota dan jew fir-Reġistru tar-Riskji jew fin-noti tas-SoA. Pereżempju, il-kontroll 8.27 (tħassir sigur tad-data) jista’ jkun rilevanti ħafna għar-rekwiżit ta’ GDPR biex tintrema data personali; tista’ tinnota ‘Applikabbli – jappoġġa GDPR Art.32 (sigurtà tal-ipproċessar)’. Dan mhuwiex meħtieġ minn ISO, iżda jgħin juri li kkunsidrajt dawk l-oqfsa.”

Pass 14, Politiki tat-Trattament tar-Riskju u Referenzi Regolatorji Inkroċjati, iżid id-dixxiplina prattika tal-immappjar:

“Għal kull regolament, fejn applikabbli, tista’ toħloq tabella sempliċi ta’ immappjar li telenka r-rekwiżiti ewlenin tas-sigurtà tar-regolament u l-kontrolli/il-politiki korrispondenti fl-ISMS tiegħek. Dan mhux obbligatorju f’ISO 27001, iżda huwa eżerċizzju intern utli biex jiżgura li xejn ma jaqa’ bejn is-siġġijiet.”

Din hija d-differenza bejn li tgħid “aħna ċċertifikati ISO” u li tipprova “l-ISMS tagħna ISO/IEC 27001:2022 jindirizza r-Regolament ta’ Implimentazzjoni NIS2 2024/2690.”

Mappa unifikata tal-kontrolli minn NIS2 għal ISO/IEC 27001:2022

L-immappjar li ġej mhuwiex parir legali u lanqas sostitut għal analiżi tat-traspożizzjoni nazzjonali. Huwa arkitettura prattika ta’ kontrolli għal fornituri li jeħtieġu rotta ISO/IEC 27001:2022 lejn tħejjija għal NIS2 li tista’ tiġi awditjata.

Dan l-immappjar isir b’saħħtu meta jiġi inkorporat fir-Reġistru tar-Riskji u fid-Dikjarazzjoni ta’ Applikabbiltà. Pereżempju, fornitur jista’ joħloq xenarju ta’ riskju msejjaħ “Kompromess ta’ pjattaforma ta’ ġestjoni remota jwassal għal azzjonijiet mhux awtorizzati fl-ambjenti tal-klijenti.” Il-kontrolli jinkludu MFA, Ġestjoni tal-Aċċess Privileġġjat, segmentazzjoni, logging, ġestjoni tal-vulnerabbiltajiet, sigurtà tal-fornituri, ippjanar tal-inċidenti u proċeduri ta’ notifika lill-klijenti. In-noti tas-SoA jistgħu jirreferu għal Artikolu 21 u Artikolu 23 ta’ NIS2, ir-Regolament ta’ Implimentazzjoni 2024/2690, kuntratti tal-klijenti u rekwiżiti tad-diliġenza dovuta tal-klijenti DORA fejn rilevanti.

Governanza tal-cloud: il-kontroll ISO 5.23 huwa ankra għal NIS2

Għall-fornituri tal-cloud u l-MSPs li jużaw servizzi cloud biex iwasslu servizzi lill-klijenti, il-kontroll 5.23 ta’ Anness A ta’ ISO/IEC 27001:2022, Sigurtà tal-informazzjoni għall-użu tas-servizzi cloud, huwa wieħed mill-aktar ankri importanti.

Zenith Controls: The Cross-Compliance Guide Zenith Controls jiġbor fil-qosor il-kontroll 5.23 bħala kontroll preventiv li jappoġġa l-kunfidenzjalità, l-integrità u d-disponibbiltà, marbut mas-sigurtà tar-relazzjoni mal-fornituri, il-governanza, ir-riskju tal-ekosistema u l-protezzjoni. Ikopri l-governanza tas-servizzi cloud, ir-responsabbiltà kondiviża, l-evalwazzjoni tal-fornitur, inventarji, il-post tad-data, logging, iċċifrar, rwoli tal-identità, monitoraġġ, klawżoli kuntrattwali, riskju tal-fornitur, ħruġ mill-cloud u ppjanar tar-reżiljenza.

Zenith Blueprint, fil-fażi Controls in Action, Pass 23, jispjega r-raġuni prattika:

“Il-cloud m’għadux destinazzjoni; huwa l-għażla predefinita. Il-kontroll 5.23 jirrikonoxxi din ir-realtà u jeħtieġ li s-sigurtà tal-informazzjoni tiġi indirizzata b’mod espliċitu fl-għażla, fl-użu u fil-ġestjoni tas-servizzi cloud, mhux bħala ħsieb wara l-fatt, iżda bħala prinċipju ta’ disinn mill-bidu nett.”

Għal MSP, kull pjattaforma ta’ monitoraġġ u ġestjoni remota, portal tal-klijenti, sistema ta’ ticketing, pjattaforma tat-telemetrija tas-sigurtà, servizz tal-backup, direttorju cloud u console amministrattiva SaaS għandhom ikunu taħt governanza. Għal fornitur ta’ ċentru tad-data, il-governanza tal-cloud tista’ tapplika għal pjattaformi ta’ monitoraġġ, sistemi ta’ ġestjoni tal-viżitaturi, integrazzjonijiet tal-kontroll tal-aċċess fiżiku, sistemi ta’ ġestjoni remota u infrastruttura tal-portal tal-klijenti.

Il-Cloud Usage Policy Cloud Usage Policy Enterprise ta’ Clarysec tagħmel id-diliġenza dovuta qabel l-attivazzjoni obbligatorja:

“Kull użu tal-cloud għandu jgħaddi minn diliġenza dovuta bbażata fuq ir-riskju qabel l-attivazzjoni, inklużi evalwazzjoni tal-fornitur, validazzjoni tal-konformità legali u rieżamijiet tal-verifika tal-kontrolli.”

Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.2.

Għal fornituri iżgħar, il-Cloud Usage Policy-sme Cloud Usage Policy-sme - SME toħloq mudell ħafif ta’ approvazzjoni:

“Kull użu tas-servizzi cloud għandu jiġi rieżaminat u approvat mill-Maniġer Ġenerali (GM) qabel l-implimentazzjoni jew is-sottoskrizzjoni.”

Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.1.

Iż-żewġ approċċi jappoġġaw l-istess aspettattiva NIS2: ir-riskju tad-dipendenza fuq il-cloud għandu jinftiehem qabel is-servizz isir parti mill-katina tat-twassil.

Rispons għall-inċidenti: l-arloġġ ta’ 24 siegħa jibda qabel ma jitfassal ir-rapport

Artikolu 23 ta’ NIS2 huwa strett għaliex il-linja taż-żmien tar-rappurtar tibda mill-għarfien ta’ inċident sinifikanti, mhux mill-mument meta tkun disponibbli analiżi perfetta tal-kawża ewlenija. L-isfida għall-fornituri hija li jiddeterminaw malajr jekk avveniment huwiex sinifikanti, liema klijenti huma affettwati, jekk hemmx data personali involuta, jekk jeżistix impatt transkonfinali fuq is-servizz u liema skadenzi kuntrattwali bdew.

Il-kontroll 5.24 ta’ Anness A ta’ ISO/IEC 27001:2022, Ippjanar u tħejjija għall-ġestjoni tal-inċidenti tas-sigurtà tal-informazzjoni, huwa l-kontroll tal-ippjanar. Zenith Controls jiġbru fil-qosor bħala kontroll korrettiv li jappoġġa l-kunfidenzjalità, l-integrità u d-disponibbiltà, marbut mal-kunċetti ta’ Respond u Recover, governanza, ġestjoni tal-avvenimenti u difiża. Jinkludi rwoli, responsabbiltajiet, mogħdijiet ta’ eskalazzjoni, protokolli ta’ komunikazzjoni, tħejjija għan-notifiki regolatorji, allinjament mal-logging u l-monitoraġġ, integrazzjoni mal-kontinwità tan-negozju u l-irkupru minn diżastru, tagħlim wara l-inċident u immappjar ma’ NIS2, GDPR, DORA, ISO 22301, NIST CSF, NIST SP 800-53 u COBIT 2019.

Il-Incident Response Policy-sme Incident Response Policy-sme - SME ta’ Clarysec tibdel l-ewwel deċiżjoni f’rekwiżit marbut biż-żmien:

“Il-Maniġer Ġenerali, b’kontribut mill-fornitur tal-IT, għandu jikklassifika l-inċidenti kollha skont is-severità fi żmien siegħa min-notifika.”

Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.3.1.

Dik il-klassifikazzjoni fi żmien siegħa tappoġġa d-dixxiplina operattiva meħtieġa għall-analiżi tat-twissija bikrija ta’ 24 siegħa taħt NIS2, l-evalwazzjoni tal-ksur ta’ data personali taħt GDPR, l-eskalazzjoni lill-klijent taħt DORA u t-trijaġġ tan-notifiki kuntrattwali.

Is-siġra tad-deċiżjonijiet għall-inċidenti ta’ fornitur għandha twieġeb erba’ mistoqsijiet:

1. Hemm kompromess ikkonfermat jew suspettat tal-kunfidenzjalità, l-integrità jew id-disponibbiltà?
2. L-avveniment jaffettwa t-twassil tas-servizz, l-ambjenti tal-klijenti, klijenti regolati, data personali jew funzjonijiet kritiċi?
3. Jista’ jikkawża tfixkil operattiv sever, telf finanzjarju jew dannu materjali jew mhux materjali?
4. Liema obbligi ta’ notifika japplikaw: NIS2, GDPR, obbligi tal-klijenti taħt DORA, SLAs kuntrattwali jew aspettattivi tar-regolaturi nazzjonali?

Is-siġra tad-deċiżjonijiet għandha tiġi ttestjata f’eżerċizzji tabletop qabel inċident reali.

Ġestjoni tal-vulnerabbiltajiet: ipprova t-tnaqqis tar-riskju qabel l-impatt

NIS2 jeħtieġ ġestjoni u żvelar tal-vulnerabbiltajiet. Għall-klijenti u r-regolaturi, il-ġestjoni tal-vulnerabbiltajiet hija waħda mill-oqsma ta’ kontroll l-aktar faċli biex jitkejlu, għaliex tipproduċi evidenza ċara: kopertura tal-iskannjar, linji taż-żmien tal-patches, approvazzjonijiet tal-eċċezzjonijiet, analiżi tal-vulnerabbiltajiet sfruttati u reġistri tar-rimedjazzjoni.

Il-kontroll 8.8 ta’ Anness A ta’ ISO/IEC 27001:2022, Ġestjoni ta’ vulnerabbiltajiet tekniċi, huwa miġbur fil-qosor f’Zenith Controls bħala kontroll preventiv fuq il-kunfidenzjalità, l-integrità u d-disponibbiltà, marbut ma’ Identify u Protect, ġestjoni tat-theddid u tal-vulnerabbiltajiet, governanza, ekosistema, protezzjoni u difiża. Jinkludi identifikazzjoni, evalwazzjoni, prijoritizzazzjoni tal-vulnerabbiltajiet, applikazzjoni ta’ patches, kontrolli kumpensatorji, integrazzjoni ta’ intelligence dwar it-theddid, żvelar tal-vulnerabbiltajiet, responsabbiltajiet dwar vulnerabbiltajiet tal-cloud u tal-applikazzjonijiet, evidenza tal-awditu u linji taż-żmien tar-rimedjazzjoni.

Il-Vulnerability and Patch Management Policy Vulnerability and Patch Management Policy Enterprise ta’ Clarysec tagħti lill-awdituri mudell konkret biex jittestjaw:

“L-organizzazzjoni għandha tikklassifika l-vulnerabbiltajiet kollha misjuba permezz ta’ metodoloġija standardizzata (eż., CVSS v3.x) u tapplika linji taż-żmien tar-rimedjazzjoni allinjati mal-kritiċità għan-negozju: 5.2.1 Kritika (CVSS 9.0-10.0): rieżami immedjat; skadenza għall-applikazzjoni tal-patch ta’ massimu 72 siegħa. 5.2.2 Għolja (7.0-8.9): rispons fi żmien 48 siegħa; skadenza għall-applikazzjoni tal-patch ta’ 7 ijiem kalendarji. 5.2.3 Medja (4.0-6.9): rispons fi żmien 5 ijiem; skadenza għall-applikazzjoni tal-patch ta’ 30 jum kalendarju. 5.2.4 Baxxa (<4.0): rispons fi żmien 10 ijiem; skadenza għall-applikazzjoni tal-patch ta’ 60 jum kalendarju.”

Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.2.

Għal fornitur tal-cloud, dan għandu jkopri komponenti tal-hypervisor, immaġnijiet tal-containers, saffi ta’ orkestrazzjoni, interfaces tal-ipprogrammar tal-applikazzjonijiet aċċessibbli għall-klijenti, pipelines ta’ CI/CD, consoles amministrattivi u libreriji ta’ partijiet terzi. Għal MSP, il-mistoqsija ewlenija hija jekk il-vulnerabbiltajiet interni humiex separati minn vulnerabbiltajiet ġestiti mill-klijenti u jekk il-kuntratti jiddefinixxux ir-responsabbiltà. Għal fornitur ta’ ċentru tad-data, il-kamp ta’ applikazzjoni jista’ jinkludi sistemi ta’ ġestjoni tal-bini, sistemi tal-kontroll tal-aċċess, pjattaformi ta’ monitoraġġ, għodod ta’ remote hands u infrastruttura tan-network.

Il-mudell tar-responsabbiltà kondiviża għandu jiġi dokumentat. Fornitur jista’ ma jkunx is-sid ta’ kull patch, iżda xorta għandu jimmaniġġja r-riskju, jinnotifika lill-klijent fejn xieraq u jipprova li l-konfini tar-responsabbiltà huma mifhuma.

Logging, monitoraġġ u segmentazzjoni jagħmlu l-inċidenti investigabbli

Meta inċident ta’ fornitur jibda jaffettwa lill-klijenti, l-ewwel mistoqsijiet dwar l-evidenza huma sempliċi: min illoggja, minn fejn, b’liema privileġġ, lejn liema tenant, x’inbidel, liema logs jeżistu u jekk il-mogħdijiet amministrattivi kinux segmentati.

Il-Logging and Monitoring Policy Logging and Monitoring Policy Enterprise ta’ Clarysec teħtieġ li s-sistemi koperti jiġġeneraw il-logs li r-rispondenti u l-awdituri jeħtieġu:

“Is-sistemi koperti kollha għandhom jiġġeneraw logs li jaqbdu: 6.1.1.1 Awtentikazzjoni tal-utent u tentattivi ta’ aċċess 6.1.1.2 Attivitajiet ta’ utenti privileġġjati 6.1.1.3 Bidliet fil-konfigurazzjoni 6.1.1.4 Tentattivi ta’ aċċess falluti jew avvenimenti tas-sistema 6.1.1.5 Skoperti ta’ malware u allerti tas-sigurtà 6.1.1.6 Komunikazzjonijiet esterni u attivaturi tar-regoli tal-firewall”

Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.

Għal SMEs li jiddependu fuq fornituri esterni, il-Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme - SME iżżid rekwiżit kuntrattwali:

“Il-kuntratti għandhom jeħtieġu li l-fornituri jżommu logs għal mill-inqas 12-il xahar u jipprovdu aċċess fuq talba.”

Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.5.1.3.

Is-segmentazzjoni hija importanti bl-istess mod. Il-Network Security Policy-sme Network Security Policy-sme - SME tgħid:

“In-networks interni għandhom jiġu segmentati skont il-funzjoni (eż., finanzi, mistiedna, IoT, sistemi amministrattivi).”

Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.2.1.

Zenith Blueprint, fil-fażi Controls in Action, Pass 20, jagħti l-proċedura prattika ta’ awditjar għall-arkitettura tan-network u s-segmentazzjoni. Jiggwida lit-timijiet biex jirrieżaminaw u jiddokumentaw it-tqassim tan-network, jivverifikaw regoli tal-firewall, konfigurazzjonijiet IPS/IDS u ta’ aċċess remot, jikkonfermaw li l-gruppi tas-sigurtà tal-cloud u r-regoli VPC jew tas-sotto-network jaqblu mal-arkitettura maħsuba, jelenkaw is-servizzi tan-network interni u esterni u jivverifikaw li sistemi sensittivi mhumiex aċċessibbli minn VLANs ġenerali tal-utenti jew networks tal-mistiedna.

Għal MSP, l-għodod ta’ ġestjoni remota m’għandhomx ikunu fuq network tal-uffiċċju ċatt. Għal fornitur ta’ ċentru tad-data, l-interfaces ta’ ġestjoni għall-enerġija, it-tkessiħ, il-kontroll tal-aċċess u s-servizzi tan-network tal-klijenti għandhom ikunu iżolati u mmonitorjati. Għal fornitur tal-cloud, l-aċċess għall-control plane għandu jkun ristrett permezz tal-identità, in-network, il-pożizzjoni tas-sigurtà tal-apparat u kontrolli tal-flussi tax-xogħol privileġġjati.

Sigurtà tal-fornituri: il-fornitur huwa wkoll klijent

Fornituri tal-cloud, MSPs, MSSPs u ċentri tad-data huma fornituri għal klijenti regolati, iżda huma wkoll klijenti ta’ bejjiegħa tas-software, operaturi tat-telekomunikazzjoni, fornituri tal-identità, pjattaformi SaaS, fornituri tal-hardware, subkuntratturi u operaturi tal-infrastruttura.

NIS2 tagħmel is-sigurtà tal-katina tal-provvista rekwiżit ewlieni. DORA, li japplika mis-17 ta’ Jannar 2025, jagħmel il-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT ċentrali għall-entitajiet finanzjarji. Artikolu 4 u Premessa 28 ta’ NIS2 jirrikonoxxu DORA bħala l-att legali tal-Unjoni speċifiku għas-settur għall-entitajiet finanzjarji fejn ir-rekwiżiti jikkoinċidu. Dan ma jneħħix il-pressjoni minn fuq il-fornituri tal-cloud u MSPs. Iżidha, għax il-klijenti finanzjarji jdaħħlu rekwiżiti kuntrattwali ta’ livell DORA, drittijiet ta’ awditu, ittestjar tar-reżiljenza, strateġiji ta’ ħruġ u aspettattivi ta’ rappurtar tal-inċidenti fil-kuntratti tal-fornituri.

Il-Third party and supplier security policy Third party and supplier security policy Enterprise ta’ Clarysec teħtieġ aċċess ikkontrollat minn partijiet terzi:

“Kull aċċess minn partijiet terzi għandu jiġi lloggjat u mmonitorjat u, fejn fattibbli, segmentat permezz ta’ hosts ta’ bastjun, VPNs jew gateways Zero Trust.”

Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.3.2.

Il-Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy-sme - SME tesprimi l-prinċipju tal-inqas privileġġ b’mod dirett:

“Il-fornituri għandhom jingħataw aċċess biss għas-sistemi u d-data minimi meħtieġa biex iwettqu l-funzjoni tagħhom.”

Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.2.1.

Dawn il-klawżoli jimmappjaw b’mod naturali mal-kontrolli 5.19, 5.20, 5.21 u 5.22 ta’ Anness A ta’ ISO/IEC 27001:2022. Jappoġġaw ukoll il-governanza tal-proċessuri u subprocessors taħt GDPR, rieżamijiet tar-riskju ta’ partijiet terzi taħt DORA u kwestjonarji tal-awditu tal-klijenti.

Kontinwità tan-negozju u reżiljenza taċ-ċentri tad-data: ipprova s-suppożizzjonijiet

Artikolu 21 ta’ NIS2 jinkludi kontinwità tan-negozju, ġestjoni tal-backup, irkupru minn diżastru u ġestjoni tal-kriżijiet. Artikoli 11 sa 14 ta’ DORA jeħtieġu politiki tal-kontinwità tan-negozju tal-ICT, pjanijiet ta’ rispons u rkupru, Business Impact Analysis, politiki tal-backup, proċeduri ta’ restawr, objettivi ta’ rkupru, ittestjar, rieżamijiet wara l-inċident u komunikazzjonijiet ta’ kriżi għall-entitajiet finanzjarji.

Għall-fornituri tal-cloud u ċentri tad-data, il-kontinwità mhijiex binder. Hija arkitettura, kapaċità, kuntratti, dipendenzi, evidenza tar-restawr u suppożizzjonijiet ittestjati.

Il-Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy Enterprise ta’ Clarysec teħtieġ BIA annwali u rieżami wara bidliet sinifikanti:

“Business Impact Analysis (BIA) għandha ssir mill-inqas darba fis-sena għall-unitajiet tan-negozju kritiċi kollha u tiġi rieżaminata meta jsiru bidliet sinifikanti fis-sistemi, fil-proċessi jew fid-dipendenzi. L-output tal-BIA għandu jiddefinixxi: 5.2.1. Maximum Tolerable Downtime (MTD) 5.2.2. Recovery Time Objectives (RTOs) 5.2.3. Recovery Point Objectives (RPOs) 5.2.4. Dipendenzi kritiċi (sistemi, fornituri, persunal)”

Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.2.

F’xenarju ta’ ċentru tad-data, il-BIA għandha tkopri feeds tal-enerġija, UPS, ġeneraturi, kuntratti tal-fjuwil, tkessiħ, soppressjoni tan-nar, trasportaturi tan-network, sistemi tal-aċċess fiżiku, remote hands, monitoraġġ, hardware żejjed u kanali ta’ komunikazzjoni mal-klijenti. F’xenarju cloud, għandha tkopri reġjuni, availability zones, replikazzjoni, immutabbiltà tal-backup, dipendenzi tal-identità, DNS, Certificate Authorities, gateways API u sistemi ta’ appoġġ. F’xenarju MSP, għandha tkopri għodod ta’ ġestjoni remota, vaults tal-aċċess privileġġjat, consoles EDR, ticketing, repożitorji tad-dokumentazzjoni u komunikazzjonijiet ta’ emerġenza.

ISO 22301 tista’ ssaħħaħ id-dixxiplina tal-Ġestjoni tal-Kontinwità tan-Negozju, filwaqt li ISO/IEC 27005:2022 tappoġġa kriterji tar-riskju, ippjanar tat-trattament, monitoraġġ, evidenza u titjib kontinwu. Dan huwa utli għaliex it-tħejjija għal NIS2 teħtieġ li l-organizzazzjoni tikkonsolida fatturi legali, kuntrattwali, operattivi, ta’ fornituri, teknoloġiċi, finanzjarji, ta’ proċess u umani fi proċess wieħed tar-riskju.

Traċċa prattika tar-riskju għal ksur tal-aċċess remot ta’ MSP

Workshop prattiku jista’ jibda b’xenarju wieħed:

“Kompromess ta’ aċċess remot privileġġjat jirriżulta f’aċċess mhux awtorizzat għal sistemi tal-klijenti, tfixkil tas-servizz, espożizzjoni possibbli ta’ data personali u obbligi ta’ notifika regolatorja.”

Oħloq ringiela fir-Reġistru tar-Riskji u kompli t-traċċa.

Imbagħad aġġorna d-Dikjarazzjoni ta’ Applikabbiltà. Għal kull kontroll rilevanti ta’ Anness A, spjega għaliex japplika u liema tema NIS2 jappoġġa. Fl-aħħar, iġbor l-evidenza qabel awditu: rapporti tal-infurzar tal-MFA, listi ta’ kontijiet privileġġjati, settings taż-żamma tal-logs, status tal-patches RMM, twissijiet SIEM, reġistri tal-klassifikazzjoni tal-inċidenti, approvazzjonijiet tal-aċċess tal-fornituri u riżultati tat-tabletop.

Kif awdituri differenti jittestjaw l-istess ambjent ta’ kontroll

ISMS integrat għandu jissodisfa perspettivi differenti ta’ assigurazzjoni mingħajr ma joħloq pakketti separati ta’ evidenza għal kull qafas.

Hawnhekk Zenith Controls jgħin bħala gwida ta’ konformità inkroċjata. Għal kontrolli bħal 5.23, 5.24 u 8.8, jgħaqqad l-aspettattivi tal-kontrolli ISO/IEC 27001:2022 ma’ temi NIS2, GDPR, DORA, NIST SP 800-53, COBIT 2019, NIST CSF u ISO 22301. L-għan mhuwiex li jinħolqu programmi separati ta’ konformità. L-għan huwa arkitettura waħda tal-evidenza ttikkettata skont il-kontroll, ir-riskju, ix-xprun regolatorju u s-sid.

Il-mudell ta’ implimentazzjoni ta’ Clarysec

Għall-fornituri tal-cloud, MSPs, MSSPs u ċentri tad-data, ix-xogħol għandu jimxi fuq ħames saffi.

L-ewwel, ikkonferma l-kamp ta’ applikazzjoni. Iddetermina jekk l-organizzazzjoni u s-servizzi humiex fil-kamp ta’ applikazzjoni taħt NIS2, liema regoli tal-Istat Membru japplikaw, jekk ir-Regolament ta’ Implimentazzjoni 2024/2690 japplikax għall-kategorija tal-fornitur u jekk il-klijenti jimponux obbligi DORA, GDPR, NIST jew speċifiċi għas-settur.

It-tieni, ibni l-kuntest tal-ISMS. Taħt il-klawżoli 4 u 5 ta’ ISO/IEC 27001:2022, identifika partijiet interessati, obbligi legali, impenji tal-klijenti, dipendenzi fuq il-fornituri, konfini tas-servizzi u responsabbiltajiet tal-maniġment.

It-tielet, wettaq valutazzjoni tar-riskju u trattament permezz tal-prinċipji ta’ ISO/IEC 27005:2022. Ikkonsolida NIS2, DORA, GDPR, kuntratti, politiki interni u riskji tas-servizz f’reġistru wieħed tar-rekwiżiti tal-linja bażi. Iddefinixxi kriterji tar-riskju, sidien, probabbiltà, impatt, għażliet ta’ trattament, għażliet ta’ kontroll u approvazzjonijiet tar-riskju residwu.

Ir-raba’, immappja l-kontrolli fid-Dikjarazzjoni ta’ Applikabbiltà. Uża l-Passi 13 u 14 ta’ Zenith Blueprint biex tittraċċa r-riskji lejn il-kontrolli ta’ Anness A u l-aspettattivi regolatorji. Uża Zenith Controls biex tifhem kif kontrolli bħal 5.23, 5.24, 8.8, 5.20 u 5.30 jimmappjaw bejn oqfsa u perspettivi ta’ awditu.

Il-ħames, operazzjonalizza l-evidenza. Il-politiki mhumiex biżżejjed. Il-librerija tal-politiki ta’ Clarysec tipprovdi rekwiżiti infurzabbli għall-approvazzjoni tal-cloud, aċċess tal-fornituri, logging, rimedjazzjoni tal-vulnerabbiltajiet, segmentazzjoni tan-network, klassifikazzjoni tal-inċidenti u ppjanar tal-kontinwità. Il-pakkett tal-evidenza jipprova li dawk ir-rekwiżiti qed jaħdmu.

Pass li jmiss: ibdel il-pressjoni NIS2 f’reżiljenza lesta għall-awditu

Ir-Regolament ta’ Implimentazzjoni NIS2 2024/2690 ma jeħtieġx kaos. Jeħtieġ traċċabbiltà, sjieda u prova.

Jekk inti fornitur ta’ servizzi cloud, MSP, MSSP jew operatur ta’ ċentru tad-data, ibda mis-servizzi, il-klijenti, id-dipendenzi, ix-xenarji tal-inċidenti u l-obbligi tal-evidenza tiegħek. Imbagħad wettaq eżerċizzju strutturat ta’ immappjar minn NIS2 għal ISO/IEC 27001:2022:

1. Ikkonferma jekk l-entità u s-servizzi tiegħek humiex fil-kamp ta’ applikazzjoni.
2. Immappja t-temi ta’ NIS2 u tar-Regolament ta’ Implimentazzjoni fil-kamp ta’ applikazzjoni tal-ISMS tiegħek.
3. Aġġorna r-Reġistru tar-Riskji u d-Dikjarazzjoni ta’ Applikabbiltà.
4. Applika l-politiki ta’ Clarysec għall-użu tal-cloud, is-sigurtà tal-fornituri, il-logging, il-ġestjoni tal-vulnerabbiltajiet, ir-rispons għall-inċidenti, is-sigurtà tan-network u l-kontinwità.
5. Uża Zenith Blueprint Zenith Blueprint Passi 13, 14, 20 u 23 biex toħloq traċċabbiltà u evidenza operattiva.
6. Uża Zenith Controls Zenith Controls biex timmappja b’mod inkroċjat il-kontrolli ISO/IEC 27001:2022 kontra l-aspettattivi ta’ NIS2, DORA, GDPR, NIST u COBIT 2019.
7. Ittestja l-evidenza permezz ta’ simulazzjoni ta’ awditu qabel ma klijent, regolatur jew awditur taċ-ċertifikazzjoni jitlobha.

Clarysec tista’ tgħinek tmur lil hinn minn konformità b’lista ta’ kontroll u tibni ISMS integrat li jiflaħ il-pressjoni minn NIS2, DORA, GDPR u awditi tal-klijenti. Niżżel it-toolkits rilevanti ta’ Clarysec, ibbukkja workshop ta’ immappjar jew itlob evalwazzjoni tal-kapaċità li tintwera l-konformità biex tibdel il-kumplessità regolatorja f’governanza tas-sigurtà difensibbli u reżiljenza operattiva.