Responsabbiltà tal-Bord taħt NIS2: Evidenza ISO 27001

L-imejl waslet fl-inbox ta’ Maria fit-08:15 nhar ta’ Tnejn filgħodu. Bħala CISO ta’ fornitur Ewropew ta’ servizzi cloud li kien qed jikber malajr, kienet imdorrija b’messaġġi urġenti, iżda dan deher differenti.

Is-CFO kien għadda kwestjonarju tas-sigurtà tal-klijent lis-CEO, lis-segretarju tal-bord u lil Maria. Is-suġġett kien qasir: “Evidenza ta’ responsabbiltà tal-korp maniġerjali taħt NIS2 meħtieġa qabel it-tiġdid.”

Il-klijent ma kienx qed jitlob rapport ieħor ta’ testijiet ta’ penetrazzjoni. Ried ikun jaf jekk il-bord kienx approva miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, kif kienet issir is-sorveljanza tal-implimentazzjoni, jekk l-eżekuttivi kinux irċevew taħriġ dwar ir-riskju ċibernetiku, kif kienu jiġu eskalati inċidenti sinifikanti u kif kienu jiġu rieżaminati r-riskji tal-fornituri fil-livell tal-maniġment. Is-CEO żied linja waħda: “Maria, x’inhi l-espożizzjoni tagħna, u kif nippruvaw id-diliġenza dovuta? Il-bord jeħtieġ dan sal-ġimgħa d-dieħla.”

Dan huwa l-mument meta NIS2 isir reali għal ħafna fornituri SaaS, cloud, MSP, MSSP, ċentri tad-data, fintech u infrastruttura diġitali. Id-Direttiva (UE) 2022/2555 ma tittrattax iċ-ċibersigurtà bħala problema ta’ dipartiment tekniku. Tibdel ir-riskju ċibernetiku f’kwistjoni ta’ responsabbiltà tal-korp maniġerjali.

NIS2 Article 20 jeħtieġ li l-korpi maniġerjali ta’ entitajiet essenzjali u importanti japprovaw miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni tagħhom u jwettqu taħriġ. Jippermetti wkoll lill-Istati Membri jistabbilixxu responsabbiltà għal ksur. Article 21 imbagħad jiddefinixxi l-linja bażi prattika: analiżi tar-riskju, politiki tas-sigurtà, immaniġġjar tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, akkwist u żvilupp siguri, evalwazzjoni tal-effettività, iġjene ċibernetika, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi u awtentikazzjoni.

Għal organizzazzjonijiet li diġà jużaw ISO/IEC 27001:2022, l-istruttura hija familjari. Id-differenza tinsab fl-udjenza u fil-piż tal-evidenza. Il-mistoqsija m’għadhiex biss, “Għandna kontrolli tas-sigurtà?” Issa hija, “Il-bord jista’ jipprova li approva, fehem, iffinanzja, irriveda, sfida u tejjeb dawk il-kontrolli?”

Hawnhekk ISO/IEC 27001:2022 isir sistema ta’ governanza difensibbli. L-approċċ ta’ Clarysec huwa li tuża ISO/IEC 27001:2022 bħala l-bażi tal-evidenza, Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur Zenith Blueprint bħala r-rotta ta’ implimentazzjoni, il-politiki ta’ Clarysec bħala artefatti lesti għall-bord, u Zenith Controls: Il-Gwida għall-Konformità Bejn Oqfsa Differenti Zenith Controls bħala l-gwida għall-immappjar bejn oqfsa għal NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 u aspettattivi tal-awditu.

Għaliex ir-responsabbiltà tal-bord taħt NIS2 tbiddel il-konverżazzjoni dwar iċ-ċibersigurtà

NIS2 ma jitlobx lid-diretturi jsiru inġiniera tal-firewall. Jitlobhom imexxu governanza. Dik id-distinzjoni hija importanti.

CISO jista’ juri rapporti ta’ vulnerabbiltajiet, kopertura tal-MFA, dashboards ta’ protezzjoni tal-endpoint u punteġġi tal-pożizzjoni tas-sigurtà tal-cloud. Dawn huma sinjali operattivi utli, iżda ma jippruvawx awtomatikament is-sorveljanza tal-korp maniġerjali. Regolatur, klijent enterprise, awditur taċ-ċertifikazzjoni jew valutatur tas-settur finanzjarju se jfittex katina ta’ evidenza tal-governanza:

1. L-organizzazzjoni evalwat jekk NIS2 japplikax u ddokumentat il-bażi.
2. Il-bord jew it-tmexxija għolja approvaw il-qafas ta’ ġestjoni tar-riskju taċ-ċibersigurtà.
3. Ġew definiti l-aptit għar-riskju u l-limiti ta’ tolleranza.
4. Riskji ċibernetiċi għoljin ġew eskalati u rieżaminati.
5. Deċiżjonijiet dwar it-trattament tar-riskju ġew approvati, inkluż riskju residwu aċċettat.
6. Il-proċeduri tar-rappurtar tal-inċidenti jirriflettu obbligi ta’ 24 siegħa, 72 siegħa u rapport finali fejn applikabbli.
7. Id-dipendenzi fuq fornituri u cloud huma mmappjati u soġġetti għal governanza.
8. Ir-rieżami mill-maniġment jinkludi sejbiet tal-awditu, xejriet tal-inċidenti, metriċi u azzjonijiet ta’ titjib.
9. L-eżekuttivi rċevew taħriġ xieraq għar-responsabbiltà tagħhom.
10. Id-deċiżjonijiet, l-eċċezzjonijiet u l-eskalazzjonijiet huma traċċabbli.

Hawnhekk ifallu ħafna playbooks qodma tas-sigurtà. Ix-xiri ta’ għodda “konformi ma’ NIS2” ma jippruvax is-sorveljanza tal-bord. L-iffirmar ta’ politika u l-arkivjar tagħha ma jurix implimentazzjoni. Id-delega sħiħa taċ-ċibersigurtà lis-CISO ma tissodisfax id-dmir ta’ sorveljanza ta’ korp maniġerjali.

ISO/IEC 27001:2022 isolvi din il-problema għaliex jippreżenta s-sigurtà tal-informazzjoni bħala Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni strateġika u bbażata fuq ir-riskju, integrata fil-proċessi tal-organizzazzjoni. Il-klawżoli tiegħu dwar il-kuntest, il-partijiet interessati, l-obbligi legali, il-kamp ta’ applikazzjoni, it-tmexxija, il-valutazzjoni tar-riskju, it-trattament tar-riskju, il-kontroll operattiv, l-evalwazzjoni tal-prestazzjoni, l-awditu intern, ir-rieżami mill-maniġment u t-titjib kontinwu joħolqu l-istruttura li bord jeħtieġ għad-diliġenza dovuta.

Zenith Blueprint jagħmel dan prattiku fil-fażi ISMS Foundation & Leadership, Step 3:

“Clause 5.1 hija dwar it-Tmexxija u l-impenn. ISO 27001 jeħtieġ li t-tmexxija għolja turi tmexxija billi tappoġġa l-ISMS, tipprovdi riżorsi, tippromwovi s-sensibilizzazzjoni, tiżgura li r-rwoli jiġu assenjati, tintegra l-ISMS fil-proċessi tan-negozju u tappoġġa t-titjib kontinwu.”

Dan huwa l-mudell operattiv wara NIS2 Article 20. Il-bord m’għandux għalfejn japprova kull ticket tekniku, iżda għandu japprova l-mudell ta’ governanza, jifhem ir-riskji materjali, jiżgura r-riżorsi u jissorvelja l-implimentazzjoni.

Il-pakkett ta’ evidenza tal-bord li NIS2 fil-fatt jeħtieġ

Żball komuni huwa li l-evidenza għal NIS2 tiġi trattata bħala memorandum legali flimkien ma’ folder ta’ politiki. Dan rari jissodisfa valutatur serju. Ir-responsabbiltà tal-bord teħtieġ prova ta’ governanza attiva, mhux dokumentazzjoni passiva.

Pakkett b’saħħtu ta’ evidenza tal-bord għal NIS2 għandu jgħaqqad l-obbligi legali mad-deċiżjonijiet tal-bord, il-kontrolli u ċ-ċikli ta’ rieżami.

Is-saħħa ta’ dan il-pakkett hija t-traċċabbiltà. Kull artefatt iwieġeb mistoqsija ta’ governanza u jindika mekkaniżmu ISO/IEC 27001:2022. Dan jagħti lis-CISO, lis-CEO u lill-bord narrattiva difensibbli: iċ-ċibersigurtà mhijiex ġabra ta’ għodod; hija sistema soġġetta għal governanza.

Kif il-politiki jinbidlu f’responsabbiltà fil-livell tal-bord

Fix-xenarju tal-bidu, is-CEO ta’ Maria jista’ jkun ittentat iwieġeb lill-klijent b’ċertifikat ISO u ftit politiki. Dan mhux biżżejjed għar-responsabbiltà tal-korp maniġerjali taħt NIS2. L-organizzazzjoni teħtieġ evidenza li r-responsabbiltà hija assenjata, id-deċiżjonijiet huma rreġistrati u r-riskji jiġu eskalati b’mod oġġettiv.

Il-politiki ta’ Clarysec huma mfassla biex joħolqu dik it-traċċabbiltà.

Għal organizzazzjonijiet iżgħar, Politika tas-Sigurtà tal-Informazzjoni-sme Politika tas-Sigurtà tal-Informazzjoni - SME, klawżola 4.1.1, tiddikjara li t-tmexxija għolja:

“Iżżomm ir-responsabbiltà ġenerali għas-sigurtà tal-informazzjoni.”

Din is-sentenza hija importanti. Tipprevjeni anti-pattern komuni fejn fundaturi, CEOs jew timijiet eżekuttivi jiddelegaw b’mod informali r-responsabbiltà kollha tas-sigurtà lill-IT filwaqt li ma jżommux sorveljanza sinifikanti.

Għal organizzazzjonijiet akbar, Politika tal-Ġestjoni tar-Riskju Politika tal-Ġestjoni tar-Riskju, klawżola 4.1.1, tiddikjara li t-tmexxija:

“Tapprova l-qafas tal-ġestjoni tar-riskju u tiddefinixxi l-aptit għar-riskju u l-limiti ta’ tolleranza aċċettabbli.”

Din hija evidenza lesta għall-bord għal NIS2 Article 20. Dikjarazzjoni dwar l-aptit għar-riskju, limiti ta’ tolleranza u mudell formali ta’ awtorità tar-riskju juru kif l-approvazzjoni u l-eskalazzjoni jaħdmu fil-prattika.

Il-klawżola 5.6 tal-istess politika żżid:

“Il-Matriċi tal-Awtorità tar-Riskju għandha tiddefinixxi b’mod ċar il-limiti għall-eskalazzjoni lejn it-tmexxija għolja jew il-Bord.”

Dan huwa wieħed mill-aktar artefatti importanti għall-governanza ta’ NIS2. Mingħajr limiti ta’ eskalazzjoni, il-bord jara biss dak li xi ħadd jagħżel li jeskala. B’limiti, riskju residwu għoli, vulnerabbiltajiet kritiċi mhux solvuti, konċentrazzjoni sinifikanti fuq fornitur, inċidenti maġġuri, sejbiet tal-awditu u eċċezzjonijiet ’il fuq mit-tolleranza jgħaddu awtomatikament għal sorveljanza eżekuttiva.

Il-Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza issaħħaħ il-katina tal-evidenza:

“Il-governanza għandha tappoġġa l-integrazzjoni ma’ dixxiplini oħra (eż. riskju, legali, IT, HR), u d-deċiżjonijiet tal-ISMS għandhom ikunu traċċabbli għas-sors tagħhom (eż. reġistri tal-awditu, reġistri tar-rieżami, minuti tal-laqgħat).”

Għall-SMEs, Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza-sme Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza - SME tiddikjara:

“Id-deċiżjonijiet, l-eċċezzjonijiet u l-eskalazzjonijiet sinifikanti kollha tas-sigurtà għandhom jiġu rreġistrati u jkunu traċċabbli.”

Dawk il-klawżoli jibdlu s-sorveljanza tal-bord minn konverżazzjoni għal traċċa ta’ awditu.

Il-katina ta’ evidenza ISO/IEC 27001:2022 għal NIS2 Article 20

Bord jista’ joperazzjonalizza NIS2 Article 20 permezz ta’ katina ċara ta’ evidenza ISO/IEC 27001:2022.

L-ewwel, stabbilixxi l-kuntest u l-kamp ta’ applikazzjoni. ISO/IEC 27001:2022 jeħtieġ li l-organizzazzjoni tiddetermina kwistjonijiet interni u esterni, partijiet interessati, rekwiżiti legali, regolatorji u kuntrattwali, limiti tal-ISMS, interfaċċi, dipendenzi u proċessi li jinteraġixxu. Għal fornitur SaaS jew cloud, il-kamp ta’ applikazzjoni tal-ISMS għandu jidentifika b’mod espliċitu servizzi tal-UE, ambjenti cloud, operazzjonijiet ta’ appoġġ, fornituri kritiċi, segmenti regolati tal-klijenti u espożizzjoni għal NIS2.

It-tieni, uri tmexxija. ISO/IEC 27001:2022 jeħtieġ li t-tmexxija għolja tallinja l-objettivi tas-sigurtà mad-direzzjoni strateġika, tintegra r-rekwiżiti tal-ISMS fil-proċessi tan-negozju, tipprovdi riżorsi, tikkomunika l-importanza, tassenja responsabbiltajiet u tippromwovi t-titjib kontinwu. Għal NIS2, dan isir evidenza li l-korp maniġerjali approva u ssorvelja l-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà.

It-tielet, wettaq valutazzjoni tar-riskju u trattament tar-riskju b’mod ripetibbli. ISO/IEC 27001:2022 jeħtieġ kriterji tar-riskju, identifikazzjoni tar-riskju, sidien tar-riskju, analiżi tal-probabbiltà u tal-konsegwenzi, għażliet ta’ trattament, għażla tal-kontrolli, tqabbil mal-Anness A, Dikjarazzjoni ta’ Applikabbiltà, Pjan ta’ Trattament tar-Riskju u approvazzjoni tar-riskju residwu.

Zenith Blueprint, fil-fażi tal-Ġestjoni tar-Riskju, Step 13, jagħmel il-punt tal-approvazzjoni espliċitu:

“Approvazzjoni tal-Maniġment: Id-deċiżjonijiet dwar it-trattament tar-riskju u s-SoA għandhom jiġu rieżaminati u approvati mit-tmexxija għolja. Il-maniġment għandu jingħata informazzjoni dwar riskji ewlenin u trattamenti proposti, riskji proposti għall-aċċettazzjoni u l-kontrolli ppjanati għall-implimentazzjoni.”

Għal NIS2, dak il-briefing m’għandux ikun eżerċizzju ta’ darba. Il-pakkett tal-bord għandu juri riskji ewlenin attwali, xejriet, progress fit-trattament, riskju residwu aċċettat, azzjonijiet li għaddew l-iskadenza, espożizzjoni għal fornituri kritiċi, temi tal-inċidenti u metriċi ewlenin tal-effettività.

Ir-raba’, opera u żomm l-evidenza. ISO/IEC 27001:2022 klawżola 8.1 teħtieġ ippjanar u kontroll operattiv. Il-kontrolli tal-Anness A jappoġġaw sigurtà tal-fornituri, governanza tal-cloud, rispons għall-inċidenti, kontinwità tan-negozju, ġestjoni tal-vulnerabbiltajiet, backups, logging, monitoraġġ, żvilupp sigur, sigurtà tal-applikazzjonijiet, arkitettura, ittestjar, servizzi esternalizzati, separazzjoni tad-dmirijiet u ġestjoni tat-tibdil.

Il-ħames, evalwa u tejjeb. Awditu intern, kejl, rieżami mill-maniġment, azzjoni korrettiva u titjib kontinwu jibdlu katalgu tal-kontrolli f’sistema soġġetta għal governanza.

Il-Politika tas-Sigurtà tal-Informazzjoni enterprise Politika tas-Sigurtà tal-Informazzjoni tinkorpora din l-aspettattiva tar-rieżami mill-maniġment:

“L-attivitajiet tar-rieżami mill-maniġment (skont ISO/IEC 27001 Clause 9.3) għandhom jitwettqu mill-inqas darba fis-sena u għandhom jinkludu:”

Il-valur mhuwiex biss li ssir laqgħa. Il-valur huwa li r-rieżami joħloq evidenza: inputs, deċiżjonijiet, azzjonijiet, sidien, skadenzi u segwitu.

Il-Politika tal-Monitoraġġ tal-Awditu u l-Konformità-sme Politika tal-Monitoraġġ tal-Awditu u l-Konformità - SME, klawżola 5.4.3, tagħlaq iċ-ċiklu:

“Is-sejbiet tal-awditu u l-aġġornamenti tal-istatus għandhom jiġu inklużi fil-proċess tar-rieżami mill-maniġment tal-ISMS.”

Din hija d-differenza bejn “kellna awditu” u “il-maniġment irriveda r-riżultati tal-awditu u ordna r-rimedjazzjoni.”

Immappjar tal-konformità bejn oqfsa: NIS2, DORA, GDPR, NIST CSF 2.0 u COBIT 2019

NIS2 rarament jasal waħdu. Fornitur cloud jista’ jipproċessa data personali taħt GDPR. Klijent fintech jista’ jimponi rekwiżiti tal-fornituri mmexxija minn DORA. Klijent enterprise fl-Istati Uniti jista’ jitlob allinjament ma’ NIST CSF 2.0. Kumitat tal-awditu tal-bord jista’ jitkellem bil-lingwa ta’ COBIT 2019.

It-tweġiba mhijiex li jinħolqu folders separati tal-konformità. It-tweġiba hija li jintuża ISO/IEC 27001:2022 bħala s-sistema ċentrali tal-evidenza.

Zenith Controls jgħin lit-timijiet jikkonsolidaw billi jimmappja l-kontroll 5.4 ta’ ISO/IEC 27002:2022, “Responsabbiltajiet tal-maniġment”, bejn standards, regolamenti u metodi ta’ awditu.

F’Zenith Controls, l-entrata għall-kontroll 5.4 “Responsabbiltajiet tal-maniġment” ta’ ISO/IEC 27002:2022 tikklassifika t-tip ta’ kontroll bħala “Preventiv”, torbtu mal-kunfidenzjalità, l-integrità u d-disponibbiltà, u tqiegħdu taħt kapaċità operattiva ffukata fuq il-governanza.

Dan huwa importanti għaliex NIS2 Article 20 huwa governanza preventiva. L-approvazzjoni u s-sorveljanza mit-tmexxija jnaqqsu l-probabbiltà li r-riskju ċibernetiku jsir inviżibbli, mhux iffinanzjat jew mhux immaniġġjat.

Zenith Controls jorbot ukoll ir-responsabbiltajiet tal-maniġment ma’ kontrolli relatati ta’ ISO/IEC 27002:2022: 5.1 Politiki għas-sigurtà tal-informazzjoni, 5.2 Rwoli u responsabbiltajiet tas-sigurtà tal-informazzjoni, 5.35 Rieżami indipendenti tas-sigurtà tal-informazzjoni, 5.36 Konformità ma’ politiki, regoli u standards għas-sigurtà tal-informazzjoni, u 5.8 Sigurtà fil-ġestjoni ta’ proġetti. Ir-responsabbiltà tal-bord ma tistax toqgħod waħedha. Teħtieġ politiki, rwoli, assigurazzjoni, monitoraġġ tal-konformità u integrazzjoni fil-livell tal-proġetti.

Il-crosswalk usa’ huwa partikolarment utli għar-rappurtar eżekuttiv.

DORA jistħoqqlu attenzjoni speċjali. NIS2 Article 4 jirrikonoxxi li atti legali tal-UE speċifiċi għas-settur jistgħu jieħdu post dispożizzjonijiet ta’ NIS2 li jikkoinċidu fejn japplikaw miżuri ekwivalenti ta’ ġestjoni tar-riskju taċ-ċibersigurtà jew notifika ta’ inċidenti. DORA huwa l-eżempju ewlieni għall-entitajiet finanzjarji. Japplika mis-17 ta’ Jannar 2025 u joħloq qafas uniformi għall-ġestjoni tar-riskju tal-ICT, rappurtar ta’ inċidenti, ittestjar tar-reżiljenza, ġestjoni tar-riskju ta’ partijiet terzi u sorveljanza għas-servizzi finanzjarji.

Fornitur SaaS jew cloud jista’ ma jkunx regolat direttament bħal bank, iżda DORA xorta jista’ jasal permezz ta’ kuntratti tal-klijenti. Entitajiet finanzjarji għandhom jimmaniġġjaw riskju tal-ICT ta’ partijiet terzi, iżommu reġistri ta’ kuntratti ta’ servizzi tal-ICT, iwettqu diliġenza dovuta, jivvalutaw riskju ta’ konċentrazzjoni, jinkludu drittijiet ta’ awditu u spezzjoni, jiddefinixxu drittijiet ta’ terminazzjoni u jżommu strateġiji ta’ ħruġ. Dan ifisser li fornituri li jaqdu klijenti finanzjarji għandhom jistennew talbiet għal evidenza li jixbhu ħafna l-mistoqsijiet ta’ governanza tal-bord taħt NIS2.

GDPR iżid responsabbiltà għad-data personali. Article 5(2) jeħtieġ li l-kontrolluri jkunu responsabbli u kapaċi juru konformità. Article 32 jeħtieġ sigurtà tal-ipproċessar, inkluż ittestjar, valutazzjoni u evalwazzjoni regolari tal-effettività tal-miżuri tekniċi u organizzattivi. Fejn tkun affettwata data personali, il-flussi tax-xogħol tal-inċidenti għandhom jintegraw evalwazzjoni ta’ ksur taħt GDPR ma’ eskalazzjoni ta’ inċident sinifikanti taħt NIS2.

NIST CSF 2.0 iżid lingwaġġ adattat għall-eżekuttivi permezz tal-funzjoni GOVERN. Jenfasizza l-kuntest organizzattiv, l-istrateġija tal-ġestjoni tar-riskju, rwoli u responsabbiltajiet, politika, sorveljanza u ġestjoni tar-riskju tal-katina tal-provvista. COBIT 2019 iżid vokabularju ta’ governanza familjari għall-kumitati tal-awditu, speċjalment permezz ta’ EDM03 għall-ottimizzazzjoni tar-riskju u l-objettivi MEA għall-monitoraġġ u l-assigurazzjoni.

Sprint ta’ 90 jum għall-evidenza tal-bord taħt NIS2

Sprint prattiku tal-evidenza jista’ jgħin lill-organizzazzjonijiet jimxu malajr mingħajr ma joħolqu burokrazija parallela.

Jiem 1 sa 30: Stabbilixxi r-responsabbiltà

Ibda b’reġistru tar-responsabbiltà taħt NIS2 li jirreġistra:

• Analiżi tal-klassifikazzjoni tal-entità, inkluż jekk hijiex essenzjali, importanti, esposta indirettament jew barra mill-kamp ta’ applikazzjoni.
• Servizzi fil-kamp ta’ applikazzjoni, bħal SaaS, cloud, servizzi mmaniġġjati, ċentru tad-data, DNS, servizzi ta’ fiduċja jew servizzi relatati mal-komunikazzjonijiet.
• Stati Membri tal-UE fejn is-servizzi jiġu pprovduti.
• Setturi tal-klijenti affettwati, speċjalment servizzi finanzjarji, kura tas-saħħa, trasport, enerġija, amministrazzjoni pubblika u infrastruttura diġitali.
• Obbligi applikabbli, inkluż NIS2 Article 20, Article 21 u Article 23.
• Obbligi relatati minn DORA, GDPR, kuntratti tal-klijenti u assigurazzjoni ċibernetika.
• Sid mill-maniġment u frekwenza tar-rappurtar lill-bord.

Qabbad dan mal-kuntest ISO/IEC 27001:2022, il-partijiet interessati, ir-Reġistru tal-Obbligi ta’ Konformità u l-kamp ta’ applikazzjoni tal-ISMS. Imbagħad aġġorna l-Matriċi tal-Awtorità tar-Riskju billi tuża r-rekwiżit tal-Politika tal-Ġestjoni tar-Riskju li l-limiti ta’ eskalazzjoni jiġu definiti għat-tmexxija għolja jew il-bord.

Skattaturi utli ta’ eskalazzjoni jinkludu riskju residwu ’l fuq mill-aptit għar-riskju, vulnerabbiltajiet kritiċi mhux aċċettati wara l-SLA, riskju ta’ konċentrazzjoni fuq fornitur, sejbiet għoljin tal-awditu mhux solvuti, inċidenti li jistgħu jattivaw rappurtar taħt NIS2, eċċezzjonijiet għar-rekwiżiti tal-MFA, backup, logging, iċċifrar jew rispons għall-inċidenti, u bidliet materjali fl-arkitettura cloud.

Jiem 31 sa 60: Approva t-trattament tar-riskju

Uża Zenith Blueprint Step 13 biex tipprepara pakkett ta’ deċiżjoni għall-bord għall-Pjan ta’ Trattament tar-Riskju u d-Dikjarazzjoni ta’ Applikabbiltà. Il-pakkett għandu jinkludi:

• L-ogħla 10 riskji ċibernetiċi.
• Għażla ta’ trattament proposta għal kull riskju.
• Gruppi ta’ kontrolli magħżula.
• Riskju residwu wara t-trattament.
• Riskji proposti għall-aċċettazzjoni.
• Deċiżjonijiet meħtieġa dwar baġit jew riżorsi.
• Dipendenzi fuq fornituri, Legali, HR, prodott u IT.
• Deċiżjoni tal-maniġment mitluba.

L-output għandu jkun approvazzjoni ffirmata jew irreġistrata fil-minuti. Sett ta’ slajds waħdu mhuwiex biżżejjed.

Immappja wkoll il-miżuri ta’ NIS2 Article 21 mal-klawżoli ta’ ISO/IEC 27001:2022 u l-kontrolli tal-Anness A. Dan jippermetti lill-organizzazzjoni turi li NIS2 qed jiġi ġestit permezz tal-ISMS u mhux permezz ta’ lista ta’ kontroll separata.

Jiem 61 sa 90: Ittestja r-rappurtar tal-inċidenti u rrivedi l-evidenza

NIS2 Article 23 jeħtieġ rappurtar fi stadji għal inċidenti sinifikanti: twissija bikrija fi żmien 24 siegħa, notifika tal-inċident fi żmien 72 siegħa, aġġornamenti interim fejn meħtieġa jew mitluba, u rapport finali mhux aktar tard minn xahar wara n-notifika.

Mexxi eżerċizzju tabletop mal-isponsor tal-bord, CEO, CISO, Legali, komunikazzjonijiet, customer success u operazzjonijiet. Uża xenarju realistiku, bħal konfigurazzjoni ħażina fil-cloud li tesponi metadata tal-klijenti, tfixkel id-disponibbiltà tas-servizz u taffettwa klijent regolat.

Ittestja min jiddeċiedi jekk l-inċident jistax ikun sinifikanti, min jikkuntattja lill-konsulent legali, min jinnotifika lill-awtoritajiet kompetenti jew lis-CSIRT fejn meħtieġ, min japprova komunikazzjonijiet lill-klijenti, kif tinżamm l-evidenza, kif jiġu evalwati b’mod parallel l-obbligi ta’ ksur taħt GDPR u kif il-bord jiġi aġġornat matul l-ewwel 24 siegħa.

Imbagħad organizza rieżami formali mill-maniġment. Zenith Blueprint, fażi Audit, Review & Improvement, Step 28, jispjega għaliex:

“Ir-Rieżami mill-Maniġment mhuwiex biss preżentazzjoni; huwa dwar it-teħid ta’ deċiżjonijiet.”

Dak ir-rieżami għandu jinkludi sejbiet tal-awditu, progress fit-trattament tar-riskju, tħejjija għall-inċidenti, riskji tal-fornituri, metriċi, deċiżjonijiet, azzjonijiet assenjati u sidien tas-segwitu.

Il-laqgħa tar-rieżami mill-maniġment li fil-fatt taħdem

Ħafna rieżamijiet mill-maniġment ifallu għaliex ikunu strutturati bħala aġġornamenti tal-istatus. Rieżami mill-maniġment lest għal NIS2 għandu jkun laqgħa tad-deċiżjonijiet.

L-aġenda għandha tinkludi:

1. Bidliet fir-rekwiżiti ta’ NIS2, DORA, GDPR, kuntrattwali u tal-klijenti.
2. Bidliet fil-kuntest tan-negozju, servizzi, akkwisti, fornituri, arkitettura cloud u segmenti regolati tal-klijenti.
3. Status tal-ogħla riskji tas-sigurtà tal-informazzjoni u riskju residwu kontra l-aptit għar-riskju.
4. Progress tal-Pjan ta’ Trattament tar-Riskju u azzjonijiet li għaddew l-iskadenza.
5. Xejriet tal-inċidenti, avvenimenti sinifikanti, near misses u tħejjija għar-rappurtar.
6. Riskji tal-fornituri u tad-dipendenzi tal-ICT, inklużi tħassib dwar konċentrazzjoni u ħruġ.
7. Riżultati ta’ awditi interni, awditi esterni, evalwazzjonijiet tal-klijenti u testijiet ta’ penetrazzjoni.
8. Tlestija ta’ Security Awareness u taħriġ eżekuttiv.
9. Metriċi għall-kontroll tal-aċċess, ġestjoni tal-vulnerabbiltajiet, backups, logging, monitoraġġ, żvilupp sigur u testijiet tal-kontinwità.
10. Deċiżjonijiet meħtieġa, inkluż aċċettazzjoni tar-riskju, baġit, persunal, eċċezzjonijiet għall-politika, rimedjazzjoni tal-fornituri u titjib fil-kontrolli.

It-taħriġ eżekuttiv huwa partikolarment importanti. NIS2 Article 20 jeħtieġ li l-membri tal-korp maniġerjali jwettqu taħriġ. Politika dwar l-Għarfien tas-Sigurtà tal-Informazzjoni u t-Taħriġ Politika dwar l-Għarfien tas-Sigurtà tal-Informazzjoni u t-Taħriġ, klawżola 5.1.2.4, tinkludi b’mod espliċitu suġġetti għat-taħriġ eżekuttiv:

“Eżekuttivi (eż. governanza, aċċettazzjoni tar-riskju, obbligi legali)”

It-taħriġ ċibernetiku għall-eżekuttivi għandu jiffoka fuq drittijiet ta’ deċiżjoni, responsabbiltà, eskalazzjoni, aptit għar-riskju, governanza tal-kriżijiet, rappurtar ta’ inċidenti u obbligi regolatorji. M’għandux ikun limitat għal Security Awareness dwar phishing.

Kif l-awdituri u l-klijenti se jittestjaw is-sorveljanza tal-bord

Valutaturi differenti jużaw lingwaġġ differenti, iżda se jittestjaw l-istess mistoqsija sottostanti: iċ-ċibersigurtà hija soġġetta għal governanza?

Zenith Controls huwa ta’ valur għaliex jinkludi immappjar tal-metodoloġiji tal-awditu. Għar-responsabbiltajiet tal-maniġment, jirreferi għall-prinċipji u l-kondotta tal-awditu ISO/IEC 19011:2018, il-prattiki ta’ awditu tal-ISMS ISO/IEC 27007:2020, ISO/IEC 27001:2022 klawżola 5.1, COBIT 2019 EDM01 u EDM03, ISACA ITAF Section 1401, u NIST SP 800-53A PM-1 u PM-2. Għar-rieżami indipendenti, jimmappja għal ISO/IEC 27001:2022 klawżoli 9.2 u 9.3, ippjanar tal-awditu u prattiki tal-evidenza ISO/IEC 27007, ISACA ITAF Section 2400, u metodi ta’ valutazzjoni NIST. Għall-konformità ma’ politiki, jimmappja għal ISO/IEC 27001:2022 klawżoli 9.1, 9.2 u 10.1, ġbir tal-evidenza ISO/IEC 19011, COBIT 2019 MEA01, u evalwazzjoni tal-monitoraġġ kontinwu NIST.

Il-lezzjoni hija sempliċi. Ir-responsabbiltà tal-bord ma tintweriex bil-preżenza biss. Tintwera permezz ta’ deċiżjonijiet infurmati, approvazzjonijiet dokumentati, prijoritizzazzjoni bbażata fuq ir-riskju, allokazzjoni tar-riżorsi u segwitu.

Żbalji komuni li jkissru l-katina tal-evidenza

L-organizzazzjonijiet li jitħabtu mar-responsabbiltà tal-korp maniġerjali taħt NIS2 normalment jaqgħu f’mudelli prevedibbli.

L-ewwel, iħalltu l-operazzjoni tal-kontrolli tekniċi mal-governanza. Il-kopertura tal-MFA, it-twissijiet SIEM, l-iskjerament tal-EDR u r-rati ta’ suċċess tal-backup huma importanti, iżda l-bord jeħtieġ kuntest tar-riskju, deċiżjonijiet ta’ trattament u assigurazzjoni li l-kontrolli jaħdmu.

It-tieni, japprovaw politiki iżda mhux it-trattament tar-riskju. Politika tas-sigurtà ffirmata ma tippruvax li l-bord approva miżuri proporzjonati taċ-ċibersigurtà. Il-Pjan ta’ Trattament tar-Riskju u s-SoA huma evidenza aktar b’saħħitha għaliex jgħaqqdu r-riskji, il-kontrolli, ir-riskju residwu u l-approvazzjoni tal-maniġment.

It-tielet, jonqoshom limiti ta’ eskalazzjoni. Mingħajr Matriċi tal-Awtorità tar-Riskju, l-eskalazzjoni tiddependi fuq il-personalitajiet. Il-governanza ta’ NIS2 teħtieġ skattaturi oġġettivi.

Ir-raba’, jisseparaw ir-rispons għall-inċidenti mir-rappurtar regolatorju. Il-flussi tax-xogħol ta’ rappurtar taħt NIS2, DORA u GDPR għandhom jiġu integrati qabel kriżi.

Il-ħames, jinjoraw il-governanza tal-fornituri. NIS2 Article 21 jinkludi sigurtà tal-katina tal-provvista u kunsiderazzjonijiet dwar vulnerabbiltajiet tal-fornituri. Klijenti mmexxija minn DORA jistgħu jistennew governanza aktar profonda ta’ partijiet terzi tal-ICT, inklużi diliġenza dovuta, drittijiet ta’ awditu, riskju ta’ konċentrazzjoni, drittijiet ta’ terminazzjoni u strateġiji ta’ ħruġ.

Is-sitt, ma jħarrġux lill-eżekuttivi. It-taħriġ ċibernetiku għall-eżekuttivi mhuwiex formalità fakultattiva taħt NIS2. Huwa parti mill-katina tal-evidenza tal-governanza.

Kif jidher eżitu tajjeb

Wara 90 jum, folder kredibbli ta’ evidenza tal-bord taħt NIS2 għandu jkun fih:

• Evalwazzjoni tal-applikabbiltà.
• Kamp ta’ applikazzjoni tal-ISMS u Reġistru tal-Obbligi ta’ Konformità.
• Dikjarazzjoni ta’ impenn tat-tmexxija.
• Aptit għar-riskju u limiti ta’ tolleranza.
• Matriċi tal-Awtorità tar-Riskju.
• Reġistru tar-riskju ċibernetiku.
• Pjan ta’ Trattament tar-Riskju.
• Dikjarazzjoni ta’ Applikabbiltà.
• Minuti tal-approvazzjoni tal-bord.
• Reġistri tat-taħriġ eżekuttiv.
• Rapport tal-eżerċizzju tabletop tal-inċidenti.
• Dashboard tar-riskju tal-fornituri.
• Rapport tal-awditu intern.
• Minuti tar-rieżami mill-maniġment u task tracker tal-azzjonijiet.

Dan il-folder iwieġeb il-kwestjonarju tal-klijent li Maria rċeviet nhar it-Tnejn filgħodu. Aktar importanti minn hekk, jgħin lill-bord imexxi governanza tar-riskju ċibernetiku qabel ma inċident, awditu jew regolatur jittestja lill-organizzazzjoni pubblikament.

Ibdel ir-responsabbiltà tal-bord taħt NIS2 f’governanza lesta għall-awditu

NIS2 biddel il-konverżazzjoni dwar iċ-ċibersigurtà. Il-korpi maniġerjali għandhom japprovaw miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni u jwettqu taħriġ. Article 21 jeħtieġ sett integrat ta’ miżuri tekniċi, operattivi u organizzattivi. Article 23 jikkompressa r-rappurtar tal-inċidenti f’kronoloġija fi stadji li teħtieġ tħejjija qabel il-kriżi.

ISO/IEC 27001:2022 jagħtik is-sistema ta’ ġestjoni. Clarysec jagħtik ir-rotta ta’ implimentazzjoni, il-lingwaġġ tal-politiki, l-immappjar bejn oqfsa ta’ konformità u l-mudell tal-evidenza tal-awditu.

Jekk il-bord tiegħek qed jistaqsi, “X’għandna napprovaw, u kif nippruvaw is-sorveljanza?”, ibda bi tliet azzjonijiet:

1. Uża Zenith Blueprint Step 3, Step 13 u Step 28 biex tistruttura l-impenn tat-tmexxija, l-approvazzjoni tat-trattament tar-riskju u r-rieżami mill-maniġment.
2. Uża politiki ta’ Clarysec bħall-Politika tal-Ġestjoni tar-Riskju, il-Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza, il-Politika tas-Sigurtà tal-Informazzjoni u ekwivalenti SME biex tifformalizza r-responsabbiltà u t-traċċabbiltà.
3. Uża Zenith Controls biex timmappja s-sorveljanza tal-bord taħt NIS2 ma’ ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 u aspettattivi tal-metodoloġiji tal-awditu.

Clarysec jista’ jgħinek tibni l-pakkett tal-bord, taġġorna l-katina tal-evidenza tal-ISMS, tipprepara r-rieżami mill-maniġment u tibdel ir-responsabbiltà taħt NIS2 fi proċess ripetibbli ta’ governanza tar-riskju ċibernetiku li awdituri, klijenti u eżekuttivi jistgħu jifhmu. Niżżel it-toolkits rilevanti ta’ Clarysec jew itlob evalwazzjoni biex tbiddel ir-responsabbiltà tal-bord f’evidenza lesta għall-awditu.