Navigazzjoni fil-maltempata: kif NIS2 u DORA qed jiddefinixxu mill-ġdid il-konformità fl-Ewropa

Id-Direttiva NIS2 u r-Regolament DORA tal-UE qed jittrasformaw il-konformità taċ-ċibersigurtà billi jimponu ġestjoni tar-riskju aktar rigoruża, rappurtar tal-inċidenti aktar rapidu u reżiljenza operattiva diġitali li tista’ tintwera. Din il-gwida tispjega l-impatt tagħhom, turi l-allinjament profond tagħhom ma’ ISO 27001, u tipprovdi rotta prattika, pass pass, lejn it-tħejjija għall-CISO u għall-mexxejja tan-negozju.

Introduzzjoni

Il-pajsaġġ Ewropew tal-konformità għaddej mill-aktar trasformazzjoni sinifikanti tiegħu f’ġenerazzjoni. Bl-iskadenza tat-traspożizzjoni tad-Direttiva dwar is-Sigurtà tan-Networks u tal-Informazzjoni (NIS2) f’Ottubru 2024 u bl-Att dwar ir-Reżiljenza Operattiva Diġitali (DORA) isir applikabbli bis-sħiħ f’Jannar 2025, l-era fejn iċ-ċibersigurtà kienet titqies bħala funzjoni sekondarja tal-IT intemmet b’mod definittiv. Dawn iż-żewġ strumenti leġiżlattivi jirrappreżentaw bidla fundamentali: iqiegħdu ċ-ċibersigurtà u r-reżiljenza operattiva fil-qalba tal-governanza korporattiva u jagħmlu lill-korpi maniġerjali direttament responsabbli għall-fallimenti.

Għall-CISO, għall-maniġers tal-konformità u għas-sidien tan-negozju, dan mhuwiex sempliċement qafas ieħor li miegħu jiġu mmappjati l-kontrolli. Huwa mandat għal qagħda tas-sigurtà mmexxija minn fuq, ibbażata fuq ir-riskju u b’reżiljenza li tista’ tintwera. NIS2 testendi l-kamp ta’ applikazzjoni tal-predeċessur tagħha biex tkopri firxa wiesgħa ta’ entitajiet “essenzjali” u “importanti”, filwaqt li DORA jimponi regoli stretti u armonizzati fuq is-settur finanzjarju kollu tal-UE u fuq il-fornituri kritiċi tat-teknoloġija tiegħu. Ir-riskji huma ogħla, ir-rekwiżiti huma aktar preskrittivi, u l-penali għal nuqqas ta’ konformità huma severi. Dan l-artiklu jservi bħala gwida għal dan it-territorju ġdid, billi juża l-qafas ISO 27001 bħala bażi prattika biex tinkiseb konformità kemm ma’ NIS2 kif ukoll ma’ DORA.

X’hemm f’riskju

Il-konsegwenzi tan-nuqqas li jintlaħqu l-obbligi ta’ NIS2 u DORA jmorru ferm lil hinn minn twissija formali. Dawn ir-regolamenti jintroduċu penali finanzjarji sinifikanti, responsabbiltà personali għat-tmexxija u riskju ta’ tfixkil operattiv sever. Il-fehim tal-gravità ta’ dawn ir-riskji huwa l-ewwel pass biex jinbena każ tan-negozju konvinċenti għall-investiment u għall-bidla organizzattiva.

NIS2, b’mod partikolari, iżżid b’mod sostanzjali l-esponiment għar-riskju finanzjarju. Kif tispjega l-gwida komprensiva tagħna, Zenith Controls, il-penali huma mfassla biex jiġbdu l-attenzjoni fil-livell tal-bord.

Għall-entitajiet essenzjali, il-multi jistgħu jilħqu sa €10 miljun jew 2% tad-dħul annwali totali globali tas-sena finanzjarja preċedenti, skont liema jkun l-ogħla. Għall-entitajiet importanti, il-multa massima hija €7 miljun jew 1.4% tad-dħul annwali totali globali.

Dawn iċ-ċifri huma komparabbli ma’ penali fil-livell tal-GDPR, u jindikaw l-intenzjoni tal-UE li tinforza l-istandards taċ-ċibersigurtà b’mod rigoruż. Għalkemm armonizzati fil-livell tal-UE, l-istrutturi eżatti tal-penali xorta jistgħu jvarjaw xi ftit skont kif kull Stat Membru jittrasponi NIS2 fil-liġi nazzjonali. Iżda r-riskju mhuwiex finanzjarju biss. NIS2 tintroduċi l-possibbiltà ta’ projbizzjonijiet temporanji fuq l-okkupazzjoni ta’ karigi maniġerjali għal individwi li jinstabu responsabbli għal ksur, u b’hekk iċ-ċibersigurtà ssir kwistjoni ta’ responsabbiltà personali għall-CEOs u għall-membri tal-bord.

DORA, għalkemm iffukat fuq is-settur finanzjarju, jintroduċi pressjonijiet tiegħu stess. L-għan ewlieni tiegħu huwa li jiżgura l-kontinwità tas-servizzi finanzjarji kritiċi anki waqt tfixkil sinifikanti fl-ICT. Hawnhekk ir-riskju huwa sistemiku. Falliment f’entità finanzjarja waħda jew f’wieħed mill-fornituri kritiċi terzi tagħha tal-ICT jista’ jkollu effett katina fuq l-ekonomija Ewropea. Il-mandat ta’ DORA huwa li jipprevjeni dan billi jeħtieġ standard għoli ta’ reżiljenza operattiva diġitali. L-ispiża tan-nuqqas ta’ konformità tista’ tfisser mhux biss multi, iżda wkoll telf ta’ liċenzji operattivi u dannu reputazzjonali katastrofiku f’settur mibni fuq il-fiduċja.

L-impatt operattiv huwa daqstant ieħor qawwi. Iż-żewġ regolamenti jimponu skadenzi stretti għar-rappurtar tal-inċidenti. NIS2 teħtieġ notifika inizjali lill-awtoritajiet kompetenti fi żmien 24 siegħa minn meta entità ssir konxja ta’ inċident sinifikanti, segwita minn rapport aktar dettaljat fi żmien 72 siegħa. Din l-iskeda kkompressata tqiegħed pressjoni kbira fuq it-timijiet tar-rispons għall-inċidenti, u teħtieġ proċessi maturi u pprattikati sew li ħafna organizzazzjonijiet bħalissa għad m’għandhomx. L-enfasi m’għadhiex biss fuq it-trażżin u l-irkupru, iżda fuq komunikazzjoni rapida u trasparenti mar-regolaturi.

Kif tidher prattika tajba

F’din l-era ġdida ta’ skrutinju akbar, “tajba” m’għadhiex tfisser li jkollok politiki fuq l-ixkaffa jew ċertifikazzjoni f’punt wieħed fiż-żmien. Tfisser li l-organizzazzjoni tkun fi stat ta’ reżiljenza operattiva kontinwa u li tista’ tintwera. Tfisser bidla minn qagħda reattiva mmexxija mill-konformità għal kultura proattiva u infurmata mir-riskju, fejn iċ-ċibersigurtà tkun integrata fit-tessut tan-negozju. Organizzazzjoni li tinnaviga b’suċċess il-pajsaġġ ta’ NIS2 u DORA turi diversi karatteristiċi ewlenin, ħafna minnhom imsejsa fuq il-prinċipji ta’ Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS) implimentata sew u bbażata fuq ISO 27001.

L-għan aħħari huwa stat fejn l-organizzazzjoni tista’ b’kunfidenza tiflaħ għal tfixkil fl-ICT, tirrispondi għalih u tirkupra minnu, filwaqt li tipproteġi l-assi u s-servizzi kritiċi tagħha. Dan jeħtieġ fehim profond tal-proċessi tan-negozju u tat-teknoloġija li tappoġġjahom. Kif tiddeskrivi Zenith Controls, l-għan ta’ dawn ir-regolamenti huwa li tinħoloq infrastruttura diġitali robusta madwar l-UE.

L-għan primarju tad-Direttiva NIS2 huwa li jinkiseb livell komuni għoli ta’ ċibersigurtà madwar l-Unjoni. Hija għandha l-għan li ttejjeb ir-reżiljenza u l-kapaċitajiet tar-rispons għall-inċidenti kemm tas-settur pubbliku kif ukoll tas-settur privat.

Il-kisba ta’ dan il-“livell komuni għoli” tfisser l-implimentazzjoni ta’ programm komprensiv tas-sigurtà li jkopri l-governanza, il-ġestjoni tar-riskju, il-protezzjoni tal-assi, ir-rispons għall-inċidenti u s-sigurtà tal-fornituri. Organizzazzjoni matura jkollha linja ċara ta’ viżibbiltà mill-aptit għar-riskju fil-livell tal-bord sal-kontrolli tekniċi speċifiċi. Il-maniġment mhux sempliċement japprova l-baġit; jipparteċipa b’mod attiv fid-deċiżjonijiet dwar il-ġestjoni tar-riskju, kif jeħtieġu kemm NIS2 (Article 20) kif ukoll DORA (Article 5).

Dan l-istat ideali huwa definit minn sigurtà proattiva mmexxija minn intelligence. Minflok tirreaġixxi biss għat-twissijiet, l-organizzazzjoni tiġbor u tanalizza b’mod attiv intelligence dwar it-theddid biex tantiċipa u timmitiga attakki potenzjali. Dan huwa allinjat direttament ma’ ISO/IEC 27002:2022 Control 5.7 (Threat intelligence), prattika li issa hija aspettattiva espliċita taħt iż-żewġ regolamenti l-ġodda.

Barra minn hekk, ir-reżiljenza tiġi ttestjata, mhux preżunta. “Tajba” tfisser organizzazzjoni li regolarment twettaq testijiet realistiċi tal-pjanijiet tagħha għar-rispons għall-inċidenti u għall-kontinwità tan-negozju. Għal entitajiet finanzjarji deżinjati taħt DORA, dan jista’ jestendi għal Threat-Led Penetration Testing (TLPT) avvanzat, jiġifieri simulazzjoni rigoruża ta’ xenarji ta’ attakk reali. Mhux kull organizzazzjoni tkun fil-kamp ta’ applikazzjoni, iżda għal dawk li huma, TLPT huwa rekwiżit vinkolanti. Din il-kultura tal-ittestjar tiżgura li l-pjanijiet ma jkunux biss dokumenti teoretiċi iżda gwidi operattivi azzjonabbli li jaħdmu taħt pressjoni.

Rabta mat-temi tal-kontrolli ta’ ISO 27001:2022

Il-kontrolli tal-Anness A ta’ ISO 27001:2022, kif elaborati f’ISO/IEC 27002:2022, jiffurmaw is-sinsla ta’ ISMS modern. Kif enfasizzat f’Zenith Controls: The Cross-Compliance Guide,

Kontrolli bħal A.5.7 (Threat Intelligence), A.5.23 (Information Security for Use of Cloud Services), u A.5.29 (Supplier Relationships) huma referenzjati direttament fil-gwida għall-implimentazzjoni kemm ta’ NIS2 kif ukoll ta’ DORA, u jenfasizzaw iċ-ċentralità tagħhom għall-konformità regolatorja trasversali. Organizzazzjonijiet li jimplimentaw dawn il-kontrolli bis-sħiħ u jipprovdu evidenza tagħhom ikunu f’pożizzjoni tajba, iżda xorta jridu jindirizzaw il-mandati speċifiċi ta’ rappurtar, governanza u reżiljenza introdotti mir-regolamenti l-ġodda.

It-triq prattika: gwida pass pass

Il-kisba tal-konformità ma’ NIS2 u DORA tista’ tidher biċċa xogħol kbira ħafna, iżda ssir maniġġabbli meta tinqasam f’oqsma ewlenin tas-sigurtà. Billi jużaw l-approċċ strutturat ta’ ISMS allinjat ma’ ISO 27001, l-organizzazzjonijiet jistgħu jibnu l-kapaċitajiet meħtieġa b’mod sistematiku. Din hija rotta prattika ’l quddiem, iggwidata minn politiki stabbiliti u mill-aħjar prattiki.

1. Stabbilixxi governanza u responsabbiltà robusti

Iż-żewġ regolamenti jqiegħdu r-responsabbiltà finali fuq il-“korp maniġerjali”. Dan ifisser li ċ-ċibersigurtà m’għadhiex tista’ tiġi ddelegata biss lid-dipartiment tal-IT. Il-bord għandu jifhem, jissorvelja u japprova l-qafas tal-ġestjoni tar-riskju taċ-ċibersigurtà.

L-ewwel pass huwa li din l-istruttura tiġi formalizzata. Il-politiki tal-organizzazzjoni għandhom jirriflettu dan l-approċċ minn fuq għal isfel. Skont il-P01S Politika dwar il-Politiki tas-Sigurtà tal-Informazzjoni - SME, dokument fundamentali għal kwalunkwe ISMS, il-qafas tal-politiki nnifsu jeħtieġ approvazzjoni espliċita mill-ogħla livell.

Il-politiki tas-sigurtà tal-informazzjoni għandhom jiġu approvati mill-maniġment, ippubblikati u kkomunikati lill-impjegati u lill-partijiet esterni rilevanti.

Dan ifisser li l-maniġment ikun involut b’mod attiv fl-iffissar tad-direzzjoni. Dan jissaħħaħ aktar permezz tad-definizzjoni ta’ rwoli ċari. Il-P02S Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza - SME tiddikjara li “ir-responsabbiltajiet tas-sigurtà tal-informazzjoni għandhom jiġu definiti u allokati,” u tiżgura li ma jkunx hemm ambigwità dwar min huwa responsabbli għal kull aspett tal-programm tas-sigurtà. Għal NIS2 u DORA, dan għandu jinkludi individwu jew kumitat maħtur responsabbli għar-rappurtar tal-istatus tal-konformità direttament lill-korp maniġerjali.

Azzjonijiet ewlenin:

• Assenja sponsor fil-livell tal-bord għaċ-ċibersigurtà u r-reżiljenza.
• Skeda rieżamijiet regolari mill-bord tal-prestazzjoni tal-ISMS u tal-konformità regolatorja.
• Iddokumenta d-deċiżjonijiet, l-azzjonijiet u l-evidenza tas-sorveljanza.

2. Implimenta qafas komprensiv għall-ġestjoni tar-riskju

Erġa’ evalwa u aġġorna l-proċess tiegħek għall-valutazzjoni tar-riskju. Kif indikat fil-Gwida għall-Implimentazzjoni tal-Metodoloġija ta’ Valutazzjoni tar-Riskju, “NIS2 u DORA jeħtieġu valutazzjonijiet tar-riskju dinamiċi u mmexxija mit-theddid li jmorru lil hinn minn rieżamijiet statiċi annwali. L-organizzazzjonijiet għandhom jintegraw intelligence dwar it-theddid (A.5.7) u jiżguraw li l-valutazzjonijiet tar-riskju jiġu aġġornati b’reazzjoni għal bidliet fil-pajsaġġ tat-theddid jew fl-ambjent tan-negozju.” Zenith Controls. NIS2 tmur lil hinn minn valutazzjoni ġenerika tar-riskju billi timponi miżuri konkreti ta’ ġestjoni tar-riskju f’Article 21, inklużi s-sigurtà tal-katina tal-provvista, l-immaniġġjar tal-inċidenti, il-kontinwità tan-negozju u l-użu tal-kontrolli kriptografiċi. Dawn ir-rekwiżiti għandhom ikunu implimentati b’mod li jista’ jintwera u rieżaminati regolarment, u dan jagħmilha ċara li l-konformità mhijiex biss dwar dokumentazzjoni iżda dwar prattiki operattivi li jistgħu jiġu ppruvati.

Azzjonijiet ewlenin:

• Integra intelligence dwar it-theddid f’ħin reali fil-valutazzjonijiet tar-riskju.
• Żgura li l-valutazzjonijiet tar-riskju jkopru b’mod espliċitu r-riskji tal-katina tal-provvista u r-riskji ta’ partijiet terzi tal-ICT (A.5.29).
• Iddokumenta u ipprovdi evidenza tal-proċess ta’ rieżami u aġġornament.

Dan il-proċess għandu jkun kontinwu u iterattiv, mhux attività annwali ta’ mmarkar ta’ kaxxa. Jinvolvi kollox, mis-sigurtà tal-katina tal-provvista sal-għarfien tal-impjegati.

3. Saħħaħ ir-rispons għall-inċidenti u r-rappurtar

L-iskadenzi stretti għar-rappurtar taħt NIS2 (notifika inizjali fi żmien 24 siegħa) u l-iskema dettaljata ta’ klassifikazzjoni u rappurtar taħt DORA jeħtieġu funzjoni matura ħafna ta’ ġestjoni tal-inċidenti. Dan jeħtieġ aktar minn SOC; jeħtieġ pjan definit sew u pprattikat.

Il-P30S Politika dwar ir-Rispons għall-Inċidenti - SME tipprovdi l-mudell operattiv għal din il-kapaċità. Tenfasizza li “l-organizzazzjoni għandha tippjana u tipprepara għall-ġestjoni ta’ inċidenti tas-sigurtà tal-informazzjoni billi tiddefinixxi, tistabbilixxi u tikkomunika l-proċessi, ir-rwoli u r-responsabbiltajiet tal-ġestjoni tal-inċidenti tas-sigurtà tal-informazzjoni.” Ir-rispons għall-inċidenti huwa punt fokali kemm ta’ NIS2 kif ukoll ta’ DORA. Il-Politika tal-Ġestjoni tal-Inċidenti tas-Sigurtà tal-Informazzjoni (Taqsima 4.2) tiddikjara:

L-organizzazzjonijiet għandhom jimplimentaw proċeduri biex jiskopru, jirrappurtaw u jirrispondu għall-inċidenti fi ħdan l-iskadenzi meħtieġa mir-regolamenti applikabbli, u jżommu reġistri dettaljati għal skopijiet ta’ awditjar.

Elementi ewlenin li għandhom jiġu implimentati jinkludu:

• Definizzjoni ċara ta’ “inċident sinifikanti” li tattiva l-arloġġ tar-rappurtar għal NIS2 u DORA.
• Kanali ta’ komunikazzjoni definiti minn qabel u mudelli għar-rappurtar lir-regolaturi, lis-CSIRTs u lil partijiet interessati oħra.
• Eżerċizzji u simulazzjonijiet regolari fuq il-mejda biex jiġi żgurat li t-tim tar-rispons jista’ jwettaq il-pjan b’mod effettiv taħt pressjoni.
• Proċessi ta’ rieżami wara l-inċident biex l-organizzazzjoni titgħallem minn kull avveniment u ttejjeb kontinwament il-kapaċità tar-rispons.

4. Saħħaħ il-ġestjoni tar-riskju tal-katina tal-provvista u ta’ partijiet terzi

DORA, b’mod partikolari, jgħolli l-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT minn attività ta’ diliġenza dovuta għal dixxiplina ċentrali tar-reżiljenza operattiva. L-entitajiet finanzjarji issa huma espliċitament responsabbli għar-reżiljenza tal-fornituri kritiċi tal-ICT tagħhom. NIS2 teħtieġ ukoll li l-entitajiet jindirizzaw ir-riskji li jirriżultaw mill-fornituri tagħhom.

Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri, Taqsima 5.2 - SME teħtieġ li:

Qabel l-ingaġġ, kull fornitur għandu jiġi rieżaminat għal riskji potenzjali.

Tiddeskrivi wkoll il-kontrolli meħtieġa, billi tgħid li “ir-rekwiżiti tal-organizzazzjoni għas-sigurtà tal-informazzjoni għandhom jiġu miftiehma mal-fornituri u dokumentati.” Għal DORA u NIS2, dan imur lil hinn:

• Żomm reġistru tal-fornituri terzi kollha tal-ICT, b’distinzjoni ċara għal dawk meqjusa “kritiċi”.
• Żgura li l-kuntratti jinkludu klawżoli speċifiċi li jkopru l-kontrolli tas-sigurtà, id-drittijiet ta’ awditjar u l-istrateġiji ta’ ħruġ. DORA huwa preskrittiv ħafna f’dan ir-rigward.
• Wettaq valutazzjonijiet regolari tar-riskju tal-fornituri kritiċi, mhux biss waqt l-inklużjoni inizjali iżda matul iċ-ċiklu tal-ħajja kollu tar-relazzjoni.
• Żviluppa pjanijiet ta’ kontinġenza għall-falliment jew it-terminazzjoni ta’ relazzjoni ma’ fornitur kritiku biex tiġi żgurata l-kontinwità tas-servizz.

5. Ibni u ttestja r-reżiljenza

Fl-aħħar nett, iż-żewġ regolamenti huma fundamentalment dwar ir-reżiljenza. L-organizzazzjoni tiegħek għandha tkun kapaċi żżomm operazzjonijiet kritiċi waqt u wara inċident taċ-ċibersigurtà. Dan jeħtieġ programm komprensiv ta’ Ġestjoni tal-Kontinwità tan-Negozju (BCM).

Il-Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru - SME tenfasizza l-ħtieġa li s-sigurtà tiġi inkorporata fl-ippjanar tal-BCM. Tiddikjara li “l-organizzazzjoni għandha tiddetermina r-rekwiżiti tagħha għas-sigurtà tal-informazzjoni u għall-kontinwità tal-ġestjoni tas-sigurtà tal-informazzjoni f’sitwazzjonijiet avversi.” Dan ifisser li l-pjanijiet tiegħek ta’ BCM u Irkupru minn Diżastru (DR) għandhom jiġu ddisinjati bil-possibbiltà ta’ attakki ċibernetiċi f’moħħhom. Azzjonijiet ewlenin jinkludu:

• It-twettiq ta’ analiżijiet tal-impatt fuq in-negozju (BIAs) biex jiġu identifikati proċessi kritiċi u l-objettivi ta’ ħin għall-irkupru (RTOs) tagħhom.
• L-iżvilupp u d-dokumentazzjoni ta’ pjanijiet ta’ BCM u DR li jkunu ċari, azzjonabbli u aċċessibbli.
• L-ittestjar regolari ta’ dawn il-pjanijiet permezz ta’ xenarji realistiċi, inklużi simulazzjonijiet ta’ attakki ċibernetiċi. Ir-rekwiżit ta’ DORA għal Threat-Led Penetration Testing għal entitajiet deżinjati huwa l-ogħla livell ta’ din il-prattika.

Billi jsegwu dawn il-passi u jinkorporawhom f’ISMS allinjat ma’ ISO 27001, l-organizzazzjonijiet jistgħu jibnu programm ta’ konformità difensibbli u effettiv li jilħaq il-livell għoli stabbilit kemm minn NIS2 kif ukoll minn DORA.

Ngħaqqdu l-punti: għarfien dwar il-konformità trasversali

Wieħed mill-aktar modi effiċjenti biex jiġu indirizzati NIS2 u DORA huwa li jiġi rikonoxxut l-overlap sinifikanti tagħhom ma’ standards eżistenti u rikonoxxuti globalment, b’mod partikolari l-qafas ISO/IEC 27001 u 27002. Meta dawn ir-regolamenti l-ġodda jitqiesu mil-lenti tal-kontrolli ISO, l-organizzazzjonijiet jistgħu jisfruttaw l-investimenti eżistenti tagħhom fl-ISMS u jevitaw li jerġgħu jibnu kollox mill-bidu.

Zenith Controls jipprovdi referenzi inkroċjati kritiċi li jdawlu dawn il-konnessjonijiet, u juri kif kontroll wieħed minn ISO/IEC 27002:2022 jista’ jgħin biex jiġu ssodisfati rekwiżiti minn diversi regolamenti.

Governanza u politika (ISO/IEC 27002:2022 Control 5.1): Il-mandat għas-sorveljanza mill-korp maniġerjali huwa pedament kemm ta’ NIS2 kif ukoll ta’ DORA. Dan huwa allinjat perfettament ma’ Control 5.1, li jiffoka fuq l-istabbiliment ta’ politiki ċari għas-sigurtà tal-informazzjoni. Kif jispjega Zenith Controls, dan il-kontroll huwa fundamentali biex jintwera l-impenn tat-tmexxija.

Dan il-kontroll jappoġġja direttament NIS2 Article 20, li jżomm lill-korpi maniġerjali responsabbli għas-sorveljanza tal-implimentazzjoni tal-miżuri tal-ġestjoni tar-riskju taċ-ċibersigurtà. Huwa allinjat ukoll ma’ DORA Article 5, li jeħtieġ li l-korp maniġerjali jiddefinixxi, japprova u jissorvelja l-qafas tar-reżiljenza operattiva diġitali.

Billi timplimenta qafas robust ta’ politiki approvat u rieżaminat regolarment mit-tmexxija, toħloq l-evidenza primarja meħtieġa biex tissodisfa dawn l-artikoli kruċjali tal-governanza.

Ġestjoni tal-inċidenti (ISO/IEC 27002:2022 Control 5.24): Ir-rekwiżiti impenjattivi tar-rappurtar tal-inċidenti taż-żewġ regolamenti jiġu indirizzati direttament permezz ta’ pjan matur għall-ġestjoni tal-inċidenti. Control 5.24 (ippjanar u tħejjija għall-ġestjoni tal-inċidenti tas-sigurtà tal-informazzjoni) jipprovdi l-istruttura għal dan. L-allinjament huwa espliċitu:

Dan il-kontroll huwa essenzjali għall-konformità ma’ NIS2 Article 21(2), li jimponi miżuri għall-immaniġġjar ta’ inċidenti tas-sigurtà, u Article 23, li jistabbilixxi skadenzi stretti għar-rappurtar tal-inċidenti. Huwa jimmappa wkoll mal-proċess dettaljat tal-ġestjoni tal-inċidenti ta’ DORA deskritt f’Article 17, li jinkludi l-klassifikazzjoni u r-rappurtar ta’ inċidenti maġġuri relatati mal-ICT.

Pjan ta’ rispons għall-inċidenti dokumentat tajjeb u ttestjat, ibbażat fuq dan il-kontroll, mhuwiex biss prattika tajba; huwa prerekwiżit dirett għall-konformità ma’ NIS2 u DORA.

Riskju ta’ partijiet terzi tal-ICT (ISO/IEC 27002:2022 Control 5.19): L-enfasi qawwija ta’ DORA fuq il-katina tal-provvista hija waħda mill-karatteristiċi ewlenin tiegħu. Control 5.19 (sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri) jipprovdi l-qafas għall-ġestjoni ta’ dawn ir-riskji. Zenith Controls jenfasizza din ir-rabta kritika:

Dan il-kontroll huwa fundamentali biex jiġu indirizzati r-rekwiżiti estensivi f’DORA Chapter V dwar il-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT. Jappoġġja wkoll NIS2 Article 21(2)(d), li jeħtieġ li l-entitajiet jiżguraw is-sigurtà tal-ktajjen tal-provvista tagħhom, inklużi r-relazzjonijiet bejn kull entità u l-fornituri diretti tagħha.

L-implimentazzjoni tal-proċessi deskritti f’Control 5.19, bħall-iskrinjar tal-fornituri, il-ftehimiet kuntrattwali u l-monitoraġġ kontinwu, tibni l-kapaċitajiet eżatti li DORA u NIS2 jeħtieġu.

Kontinwità tan-negozju (ISO/IEC 27002:2022 Control 5.30): Fil-qalba tiegħu, DORA huwa dwar ir-reżiljenza. Control 5.30 (tħejjija tal-ICT għall-kontinwità tan-negozju) huwa l-ekwivalenti ISO ta’ dan il-prinċipju. Ir-rabta hija diretta u b’saħħitha.

Dan il-kontroll huwa l-pedament biex jintlaħaq l-għan ewlieni ta’ DORA, jiġifieri li tiġi żgurata l-kontinwità tan-negozju u r-reżiljenza tas-sistemi tal-ICT. Jappoġġja direttament ir-rekwiżiti deskritti f’DORA Chapter III (Digital Operational Resilience Testing) u Chapter IV (Managing ICT Third-Party Risk). Huwa allinjat ukoll ma’ NIS2 Article 21(2)(e), li jimponi politiki dwar il-kontinwità tan-negozju, bħall-ġestjoni tal-backup u l-irkupru minn diżastru.

Billi tibni l-programm BCM tiegħek madwar dan il-kontroll, tkun qed tibni fl-istess ħin il-bażi għall-konformità ma’ DORA. Dan juri li ISO 27001 mhuwiex mogħdija parallela biss, iżda faċilitatur dirett biex jintlaħqu t-talbiet regolatorji l-ġodda tal-Ewropa.

Ħarsa rapida: Anness A ta’ ISO 27001 kontra NIS2 kontra DORA

Dan l-allinjament juri kif kontroll ISO wieħed jista’ jgħin biex jiġu ssodisfati diversi talbiet regolatorji, u jagħmel lil ISO 27001 faċilitatur dirett tal-konformità ma’ NIS2 u DORA.

Tħejjija għall-iskrutinju: x’se jistaqsu l-awdituri

Meta r-regolaturi jew l-awdituri jiġu jinvestigaw, ikunu qed ifittxu evidenza tanġibbli ta’ programm tas-sigurtà u tar-reżiljenza ħaj u operattiv, mhux biss sett ta’ dokumenti. Se jfittxu prova li l-politiki tiegħek huma implimentati, li l-kontrolli tiegħek huma effettivi u li l-pjanijiet tiegħek huma ttestjati. Il-fehim tal-fokus tagħhom jippermettilek tipprepara l-evidenza t-tajba u tiżgura li t-timijiet tiegħek ikunu lesti jwieġbu mistoqsijiet diffiċli.

Il-gwida minn Zenith Blueprint, pjan direzzjonali għall-awdituri, tipprovdi għarfien prezzjuż dwar x’għandek tistenna. L-awdituri jaħdmu b’mod sistematiku permezz ta’ oqsma ewlenin, u trid tkun ippreparat għal kull wieħed minnhom.

Din hija lista ta’ kontroll ta’ dak li se jitolbu l-awdituri u x’se jagħmlu, abbażi tal-metodoloġija tagħhom:

1. Governanza u impenn tal-maniġment:

• X’se jitolbu: minuti tal-laqgħat tal-bord, charters tal-kumitati tar-riskju u kopji ffirmati tal-politiki ewlenin tas-sigurtà tal-informazzjoni.
• X’se jagħmlu: Kif deskritt f’Zenith Blueprint “Phase 1, Step 3: Understand the Governance Framework,” l-awdituri se “jivverifikaw li l-korp maniġerjali approva formalment il-politika tal-ISMS u jiġi infurmat regolarment dwar il-qagħda tar-riskju tal-organizzazzjoni.” Qed ifittxu evidenza ta’ involviment attiv, mhux sempliċement firma fuq dokument ta’ sena ilu.

2. Ġestjoni tar-riskju ta’ partijiet terzi:

• X’se jitolbu: inventarju sħiħ tal-fornituri tal-ICT, kuntratti ma’ fornituri kritiċi, rapporti ta’ valutazzjoni tar-riskju tal-fornituri u evidenza ta’ monitoraġġ kontinwu.
• X’se jagħmlu: Matul “Phase 4, Step 22: Assess Third-Party Risk Management,” il-fokus tal-awditur ikun fuq id-diliġenza dovuta u r-rigorożità kuntrattwali. Zenith Blueprint jinnota l-evidenza ewlenija meħtieġa: “Kuntratti, Service Level Agreements (SLAs), u rapporti ta’ awditjar mill-fornituri.” Huma se jeżaminaw dawn id-dokumenti biex jiżguraw li fihom il-klawżoli speċifiċi imposti minn DORA, bħad-drittijiet ta’ awditjar u obbligi ċari tas-sigurtà.

3. Pjanijiet tar-rispons għall-inċidenti u tal-kontinwità tan-negozju:

• X’se jitolbu: il-pjan tiegħek tar-rispons għall-inċidenti, il-pjan tal-kontinwità tan-negozju, il-pjan ta’ rkupru minn diżastru u, l-aktar importanti, ir-riżultati tal-aħħar testijiet, eżerċizzji u simulazzjonijiet tiegħek.
• X’se jagħmlu: L-awdituri mhux se jaqraw biss il-pjanijiet tiegħek. Kif dettaljat f’“Phase 3, Step 15: Review Incident Response and Business Continuity Plans,” il-fokus tagħhom ikun fuq “ittestjar u validazzjoni tal-pjanijiet.” Huma se jitolbu rapporti ta’ wara l-azzjoni minn eżerċizzji fuq il-mejda, riżultati ta’ testijiet ta’ penetrazzjoni (speċjalment rapporti TLPT għal DORA), u evidenza li s-sejbiet minn dawn it-testijiet ġew traċċati sal-azzjonijiet ta’ rimedju. Pjan li qatt ma ġie ttestjat jitqies minn awditur bħala pjan li ma jeżistix.

4. Għarfien u taħriġ dwar is-sigurtà:

• X’se jitolbu: materjal ta’ taħriġ, reġistri tat-tlestija għal gruppi differenti ta’ impjegati (inkluż il-korp maniġerjali), u riżultati minn simulazzjonijiet ta’ phishing.
• X’se jagħmlu: F’“Phase 2, Step 10: Evaluate Security Awareness and Training,” l-awdituri se “jevalwaw l-effettività tal-programm ta’ taħriġ billi jirrieżaminaw il-kontenut, il-frekwenza u r-rati ta’ tlestija tiegħu.” Huma jkunu jridu jaraw li t-taħriġ ikun adattat għal rwoli speċifiċi u li l-effettività tiegħu titkejjel.

Li tkun ippreparat b’din l-evidenza minn qabel jittrasforma awditu minn ġirja stressanti u reattiva għal dimostrazzjoni bla xkiel tal-maturità tal-organizzazzjoni tiegħek u tal-impenn tagħha għar-reżiljenza.

Żbalji komuni

Għalkemm it-triq lejn il-konformità ma’ NIS2 u DORA hija ċara, hemm diversi żbalji komuni li jistgħu jtellfu anki sforzi b’intenzjoni tajba. Li tkun konxju ta’ dawn in-nases huwa l-ewwel pass biex tevitahom.

1. Il-mentalità “IT biss”: Li NIS2 u DORA jitqiesu bħala problema biss tad-dipartiment tal-IT jew taċ-ċibersigurtà huwa l-iżball l-aktar komuni. Dawn huma regolamenti fil-livell tan-negozju ffukati fuq ir-reżiljenza operattiva. Mingħajr appoġġ u parteċipazzjoni attiva mill-korp maniġerjali u mill-mexxejja tal-unitajiet tan-negozju, kwalunkwe sforz ta’ konformità jonqos milli jindirizza r-rekwiżiti ewlenin tal-governanza u tas-sjieda tar-riskju.

2. Sottovalutazzjoni tal-katina tal-provvista: Ħafna organizzazzjonijiet għandhom nuqqas serju ta’ viżibbiltà fuq l-estent veru tad-dipendenza tagħhom fuq fornituri terzi tal-ICT. DORA, b’mod partikolari, jeħtieġ fehim profond u eżawrjenti ta’ dan l-ekosistema. Li jintbagħat biss kwestjonarju tas-sigurtà m’għadux biżżejjed. Nuqqas li jiġu identifikati b’mod xieraq il-fornituri kritiċi kollha u li jiġu inkorporati rekwiżiti robusti tas-sigurtà u tar-reżiljenza fil-kuntratti huwa lakuna kbira fil-konformità.

3. Reżiljenza “fuq il-karta”: Il-ħolqien ta’ pjanijiet dettaljati għar-rispons għall-inċidenti u għall-kontinwità tan-negozju li jidhru tajbin fuq il-karta iżda li qatt ma ġew ittestjati f’xenarju realistiku. L-awdituri u r-regolaturi jindunaw b’dan minnufih. Ir-reżiljenza tiġi ppruvata permezz ta’ azzjoni, mhux permezz ta’ dokumentazzjoni. Nuqqas ta’ ttestjar regolari u rigoruż huwa sinjal ta’ twissija li l-organizzazzjoni mhijiex ippreparata għal kriżi reali.

4. Injorar tal-intelligence dwar it-theddid: Li tirreaġixxi biss għat-theddid huwa approċċ tellief. Kemm NIS2 kif ukoll DORA jitolbu, b’mod impliċitu u espliċitu, approċċ aktar proattiv għas-sigurtà mmexxi minn intelligence. Organizzazzjonijiet li jonqsu milli jistabbilixxu proċess għall-ġbir, l-analiżi u l-azzjoni fuq l-intelligence dwar it-theddid ikollhom diffikultà juru li qed jimmaniġġjaw ir-riskju b’mod effettiv u jibqgħu dejjem pass wara l-attakkanti.

5. It-trattament tal-konformità bħala proġett ta’ darba: NIS2 u DORA mhumiex proġetti b’data tat-tmiem. Huma jistabbilixxu rekwiżit kontinwu għal monitoraġġ, rappurtar u titjib kontinwu. Organizzazzjonijiet li jaraw dan bħala tellieqa lejn l-iskadenza, biex imbagħad inaqqsu r-riżorsi wara, malajr jaqgħu barra mill-konformità u jsibu ruħhom mhux ippreparati għall-awditu li jmiss jew, agħar minn hekk, għall-inċident li jmiss.

Passi li jmiss

Il-vjaġġ lejn il-konformità ma’ NIS2 u DORA huwa maratona, mhux sprint. Jeħtieġ approċċ strateġiku u strutturat ibbażat fuq oqfsa ppruvati. L-aktar triq effettiva ’l quddiem hija li tuża l-kontrolli komprensivi ta’ ISO 27001 bħala l-bażi tiegħek.

1. Wettaq analiżi tal-lakuni: Ibda billi tevalwa l-qagħda attwali tiegħek kontra r-rekwiżiti ta’ NIS2, DORA u ISO 27001. Il-gwida ewlenija tagħna, Zenith Controls, tipprovdi l-immappjar dettaljat li għandek bżonn biex tifhem fejn il-kontrolli tiegħek jissodisfaw ir-rekwiżiti u fejn jeżistu lakuni.

2. Ibni l-ISMS tiegħek: Jekk għad m’għandekx wieħed, stabbilixxi Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni formali. Uża s-sett tagħna ta’ mudelli ta’ politiki, bħall-Full SME Pack - SME jew Full Enterprise Pack, biex taċċellera l-iżvilupp tal-qafas tal-governanza tiegħek.

3. Ipprepara għall-awditi: Adotta l-mentalità ta’ awditur mill-ewwel jum. Uża Zenith Blueprint biex tifhem kif il-programm tiegħek se jiġi eżaminat u biex tibni l-bażi ta’ evidenza li għandek bżonn biex turi l-konformità b’kunfidenza.

Konklużjoni

Il-wasla tad-Direttiva NIS2 u tar-Regolament DORA timmarka mument kruċjali għaċ-ċibersigurtà u r-reżiljenza operattiva fl-Ewropa. Mhumiex sempliċement aġġornamenti inkrementali għar-regoli eżistenti, iżda riformulazzjoni fundamentali tal-aspettattivi regolatorji, li teħtieġ responsabbiltà akbar mit-tmexxija, skrutinju aktar profond tal-katina tal-provvista u impenn tanġibbli għar-reżiljenza.

Għalkemm l-isfida hija sinifikanti, hija wkoll opportunità. Hija opportunità biex l-organizzazzjoni tmur lil hinn mill-konformità ta’ mmarkar ta’ kaxxi u tibni qagħda tas-sigurtà tassew robusta li mhux biss tissodisfa lir-regolaturi iżda tipproteġi wkoll lin-negozju mit-theddida dejjem tikber tat-tfixkil. Billi jużaw l-approċċ strutturat u bbażat fuq ir-riskju ta’ ISO 27001, l-organizzazzjonijiet jistgħu jibnu programm wieħed u unifikat li jindirizza r-rekwiżiti ewlenin taż-żewġ regolamenti b’mod effiċjenti u effettiv. It-triq ’il quddiem teħtieġ impenn, investiment u bidla kulturali mmexxija minn fuq, iżda r-riżultat huwa organizzazzjoni li mhijiex biss konformi, iżda ġenwinament reżiljenti quddiem it-theddid diġitali modern.