Immappjar tal-evidenza ta’ NIS2 ma’ ISO 27001:2022 għall-2026
Il-problema ta’ NIS2 għall-2026 mhijiex is-sensibilizzazzjoni, iżda l-prova
Huwa t-Tnejn filgħodu, 08:35. Maria, l-Uffiċjal Kap għas-Sigurtà tal-Informazzjoni (CISO) li għadha kif inħatret ta’ fornitur B2B ta’ servizzi cloud u servizzi ġestiti li qed jikber malajr, tidħol fil-laqgħa trimestrali tar-riskju tal-bord b’evalwazzjoni voluminuża tal-lakuni ta’ NIS2 miftuħa fuq il-laptop tagħha. L-ewwel slide tidher rassiguranti. Il-politiki jeżistu. Teżisti valutazzjoni tar-riskju. Ir-rispons għall-inċidenti huwa dokumentat. Il-fornituri huma elenkati. L-iskannjar tal-vulnerabbiltajiet isir kull xahar.
Imbagħad il-president jistaqsi l-mistoqsija li tbiddel il-laqgħa:
“Nistgħu nippruvaw li dawn il-miżuri ħadmu fit-trimestru li għadda, u nistgħu nuru liema kontrolli, sidien u reġistri ta’ ISO 27001:2022 jappoġġaw kull obbligu ta’ NIS2?”
Il-kamra taqa’ fis-skiet.
Il-funzjoni legali taf li l-kumpanija taqa’ fil-kamp ta’ applikazzjoni ta’ NIS2 għaliex tipprovdi servizzi ICT ġestiti u servizzi cloud lil klijenti tal-UE. Il-Konformità taf li l-Artikolu 21 jeħtieġ miżuri tekniċi, operazzjonali u organizzattivi għall-ġestjoni tar-riskji taċ-ċibersigurtà. L-Operazzjonijiet jafu li t-tim japplika patches lis-sistemi, jirrieżamina l-fornituri u jimmonitorja l-logs. Iżda l-evidenza hija mifruxa bejn sistemi ta’ tickets, esportazzjonijiet SIEM, folders tal-politiki, spreadsheets, consoles tal-cloud, portali tal-fornituri u noti tal-laqgħat.
Ħadd ma jista’ juri malajr katina difensibbli mill-Artikolu 21 ta’ NIS2 sal-kamp ta’ applikazzjoni, riskju, kontroll, politika, sid, proċedura, reġistru operattiv u sejba tal-awditjar ta’ ISO 27001:2022.
Dik hija l-isfida reali tal-2026.
Ħafna organizzazzjonijiet m’għadhomx jistaqsu, “Aħna fil-kamp ta’ applikazzjoni ta’ NIS2?” Qed jistaqsu mistoqsija aktar diffiċli: “Nistgħu nippruvaw li l-miżuri tekniċi tagħna ta’ NIS2 tassew jaħdmu?” It-tweġiba ma tistax tkun spreadsheet ta’ immappjar ta’ darba. Għandha tkun mudell operattiv ħaj fi ħdan is-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni, fejn l-obbligi legali jiġu tradotti f’riskji, politiki, kontrolli, sidien, evidenza u titjib kontinwu.
Il-mudell ta’ Clarysec juża ISO/IEC 27001:2022 bħala s-sinsla tas-sistema ta’ ġestjoni, l-Artikolu 21 ta’ NIS2 bħala s-sett ta’ obbligi regolatorji, il-klawżoli tal-politiki bħala r-regoli operattivi, Zenith Blueprint: pjan direzzjonali ta’ 30 pass għall-awdituri bħala t-triq tal-implimentazzjoni, u Zenith Controls: il-gwida għall-konformità trasversali bħala l-mappa tal-konformità trasversali għal ISO 27001:2022, NIS2, DORA, GDPR, NIST CSF u assigurazzjoni stil COBIT.
Ibda mill-kamp ta’ applikazzjoni, għax l-evidenza ta’ NIS2 tibda qabel il-kontrolli
Falliment komuni f’NIS2 huwa li wieħed jaqbeż direttament għal MFA, illoggjar, rispons għall-inċidenti u ġestjoni tal-vulnerabbiltajiet qabel ma jikkonferma l-kamp ta’ applikazzjoni tal-entità, tas-servizz u tal-ġurisdizzjoni.
NIS2 tapplika għal entitajiet pubbliċi u privati koperti f’setturi rregolati li jissodisfaw kriterji ta’ daqs u attività, b’ċerti tipi ta’ entitajiet koperti irrispettivament mid-daqs. Il-kategoriji diġitali u ICT rilevanti jinkludu fornituri ta’ servizzi tal-cloud computing, fornituri ta’ servizzi taċ-ċentri tad-data, fornituri ta’ networks għall-kunsinna tal-kontenut, fornituri ta’ servizzi fiduċjarji, fornituri ta’ komunikazzjonijiet elettroniċi pubbliċi, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi tas-sigurtà ġestiti, swieq online, magni tat-tiftix online u pjattaformi ta’ networking soċjali.
Għall-fornituri cloud, pjattaformi SaaS, MSPs, MSSPs u fornituri ta’ infrastruttura diġitali, dan ix-xogħol ta’ determinazzjoni tal-kamp ta’ applikazzjoni mhuwiex teoretiku. L-Artikolu 3 jeħtieġ li l-Istati Membri jiddistingwu bejn entitajiet essenzjali u entitajiet importanti. L-Artikolu 27 jeħtieġ li ENISA żżomm reġistru għal diversi fornituri diġitali u ICT, inklużi fornituri ta’ servizzi DNS, reġistri tal-ismijiet TLD, fornituri ta’ servizzi ta’ reġistrazzjoni ta’ ismijiet ta’ dominji, fornituri ta’ servizzi tal-cloud computing, fornituri ta’ servizzi taċ-ċentri tad-data, fornituri ta’ networks għall-kunsinna tal-kontenut, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi tas-sigurtà ġestiti, swieq online, magni tat-tiftix online u pjattaformi ta’ networking soċjali.
ISO 27001:2022 tagħti l-istruttura t-tajba. Il-klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tifhem kwistjonijiet esterni u interni, partijiet interessati, rekwiżiti, interfaċċi u dipendenzi, u mbagħad tiddefinixxi l-kamp ta’ applikazzjoni tal-ISMS. NIS2 għandha tinqabad hawnhekk, mhux titħalla f’memo legali.
Reġistru prattiku tal-kamp ta’ applikazzjoni ta’ NIS2 għandu jinkludi:
- Analiżi tal-entità legali u tal-istabbiliment fl-UE
- Settur u kategorija tas-servizz taħt NIS2
- Status ta’ entità essenzjali jew importanti, fejn ikkonfermat mil-liġi nazzjonali jew minn deżinjazzjoni tal-awtorità
- Rilevanza għar-reġistru ENISA, fejn applikabbli
- Servizzi kritiċi pprovduti lill-klijenti
- Sistemi tan-network u tal-informazzjoni li jappoġġaw dawk is-servizzi
- Dipendenzi fuq fornituri tas-servizzi cloud, taċ-ċentri tad-data, tat-telekomunikazzjoni, tal-monitoraġġ tas-sigurtà, tal-identità u tas-software
- Rabtiet ma’ DORA, GDPR, kuntratti tal-klijenti u obbligi speċifiċi għas-settur
- Repożitorji tal-evidenza, sidien tas-sistemi u frekwenza tar-rieżami
Hawnhekk ukoll DORA għandha tiġi separata b’mod korrett. NIS2 tirrikonoxxi li, fejn att legali settorjali tal-UE jimponi obbligi ekwivalenti ta’ ġestjoni tar-riskji taċ-ċibersigurtà jew ta’ notifika tal-inċidenti, dak ir-reġim settorjali japplika minflok id-dispożizzjonijiet korrispondenti ta’ NIS2. Għall-entitajiet finanzjarji koperti, DORA hija ġeneralment ir-reġim operattiv għaċ-ċibersigurtà u għar-rappurtar ta’ inċidenti ICT. DORA tapplika mis-17 ta’ Jannar 2025 u tkopri l-ġestjoni tar-riskju tal-ICT, ir-rappurtar tal-inċidenti, l-ittestjar tar-reżiljenza operattiva diġitali, ir-riskju ta’ partijiet terzi ICT u s-sorveljanza ta’ fornituri terzi kritiċi tas-servizzi ICT.
Għalhekk, grupp fintech jista’ jkollu trattamenti ta’ konformità differenti fi ħdan struttura korporattiva waħda. L-entità tal-pagamenti tista’ tkun primarjament taħt DORA. Is-sussidjarja MSP tista’ tkun direttament taħt NIS2. Pjattaforma cloud kondiviża tista’ tappoġġa t-tnejn. It-tweġiba matura mhijiex kontrolli duplikati. Hija mudell wieħed ta’ evidenza tal-ISMS li jista’ jservi diversi perspettivi regolatorji.
ISO 27001:2022 bħala s-sistema operattiva tal-konformità ma’ NIS2
L-Artikolu 21 ta’ NIS2 jeħtieġ miżuri tekniċi, operazzjonali u organizzattivi xierqa u proporzjonati biex jiġu ġestiti r-riskji għas-sistemi tan-network u tal-informazzjoni u biex jiġi evitat jew minimizzat l-impatt tal-inċidenti fuq ir-riċevituri tas-servizzi u fuq servizzi oħra.
ISO 27001:2022 hija adattata tajjeb biex toperazzjonalizza dak ir-rekwiżit għaliex timponi tliet dixxiplini.
L-ewwel, governanza. Il-klawżoli 5.1 sa 5.3 jeħtieġu impenn mit-Tmexxija Għolja, allinjament mad-direzzjoni strateġika, riżorsi, komunikazzjoni, assenjazzjoni tar-responsabbiltajiet u Politika tas-Sigurtà tal-Informazzjoni dokumentata. Dan jallinja direttament mal-Artikolu 20 ta’ NIS2, li jeħtieġ li l-korpi ta’ tmexxija japprovaw miżuri għall-ġestjoni tar-riskji taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni u jirċievu taħriġ.
It-tieni, trattament tar-riskju. Il-klawżoli 6.1.1 sa 6.1.3 jeħtieġu proċess ripetibbli ta’ valutazzjoni tar-riskju, sidien tar-riskju, evalwazzjoni tar-riskju, għażliet ta’ trattament, għażla tal-kontrolli, Dikjarazzjoni ta’ Applikabbiltà, Pjan ta’ Trattament tar-Riskju u approvazzjoni tar-riskju residwu.
It-tielet, kontroll operattiv. Il-klawżola 8.1 teħtieġ li l-organizzazzjoni tippjana, timplimenta u tikkontrolla l-proċessi tal-ISMS, iżżomm informazzjoni dokumentata, tikkontrolla l-bidliet u timmaniġġja proċessi, prodotti u servizzi pprovduti esternament li huma rilevanti għall-ISMS.
Dan jittrasforma NIS2 minn lista ta’ kontroll legali għal mudell operattiv ta’ kontrolli.
| Qasam tal-miżura tal-Artikolu 21 ta’ NIS2 | Mekkaniżmu operattiv ta’ ISO 27001:2022 | Kontrolli ewlenin tal-Anness A ta’ ISO 27001:2022 | Evidenza li tipprova l-operat |
|---|---|---|---|
| Analiżi tar-riskju u politiki tas-sigurtà | Kamp ta’ applikazzjoni tal-ISMS, valutazzjoni tar-riskju, Pjan ta’ Trattament tar-Riskju, Dikjarazzjoni ta’ Applikabbiltà, qafas tal-politiki | 5.1 Politiki għas-sigurtà tal-informazzjoni, 5.31 Rekwiżiti legali, statutorji, regolatorji u kuntrattwali, 5.36 Konformità ma’ politiki, regoli u standards għas-sigurtà tal-informazzjoni | Reġistru tar-Riskji, SoA, approvazzjonijiet tal-politiki, Reġistru tal-Konformità, minuti tar-Rieżami tal-Ġestjoni |
| Ġestjoni tal-inċidenti | Proċess ta’ rispons għall-inċidenti, triage, eskalazzjoni, komunikazzjonijiet, tagħlimiet miksuba | 5.24 Ippjanar u tħejjija għall-ġestjoni tal-inċidenti, 5.25 Evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni, 5.26 Rispons għal inċidenti tas-sigurtà tal-informazzjoni, 5.27 Tagħlim minn inċidenti tas-sigurtà tal-informazzjoni, 5.28 Ġbir tal-evidenza | Reġistru tal-inċidenti, linji taż-żmien, deċiżjonijiet, notifiki, analiżi tal-kawża ewlenija, azzjonijiet korrettivi |
| Kontinwità tan-negozju u ġestjoni tal-kriżijiet | BIA, ġestjoni tal-backup, irkupru minn diżastru, playbooks tal-kriżijiet, eżerċizzji | 5.29 Sigurtà tal-informazzjoni waqt tfixkil, 5.30 Tħejjija tal-ICT għall-kontinwità tan-negozju, 8.13 Backup tal-informazzjoni | Riżultati tat-testijiet tal-backup, rapporti tat-testijiet ta’ rkupru, reġistri tal-eżerċizzji tal-kriżijiet, approvazzjonijiet tal-BIA |
| Sigurtà tal-katina tal-provvista | Diliġenza dovuta tal-fornituri, klawżoli tas-sigurtà, monitoraġġ, governanza tal-cloud, ippjanar tal-ħruġ | 5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri, 5.20 Indirizzar tas-sigurtà tal-informazzjoni fil-ftehimiet mal-fornituri, 5.21 Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT, 5.22 Monitoraġġ, rieżami u ġestjoni tat-tibdil tas-servizzi tal-fornituri, 5.23 Sigurtà tal-informazzjoni għall-użu ta’ servizzi cloud | Reġistru tal-fornituri, reġistri tad-diliġenza dovuta, klawżoli kuntrattwali, rieżamijiet tal-monitoraġġ, pjanijiet tal-ħruġ |
| Akkwist sigur, żvilupp u ġestjoni tal-vulnerabbiltajiet | SDLC sigur, skannjar tal-vulnerabbiltajiet, SLAs tal-patching, fluss tax-xogħol tal-iżvelar | 8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi, 8.25 Ċiklu tal-ħajja tal-iżvilupp sigur, 8.26 Rekwiżiti tas-sigurtà tal-applikazzjonijiet, 8.28 Kodifikazzjoni sigura | Riżultati tal-iskannjar, tickets, approvazzjonijiet tar-rilaxx, skans ta’ verifika, approvazzjonijiet tal-eċċezzjonijiet |
| Iġjene ċibernetika u taħriġ | Programm ta’ sensibilizzazzjoni, taħriġ ibbażat fuq ir-rwol, regoli tal-endpoints, konfigurazzjoni sigura, applikazzjoni ta’ patches | 6.3 Sensibilizzazzjoni, edukazzjoni u taħriġ dwar is-sigurtà tal-informazzjoni, 8.1 Apparati endpoint tal-utenti, 8.5 Login sigur, 8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi, 8.9 Ġestjoni tal-konfigurazzjoni | Reġistri tat-taħriġ, riżultati tal-phishing, rapporti tal-konformità tal-endpoints, dashboards tal-patches |
| Kontrolli kriptografiċi, kontroll tal-aċċess, MFA u komunikazzjonijiet siguri | Standard kriptografiku, ċiklu tal-ħajja tal-IAM, aċċess privileġġjat, login sigur, sigurtà tan-network | 5.17 Informazzjoni ta’ awtentikazzjoni, 8.2 Drittijiet tal-aċċess privileġġjat, 8.3 Restrizzjoni tal-aċċess għall-informazzjoni, 8.5 Login sigur, 8.20 Sigurtà tan-networks, 8.24 Użu ta’ kontrolli kriptografiċi | Rieżamijiet tal-aċċess, rapporti tal-MFA, settings tal-kriptaġġ, logs tal-aċċess privileġġjat, reġistri tal-konfigurazzjoni tan-network |
| Evalwazzjoni tal-effettività tal-kontrolli | Awditjar intern, ittestjar tal-kontrolli, metriċi, Rieżami tal-Ġestjoni, azzjoni korrettiva | 5.35 Rieżami indipendenti tas-sigurtà tal-informazzjoni, 5.36 Konformità ma’ politiki, regoli u standards għas-sigurtà tal-informazzjoni | Rapporti tal-awditjar intern, kampjuni tal-kontrolli, nuqqasijiet ta’ konformità, traċċar tal-azzjonijiet korrettivi |
Kull ringiela teħtieġ sid, sors tar-reġistru u metodu ta’ kampjunar. Jekk dawn jonqsu, l-organizzazzjoni għandha aspirazzjoni ta’ kontroll, mhux kontroll.
Il-politika hija fejn NIS2 issir imġiba operattiva
Il-politiki spiss jiġu ttrattati bħala mudelli. Għal NIS2, dan huwa perikoluż. Regolatur jew awditur mhux se jkun konvint b’folder ta’ politiki jekk il-politiki ma jassenjawx is-sjieda, ma jiddefinixxux ir-reġistri, ma jorbtux mar-riskji u ma jipproduċux evidenza.
Il-Politika dwar il-Konformità Legali u Regolatorja għall-intrapriżi tistabbilixxi l-bażi fil-klawżola 6.2.1:
L-obbligi legali u regolatorji kollha għandhom jiġu mmappjati ma’ politiki, kontrolli u sidien speċifiċi fi ħdan is-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS).
Dik il-klawżola hija l-pont bejn NIS2 u ISO 27001:2022. L-Artikolu 21 ta’ NIS2 ma jiġix sempliċement elenkat bħala rekwiżit estern. Jiġi mqassam f’obbligi tal-politika, immappjat mal-kontrolli, assenjat lis-sidien u ttestjat permezz tal-evidenza.
Għal organizzazzjonijiet iżgħar, il-Politika dwar il-Konformità Legali u Regolatorja għall-SMEs iżżomm l-istess kunċett b’mod ħafif. Il-klawżola 5.1.1 teħtieġ:
Il-Maniġer Ġenerali għandu jżomm Reġistru tal-Konformità sempliċi u strutturat li jelenka:
Is-sentenza hija intenzjonalment prattika. L-SMEs m’għandhomx bżonn implimentazzjoni GRC kumplessa biex jibdew. Jeħtieġu Reġistru tal-Konformità li jaqbad l-obbligu, l-applikabbiltà, is-sid, il-politika, l-evidenza u l-frekwenza tar-rieżami.
It-trattament tar-riskju mbagħad jikkonverti l-obbligu f’azzjoni. Il-Politika tal-Ġestjoni tar-Riskji għall-intrapriżi, fil-klawżola 6.4.2, tgħid:
L-Uffiċjal tar-Riskju għandu jiżgura li t-trattamenti jkunu realistiċi, marbuta biż-żmien u mmappjati mal-kontrolli tal-Anness A ta’ ISO/IEC 27001.
Għall-SMEs, il-Politika tal-Ġestjoni tar-Riskji - SME, fil-klawżola 5.1.2, tagħti r-reġistru minimu vijabbli tar-riskju:
Kull daħla tar-riskju għandha tinkludi: deskrizzjoni, probabbiltà, impatt, punteġġ, sid u pjan ta’ trattament.
Dawn il-klawżoli huma importanti għaliex NIS2 hija espliċitament ibbażata fuq ir-riskju u proporzjonata. L-Artikolu 21 jistenna li l-miżuri jirriflettu l-istat tal-arti, standards rilevanti, l-ispiża tal-implimentazzjoni, l-espożizzjoni għar-riskju, id-daqs, il-probabbiltà u s-severità tal-inċidenti, inkluż l-impatt soċjali u ekonomiku. Reġistru tar-riskji mingħajr sidien u pjanijiet ta’ trattament ma jistax jipprova l-proporzjonalità.
Il-Politika tas-Sigurtà tal-Informazzjoni għall-intrapriżi tlesti l-prinċipju tal-evidenza fil-klawżola 6.6.1:
Il-kontrolli implimentati kollha għandhom ikunu awditjabbli, appoġġati minn proċeduri dokumentati u minn evidenza miżmuma tal-operat.
Din hija d-differenza bejn li jkollok programm NIS2 u li jkollok programm ta’ evidenza NIS2.
It-triq ta’ Clarysec mill-immappjar għall-operat
Il-Zenith Blueprint huwa ta’ valur għaliex jirrifletti kif jaħsbu l-awdituri. Huma ma jistaqsux biss jekk kontroll jeżistix. Jistaqsu għaliex intgħażel, fejn huwa dokumentat, kif jopera, min għandu r-responsabbiltà tiegħu, liema evidenza tipprovah u kif l-organizzazzjoni ttejjbu.
Fil-fażi tal-Ġestjoni tar-Riskji, il-Pass 13 jgħid lit-timijiet iżidu traċċabbiltà bejn ir-riskji, il-kontrolli u l-klawżoli:
✓ Immappja l-kontrolli mar-riskji: Fil-pjan ta’ trattament tar-Reġistru tar-Riskji tiegħek, inti elenkajt ċerti kontrolli għal kull riskju. Tista’ żżid kolonna “Referenza tal-Kontroll tal-Anness A” għal kull riskju u telenka n-numri tal-kontrolli.
Għal NIS2, dan ifisser li r-Reġistru tar-Riskji u d-Dikjarazzjoni ta’ Applikabbiltà għandhom juru għaliex kontrolli bħal 8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi, 5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri u 5.24 Ippjanar u tħejjija għall-ġestjoni tal-inċidenti huma applikabbli.
Il-Pass 14 tal-Zenith Blueprint jagħmel l-immappjar regolatorju espliċitu:
Għal kull regolament, jekk applikabbli, tista’ toħloq tabella sempliċi ta’ immappjar (tista’ tkun appendiċi f’rapport) li telenka r-rekwiżiti ewlenin tas-sigurtà tar-regolament u l-kontrolli/il-politiki korrispondenti fl-ISMS tiegħek.
Dan jipprevjeni l-frammentazzjoni. Is-sigurtà tad-data personali taħt GDPR, ir-rappurtar tal-inċidenti taħt NIS2, l-ittestjar tar-reżiljenza ICT taħt DORA u l-impenji tas-sigurtà mal-klijenti kollha jistgħu jiddependu fuq l-istess evidenza: rieżamijiet tal-aċċess, rimedjazzjoni tal-vulnerabbiltajiet, reġistri tal-illoggjar, testijiet tal-backup, rieżamijiet tal-fornituri u rapporti tal-inċidenti.
Il-Pass 19 imexxi mid-disinn għall-operat:
Rabat kull wieħed minn dawn id-dokumenti mal-kontroll xieraq fis-SoA tiegħek jew fil-manwal tal-ISMS. Dawn iservu bħala prova tal-implimentazzjoni u referenza interna.
Is-sett ta’ dokumentazzjoni tal-Pass 19 jinkludi sigurtà tal-endpoints, ġestjoni tal-aċċess, awtentikazzjoni, linji bażi ta’ konfigurazzjoni sigura, illoggjar u monitoraġġ, ġestjoni tal-patches, ġestjoni tal-vulnerabbiltajiet, ippjanar tal-kapaċità u rappurtar tal-Operazzjonijiet tal-IT. Dawn huma eżattament id-dokumenti operattivi meħtieġa biex il-miżuri tekniċi ta’ NIS2 ikunu lesti għall-awditjar.
Il-Pass 26 jispjega kif għandha tinġabar l-evidenza tal-awditjar:
Meta tiġbor l-evidenza, irreġistra s-sejbiet tiegħek. Innota fejn l-affarijiet jikkonformaw mar-rekwiżit (sejbiet pożittivi) u fejn ma jikkonformawx (nuqqasijiet potenzjali ta’ konformità jew osservazzjonijiet).
Għal NIS2, dan ifisser li jsir kampjunar tal-evidenza qabel ma regolatur, valutatur tal-klijent jew awditur taċ-ċertifikazzjoni jitlobha.
Ir-rwol ta’ konformità trasversali ta’ Zenith Controls
Zenith Controls mhuwiex qafas ta’ kontroll separat. Huwa l-gwida ta’ Clarysec għall-konformità trasversali għall-immappjar tal-kontrolli ISO/IEC 27001:2022 u ISO/IEC 27002:2022 ma’ kontrolli relatati, aspettattivi tal-awditjar u oqfsa esterni. Jgħin lit-timijiet jifhmu kif kontroll wieħed ta’ ISO 27001:2022 jista’ jappoġġa NIS2, DORA, GDPR, NIST CSF 2.0 u assigurazzjoni stil COBIT.
Tliet kontrolli ISO 27001:2022 huma partikolarment importanti għall-immappjar tal-evidenza ta’ NIS2.
Il-kontroll 5.1 Politiki għas-sigurtà tal-informazzjoni huwa l-punt tad-dħul għaliex l-Artikolu 21 ta’ NIS2 jinkludi analiżi tar-riskju u politiki tas-sigurtà tas-sistemi tal-informazzjoni. Jekk miżura teknika ta’ NIS2 ma tkunx riflessa fil-politika, ikun diffiċli li tiġi ggvernata u diffiċli li tiġi awditjata b’mod konsistenti.
Il-kontroll 5.36 Konformità ma’ politiki, regoli u standards għas-sigurtà tal-informazzjoni huwa l-kontroll tar-realtà. Jgħaqqad ir-rekwiżiti tal-politika mal-konformità effettiva mar-regoli interni, l-istandards u l-obbligi esterni. F’termini ta’ NIS2, hawnhekk organizzazzjoni tistaqsi jekk hix tagħmel dak li l-immappjar tagħha tal-Artikolu 21 jgħid li tagħmel.
Il-kontroll 8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi huwa wieħed mill-oqsma l-aktar diffiċli għat-testijiet tal-2026. Il-ġestjoni tal-vulnerabbiltajiet hija direttament rilevanti għall-akkwist sigur, l-iżvilupp, il-manutenzjoni, il-ġestjoni tal-vulnerabbiltajiet u l-iżvelar. Tappoġġa wkoll l-ittestjar u r-rimedjazzjoni ta’ DORA, ir-responsabbiltà tas-sigurtà taħt GDPR, ir-riżultati Identify u Protect ta’ NIST CSF, u l-kampjunar tal-awditjar ta’ ISO 27001.
Standards ta’ appoġġ jistgħu jsaħħu d-disinn mingħajr ma jeħtieġu ċertifikazzjonijiet addizzjonali. ISO/IEC 27002:2022 tipprovdi gwida għall-implimentazzjoni tal-kontrolli tal-Anness A. ISO/IEC 27005 tappoġġa l-ġestjoni tar-riskji tas-sigurtà tal-informazzjoni. ISO/IEC 27017 tappoġġa s-sigurtà tal-cloud. ISO/IEC 27018 tappoġġa l-protezzjoni ta’ informazzjoni li tidentifika persuna f’xenarji ta’ proċessur cloud pubbliku. ISO 22301 tappoġġa l-kontinwità tan-negozju. ISO/IEC 27035 tappoġġa l-ġestjoni tal-inċidenti. ISO/IEC 27036 tappoġġa s-sigurtà fir-relazzjonijiet mal-fornituri.
L-objettiv mhuwiex aktar standards għalihom infushom. L-objettiv huwa disinn aħjar tal-evidenza.
Eżempju prattiku: ibni pakkett ta’ evidenza NIS2 għall-vulnerabbiltajiet
Ikkunsidra l-pjattaforma SaaS ta’ Maria. Isservi klijenti tal-manifattura fl-UE u tiddependi fuq servizzi cloud, komponenti open-source, pipelines ta’ CI/CD u monitoraġġ ġestit. Ir-rapport tal-lakuni tagħha jgħid “ġestjoni tal-vulnerabbiltajiet implimentata”, iżda l-evidenza hija mifruxa bejn scanners, Jira, GitHub, għodod tal-konfigurazzjoni tal-cloud u tickets tat-tibdil.
Pakkett ta’ evidenza lest għal NIS2 jista’ jinbena fi sprint wieħed iffukat.
Pass 1: Iddefinixxi x-xenarju tar-riskju
Riskju: vulnerabbiltà sfruttabbli f’applikazzjoni aċċessibbli mill-internet, dipendenza jew komponent cloud tikkawża tfixkil tas-servizz, aċċess mhux awtorizzat jew espożizzjoni tad-data tal-klijenti.
Ir-Reġistru tar-Riskji għandu jinkludi deskrizzjoni, probabbiltà, impatt, punteġġ, sid u pjan ta’ trattament. Il-pjan ta’ trattament għandu jirreferi għall-kontroll 8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi ta’ ISO 27001:2022, flimkien ma’ kontrolli relatati għall-inventarju tal-assi, żvilupp sigur, illoggjar, kontroll tal-aċċess, ġestjoni tal-fornituri u rispons għall-inċidenti.
Pass 2: Immappja r-riskju mal-Artikolu 21 ta’ NIS2
Ir-riskju jappoġġa r-rekwiżiti tal-Artikolu 21 għall-akkwist, l-iżvilupp u l-manutenzjoni siguri, il-ġestjoni tal-vulnerabbiltajiet u l-iżvelar, l-analiżi tar-riskju, il-ġestjoni tal-inċidenti, is-sigurtà tal-katina tal-provvista u l-evalwazzjoni tal-effettività tal-kontrolli.
Pass 3: Qabbad ir-regoli operattivi mal-politika
Uża proċedura ta’ ġestjoni tal-vulnerabbiltajiet, standard ta’ żvilupp sigur, rekwiżiti tal-ġestjoni tal-patches, politika tal-ittestjar tas-sigurtà u regoli dwar l-evidenza tal-awditjar.
Il-Politika tal-Ittestjar tas-Sigurtà u r-Red-Teaming għall-intrapriżi, fil-klawżola 6.1, tgħid:
Tipi ta’ testijiet: Il-programm ta’ ttestjar tas-sigurtà għandu jinkludi, bħala minimu: (a) skannjar tal-vulnerabbiltajiet, li jikkonsisti fi skans awtomatizzati kull ġimgħa jew kull xahar tan-networks u l-applikazzjonijiet biex jiġu identifikati vulnerabbiltajiet magħrufa; (b) ittestjar ta’ penetrazzjoni, li jikkonsisti f’ittestjar manwali fil-fond ta’ sistemi jew applikazzjonijiet speċifiċi minn testers b’ħiliet biex jiġu identifikati dgħufijiet kumplessi; u (c) eżerċizzji ta’ red teaming, li jikkonsistu f’simulazzjonijiet ibbażati fuq xenarji ta’ attakki reali, inkluża inġinerija soċjali u tattiċi oħra, biex jiġu ttestjati l-kapaċitajiet ta’ skoperta u rispons tal-organizzazzjoni kollha kemm hi.
Dik il-klawżola toħloq linja bażi difensibbli tal-ittestjar. Taqbel ukoll mal-aspettattiva ta’ DORA għal ittestjar rikorrenti u bbażat fuq ir-riskju tar-reżiljenza operattiva diġitali għal entitajiet finanzjarji koperti.
Pass 4: Iddefinixxi l-metadata tal-evidenza
Il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità - SME, fil-klawżola 6.2.3, tgħid:
Il-metadata (eż., min ġabarha, meta u minn liema sistema) għandha tiġi dokumentata.
Għall-evidenza tal-vulnerabbiltajiet, il-pakkett għandu jaqbad:
- Isem u konfigurazzjoni tal-iskanner
- Data u ħin tal-iskan
- Kamp ta’ applikazzjoni tal-assi u esklużjonijiet
- Sejbiet kritiċi u għoljin
- Numru tat-ticket u sid
- Deċiżjoni dwar patch jew mitigazzjoni
- Deċiżjoni dwar aċċettazzjoni tar-riskju, fejn applikabbli
- Data tar-rimedjazzjoni
- Skan ta’ verifika
- Rabta mar-reġistru tat-tibdil
- Sid tal-eċċezzjoni u data tal-iskadenza
Pass 5: Żid evidenza tal-illoggjar
Il-Politika tal-Illoggjar u l-Monitoraġġ - SME, fil-klawżola 5.4.4, tinkludi logs tas-sistema bħal:
Logs tas-sistema: bidliet fil-konfigurazzjoni, azzjonijiet amministrattivi, installazzjonijiet tas-software, attività ta’ patching
Ticket tal-patch waħdu jista’ ma jippruvax li l-bidla seħħet. Logs tal-konfigurazzjoni, azzjonijiet amministrattivi u reġistri tal-installazzjoni tas-software isaħħu l-katina tal-evidenza.
Pass 6: Mexxi kampjun tal-awditjar
Agħżel ħames vulnerabbiltajiet kritiċi jew għoljin mit-trimestru preċedenti. Għal kull punt, ivverifika li l-assi kien fl-inventarju, l-iskanner skopra s-sejba, infetaħ ticket fi żmien l-SLA, ġie assenjat sid, ir-rimedjazzjoni kienet taqbel mas-severità u l-isfruttabbiltà, il-logs juru l-bidla, il-verifika tikkonferma l-għeluq u kull eċċezzjoni għandha approvazzjoni mis-sid tar-riskju b’data tal-iskadenza.
Dak l-isprint jipproduċi pakkett ta’ evidenza tal-vulnerabbiltajiet lest għal NIS2 u kampjun ta’ awditjar intern ISO 27001:2022.
Is-sigurtà tal-fornituri hija governanza tal-ekosistema
L-Artikolu 21 ta’ NIS2 jeħtieġ sigurtà tal-katina tal-provvista, inklużi aspetti tas-sigurtà fir-relazzjonijiet ma’ fornituri diretti u fornituri tas-servizzi. Jistenna wkoll li l-organizzazzjonijiet jikkunsidraw il-vulnerabbiltajiet tal-fornituri, il-kwalità tal-prodotti, il-prattiki taċ-ċibersigurtà tal-fornituri u l-prattiki ta’ żvilupp sigur.
Hawnhekk l-ewwel verżjoni tar-rapport tal-lakuni ta’ Maria kienet l-aktar dgħajfa. Elenkat il-fornituri, iżda ma ppruvatx diliġenza dovuta, klawżoli kuntrattwali tas-sigurtà, monitoraġġ jew tħejjija għall-ħruġ.
Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri tipprovdi l-ankra tal-politika. L-implimentazzjoni relatata tista’ tiġi appoġġata mill-Politika dwar l-Iżvilupp Sigur, il-Politika dwar is-Sensibilizzazzjoni u t-Taħriġ dwar is-Sigurtà tal-Informazzjoni, il-Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u l-Patches, il-Politika tal-Kontrolli Kriptografiċi, il-Politika dwar il-Kontroll tal-Aċċess u l-Politika dwar ix-Xogħol Remot.
Reġistru wieħed tal-evidenza tal-fornituri jista’ jappoġġa NIS2, DORA u ISO 27001:2022.
| Punt ta’ evidenza tal-fornitur | Rilevanza għal NIS2 | Rilevanza għal DORA | Rilevanza għal ISO 27001:2022 |
|---|---|---|---|
| Klassifikazzjoni tal-kritiċità tal-fornitur | Tidentifika r-riskju tal-fornitur tas-servizz u l-impatt soċjali jew ekonomiku potenzjali | Tappoġġa l-analiżi ta’ funzjonijiet kritiċi jew importanti | Tappoġġa t-trattament tar-riskju tal-fornitur u l-għażla tal-kontrolli |
| Diliġenza dovuta tas-sigurtà | Tevalwa l-prattiki taċ-ċibersigurtà tal-fornitur u r-riskju tal-prodott | Tappoġġa evalwazzjoni qabel il-kuntratt u matul iċ-ċiklu tal-ħajja | Tappoġġa 5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri |
| Klawżoli kuntrattwali tas-sigurtà | Tiddefinixxi appoġġ għall-inċidenti, obbligi tas-sigurtà u dmirijiet ta’ notifika | Tappoġġa rekwiżiti kuntrattwali ta’ partijiet terzi ICT | Tappoġġa 5.20 Indirizzar tas-sigurtà tal-informazzjoni fil-ftehimiet mal-fornituri |
| Rieżami tal-katina tal-provvista ICT | Jindirizza dipendenzi, software, cloud u riskju tas-subkuntratturi | Tappoġġa sorveljanza tal-konċentrazzjoni u tas-subkuntrattar | Tappoġġa 5.21 Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT |
| Rieżami tal-monitoraġġ | Juri evalwazzjoni kontinwa tal-prestazzjoni u s-sigurtà tal-fornitur | Tappoġġa sorveljanza taċ-ċiklu tal-ħajja u preċiżjoni tar-reġistru | Tappoġġa 5.22 Monitoraġġ, rieżami u ġestjoni tat-tibdil tas-servizzi tal-fornituri |
| Evalwazzjoni tas-servizz cloud | Tindirizza konfigurazzjoni tal-cloud, responsabbiltà kondiviża u reżiljenza | Tappoġġa sorveljanza tas-servizzi ICT relatati mal-cloud | Tappoġġa 5.23 Sigurtà tal-informazzjoni għall-użu ta’ servizzi cloud |
| Pjan tal-ħruġ | Inaqqas it-tfixkil, il-vendor lock-in u r-riskju għall-kontinwità | Tappoġġa rekwiżiti ta’ strateġija tal-ħruġ | Tappoġġa ġestjoni tal-ħruġ mill-fornituri u mill-cloud |
Din it-tabella tipprevjeni kwestjonarji duplikati, reġistri duplikati u sjieda kontradittorja tal-kontrolli.
Fluss tax-xogħol wieħed għall-inċidenti għal NIS2, DORA u GDPR
L-Artikolu 23 ta’ NIS2 jeħtieġ li inċidenti sinifikanti jiġu notifikati mingħajr dewmien żejjed. Jistabbilixxi linja taż-żmien fi stadji: twissija bikrija fi żmien 24 siegħa mill-għarfien, notifika tal-inċident fi żmien 72 siegħa b’evalwazzjoni inizjali tas-severità jew tal-impatt u indikaturi ta’ kompromess disponibbli, aġġornamenti interim jekk jintalbu, u rapport finali mhux aktar tard minn xahar wara n-notifika tal-inċident.
DORA għandha ċiklu tal-ħajja simili għall-entitajiet finanzjarji: sejbien, klassifikazzjoni, illoggjar, evalwazzjoni tas-severità, eskalazzjoni, komunikazzjoni mal-klijenti, rappurtar lill-awtoritajiet, analiżi tal-kawża ewlenija u rimedjazzjoni. GDPR iżżid analiżi ta’ ksur ta’ data personali, inklużi r-rwoli ta’ kontrollur u proċessur, l-impatt fuq is-suġġetti tad-data u l-linja taż-żmien ta’ notifika ta’ 72 siegħa fejn applikabbli.
Id-disinn korrett mhuwiex tliet proċessi tal-inċidenti. Huwa fluss tax-xogħol wieħed għall-inċidenti b’fergħat ta’ deċiżjoni regolatorji.
Il-Politika ta’ Rispons għall-Inċidenti - SME, fil-klawżola 5.4.1, tgħid:
L-investigazzjonijiet kollha tal-inċidenti, is-sejbiet u l-azzjonijiet korrettivi għandhom jiġu rreġistrati f’reġistru tal-inċidenti miżmum mill-Maniġer Ġenerali.
Reġistru robust tal-inċidenti għandu jinkludi:
| Qasam | Għaliex huwa importanti għal NIS2, DORA u GDPR |
|---|---|
| Timestamp tal-għarfien | Jibda l-analiżi tat-twissija bikrija u tan-notifika tal-inċident taħt NIS2 |
| Impatt fuq is-servizz | Jappoġġa s-sinifikat taħt NIS2 u l-klassifikazzjoni tal-kritiċità taħt DORA |
| Impatt fuq id-data | Jappoġġa l-analiżi ta’ ksur ta’ data personali taħt GDPR |
| Pajjiżi u klijenti affettwati | Jappoġġa deċiżjonijiet dwar notifiki transkonfinali u notifiki lir-riċevituri |
| Indikaturi ta’ kompromess | Jappoġġa l-kontenut tan-notifika ta’ 72 siegħa taħt NIS2 |
| Kawża ewlenija | Tappoġġa r-rappurtar finali u l-azzjoni korrettiva |
| Azzjonijiet ta’ mitigazzjoni u rkupru | Juru kontroll operattiv u restawr tas-servizz |
| Notifiki lill-awtoritajiet u lill-klijenti | Juru deċiżjonijiet u ħinijiet ta’ rappurtar |
| Tagħlimiet miksuba | Jitimgħu t-titjib kontinwu ta’ ISO 27001:2022 |
Ir-rabta ma’ GDPR m’għandhiex tiġi sottovalutata. L-awtoritajiet kompetenti ta’ NIS2 jistgħu jinfurmaw lill-awtoritajiet superviżorji ta’ GDPR fejn fallimenti fil-ġestjoni tar-riskji taċ-ċibersigurtà jew fir-rappurtar jistgħu jinvolvu ksur ta’ data personali. Għalhekk, l-ISMS għandu jagħmel l-evalwazzjoni tal-privatezza parti mit-triage tal-inċidenti, mhux ħsieb wara l-fatt.
Kif l-awdituri u r-regolaturi se jittestjaw l-evidenza NIS2 tiegħek
Organizzazzjoni lesta għall-2026 għandha tistenna li l-istess kontroll jiġi ttestjat minn perspettivi differenti.
Awditur ISO 27001:2022 jibda mill-ISMS. Jistaqsi jekk l-obbligi ta’ NIS2 humiex identifikati bħala rekwiżiti ta’ partijiet interessati, jekk il-kamp ta’ applikazzjoni tal-ISMS ikoprix servizzi u dipendenzi rilevanti, jekk ir-riskji humiex evalwati u ttrattati, jekk id-Dikjarazzjoni ta’ Applikabbiltà tiġġustifikax il-kontrolli applikabbli u jekk ir-reġistri jippruvawx l-operat.
Awtorità kompetenti ta’ NIS2 tiffoka fuq riżultati legali. Tista’ tistaqsi jekk il-miżuri kollha tal-Artikolu 21 humiex indirizzati, jekk il-kontrolli humiex xierqa u proporzjonati, jekk il-maniġment approvax u jissorveljax il-miżuri, u jekk ir-rappurtar tal-inċidenti jistax jilħaq l-iskadenzi meħtieġa.
Superviżur ta’ DORA, għall-entitajiet finanzjarji koperti, jittestja l-ġestjoni tar-riskju tal-ICT, il-klassifikazzjoni tal-inċidenti, l-ittestjar tar-reżiljenza, ir-riskju ta’ partijiet terzi, arranġamenti kuntrattwali, riskju ta’ konċentrazzjoni u strateġiji tal-ħruġ.
Rieżaminatur ta’ GDPR jittestja jekk il-miżuri tekniċi u organizzattivi jipproteġux id-data personali, jekk l-evalwazzjoni tal-ksur hijiex integrata fil-ġestjoni tal-inċidenti, jekk ir-rwoli ta’ kontrollur u proċessur humiex ċari, u jekk jeżistux reġistri ta’ responsabbiltà.
Valutatur bi stil NIST CSF 2.0 jew COBIT 2019 jiffoka fuq governanza, sjieda tar-riskju, metriċi tal-prestazzjoni, riżultati attwali u fil-mira, kapaċità tal-proċessi u allinjament mal-aptit għar-riskju tal-intrapriża.
Il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità għall-intrapriżi, fil-klawżola 3.4, taqbad l-għan tal-evidenza:
Li tiġi ġġenerata evidenza difensibbli u traċċa ta’ awditjar b’appoġġ għal mistoqsijiet regolatorji, proċedimenti legali jew talbiet ta’ assigurazzjoni mill-klijenti.
Dak huwa l-istandard operattiv li t-timijiet NIS2 għandhom jibnu lejh.
Responsabbiltà tal-maniġment: il-bord ma jistax jiddelega NIS2 ’il barra
L-Artikolu 20 ta’ NIS2 jeħtieġ li l-korpi ta’ tmexxija ta’ entitajiet essenzjali u importanti japprovaw miżuri għall-ġestjoni tar-riskji taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni u jirċievu taħriġ. Membri tal-korpi ta’ tmexxija jistgħu jinżammu responsabbli għal ksur, soġġett għar-regoli nazzjonali dwar ir-responsabbiltà.
Dan jallinja mar-rekwiżiti ta’ tmexxija ta’ ISO 27001:2022. It-Tmexxija Għolja għandha tiżgura li l-Politika tas-Sigurtà tal-Informazzjoni u l-objettivi jallinjaw mad-direzzjoni strateġika, jintegraw ir-rekwiżiti tal-ISMS fil-proċessi tan-negozju, jipprovdu riżorsi, jikkomunikaw l-importanza, jassenjaw responsabbiltajiet u jippromwovu t-titjib kontinwu.
Bord m’għandux bżonn esportazzjonijiet mhux ipproċessati mill-iskanners jew logs SIEM sħaħ. Għandu bżonn assigurazzjoni ta’ livell deċiżjonali.
Pakkett trimestrali ta’ evidenza NIS2 għall-bord għandu jinkludi:
- Bidliet fil-kamp ta’ applikazzjoni u fl-istatus regolatorju
- Riskji ewlenin ta’ NIS2 u status tat-trattament
- Dashboard tal-effettività tal-kontrolli tal-Artikolu 21
- Inċidenti sinifikanti, near misses u deċiżjonijiet ta’ rappurtar
- Eċċezzjonijiet tar-riskju tal-fornituri u tas-servizzi cloud
- Sejbiet tal-awditjar intern, azzjonijiet korrettivi u evidenza skaduta
Dan il-pakkett jagħti lill-maniġment l-informazzjoni meħtieġa biex japprova miżuri, jisfida eċċezzjonijiet u jaċċetta riskju residwu.
Il-mudell operattiv ta’ Clarysec għall-2026
L-operazzjonalizzazzjoni tal-miżuri tekniċi ta’ NIS2 permezz ta’ ISO 27001:2022 teħtieġ mudell sempliċi iżda dixxiplinat:
- Iddetermina l-kamp ta’ applikazzjoni ta’ NIS2, DORA, GDPR u obbligi kuntrattwali fi ħdan l-ISMS
- Immappja l-obbligi mar-riskji, il-politiki, il-kontrolli, is-sidien u l-evidenza
- Uża d-Dikjarazzjoni ta’ Applikabbiltà bħala s-sors veru tal-kontrolli
- Ibni pakketti ta’ evidenza għal oqsma tal-Artikolu 21 b’riskju għoli
- Integra r-rappurtar tal-inċidenti fi fluss tax-xogħol regolatorju wieħed
- Ittratta s-sigurtà tal-fornituri bħala ċiklu tal-ħajja, mhux bħala kwestjonarju
- Mexxi awditi interni b’kampjuni reali
- Irrapporta l-effettività tal-kontrolli lill-korpi ta’ tmexxija
- Ittejjeb abbażi ta’ inċidenti, sejbiet tal-awditjar, testijiet u bidliet regolatorji
Għal Maria, il-punt ta’ bidla kien li fehmet li ma kellhiex bżonn proġett NIS2 separat. Kellha bżonn magna tal-evidenza tal-ISMS aktar b’saħħitha.
Il-politiki ta’ Clarysec, Zenith Blueprint u Zenith Controls huma mfassla biex jaħdmu flimkien. Il-politiki jiddefinixxu l-imġiba u r-reġistri mistennija. Il-Zenith Blueprint jagħti t-triq ta’ implimentazzjoni u awditjar fi 30 pass. Zenith Controls jipprovdi l-immappjar tal-konformità trasversali sabiex NIS2, ISO 27001:2022, DORA, GDPR, NIST CSF u assigurazzjoni stil COBIT ikunu jistgħu jiġu ġestiti bħala programm koerenti wieħed.
Il-pass li jmiss: ibni l-mappa tal-evidenza minn NIS2 għal ISO 27001:2022
Jekk ix-xogħol tiegħek fuq NIS2 għadu jgħix fi spreadsheet tal-lakuni, l-2026 hija s-sena biex toperazzjonalizzah.
Ibda b’miżura teknika waħda b’riskju għoli, bħal ġestjoni tal-vulnerabbiltajiet, ġestjoni tal-inċidenti jew sigurtà tal-fornituri. Immappjaha mar-riskji, politiki, kontrolli tal-Anness A, sidien, proċeduri u evidenza ta’ ISO 27001:2022. Imbagħad agħmel kampjunar tar-reġistri tat-trimestru li għadda u staqsi mistoqsija diffiċli: dan jissodisfa regolatur, valutatur tal-klijent u awditur ISO 27001:2022?
Clarysec jista’ jgħinek tibni dik it-tweġiba bl-użu tal-librerija tal-politiki, Zenith Blueprint u Zenith Controls.
L-għan mhuwiex aktar dokumentazzjoni. L-għan huwa evidenza difensibbli u ripetibbli li l-miżuri tekniċi tiegħek ta’ NIS2 tassew jaħdmu.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
