Evidenza tar-reġistrazzjoni NIS2 f’ISO 27001:2022

L-email waslet fil-kaxxa tal-posta ta’ Anna b’daqqa siekta li nħasset aktar bħal sirena. Bħala CISO ta’ CloudFlow, fornitur B2B SaaS li qed jikber malajr u jservi klijenti madwar l-UE, kienet imdorrija bi kwestjonarji tas-sigurtà, awditi tal-akkwist, u żjarat ta’ awditjar ta’ sorveljanza ISO 27001. Dan il-messaġġ kien differenti.

Is-suġġett kien jgħid: “Information Request Regarding National Implementation of Directive (EU) 2022/2555 (NIS2).” L-awtorità nazzjonali taċ-ċibersigurtà riedet li CloudFlow tikkonferma l-klassifikazzjoni tagħha, tipprepara informazzjoni għar-reġistrazzjoni tal-entità, tidentifika s-servizzi fil-kamp ta’ applikazzjoni, u tkun lesta turi miżuri għall-ġestjoni tar-riskju taċ-ċibersigurtà.

Anna kellha ċertifikat ISO 27001:2022 inkwadrat fuq il-ħajt. It-tim tal-bejgħ kien jużah fi ftehimiet ma’ intrapriżi. Il-Bord kien approva l-Politika tas-Sigurtà tal-Informazzjoni. L-Awditjar Intern kien għalaq żewġ sejbiet reċentement. Iżda l-mistoqsija quddiemha kienet aktar diretta mill-istatus taċ-ċertifikazzjoni.

Setgħet CloudFlow turi, malajr u b’mod difensibbli, li l-ISMS tagħha skont ISO 27001:2022 kien ikopri l-obbligi NIS2?

Hawnhekk ħafna organizzazzjonijiet jagħmlu l-pass żbaljat. Jittrattaw ir-reġistrazzjoni tal-entità NIS2 bħala sottomissjoni amministrattiva, bħal aġġornament f’reġistru tan-negozju jew f’portal tat-taxxa. Mhijiex hekk. Ir-reġistrazzjoni hija l-bieb għall-viżibbiltà superviżorja. Wara dak il-bieb, l-awtorità kompetenti tista’ titlob ir-raġunament tal-kamp ta’ applikazzjoni, reġistri tal-approvazzjoni mill-Bord, proċeduri għar-rappurtar tal-inċidenti, evidenza tar-riskju tal-fornituri, punti ta’ kuntatt, metriċi tal-effettività tal-kontrolli, u prova li l-organizzazzjoni taf liema servizzi huma kritiċi.

Għal fornituri SaaS, cloud, servizzi ġestiti, sigurtà ġestita, ċentri tad-data, infrastruttura diġitali, u ċerti fornituri fis-settur finanzjarju, il-mistoqsija reali m’għadhiex “Għandna politika tas-sigurtà?” Hija “Nistgħu nuru katina ta’ evidenza mill-obbligu legali sal-kamp ta’ applikazzjoni tal-ISMS, it-trattament tar-riskju, it-tħaddim tal-kontrolli, u s-sorveljanza tal-maniġment?”

L-aktar programm b’saħħtu ta’ tħejjija għall-applikazzjoni ta’ NIS2 mhuwiex spreadsheet parallela. Huwa mudell ta’ evidenza traċċabbli ġewwa ISO 27001:2022.

Ir-reġistrazzjoni NIS2 hija fil-verità problema ta’ evidenza

NIS2 tapplika b’mod wiesa’ għal entitajiet pubbliċi jew privati f’setturi elenkati fl-Anness I u fl-Anness II li jilħqu jew jaqbżu l-limitu rilevanti ta’ intrapriża ta’ daqs medju. Tinkludi wkoll ċerti entitajiet irrispettivament mid-daqs, inklużi fornituri ta’ networks jew servizzi ta’ komunikazzjonijiet elettroniċi pubbliċi, fornituri ta’ servizzi fiduċjarji, reġistri TLD, fornituri ta’ servizzi DNS, fornituri uniċi ta’ servizzi essenzjali, u entitajiet li t-tfixkil tagħhom jista’ jaffettwa s-sikurezza pubblika, is-saħħa, ir-riskju sistemiku, jew il-kritiċità nazzjonali jew reġjonali.

Għal kumpaniji tat-teknoloġija, il-kategoriji diġitali huma partikolarment importanti. L-Anness I jinkludi infrastruttura diġitali, bħall-fornituri ta’ servizzi tal-cloud computing, fornituri ta’ servizzi taċ-ċentri tad-data, fornituri ta’ networks għad-distribuzzjoni tal-kontenut, fornituri ta’ servizzi fiduċjarji, fornituri ta’ servizzi DNS, u fornituri ta’ networks jew servizzi ta’ komunikazzjonijiet elettroniċi pubbliċi. L-Anness I jinkludi wkoll ġestjoni tas-servizzi tal-ICT għal servizzi business-to-business, inklużi fornituri ta’ servizzi ġestiti u fornituri ta’ servizzi ta’ sigurtà ġestiti. L-Anness II jinkludi fornituri diġitali bħal marketplaces online, magni tat-tiftix online, u pjattaformi ta’ servizzi ta’ netwerking soċjali.

Dan ifisser li organizzazzjoni tista’ tidħol fil-kamp ta’ applikazzjoni ta’ NIS2 mingħajr ma tqis lilha nnifisha bħala “infrastruttura kritika.” Kumpanija B2B SaaS b’funzjonalità ta’ sigurtà ġestita, pjattaforma cloud li tappoġġja klijenti regolati, jew fornitur viċin is-settur fintech jista’ f’daqqa waħda jkollu bżonn fajl tar-reġistrazzjoni, mudell ta’ kuntatt mal-awtorità kompetenti, u storja ta’ kontrolli difensibbli.

NIS2 tiddistingwi wkoll bejn entitajiet essenzjali u importanti. Entitajiet essenzjali ġeneralment jiffaċċjaw mudell ta’ sorveljanza aktar proattiv, filwaqt li entitajiet importanti normalment jiġu ssorveljati wara evidenza ta’ nuqqas ta’ konformità jew inċidenti. Id-distinzjoni hija importanti, iżda ma tneħħix il-ħtieġa għat-tħejjija. Iż-żewġ kategoriji jeħtieġu governanza, ġestjoni tar-riskju, rappurtar tal-inċidenti, sigurtà tal-fornituri, u evidenza.

Entitajiet finanzjarji għandhom jikkunsidraw ukoll DORA. NIS2 Article 4 jirrikonoxxi li meta att legali tal-Unjoni speċifiku għas-settur jimponi obbligi ta’ ġestjoni tar-riskju taċ-ċibersigurtà u ta’ rappurtar tal-inċidenti mill-inqas ekwivalenti, dawk ir-regoli settorjali speċifiċi japplikaw għall-oqsma korrispondenti. DORA japplika mis-17 ta’ Jannar 2025 u jistabbilixxi ġestjoni tar-riskju tal-ICT, rappurtar ta’ inċidenti maġġuri relatati mal-ICT, ittestjar tar-reżiljenza operattiva diġitali, qsim tal-informazzjoni, ġestjoni tar-riskju ta’ partijiet terzi tal-ICT, kontrolli kuntrattwali, u sorveljanza ta’ fornituri kritiċi ta’ servizzi tal-ICT minn partijiet terzi. Għal entitajiet finanzjarji koperti, DORA huwa l-qafas primarju tar-reżiljenza ċibernetika għal rekwiżiti li jikkoinċidu, iżda l-interfaċċi NIS2 u l-koordinazzjoni mal-awtoritajiet nazzjonali xorta jistgħu jkunu rilevanti.

Il-lezzjoni hija sempliċi. Tistenniex il-kamp fil-portal jew l-email tar-regolatur qabel tibni l-evidenza. Kull tweġiba għar-reġistrazzjoni timplika mistoqsija futura ta’ awditjar.

Ibda bil-kamp ta’ applikazzjoni tal-ISMS, mhux bil-formola tal-portal

ISO 27001:2022 huwa utli għax jobbliga lill-organizzazzjoni tiddefinixxi l-kuntest, il-partijiet interessati, l-obbligi regolatorji, il-kamp ta’ applikazzjoni, ir-riskji, il-pjanijiet ta’ trattament, it-tħaddim tal-kontrolli, il-monitoraġġ, l-Awditjar Intern, ir-Rieżami tal-Ġestjoni, u t-titjib.

Il-Klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tiddetermina kwistjonijiet interni u esterni, tidentifika l-partijiet interessati u r-rekwiżiti tagħhom, tiddeċiedi liema rekwiżiti jiġu indirizzati permezz tal-ISMS, tiddefinixxi l-kamp ta’ applikazzjoni tal-ISMS billi tqis interfaċċi u dipendenzi, tiddokumenta dak il-kamp ta’ applikazzjoni, u tħaddem il-proċessi tal-ISMS.

Għal NIS2, dak il-kamp ta’ applikazzjoni għandu jwieġeb mistoqsijiet prattiċi:

• Liema servizzi tal-UE, entitajiet legali, sussidjarji, pjattaformi, komponenti tal-infrastruttura, u unitajiet tan-negozju huma rilevanti?
• Liema kategorija tal-Anness I jew tal-Anness II tista’ tapplika?
• L-organizzazzjoni hija essenzjali, importanti, koperta minn DORA, barra mill-kamp ta’ applikazzjoni, jew għadha qed tistenna klassifikazzjoni nazzjonali?
• Liema servizzi huma kritiċi għall-klijenti, is-sikurezza pubblika, l-istabbiltà finanzjarja, il-kura tas-saħħa, l-infrastruttura diġitali, jew setturi regolati oħra?
• Liema fornituri cloud, MSPs, MSSPs, ċentri tad-data, sottokuntratturi, u fornituri oħra jappoġġjaw dawk is-servizzi?
• Liema Stati Membri, awtoritajiet kompetenti, CSIRTs, DPAs, u superviżuri finanzjarji jistgħu jkunu rilevanti?

Il-Zenith Blueprint: pjan direzzjonali tal-awditur fi 30 pass ta’ Clarysec Zenith Blueprint ipoġġi dan ix-xogħol kmieni, fil-Pass 2, il-Ħtiġijiet tal-Partijiet Interessati u l-Kamp ta’ Applikazzjoni tal-ISMS. Jiggwida lill-organizzazzjonijiet biex jidentifikaw regolaturi u awtoritajiet, jirrieżaminaw rekwiżiti legali u regolatorji, jirrieżaminaw kuntratti u ftehimiet, iwettqu intervisti mal-partijiet interessati, u jqisu standards mistennija tal-industrija.

Punt ta’ azzjoni 4.2: Ikkompila lista tal-partijiet interessati sinifikanti kollha u nnota r-rekwiżiti tagħhom relatati mas-sigurtà tal-informazzjoni. Kun bir-reqqa — aħseb f’kull min jista’ jilmenta jew jiffaċċja konsegwenzi jekk is-sigurtà tiegħek tfalli jew jekk ikun nieqes kontroll partikolari. Din il-lista tiggwida dak li trid tikkonforma miegħu jew tissodisfa permezz tal-ISMS tiegħek u tidħol fl-evalwazzjoni tar-riskju u fl-għażla tal-kontrolli.

Dan huwa l-punt tat-tluq korrett għar-reġistrazzjoni NIS2. Qabel is-sottomissjoni, oħloq memo qasir dwar il-kamp ta’ applikazzjoni NIS2 li jgħaqqad il-mudell tan-negozju mal-kategoriji tal-Anness I jew tal-Anness II, jiddokumenta l-assunzjonijiet dwar id-daqs u s-servizzi, jirreġistra l-interpretazzjoni tal-liġi nazzjonali, jidentifika l-awtoritajiet kompetenti, u jiddikjara jekk DORA, GDPR, kuntratti tal-klijenti, jew regoli settorjali japplikawx ukoll.

Il-Politika dwar il-Konformità Legali u Regolatorja għall-SMEs ta’ Clarysec Politika dwar il-Konformità Legali u Regolatorja - SME tiddefinixxi l-għan b’mod ċar:

“Din il-politika tiddefinixxi l-approċċ tal-organizzazzjoni għall-identifikazzjoni, it-twettiq u l-wiri tal-konformità mal-obbligi legali, regolatorji u kuntrattwali.”

Għal programmi akbar, il-Politika dwar il-Konformità Legali u Regolatorja ta’ Clarysec Politika dwar il-Konformità Legali u Regolatorja hija saħansitra aktar espliċita:

“L-obbligi legali u regolatorji kollha għandhom jiġu mmappjati ma’ politiki, kontrolli, u sidien speċifiċi fis-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS).”

Dik is-sentenza hija l-bażi tat-tħejjija għall-applikazzjoni regolatorja. Jekk regolatur jistaqsi kif ġew identifikati l-obbligi NIS2, it-tweġiba m’għandhiex tkun “il-funzjoni legali tatna parir.” It-tweġiba għandha tkun reġistru dokumentat, marbut mal-kamp ta’ applikazzjoni, ir-riskji, is-sidien tal-kontrolli, il-proċeduri, l-evidenza miżmuma, u r-Rieżami tal-Ġestjoni.

Ibni l-katina ta’ evidenza NIS2 ġewwa ISO 27001:2022

NIS2 Article 21 jeħtieġ li entitajiet essenzjali u importanti jimplimentaw miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati biex jimmaniġġjaw ir-riskji għas-sistemi tan-network u tal-informazzjoni użati għall-operazzjonijiet jew għat-twassil tas-servizzi. Il-miżuri għandhom iqisu l-istat attwali tat-teknoloġija, standards Ewropej u internazzjonali rilevanti fejn applikabbli, l-ispiża, l-espożizzjoni għar-riskju, id-daqs, il-probabbiltà u s-severità tal-inċidenti, u l-impatt soċjali u ekonomiku.

Article 21(2) jelenka oqsma minimi, inklużi analiżi tar-riskju u politiki tas-sigurtà tas-sistemi tal-informazzjoni, ġestjoni tal-inċidenti, kontinwità tan-negozju, backups, irkupru minn diżastru, ġestjoni tal-kriżijiet, sigurtà tal-katina tal-provvista, akkwist u żvilupp siguri, ġestjoni tal-vulnerabbiltajiet, evalwazzjoni tal-effettività, iġjene ċibernetika, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi, awtentikazzjoni b’diversi fatturi jew awtentikazzjoni kontinwa, u komunikazzjonijiet siguri fejn xieraq.

ISO 27001:2022 jimmapja b’mod naturali ma’ dik l-istruttura. Il-Klawżoli 6.1.1 sa 6.1.3 jeħtieġu valutazzjoni tar-riskju u trattament tar-riskju, inklużi kriterji ta’ aċċettazzjoni tar-riskju, sidien tar-riskju, analiżi tal-probabbiltà u tal-konsegwenzi, Pjan ta’ Trattament tar-Riskju, tqabbil mal-kontrolli tal-Anness A, u Dikjarazzjoni ta’ Applikabbiltà. Klawżola 8 teħtieġ ippjanar u kontroll operattiv, evidenza li l-proċessi tħaddmu kif ippjanat, kontroll tat-tibdil, kontroll fuq proċessi pprovduti esternament, evalwazzjonijiet rikorrenti tar-riskju, u riżultati dokumentati tat-trattament. Klawżola 9.1 teħtieġ monitoraġġ, kejl, analiżi, u evalwazzjoni. Klawżola 9.2 teħtieġ Awditjar Intern. Klawżola 10.2 teħtieġ azzjoni fuq nuqqasijiet ta’ konformità u azzjoni korrettiva.

Il-Politika tal-Ġestjoni tar-Riskju ta’ Clarysec Politika tal-Ġestjoni tar-Riskju - SME tibdel dan f’regola operattiva:

“Ir-riskji identifikati kollha għandhom jiġu rreġistrati fir-Reġistru tar-Riskji.”

Il-Politika tal-Ġestjoni tar-Riskju għall-intrapriżi Politika tal-Ġestjoni tar-Riskju torbot it-trattament tar-riskju mal-għażla tal-kontrolli ISO 27001:2022:

“Id-deċiżjonijiet dwar il-kontrolli li jirriżultaw mill-proċess tat-trattament tar-riskju għandhom jiġu riflessi fis-SoA.”

Dan huwa importanti għax l-evidenza NIS2 għandha tkun traċċabbli. Jekk awtorità tistaqsi għaliex jeżisti kontroll, indika l-obbligu, ir-riskju, id-deċiżjoni tat-trattament, is-sid tal-kontroll, l-entrata fis-SoA, il-proċedura, u l-evidenza. Jekk l-awtorità tistaqsi għaliex kontroll ma ntgħażilx, indika l-ġustifikazzjoni fis-SoA, l-aċċettazzjoni tar-riskju approvata, u r-Rieżami tal-Ġestjoni.

L-aħjar katina ta’ evidenza hija ordinarja bl-aħjar mod possibbli. Kull obbligu għandu sid. Kull sid għandu kontroll. Kull kontroll għandu evidenza. Kull eċċezzjoni għandha approvazzjoni. Kull sejba tal-awditjar għandha azzjoni korrettiva.

Poġġi l-governanza ta’ Article 20 fl-evidenza tal-Bord

NIS2 Article 20 idaħħal iċ-ċibersigurtà fil-livell tal-Bord. Il-korpi maniġerjali għandhom japprovaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà adottati għal Article 21, jissorveljaw l-implimentazzjoni, u jistgħu jinżammu responsabbli għal ksur. Il-membri tal-korp maniġerjali għandhom isegwu taħriġ, u l-entitajiet huma mħeġġa jipprovdu taħriġ regolari dwar iċ-ċibersigurtà lill-impjegati.

Bord ma jistax sempliċement jiddelega NIS2 lill-IT. L-evidenza għandha turi li l-maniġment fehem l-analiżi tal-kamp ta’ applikazzjoni NIS2, approva l-approċċ għall-ġestjoni tar-riskju, irrieżamina riskji materjali, alloka riżorsi, segwa l-implimentazzjoni, irrieżamina inċidenti u eżerċizzji, u rċieva taħriġ.

Il-klawżoli 5.1 sa 5.3 ta’ ISO 27001:2022 jappoġġjaw dak il-mudell ta’ governanza billi jeħtieġu impenn tat-tmexxija għolja, allinjament tal-objettivi tas-sigurtà tal-informazzjoni mal-istrateġija tan-negozju, integrazzjoni tar-rekwiżiti tal-ISMS fil-proċessi tan-negozju, riżorsi, komunikazzjoni, responsabbiltà, u rappurtar tal-prestazzjoni tal-ISMS lit-tmexxija għolja.

Il-Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza ta’ Clarysec Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza tiddefinixxi r-rwol ta’ kollegament tas-sigurtà bħala wieħed li:

“Iservi bħala l-kollegament primarju ma’ awdituri, regolaturi, u t-tmexxija għolja dwar kwistjonijiet tas-sigurtà tal-informazzjoni.”

Dak ir-rwol għandu jissemma fil-pakkett tal-evidenza tar-reġistrazzjoni NIS2. M’għandux ikun impliċitu. L-awtoritajiet, l-awdituri u l-klijenti jridu jkunu jafu min jikkoordina l-kuntatt regolatorju, min għandu s-sjieda tar-rappurtar tal-inċidenti, min iżomm ir-reġistru legali, min jaġġorna l-kuntatti tal-awtoritajiet, u min jirrapporta lill-Bord.

Sett prattiku ta’ evidenza tal-governanza jinkludi:

• Approvazzjoni mill-Bord tal-qafas tal-ġestjoni tar-riskju taċ-ċibersigurtà.
• Minuti tar-Rieżami tal-Ġestjoni li jkopru l-kamp ta’ applikazzjoni NIS2, ir-riskji, l-inċidenti, il-fornituri, u t-tħejjija.
• Reġistri tat-taħriġ għall-membri tal-korp maniġerjali u għall-impjegati.
• Matriċi RACI għall-obbligi NIS2, kontrolli ISO 27001:2022, rappurtar tal-inċidenti, assigurazzjoni tal-fornituri, u komunikazzjoni regolatorja.
• Evidenza li l-obbligi NIS2 huma inklużi fl-Awditjar Intern u fil-monitoraġġ tal-konformità.
• Traċċar tal-azzjonijiet korrettivi għal lakuni, riskji skaduti, eċċezzjonijiet, u testijiet falluti.

Articles 32 u 33 jagħmlu wkoll il-kwalità tal-evidenza importanti billi jidentifikaw fatturi ta’ ksur serju bħal ksur ripetut, nuqqas li jiġi notifikat jew rimedjat inċident sinifikanti, nuqqas li jiġu indirizzati nuqqasijiet wara istruzzjonijiet vinkolanti, tfixkil ta’ awditi jew monitoraġġ, u informazzjoni falza jew grossolanament mhux preċiża. Evidenza dgħajfa tista’ ssir problema ta’ applikazzjoni regolatorja anki meta jeżistu kontrolli tekniċi.

Ipprepara l-evidenza tal-kuntatt mal-awtorità u tar-rappurtar tal-inċidenti qabel is-02:00

L-aktar fallimenti koroh fir-rappurtar tal-inċidenti spiss jibdew b’mistoqsija bażika: “Lil min ninnotifikaw?” Waqt ransomware, falliment DNS, kompromess tal-cloud, jew espożizzjoni tad-data, it-timijiet jitilfu l-ħin ifittxu s-CSIRT korrett, l-awtorità kompetenti, id-DPA, is-superviżur finanzjarju, il-kanal tal-infurzar tal-liġi, il-mudell għall-klijenti, u l-approvatur intern.

NIS2 Article 23 jeħtieġ notifika mingħajr dewmien mhux dovut ta’ inċidenti sinifikanti li jaffettwaw il-forniment tas-servizzi. Inċident sinifikanti huwa wieħed li kkawża jew jista’ jikkawża tfixkil operattiv sever jew telf finanzjarju, jew affettwa jew jista’ jaffettwa lil oħrajn billi jikkawża dannu materjali jew mhux materjali konsiderevoli. Il-linja taż-żmien hija f’stadji: twissija bikrija fi żmien 24 siegħa minn meta l-entità ssir konxja, notifika tal-inċident fi żmien 72 siegħa, aġġornamenti interim fuq talba, u rapport finali fi żmien xahar wara n-notifika ta’ 72 siegħa jew wara li l-inċident jiġi ttrattat għal inċidenti li jkunu għadhom għaddejjin. Fejn xieraq, ir-riċevituri tas-servizz għandhom ukoll jiġu infurmati b’inċidenti sinifikanti jew theddid ċibernetiku sinifikanti u miżuri protettivi.

Zenith Blueprint, fil-fażi Controls in Action, Pass 22, jittratta l-kuntatt mal-awtoritajiet bħala tħejjija, mhux paniku:

Il-prinċipju hawnhekk huwa sempliċi: jekk l-organizzazzjoni tiegħek tkun fil-mira ta’ attakk ċibernetiku, involuta fi ksur ta’ data, jew taħt investigazzjoni , min jagħmel is-sejħa lill-awtoritajiet? Kif ikun jaf x’għandu jgħid? Taħt liema kundizzjonijiet jinbeda kuntatt bħal dan? Dawn il-mistoqsijiet għandhom jiġu mwieġba minn qabel , mhux wara l-fatt.

Il-Zenith Controls: il-gwida tal-konformità trasversali ta’ Clarysec Zenith Controls ikopri ISO/IEC 27002:2022 kontroll 5.5, Kuntatt mal-awtoritajiet. Jikklassifika l-kontroll bħala preventiv u korrettiv, marbut mal-kunfidenzjalità, l-integrità u d-disponibbiltà, u konness mal-kunċetti Identify, Protect, Respond u Recover. Jorbot ukoll kontroll 5.5 ma’ kontrolli ISO/IEC 27002:2022 5.24 Ippjanar u tħejjija għall-ġestjoni tal-inċidenti tas-sigurtà tal-informazzjoni, 6.8 Rappurtar tal-avvenimenti tas-sigurtà tal-informazzjoni, 5.7 Intelligence dwar it-theddid, 5.6 Kuntatt ma’ gruppi ta’ interess speċjali, u 5.26 Rispons għal inċidenti tas-sigurtà tal-informazzjoni.

Minn perspettiva ta’ konformità trasversali, Zenith Controls jimmapja l-kuntatt mal-awtoritajiet ma’ NIS2 Article 23, notifika ta’ ksur taħt GDPR, rappurtar tal-inċidenti taħt DORA, NIST SP 800-53 IR-6 Rappurtar tal-Inċidenti, u prattiki ta’ eskalazzjoni esterna COBIT 2019. Reġistru wieħed ta’ kuntatti tal-awtoritajiet jista’ jaqdi diversi obbligi jekk ikun iddisinjat kif suppost.

Il-Politika dwar ir-Rispons għall-Inċidenti ta’ Clarysec Politika dwar ir-Rispons għall-Inċidenti - SME tagħmel it-trijaġġ legali espliċitu:

“Fejn tkun involuta data tal-klijenti, il-Maniġer Ġenerali għandu jevalwa l-obbligi legali ta’ notifika abbażi tal-applikabbiltà ta’ GDPR, NIS2, jew DORA.”

Pakkett b’saħħtu ta’ evidenza tal-kuntatt mal-awtoritajiet għandu jinkludi:

• Dettalji ta’ kuntatt tal-awtorità kompetenti u tas-CSIRT skont l-Istat Membru u s-servizz.
• Kuntatti tad-DPA għan-notifika ta’ ksur ta’ data personali taħt GDPR.
• Kuntatti ta’ superviżjoni finanzjarja jekk DORA japplika.
• Rotot ta’ kuntatt għall-infurzar tal-liġi u għaċ-ċiberkriminalità.
• Komunikaturi interni awtorizzati u sostituti.
• Limiti tal-inċidenti għal NIS2, GDPR, DORA, kuntratti tal-klijenti, u assigurazzjoni ċibernetika.
• Mudelli għat-twissija bikrija ta’ 24 siegħa, in-notifika ta’ 72 siegħa, l-aġġornament interim, u r-rapport ta’ xahar.
• Reġistri ta’ eżerċizzju tabletop li jittestja notifika esterna.
• Reġistri ta’ notifiki preċedenti, deċiżjonijiet li ma ssirx notifika, u raġunament legali.

Immappja NIS2 Article 21 mal-kontrolli ISO 27001 u mal-evidenza tal-politiki

Ċertifikat waħdu ma jweġibx il-mistoqsija ta’ regolatur. Mapping tal-kontrolli jagħmel dan. It-tabella li ġejja tagħti lit-timijiet tas-sigurtà u tal-konformità rabta prattika bejn l-oqsma ta’ NIS2 Article 21, kontrolli ISO/IEC 27002:2022, referenzi tal-politiki ta’ Clarysec, u evidenza.

Il-Zenith Controls ta’ Clarysec ikopri wkoll ISO/IEC 27002:2022 kontroll 5.31, Rekwiżiti legali, statutorji, regolatorji u kuntrattwali, bħala kontroll preventiv b’impatt fuq il-kunfidenzjalità, l-integrità u d-disponibbiltà. Jorbot 5.31 mal-privatezza u l-protezzjoni tal-PII, iż-żamma tar-reġistri, rieżami indipendenti, u konformità mal-politiki interni. Jimmapja wkoll 5.31 mar-responsabbiltà taħt GDPR, il-konformità tal-katina tal-provvista taħt NIS2, il-ġestjoni tar-riskju tal-ICT taħt DORA, il-governanza NIST CSF, il-kontrolli tal-programm NIST SP 800-53, u s-sorveljanza tal-konformità esterna taħt COBIT 2019.

“Kontroll 5.31 jiżgura li r-rekwiżiti legali, regolatorji, statutorji u kuntrattwali rilevanti kollha relatati mas-sigurtà tal-informazzjoni jiġu identifikati, dokumentati, u mmaniġġjati kontinwament.”

Dan huwa eżattament dak li awtorità nazzjonali trid tara wara r-reġistrazzjoni: mhux biss li NIS2 huwa elenkat, iżda li l-organizzazzjoni għandha mekkaniżmu ħaj biex tidentifika, timmapja, timplimenta, timmonitorja, u taġġorna l-obbligi.

Tisseparax NIS2 minn DORA, GDPR, il-fornituri, u l-cloud

L-evidenza NIS2 rarament teżisti waħedha.

NIS2 Article 21(2)(d) jeħtieġ sigurtà tal-katina tal-provvista, inklużi aspetti relatati mas-sigurtà tar-relazzjonijiet mal-fornituri u mal-fornituri tas-servizzi. Article 21(3) jeħtieġ li d-deċiżjonijiet dwar ir-riskju tal-fornituri jqisu vulnerabbiltajiet, il-kwalità ġenerali tal-prodott, prattiki taċ-ċibersigurtà, proċeduri ta’ żvilupp sigur, u evalwazzjonijiet koordinati rilevanti tar-riskju tal-katina tal-provvista fil-livell tal-UE.

L-Anness A ta’ ISO 27001:2022 jipprovdi r-rabta operattiva permezz ta’ A.5.19 sa A.5.23. Għal organizzazzjonijiet SaaS u cloud, dawn il-kontrolli spiss jiddeterminaw jekk l-evidenza tar-reġistrazzjoni hijiex superfiċjali jew difensibbli.

DORA jsaħħaħ l-istampa tal-fornituri għal entitajiet finanzjarji. Articles 28 sa 30 jeħtieġu ġestjoni tar-riskju ta’ partijiet terzi tal-ICT, reġistru tal-kuntratti tas-servizzi tal-ICT, distinzjoni tas-servizzi li jappoġġjaw funzjonijiet kritiċi jew importanti, valutazzjoni tar-riskju qabel il-kuntratt, diliġenza dovuta, rekwiżiti kuntrattwali tas-sigurtà, drittijiet ta’ awditjar u spezzjoni, drittijiet ta’ terminazzjoni, strateġiji ta’ ħruġ ittestjati, evalwazzjoni tas-sottokuntrattar, trasparenza dwar il-post tad-data, assistenza għall-inċidenti, kooperazzjoni mal-awtoritajiet, u arranġamenti ta’ tranżizzjoni. Jekk fornitur SaaS iservi klijenti regolati minn DORA, il-kuntratti u l-pakkett ta’ assigurazzjoni tiegħu jistgħu jiġu eżaminati anki jekk mhuwiex l-entità finanzjarja nnifisha.

Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME ta’ Clarysec Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME għalhekk għandha tintrabat mal-pakkett ta’ evidenza NIS2. It-tħejjija tal-fornituri għandha tinkludi:

• Inventarju tal-fornituri u klassifikazzjoni tal-kritiċità.
• Diliġenza dovuta tal-fornituri u evalwazzjonijiet tar-riskju.
• Klawżoli kuntrattwali għas-sigurtà, l-assistenza għall-inċidenti, id-drittijiet ta’ awditjar, il-post tad-data, is-sottokuntrattar, u l-ħruġ.
• Matriċi tar-responsabbiltà kondiviża fil-cloud.
• Reġistri ta’ monitoraġġ għal fornituri kritiċi.
• Ittestjar tal-ħruġ u tal-irkupru għal servizzi kritiċi.
• Proċeduri ta’ notifika u eskalazzjoni tal-inċidenti tal-fornituri.

GDPR għandu jiġi integrat ukoll. Inċident sinifikanti NIS2 jista’ jkun ukoll ksur ta’ data personali jekk data ta’ klijenti, impjegati, jew utenti tiġi kompromessa. GDPR jeħtieġ li l-kontrolluri juru responsabbiltà u, fejn jintlaħqu l-limiti tan-notifika, jinnotifikaw lill-awtorità superviżorja fi żmien 72 siegħa minn meta jsiru konxji ta’ ksur ta’ data personali. Il-fluss tax-xogħol tar-rispons għall-inċidenti tiegħek għandu jevalwa b’mod parallel l-obbligi taħt NIS2, GDPR, DORA, kuntratti, u klijenti.

Arma pakkett ta’ evidenza NIS2 f’ġimgħa

Fornitur SaaS, MSP, MSSP, fornitur cloud, jew kumpanija ta’ infrastruttura diġitali tista’ tagħmel progress sostanzjali f’ġimgħa waħda ffukata.

Jum 1, ikklassifika l-entità u s-servizzi. Uża d-dikjarazzjoni tal-kamp ta’ applikazzjoni tal-ISMS u r-reġistru tal-partijiet interessati. Żid memo dwar il-kamp ta’ applikazzjoni NIS2 li jidentifika kategoriji tal-Anness I jew tal-Anness II, servizzi tal-UE, Stati Membri, klijenti, dipendenzi, assunzjonijiet dwar id-daqs, u jekk japplikawx DORA jew regoli settorjali. Irreġistra l-inċertezza fil-klassifikazzjoni bħala riskju jekk l-interpretazzjoni legali mhijiex finali.

Jum 2, aġġorna r-reġistru tal-obbligi legali u regolatorji. Żid NIS2 Articles 20, 21, u 23, rekwiżiti ta’ reġistrazzjoni taħt il-liġi nazzjonali, obbligi ta’ ksur taħt GDPR, obbligi DORA fejn rilevanti, u rekwiżiti kuntrattwali ewlenin ta’ notifika. Immappja kull obbligu ma’ politika, sid, kontroll, sors ta’ evidenza, u frekwenza tar-rieżami.

Jum 3, aġġorna l-valutazzjoni u t-trattament tar-riskju. Inkludi impatt legali, regolatorju, operattiv, tal-fornituri, finanzjarju, reputazzjonali u soċjali fil-kriterji tar-riskju. Żid riskji bħal nuqqas ta’ reġistrazzjoni, klassifikazzjoni żbaljata tal-entità, twissija bikrija ta’ 24 siegħa mitlufa, kuntatti tal-awtoritajiet mhux disponibbli, qtugħ ta’ fornitur li jaffettwa servizzi kritiċi, sorveljanza insuffiċjenti mill-Bord, u inkapaċità li tiġi evidenzjata l-effettività tal-kontrolli.

Jum 4, aġġorna s-SoA. Ikkonferma kontrolli rilevanti għal NIS2, inklużi A.5.5 kuntatt mal-awtoritajiet, A.5.19 sa A.5.23 kontrolli tal-fornituri u tal-cloud, A.5.24 sa A.5.28 kontrolli tal-inċidenti, A.5.29 sigurtà waqt tfixkil, A.5.30 tħejjija tal-ICT għall-kontinwità tan-negozju, A.5.31 rekwiżiti legali, A.5.34 privatezza, A.8.8 ġestjoni tal-vulnerabbiltajiet, A.8.13 backups, A.8.15 illoggjar, A.8.16 attivitajiet ta’ monitoraġġ, A.8.24 kontrolli kriptografiċi, u kontrolli tal-iżvilupp sigur A.8.25 sa A.8.32.

Jum 5, ittestja r-rappurtar tal-inċidenti. Mexxi eżerċizzju tabletop: konfigurazzjoni ħażina tal-cloud tesponi data tal-klijenti u tfixkel is-servizz f’żewġ Stati Membri. Ibda l-arloġġ. It-tim jista’ jikklassifika l-avveniment, jevalwa l-limiti taħt GDPR, NIS2, DORA, kuntratti u klijenti, jipprepara twissija bikrija ta’ 24 siegħa, jabbozza notifika ta’ 72 siegħa, jippreserva l-evidenza, u jassenja analiżi tal-kawża ewlenija?

Jum 6, iġbor l-evidenza. Oħloq folder lest għar-regolatur bil-memo tal-kamp ta’ applikazzjoni, ir-reġistru legali, ir-Reġistru tar-Riskji, is-SoA, il-lista ta’ kuntatti tal-awtoritajiet, il-playbook tal-inċidenti, ir-reġistru tal-fornituri, il-minuti tal-Bord, ir-reġistri tat-taħriġ, logs, rapporti ta’ monitoraġġ, testijiet tal-backup, rapporti tal-vulnerabbiltajiet, il-kamp ta’ applikazzjoni tal-Awditjar Intern, u l-log tal-azzjonijiet korrettivi.

Jum 7, Rieżami tal-Ġestjoni. Ippreżenta l-pakkett tat-tħejjija lit-tmexxija. Irreġistra approvazzjonijiet, riskji residwi, azzjonijiet miftuħa, skadenzi, riżorsi, u responsabbiltà tas-sidien. Jekk ir-reġistrazzjoni hija dovuta, ehmeż l-indiċi tal-evidenza mar-reġistru tad-deċiżjoni dwar ir-reġistrazzjoni.

Il-Politika tal-Awditu u l-Monitoraġġ tal-Konformità għall-SMEs ta’ Clarysec Politika tal-Awditu u l-Monitoraġġ tal-Konformità - SME tantiċipa din il-ħtieġa:

“L-evidenza għandha tkun allinjata mal-obbligi NIS2 fejn l-organizzazzjoni tkun iddeżinjata bħala entità importanti jew inkella taqa’ fil-kamp ta’ applikazzjoni tal-liġi nazzjonali”

Il-Politika tal-Awditu u l-Monitoraġġ tal-Konformità għall-intrapriżi Politika tal-Awditu u l-Monitoraġġ tal-Konformità tiddikjara l-objettiv:

“Li tiġi ġġenerata evidenza difensibbli u traċċa ta’ awditjar b’appoġġ għal mistoqsijiet regolatorji, proċedimenti legali, jew talbiet ta’ assigurazzjoni mill-klijenti.”

Dak huwa l-għan: evidenza difensibbli qabel tasal it-talba.

Ipprepara għal lentijiet differenti ta’ awditjar

Awditur taċ-ċertifikazzjoni, awtorità nazzjonali, awditur tal-klijent, awditur tal-privatezza, u tim tal-assigurazzjoni tal-fornituri mhux se jistaqsu l-istess mistoqsijiet. Pakkett b’saħħtu ta’ evidenza NIS2 jaħdem għalihom kollha.

Għal ISO/IEC 27002:2022 kontroll 5.5, l-awdituri komunement jistennew kuntatti dokumentati tal-awtoritajiet, responsabbiltajiet assenjati, manutenzjoni tal-kuntatti, playbooks tar-rispons għall-inċidenti, u ċarezza bbażata fuq xenarji. Mistoqsija sempliċi ta’ awditjar tista’ tikxef il-maturità: “F’każ ta’ ransomware, min jikkuntattja lill-infurzar tal-liġi jew lis-CSIRT nazzjonali?” Jekk it-tweġiba tiddependi fuq xi ħadd li jiftakar isem, il-kontroll mhuwiex lest.

Il-Politika tal-Illoggjar u l-Monitoraġġ ta’ Clarysec Politika tal-Illoggjar u l-Monitoraġġ - SME issaħħaħ l-aspettattiva tal-evidenza:

“Il-logs għandhom ikunu disponibbli u jinftiehmu minn awdituri esterni jew regolaturi fuq talba”

Il-Politika tas-Sigurtà tal-Informazzjoni ta’ Clarysec Politika tas-Sigurtà tal-Informazzjoni tistabbilixxi l-istandard usa’ għall-intrapriża:

“Il-kontrolli implimentati kollha għandhom ikunu adattati għall-awditjar, appoġġjati minn proċeduri dokumentati u evidenza miżmuma tat-tħaddim.”

Dak huwa t-test tal-awditjar f’sentenza waħda. Jekk kontroll ma jistax jiġi evidenzjat, ma jkollux ħafna piż meta awtorità kompetenti titlob prova.

Lista ta’ kontroll finali għall-evidenza tar-reġistrazzjoni NIS2

Uża din il-lista ta’ kontroll qabel ir-reġistrazzjoni jew qabel twieġeb għal talba ta’ awtorità nazzjonali.

• Iddokumenta l-analiżi tal-kamp ta’ applikazzjoni NIS2, inkluż ir-raġunament tal-Anness I jew tal-Anness II, id-deskrizzjonijiet tas-servizzi, l-assunzjonijiet dwar id-daqs, il-preżenza fl-Istati Membri, u l-klassifikazzjoni tal-entità.
• Identifika jekk DORA japplikax direttament, jew indirettament permezz ta’ klijenti fis-settur finanzjarju u kuntratti ta’ servizzi tal-ICT.
• Aġġorna l-kamp ta’ applikazzjoni tal-ISMS biex jinkludi servizzi rilevanti, dipendenzi, proċessi esternalizzati, u interfaċċi regolatorji.
• Żid NIS2, GDPR, DORA, regoli settorjali, u rekwiżiti kuntrattwali mar-reġistru tal-obbligi legali u regolatorji.
• Immappja kull obbligu ma’ politiki, kontrolli, sidien, evidenza, frekwenza tar-rieżami, u rappurtar lill-maniġment.
• Ikkonferma l-approvazzjoni u s-sorveljanza tal-Bord fuq il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà.
• Żomm reġistri tat-taħriġ dwar iċ-ċibersigurtà għall-maniġment u għall-impjegati.
• Aġġorna l-kriterji tar-riskju biex jinkludu impatt regolatorju, tfixkil tas-servizz, dannu lill-klijenti, impatt transkonfinali, u dipendenza fuq il-fornituri.
• Irreġistra riskji relatati ma’ NIS2 fir-Reġistru tar-Riskji u rabathom ma’ pjanijiet ta’ trattament.
• Aġġorna s-SoA b’kontrolli rilevanti għal NIS2 tal-Anness A u l-istatus tal-implimentazzjoni.
• Żomm listi ta’ kuntatti tal-awtoritajiet u proċeduri ta’ notifika għal CSIRTs, awtoritajiet kompetenti, DPAs, superviżuri finanzjarji, u infurzar tal-liġi.
• Ittestja l-fluss tax-xogħol tat-twissija bikrija ta’ 24 siegħa, in-notifika ta’ 72 siegħa, l-aġġornament interim, u r-rapport finali ta’ xahar.
• Żomm evidenza tal-fornituri u tal-cloud, inklużi diliġenza dovuta, kuntratti, drittijiet ta’ awditjar, monitoraġġ, sottokuntrattar, u pjanijiet ta’ ħruġ.
• Uri l-effettività tal-kontrolli permezz ta’ logs, metriċi, awditi, dashboards, riżultati tat-testijiet, u azzjonijiet korrettivi.
• Ipprepara indiċi tal-evidenza sabiex kull talba minn regolatur, klijent, jew awditur tkun tista’ titwieġeb malajr.

Il-pass li jmiss ma’ Clarysec

Ir-reġistrazzjoni tal-entità NIS2 mhijiex il-linja finali. Hija l-punt fejn l-organizzazzjoni tiegħek issir viżibbli għas-superviżjoni nazzjonali taċ-ċibersigurtà. Il-mistoqsija t-tajba mhijiex “Nistgħu nirreġistraw?” Il-mistoqsija t-tajba hija “Jekk l-awtorità titlob evidenza wara r-reġistrazzjoni, nistgħu nipproduċu storja koerenti ISO 27001:2022 f’sigħat, mhux f’ġimgħat?”

Clarysec jgħin lill-organizzazzjonijiet jibnu dik l-istorja permezz tal-Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, u settijiet prattiċi ta’ politiki ISO 27001:2022 li jgħaqqdu obbligi legali, trattament tar-riskju, rappurtar tal-inċidenti, sigurtà tal-fornituri, illoggjar, monitoraġġ, evidenza tal-awditjar, u responsabbiltà tal-maniġment.

Mexxi rieżami tal-lakuni fl-evidenza NIS2 kontra l-ISMS attwali tiegħek. Ibda bil-memo tal-kamp ta’ applikazzjoni, ir-reġistru legali, ir-Reġistru tar-Riskji, is-SoA, il-lista ta’ kuntatti tal-awtoritajiet, il-fluss tax-xogħol tar-rappurtar tal-inċidenti, ir-reġistru tal-fornituri, u l-folder tal-evidenza tal-awditjar. Jekk dawk l-artifacts huma inkompleti jew skonnessi, Clarysec jista’ jgħinek tbiddilhom f’pakkett ta’ evidenza lest għar-regolatur qabel ma titolbu l-awtorità nazzjonali tiegħek.