Reġistri tal-kuntatti regolatorji NIS2 u DORA għal ISO 27001

L-inċident tas-02:17: meta l-lista tal-kuntatti ssir il-kontroll

Fit-02:17 ta’ nhar ta’ Tlieta, l-analista tas-SOC jara x-xejra li ħadd ma jkun irid jara. Kont ta’ servizz privileġġjat jawtentika minn ġeografija mhux tas-soltu, ir-reġistri tal-klijenti ġew mistoqsija f’sekwenza, u fornitur ta’ skoperta mmaniġġjata fetaħ ticket ta’ severità għolja. Fi ftit minuti, il-kmandant tal-inċident jikkonferma t-tħassib: indikaturi ta’ ransomware qed jinfirxu lateralment, servizz kritiku tal-produzzjoni huwa degradat, u data tal-klijenti tista’ tkun involuta.

Ir-rispons tekniku jibda malajr. L-endpoints jiġu iżolati, jinġibdu l-logs tal-identità, jiġu ppreservati snapshots tal-cloud, u l-fornitur tas-sigurtà mmaniġġjata jingħaqad mal-konferenza tal-inċident. Imbagħad tibda l-paniku aktar kiesaħ.

Is-CISO jistaqsi, “Lil min għandna ninnotifikaw?”

Il-funzjoni legali tgħid li l-awtorità tal-protezzjoni tad-data jista’ jkollha tiġi involuta. Id-DPO jistaqsi jekk dan huwiex ksur ta’ data personali. Is-COO jgħid li l-fornitur tal-cloud għandu jiġi eskalat skont il-klawżola ta’ appoġġ għall-intrapriżi. Il-maniġer tal-konformità jistaqsi jekk l-entità hijiex entità importanti taħt NIS2, jew jekk DORA tapplikax minħabba li s-servizz jappoġġja entità finanzjarja rregolata. Il-bord irid ikun jaf x’għandu jiġri fl-ewwel 24 siegħa.

Ħadd ma jikkontesta l-ħtieġa li ssir komunikazzjoni. Il-problema hija li d-dettalji tal-kuntatt, il-mogħdija tal-approvazzjoni, l-attivaturi legali u r-rekwiżiti tal-evidenza huma mferrxa fi spreadsheet antika tal-kontinwità tan-negozju, kuntratti tal-fornituri, ktajjen ta’ emails, wiki tal-konformità skaduta u t-telefon ta’ persuna waħda.

Dan mhuwiex sempliċement inkonvenjent operattiv. Fl-2026, huwa lakuna fil-konformità.

NIS2 għamlet in-notifika tal-inċidenti fi stadji obbligu ta’ governanza, inkluża twissija bikrija fi żmien 24 siegħa, notifika fi żmien 72 siegħa u rapport finali fi żmien xahar għal inċidenti sinifikanti. DORA ħolqot reġim dedikat ta’ reżiljenza operattiva diġitali għall-entitajiet finanzjarji, inklużi l-ġestjoni tal-inċidenti tal-ICT, il-klassifikazzjoni, ir-rappurtar superviżorju, ir-riskju ta’ partijiet terzi tal-ICT u l-komunikazzjoni ta’ kriżi. GDPR jibqa’ rilevanti kull meta tkun involuta data personali. ISO/IEC 27001:2022 jittraduċi dawn l-obbligi f’evidenza awditabbli tas-sistema ta’ ġestjoni.

Reġistru tal-kuntatti regolatorji jista’ jidher amministrattiv. Mhuwiex. Huwa t-tessut konnettiv bejn ir-rispons għall-inċidenti, in-notifika legali, il-kontinwità tan-negozju, il-koordinazzjoni mal-fornituri, ir-responsabbiltà eżekuttiva u l-evidenza tal-awditjar.

Clarysec jittratta dan bħala problema ta’ evidenza, mhux bħala eżerċizzju ta’ burokrazija. F’Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, il-Pass 22 fil-fażi Controls in Action jispjega għaliex il-kuntatt mal-awtoritajiet għandu jkun definit minn qabel:

Il-Kontroll 5.5 jiżgura li organizzazzjoni tkun ippreparata biex tinteraġixxi ma’ awtoritajiet esterni meta jkun meħtieġ, mhux b’mod reattiv jew f’paniku, iżda permezz ta’ kanali definiti minn qabel, strutturati u mifhuma sew.

Din hija l-lezzjoni vera mill-inċident tas-02:17. Il-ħin biex jinstab il-portal tan-notifika tar-regolatur, it-telefon tal-għassa tas-CSIRT, il-kuntatt ta’ sostituzzjoni tad-DPO, il-kanal tar-rappurtar tas-superviżur finanzjarju u r-rotta ta’ eskalazzjoni tal-fornitur huwa qabel l-inċident, mhux meta l-ħin għar-rappurtar ikun diġà beda jgħaddi.

Għaliex ir-reġistri tal-kuntatti regolatorji saru prijorità ta’ konformità fl-2026

Ħafna organizzazzjonijiet diġà għandhom listi ta’ kuntatti ta’ emerġenza. Il-problema hija li NIS2 u DORA jeħtieġu xi ħaġa aktar dixxiplinata minn lista ta’ ismijiet u numri tat-telefon. Jeħtieġu governanza tal-kuntatti preċiża, ibbażata fuq ir-rwoli u lesta bħala evidenza, marbuta ma’ attivaturi legali, awtorità ta’ eskalazzjoni, skadenzi tar-rappurtar u dipendenzi fuq il-fornituri.

NIS2 tapplika għal firxa wiesgħa ta’ entitajiet essenzjali u importanti f’setturi bħall-enerġija, it-trasport, il-banek, l-infrastruttura tas-swieq finanzjarji, il-kura tas-saħħa, l-ilma tax-xorb, id-drenaġġ, l-infrastruttura diġitali, il-ġestjoni tas-servizzi tal-ICT, l-amministrazzjoni pubblika u l-ispazju. Tkopri wkoll ħafna fornituri diġitali, inklużi servizzi tal-cloud computing, servizzi taċ-ċentri tad-data, netwerks ta’ twassil tal-kontenut, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi ta’ sigurtà ġestiti, swieq online, magni tat-tiftix online u pjattaformi ta’ netwerks soċjali. L-Istati Membri kienu meħtieġa jistabbilixxu listi ta’ entitajiet essenzjali u importanti sas-17 ta’ April 2025 u jaġġornawhom mill-inqas kull sentejn. Għal ħafna fornituri cloud, SaaS, servizzi ġestiti u pjattaformi diġitali, l-espożizzjoni regolatorja mxiet minn teorika għal operattiva.

DORA tapplika mis-17 ta’ Jannar 2025 għal entitajiet finanzjarji bħall-istituzzjonijiet ta’ kreditu, istituzzjonijiet ta’ pagament, istituzzjonijiet tal-flus elettroniċi, ditti tal-investiment, fornituri ta’ servizzi ta’ kriptoassi, postijiet tan-negozjar, depożitarji ċentrali tat-titoli, kontropartijiet ċentrali, impriżi tal-assigurazzjoni u tar-riassigurazzjoni u organizzazzjonijiet oħra koperti fis-settur finanzjarju. DORA hija wkoll rilevanti ħafna għall-ekosistema ta’ partijiet terzi tal-ICT, għaliex l-entitajiet finanzjarji għandhom jimmaniġġjaw fornituri li jappoġġjaw funzjonijiet kritiċi jew importanti. DORA Article 17 jeħtieġ proċess ta’ ġestjoni tal-inċidenti relatati mal-ICT, Article 18 jistabbilixxi aspettattivi ta’ klassifikazzjoni, u Article 19 jirregola r-rappurtar ta’ inċidenti maġġuri relatati mal-ICT lill-awtorità kompetenti.

GDPR iżid id-dimensjoni tal-privatezza. Inċident taċ-ċibersigurtà jista’ jsir ksur ta’ data personali jekk jinvolvi qerda, telf, alterazzjoni, żvelar mhux awtorizzat jew aċċess mhux awtorizzat għal data personali, b’mod aċċidentali jew illegali. Il-kontrollur għandu jkun kapaċi juri responsabbiltà, jevalwa r-riskju għall-individwi u, fejn ikun meħtieġ, jinnotifika lill-awtorità superviżorja u possibbilment lis-suġġetti tad-data affettwati.

Għalhekk, reġistru matur tal-kuntatti regolatorji għandu jwieġeb għal ħames mistoqsijiet taħt pressjoni:

• Liema kuntatt tas-CSIRT, tal-awtorità kompetenti, tas-superviżur finanzjarju, tal-awtorità tal-protezzjoni tad-data u tal-infurzar tal-liġi japplika għal din l-entità legali, ġurisdizzjoni u servizz?
• Liema rwol intern huwa awtorizzat jibda l-kuntatt, japprova l-formulazzjoni u jissottometti n-notifiki?
• Liema fornituri għandhom jiġu kkuntattjati għat-trażżin, logs, restawr, preservazzjoni tal-evidenza jew rappurtar kuntrattwali?
• Liema rotta ta’ komunikazzjoni mal-klijent, mal-kontroparti jew mal-pubbliku tiġi attivata f’kull livell ta’ severità?
• Kif nippruvaw li r-reġistru ġie rieżaminat, ittestjat u użat b’mod korrett?

It-tweġiba ma tistax tkun biss fl-inbox tal-funzjoni legali jew fil-memorja tas-CISO. Għandha tkun reġistru kkontrollat tal-ISMS.

X’fih reġistru tal-kuntatti NIS2 u DORA lest bħala evidenza

Reġistru tal-kuntatti regolatorji għandu jitfassal għall-użu waqt inċident reali. Jekk il-kmandant tal-inċident ikollu jieħu l-ewwel deċiżjoni ta’ eskalazzjoni fi ftit minuti, ir-reġistru ma jistax ikun lista vaga ta’ siti web. Għandu jkun strutturat, ivverifikat u marbut mal-playbook tar-rispons.

Reġistru komplut għandu jinkludi mill-inqas sitt familji ta’ kuntatti.

L-ewwel, awtoritajiet uffiċjali taċ-ċibersigurtà: CSIRTs nazzjonali, awtoritajiet kompetenti, punti uniċi ta’ kuntatt fejn japplikaw u aġenziji settorjali taċ-ċibersigurtà.

It-tieni, superviżuri finanzjarji għal DORA: awtoritajiet kompetenti u kanali tar-rappurtar użati għar-rappurtar inizjali, intermedju u finali ta’ inċidenti maġġuri relatati mal-ICT.

It-tielet, awtoritajiet tal-privatezza: awtoritajiet tal-protezzjoni tad-data, loġika tal-awtorità superviżorja ewlenija għall-ipproċessar transkonfinali u mogħdijiet ta’ eskalazzjoni tad-DPO.

Ir-raba’, infurzar tal-liġi: unitajiet taċ-ċiberkriminalità, unitajiet tal-frodi u kuntatti ta’ emerġenza għal estorsjoni, ransomware, aċċess mhux awtorizzat u preservazzjoni tal-evidenza.

Il-ħames, fornituri u partijiet terzi tal-ICT: fornituri cloud, fornituri ta’ sigurtà ġestiti, fornituri ta’ servizzi ġestiti, pjattaformi tal-identità, proċessuri tal-pagamenti, fornituri tal-forensika diġitali u konsulenti legali.

Is-sitt, rwoli interni ta’ eskalazzjoni: kmandant tal-inċident, CISO, DPO, konsulent legali ġenerali, responsabbli tal-komunikazzjonijiet, responsabbli għall-kontinwità tan-negozju, approvatur eżekuttiv, kollegament mal-bord u sid tas-servizz.

Ir-reġistru għandu jinkludi wkoll gruppi ta’ interess speċjali fejn rilevanti, bħal ISACs jew komunitajiet settorjali għall-qsim tal-informazzjoni. Dawn mhumiex regolaturi, iżda jistgħu jsiru kanali importanti għall-intelliġenza dwar it-theddid u r-rispons ikkoordinat.

Zenith Blueprint jagħmel dan prattiku fil-Pass 22:

Oħloq jew aġġorna proċeduri għall-involviment mal-awtoritajiet waqt avvenimenti tas-sigurtà (5.5), inklużi dettalji tal-kuntatt għal CERTs lokali, regolaturi u infurzar tal-liġi. Żomm lista ta’ kuntatti simili għall-parteċipazzjoni f’forums tas-sigurtà jew gruppi speċifiċi għas-settur (5.6). Aħżen din l-informazzjoni f’post aċċessibbli iżda protett b’kontroll tal-aċċess, u inkludiha fir-runbook tar-rispons għall-inċidenti tiegħek.

Dik l-aħħar sentenza hija importanti. Jekk ir-reġistru ma jkunx fir-runbook tar-rispons għall-inċidenti, x’aktarx ma jintużax meta l-pressjoni tkun reali.

Eżempju ta’ struttura ta’ reġistru tal-kuntatti għal fornitur FinTech jew SaaS

Immaġina fornitur fintech SaaS li jappoġġja analytics tal-pagamenti għal klijenti fl-UE. Juża fornitur cloud, fornitur ta’ skoperta mmaniġġjata, pjattaforma tal-identità, pjattaforma ta’ appoġġ għall-klijenti u konsulent legali estern. Skont ir-rwol tiegħu, jista’ jkun entità finanzjarja, fornitur ta’ servizzi ICT ta’ parti terza, fornitur diġitali fil-kamp ta’ applikazzjoni ta’ NIS2, jew proċessur ta’ data personali taħt GDPR.

Reġistru prattiku jista’ jibda hekk:

L-entrati m’għandux ikun fihom data personali mhux meħtieġa. Uża kuntatti bbażati fuq ir-rwoli kull fejn ikun possibbli, ipproteġi dettalji sensittivi tal-kuntatt, u żgura disponibbiltà offline waqt qtugħ maġġuri. Reġistru li huwa aċċessibbli biss mill-istess sistemi affettwati minn inċident ta’ ransomware mhuwiex reżiljenti.

Immappjar tar-reġistru mal-evidenza ISO/IEC 27001:2022

L-awdituri rarament ifallu organizzazzjoni għax m’għandhiex spreadsheet. Ifalluha għax l-organizzazzjoni ma tistax tipprova li l-ispreadsheet hija kompluta, attwali, approvata, protetta, ittestjata u konnessa ma’ proċessi reali.

ISO/IEC 27001:2022 jibda bil-kuntest organizzattiv. Il-klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tifhem kwistjonijiet interni u esterni, tidentifika l-partijiet interessati u r-rekwiżiti tagħhom, tiddefinixxi l-kamp ta’ applikazzjoni tal-ISMS u tifhem l-interfaċċi u d-dipendenzi. Reġistru tal-kuntatti regolatorji huwa evidenza b’saħħitha li r-rekwiżiti legali, regolatorji, kuntrattwali u tal-partijiet interessati ġew tradotti f’relazzjonijiet operattivi.

Imbagħad tiġi t-tmexxija. Il-klawżoli 5.1 sa 5.3 jeħtieġu li t-Tmexxija Għolja turi tmexxija, tassenja responsabbiltajiet, tiżgura komunikazzjoni u tappoġġja l-ISMS. Jekk ir-reġistru jidentifika min huwa awtorizzat jinnotifika CSIRT, superviżur jew DPA, min japprova komunikazzjonijiet esterni u min jirrapporta l-istatus tal-inċident lit-Tmexxija Għolja, dan jappoġġja l-evidenza tat-tmexxija.

L-ippjanar tar-riskju mbagħad jittraduċi l-obbligi f’azzjoni. Il-klawżoli 6.1.1 sa 6.1.3 jeħtieġu proċess ta’ valutazzjoni tar-riskju u trattament tar-riskju, tqabbil mal-Anness A, Dikjarazzjoni ta’ Applikabbiltà, pjan ta’ trattament tar-riskju u aċċettazzjoni tar-riskju residwu. Ir-reġistru għandu jidher fil-pjan ta’ trattament għal riskji bħal falliment fin-notifika legali, dewmien fl-eskalazzjoni tal-inċidenti, falliment fir-rispons tal-fornitur, żball ta’ notifika transkonfinali u tfixkil fil-komunikazzjoni tal-kontinwità tan-negozju.

L-ankri tal-kontrolli tal-Anness A huma ċari:

F’Zenith Controls: The Cross-Compliance Guide Zenith Controls, il-kuntatt mal-awtoritajiet jiġi ttrattat bħala kontroll 5.5 b’karatteristiċi preventivi u korrettivi. Jappoġġja l-Kunfidenzjalità, l-Integrità u d-Disponibbiltà, u jgħaqqad ma’ kunċetti taċ-ċibersigurtà Identify, Protect, Respond u Recover. Zenith Controls jorbot dan mal-ippjanar tal-inċidenti, ir-rappurtar tal-avvenimenti, l-intelliġenza dwar it-theddid, gruppi ta’ interess speċjali u r-rispons għall-inċidenti. Jispjega wkoll għaliex kuntatti stabbiliti minn qabel ma’ regolaturi, infurzar tal-liġi, CERTs nazzjonali jew aġenziji tal-protezzjoni tad-data jippermettu eskalazzjoni u gwida aktar rapidi waqt avvenimenti bħal ksur sinifikanti jew attakki ta’ ransomware.

Il-kontroll mhuwiex iżolat. Zenith Controls jimmappja wkoll il-kontroll 6.8, Rappurtar ta’ avvenimenti tas-sigurtà tal-informazzjoni, bħala kontroll detettiv marbut mal-ippjanar tal-inċidenti, l-evalwazzjoni tal-avvenimenti, ir-rispons, it-tagħlimiet miksuba, l-għarfien dwar is-sigurtà, il-monitoraġġ u l-proċess dixxiplinari. Il-kontroll 5.24, Ippjanar u tħejjija għall-ġestjoni tal-inċidenti tas-sigurtà tal-informazzjoni, jgħaqqad ma’ evalwazzjoni tal-avvenimenti, tagħlimiet miksuba, illoggjar, monitoraġġ, sigurtà waqt tfixkil, kontinwità u kuntatt mal-awtoritajiet. L-istorja tal-awditjar issir aktar b’saħħitha meta l-avvenimenti jiġu rrappurtati, evalwati, eskalati, ikkomunikati, sostnuti b’evidenza u mtejba.

NIS2, DORA u GDPR: reġistru wieħed, ħinijiet legali differenti

Inċident wieħed jista’ jattiva diversi flussi tax-xogħol legali. Aċċess mhux awtorizzat għand fornitur SaaS jista’ jkun inċident sinifikanti taħt NIS2, ksur ta’ data personali taħt GDPR u avveniment ta’ avviż kuntrattwali lill-klijent. Qtugħ f’entità finanzjarja jista’ jkun inċident maġġuri relatat mal-ICT taħt DORA filwaqt li jeħtieġ ukoll analiżi GDPR u koordinazzjoni mal-fornituri.

NIS2 teħtieġ li entitajiet essenzjali u importanti jinnotifikaw lis-CSIRT jew lill-awtorità kompetenti tagħhom mingħajr dewmien mhux ġustifikat dwar inċidenti sinifikanti li jaffettwaw il-forniment tas-servizzi. Il-mudell ta’ rappurtar fi stadji jinkludi twissija bikrija mingħajr dewmien mhux ġustifikat u fi żmien 24 siegħa minn meta jsiru konxji, notifika tal-inċident mingħajr dewmien mhux ġustifikat u fi żmien 72 siegħa, rapporti intermedji dwar l-istatus fuq talba u rapport finali fi żmien xahar wara n-notifika tal-inċident. Jekk l-inċident ikun għadu għaddej, jista’ jkun meħtieġ ukoll rappurtar dwar il-progress.

DORA teħtieġ li l-entitajiet finanzjarji jżommu proċess ta’ ġestjoni tal-inċidenti relatati mal-ICT li jiskopri, jimmaniġġja u jinnotifika inċidenti, jirreġistra inċidenti u theddid ċibernetiku sinifikanti, jikklassifika s-severità u l-kritiċità, jassenja rwoli, jiddefinixxi eskalazzjoni u komunikazzjoni, jirrapporta inċidenti maġġuri lill-maniġment għoli u jappoġġja rkupru f’waqtu. Ir-rappurtar ta’ inċidenti maġġuri relatati mal-ICT isegwi loġika ta’ rappurtar inizjali, intermedju u finali, b’klassifikazzjoni bbażata fuq fatturi bħal klijenti affettwati, tul ta’ żmien, firxa ġeografika, telf ta’ data, kritiċità tas-servizzi u impatt ekonomiku.

GDPR iżid l-evalwazzjoni tal-ksur ta’ data personali. Reġistru tal-kuntatti ma jiddeċidix waħdu jekk avveniment huwiex legalment rapportabbli. Jiżgura li n-nies it-tajba jkunu jistgħu jiddeċiedu malajr, bl-użu ta’ kanali attwali u kriterji dokumentati.

Il-librerija tal-politiki ta’ Clarysec tagħmel dan operattiv. Fil-politika SME Incident Response Policy Incident Response Policy - SME, il-klawżola 5.1.1 tgħid:

Il-Maniġer Ġenerali (GM) huwa responsabbli għall-awtorizzazzjoni tad-deċiżjonijiet kollha ta’ eskalazzjoni tal-inċidenti, notifiki regolatorji u komunikazzjonijiet esterni.

L-istess politika SME, il-klawżola 7.4.1, iżżid:

Fejn tkun involuta data tal-klijenti, il-Maniġer Ġenerali għandu jevalwa l-obbligi ta’ notifika legali abbażi tal-applikabbiltà ta’ GDPR, NIS2 jew DORA.

Għal ambjenti ta’ intrapriża, il-Incident Response Policy Incident Response Policy klawżola 5.5 tistabbilixxi l-qafas tal-komunikazzjoni:

Il-komunikazzjonijiet kollha relatati mal-inċidenti għandhom isegwu l-Matriċi tal-Komunikazzjonijiet u l-Eskalazzjoni, biex jiżguraw:

Il-klawżola 6.4.2 iżżid ir-rekwiżit tal-evidenza:

In-notifiki kollha ta’ ksur għandhom jiġu dokumentati u approvati qabel is-sottomissjoni, u kopji għandhom jinżammu fl-ISMS.

Hawnhekk ir-reġistru jsir evidenza ISO. Mhux biss dwar li tkun taf lil min iċċempel. Huwa dwar li turi min kien awtorizzat, x’ġie evalwat, x’ġie approvat, x’ġie sottomess u fejn tinsab il-kopja miżmuma.

Il-mudell ta’ evidenza ta’ Clarysec: erba’ artifacts li jaħdmu flimkien

Kapaċità b’saħħitha ta’ kuntatti regolatorji teħtieġ erba’ artifacts li jaħdmu bħala katina waħda ta’ evidenza.

Ir-reġistru tal-kuntatti regolatorji jidentifika kuntatti, kanali, attivaturi u sidien. Il-matriċi tal-komunikazzjonijiet u tal-eskalazzjoni tiddefinixxi min jagħmel xiex. Il-log tad-deċiżjonijiet jirreġistra l-klassifikazzjoni, l-evalwazzjoni tar-rapportabbiltà, ir-rieżami legali u l-approvazzjoni. Il-pakkett tal-evidenza tan-notifika jżomm avviżi sottomessi, riċevuti tal-portal, emails, noti tat-telefonati, feedback minn regolaturi, risposti tal-fornituri u rapporti finali.

Il-Legal and Regulatory Compliance Policy ta’ Clarysec Legal and Regulatory Compliance Policy - SME tagħmel il-kunċett tar-reġistru espliċitu. Il-klawżola 5.5.2 tgħid:

Termini ewlenin ta’ konformità (eż. skadenzi tan-notifika ta’ ksur u klawżoli dwar l-immaniġġjar tad-data) għandhom jiġu estratti u segwiti fir-Reġistru tal-Konformità.

Ir-Reġistru tal-Konformità għandu jforni r-reġistru tal-kuntatti regolatorji. Ir-rekwiżit legali jista’ jgħid “twissija bikrija NIS2 fi żmien 24 siegħa,” filwaqt li r-reġistru tal-kuntatti jidentifika l-portal nazzjonali tas-CSIRT, in-numru ta’ sostituzzjoni tal-għassa, min huwa awtorizzat jissottometti, ir-rieżaminatur legali, l-evidenza meħtieġa u l-mogħdija taż-żamma.

Il-politiki tal-kontinwità tan-negozju jsaħħu l-istess aspettattiva. Il-politika SME Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy - SME klawżola 5.2.1.1 tirreferi għal:

listi ta’ kuntatti u pjanijiet alternattivi ta’ komunikazzjoni

Il-politika għall-intrapriżi Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy klawżola 5.3.3 teħtieġ li l-arranġamenti tal-kontinwità jkunu:

Appoġġjati minn listi ta’ kuntatti aġġornati u flussi ta’ eskalazzjoni

Il-governanza tal-fornituri tappartjeni wkoll fil-mudell. Fil-politika SME Third-Party and Supplier Security Policy Third-Party and Supplier Security Policy - SME, il-klawżola 5.4.3 teħtieġ:

Persuna ta’ kuntatt assenjata

Għal NIS2 u DORA, dak il-kuntatt ma jistax ikun ġeneriku. Jekk fornitur cloud kritiku, fornitur ta’ servizzi ta’ sigurtà ġestiti, fornitur tal-identità jew proċessur tal-pagamenti jappoġġja servizz rregolat, ir-reġistru għandu jidentifika l-kuntatt operattiv, il-kuntatt għall-inċidenti tas-sigurtà, il-kanal tal-avviż kuntrattwali u r-rotta ta’ eskalazzjoni għal talbiet ta’ evidenza.

Ibni r-reġistru f’sessjoni waħda ta’ ħidma

Reġistru utli jista’ jinbena malajr jekk in-nies it-tajba jkunu fil-kamra. Skeda sessjoni ta’ sagħtejn mas-CISO, id-DPO, il-konsulent legali, il-maniġer tal-fornituri, ir-responsabbli għall-kontinwità tan-negozju, il-kmandant tal-inċident u s-sid tal-konformità.

Ibda mir-Reġistru tal-Konformità. Oħroġ l-obbligi tar-rappurtar taħt NIS2, DORA, GDPR, kuntratti u setturi. Irreġistra l-iskadenzi, il-kriterji tar-rapportabbiltà u r-rekwiżiti tal-evidenza.

Iftaħ ir-runbook tar-rispons għall-inċidenti. Għal kull kategorija ta’ inċident, bħal ransomware, aċċess mhux awtorizzat, qtugħ tas-servizz, eżfiltrazzjoni tad-data, inċident tal-fornitur u falliment ta’ reġjun cloud, identifika l-kuntatti esterni meħtieġa.

Imla r-reġistru tal-kuntatti regolatorji bl-awtorità, il-ġurisdizzjoni, l-attivatur, il-kanal primarju, il-kanal ta’ sostituzzjoni, is-sid, l-approvatur, l-evidenza meħtieġa, id-data tal-aħħar verifika u l-post taż-żamma.

Qabbad il-kuntatti tal-fornituri. Għal kull funzjoni kritika jew importanti, identifika l-kuntatt għall-inċidenti tas-sigurtà tal-fornitur, il-kanal tal-avviż kuntrattwali, il-kuntatt tal-awditjar u l-mogħdija ta’ eskalazzjoni ta’ emerġenza.

Irrieżamina kontra l-politiki. Ikkonferma li l-awtorità ta’ eskalazzjoni taqbel mal-Incident Response Policy, li l-evidenza tan-notifika tinżamm fl-ISMS, li l-listi ta’ kuntatti tal-kontinwità tan-negozju huma allinjati u li l-kuntatti tal-fornituri għandhom sidien assenjati.

Ittestja xenarju wieħed. Uża eżerċizzju tabletop iffukat: “Esponiment ta’ data tal-klijenti skopert fit-02:17 li jaffettwa klijenti tal-UE u possibbilment ikkawżat minn kredenzjali kompromessi tal-fornitur tal-identità.” Itlob lit-tim jidentifika jekk jistgħux ikunu meħtieġa avviżi lis-CSIRT, lid-DPA, lis-superviżur finanzjarju, lill-fornitur u lill-klijenti. L-għan mhuwiex li tiġi sfurzata konklużjoni legali finali waqt l-eżerċizzju. L-għan huwa li jiġi ppruvat fejn jinstabu l-kuntatti, min japprova l-kuntatt, x’evidenza hija meħtieġa u fejn jiġu rreġistrati d-deċiżjonijiet.

Oħloq il-pakkett tal-evidenza. Issejvja l-verżjoni tar-reġistru, il-parteċipanti tal-laqgħa, l-approvazzjonijiet, in-noti tax-xenarju, il-log tad-deċiżjonijiet, l-azzjonijiet u r-referenza aġġornata tar-runbook.

Hawnhekk il-Pass 23 ta’ Zenith Blueprint isir prattiku:

Żgura li għandek pjan ta’ rispons għall-inċidenti aġġornat (5.24), li jkopri t-tħejjija, l-eskalazzjoni, ir-rispons u l-komunikazzjoni. Iddefinixxi x’jikkostitwixxi avveniment tas-sigurtà li għandu jiġi rrappurtat (5.25) u kif il-proċess tat-teħid tad-deċiżjonijiet jiġi attivat u dokumentat. Agħżel avveniment reċenti jew wettaq eżerċizzju tabletop biex tivvalida l-pjan tiegħek.

L-eżerċizzju m’għandux għalfejn ikun elaborat. Għandu jipprova t-tħejjija.

Immappjar ta’ konformità transversali: reġistru wieħed, ħafna oqfsa

Il-valur ta’ reġistru tal-kuntatti regolatorji huwa li jnaqqas l-isforz ta’ konformità dduplikat. Artifact wieħed lest bħala evidenza jista’ jappoġġja ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 u aspettattivi ta’ governanza COBIT 2019.

NIST CSF 2.0 huwa speċjalment utli bħala saff ta’ integrazzjoni. Il-funzjoni GOVERN tiegħu tistenna li l-organizzazzjonijiet jifhmu l-partijiet interessati, l-obbligi legali u regolatorji, is-servizzi kritiċi, id-dipendenzi, l-aptit għar-riskju, ir-rwoli, il-politiki, is-sorveljanza u r-riskju tal-fornituri. Il-Profili CSF tiegħu jgħinu lill-organizzazzjonijiet jiddokumentaw Current Profile, jiddefinixxu Target Profile, janalizzaw lakuni u joħolqu pjan ta’ azzjoni prijoritizzat. Reġistru tal-kuntatti regolatorji jista’ jkun evidenza konkreta li tagħlaq il-lakuna bejn il-governanza attwali u dik fil-mira għall-inċidenti.

Għall-katina tal-provvista, NIST CSF 2.0 jistenna li l-fornituri, il-klijenti u s-sħab ikollhom rwoli u responsabbiltajiet taċ-ċibersigurtà definiti, li l-kritiċità tal-fornituri tkun magħrufa, li r-rekwiżiti taċ-ċibersigurtà jkunu inkorporati fil-ftehimiet, li r-riskji tal-fornituri jiġu evalwati u li l-fornituri rilevanti jiġu inklużi fl-ippjanar, ir-rispons u l-irkupru tal-inċidenti. Dan jimmappja direttament mar-riskju ta’ partijiet terzi tal-ICT taħt DORA u l-aspettattivi ta’ NIS2 dwar il-katina tal-provvista.

Kif l-awdituri u s-superviżuri se jittestjaw l-istess reġistru

Reġistru miżmum tajjeb jiġi eżaminat b’modi differenti skont il-lenti tar-rieżaminatur.

Awditur ISO/IEC 27001:2022 jibda bil-kamp ta’ applikazzjoni u l-partijiet interessati. Jistaqsi kif l-organizzazzjoni identifikat l-awtoritajiet applikabbli, l-obbligi legali, id-dmirijiet ta’ notifika kuntrattwali u d-dipendenzi esternalizzati. Imbagħad jittraċċa r-reġistru sad-Dikjarazzjoni ta’ Applikabbiltà, il-pjan ta’ rispons għall-inċidenti, il-pjan tal-kontinwità tan-negozju u ż-żamma tal-evidenza. Jista’ jieħu kampjun ta’ kuntatt wieħed u jitlob prova tal-aħħar verifika.

Valutatur NIS2 jiffoka fuq jekk l-entità identifikatx is-CSIRT jew l-awtorità kompetenti korretta u jekk il-limiti għall-inċidenti sinifikanti ġewx operazzjonalizzati. Ifittex proċess kapaċi jappoġġja twissija bikrija ta’ 24 siegħa, notifika ta’ 72 siegħa u rappurtar finali. Iħares ukoll lejn is-sorveljanza tal-korp maniġerjali għaliex NIS2 Article 20 jagħmel il-governanza taċ-ċibersigurtà responsabbiltà tat-tmexxija.

Superviżur DORA jew tim tal-Awditjar Intern jittestja jekk ir-reġistru jappoġġjax il-ġestjoni tal-inċidenti, il-klassifikazzjoni, ir-rappurtar ta’ inċidenti maġġuri relatati mal-ICT, il-komunikazzjoni ta’ kriżi, ir-rappurtar lill-maniġment għoli, il-koordinazzjoni mal-fornituri u l-irkupru operattiv. Jista’ jistaqsi jekk jeżistux kuntatti għal fornituri ta’ servizzi ICT ta’ partijiet terzi li jappoġġjaw funzjonijiet kritiċi jew importanti u jekk l-obbligi ta’ komunikazzjoni humiex riflessi fil-kuntratti.

Awditur GDPR jew rieżami mid-DPO jiffoka fuq l-evalwazzjoni tal-ksur ta’ data personali. Jistaqsi jekk id-DPO u l-kuntatti legali tal-privatezza humiex involuti kmieni, jekk ir-rwoli ta’ kontrollur u proċessur humiex ċari, jekk l-awtorità superviżorja korretta hijiex identifikata u jekk id-deċiżjonijiet dwar il-komunikazzjoni mas-suġġetti tad-data humiex irreġistrati.

Valutatur NIST CSF jittratta r-reġistru bħala evidenza għar-riżultati GOVERN: aspettattivi tal-partijiet interessati, obbligi legali, rwoli, politiki, sorveljanza u riskju tal-katina tal-provvista. Awditur COBIT 2019 jew stil ISACA jeżamina jekk il-ħtiġijiet tal-partijiet interessati ġewx tradotti fi prattiki ta’ governanza u ġestjoni, jekk ir-responsabbiltajiet ġewx assenjati u jekk il-prestazzjoni tal-proċess hijiex immonitorjata.

L-istess artifact għandu jiflaħ għal dawn il-mistoqsijiet kollha. Għalhekk ir-reġistru għandu jkun ikkontrollat, bi sjieda ċara, rieżaminat, protett b’kontroll tal-aċċess u ttestjat.

Xejriet komuni ta’ falliment fil-governanza tal-kuntatti

L-organizzazzjonijiet rarament ifallu għax ma għandhom l-ebda kuntatt. Ifallu għax il-kuntatti ma jistgħux jiġu fdati waqt inċident reali.

Kull kwistjoni toħloq sejba ta’ awditjar prevedibbli. Ir-rimedju huwa prevedibbli wkoll: allinja r-reġistru mal-politika, integrah fir-rispons għall-inċidenti, ivverifika l-kuntatti, ittestja l-fluss tax-xogħol u żomm l-evidenza.

Responsabbiltà tal-bord u tal-maniġment

NIS2 teħtieġ li l-korpi maniġerjali japprovaw miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni u jsegwu taħriġ. DORA Article 5 jagħmel il-korp maniġerjali responsabbli biex jiddefinixxi, japprova, jissorvelja u jkun responsabbli għall-arranġamenti tar-riskju tal-ICT, inklużi politiki, rwoli, kontinwità tan-negozju tal-ICT, pjanijiet ta’ rispons u rkupru, politika ta’ partijiet terzi tal-ICT, għarfien dwar is-sigurtà u taħriġ. ISO/IEC 27001:2022 jeħtieġ li t-tmexxija tallinja l-ISMS mad-direzzjoni strateġika, tipprovdi riżorsi, tassenja responsabbiltajiet u tappoġġja titjib kontinwu.

Il-bord m’għandux għalfejn jimmemorizza n-numru tat-telefon tas-CSIRT. Iżda għandu bżonn assigurazzjoni li t-tħejjija għan-notifika teżisti, għandha sid, hija ttestjata u tiġi rieżaminata.

Pakkett għall-maniġment kull tliet xhur għandu jinkludi:

• Status tar-rieżami tar-reġistru tal-kuntatti regolatorji
• Bidliet fl-awtoritajiet, superviżuri jew ġurisdizzjonijiet applikabbli
• Lakuni miftuħa fil-kuntatti tal-inċidenti tal-fornituri
• Riżultati tal-eżerċizzji tabletop u tagħlimiet miksuba
• Evidenza tal-ittestjar tal-fluss tax-xogħol tal-approvazzjoni tan-notifiki
• Metriċi dwar il-ħin mill-iskoperta sad-deċiżjoni ta’ eskalazzjoni
• Aġġornamenti għall-obbligi tar-rappurtar taħt NIS2, DORA, GDPR u kuntratti
• Riskji residwi li jeħtieġu aċċettazzjoni mill-maniġment

Dan iċaqlaq ir-reġistru minn spreadsheet operattiv għal kontroll ta’ governanza.

Kif Clarysec jgħinek tibni governanza tal-kuntatti lesta għall-awditjar

Clarysec jgħaqqad it-test tal-politiki, is-sekwenzjar tal-implimentazzjoni u l-immappjar tal-kontrolli bejn oqfsa f’mogħdija waħda ta’ evidenza.

Il-librerija tal-politiki tiddefinixxi r-responsabbiltà u r-reġistri meħtieġa. Il-Incident Response Policy tistabbilixxi aspettattivi ta’ eskalazzjoni, approvazzjoni tan-notifika u żamma. Il-Legal and Regulatory Compliance Policy teħtieġ li termini ta’ konformità bħall-iskadenzi tan-notifika ta’ ksur jiġu segwiti. Il-Business Continuity Policy and Disaster Recovery Policy teħtieġ listi ta’ kuntatti aġġornati u pjanijiet alternattivi ta’ komunikazzjoni. Il-Third-Party and Supplier Security Policy teħtieġ kuntatti tal-fornituri assenjati.

Il-Zenith Blueprint jagħti s-sekwenzjar tal-implimentazzjoni. Il-Pass 5 fil-fażi ISMS Foundation & Leadership jindirizza l-komunikazzjoni, l-għarfien dwar is-sigurtà u l-kompetenza, inklużi partijiet interessati esterni, ħinijiet, rwoli tal-komunikaturi u pjanijiet ta’ komunikazzjoni. Il-Pass 22 jibni kuntatti tal-awtoritajiet u ta’ interess speċjali fil-kontrolli organizzattivi. Il-Pass 23 jivvalida l-ġestjoni tal-inċidenti, id-deċiżjonijiet dwar avvenimenti rapportabbli, il-preservazzjoni tal-evidenza forensika u tagħlimiet miksuba.

Il-gwida Zenith Controls tagħti l-kumpass tal-konformità transversali. Turi kif il-kuntatt mal-awtoritajiet jgħaqqad mal-ippjanar tal-inċidenti, ir-rappurtar tal-avvenimenti, l-intelliġenza dwar it-theddid, gruppi ta’ interess speċjali u r-rispons għall-inċidenti. Turi wkoll għaliex ir-rappurtar ta’ avvenimenti tas-sigurtà tal-informazzjoni u t-tħejjija għall-inċidenti huma kumpannji meħtieġa. Reġistru tal-kuntatti huwa effettiv biss jekk l-avvenimenti jiġu rrappurtati u evalwati kmieni biżżejjed biex jattivawh.

Għall-SMEs, dan ifisser reġistru ħafif iżda difensibbli, responsabbiltà ċara u evidenza li taqbel mal-proporzjonalità. Għall-intrapriżi, ifisser integrazzjoni bejn ġurisdizzjonijiet, entitajiet legali, unitajiet tan-negozju, fornituri, regolaturi, superviżuri, CSIRTs u rappurtar lill-bord.

Passi li jmiss: ibni r-reġistru qabel ma jibda jgħaddi ż-żmien

Jekk l-organizzazzjoni tiegħek qed tipprepara għal NIS2, DORA, tħejjija għan-notifika ta’ ksur taħt GDPR jew ċertifikazzjoni ISO/IEC 27001:2022, tistenniex inċident live biex tiskopri jekk il-governanza tal-kuntatti tiegħek taħdimx.

Ibda b’erba’ azzjonijiet din il-ġimgħa:

1. Oħloq jew aġġorna r-reġistru tal-kuntatti regolatorji tiegħek għal CSIRTs, awtoritajiet kompetenti, superviżuri finanzjarji, awtoritajiet tal-protezzjoni tad-data, infurzar tal-liġi, fornituri kritiċi u rwoli interni ta’ eskalazzjoni.
2. Immappja kull kuntatt ma’ attivatur, sid, mogħdija ta’ approvazzjoni, rekwiżit ta’ evidenza u post taż-żamma.
3. Mexxi eżerċizzju tabletop wieħed iffukat fuq deċiżjonijiet ta’ notifika, kuntatt mal-awtorità, koordinazzjoni mal-fornituri u żamma tal-evidenza.
4. Aġġorna r-reġistri tal-ISMS, inkluż ir-Reġistru tal-Konformità, ir-runbook tar-rispons għall-inċidenti, il-listi ta’ kuntatti tal-kontinwità tan-negozju u r-reġistri tal-kuntatti tal-fornituri.

Clarysec jista’ jgħinek timplimenta dan malajr billi tuża Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls u l-libreriji tal-politiki tagħna għall-SMEs u għall-intrapriżi, inklużi Incident Response Policy Incident Response Policy, Legal and Regulatory Compliance Policy Legal and Regulatory Compliance Policy - SME, Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy u Third-Party and Supplier Security Policy Third-Party and Supplier Security Policy - SME.

L-arloġġ ta’ 24 siegħa ma jieqafx waqt li t-tim tiegħek ifittex il-kuntatt it-tajjeb. Ibni r-reġistru issa, ittestjah, u għamlu parti mill-evidenza ISO tiegħek qabel ma l-inċident li jmiss jiddeċiedi l-iskeda għalik.