Audyt wewnętrzny ISO 27001 na potrzeby NIS2 i DORA
To pierwsze posiedzenie komitetu audytu w 2026 r. Sarah, CISO w FinSecure — szybko rosnącym dostawcy SaaS i usług FinTech — ma piętnaście minut w porządku obrad. Zarząd ma pięć pytań.
Czy jesteśmy gotowi do audytu nadzoru ISO/IEC 27001:2022? Czy jako dostawca usług zarządzanych podlegamy NIS2? Czy DORA dotyczy nas, ponieważ wspieramy klientów z sektora finansowego? Czy możemy wykazać, że zgłaszanie incydentów, due diligence dostawców i ciągłość działania faktycznie funkcjonują? I dlaczego w przeglądzie uprawnień z poprzedniego kwartału nadal wykryto konta, które powinny były zostać usunięte?
Sarah ma dowody, ale są rozproszone. Zespół inżynierii ma eksporty ze skanów podatności. Zakupy mają kwestionariusze dostawców. Dział prawny ma klauzule umowne. Menedżer ds. zgodności ma rejestr GDPR. SOC ma zgłoszenia incydentów. Żaden z tych elementów sam w sobie nie jest oczywiście błędny, ale żaden nie tworzy spójnego obrazu zapewnienia.
To moment, w którym program audytu wewnętrznego ISO 27001 albo staje się strategicznym mechanizmem dowodowym, albo pozostaje corocznym zrywem przed audytem.
Dla organizacji objętych NIS2 i DORA audyt wewnętrzny nie może już być ceremonialną listą kontrolną. Musi stać się opartym na ryzyku systemem zapewnienia, który potwierdza, czy zakres SZBI jest właściwy, czy środki kontrolne działają w praktyce, czy wymagania regulacyjne są zmapowane, czy ustalenia są klasyfikowane spójnie oraz czy działania korygujące trafiają do przeglądu zarządzania. W 2026 r. najsilniejsze programy nie będą pytać wyłącznie: „Czy przeprowadziliśmy audyt?”. Będą pytać: „Czy możemy wykazać miesiąc po miesiącu, że ład cyberbezpieczeństwa, odporność ICT, bezpieczeństwo dostawców i gotowość do obsługi incydentów działają?”.
Takie podejście Clarysec wbudowuje w Zenith Blueprint: An Auditor’s 30-Step Roadmap, Zenith Controls: The Cross-Compliance Guide oraz pakiet polityk Clarysec. Celem nie jest tworzenie odrębnych projektów ISO, NIS2 i DORA. Celem jest wzbogacenie SZBI tak, aby jeden program audytu wytwarzał dowody wielokrotnego wykorzystania dla wielu potrzeb zapewnienia.
Dlaczego programy audytu wewnętrznego w 2026 r. muszą się zmienić
NIS2 i DORA przesunęły rozmowę o audycie z dokumentacji na zarządzaną odporność.
NIS2 ma zastosowanie do wielu średnich i dużych organizacji w sektorach kluczowych i ważnych, w tym do infrastruktury cyfrowej, dostawców usług chmury obliczeniowej, dostawców centrów danych, dostawców usług zarządzanych, dostawców zarządzanych usług bezpieczeństwa, internetowych platform handlowych, wyszukiwarek internetowych i platform społecznościowych. Państwa członkowskie zaczęły stosować środki krajowe od października 2024 r., a w 2026 r. wiele organizacji działa w pierwszym pełnym roku dojrzałych oczekiwań wynikających z NIS2.
DORA obowiązuje od 17 stycznia 2025 r. szeroki zakres podmiotów finansowych, w tym instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, dostawców usług w zakresie kryptoaktywów, zakłady ubezpieczeń i reasekuracji, dostawców usług finansowania społecznościowego oraz właściwych zewnętrznych dostawców usług ICT. DORA jest sektorowym reżimem cyfrowej odporności operacyjnej dla objętych nim podmiotów finansowych. Dostawcy ICT obsługujący podmioty finansowe mogą również odczuwać wpływ DORA poprzez umowy, prawo do audytu, udział w testach, wsparcie incydentowe, kontrole podwykonawstwa i wymagania dotyczące wyjścia.
Obie regulacje podnoszą rangę rozliczalności. NIS2 Article 20 wymaga, aby organy zarządzające zatwierdzały i nadzorowały środki zarządzania ryzykiem cyberbezpieczeństwa oraz odbywały szkolenia z cyberbezpieczeństwa. DORA Article 5 czyni organ zarządzający ostatecznie odpowiedzialnym za ryzyko ICT, w tym za zatwierdzanie strategii cyfrowej odporności operacyjnej, polityk ICT, uzgodnień dotyczących ciągłości działania i ryzyka stron trzecich oraz nadzór nad nimi.
ISO 27001 dobrze pasuje do tego środowiska, ponieważ jest systemem zarządzania. Wymaga, aby organizacja rozumiała swój kontekst, określała zainteresowane strony i wymagania, ustalała zakres SZBI, oceniała ryzyka i postępowała z nimi, monitorowała wyniki, prowadziła audyty wewnętrzne i napędzała ciągłe doskonalenie. Nie chodzi o wtłoczenie NIS2 i DORA w ramy ISO. Chodzi o wykorzystanie ISO 27001 jako systemu operacyjnego dla powtarzalnego zapewnienia.
Zacznij od zakresu: audytuj system, na którym polega zarząd
Słaby program audytu wewnętrznego zaczyna się od niejasnego zakresu, takiego jak „bezpieczeństwo informacji”. Silny program zaczyna się od granicy biznesowej i regulacyjnej.
ISO 27001 wymaga, aby zakres SZBI uwzględniał kwestie wewnętrzne i zewnętrzne, wymagania zainteresowanych stron oraz interfejsy lub zależności z innymi organizacjami. Ma to znaczenie, ponieważ obowiązki wynikające z NIS2 i DORA często znajdują się na styku organizacji z otoczeniem: platformy chmurowe, zewnętrzni dostawcy SOC, dostawcy usług MDR (Managed Detection and Response), systemy płatnicze, interfejsy API fintech, przetwarzanie danych klientów, usługi kopii zapasowych oraz partnerzy w eskalacji incydentów.
Polityka audytu i monitorowania zgodności dla MŚP Clarysec ustanawia bazę ładu zarządczego:
Dyrektor generalny (GM) musi zatwierdzić roczny plan audytów.
Z sekcji „Wymagania ładu zarządczego”, klauzula polityki 5.1.1.
Dla większych środowisk Polityka audytu i monitorowania zgodności Clarysec podnosi oczekiwanie:
Oparty na ryzyku plan audytów należy opracowywać i zatwierdzać corocznie, z uwzględnieniem:
Z sekcji „Wymagania ładu zarządczego”, klauzula polityki 5.2.
Zakres nie jest więc jedynie preferencją audytora. Jest zatwierdzonym przez kierownictwo zobowiązaniem do zapewnienia.
Program audytu wewnętrznego ISO 27001 na 2026 r. wspierający NIS2 i DORA powinien obejmować:
- Klauzule i procesy SZBI, w tym kontekst, przywództwo, zarządzanie ryzykiem, cele, wsparcie, operacje, ocenę wyników i doskonalenie.
- Właściwe obszary środków kontrolnych z Załącznika A do ISO/IEC 27001:2022, w tym relacje z dostawcami, zarządzanie incydentami, ciągłość działania, obowiązki prawne, prywatność, rejestrowanie, monitorowanie, zarządzanie podatnościami, kontrolę dostępu, kryptografię, bezpieczne wytwarzanie oprogramowania, zarządzanie zmianą i ład chmury obliczeniowej.
- Nakładki regulacyjne, w tym NIS2 Articles 20, 21 i 23, DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 i 28 to 30, a także wymagania GDPR dotyczące bezpieczeństwa i rozliczalności.
- Kluczowe usługi i procesy biznesowe, zwłaszcza funkcje krytyczne lub ważne, usługi kluczowe, platformy dostępne dla klientów oraz systemy wspierające klientów regulowanych.
- Zależności od stron trzecich, w tym dostawców ICT, dostawców chmury obliczeniowej, rozwój realizowany w modelu outsourcingowym, SOC, MSSP, podmioty przetwarzające dane i krytycznych podwykonawców.
- Procesy wytwarzające dowody, w tym oceny ryzyka, przeglądy dostępu, usuwanie podatności, ćwiczenia incydentowe, testy odtwarzania kopii zapasowych, przeglądy dostawców, testy ciągłości działania i przeglądy zarządzania.
Zenith Blueprint wzmacnia to podejście w fazie Audit, Review & Improvement, Step 25, Internal Audit Program:
Określ zakres programu audytu wewnętrznego. Ostatecznie w ciągu roku musisz objąć wszystkie właściwe procesy i środki kontrolne SZBI.
Z fazy Audit, Review & Improvement, Step 25: Internal Audit Program.
Nie trzeba audytować wszystkiego co miesiąc. Jednak w cyklu rocznym należy objąć wszystkie właściwe procesy i środki kontrolne SZBI, prowadząc częstsze prace w obszarach wysokiego ryzyka i regulowanych.
Zbuduj uniwersum audytu wokół tematów kontrolnych NIS2 i DORA
NIS2 Article 21 wymaga odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych. Jego podstawa obejmuje analizę ryzyka, polityki bezpieczeństwa, obsługę incydentów, ciągłość działania, zarządzanie kopiami zapasowymi, odtwarzanie po awarii, zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, bezpieczne nabywanie i rozwój, obsługę podatności, ocenę skuteczności, cyberhigienę, szkolenia, kryptografię, bezpieczeństwo HR, kontrolę dostępu, zarządzanie aktywami, MFA lub ciągłe uwierzytelnianie tam, gdzie jest to właściwe, oraz bezpieczną komunikację.
DORA ma podobny cykl życia operacyjnego. Wymaga od podmiotów finansowych identyfikacji i klasyfikacji funkcji biznesowych wspieranych przez ICT, aktywów informacyjnych, aktywów ICT, zależności i powiązań ze stronami trzecimi. Wymaga również ochrony, wykrywania, klasyfikacji incydentów, reagowania, odzyskiwania, kopii zapasowych, odtwarzania, testowania, uczenia się po incydentach, komunikacji oraz zarządzania ryzykiem stron trzecich ICT.
Jednolite uniwersum audytu zapobiega typowemu błędowi polegającemu na audytowaniu ISO 27001 oddzielnie od NIS2 i DORA.
| Domena audytu | Punkt odniesienia audytu ISO 27001 | Znaczenie dla NIS2 i DORA | Typowe dowody |
|---|---|---|---|
| Ład zarządczy i obowiązki prawne | Kontekst, przywództwo, postępowanie z ryzykiem, wymagania prawne i umowne | Nadzór zarządu w NIS2, odpowiedzialność organu zarządzającego w DORA, rozliczalność GDPR | Rejestr prawny, rejestr zainteresowanych stron, zakres SZBI, apetyt na ryzyko, protokoły zarządu, przegląd zarządzania |
| Ocena ryzyka i postępowanie z ryzykiem | Ocena ryzyka, Deklaracja stosowania, plan postępowania z ryzykiem | Odpowiednie i proporcjonalne środki NIS2, ramy zarządzania ryzykiem ICT w DORA | Rejestr ryzyk, kryteria ryzyka, zatwierdzenia postępowania z ryzykiem, akceptacja ryzyka rezydualnego |
| Inwentarz aktywów i zależności | Zarządzanie aktywami, ład usług chmurowych, usługi dostawców | Aktywa ICT i powiązania w DORA, systemy świadczenia usług w NIS2 | CMDB, mapy przepływu danych, rejestr dostawców, inwentarz chmurowy, klasyfikacja krytyczności |
| Kontrola dostępu i tożsamość | Bezpieczeństwo HR, zarządzanie dostępem, MFA, dostęp uprzywilejowany | Kontrola dostępu i MFA w NIS2, zasada najmniejszych uprawnień i silne uwierzytelnianie w DORA | Zgłoszenia JML, przeglądy dostępu, raporty MFA, logi kont uprzywilejowanych |
| Rejestrowanie, monitorowanie i wykrywanie | Rejestrowanie, monitorowanie, ocena zdarzeń | Wykrywanie anomalii i klasyfikacja incydentów w DORA, gotowość incydentowa NIS2 | Alerty SIEM, reguły detekcji, zapisy triage incydentów, pulpity monitorowania |
| Zarządzanie incydentami | Planowanie incydentowe, reagowanie, zabezpieczanie materiału dowodowego, wnioski z incydentów | Proces zgłaszania w NIS2, cykl życia incydentów ICT w DORA | Rejestr incydentów, macierz istotności, szablony powiadomień, raporty analizy przyczyny źródłowej, zapisy ćwiczeń |
| Ciągłość działania i odzyskiwanie | Gotowość ICT, kopie zapasowe, bezpieczeństwo w czasie zakłóceń | Kopie zapasowe i zarządzanie kryzysowe w NIS2, ciągłość i odzyskiwanie w DORA | BIA, plany ciągłości działania, testy kopii zapasowych, zapisy RTO i RPO, test komunikacji kryzysowej |
| Dostawcy i ryzyko stron trzecich ICT | Umowy z dostawcami, łańcuch dostaw ICT, nabycie usług chmurowych i wyjście | Bezpieczeństwo łańcucha dostaw w NIS2, rejestr stron trzecich ICT i klauzule umowne w DORA | Due diligence dostawców, umowy, prawa do audytu, plany wyjścia, analiza ryzyka koncentracji |
| Bezpieczne wytwarzanie oprogramowania i podatności | Bezpieczne nabywanie, rozwój, zmiana, zarządzanie podatnościami | Obsługa podatności w NIS2, wdrażanie poprawek i testowanie w DORA | Skany podatności, SLA działań naprawczych, zgłoszenia zmian, przegląd kodu, raporty z testów penetracyjnych |
| Monitorowanie zgodności i działania korygujące | Monitorowanie, audyt wewnętrzny, niezgodności i działania korygujące | Środki korygujące w NIS2, audyt i monitorowanie działań naprawczych w DORA | Raporty z audytu, rejestr CAPA, pulpit KPI, działania z przeglądu zarządzania |
Taka struktura przekształca każdą domenę audytu we wspólny obiekt zapewnienia. Audytor wewnętrzny testuje wymaganie ISO 27001, a następnie odnotowuje, czy te same dowody wspierają również oczekiwania NIS2, DORA, GDPR, NIST CSF i COBIT 2019.
Planuj rok wokół ryzyka, nie dokumentacji
Zenith Blueprint daje zespołom praktyczną sekwencję przekształcania audytu w doskonalenie:
- Step 25, Internal Audit Program: zaplanuj zakres, częstotliwość, niezależność i priorytety oparte na ryzyku.
- Step 26, Audit Execution: zbieraj obiektywne dowody poprzez wywiady, przegląd dokumentów, obserwację i dobór próby.
- Step 27, Audit Findings, Analysis & Root Cause: klasyfikuj ustalenia i identyfikuj przyczynę źródłową.
- Step 28, Management Review: przekazuj wyniki audytów, incydenty, niezgodności, cele, ryzyka i potrzeby zasobowe do przeglądu kierownictwa.
- Step 29, Continual Improvement: buduj działania korygujące, które eliminują przyczyny, a nie tylko objawy.
Zenith Blueprint jednoznacznie wskazuje na niezależność:
Idealnie audytor wewnętrzny nie powinien audytować własnej pracy.
Z fazy Audit, Review & Improvement, Step 25: Internal Audit Program.
W mniejszej firmie SaaS lub fintech może to oznaczać zaangażowanie menedżera z innej funkcji do audytu procesów bezpieczeństwa, rotację właścicieli kontroli albo skorzystanie z zewnętrznego konsultanta. Kluczowe jest udokumentowanie kompetencji i niezależności, zwłaszcza gdy dowody dotyczące NIS2 i DORA mogą być później przeglądane przez klientów, regulatorów, organy nadzorcze lub audytorów zewnętrznych.
Polityka audytu i monitorowania zgodności dla MŚP definiuje również minimalną strukturę audytu:
Każdy audyt musi obejmować zdefiniowany zakres, cele, odpowiedzialny personel oraz wymagane dowody.
Z sekcji „Wymagania ładu zarządczego”, klauzula polityki 5.2.3.
Praktyczna kwartalna struktura dla szybko rosnącego dostawcy SaaS lub ICT może wyglądać następująco:
| Kwartał | Główny obszar audytu | Akcent regulacyjny | Główne produkty prac |
|---|---|---|---|
| Q1 | Zarządzanie incydentami i zgłaszanie | NIS2 Article 23, DORA Articles 17 to 19 | Raport z audytu incydentów, test procesu powiadamiania, przegląd macierzy istotności |
| Q2 | Zarządzanie ryzykiem stron trzecich ICT | NIS2 Article 21, DORA Articles 28 to 30 | Próba dostawców, przegląd umów, dowody due diligence, przegląd planowania wyjścia |
| Q3 | Ciągłość działania i testowanie odporności | NIS2 Article 21, DORA Articles 11, 12, 24 to 27 | Dowody odtwarzania kopii zapasowych, ćwiczenie ciągłości działania, działania naprawcze po teście odporności |
| Q4 | Ład zarządczy, ryzyko i zgodność | NIS2 Article 20, DORA Articles 5 i 6, ISO 27001 Clauses 5, 9 i 10 | Pakiet na przegląd zarządzania, status CAPA, decyzje dotyczące ryzyka rezydualnego, plan audytu na kolejny rok |
Nie zastępuje to comiesięcznego zbierania dowodów. Nadaje jednak rokowi czytelny rytm zapewnienia.
Dobór próby: ile dowodów wystarczy?
Dobór próby to miejsce, w którym wiele audytów wewnętrznych staje się albo zbyt płytkich, albo zbyt kosztownych. W regulowanych środowiskach ICT dobór próby musi być oparty na ryzyku, możliwy do wyjaśnienia i udokumentowany.
Zenith Blueprint, Step 26, podaje praktyczną zasadę:
Dobieraj próbę i wykonuj kontrole wyrywkowe: nie możesz sprawdzić wszystkiego, dlatego stosuj dobór próby.
Z fazy Audit, Review & Improvement, Step 26: Audit Execution.
Polityka korporacyjna Clarysec czyni to podlegającym kontroli audytowej:
Dokumentacja strategii doboru próby, zakresu audytu i ograniczeń
Z sekcji „Wymagania ładu zarządczego”, klauzula polityki 5.5.3.
Dla NIS2 i DORA dobór próby powinien uwzględniać krytyczność, ryzyko, znaczenie dostawcy, okres, historię incydentów, geografię oraz to, czy próbkowany proces wspiera funkcje krytyczne lub ważne.
| Obszar kontroli | Populacja | Sugerowana próba | Dostosowanie oparte na ryzyku |
|---|---|---|---|
| Nadawanie dostępu | Wszystkie nowe konta użytkowników w kwartale | 10 kont albo 10 procent, w zależności od tego, która wartość jest większa | Uwzględnij wszystkie konta uprzywilejowane i administratorów aplikacji krytycznych |
| Odbieranie dostępu osobom odchodzącym | Wszyscy użytkownicy, z którymi zakończono współpracę w kwartale | 100 procent dla użytkowników uprzywilejowanych, 10 użytkowników standardowych | Zwiększ próbę, jeżeli zmieniła się integracja HR lub IAM |
| Due diligence dostawców | Aktywni dostawcy ICT | Wszyscy dostawcy krytyczni, 5 dostawców średniego ryzyka, 3 dostawców niskiego ryzyka | Uwzględnij dostawców wspierających klientów finansowych lub usługi kluczowe |
| Usuwanie podatności | Krytyczne i wysokie ustalenia zamknięte w kwartale | 15 zgłoszeń z różnych systemów | Uwzględnij systemy dostępne z Internetu i powtarzające się wyjątki |
| Zarządzanie incydentami | Wszystkie incydenty bezpieczeństwa w kwartale | Wszystkie istotne incydenty, 5 incydentów mniejszych, 3 przykłady triage fałszywych alarmów | Uwzględnij incydenty z danymi osobowymi, wpływem na klientów lub znaczeniem transgranicznym |
| Odtwarzanie kopii zapasowych | Testy kopii zapasowych wykonane w kwartale | Wszystkie testy systemów krytycznych, 3 systemy niekrytyczne | Uwzględnij systemy wspierające funkcje krytyczne lub ważne |
| Zarządzanie zmianami | Zmiany produkcyjne w kwartale | 15 zmian, w tym zmiany awaryjne | Uwzględnij zmiany wpływające na uwierzytelnianie, rejestrowanie, szyfrowanie lub dane klientów |
| Szkolenia bezpieczeństwa | Pracownicy i kontraktorzy aktywni w okresie | 20 użytkowników z różnych działów | Uwzględnij członków organu zarządzającego i uprzywilejowane role techniczne |
W środowiskach objętych DORA dowody z testów wymagają szczególnej uwagi. DORA wymaga testowania cyfrowej odporności operacyjnej dla podmiotów finansowych, a dla wybranych podmiotów także bardziej zaawansowanych testów, takich jak threat-led penetration testing, co najmniej raz na trzy lata. Próba audytowa powinna obejmować nie tylko raporty z testów, ale także dowody, że ustalenia zostały spriorytetyzowane, usunięte i ponownie przetestowane.
Praktyczny przykład audytu: ryzyko stron trzecich ICT
Bezpieczeństwo dostawców często najszybciej ujawnia luki między dokumentacją a rzeczywistością operacyjną. DORA Articles 28 to 30 wymagają zarządzania ryzykiem stron trzecich ICT, treści umownych oraz rejestrów informacji. NIS2 Article 21 wymaga bezpieczeństwa łańcucha dostaw uwzględniającego podatności i praktyki bezpośrednich dostawców.
W ramach audytu Q2 Sarah dobiera próbę pięciu dostawców krytycznych, trzech nowych dostawców wdrożonych w ostatnich sześciu miesiącach oraz dwóch dostawców z niedawno odnowionymi umowami. Audytor przeprowadza wywiady z zakupami, działem prawnym, właścicielami usług i właścicielami kontroli bezpieczeństwa.
| Wymaganie DORA lub NIS2 | Punkt odniesienia środka kontrolnego ISO 27001:2022 | Pytanie audytowe | Dowody do zebrania |
|---|---|---|---|
| DORA Article 28, rejestr stron trzecich ICT | A.5.19 Bezpieczeństwo informacji w relacjach z dostawcami | Czy istnieje kompletny i aktualny rejestr uzgodnień z zewnętrznymi dostawcami usług ICT? | Aktualny rejestr dostawców i próbkowane zapisy dostawców krytycznych |
| DORA Article 28, przedumowna ocena ryzyka | A.5.19 Bezpieczeństwo informacji w relacjach z dostawcami | Czy przed podpisaniem lub odnowieniem umów z dostawcami przeprowadzono due diligence? | Raporty due diligence, oceny ryzyka i zapisy zatwierdzeń |
| DORA Article 30, treść umowna | A.5.20 Uwzględnianie bezpieczeństwa informacji w umowach z dostawcami | Czy umowy obejmują środki bezpieczeństwa, prawa do audytu, wsparcie incydentowe i wsparcie zakończenia współpracy tam, gdzie jest to wymagane? | Umowy, aneksy, załączniki bezpieczeństwa i notatki z przeglądu prawnego |
| NIS2 Article 21, bezpieczeństwo łańcucha dostaw | A.5.21 Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT | Czy praktyki bezpieczeństwa dostawców, podwykonawstwo i zależności usługowe są zrozumiane? | Kwestionariusze dostawców, ujawnienia podwykonawców i mapy zależności |
| Bieżące monitorowanie dostawców | A.5.22 Monitorowanie, przegląd i zarządzanie zmianami usług dostawców | Czy wyniki i bezpieczeństwo dostawców są przeglądane w czasie? | Protokoły QBR, raporty SLA, raporty audytowe i zapisy rocznych przeglądów |
Ta tabela nie tylko prowadzi zbieranie dowodów. Wykazuje, że organizacja przełożyła tekst regulacyjny na kryteria audytu zgodne z ISO oraz konkretne dowody.
Ustalenia: formułuj je tak, aby kierownictwo mogło działać
Ustalenie z audytu nie powinno brzmieć jak ogólna skarga. Powinno być na tyle uporządkowane, aby kierownictwo mogło zrozumieć ryzyko, przypisać odpowiedzialność i zatwierdzić działanie korygujące.
Polityka audytu i monitorowania zgodności dla MŚP stanowi:
Wszystkie ustalenia z audytu muszą być udokumentowane wraz z oceną ryzyka i proponowanymi działaniami.
Z sekcji „Wymagania ładu zarządczego”, klauzula polityki 5.4.1.
Korporacyjna Polityka audytu i monitorowania zgodności dodaje dyscyplinę działań korygujących:
Wszystkie ustalenia powinny skutkować udokumentowanym CAPA, które obejmuje:
Z sekcji „Wymagania dotyczące wdrożenia polityki”, klauzula polityki 6.2.1.
W Zenith Blueprint Step 27 zaleca kategoryzowanie ustaleń jako niezgodności główne, niezgodności mniejsze lub obserwacje, a następnie przeprowadzenie analizy przyczyny źródłowej. Niezgodność główna oznacza poważną lukę lub systemową nieskuteczność. Niezgodność mniejsza to pojedyncze uchybienie w procesie, który poza tym pozostaje zgodny. Obserwacja jest możliwością doskonalenia.
Silne ustalenie obejmuje:
- Wymaganie lub oczekiwanie dotyczące środka kontrolnego.
- Zaobserwowany stan faktyczny.
- Próbkowane dowody.
- Ryzyko i wpływ biznesowy.
- Znaczenie regulacyjne.
- Klasyfikację i ocenę ryzyka.
- Przyczynę źródłową.
- Właściciela działania korygującego i termin realizacji.
Przykładowe ustalenie:
Ustalenie NC-2026-07, niezgodność mniejsza, opóźniony przegląd bezpieczeństwa dostawców
Wymaganie: Przeglądy bezpieczeństwa dostawców dla krytycznych dostawców ICT muszą być przeprowadzane co najmniej raz w roku, wspierając środki kontrolne ISO 27001 dotyczące dostawców, oczekiwania NIS2 wobec łańcucha dostaw oraz obowiązki DORA w zakresie ryzyka stron trzecich ICT.
Stan faktyczny: Dwóch z dwunastu krytycznych dostawców ICT nie miało ukończonych przeglądów bezpieczeństwa za 2026 r. w wymaganym terminie.
Dowody: Eksport rejestru dostawców z dnia 15 czerwca 2026 r., rejestr przeglądów dostawców, wywiad z osobą odpowiedzialną za zakupy oraz dwa brakujące zapisy przeglądów.
Ryzyko: Opóźniony przegląd dostawcy może uniemożliwić terminową identyfikację podatności, zmian w podwykonawstwie, luk we wsparciu incydentowym lub niezgodności umownych wpływających na usługi krytyczne.
Przyczyna źródłowa: Zakupy nie były automatycznie powiadamiane o zbliżających się terminach przeglądów dostawców, a odpowiedzialność za dowody dotyczące dostawców w kontekście DORA nie została przypisana.
Działanie korygujące: Skonfigurować zautomatyzowane przypomnienia o przeglądach, przypisać imiennych właścicieli kontroli dla wszystkich krytycznych dostawców ICT, ukończyć zaległe przeglądy do 31 lipca 2026 r. oraz wykonywać kwartalne kontrole próbkowe.
Do analizy przyczyny źródłowej przydatna jest technika „5 Whys”. Jeżeli pominięto przedumowną ocenę ryzyka, rzeczywista przyczyna może nie być indywidualnym błędem. Może nią być to, że proces zakupowy pozwalał umowom ICT o niskiej wartości omijać przegląd bezpieczeństwa, mimo że oczekiwania DORA i NIS2 stosuje się na podstawie ryzyka i zależności, a nie wyłącznie wartości wydatku.
Kalendarz dowodów na 2026 r.
Kalendarz dowodów na 2026 r. przekształca audyt wewnętrzny w rytm operacyjny. Rozkłada wytwarzanie dowodów w ciągu roku i eliminuje spiętrzenie prac na koniec roku.
Polityka bezpieczeństwa informacji Clarysec oczekuje przeglądu ładu zarządczego obejmującego:
Przegląd kluczowych wskaźników efektywności bezpieczeństwa (KPI), incydentów, ustaleń z audytu i statusu ryzyka
Z sekcji „Wymagania ładu zarządczego”, klauzula polityki 5.3.2.
Dowody nie są zbierane wyłącznie dla audytorów. Zasilają decyzje dotyczące ryzyka, budżetu, zasobów, dostawców, narzędzi, szkoleń i działań korygujących.
| Miesiąc | Obszar audytu i dowodów | Kluczowe produkty dowodowe |
|---|---|---|
| Styczeń | Potwierdzenie zakresu regulacyjnego, zakresu SZBI i planu audytów na 2026 r. | Zatwierdzony plan audytów, przegląd zakresu SZBI, ocena stosowania NIS2 i DORA, aktualizacja rejestru prawnego |
| Luty | Ład zarządczy, apetyt na ryzyko i szkolenie organu zarządzającego | Protokoły zarządu, zapisy szkoleń, kryteria ryzyka, zaktualizowany rejestr ryzyk |
| Marzec | Inwentarz aktywów, danych i zależności | Eksport CMDB, mapy przepływu danych, lista usług krytycznych, mapa powiązań dostawców ICT |
| Kwiecień | Audyt kontroli dostępu i MFA | Zapisy przeglądów dostępu, próba dostępu uprzywilejowanego, raport pokrycia MFA, testowanie odebrania dostępu osobom odchodzącym |
| Maj | Podatności, wdrażanie poprawek i bezpieczne zarządzanie zmianami | Metryki podatności, dowody działań naprawczych, próba zgłoszeń zmian, zatwierdzenia wyjątków |
| Czerwiec | Ład dostawców i usług chmurowych | Próba due diligence dostawców, przegląd klauzul umownych, prawa do audytu, plany wyjścia, notatki dotyczące ryzyka koncentracji |
| Lipiec | Zarządzanie incydentami i ćwiczenie zgłaszania | Symulacja incydentu, klasyfikacja istotności, test procesu zgłaszania NIS2, test eskalacji incydentu DORA |
| Sierpień | Rejestrowanie, monitorowanie i wykrywanie | Przypadki użycia SIEM, dostrajanie alertów, pokrycie monitorowaniem, próba eskalacji |
| Wrzesień | Kopie zapasowe, odtwarzanie i ciągłość działania | Zapisy testów kopii zapasowych, dowody RTO i RPO, ćwiczenie ciągłości działania, test komunikacji kryzysowej |
| Październik | Bezpieczne wytwarzanie oprogramowania i bezpieczeństwo aplikacji | Dowody SDLC, próba przeglądu kodu, wyniki testów bezpieczeństwa, przegląd rozwoju realizowanego w modelu outsourcingowym |
| Listopad | Pełny wewnętrzny audyt SZBI i przegląd międzyzgodności | Raport z audytu wewnętrznego, rejestr ustaleń, mapowanie NIS2 i DORA, dowody rozliczalności GDPR |
| Grudzień | Przegląd zarządzania i zamknięcie działań korygujących | Protokoły przeglądu zarządzania, status CAPA, akceptacja ryzyka rezydualnego, dane wejściowe do planu audytów na 2027 r. |
Ten kalendarz daje komitetowi audytu plan zapewnienia ukierunkowany na przyszłość, a właścicielom kontroli czas na wytwarzanie dowodów w ramach normalnych operacji.
Kręgosłup ISO 27002:2022: 5.31, 5.35 i 5.36
Zenith Controls to przewodnik Clarysec po międzyzgodności. Mapuje obszary środków kontrolnych ISO/IEC 27001:2022 i ISO/IEC 27002:2022 na inne normy, regulacje, oczekiwania audytowe i wzorce dowodowe. Jest szczególnie przydatny do łączenia przeglądu wewnętrznego, obowiązków prawnych i przestrzegania polityk.
Trzy obszary środków kontrolnych ISO/IEC 27002:2022 tworzą kręgosłup jednolitego programu audytu wewnętrznego:
| Obszar ISO 27002:2022 wyróżniony w Zenith Controls | Pytanie audytowe | Wartość dla NIS2 i DORA |
|---|---|---|
| 5.31 Wymagania prawne, ustawowe, regulacyjne i umowne | Czy wiemy, które obowiązki mają zastosowanie, i czy zmapowaliśmy je na środki kontrolne oraz dowody? | Wspiera ocenę stosowania NIS2, obowiązki ICT w DORA, umowy z klientami i rozliczalność GDPR |
| 5.35 Niezależny przegląd bezpieczeństwa informacji | Czy przeglądy są obiektywne, zaplanowane, kompetentne i czy podejmowane są po nich działania? | Wspiera zapewnienie dotyczące środków cyberbezpieczeństwa, testowania odporności ICT i nadzoru kierownictwa |
| 5.36 Zgodność z politykami, zasadami i normami bezpieczeństwa informacji | Czy wewnętrzne zasady są przestrzegane w praktyce i monitorowane w sposób ciągły? | Wspiera egzekwowanie polityk, cyberhigienę, kontrolę dostępu, gotowość incydentową i działania korygujące |
Środek kontrolny 5.35 jest kamieniem węgielnym zapewnienia, ponieważ waliduje, czy SZBI podlega niezależnemu przeglądowi. Środek kontrolny 5.36 potwierdza, że polityki nie są jedynie zatwierdzone, lecz faktycznie przestrzegane. Środek kontrolny 5.31 łączy SZBI z obowiązkami prawnymi, regulacyjnymi i umownymi, w tym z NIS2, DORA, GDPR oraz wymaganiami klientów dotyczącymi bezpieczeństwa.
Mapowanie międzyzgodności: jeden audyt, wiele perspektyw zapewnienia
Dojrzały arkusz roboczy audytu powinien jednoznacznie pokazywać, jak jeden element dowodowy wspiera kilka oczekiwań zapewnienia.
| Dowód audytowy | Zapewnienie ISO 27001 | Znaczenie dla NIS2 | Znaczenie dla DORA | Znaczenie dla GDPR, NIST i COBIT |
|---|---|---|---|---|
| Rejestr prawny i regulacyjny | Kontekst i obowiązki w zakresie zgodności | Zakres, status podmiotu, czynniki wynikające z Article 21 | Sektorowe obowiązki odporności ICT | Rozliczalność GDPR, NIST CSF GOVERN, zewnętrzna zgodność COBIT |
| Rejestr ryzyk i plan postępowania z ryzykiem | Ocena ryzyka, postępowanie z ryzykiem, Deklaracja stosowania | Odpowiednie i proporcjonalne środki | Ramy zarządzania ryzykiem ICT i tolerancja | Zarządzanie ryzykiem NIST, optymalizacja ryzyka COBIT |
| Raport z ćwiczenia typu tabletop dotyczącego incydentu | Gotowość incydentowa i wnioski z incydentów | Gotowość procesu zgłaszania | Klasyfikacja, eskalacja, zgłaszanie i przyczyna źródłowa | Gotowość do obsługi naruszeń GDPR, NIST CSF RESPOND, zarządzane incydenty COBIT |
| Plik due diligence dostawcy | Relacje z dostawcami i łańcuch dostaw ICT | Podatności i praktyki dostawców | Rejestr stron trzecich ICT, due diligence, planowanie wyjścia | NIST C-SCRM, nadzór nad dostawcami COBIT |
| Test odtwarzania kopii zapasowej | Gotowość ICT i ciągłość działania | Kopie zapasowe, odtwarzanie po awarii, zarządzanie kryzysowe | Cele odzyskiwania, odtwarzanie i kontrole integralności | Dostępność GDPR, NIST CSF RECOVER, ciągłość COBIT |
| Przegląd dostępu | Kontrola dostępu i bezpieczeństwo HR | Oczekiwania dotyczące kontroli dostępu i MFA | Zasada najmniejszych uprawnień i silne uwierzytelnianie | Integralność i poufność GDPR, NIST CSF PROTECT |
To właśnie pozwala CISO powiedzieć zarządowi: „Nasz lipcowy audyt incydentów dostarczył dowodów dla ISO 27001, NIS2, zapewnienia dla klientów DORA, gotowości do obsługi naruszeń GDPR, wyników reagowania NIST CSF oraz nadzoru nad incydentami COBIT”.
Przegląd zarządzania: miejsce, w którym audyt staje się rozliczalnością
Audyt wewnętrzny ma niewielką wartość, jeżeli ustalenia nie trafiają do kierownictwa. Przegląd zarządzania ISO 27001 zapewnia ten mechanizm, a NIS2 i DORA czynią oczekiwania dotyczące ładu zarządczego jednoznacznymi.
Polityka audytu i monitorowania zgodności dla MŚP wymaga:
Ustalenia z audytu i aktualizacje statusu muszą być uwzględniane w procesie przeglądu zarządzania SZBI.
Z sekcji „Wymagania ładu zarządczego”, klauzula polityki 5.4.3.
Stanowi również:
GM musi zatwierdzić plan działań korygujących i śledzić jego wdrożenie.
Z sekcji „Wymagania ładu zarządczego”, klauzula polityki 5.4.2.
Przegląd zarządzania powinien odpowiadać na pytania:
- Czy obowiązki NIS2, DORA, GDPR i obowiązki umowne są nadal prawidłowo odzwierciedlone w zakresie SZBI?
- Czy środki kontrolne wysokiego ryzyka są audytowane wystarczająco często?
- Które ustalenia wskazują na systemową słabość, a nie jednostkowy błąd?
- Czy działania korygujące są przeterminowane?
- Czy właściciele ryzyka świadomie akceptują ryzyko rezydualne?
- Czy dostawcy, zgłaszanie incydentów, ciągłość działania i testowanie mają odpowiednie zasoby?
- Czy trendy audytowe wskazują na potrzebę zmian w politykach, narzędziach, budżecie lub szkoleniach?
Jeżeli odpowiedzi nie są udokumentowane, organizacja może mieć dowody aktywności, ale nie dowody ładu zarządczego.
Typowe pułapki, których należy unikać w 2026 r.
Najczęstszą nieskutecznością jest traktowanie audytu wewnętrznego ISO 27001 jako działania odrębnego od zapewnienia regulacyjnego. Tworzy to duplikację i martwe pola.
Inne pułapki obejmują:
- Zakres wyklucza dostawców krytycznych, platformy chmurowe lub usługi zewnętrznego SOC.
- Zastosowanie NIS2 lub DORA nie jest udokumentowane w rejestrze prawnym.
- Plan audytu nie jest zatwierdzony przez kierownictwo.
- Dobór próby jest wykonywany, ale nieudokumentowany.
- Audytorzy wewnętrzni przeglądają własną pracę bez środków ograniczających.
- Ustalenia opisują objawy, ale nie przyczyny źródłowe.
- Działania korygujące aktualizują dokumenty, ale nie naprawiają procesów.
- Przegląd zarządzania otrzymuje wyniki audytów, ale nie podejmuje decyzji.
- Ćwiczenia incydentowe testują reakcję techniczną, ale nie powiadomienie regulacyjne.
- Audyty dostawców przeglądają kwestionariusze, ale nie umowy, plany wyjścia ani ryzyko koncentracji.
- Dowody dotyczące kopii zapasowych pokazują udane zadania, ale nie integralność odtworzenia.
- Przeglądy dostępu są wykonywane, ale wyjątki nie są śledzone do zamknięcia.
Każda pułapka może stać się niezgodnością mniejszą lub główną w zależności od wagi i wpływu systemowego. Co ważniejsze, każda z nich osłabia zdolność organizacji do wykazania odporności pod rygorem NIS2, DORA i kontroli klientów.
Przekształć plan audytu na 2026 r. w mechanizm dowodowy
Jeżeli Twój program audytu wewnętrznego nadal jest pojedynczym corocznym wydarzeniem, teraz jest czas, aby go przeprojektować.
Zacznij od planu audytów zatwierdzonego przez kierownictwo. Zdefiniuj zakres SZBI wokół rzeczywistych usług, obowiązków regulowanych i zależności od stron trzecich. Zbuduj uniwersum audytu oparte na ryzyku. Dokumentuj dobór próby. Klasyfikuj ustalenia spójnie. Stosuj analizę przyczyny źródłowej. Śledź CAPA. Wprowadzaj wyniki do przeglądu zarządzania. Utrzymuj miesięczny kalendarz dowodów.
Clarysec może pomóc Ci przyspieszyć działania dzięki:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap do planowania audytu, realizacji, ustaleń, przeglądu zarządzania i ciągłego doskonalenia.
- Zenith Controls: The Cross-Compliance Guide do mapowania zapewnienia ISO 27001 na oczekiwania NIS2, DORA, GDPR, NIST CSF i COBIT.
- Polityka audytu i monitorowania zgodności oraz Polityka audytu i monitorowania zgodności dla MŚP do gotowego pod względem ładu zarządczego planowania audytów i zarządzania ustaleniami.
- Polityka bezpieczeństwa informacji do przeglądu KPI, incydentów, ustaleń z audytu i statusu ryzyka na poziomie kierownictwa.
Wybierz jedną domenę wysokiego ryzyka, taką jak zgłaszanie incydentów lub ład dostawców ICT, i przeprowadź ukierunkowany audyt wewnętrzny z wykorzystaniem struktury zakresu, doboru próby i ustaleń Clarysec. W ciągu jednego cyklu dowiesz się, czy Twoje dowody zapewniają gotowość do audytu, czy środki kontrolne działają oraz czy organ zarządzający ma informacje potrzebne do zarządzania ryzykiem cybernetycznym.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
