⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
PL EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Informacje o zagrożeniach w ISO 27001 dla NIS2 i DORA

Igor Petreski
15 min read
#Zarządzanie ryzykiem #Audyt #SZBI #Reagowanie na incydenty #Zarządzanie dostawcami #Rejestrowanie i monitorowanie
Przepływ pracy wykorzystujący informacje o zagrożeniach w ISO 27001 na potrzeby dowodów zgodności z NIS2 i DORA

O 07:42 we wtorkowy poranek CISO europejskiego fintechu otrzymuje cztery wiadomości, zanim zdąży wypić kawę.

Pierwsza to alert krajowego CERT ostrzegający, że podatność w mechanizmie dostępu zdalnego jest aktywnie wykorzystywana. Druga to biuletyn dostawcy potwierdzający, że komponent, którego dotyczy problem, jest używany w zarządzanej usłudze transferu plików. Trzecia to powiadomienie od dostawcy Managed Detection and Response (MDR) wskazujące nietypowy ruch wychodzący z podsieci nieprodukcyjnej. Czwarta pochodzi od CFO: „Czy wpływa to na nasz pakiet gotowości DORA i czy musimy kogokolwiek powiadomić w ramach NIS2?”.

Na tym polega problem z informacjami o zagrożeniach w 2026 roku. Nie chodzi o gromadzenie większej liczby strumieni danych. Chodzi o wykazanie, że istotne informacje o cyberzagrożeniach są odbierane, walidowane, przekazywane właściwym osobom, obsługiwane i przekształcane w dowody dotyczące ryzyka, wykrywania, podatności, incydentów, dostawców i nadzoru zarządczego.

Wiele organizacji subskrybuje już komunikaty dostawców, alerty CISA, aktualizacje ENISA, powiadomienia krajowych CERT, biuletyny ISAC, powiadomienia bezpieczeństwa dostawców usług chmurowych, strumienie CVE, raporty MDR, bazy danych podatności możliwych do wykorzystania oraz monitoring dark webu. Mimo to, gdy pojawia się rzeczywisty komunikat, zespoły nadal działają w pośpiechu. SOC tworzy regułę detekcji. Zespół infrastruktury przeszukuje inwentarze aktywów, które mogą być nieaktualne. Funkcja zgodności pyta, czy zdarzenie wpływa na NIS2 lub DORA. Kierownictwo oczekuje jednoznacznej odpowiedzi, zanim organizacja wie, czy podatny komponent znajduje się w środowisku produkcyjnym.

Problemem nie jest brak danych. Problemem jest brak modelu operacyjnego, który można poddać audytowi.

Strumień informacji o zagrożeniach, którego nikt nie używa, nie jest środkiem kontrolnym. Komunikat o podatności, który nie zmienia priorytetu wdrożenia poprawki, nie jest dowodem. Powiadomienie dostawcy, które nigdy nie trafia do rejestru ryzyk, nie jest bezpieczeństwem łańcucha dostaw. Alert CSIRT, który nie aktualizuje monitorowania, wstępnej kwalifikacji incydentów ani raportowania zarządczego, jest jedynie szumem w skrzynce odbiorczej.

Podejście Clarysec jest proste: informacje o zagrożeniach muszą stać się operacyjnym systemem podejmowania decyzji o ryzyku. Muszą być osadzone w zakresie SZBI, ocenie ryzyka, Deklaracji stosowania, procedurach reagowania na incydenty, wstępnej kwalifikacji podatności, rejestrowaniu i monitorowaniu, nadzorze nad dostawcami, raportowaniu zarządczym oraz pakiecie dowodów audytowych.

Dlaczego informacje o zagrożeniach są dziś środkiem kontrolnym na poziomie zarządu

NIS2 zmieniła ton zarządzania cyberbezpieczeństwem. Obejmuje ona wielu dostawców SaaS, dostawców usług chmurowych, dostawców usług zarządzanych, dostawców zarządzanych usług bezpieczeństwa, organizacje infrastruktury cyfrowej i dostawców usług cyfrowych jako podmioty kluczowe lub ważne, zależnie od sektora, wielkości i wyznaczenia przez państwo członkowskie.

NIS2 Article 21 wymaga odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych służących zarządzaniu ryzykiem. Obejmują one analizę ryzyka, obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczeństwo przy nabywaniu, rozwoju i utrzymaniu systemów, w tym obsługę i ujawnianie podatności, ocenę skuteczności, podstawową cyberhigienę i szkolenia, kryptografię, bezpieczeństwo zasobów ludzkich, kontrolę dostępu, zarządzanie aktywami oraz MFA lub ciągłe uwierzytelnianie tam, gdzie jest to właściwe.

NIS2 Article 20 wymaga również, aby organy zarządzające zatwierdzały środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorowały ich wdrożenie i odbywały szkolenia. W przypadku podmiotów kluczowych maksymalna kara administracyjna może wynieść co najmniej 10 mln EUR albo 2 procent światowego rocznego obrotu, w zależności od tego, która wartość jest wyższa. W przypadku podmiotów ważnych może wynieść co najmniej 7 mln EUR albo 1,4 procent.

W kontekście informacji o zagrożeniach pytanie na poziomie zarządu brzmi: skąd wiemy, że pojawiające się zagrożenia zmieniają nasze środki kontrolne, zanim staną się incydentami?

DORA dodaje kolejną warstwę dla podmiotów finansowych i właściwych zewnętrznych dostawców ICT. Ma zastosowanie od 17 stycznia 2025 r. i wymaga solidnych, kompleksowych oraz dobrze udokumentowanych ram zarządzania ryzykiem ICT, zintegrowanych z ogólnym systemem zarządzania ryzykiem. Ramy DORA zakładają, że organizacje będą identyfikować i klasyfikować funkcje biznesowe oraz aktywa wspierane przez ICT, chronić i zapobiegać, wykrywać anomalne zachowania, reagować i odzyskiwać sprawność, zarządzać kopiami zapasowymi i odtwarzaniem, wyciągać wnioski z incydentów ICT, komunikować się w sytuacjach kryzysowych oraz zarządzać ryzykiem ICT związanym z zewnętrznymi dostawcami.

DORA wymaga także zarządzania incydentami związanymi z ICT, ich klasyfikacji i raportowania. Articles 17, 18, and 19 obejmują procesy zarządzania incydentami, klasyfikację incydentów związanych z ICT i cyberzagrożeń oraz raportowanie poważnych incydentów związanych z ICT. Article 10 koncentruje się na wykrywaniu anomalnych aktywności. Articles 6 to 11 opisują ramy zarządzania ryzykiem ICT oraz oczekiwania dotyczące identyfikacji, ochrony, zapobiegania, wykrywania, reagowania i odzyskiwania.

Mówiąc wprost, DORA oczekuje odporności świadomej zagrożeń. Nie odporności statycznej. Nie odporności opartej na corocznej aktualizacji polityk. Odporności świadomej zagrożeń.

ISO/IEC 27001:2022 dostarcza mechanizm systemu zarządzania, który łączy te oczekiwania. Klauzule 4.1–4.4 wymagają, aby organizacja rozumiała swój kontekst wewnętrzny i zewnętrzny, strony zainteresowane, obowiązki prawne i regulacyjne, zakres SZBI, zależności oraz współdziałające procesy. Klauzule 6.1.1–6.1.3 wymagają powtarzalnego procesu oceny ryzyka i postępowania z ryzykiem, doboru środków kontrolnych, porównania z Załącznikiem A, Deklaracji stosowania, planowania postępowania z ryzykiem oraz zatwierdzania ryzyka szczątkowego przez właściciela ryzyka.

Informacje o zagrożeniach należą właśnie tam: nie jako poboczny pulpit, lecz jako dane wejściowe do kontekstu, ryzyka, doboru środków kontrolnych, postępowania z ryzykiem, monitorowania, przeglądu zarządzania i ciągłego doskonalenia.

Pułapka zgodności: strumienie informacji o zagrożeniach bez identyfikowalności decyzji

Najczęstszy wzorzec nieskuteczności jest pozornie prosty: organizacja otrzymuje informacje o zagrożeniach, ale nie potrafi wykazać, jak zmieniają one decyzje.

Słaby łańcuch dowodowy zwykle wygląda tak:

Otrzymany sygnałSłaba reakcjaObawa audytora
Alert CERT o aktywnym wykorzystaniu podatnościPrzekazany do skrzynki ITBrak dowodów oceny ryzyka, wskazania właściciela lub działania
Biuletyn dostawcy dotyczący krytycznej poprawkiDodany do kolejki zgłoszeńBrak priorytetyzacji na podstawie krytyczności aktywów lub aktywności exploitów
Wykrycie MDR podejrzanego wiersza poleceńZamknięte jako fałszywy alarmBrak udokumentowanych kryteriów wstępnej kwalifikacji lub pętli uczenia się
Powiadomienie dostawcy o naruszonej zależnościZapisane w folderze zakupowymBrak aktualizacji ryzyka dostawcy lub przeglądu środków kompensujących
Ostrzeżenie ISAC o kampanii sektorowejWspomniane na spotkaniu SOCBrak aktualizacji monitorowania, świadomości lub procedury reagowania na incydenty

W tym miejscu metoda wdrożeniowa Clarysec pomaga organizacjom przejść od „otrzymujemy informacje” do „operacyjnie wykorzystujemy informacje”.

W Zenith Blueprint: 30-etapowej mapie drogowej audytora Zenith Blueprint faza Controls in Action wprost przekształca informacje o zagrożeniach w praktykę podlegającą audytowi. Krok 22, Zabezpieczenia organizacyjne, stanowi:

Ustanów udokumentowany wykaz źródeł informacji o zagrożeniach (5.7), pochodzących od dostawców, ISAC lub ze źródeł otwartych, oraz określ, jak informacje są walidowane i integrowane z podejmowaniem decyzji. Zdefiniuj, kto otrzymuje aktualizacje o zagrożeniach i jak są one stosowane (np. priorytetyzacja poprawek, szkolenia świadomościowe). Przygotuj krótkie omówienie trendów zagrożeń przekazywane kwartalnie kluczowym interesariuszom.

Ta instrukcja jest pomostem między danymi o zagrożeniach a dowodami zgodności. Rejestr informacji o zagrożeniach nie jest jedynie listą źródeł. Potwierdza istotność, odpowiedzialność właścicielską, walidację, przekazywanie, integrację i wykorzystanie biznesowe.

Logika środków kontrolnych ISO 27001: łańcuch informacji o zagrożeniach

Środek kontrolny 5.7 ISO/IEC 27002:2022, Threat intelligence, wymaga, aby organizacje gromadziły i analizowały informacje dotyczące zagrożeń dla bezpieczeństwa informacji oraz wykorzystywały je do tworzenia informacji o zagrożeniach. W Zenith Controls: przewodniku po zgodności międzyramowej Zenith Controls środek kontrolny 5.7 jest sklasyfikowany jako zapobiegawczy, detekcyjny i korygujący. Wspiera poufność, integralność i dostępność, jest zgodny z koncepcjami cyberbezpieczeństwa Identify, Detect i Respond oraz funkcjonuje w ramach zarządzania zagrożeniami i podatnościami jako zdolność operacyjna.

Ta klasyfikacja ma znaczenie. Informacje o zagrożeniach zapobiegają, ponieważ wspierają utwardzanie, wdrażanie poprawek, szkolenia i kontrole dostawców. Wykrywają, ponieważ kształtują monitorowanie, reguły SIEM i zadania threat hunting. Korygują, ponieważ usprawniają reagowanie na incydenty, wnioski z doświadczeń i postępowanie z ryzykiem.

Zenith Controls mapuje również środek kontrolny 5.7 ISO/IEC 27002:2022 do wspierających środków kontrolnych:

Relacja środka kontrolnego ISO/IEC 27002:2022Dlaczego ma to znaczenie w praktyce
5.6 Kontakt ze specjalnymi grupami zainteresowańISAC, CERT, fora profesjonalne i społeczności sektorowe są źródłami informacji, a nie dodatkiem networkingowym
8.7 Ochrona przed złośliwym oprogramowaniemWskaźniki naruszenia, złośliwe adresy URL, skróty, infrastruktura command-and-control i wzorce ataków aktualizują ochronę punktów końcowych i poczty elektronicznej
8.8 Zarządzanie podatnościami technicznymiInformacje o exploitach wykorzystywanych w praktyce zmieniają priorytet podatności i pilność poprawek
8.15 RejestrowanieLogi dostarczają zapisu faktów potrzebnego do wyszukiwania wskaźników i odtworzenia aktywności
8.16 Działania monitorująceInformacje o zagrożeniach wskazują SOC, co monitorować, a monitorowanie wytwarza informacje wewnętrzne
5.25 Ocena i decyzja dotycząca zdarzeń bezpieczeństwa informacjiWstępna kwalifikacja oparta na informacjach o zagrożeniach pomaga zdecydować, czy zdarzenie jest incydentem bezpieczeństwa

Powiązanie z podatnościami jest szczególnie ważne. Zenith Controls traktuje środek kontrolny 8.8, Zarządzanie podatnościami technicznymi, jako zapobiegawczy i bezpośrednio powiązany ze środkiem kontrolnym 5.7, ponieważ rzeczywiste informacje o zagrożeniach wskazują, które podatności są aktywnie wykorzystywane. Łączy także 8.8 z 8.16, Działaniami monitorującymi, ponieważ zaobserwowane próby wykorzystania podatności powinny zwiększać pilność wdrożenia poprawek.

Tworzy to praktyczny łańcuch wykorzystania informacji o zagrożeniach:

  1. Napływają informacje zewnętrzne lub wewnętrzne.
  2. Istotność jest walidowana względem aktywów, dostawców, geografii, sektora, usług biznesowych i danych.
  3. Ryzyko jest aktualizowane.
  4. Priorytety poprawek i konfiguracji ulegają zmianie.
  5. Logika detekcji jest dostrajana.
  6. Przeglądane są procedury reagowania na incydenty i progi klasyfikacji.
  7. Sprawdzane są zależności od dostawców i chmury obliczeniowej.
  8. Kierownictwo otrzymuje raportowanie trendów.
  9. Dowody są zachowywane dla audytorów, organów regulacyjnych i klientów.

Polityki, które przekształcają informacje w rozliczalne działania

Polityki są miejscem, w którym logika środków kontrolnych staje się odpowiedzialnością przypisaną do ról. Zestawy polityk Clarysec dla MŚP i przedsiębiorstw obejmują punkty zaczepienia dla informacji o zagrożeniach w zarządzaniu ryzykiem, ochronie punktów końcowych, zarządzaniu podatnościami, rejestrowaniu, monitorowaniu i dowodach audytowych.

Dla MŚP Polityka ochrony punktów końcowych przed złośliwym oprogramowaniem Polityka ochrony punktów końcowych przed złośliwym oprogramowaniem - MŚP ustanawia bezpośrednie oczekiwanie w klauzuli 5.4.1 Wymagań ładu zarządczego:

Dostawca wsparcia IT musi monitorować wiarygodne źródła informacji o zagrożeniach (np. CISA, ENISA, głównych dostawców oprogramowania antywirusowego) i zapewniać, że sygnatury detekcji pozostają aktualne

Wartością tej klauzuli jest przypisanie odpowiedzialności. Informacje o zagrożeniach nie oznaczają, że „ktoś w IT powinien sprawdzać alerty”. To wyraźny obowiązek dostawcy.

Polityka zarządzania podatnościami i poprawkami Polityka zarządzania podatnościami i poprawkami - MŚP wzmacnia ten sam model w klauzuli 4.2.1 Role i odpowiedzialności:

Monitoruje systemy pod kątem podatności i dostępnych poprawek z wykorzystaniem alertów dostawców, komunikatów o zagrożeniach oraz powiadomień systemu operacyjnego

W klauzuli 6.2.1.3 Wymagań dotyczących wdrożenia polityki wskazuje również typ źródła, który powinien wyzwalać działanie:

Zaufane komunikaty o zagrożeniach (np. CISA, ENISA, alerty krajowych CERT)

Dla przedsiębiorstw Polityka zarządzania podatnościami i poprawkami Polityka zarządzania podatnościami i poprawkami stwierdza w klauzuli 4.5.1 Role i odpowiedzialności:

Monitoruj komunikaty o zagrożeniach (np. CVE, CISA KEV, biuletyny dostawców) i eskaluj podatności krytyczne.

Wymóg eskalacji jest kluczowy. Podatność staje się pilna, gdy zbiegają się możliwość wykorzystania, ekspozycja, krytyczność biznesowa, wrażliwość danych i aktywność zagrożeń.

Polityka zarządzania ryzykiem Polityka zarządzania ryzykiem osadza informacje o zagrożeniach w analizie. Klauzula 6.2.2 Wymagań dotyczących wdrożenia polityki stanowi:

Analiza powinna uwzględniać skuteczność istniejących środków kontrolnych, istotne informacje o zagrożeniach, krytyczność aktywów oraz wagę podatności.

Ta klauzula stanowi sedno wykorzystania informacji o zagrożeniach w sposób gotowy do audytu. Potwierdza, że analiza ryzyka nie jest teoretyczna.

Polityka logowania i monitorowania Polityka logowania i monitorowania przekształca informacje w wykrywanie. Jej klauzula 1.2 Cel stanowi:

Rejestrowanie audytowe, monitorowanie i wykrywanie zagrożeń są krytyczne dla wykrywania anomalii, reagowania na zagrożenia, analizy kryminalistycznej, gotowości do audytu oraz zgodności prawnej. Niniejsza polityka zapewnia, że wszystkie zdarzenia generowane przez systemy są prawidłowo rejestrowane, przechowywane i korelowane z dokładnością opartą na synchronizacji czasu.

Na koniec Polityka audytu i monitorowania zgodności Polityka audytu i monitorowania zgodności wyjaśnia, dlaczego dyscyplina dowodowa ma znaczenie. Klauzula 3.4 Cele wymaga, aby organizacja generowała dowody:

Generowanie możliwych do obrony dowodów i ścieżki audytowej na potrzeby zapytań regulacyjnych, postępowań sądowych lub wniosków klientów o zapewnienie.

Gdy NIS2, DORA, klient lub audytor ISO pyta, co wiedzieliście, kiedy się o tym dowiedzieliście, kto podjął decyzję i co się zmieniło, ta ścieżka dowodowa stanowi różnicę między dojrzałym zapewnieniem a defensywnym działaniem pod presją.

Zbuduj rejestr informacji o zagrożeniach

Dojrzały rejestr ma dwie warstwy: nadzór nad źródłami i śledzenie zdarzeń. Nadzór nad źródłami definiuje, czemu organizacja ufa, kto jest właścicielem, jak przebiega walidacja i jakie działanie może zostać wyzwolone.

Nazwa źródłaTypProces walidacjiPunkt integracjiWłaściciel
Katalog CISA KEVOperacyjnyPorównanie z inwentarzem aktywów i ekspozycjąWyzwolenie awaryjnej priorytetyzacji poprawekZarządzanie podatnościami
Komunikaty ENISAStrategicznyPrzegląd przez właściciela ryzyka lub komitet ryzykaAktualizacja scenariuszy ryzyka i briefingu zarządczegoCISO
Sektorowy ISACTaktycznyAnaliza IOC pod kątem istotności dla stosu technologicznegoAktualizacja SIEM, EDR i zadań threat huntingKierownik SOC
Biuletyny dostawcy usług chmurowychOperacyjnyWeryfikacja usług i regionów objętych wpływemEskalacja do zespołu inżynierii chmuryKierownik DevOps
Powiadomienia dostawców o poprawkachOperacyjnyPotwierdzenie produktu, wersji i zakresu wdrożeniaDodanie do cyklu poprawek lub zmiany awaryjnejOperacje IT
Powiadomienia MDRTaktyczny i operacyjnyWstępna kwalifikacja względem logów, aktywów i znanych konfiguracji bazowychOtwarcie sprawy wykrywania, dochodzenia lub incydentuOperacje bezpieczeństwa
Powiadomienia bezpieczeństwa dostawcówOperacyjnyMapowanie do usług objętych umową i przepływów danychAktualizacja ryzyka dostawcy i środków kompensującychWłaściciel relacji z dostawcą

Śledzenie zdarzeń pokazuje, jak konkretny komunikat stał się dowodem. Wracając do wtorkowego porannego scenariusza transferu plików, wpis w rejestrze powinien zawierać wystarczające informacje, aby wspierać decyzje dotyczące ryzyka, reakcji i zgodności.

PolePrzykładowy wpis
Data i godzina otrzymania2026-05-26 07:42 UTC
ŹródłoAlert krajowego CERT, biuletyn dostawcy, powiadomienie MDR
Typ źródłaKomunikat rządowy, komunikat dostawcy, wewnętrzna detekcja
Technologia objęta wpływemZarządzana usługa transferu plików, zakres wersji, biblioteki zależne
Właściciel biznesowyKierownik operacji platformowych
Właściciel ryzykaCISO
Powiązanie z aktywemZewnętrzna brama transferu plików, proces raportowania dla klientów
Początkowa wagaWysoka, do czasu walidacji ekspozycji
Wymagane działaniaKontrola ekspozycji, status poprawek, przegląd detekcji, potwierdzenie dostawcy
Istotność dla zgodnościNIS2 Article 21, NIS2 Article 23, jeśli spełnione są kryteria istotnego incydentu, cykl życia ryzyka i incydentu ICT DORA, jeśli ma zastosowanie
Lokalizacja dowodówZgłoszenie, aktualizacja rejestru ryzyk, zmiana SIEM, notatka dla kierownictwa

To nie jest biurokracja. To zapis faktów, który potwierdza, że organizacja ma zdefiniowany proces przyjmowania, walidacji, wstępnej kwalifikacji, eskalacji i dokumentowania dowodów.

Od komunikatu do dowodu audytowego: praktyczny przepływ pracy

Przepływ pracy oparty na informacjach o zagrożeniach musi szybko odpowiedzieć na sześć pytań: czy jesteśmy narażeni, jak poważne jest ryzyko, co musi się zmienić, kto jest właścicielem, czy musimy zgłaszać oraz jakie dowody należy zachować?

1. Zweryfikuj ekspozycję i wpływ biznesowy

Klauzule 4.1–4.4 ISO/IEC 27001:2022 wymagają, aby SZBI odzwierciedlał rzeczywisty kontekst, obowiązki i zależności organizacji. Pierwszym zadaniem nie jest ślepe wdrażanie poprawek. Jest nim walidacja ekspozycji.

Zapytaj:

  • Czy używamy technologii, której dotyczy problem?
  • Czy jest dostępna z Internetu?
  • Czy jest używana przez krytyczną usługę biznesową?
  • Czy przetwarza dane osobowe?
  • Czy jest obsługiwana przez dostawcę lub dostawcę usług zarządzanych?
  • Czy jest istotna dla krytycznej lub ważnej funkcji DORA?
  • Czy jest istotna dla usług objętych zakresem NIS2?
  • Czy istnieją umowne obowiązki powiadamiania klientów?
  • Czy logi są dostępne, kompletne i zsynchronizowane czasowo?

Jeżeli dane osobowe mogą być objęte wpływem, do analizy wchodzi również rozliczalność RODO. RODO wymaga odpowiedniego bezpieczeństwa przetwarzania i możliwej do wykazania rozliczalności, w tym zdolności oceny, czy doszło do naruszenia ochrony danych osobowych i czy wymagane jest powiadomienie.

2. Zaktualizuj rejestr ryzyk

Polityka zarządzania ryzykiem Polityka zarządzania ryzykiem - MŚP podaje prostą regułę czasową w klauzuli 5.1.3 Wymagań ładu zarządczego:

Ryzyka muszą być przeglądane kwartalnie i aktualizowane w przypadku wystąpienia istotnych zdarzeń.

Wiarygodny komunikat o aktywnym wykorzystaniu podatności jest istotnym zdarzeniem. Aktualizacja nie powinna czekać do kolejnego kwartalnego przeglądu.

Element ryzykaZaktualizowana ocena
ZagrożenieAktywne wykorzystanie podatności w zarządzanej usłudze transferu plików
PodatnośćWersja objęta wpływem, wyeksponowany interfejs, słaba konfiguracja, brakująca poprawka
AktywPlatforma wymiany danych klientów
KonsekwencjaZakłócenie usługi, nieuprawniony dostęp do danych, raportowanie regulacyjne, wpływ na zaufanie klientów
PrawdopodobieństwoZwiększone z powodu aktywnego wykorzystania w praktyce
Istniejące środki kontrolneMFA, WAF, ochrona punktów końcowych, monitorowanie SIEM, kopia zapasowa, SLA dostawcy
Luki kontrolnePoprawka niepotwierdzona, detekcja niedostrojona, dowody dostawcy oczekujące
PostępowaniePoprawka awaryjna, tymczasowe ograniczenie sieciowe, poszukiwanie IOC, poświadczenie dostawcy, ocena wpływu na klientów
Właściciel ryzyka szczątkowegoCISO i właściciel operacji platformowych

Łączy się to bezpośrednio z klauzulami 6.1.1–6.1.3 ISO/IEC 27001:2022. Organizacja identyfikuje ryzyko, analizuje prawdopodobieństwo i konsekwencje, priorytetyzuje postępowanie, dobiera środki kontrolne, utrzymuje Deklarację stosowania, tworzy plan postępowania z ryzykiem i uzyskuje zatwierdzenie ryzyka szczątkowego.

3. Priorytetyzuj postępowanie z podatnościami z wykorzystaniem informacji o exploitach

Zenith Blueprint, faza Controls in Action, krok 19, Zabezpieczenia techniczne I, wyjaśnia, dlaczego zarządzanie podatnościami jest podstawą cyberhigieny:

Zarządzanie podatnościami jest jednym z najważniejszych obszarów współczesnej cyberhigieny. Chociaż zapory sieciowe i narzędzia antywirusowe zapewniają ochronę, mogą zostać osłabione, jeśli niezałatane systemy lub błędnie skonfigurowane usługi pozostają wyeksponowane. Aby spełnić ten środek kontrolny, organizacje powinny wdrożyć ustrukturyzowany i powtarzalny proces identyfikowania, oceniania i usuwania podatności.

Sam CVSS nie wystarcza. Podatność o średniej punktacji, aktywnie wykorzystywana w systemie dostępnym z Internetu, może być pilniejsza niż podatność o wysokiej punktacji ukryta w segmentowanym laboratorium.

CzynnikPytanieDowód
Aktywność exploitówCzy wykorzystanie jest obserwowane lub raportowane przez zaufane źródła?Alert CERT, odniesienie CISA KEV, biuletyn dostawcy, raport MDR
EkspozycjaCzy aktyw jest dostępny z Internetu lub osiągalny przez dostawców?Inwentarz aktywów, stan bezpieczeństwa chmury, skan sieci
Krytyczność biznesowaCzy wspiera usługi kluczowe lub funkcje krytyczne?Analiza wpływu na biznes, mapowanie funkcji DORA
Wrażliwość danychCzy przetwarza dane osobowe, regulowane dane finansowe lub poufne dane klientów?Rejestr inwentaryzacji danych, DPIA, rejestry przetwarzania
Środki kompensująceCzy WAF, reguły zapory sieciowej, segmentacja, EDR lub wyłączenie funkcji mogą ograniczyć ryzyko?Zgłoszenie zmiany, reguła zapory sieciowej, polityka EDR
Ryzyko operacyjneCzy awaryjne wdrożenie poprawki może zakłócić świadczenie krytycznej usługi?Ocena zmiany, plan wycofania zmian, plan ciągłości działania

To prowadzi do decyzji możliwej do obrony. Wspiera również NIS2 Article 21(2)(e) w zakresie obsługi podatności, NIS2 Article 21(2)(g) w zakresie cyberhigieny oraz oczekiwania DORA dotyczące zarządzania ryzykiem ICT.

4. Przekształć informacje w monitorowanie i wykrywanie

Informacje o zagrożeniach muszą trafiać do rejestrowania i monitorowania. Polityka logowania i monitorowania Polityka logowania i monitorowania - MŚP stanowi w klauzuli 6.2.1 Wymagań dotyczących wdrożenia polityki:

Narzędzia bezpieczeństwa (np. oprogramowanie antywirusowe, zapory sieciowe, VPN) muszą być skonfigurowane tak, aby generować alerty dla zdefiniowanych scenariuszy zagrożeń, w tym:

Fragment jasno określa intencję środka kontrolnego: zdefiniowane scenariusze zagrożeń powinny sterować alertowaniem.

Zenith Blueprint, faza Controls in Action, krok 19, opisuje działania monitorujące w następujący sposób:

Jeżeli rejestrowanie jest aktem zapisywania tego, co dzieje się w środowisku, monitorowanie jest aktem obserwowania, rozumienia i reagowania na te zdarzenia. Ten środek kontrolny dotyczy aktywnej obserwacji sieci, systemów i aplikacji w celu wykrywania nietypowej aktywności, nie tylko po fakcie, lecz w czasie rzeczywistym lub zbliżonym do rzeczywistego, tam gdzie to możliwe.

W scenariuszu transferu plików SOC lub dostawca IT powinien:

  • Dodać lub zwalidować IOC z komunikatu CERT i dostawcy.
  • Przeszukać logi pod kątem znanych ścieżek exploitów, podejrzanych uploadów, wskaźników web shell, nietypowego wykonywania procesów i nieoczekiwanych połączeń wychodzących.
  • Potwierdzić, że logi uwierzytelniania, aktywności administratorów, dostępu do plików, API i sieci są zachowywane.
  • Dostosować alerty SIEM do wzorca exploita.
  • Utworzyć notatkę sprawy wyjaśniającą, czego szukano, co znaleziono i kto dokonał przeglądu.
  • Eskalować do klasyfikacji incydentu, jeżeli wskaźniki wskazują na naruszenie bezpieczeństwa, ekspozycję danych lub wpływ na usługę.

W tym miejscu zgłaszanie incydentów staje się praktyczne. NIS2 Article 23 wymaga etapowego zgłaszania istotnych incydentów, w tym wczesnego ostrzeżenia w ciągu 24 godzin, zgłoszenia w ciągu 72 godzin, aktualizacji pośrednich na żądanie oraz raportu końcowego nie później niż miesiąc po zgłoszeniu. DORA wymaga od podmiotów finansowych wykrywania, zarządzania, klasyfikowania i raportowania poważnych incydentów związanych z ICT w etapowym procesie określonym przez rozporządzenie i powiązane standardy techniczne.

Informacje o zagrożeniach pomagają ustalić, czy organizacja nadal znajduje się na etapie reakcji na podatność, oceny zdarzenia bezpieczeństwa, czy regulowanego zgłaszania incydentu.

Jeden przepływ pracy, wiele obowiązków zgodności

Informacje o zagrożeniach są idealnym zintegrowanym przepływem pracy zgodności, ponieważ te same dowody wspierają kilka reżimów.

Ramy lub regulacjaCzego oczekujeDowody wykorzystania informacji o zagrożeniach
ISO/IEC 27001:2022SZBI świadomy kontekstu, ocena ryzyka, dobór środków kontrolnych, planowanie postępowania z ryzykiem, ciągłe doskonalenieZakres SZBI, rejestr ryzyk, Deklaracja stosowania, plan postępowania z ryzykiem, dane wejściowe do przeglądu zarządzania
ISO/IEC 27002:2022Informacje o zagrożeniach, zarządzanie podatnościami, rejestrowanie, monitorowanie, ocena incydentów, ochrona przed złośliwym oprogramowaniemRejestr informacji o zagrożeniach, aktualizacje IOC, reguły SIEM, zgłoszenia poprawek, notatki z wstępnej kwalifikacji incydentów
NIS2Zarządzanie ryzykiem, obsługa incydentów, cyberhigiena, obsługa podatności, bezpieczeństwo łańcucha dostaw, nadzór ładu zarządczegoDowody Article 20 i 21, briefingi zarządcze, przepływ pracy CSIRT, działania następcze po komunikacie dostawcy
DORARamy ryzyka ICT, wykrywanie, ciągłość, cykl życia incydentu, testy odpornościowe, ryzyko ICT związane z zewnętrznymi dostawcamiKlasyfikacja aktywów ICT, sprawy detekcji, zapisy klasyfikacji incydentów, dane wejściowe do testów odpornościowych, zapisy dotyczące dostawców ICT
GDPRBezpieczeństwo przetwarzania, rozliczalność, wsparcie wykrywania i zgłaszania naruszeńOcena wpływu na dane, logi dostępu, dowody monitorowania, zapis oceny naruszenia
NIST CSF 2.0Wyniki Govern, Identify, Protect, Detect, Respond, RecoverProfil bieżący, profil docelowy, priorytetyzowany plan działań, komunikacja ryzyka
COBIT 2019 z perspektywy audytuNadzór nad ryzykiem, kontrolami, wydajnością, zapewnieniem i rozliczalnościąWłaściciele kontroli, metryki zarządcze, dowody zapewnienia, śledzenie działań naprawczych dotyczących problemów

NIST CSF 2.0 jest szczególnie użyteczny w komunikacji z kadrą kierowniczą. Jego funkcje podstawowe: Govern, Identify, Protect, Detect, Respond i Recover, przekształcają techniczne informacje w narrację czytelną dla zarządu:

  • Govern: źródła informacji o zagrożeniach, właściciele i linie raportowania są zdefiniowane.
  • Identify: aktywa, dostawcy, usługi biznesowe i dane objęte wpływem są zmapowane.
  • Protect: poprawki, utwardzanie, segmentacja i sygnatury punktów końcowych są aktualizowane.
  • Detect: reguły monitorowania, IOC i zadania threat hunting są wdrożone.
  • Respond: procedury reagowania na incydenty, reguły wstępnej kwalifikacji i progi powiadamiania są przeglądane.
  • Recover: kopie zapasowe, priorytety odtwarzania i wnioski z doświadczeń są walidowane.

To przekształca surowe informacje o cyberzagrożeniach w ład zarządzania ryzykiem.

Perspektywa audytora: o co zapyta

Silny proces wykorzystywania informacji o zagrożeniach powinien wytrzymać różne style audytu. Audytor ISO, recenzent NIS2, organ nadzorczy DORA, asesor NIST CSF, audytor zorientowany na COBIT 2019, specjalista ISACA lub recenzent prywatności mogą używać różnego języka, ale wszyscy koncentrują się na dowodach.

Perspektywa audytoraPrawdopodobne pytanie audytoweDowody, które na nie odpowiadają
Audytor ISO/IEC 27001:2022Jak kontekst zewnętrzny i wewnętrzny wpływa na ryzyka i środki kontrolne SZBI?Rejestr informacji o zagrożeniach, metodyka oceny ryzyka, zaktualizowany rejestr ryzyk, uzasadnienie Deklaracji stosowania
Recenzent środków kontrolnych ISO/IEC 27002:2022Jak są połączone środki kontrolne 5.7, 8.8, 8.16, 8.15, 8.7 i 5.25?Wykaz źródeł, wstępna kwalifikacja podatności, dostrojenie SIEM, aktualizacje sygnatur złośliwego oprogramowania, zapisy oceny zdarzeń
Recenzent NIS2Jak spełniacie wymagania dotyczące nadzoru kierownictwa, cyberhigieny, obsługi podatności, obsługi incydentów i bezpieczeństwa łańcucha dostaw?Mapowanie Article 20 i 21, briefingi zarządcze, procedura raportowania CSIRT, przepływ pracy dla komunikatów dostawców
Organ nadzorczy DORAJak informacje o zagrożeniach aktualizują ryzyko ICT, wykrywanie, testy odpornościowe i klasyfikację incydentów?Ramy ryzyka ICT, mapowanie funkcji krytycznych, sprawy detekcji, zapisy klasyfikacji incydentów, zakres testów odpornościowych
Asesor NIST CSFJaki jest wasz profil bieżący, profil docelowy i priorytetyzowany plan działań?Profil CSF, ocena luk, plan działań, rejestr ciągłych aktualizacji
Audytor COBIT 2019 lub ISACAKto jest właścicielem kontroli, jak mierzy się wyniki i jak remediuje się wyjątki?RACI, KPI, KRI, rejestr wyjątków, zgłoszenia działań naprawczych, akceptacja kierownictwa
Audytor GDPR lub recenzent prywatnościJak monitorowanie i zarządzanie podatnościami chroniły dane osobowe i wspierały ocenę naruszenia?Mapa przetwarzania danych, logi, ocena naruszenia, dowody środków technicznych i organizacyjnych

Zenith Controls zapewnia interpretację międzyramowej zgodności na potrzeby tych rozmów. Dla środka kontrolnego 8.16, Działania monitorujące, przewodnik łączy monitorowanie z bezpieczeństwem i rozliczalnością naruszeń w GDPR, obsługą incydentów i raportowaniem NIS2 oraz oczekiwaniami DORA dotyczącymi wykrywania i reagowania. Dla środka kontrolnego 8.8, Zarządzanie podatnościami technicznymi, łączy obsługę podatności z bezpieczeństwem przetwarzania w GDPR, NIS2 Article 21(2)(e) i proaktywnym zarządzaniem ryzykiem ICT w DORA.

To właśnie ta konwergencja dowodów jest tym, co audytorzy chcą zobaczyć.

Raportowanie zarządcze: kwartalny briefing o trendach zagrożeń

Rejestr informacji o zagrożeniach nie powinien kończyć życia w SOC. Zenith Blueprint zaleca krótki kwartalny briefing o trendach zagrożeń dla kluczowych interesariuszy. Clarysec rekomenduje jednostronicowy raport zarządczy z pięcioma sekcjami:

  1. Trzy najważniejsze istotne trendy zagrożeń według wpływu biznesowego.
  2. Najbardziej wyeksponowane technologie lub dostawcy.
  3. Krytyczne podatności załatane, ograniczone lub zaakceptowane.
  4. Wprowadzone usprawnienia wykrywania i reagowania.
  5. Decyzje wymagane od kierownictwa.

Silny briefing zarządczy nie wymienia 400 CVE. Wyjaśnia zmianę poziomu ryzyka. Na przykład:

  • Ransomware wymierzony w dostawców usług zarządzanych podniósł priorytet przeglądu dostawców.
  • Wykorzystanie platform transferu plików wyzwoliło awaryjne wdrożenie poprawki i kompensującą regułę zapory sieciowej.
  • Ataki na tożsamości chmurowe spowodowały przegląd wyjątków MFA i utwardzanie dostępu warunkowego.
  • Informacje sektorowego ISAC doprowadziły do nowych symulacji phishingowych dla zespołów finansów i wsparcia.
  • Mapowanie funkcji krytycznych DORA ujawniło jedną lukę w monitorowaniu w przepływie pracy strony trzeciej.

Taki briefing wspiera rozliczalność kierownictwa NIS2, ład zarządzania ryzykiem ICT DORA, przegląd zarządzania ISO/IEC 27001:2022 oraz zapewnienie dla klientów.

Typowe wzorce nieskuteczności

Programy wykorzystania informacji o zagrożeniach często wyglądają dojrzale na slajdach, ale słabo wypadają podczas audytu. Najczęstsze wzorce nieskuteczności to:

  • Zbyt wiele strumieni danych i brak kryteriów walidacji.
  • Brak powiązania między informacjami a inwentarzem aktywów.
  • Brak udokumentowanej aktualizacji ryzyka po istotnych komunikatach.
  • Priorytet poprawek oparty wyłącznie na wadze ze skanera.
  • Komunikaty dostawców obsługiwane poza SZBI.
  • Reguły SOC aktualizowane bez zapisów zmian.
  • Progi incydentów niedostosowane do przepływów zgłaszania NIS2 lub DORA.
  • Raportowanie dla zarządu skoncentrowane na wolumenie alertów zamiast na ryzyku biznesowym.
  • Brak dowodów, że wnioski z doświadczeń zmieniły środki kontrolne.
  • Brak właściciela utrzymania rejestru informacji o zagrożeniach.

Rozwiązaniem nie jest zakup kolejnego strumienia danych. Rozwiązaniem jest integracja środków kontrolnych.

10-punktowa lista kontrolna gotowości na 2026 rok

Użyj tej listy jako praktycznego przeglądu wewnętrznego.

Pytanie o gotowośćTak lub nie
Czy utrzymujemy zatwierdzony rejestr informacji o zagrożeniach z właścicielami źródeł i zasadami walidacji?
Czy komunikaty CERT, CSIRT, ISAC, dostawców, chmury, MDR i dostawców usług są kierowane do wskazanych ról?
Czy istotne komunikaty wyzwalają przegląd rejestru ryzyk poza cyklem kwartalnym?
Czy priorytetyzacja podatności uwzględnia aktywność exploitów, krytyczność aktywów, wrażliwość danych i ekspozycję?
Czy IOC i scenariusze zagrożeń są przekształcane w reguły monitorowania lub zadania threat hunting?
Czy sygnatury punktów końcowych, detekcje chmurowe i dynamiczne strumienie informacji o zagrożeniach są sprawdzane pod kątem aktualności?
Czy powiadomienia dostawców są oceniane względem ryzyka łańcucha dostaw i obowiązków umownych?
Czy kryteria klasyfikacji incydentów są dostosowane do przepływów zgłaszania NIS2 i DORA tam, gdzie ma to zastosowanie?
Czy kierownictwo otrzymuje kwartalny briefing o trendach zagrożeń?
Czy potrafimy przygotować pakiet dowodów dla audytora, organu regulacyjnego lub klienta w ciągu jednego dnia roboczego?

Jeżeli odpowiedź na którekolwiek z tych pytań brzmi „nie”, organizacja nie ma po prostu problemu z informacjami o zagrożeniach. Ma problem z integracją SZBI.

Jak Clarysec pomaga przekształcić informacje o zagrożeniach w dowody

Metoda Clarysec jest zaprojektowana dla organizacji, które jednocześnie potrzebują praktycznego bezpieczeństwa i wiarygodnej zgodności.

Zenith Blueprint zapewnia 30-etapową ścieżkę wdrożenia, w tym krok 22 dla rejestru informacji o zagrożeniach oraz krok 19 dla zarządzania podatnościami i działań monitorujących. Polityki Clarysec dla przedsiębiorstw i MŚP przekształcają te oczekiwania w procedury oparte na rolach dla zarządzania ryzykiem, obsługi podatności, ochrony punktów końcowych, rejestrowania, monitorowania i dowodów audytowych. Zenith Controls zapewnia następnie interpretację międzyramowej zgodności, pokazując, jak środki kontrolne ISO/IEC 27002:2022 łączą się z NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 i dowodami audytowymi.

Dla CISO z wtorkowego poranka odpowiedź dla CFO staje się jasna:

„Otrzymaliśmy komunikat, zwalidowaliśmy ekspozycję, zaktualizowaliśmy rejestr ryzyk, nadaliśmy priorytet poprawkom na podstawie aktywnego wykorzystania, dostroiliśmy monitorowanie, sprawdziliśmy zależność od dostawcy, oceniliśmy progi zgłaszania incydentów, poinformowaliśmy kierownictwo i zachowaliśmy dowody. Nie zgadujemy. Działamy zgodnie z naszym SZBI”.

Tak powinien wyglądać proces wykorzystywania informacji o zagrożeniach w ISO 27001 na potrzeby cyberhigieny NIS2 i dowodów zarządzania ryzykiem ICT zgodnie z DORA w 2026 roku.

Następne kroki

Jeżeli organizacja otrzymuje informacje o zagrożeniach, ale nie potrafi wykazać, jak zmieniają one decyzje dotyczące ryzyka, środki kontrolne, wykrywanie, reagowanie na incydenty, zarządzanie dostawcami i dowody regulacyjne, zacznij w tym tygodniu od trzech działań:

  1. Zbuduj lub odśwież rejestr informacji o zagrożeniach, korzystając z Zenith Blueprint, faza Controls in Action, krok 22.
  2. Zmapuj obecny proces względem środków kontrolnych ISO/IEC 27002:2022 5.7, 8.8, 8.15, 8.16, 8.7 i 5.25, korzystając z Zenith Controls.
  3. Dostosuj polityki, w szczególności Politykę zarządzania ryzykiem, Politykę zarządzania podatnościami i poprawkami, Politykę logowania i monitorowania oraz Politykę audytu i monitorowania zgodności, tak aby każdy komunikat mógł stać się możliwym do obrony dowodem.

Clarysec może pomóc przekształcić strumienie informacji o zagrożeniach, komunikaty, powiadomienia dostawców, informacje o podatnościach i sygnały detekcji w model operacyjny zgodny z ISO/IEC 27001:2022, gotowy na NIS2 i uwzględniający DORA.

Pobierz zestawy narzędzi Clarysec, poproś o prezentację procesu lub zarezerwuj ocenę gotowości, aby sprawdzić, jak obecny proces wykorzystywania informacji o zagrożeniach w Twojej organizacji poradziłby sobie wobec audytora ISO, recenzenta NIS2, organu nadzorczego DORA lub wniosku klienta o zapewnienie.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Bezpieczne zarządzanie zmianami dla NIS2 i DORA

Bezpieczne zarządzanie zmianami dla NIS2 i DORA

Praktyczny przewodnik oparty na scenariuszach, dotyczący bezpiecznego zarządzania zmianami z wykorzystaniem ISO/IEC 27001:2022, polityk Clarysec, Zenith Blueprint i Zenith Controls, wspierający NIS2, DORA, GDPR, NIST CSF 2.0 oraz dowody audytowe w 2026 r.

Bezpieczeństwo OT w NIS2: mapowanie ISO 27001 i IEC 62443

Bezpieczeństwo OT w NIS2: mapowanie ISO 27001 i IEC 62443

Praktyczny, oparty na scenariuszach przewodnik dla CISO i zespołów infrastruktury krytycznej wdrażających bezpieczeństwo OT w NIS2 poprzez mapowanie ISO/IEC 27001:2022, ISO/IEC 27002:2022, IEC 62443, NIST CSF, GDPR, DORA oraz praktyk dowodowych Clarysec.