Odpowiedzialność zarządu w NIS2: dowody z ISO 27001

Wiadomość trafiła do skrzynki Marii o 08:15 w poniedziałek rano. Jako CISO szybko rosnącego europejskiego dostawcy usług chmurowych była przyzwyczajona do pilnych wiadomości, ale ta wyglądała inaczej.

Dyrektor finansowy przekazał kwestionariusz bezpieczeństwa klienta do prezesa zarządu, sekretarza zarządu i Marii. Temat był krótki: „Wymagane dowody rozliczalności organu zarządzającego w NIS2 przed odnowieniem umowy”.

Klient nie prosił o kolejny raport z testów penetracyjnych. Chciał wiedzieć, czy zarząd zatwierdził środki zarządzania ryzykiem cyberbezpieczeństwa, jak nadzorowano ich wdrożenie, czy kadra kierownicza odbyła szkolenie z ryzyka cyberbezpieczeństwa, jak eskalowano istotne incydenty oraz jak ryzyka dostawców były przeglądane na poziomie zarządczym. Prezes dodał jedno zdanie: „Maria, jaka jest nasza ekspozycja i jak wykazujemy należytą staranność? Zarząd potrzebuje tego w przyszłym tygodniu”.

To jest moment, w którym NIS2 staje się realne dla wielu dostawców SaaS, usług chmurowych, MSP, MSSP, centrów danych, fintechów i infrastruktury cyfrowej. Dyrektywa (EU) 2022/2555 nie traktuje cyberbezpieczeństwa jako problemu działu technicznego. Przekształca ryzyko cyberbezpieczeństwa w kwestię odpowiedzialności i rozliczalności organu zarządzającego.

NIS2 Article 20 wymaga, aby organy zarządzające podmiotów kluczowych i ważnych zatwierdzały środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorowały ich wdrożenie oraz odbywały szkolenia. Pozwala również państwom członkowskim ustanawiać odpowiedzialność za naruszenia. Article 21 określa następnie praktyczny punkt odniesienia: analizę ryzyka, polityki bezpieczeństwa, obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczne nabywanie i rozwój, ocenę skuteczności, cyberhigienę, szkolenia, kryptografię, bezpieczeństwo HR, kontrolę dostępu, zarządzanie aktywami i uwierzytelnianie.

Dla organizacji, które już korzystają z ISO/IEC 27001:2022, struktura jest znajoma. Różnica dotyczy odbiorców i ciężaru dowodowego. Pytanie nie brzmi już wyłącznie: „Czy mamy zabezpieczenia?”. Brzmi ono: „Czy zarząd może wykazać, że zatwierdził, zrozumiał, sfinansował, przeglądał, kwestionował i doskonalił te zabezpieczenia?”.

W tym miejscu ISO/IEC 27001:2022 staje się możliwym do obrony systemem zarządzania. Podejście Clarysec polega na wykorzystaniu ISO/IEC 27001:2022 jako szkieletu dowodowego, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint jako ścieżki wdrożenia, polityk Clarysec jako artefaktów gotowych dla zarządu oraz Zenith Controls: The Cross-Compliance Guide Zenith Controls jako przewodnika mapowania międzyramowego dla NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 i oczekiwań audytowych.

Dlaczego odpowiedzialność zarządu w NIS2 zmienia rozmowę o cyberbezpieczeństwie

NIS2 nie wymaga od członków organu zarządzającego, aby stali się inżynierami zapór sieciowych. Wymaga od nich sprawowania nadzoru. To rozróżnienie ma znaczenie.

CISO może pokazać raporty podatności, pokrycie MFA, pulpity ochrony punktów końcowych i oceny poziomu bezpieczeństwa chmury. Są to użyteczne sygnały operacyjne, ale same w sobie nie wykazują nadzoru organu zarządzającego. Regulator, klient korporacyjny, audytor certyfikacyjny lub asesor z sektora finansowego będzie szukał łańcucha dowodów zarządczych:

1. Organizacja oceniła, czy NIS2 ma zastosowanie, i udokumentowała podstawę tej oceny.
2. Zarząd lub najwyższe kierownictwo zatwierdziło ramy zarządzania ryzykiem cyberbezpieczeństwa.
3. Zdefiniowano apetyt na ryzyko i progi tolerancji ryzyka.
4. Wysokie ryzyka cyberbezpieczeństwa były eskalowane i przeglądane.
5. Zatwierdzono decyzje dotyczące postępowania z ryzykiem, w tym zaakceptowane ryzyko rezydualne.
6. Procedury zgłaszania incydentów odzwierciedlają obowiązki 24-godzinnego, 72-godzinnego i końcowego raportowania, gdy mają zastosowanie.
7. Zależności od dostawców i usług chmurowych są zmapowane i objęte nadzorem.
8. Przegląd zarządzania obejmuje ustalenia z audytu, trendy incydentów, metryki i działania doskonalące.
9. Kadra kierownicza otrzymała szkolenie adekwatne do jej odpowiedzialności i rozliczalności.
10. Decyzje, wyjątki i eskalacje są identyfikowalne.

Właśnie tutaj zawodzi wiele przestarzałych podręczników bezpieczeństwa. Zakup narzędzia „zgodnego z NIS2” nie wykazuje nadzoru zarządu. Podpisanie polityki i odłożenie jej do repozytorium nie pokazuje wdrożenia. Całkowite delegowanie cyberbezpieczeństwa na CISO nie spełnia obowiązku nadzoru spoczywającego na organie zarządzającym.

ISO/IEC 27001:2022 rozwiązuje ten problem, ponieważ ujmuje bezpieczeństwo informacji jako strategiczny, oparty na ryzyku system zarządzania zintegrowany z procesami organizacji. Jego klauzule dotyczące kontekstu, stron zainteresowanych, obowiązków prawnych, zakresu, przywództwa, oceny ryzyka, postępowania z ryzykiem, kontroli operacyjnej, oceny wyników, audytu wewnętrznego, przeglądu zarządzania i ciągłego doskonalenia tworzą strukturę, której zarząd potrzebuje, aby wykazać należytą staranność.

Zenith Blueprint przekłada to na praktykę w fazie podstaw SZBI i przywództwa, Step 3:

„Klauzula 5.1 dotyczy w całości przywództwa i zaangażowania. ISO 27001 wymaga, aby najwyższe kierownictwo wykazywało przywództwo poprzez wspieranie SZBI, zapewnianie zasobów, promowanie świadomości, zapewnienie przypisania ról, integrowanie SZBI z procesami biznesowymi oraz wspieranie ciągłego doskonalenia”.

To jest model operacyjny stojący za NIS2 Article 20. Zarząd nie musi zatwierdzać każdego zgłoszenia technicznego, ale musi zatwierdzić model zarządzania, rozumieć istotne ryzyka, zapewnić zasoby i nadzorować wdrożenie.

Pakiet dowodowy dla zarządu, którego NIS2 faktycznie wymaga

Częstym błędem jest traktowanie dowodów NIS2 jako notatki prawnej połączonej z folderem polityk. Rzadko zadowala to wymagającego asesora. Rozliczalność zarządu wymaga dowodu aktywnego nadzoru, a nie pasywnej dokumentacji.

Silny pakiet dowodowy NIS2 dla zarządu powinien łączyć obowiązki prawne z decyzjami zarządu, zabezpieczeniami i cyklami przeglądu.

Siłą tego pakietu jest identyfikowalność. Każdy artefakt odpowiada na pytanie zarządcze i wskazuje mechanizm ISO/IEC 27001:2022. Daje to CISO, prezesowi i zarządowi możliwą do obrony narrację: cyberbezpieczeństwo nie jest zbiorem narzędzi, lecz nadzorowanym systemem.

Przekształcanie polityk w rozliczalność na poziomie zarządu

W scenariuszu otwierającym artykuł prezes Marii może chcieć odpowiedzieć klientowi certyfikatem ISO i kilkoma politykami. To nie wystarczy dla rozliczalności organu zarządzającego wymaganej przez NIS2. Organizacja potrzebuje dowodów, że odpowiedzialność została przypisana, decyzje są rejestrowane, a ryzyka eskalowane według obiektywnych zasad.

Polityki Clarysec są projektowane tak, aby tworzyć taką identyfikowalność.

Dla mniejszych organizacji Polityka bezpieczeństwa informacji - MŚP Polityka bezpieczeństwa informacji - MŚP, klauzula 4.1.1, stwierdza, że najwyższe kierownictwo:

„Zachowuje ogólną rozliczalność za bezpieczeństwo informacji”.

To zdanie ma znaczenie. Zapobiega powszechnemu antywzorcowi, w którym założyciele, prezesi lub zespoły kierownicze nieformalnie delegują całą rozliczalność za bezpieczeństwo na IT, nie zachowując realnego nadzoru.

Dla większych organizacji Polityka zarządzania ryzykiem Polityka zarządzania ryzykiem, klauzula 4.1.1, stwierdza, że kierownictwo:

„Zatwierdza ramy zarządzania ryzykiem oraz definiuje akceptowalny apetyt na ryzyko i progi tolerancji ryzyka”.

To dowód gotowy dla zarządu na potrzeby NIS2 Article 20. Deklaracja apetytu na ryzyko, progi tolerancji i formalny model uprawnień w zarządzaniu ryzykiem pokazują, jak w praktyce działają zatwierdzanie i eskalacja.

Klauzula 5.6 tej samej polityki dodaje:

„Macierz uprawnień w zarządzaniu ryzykiem musi jasno definiować progi eskalacji do najwyższego kierownictwa lub zarządu”.

To jeden z najważniejszych artefaktów dla zarządzania NIS2. Bez progów eskalacji zarząd widzi tylko to, co ktoś zdecyduje się eskalować. Z progami wysokie ryzyko rezydualne, nierozwiązane podatności krytyczne, istotna koncentracja dostawców, poważne incydenty, ustalenia z audytu i wyjątki powyżej tolerancji automatycznie trafiają pod nadzór kierownictwa.

Polityka ról i odpowiedzialności w ramach ładu zarządczego Polityka ról i odpowiedzialności w ramach ładu zarządczego wzmacnia łańcuch dowodowy:

„Ład zarządczy musi wspierać integrację z innymi dyscyplinami (np. ryzykiem, prawem, IT, HR), a decyzje SZBI muszą być identyfikowalne do ich źródła (np. zapisów audytowych, rejestrów przeglądów, protokołów ze spotkań)”.

Dla MŚP Polityka ról i odpowiedzialności w ramach ładu zarządczego - MŚP Polityka ról i odpowiedzialności w ramach ładu zarządczego - MŚP stwierdza:

„Wszystkie istotne decyzje dotyczące bezpieczeństwa, wyjątki i eskalacje muszą być rejestrowane i identyfikowalne”.

Te klauzule przekształcają nadzór zarządu z rozmowy w ścieżkę audytową.

Łańcuch dowodowy ISO/IEC 27001:2022 dla NIS2 Article 20

Zarząd może operacjonalizować NIS2 Article 20 poprzez jasny łańcuch dowodowy ISO/IEC 27001:2022.

Po pierwsze, należy ustanowić kontekst i zakres. ISO/IEC 27001:2022 wymaga, aby organizacja określiła kwestie wewnętrzne i zewnętrzne, strony zainteresowane, wymagania prawne, regulacyjne i umowne, granice SZBI, interfejsy, zależności oraz współdziałające procesy. Dla dostawcy SaaS lub usług chmurowych zakres SZBI powinien wyraźnie identyfikować usługi w UE, środowiska chmurowe, operacje wsparcia, dostawców krytycznych, regulowane segmenty klientów oraz ekspozycję na NIS2.

Po drugie, należy wykazać przywództwo. ISO/IEC 27001:2022 wymaga, aby najwyższe kierownictwo uzgodniło cele bezpieczeństwa z kierunkiem strategicznym, integrowało wymagania SZBI z procesami biznesowymi, zapewniało zasoby, komunikowało znaczenie, przypisywało odpowiedzialności i promowało ciągłe doskonalenie. W kontekście NIS2 staje się to dowodem, że organ zarządzający zatwierdził i nadzorował środki zarządzania ryzykiem cyberbezpieczeństwa.

Po trzecie, należy prowadzić powtarzalną ocenę ryzyka i postępowanie z ryzykiem. ISO/IEC 27001:2022 wymaga kryteriów ryzyka, identyfikacji ryzyka, właścicieli ryzyka, analizy prawdopodobieństwa i skutków, opcji postępowania, doboru zabezpieczeń, porównania z Załącznikiem A, Deklaracji stosowania, planu postępowania z ryzykiem oraz zatwierdzenia ryzyka rezydualnego.

Zenith Blueprint, faza zarządzania ryzykiem, Step 13, wyraźnie wskazuje punkt zatwierdzenia:

„Zatwierdzenie przez kierownictwo: decyzje dotyczące postępowania z ryzykiem i SoA powinny zostać przeglądnięte i zatwierdzone przez najwyższe kierownictwo. Kierownictwo powinno zostać poinformowane o kluczowych ryzykach i proponowanych działaniach, ryzykach proponowanych do akceptacji oraz zabezpieczeniach planowanych do wdrożenia”.

W przypadku NIS2 taki briefing nie powinien być jednorazowy. Pakiet dla zarządu powinien pokazywać aktualne najwyższe ryzyka, trend, postęp postępowania z ryzykiem, zaakceptowane ryzyko rezydualne, zaległe działania, ekspozycję na dostawców krytycznych, tematy incydentów oraz kluczowe metryki skuteczności.

Po czwarte, należy prowadzić działania operacyjne i utrzymywać dowody. ISO/IEC 27001:2022 klauzula 8.1 wymaga planowania i kontroli operacyjnej. Zabezpieczenia z Załącznika A wspierają bezpieczeństwo dostawców, zarządzanie usługami chmurowymi, reagowanie na incydenty, ciągłość działania, zarządzanie podatnościami, kopie zapasowe, rejestrowanie zdarzeń, monitorowanie, bezpieczny rozwój oprogramowania, bezpieczeństwo aplikacji, architekturę, testowanie, outsourcing, rozdzielenie obowiązków i zarządzanie zmianami.

Po piąte, należy oceniać i doskonalić. Audyt wewnętrzny, pomiar, przegląd zarządzania, działania korygujące i ciągłe doskonalenie przekształcają katalog zabezpieczeń w system objęty zarządzaniem.

Korporacyjna Polityka bezpieczeństwa informacji Polityka bezpieczeństwa informacji osadza to oczekiwanie dotyczące przeglądu zarządzania:

„Działania przeglądu zarządzania (zgodnie z ISO/IEC 27001 Klauzula 9.3) muszą być prowadzone co najmniej raz w roku i muszą obejmować:”.

Wartość nie polega wyłącznie na tym, że spotkanie się odbywa. Wartość polega na tym, że przegląd tworzy dowody: dane wejściowe, decyzje, działania, właścicieli, terminy i działania następcze.

Polityka audytu i monitorowania zgodności - MŚP Polityka audytu i monitorowania zgodności - MŚP, klauzula 5.4.3, domyka pętlę:

„Ustalenia z audytu i aktualizacje statusu muszą być uwzględniane w procesie przeglądu zarządzania SZBI”.

To różnica między „mieliśmy audyt” a „kierownictwo przeglądnęło wyniki audytu i poleciło działania naprawcze”.

Mapowanie zgodności między ramami: NIS2, DORA, GDPR, NIST CSF 2.0 i COBIT 2019

NIS2 rzadko pojawia się samodzielnie. Dostawca usług chmurowych może przetwarzać dane osobowe w ramach GDPR. Klient fintech może narzucić wymagania wobec dostawców wynikające z DORA. Klient korporacyjny z USA może oczekiwać dostosowania do NIST CSF 2.0. Komitet audytu zarządu może posługiwać się COBIT 2019.

Odpowiedzią nie jest budowanie oddzielnych folderów zgodności. Odpowiedzią jest wykorzystanie ISO/IEC 27001:2022 jako centralnego systemu dowodowego.

Zenith Controls pomaga zespołom konsolidować działania poprzez mapowanie zabezpieczenia ISO/IEC 27002:2022 5.4 „Obowiązki kierownictwa” na normy, regulacje i metody audytu.

W Zenith Controls wpis dotyczący zabezpieczenia ISO/IEC 27002:2022 5.4 „Obowiązki kierownictwa” klasyfikuje typ zabezpieczenia jako „prewencyjny”, łączy je z poufnością, integralnością i dostępnością oraz umieszcza w zdolności operacyjnej ukierunkowanej na zarządzanie.

Ma to znaczenie, ponieważ NIS2 Article 20 jest prewencyjnym zarządzaniem. Zatwierdzanie i nadzór przez kierownictwo zmniejszają prawdopodobieństwo, że ryzyko cyberbezpieczeństwa stanie się niewidoczne, niedofinansowane lub niezarządzane.

Zenith Controls wiąże również odpowiedzialności kierownictwa z powiązanymi zabezpieczeniami ISO/IEC 27002:2022: 5.1 Polityki bezpieczeństwa informacji, 5.2 Role i odpowiedzialności w zakresie bezpieczeństwa informacji, 5.35 Niezależny przegląd bezpieczeństwa informacji, 5.36 Zgodność z politykami, zasadami i standardami bezpieczeństwa informacji oraz 5.8 Bezpieczeństwo w zarządzaniu projektami. Rozliczalność zarządu nie może istnieć samodzielnie. Wymaga polityk, ról, zapewnienia, monitorowania zgodności oraz integracji na poziomie projektów.

Szersze mapowanie jest szczególnie użyteczne w raportowaniu dla kadry kierowniczej.

DORA zasługuje na szczególną uwagę. NIS2 Article 4 uznaje, że sektorowe akty prawne UE mogą zastąpić pokrywające się przepisy NIS2 tam, gdzie stosuje się równoważne środki zarządzania ryzykiem cyberbezpieczeństwa lub zgłaszania incydentów. DORA jest kluczowym przykładem dla podmiotów finansowych. Ma zastosowanie od 17 stycznia 2025 r. i ustanawia jednolite ramy zarządzania ryzykiem ICT, raportowania incydentów, testowania odporności, zarządzania ryzykiem stron trzecich i nadzoru dla usług finansowych.

Dostawca SaaS lub usług chmurowych może nie być bezpośrednio regulowany jak bank, ale DORA może nadal trafić do niego poprzez umowy z klientami. Podmioty finansowe muszą zarządzać ryzykiem ICT stron trzecich, utrzymywać rejestry umów dotyczących usług ICT, przeprowadzać due diligence, oceniać ryzyko koncentracji, uwzględniać prawa audytu i inspekcji, definiować prawa rozwiązania umowy oraz utrzymywać strategie wyjścia. Oznacza to, że dostawcy obsługujący klientów finansowych powinni spodziewać się wniosków dowodowych bardzo podobnych do pytań NIS2 dotyczących nadzoru zarządu.

GDPR dodaje rozliczalność za dane osobowe. Article 5(2) wymaga, aby administratorzy byli odpowiedzialni za zgodność i mogli ją wykazać. Article 32 wymaga bezpieczeństwa przetwarzania, w tym regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych. Gdy dotyczy to danych osobowych, przepływy obsługi incydentów muszą integrować ocenę naruszenia GDPR z eskalacją istotnego incydentu NIS2.

NIST CSF 2.0 dodaje język zrozumiały dla kierownictwa poprzez funkcję GOVERN. Podkreśla kontekst organizacji, strategię zarządzania ryzykiem, role i odpowiedzialności, politykę, nadzór oraz zarządzanie ryzykiem łańcucha dostaw. COBIT 2019 dodaje słownictwo zarządcze znane komitetom audytu, zwłaszcza poprzez EDM03 dla optymalizacji ryzyka oraz cele MEA dla monitorowania i zapewnienia.

90-dniowy sprint dowodowy NIS2 dla zarządu

Praktyczny sprint dowodowy może pomóc organizacjom działać szybko bez tworzenia równoległej biurokracji.

Dni 1–30: Ustanowienie rozliczalności

Zacznij od rejestru rozliczalności NIS2, który dokumentuje:

• Analizę klasyfikacji podmiotu, w tym uzasadnienie statusu podmiotu kluczowego, ważnego, pośrednio narażonego lub pozostającego poza zakresem.
• Usługi objęte zakresem, takie jak SaaS, usługi chmurowe, usługi zarządzane, centrum danych, DNS, usługi zaufania lub usługi związane z łącznością.
• Państwa członkowskie UE, w których świadczone są usługi.
• Sektory klientów, których to dotyczy, zwłaszcza usługi finansowe, ochrona zdrowia, transport, energia, administracja publiczna i infrastruktura cyfrowa.
• Obowiązki mające zastosowanie, w tym NIS2 Article 20, Article 21 i Article 23.
• Powiązane obowiązki wynikające z DORA, GDPR, umów z klientami i ubezpieczenia cybernetycznego.
• Właściciela po stronie kierownictwa i częstotliwość raportowania do zarządu.

Powiąż to z kontekstem ISO/IEC 27001:2022, stronami zainteresowanymi, rejestrem obowiązków i zakresem SZBI. Następnie zaktualizuj Macierz uprawnień w zarządzaniu ryzykiem, wykorzystując wymaganie Polityki zarządzania ryzykiem, aby progi eskalacji były zdefiniowane dla najwyższego kierownictwa lub zarządu.

Przydatne wyzwalacze eskalacji obejmują ryzyko rezydualne powyżej apetytu na ryzyko, niezaakceptowane podatności krytyczne po terminie SLA, ryzyko koncentracji dostawców, nierozwiązane wysokie ustalenia z audytu, incydenty mogące uruchomić raportowanie NIS2, wyjątki od wymagań dotyczących MFA, kopii zapasowych, rejestrowania, szyfrowania lub reagowania na incydenty oraz istotne zmiany architektury chmury.

Dni 31–60: Zatwierdzenie postępowania z ryzykiem

Wykorzystaj Zenith Blueprint Step 13, aby przygotować pakiet decyzyjny dla zarządu dotyczący planu postępowania z ryzykiem i Deklaracji stosowania. Pakiet powinien obejmować:

• 10 najważniejszych ryzyk cyberbezpieczeństwa.
• Proponowaną opcję postępowania dla każdego ryzyka.
• Wybrane grupy zabezpieczeń.
• Ryzyko rezydualne po postępowaniu z ryzykiem.
• Ryzyka proponowane do akceptacji.
• Wymagane decyzje budżetowe lub zasobowe.
• Zależności od dostawców, działu prawnego, HR, produktu i IT.
• Decyzję wymaganą od kierownictwa.

Rezultatem powinno być podpisane lub odnotowane w protokole zatwierdzenie. Sama prezentacja slajdów nie wystarczy.

Należy również zmapować środki NIS2 Article 21 do klauzul ISO/IEC 27001:2022 i zabezpieczeń z Załącznika A. Pozwala to organizacji pokazać, że NIS2 jest obsługiwane przez SZBI, a nie przez oderwaną listę kontrolną.

Dni 61–90: Test raportowania incydentów i przegląd dowodów

NIS2 Article 23 wymaga etapowego raportowania istotnych incydentów: wczesnego ostrzeżenia w ciągu 24 godzin, zgłoszenia incydentu w ciągu 72 godzin, aktualizacji pośrednich, gdy są wymagane lub żądane, oraz raportu końcowego nie później niż miesiąc po zgłoszeniu.

Przeprowadź ćwiczenie typu tabletop ze sponsorem z zarządu, prezesem, CISO, działem prawnym, komunikacją, zespołem customer success i operacjami. Użyj realistycznego scenariusza, takiego jak błędna konfiguracja chmury ujawniająca metadane klientów, zakłócająca dostępność usługi i wpływająca na klienta regulowanego.

Sprawdź, kto decyduje, czy incydent może być istotny, kto kontaktuje się z doradcą prawnym, kto powiadamia właściwe organy lub CSIRT, gdy jest to wymagane, kto zatwierdza komunikację z klientami, jak zabezpieczane są dowody, jak równolegle oceniane są obowiązki dotyczące naruszeń w GDPR oraz jak zarząd jest aktualizowany w ciągu pierwszych 24 godzin.

Następnie przeprowadź formalny przegląd zarządzania. Zenith Blueprint, faza audytu, przeglądu i doskonalenia, Step 28, wyjaśnia dlaczego:

„Przegląd zarządzania nie jest tylko prezentacją; chodzi w nim o podejmowanie decyzji”.

Taki przegląd powinien obejmować ustalenia z audytu, postęp planu postępowania z ryzykiem, gotowość do obsługi incydentów, ryzyka dostawców, metryki, decyzje, przypisane działania i właścicieli działań następczych.

Spotkanie przeglądu zarządzania, które faktycznie działa

Wiele przeglądów zarządzania zawodzi, ponieważ są zorganizowane jako aktualizacje statusu. Przegląd zarządzania gotowy na NIS2 powinien być spotkaniem decyzyjnym.

Agenda powinna obejmować:

1. Zmiany wymagań NIS2, DORA, GDPR, umownych i klienckich.
2. Zmiany kontekstu biznesowego, usług, przejęć, dostawców, architektury chmury i regulowanych segmentów klientów.
3. Status najważniejszych ryzyk bezpieczeństwa informacji i ryzyka rezydualnego względem apetytu na ryzyko.
4. Postęp planu postępowania z ryzykiem i zaległe działania.
5. Trendy incydentów, istotne zdarzenia, sytuacje bliskie incydentowi i gotowość do raportowania.
6. Ryzyka zależności od dostawców i ICT, w tym koncentracji oraz wyjścia.
7. Wyniki audytów wewnętrznych, audytów zewnętrznych, ocen klientów i testów penetracyjnych.
8. Ukończenie szkoleń z zakresu świadomości bezpieczeństwa i szkoleń kadry kierowniczej.
9. Metryki dotyczące kontroli dostępu, zarządzania podatnościami, kopii zapasowych, rejestrowania, monitorowania, bezpiecznego rozwoju oprogramowania i testów ciągłości.
10. Wymagane decyzje, w tym akceptacja ryzyka, budżet, obsada, wyjątki od polityk, działania naprawcze wobec dostawców i doskonalenie zabezpieczeń.

Szkolenie kadry kierowniczej jest szczególnie ważne. NIS2 Article 20 wymaga, aby członkowie organu zarządzającego odbywali szkolenia. Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji, klauzula 5.1.2.4, wyraźnie obejmuje tematy szkoleń kadry kierowniczej:

„Najwyższe kierownictwo (np. zarządzanie, akceptacja ryzyka, obowiązki prawne)”.

Szkolenie z cyberbezpieczeństwa dla kadry kierowniczej powinno koncentrować się na uprawnieniach decyzyjnych, odpowiedzialności, eskalacji, apetycie na ryzyko, zarządzaniu kryzysowym, zgłaszaniu incydentów i obowiązkach regulacyjnych. Nie powinno ograniczać się do świadomości phishingu.

Jak audytorzy i klienci będą testować nadzór zarządu

Różni asesorzy będą używać różnego języka, ale będą testować to samo podstawowe pytanie: czy cyberbezpieczeństwo jest zarządzane?

Zenith Controls jest wartościowe, ponieważ obejmuje mapowania metodyk audytu. Dla odpowiedzialności kierownictwa odwołuje się do zasad i prowadzenia audytu ISO/IEC 19011:2018, praktyk audytu SZBI ISO/IEC 27007:2020, ISO/IEC 27001:2022 klauzula 5.1, COBIT 2019 EDM01 i EDM03, ISACA ITAF Section 1401 oraz NIST SP 800-53A PM-1 i PM-2. Dla niezależnego przeglądu mapuje do ISO/IEC 27001:2022 klauzule 9.2 i 9.3, planowania audytu i praktyk dowodowych ISO/IEC 27007, ISACA ITAF Section 2400 oraz metod oceny NIST. Dla zgodności z politykami mapuje do ISO/IEC 27001:2022 klauzule 9.1, 9.2 i 10.1, gromadzenia dowodów ISO/IEC 19011, COBIT 2019 MEA01 oraz oceny ciągłego monitorowania NIST.

Wniosek jest prosty. Rozliczalności zarządu nie wykazuje sama obecność na spotkaniu. Wykazują ją świadome decyzje, udokumentowane zatwierdzenia, priorytetyzacja oparta na ryzyku, alokacja zasobów i działania następcze.

Typowe pułapki, które przerywają łańcuch dowodowy

Organizacje, które mają trudności z rozliczalnością organu zarządzającego w NIS2, zwykle wpadają w przewidywalne schematy.

Po pierwsze, mylą działanie technicznych zabezpieczeń z zarządzaniem. Pokrycie MFA, alerty SIEM, wdrożenie EDR i wskaźniki powodzenia kopii zapasowych mają znaczenie, ale zarząd potrzebuje kontekstu ryzyka, decyzji dotyczących postępowania z ryzykiem oraz zapewnienia, że zabezpieczenia działają.

Po drugie, zatwierdzają polityki, ale nie postępowanie z ryzykiem. Podpisana polityka bezpieczeństwa nie dowodzi, że zarząd zatwierdził proporcjonalne środki cyberbezpieczeństwa. Plan postępowania z ryzykiem i SoA są mocniejszymi dowodami, ponieważ łączą ryzyka, zabezpieczenia, ryzyko rezydualne i zatwierdzenie przez kierownictwo.

Po trzecie, nie mają progów eskalacji. Bez Macierzy uprawnień w zarządzaniu ryzykiem eskalacja zależy od osób. Zarządzanie NIS2 wymaga obiektywnych wyzwalaczy.

Po czwarte, oddzielają reagowanie na incydenty od raportowania regulacyjnego. Przepływy raportowania NIS2, DORA i GDPR muszą być zintegrowane przed kryzysem.

Po piąte, ignorują nadzór nad dostawcami. NIS2 Article 21 obejmuje bezpieczeństwo łańcucha dostaw i kwestie podatności dostawców. Klienci kierowani wymaganiami DORA mogą oczekiwać głębszego zarządzania ryzykiem ICT stron trzecich, w tym due diligence, praw audytu, ryzyka koncentracji, praw rozwiązania umowy i strategii wyjścia.

Po szóste, nie szkolą kadry kierowniczej. Szkolenie z cyberbezpieczeństwa dla kadry kierowniczej nie jest opcjonalnym dodatkiem w NIS2. Jest częścią łańcucha dowodowego zarządzania.

Jak wygląda dobry stan docelowy

Po 90 dniach wiarygodny folder dowodowy NIS2 dla zarządu powinien zawierać:

• Ocenę stosowalności.
• Zakres SZBI i rejestr obowiązków.
• Oświadczenie o zaangażowaniu kierownictwa.
• Apetyt na ryzyko i progi tolerancji.
• Macierz uprawnień w zarządzaniu ryzykiem.
• Rejestr ryzyka cyberbezpieczeństwa.
• Plan postępowania z ryzykiem.
• Deklarację stosowania.
• Protokoły zatwierdzeń zarządu.
• Zapisy szkoleń kadry kierowniczej.
• Raport z ćwiczenia incydentowego typu tabletop.
• Panel ryzyka dostawców.
• Raport z audytu wewnętrznego.
• Protokoły przeglądu zarządzania i rejestr śledzenia działań.

Ten folder odpowiada na kwestionariusz klienta, który Maria otrzymała w poniedziałek rano. Co ważniejsze, pomaga zarządowi zarządzać ryzykiem cyberbezpieczeństwa, zanim incydent, audyt lub regulator publicznie przetestuje organizację.

Przekształć odpowiedzialność zarządu w NIS2 w zarządzanie gotowe do audytu

NIS2 zmieniła rozmowę o cyberbezpieczeństwie. Organy zarządzające muszą zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorować wdrożenie i odbywać szkolenia. Article 21 wymaga zintegrowanego zestawu środków technicznych, operacyjnych i organizacyjnych. Article 23 kompresuje raportowanie incydentów do etapowej osi czasu, która wymaga przygotowania przed kryzysem.

ISO/IEC 27001:2022 daje system zarządzania. Clarysec daje ścieżkę wdrożenia, język polityk, mapowania międzyramowe i model dowodów audytowych.

Jeżeli Twój zarząd pyta: „Co musimy zatwierdzić i jak wykazujemy nadzór?”, zacznij od trzech działań:

1. Wykorzystaj Zenith Blueprint Step 3, Step 13 i Step 28, aby ustrukturyzować zaangażowanie kierownictwa, zatwierdzenie postępowania z ryzykiem i przegląd zarządzania.
2. Wykorzystaj polityki Clarysec, takie jak Polityka zarządzania ryzykiem, Polityka ról i odpowiedzialności w ramach ładu zarządczego, Polityka bezpieczeństwa informacji oraz odpowiedniki dla MŚP, aby sformalizować rozliczalność i identyfikowalność.
3. Wykorzystaj Zenith Controls, aby zmapować nadzór zarządu wymagany przez NIS2 na ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 oraz oczekiwania metodyk audytowych.

Clarysec może pomóc zbudować pakiet dla zarządu, zaktualizować łańcuch dowodowy SZBI, przygotować przegląd zarządzania i przekształcić rozliczalność NIS2 w powtarzalny proces zarządzania ryzykiem cyberbezpieczeństwa zrozumiały dla audytorów, klientów i kadry kierowniczej. Pobierz odpowiednie zestawy narzędzi Clarysec lub poproś o ocenę, aby przekształcić odpowiedzialność zarządu w dowody gotowe do audytu.