Dowody cyberhigieny NIS2 zmapowane na ISO 27001
Jest poniedziałek, 08:40. Sarah, CISO szybko rosnącego dostawcy B2B SaaS, dołącza do spotkania kierownictwa, spodziewając się rutynowego przeglądu otwartych działań dotyczących ryzyka. Zamiast tego radca prawny zaczyna od znacznie bardziej konkretnego pytania:
„Jeżeli jutro właściwy organ krajowy poprosi nas o wykazanie cyberhigieny i szkoleń z cyberbezpieczeństwa wymaganych przez NIS2 Article 21, co dokładnie wyślemy?”
Dyrektor HR mówi, że każdy pracownik ukończył coroczne szkolenie uświadamiające. Menedżer SOC mówi, że wyniki symulacji phishingowych się poprawiają. Osoba odpowiedzialna za IT Operations mówi, że MFA jest egzekwowane, kopie zapasowe są testowane, a wdrażanie poprawek jest śledzone. Menedżer ds. zgodności mówi, że plik audytowy ISO/IEC 27001:2022 zawiera zapisy szkoleń, ale zespół projektu DORA ma własne dowody szkoleń z odporności, a folder GDPR zawiera odrębne logi świadomości prywatności.
Praca została wykonana. Nikt nie ma pewności, czy dowody tworzą jedną spójną historię.
To jest rzeczywisty problem NIS2 Article 21 dla podmiotów kluczowych i ważnych. Wymaganie nie sprowadza się do „przeszkolenia użytkowników”. Article 21 wymaga odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych służących zarządzaniu ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Minimalny zestaw środków obejmuje cyberhigienę i szkolenia z cyberbezpieczeństwa, ale także obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, obsługę podatności, kryptografię, bezpieczeństwo HR, kontrolę dostępu, zarządzanie aktywami, MFA lub ciągłe uwierzytelnianie, bezpieczną komunikację oraz procedury oceny skuteczności.
Cyberhigiena nie jest kampanią uświadamiającą. Jest codzienną dyscypliną operacyjną, która łączy ludzi, zabezpieczenia, dowody i rozliczalność kierownictwa.
Dla CISO, menedżerów ds. zgodności, MSP, dostawców SaaS, operatorów chmury obliczeniowej i dostawców usług cyfrowych praktyczną odpowiedzią nie jest tworzenie odrębnego „projektu szkoleniowego NIS2”. Silniejszym podejściem jest zbudowanie jednego, gotowego do audytu łańcucha dowodowego w ramach SZBI ISO/IEC 27001:2022, wspieranego praktykami zabezpieczeń ISO/IEC 27002:2022, zarządzanego ryzykiem zgodnie z ISO/IEC 27005:2022 oraz powiązanego z NIS2, DORA, GDPR, podejściem do zapewnienia w stylu NIST i oczekiwaniami ładu COBIT 2019.
Dlaczego NIS2 Article 21 czyni szkolenia dowodem dla zarządu
NIS2 ma zastosowanie do wielu średnich i dużych podmiotów w sektorach z Załącznika I i Załącznika II, które świadczą usługi lub prowadzą działalność w Unii. Dla spółek technologicznych zakres może być szerszy, niż zakłada wiele zespołów kierowniczych. Załącznik I obejmuje infrastrukturę cyfrową, w tym dostawców usług chmury obliczeniowej, dostawców usług centrów danych, dostawców sieci dostarczania treści, dostawców usług zaufania, dostawców usług DNS i rejestry TLD. Załącznik I obejmuje również zarządzanie usługami ICT B2B, w tym dostawców usług zarządzanych i dostawców zarządzanych usług bezpieczeństwa. Załącznik II obejmuje dostawców cyfrowych, takich jak internetowe platformy handlowe, wyszukiwarki internetowe i platformy usług sieci społecznościowych.
Niektóre podmioty mogą wchodzić w zakres niezależnie od wielkości, w tym określeni dostawcy usług DNS i rejestry TLD. Decyzje krajowe dotyczące krytyczności mogą również włączyć do zakresu mniejszych dostawców, jeżeli zakłócenie mogłoby wpłynąć na bezpieczeństwo publiczne, ryzyko systemowe lub usługi kluczowe.
Article 21(1) wymaga, aby podmioty kluczowe i ważne wdrożyły odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla sieci i systemów informatycznych wykorzystywanych w operacjach lub świadczeniu usług oraz w celu zapobiegania wpływowi incydentów lub jego minimalizacji. Article 21(2) wymienia minimalne środki, w tym polityki analizy ryzyka i bezpieczeństwa systemów informatycznych, obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczne nabywanie i utrzymanie, ocenę skuteczności, podstawowe praktyki cyberhigieny i szkolenia z cyberbezpieczeństwa, kryptografię, bezpieczeństwo HR, kontrolę dostępu, zarządzanie aktywami oraz MFA lub ciągłe uwierzytelnianie, gdy jest to właściwe.
Article 20 podnosi stawkę. Organy zarządzające muszą zatwierdzać środki zarządzania ryzykiem w cyberbezpieczeństwie, nadzorować ich wdrożenie i mogą ponosić odpowiedzialność za naruszenia. Członkowie organów zarządzających muszą odbywać szkolenia, a podmioty zachęca się do zapewniania podobnych regularnych szkoleń pracownikom, aby potrafili identyfikować ryzyka oraz oceniać praktyki zarządzania ryzykiem w cyberbezpieczeństwie i ich wpływ na usługi.
Article 34 dodaje presję finansową. Naruszenia Article 21 lub Article 23 mogą skutkować administracyjnymi karami pieniężnymi sięgającymi co najmniej 10 000 000 EUR lub 2% światowego rocznego obrotu w przypadku podmiotów kluczowych oraz co najmniej 7 000 000 EUR lub 1,4% w przypadku podmiotów ważnych, zależnie od tego, która kwota jest wyższa.
Dlatego „przeprowadziliśmy coroczne szkolenie uświadamiające” nie wystarcza. Regulator, audytor ISO, asesor bezpieczeństwa klienta lub ubezpieczyciel cyber będzie oczekiwać dowodów, że szkolenie jest oparte na rolach, oparte na ryzyku, aktualne, mierzone, powiązane z incydentami i rozumiane przez kierownictwo.
Firmowa Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji Clarysec, klauzula 5.1.1.3, wymaga, aby szkolenie:
Obejmowało tematy takie jak phishing, higiena haseł, zgłaszanie incydentów i zarządzanie incydentami, bezpieczeństwo fizyczne oraz ochrona i minimalizacja danych
Ta sama polityka, klauzula 8.3.1.1, wskazuje linię dowodową, o którą audytorzy zwykle proszą w pierwszej kolejności:
Zapisy dotyczące przypisania szkolenia, potwierdzenia zapoznania się i ukończenia
Dla MŚP Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji — MŚP Clarysec, klauzula 8.4.1, jeszcze bardziej bezpośrednio odnosi się do audytowalności:
Zapisy szkoleń podlegają audytowi wewnętrznemu i przeglądowi zewnętrznemu. Zapisy muszą być dokładne, kompletne i możliwe do wykazania na żądanie (np. na potrzeby certyfikacji ISO, audytu GDPR lub walidacji ubezpieczeniowej).
To zdanie dobrze pokazuje różnicę między świadomością jako działaniem HR a świadomością jako zabezpieczeniem zgodności. Jeżeli zapisy są niekompletne, nieweryfikowalne lub niepowiązane z ryzykiem roli, zabezpieczenie może działać operacyjnie, ale nie przejść audytu.
Wykorzystaj ISO/IEC 27001:2022 jako oś dowodową
ISO/IEC 27001:2022 jest naturalnym kręgosłupem dla NIS2 Article 21, ponieważ wymusza na organizacji określenie zakresu, stron zainteresowanych, ryzyk, zabezpieczeń, celów, dowodów, audytu wewnętrznego, przeglądu zarządzania i ciągłego doskonalenia.
Klauzule 4.1 do 4.4 wymagają, aby organizacja rozumiała kwestie wewnętrzne i zewnętrzne, określiła strony zainteresowane i ich wymagania, zdefiniowała zakres SZBI, uwzględniła interfejsy i zależności z działaniami wykonywanymi przez inne organizacje oraz utrzymywała SZBI jako współdziałający zestaw procesów. Dla dostawcy SaaS lub MSP zakres SZBI powinien wyraźnie obejmować obowiązki wynikające z NIS2, zobowiązania umowne wobec klientów, zależności od dostawców chmury obliczeniowej, pokrycie przez zewnętrzny SOC, role przetwarzania danych i zobowiązania dotyczące dostępności usług.
Klauzule 5.1 do 5.3 wprowadzają rozliczalność ładu zarządczego. Najwyższe kierownictwo musi dostosować politykę i cele bezpieczeństwa informacji do kierunku strategicznego, zintegrować wymagania SZBI z procesami biznesowymi, zapewnić zasoby, przypisać odpowiedzialności i zapewnić raportowanie wyników. Jest to bezpośrednio zgodne z NIS2 Article 20, zgodnie z którym organy zarządzające zatwierdzają i nadzorują środki zarządzania ryzykiem w cyberbezpieczeństwie.
Klauzule 6.1.1 do 6.1.3 oraz 6.2 przekształcają oczekiwania prawne w postępowanie z ryzykiem. Organizacja musi zaplanować działania dotyczące ryzyk i szans, prowadzić powtarzalny proces oceny ryzyka bezpieczeństwa informacji, określić właścicieli ryzyka, wybrać opcje postępowania, porównać zabezpieczenia z Załącznikiem A, utworzyć Deklarację stosowania, opracować plan postępowania, uzyskać zatwierdzenie właściciela ryzyka i ustanowić mierzalne cele bezpieczeństwa.
W tym miejscu NIS2 Article 21 staje się możliwy do zarządzania. Nie potrzebujesz odłączonego programu świadomości NIS2. Potrzebujesz zmapowanej historii ryzyka i zabezpieczeń.
| Obszar wymagań NIS2 | Mechanizm dowodowy ISO/IEC 27001:2022 | Praktyczne dowody |
|---|---|---|
| Zatwierdzenie i nadzór kierownictwa | Klauzule 5.1, 5.3, 9.3 | Protokoły zarządu, pakiet przeglądu zarządzania, przypisania ról, zatwierdzenia budżetu |
| Cyberhigiena i szkolenia | Klauzula 7.2, Klauzula 7.3, zabezpieczenia Załącznika A dotyczące ludzi i technologii | Plan szkoleń, eksporty z LMS, macierz ról, wyniki phishingu, potwierdzenia zapoznania się z politykami |
| Analiza ryzyka i polityka bezpieczeństwa | Klauzule 6.1.2, 6.1.3, 6.2 | Ocena ryzyka, plan postępowania z ryzykiem, Deklaracja stosowania, cele bezpieczeństwa |
| Ocena skuteczności | Klauzule 9.1, 9.2, 10.2 | KPI, wyniki audytu wewnętrznego, działania korygujące, wyniki testowania zabezpieczeń |
| Gotowość do obsługi i zgłaszania incydentów | Zabezpieczenia zarządzania incydentami z Załącznika A | Podręczniki operacyjne incydentów, logi eskalacji, raporty z ćwiczeń typu tabletop, zapisy zabezpieczenia materiału dowodowego |
| Łańcuch dostaw i zależność od chmury obliczeniowej | Zabezpieczenia Załącznika A dotyczące dostawców i usług chmurowych | Rejestr dostawców, due diligence, umowy, plany wyjścia, przeglądy usług |
| Dostęp, zarządzanie aktywami i MFA | Zabezpieczenia Załącznika A dotyczące dostępu, aktywów i tożsamości | Inwentarz aktywów, przeglądy uprawnień, raporty MFA, dowody dostępu uprzywilejowanego |
Klauzule 8.1 do 8.3, 9.1 do 9.3 oraz 10.1 do 10.2 domykają pętlę operacyjną. Wymagają zaplanowanego nadzoru operacyjnego, ponownej oceny ryzyka, wdrożenia planów postępowania, monitorowania i pomiarów, audytu wewnętrznego, przeglądu zarządzania, ciągłego doskonalenia i działań korygujących. ISO/IEC 27001:2022 staje się silnikiem dowodowym dla NIS2 Article 21, a nie tylko odznaką certyfikacyjną.
Przełóż cyberhigienę na kotwice zabezpieczeń ISO
„Cyberhigiena” jest celowo pojęciem szerokim. Dla audytorów musi zostać przełożona na konkretne, testowalne zabezpieczenia. Clarysec zwykle rozpoczyna budowę dowodów cyberhigieny NIS2 Article 21 od trzech praktycznych kotwic zabezpieczeń z ISO/IEC 27002:2022, interpretowanych przez Zenith Controls: przewodnik zgodności krzyżowej.
Pierwszą kotwicą jest zabezpieczenie ISO/IEC 27002:2022 6.3, podnoszenie świadomości, edukacja i szkolenia w zakresie bezpieczeństwa informacji. W Zenith Controls 6.3 jest traktowane jako zabezpieczenie zapobiegawcze wspierające poufność, integralność i dostępność. Jego zdolność operacyjna to bezpieczeństwo zasobów ludzkich, a koncepcja cyberbezpieczeństwa to ochrona. Ujmuje to świadomość jako zabezpieczenie ochronne, a nie ćwiczenie komunikacyjne.
Zenith Controls pokazuje również, w jaki sposób 6.3 zależy od innych zabezpieczeń i je wzmacnia. Łączy się z 5.2 role i odpowiedzialności w zakresie bezpieczeństwa informacji, ponieważ szkolenie musi odzwierciedlać przypisane odpowiedzialności. Łączy się z 6.8 zgłaszanie zdarzeń bezpieczeństwa informacji, ponieważ personel nie może zgłaszać tego, czego nie rozpoznaje. Łączy się z 8.16 działania monitorujące, ponieważ analitycy SOC i personel operacyjny muszą być szkoleni w rozpoznawaniu anomalii i stosowaniu protokołów reagowania. Łączy się z 5.36 zgodność z politykami, zasadami i standardami bezpieczeństwa informacji, ponieważ polityki działają tylko wtedy, gdy ludzie je rozumieją.
Jak wskazuje Zenith Controls dla zabezpieczenia ISO/IEC 27002:2022 6.3:
Zgodność zależy od świadomości. 6.3 zapewnia, że pracownicy znają polityki bezpieczeństwa i rozumieją swoją osobistą odpowiedzialność za ich przestrzeganie. Regularna edukacja i szkolenia ograniczają ryzyko niezamierzonych naruszeń polityki wynikających z niewiedzy.
Drugą kotwicą jest zabezpieczenie ISO/IEC 27002:2022 5.10, dopuszczalne użytkowanie informacji i innych powiązanych aktywów. Cyberhigiena zależy od tego, czy ludzie rozumieją, co mogą robić z punktami końcowymi, dyskami chmurowymi, narzędziami SaaS, platformami współpracy, nośnikami wymiennymi, danymi produkcyjnymi, danymi testowymi i narzędziami wspieranymi przez AI. Zenith Controls mapuje 5.10 jako zabezpieczenie zapobiegawcze w obszarze zarządzania aktywami i ochrony informacji. W praktyce dowodem dopuszczalnego użytkowania nie jest wyłącznie podpisana polityka. Obejmuje on potwierdzenie, że polityka pokrywa rzeczywisty krajobraz aktywów, onboarding zawiera potwierdzenie zapoznania się, monitorowanie wspiera egzekwowanie, a wyjątki są obsługiwane.
Trzecią kotwicą jest zabezpieczenie ISO/IEC 27002:2022 5.36, zgodność z politykami, zasadami i standardami bezpieczeństwa informacji. To pomost audytowy. Zenith Controls mapuje 5.36 jako zapobiegawcze zabezpieczenie ładu i zapewnienia. Łączy się ono z 5.1 polityki bezpieczeństwa informacji, 6.4 proces dyscyplinarny, 5.35 niezależny przegląd bezpieczeństwa informacji, 5.2 role i odpowiedzialności, 5.25 ocena i decyzja dotycząca zdarzeń bezpieczeństwa informacji, 8.15 rejestrowanie, 8.16 działania monitorujące oraz 5.33 ochrona zapisów.
Dla NIS2 Article 21 ma to kluczowe znaczenie. Regulatorzy i audytorzy nie pytają wyłącznie o to, czy polityka istnieje. Pytają, czy przestrzeganie jest monitorowane, czy naruszenia są wykrywane, czy dowody są chronione, czy prowadzone są działania korygujące i czy kierownictwo widzi wyniki.
Zbuduj pakiet dowodów cyberhigieny i szkoleń NIS2
Rozważmy średniej wielkości dostawcę SaaS przygotowującego się zarówno do gotowości NIS2, jak i audytu nadzoru ISO/IEC 27001:2022. Organizacja zatrudnia 310 osób, w tym programistów, SRE, agentów wsparcia, personel sprzedaży, kontraktorów i najwyższe kierownictwo. Świadczy klientom w UE chmurowe usługi workflow i korzysta z hiperskalowego dostawcy chmury obliczeniowej, dwóch platform tożsamości, zewnętrznego dostawcy MDR oraz kilku podwykonawczych narzędzi wsparcia.
Menedżer ds. zgodności ma eksporty szkoleń z LMS, ale nie są one zmapowane na NIS2 Article 21, zabezpieczenia ISO, role biznesowe ani scenariusze ryzyka. Praktyczny sprint naprawczy tworzy Pakiet dowodów cyberhigieny i szkoleń złożony z sześciu komponentów.
| Komponent dowodowy | Co potwierdza | Właściciel | Test audytowy |
|---|---|---|---|
| Macierz szkoleń opartych na rolach | Szkolenia są dopasowane do odpowiedzialności i ekspozycji na ryzyko | Menedżer SZBI i HR | Pobranie próbek ról i weryfikacja, czy wymagane moduły zostały przypisane |
| Roczny plan szkoleń | Kompetencje i świadomość są planowane, a nie prowadzone ad hoc | Menedżer SZBI | Sprawdzenie dat, tematów, odbiorców, zatwierdzenia i celów ukończenia |
| Eksport ukończenia szkoleń z LMS | Personel ukończył przypisane szkolenia | HR lub operacje personalne | Uzgodnienie listy pracowników z raportem ukończenia, osobami przyjętymi i odchodzącymi |
| Raport z symulacji phishingowej | Skuteczność świadomości jest mierzona | Operacje bezpieczeństwa | Przegląd wyników kampanii, osób powtarzających kliknięcia i szkoleń naprawczych |
| Log potwierdzeń zapoznania się z politykami | Personel zaakceptował zasady i odpowiedzialności | HR i zgodność | Potwierdzenie zapoznania się z politykami bezpieczeństwa, dopuszczalnego użytkowania i zgłaszania incydentów |
| Podsumowanie przeglądu zarządzania | Kierownictwo nadzoruje trendy i działania korygujące | CISO i sponsor z kierownictwa | Weryfikacja, czy protokoły obejmują metryki, wyjątki, ryzyka i decyzje |
Kluczowa jest identyfikowalność.
Zacznij od NIS2 Article 21(2)(g), podstawowych praktyk cyberhigieny i szkoleń z cyberbezpieczeństwa. Powiąż go z klauzulami ISO/IEC 27001:2022 7.2 i 7.3 dotyczącymi kompetencji i świadomości, klauzulami 9.1 i 9.2 dotyczącymi monitorowania i audytu oraz zabezpieczeniami z Załącznika A obejmującymi świadomość, dopuszczalne użytkowanie, zarządzanie podatnościami, zarządzanie konfiguracją, kopie zapasowe, rejestrowanie, monitorowanie, kryptografię, kontrolę dostępu i zarządzanie incydentami. Następnie powiąż dowody z rejestrem ryzyk.
| Grupa ról | Ryzyko cyberhigieny NIS2 | Wymagane szkolenie | Dowody |
|---|---|---|---|
| Wszyscy pracownicy | Phishing, słabe hasła, niewłaściwe zgłaszanie incydentów, nieprawidłowe postępowanie z danymi | Podstawowe szkolenie w zakresie bezpieczeństwa, higiena haseł, MFA, ochrona danych, zgłaszanie incydentów | Ukończenie w LMS, wynik testu wiedzy, potwierdzenie zapoznania się z polityką |
| Najwyższe kierownictwo | Akceptacja ryzyka, odpowiedzialność prawna, decyzje kryzysowe, nadzór nad raportowaniem | Obowiązki ładu zarządczego, odpowiedzialności kierownictwa wynikające z NIS2, eskalacja incydentów, apetyt na ryzyko | Udział w warsztacie dla kadry kierowniczej, pakiet dla zarządu, log decyzji |
| Programiści | Podatności, niezabezpieczony kod, ujawnienie sekretów, niebezpieczne dane testowe | Bezpieczne kodowanie, zarządzanie zależnościami, ujawnianie podatności, minimalizacja danych | Zapis szkolenia, lista kontrolna bezpiecznego SDLC, próbki przeglądu kodu |
| SRE i operacje IT | Błędna konfiguracja, opóźnienia we wdrażaniu poprawek, niepowodzenie kopii zapasowych, luki w rejestrowaniu | Zarządzanie poprawkami, bezpieczna konfiguracja, odtwarzanie kopii zapasowych, monitorowanie, reagowanie na incydenty | Raport poprawek, test kopii zapasowych, dowód alertu SIEM, raport z ćwiczenia typu tabletop |
| Wsparcie klienta | Inżynieria społeczna, nieautoryzowane ujawnienie, naruszenie prywatności | Weryfikacja tożsamości, postępowanie z danymi, eskalacja, zgłaszanie naruszeń | Przegląd uprawnień CRM, zapis szkolenia, próbka QA wsparcia |
| Kontraktorzy z dostępem | Niejasne obowiązki, niezarządzany dostęp, wycieki danych | Skrócony onboarding bezpieczeństwa, dopuszczalne użytkowanie, ścieżka zgłaszania | Potwierdzenie kontraktora, zatwierdzenie dostępu, dowody zakończenia współpracy |
Firmowa Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji wspiera tę strukturę. Klauzula 5.1.2.4 wyraźnie obejmuje tematy szkoleń dla najwyższego kierownictwa:
Najwyższe kierownictwo (np. ład zarządczy, akceptacja ryzyka, obowiązki prawne)
Ta linia ma znaczenie w kontekście NIS2 Article 20, ponieważ szkolenie kierownictwa nie jest opcjonalne. Jeżeli zarząd zatwierdza środki zarządzania ryzykiem, ale nie potrafi wyjaśnić akceptacji ryzyka, progów incydentów lub rutyn nadzorczych, łańcuch dowodowy się załamuje.
Polityka bezpieczeństwa informacji — MŚP Clarysec, klauzula 6.4.1, pokazuje, jak cyberhigiena staje się codziennym zachowaniem kontrolnym:
Obowiązkowe środki bezpieczeństwa muszą być stosowane spójnie, w tym regularne kopie zapasowe, aktualizacje oprogramowania antywirusowego, silne hasła i bezpieczna utylizacja dokumentów wrażliwych.
To zwięzłe ujęcie praktycznej cyberhigieny dla MŚP. Audytor nadal będzie oczekiwał dowodów, takich jak raporty z zadań kopii zapasowych, pokrycie EDR, konfiguracja haseł lub MFA oraz logi bezpiecznej utylizacji, ale polityka ustanawia oczekiwane zachowanie.
Zmapuj NIS2 Article 21 na dowody audytowe
Audytorzy testują działanie zabezpieczeń, a nie hasła. Będą śledzić „złotą nić” od wymagania prawnego do zakresu SZBI, oceny ryzyka, Deklaracji stosowania, polityki, procedury, dowodu i przeglądu zarządzania.
| Obszar NIS2 Article 21 | Mapowanie ISO/IEC 27001:2022 lub ISO/IEC 27002:2022 | Referencja Clarysec | Podstawowe dowody audytowe |
|---|---|---|---|
| Szkolenia z cyberbezpieczeństwa | Klauzula 7.2, Klauzula 7.3, A.6.3 Podnoszenie świadomości, edukacja i szkolenia w zakresie bezpieczeństwa informacji | Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji | Polityka szkoleniowa, roczny plan, zapisy LMS, wyniki phishingu, lista kontrolna onboardingu, protokoły szkolenia zarządu |
| Dopuszczalne zachowania cyberhigieniczne | A.5.10 Dopuszczalne użytkowanie informacji i innych powiązanych aktywów | Polityka bezpieczeństwa informacji — MŚP | Potwierdzenie dopuszczalnego użytkowania, zapisy onboardingu, zapisy wyjątków, dowody monitorowania |
| Higiena podatności i poprawek | A.8.8 Zarządzanie podatnościami technicznymi | Zenith Blueprint Krok 19 | Skany podatności, raporty poprawek, zgłoszenia działań naprawczych, zapisy akceptacji ryzyka |
| Bezpieczna konfiguracja | A.8.9 Zarządzanie konfiguracją | Zenith Blueprint Krok 19 | Bezpieczne konfiguracje bazowe, przeglądy konfiguracji, zatwierdzenia zmian, raporty dryfu |
| Odporność i odzyskiwanie | A.8.13 Kopie zapasowe informacji | Polityka bezpieczeństwa informacji — MŚP | Logi kopii zapasowych, testy odtwarzania, przeglądy niepowodzeń kopii zapasowych, dowody odzyskiwania |
| Wykrywanie i reagowanie | A.8.15 Rejestrowanie, A.8.16 Działania monitorujące, A.6.8 Zgłaszanie zdarzeń bezpieczeństwa informacji | Zenith Controls | Alerty SIEM, procedury monitorowania, szkolenie ze zgłaszania incydentów, wyniki ćwiczeń typu tabletop |
| Ochrona kryptograficzna | A.8.24 Stosowanie kryptografii | ISO/IEC 27001:2022 Załącznik A | Standardy szyfrowania, dowody zarządzania kluczami, konfiguracja TLS, raporty szyfrowania pamięci masowej |
| Integralność dowodów | A.5.33 Ochrona zapisów | Zenith Controls | Kontrolowane foldery audytowe, znaczniki czasu eksportów, zasady okresu przechowywania, logi dostępu |
Regulator może nie używać terminologii ISO, ale ścieżka dowodowa pozostaje taka sama. Pokaż, że wymaganie zostało zidentyfikowane, ocenione pod kątem ryzyka, objęte postępowaniem, wdrożone, monitorowane, raportowane kierownictwu i doskonalone.
Wykorzystaj Zenith Blueprint do przejścia od planu do dowodów
Zenith Blueprint: 30-krokowa mapa drogowa audytora daje zespołom praktyczną drogę od intencji do dowodów. W fazie Fundamenty i przywództwo SZBI, Krok 5, Komunikacja, świadomość i kompetencje, Blueprint instruuje organizacje, aby zidentyfikowały wymagane kompetencje, oceniły obecne kompetencje, zapewniły szkolenia w celu zamknięcia luk, utrzymywały zapisy kompetencji i traktowały kompetencje jako proces ciągły.
Element działania w Blueprint jest celowo operacyjny:
Przeprowadź szybką analizę potrzeb szkoleniowych. Wypisz kluczowe role SZBI (z Kroku 4) i dla każdej zanotuj znane szkolenia lub certyfikacje oraz dodatkowe szkolenia, które mogą być przydatne. Wypisz również ogólne tematy świadomości bezpieczeństwa potrzebne wszystkim pracownikom. Na tej podstawie przygotuj prosty Plan szkoleń na kolejny rok – np. „Q1: świadomość bezpieczeństwa dla całego personelu; Q2: zaawansowane szkolenie z reagowania na incydenty dla IT; Q3: szkolenie audytora wewnętrznego ISO 27001 dla dwóch członków zespołu; …”.
W fazie Zabezpieczenia w praktyce, Krok 15, Zabezpieczenia osobowe I, Zenith Blueprint rekomenduje obowiązkowe coroczne szkolenie dla wszystkich pracowników, moduły specyficzne dla ról, onboarding bezpieczeństwa nowych pracowników w pierwszym tygodniu, symulowane kampanie phishingowe, biuletyny, briefingi zespołowe, dowody udziału, ukierunkowane biuletyny bezpieczeństwa po pojawieniu się nowych zagrożeń oraz szkolenia dla kontraktorów lub stron trzecich z dostępem.
Krok 16, Zabezpieczenia osobowe II, ostrzega, że audytorzy będą testować wdrożenie, a nie tylko dokumentację. W przypadku pracy zdalnej audytorzy mogą poprosić o Politykę pracy zdalnej, dowody VPN lub szyfrowania punktów końcowych, wdrożenie MDM, ograniczenia BYOD oraz zapisy szkoleń pokazujące środki ostrożności dotyczące pracy zdalnej. Jeżeli praca hybrydowa jest częścią modelu operacyjnego, dowody szkoleń NIS2 powinny obejmować bezpieczne korzystanie z Wi‑Fi, blokowanie urządzeń, zatwierdzone miejsca przechowywania, MFA oraz zgłaszanie podejrzanej aktywności ze środowisk domowych.
Krok 19, Zabezpieczenia technologiczne I, łączy cyberhigienę z warstwą zabezpieczeń technicznych. Zenith Blueprint rekomenduje przegląd raportów poprawek, skanów podatności, bezpiecznych konfiguracji bazowych, pokrycia EDR, logów złośliwego oprogramowania, alertów DLP, odtworzeń kopii zapasowych, dowodów redundancji, usprawnień rejestrowania i synchronizacji czasu. Article 21(2)(g) nie może być oceniany w izolacji. Przeszkolona załoga nadal potrzebuje punktów końcowych z poprawkami, monitorowanych logów, testowanych kopii zapasowych i bezpiecznych konfiguracji.
Oprzyj plan szkoleń na ryzyku zgodnie z ISO/IEC 27005:2022
Częstą słabością audytową jest ogólny plan szkoleń, który wygląda tak samo dla programistów, finansów, wsparcia, najwyższego kierownictwa i kontraktorów. ISO/IEC 27005:2022 pomaga uniknąć tej słabości, czyniąc szkolenia elementem postępowania z ryzykiem.
Klauzula 6.2 zaleca identyfikację podstawowych wymagań odpowiednich stron zainteresowanych i statusu zgodności, w tym ISO/IEC 27001:2022 Załącznik A, innych norm SZBI, wymagań sektorowych, regulacji krajowych i międzynarodowych, wewnętrznych zasad bezpieczeństwa, umownych zabezpieczeń oraz zabezpieczeń już wdrożonych w ramach wcześniejszego postępowania z ryzykiem. Wspiera to jeden rejestr wymagań zamiast oddzielnych arkuszy NIS2, ISO, DORA, GDPR, klientów i ubezpieczycieli.
Klauzule 6.4.1 do 6.4.3 wyjaśniają, że kryteria akceptacji i oceny ryzyka powinny uwzględniać aspekty prawne i regulacyjne, działania operacyjne, relacje z dostawcami, ograniczenia technologiczne i finansowe, prywatność, szkodę reputacyjną, naruszenia umów, naruszenia poziomu usług oraz wpływ na strony trzecie. Incydent phishingowy dotyczący wewnętrznego systemu newslettera różni się od kompromitacji danych uwierzytelniających wpływającej na zarządzaną usługę bezpieczeństwa, platformę wsparcia klienta, integrację płatniczą lub operację DNS.
Klauzule 7.1 do 7.2.2 wymagają spójnej, powtarzalnej oceny ryzyka, obejmującej ryzyka poufności, integralności i dostępności oraz wskazanych właścicieli ryzyka. Klauzule 8.2 do 8.6 prowadzą następnie przez wybór postępowania, określenie zabezpieczeń, porównanie z Załącznikiem A, dokumentację Deklaracji stosowania i szczegóły planu postępowania.
Szkolenie jest jednym ze sposobów postępowania, ale nie jedynym. Jeżeli powtarzające się symulacje phishingowe pokazują podatność użytkowników z finansów na oszustwa fakturowe, plan postępowania może obejmować szkolenie przypominające, silniejszą ścieżkę akceptacji płatności, dostęp warunkowy, monitorowanie reguł skrzynek pocztowych i ćwiczenia scenariuszy oszustw dla kadry kierowniczej.
Klauzule 9.1, 9.2, 10.4.2, 10.5.1 i 10.5.2 podkreślają zaplanowaną ponowną ocenę, udokumentowane metody, monitorowanie skuteczności i aktualizacje w przypadku nowych podatności, aktywów, sposobów wykorzystania technologii, przepisów, incydentów lub zmian apetytu na ryzyko. Dowodzi to, że organizacja nie zamraża planu szkoleń raz w roku.
Wykorzystaj te same dowody dla NIS2, DORA, GDPR, NIST i COBIT
Najsilniejszy pakiet dowodów NIS2 powinien wspierać wiele rozmów o zapewnieniu.
NIS2 Article 4 uznaje, że sektorowe akty prawne Unii mogą zastąpić odpowiadające im obowiązki NIS2 dotyczące zarządzania ryzykiem i raportowania, jeżeli są co najmniej równoważne pod względem skutku. Motyw 28 wskazuje DORA jako sektorowy reżim dla objętych nim podmiotów finansowych. W przypadku objętych podmiotów finansowych zasady DORA dotyczące zarządzania ryzykiem ICT, zarządzania incydentami, testowania odporności, wymiany informacji i ryzyka ICT stron trzecich mają zastosowanie zamiast odpowiadających im przepisów NIS2. NIS2 pozostaje bardzo istotna dla podmiotów poza DORA oraz dla dostawców ICT będących stronami trzecimi, takich jak dostawcy chmury obliczeniowej, MSP i MSSP.
DORA wzmacnia tę samą logikę systemu zarządzania. Articles 4 to 6 wymagają proporcjonalnego zarządzania ryzykiem ICT, odpowiedzialności organu zarządzającego, jasnych ról ICT, strategii cyfrowej odporności operacyjnej, planów audytu ICT, budżetów oraz zasobów na świadomość lub szkolenia. Articles 8 to 13 wymagają identyfikacji aktywów i zależności, ochrony i zapobiegania, kontroli dostępu, silnego uwierzytelniania, kopii zapasowych, ciągłości, reagowania i odzyskiwania, uczenia się po incydentach, raportowania ICT do wyższej kadry oraz obowiązkowej świadomości bezpieczeństwa ICT i szkoleń z cyfrowej odporności operacyjnej. Articles 17 to 23 wymagają uporządkowanego zarządzania incydentami, klasyfikacji, eskalacji i komunikacji z klientami. Articles 24 to 30 łączą testowanie z nadzorem nad dostawcami, due diligence, umowami, prawem do audytu i strategiami wyjścia.
GDPR dodaje warstwę rozliczalności prywatności. Article 5 wymaga integralności i poufności poprzez odpowiednie środki techniczne i organizacyjne, a Article 5(2) wymaga od administratorów wykazania zgodności. Article 6 wymaga podstawy prawnej przetwarzania, natomiast Articles 9 and 10 nakładają surowsze zabezpieczenia dla szczególnych kategorii danych oraz danych dotyczących przestępstw. Dla dostawcy SaaS dowody szkoleniowe powinny obejmować prywatność, minimalizację danych, bezpieczne ujawnianie, eskalację naruszeń oraz postępowanie z danymi klientów specyficzne dla roli.
Perspektywy audytowe w stylu NIST i COBIT 2019 często pojawiają się w zapewnieniu dla klientów, audycie wewnętrznym i raportowaniu zarządczym. Asesor w stylu NIST zwykle zapyta, czy świadomość i szkolenia są oparte na ryzyku, oparte na rolach, mierzone i powiązane z reagowaniem na incydenty, tożsamością, zarządzaniem aktywami i ciągłym monitorowaniem. Audytor COBIT 2019 lub w stylu ISACA skoncentruje się na ładzie zarządczym, rozliczalności, wskaźnikach skuteczności działania, nadzorze kierownictwa, własności procesów i zgodności z celami organizacji.
| Perspektywa ram | Na czym zależy audytorowi | Dowody do przygotowania |
|---|---|---|
| NIS2 Article 21 | Proporcjonalne środki dotyczące ryzyka w cyberbezpieczeństwie, cyberhigiena, szkolenia, nadzór kierownictwa | Mapowanie Article 21, zatwierdzenie zarządu, plan szkoleń, KPI cyberhigieny, dowody gotowości na incydenty |
| ISO/IEC 27001:2022 | Zakres SZBI, postępowanie z ryzykiem, kompetencje, świadomość, monitorowanie, audyt wewnętrzny, doskonalenie | Zakres, rejestr ryzyk, SoA, macierz kompetencji, zapisy szkoleń, raport z audytu, działania korygujące |
| DORA | Cykl życia ryzyka ICT, szkolenia z odporności, testowanie, klasyfikacja incydentów, ryzyko ICT stron trzecich | Ramy ryzyka ICT, szkolenia z odporności, wyniki testów, procedura incydentowa, rejestr dostawców |
| GDPR | Rozliczalność, ochrona danych, świadomość naruszeń prywatności, poufność, minimalizacja | Szkolenie z prywatności, mapa ról przetwarzania, dowody eskalacji naruszeń, procedury postępowania z danymi |
| Przegląd w stylu NIST | Świadomość oparta na rolach, mierzalne działanie zabezpieczeń, monitorowanie, reagowanie | Macierz ról, metryki symulacji, dowody dostępu, dowody rejestrowania, wyniki ćwiczeń typu tabletop |
| Przegląd COBIT 2019 lub ISACA | Ład zarządczy, własność procesu, wyniki, zapewnienie skuteczności zabezpieczeń, raportowanie zarządcze | RACI, pulpit KPI, protokoły przeglądu zarządzania, program audytu wewnętrznego, śledzenie działań naprawczych |
Praktyczna korzyść jest prosta: jeden pakiet dowodów, wiele narracji audytowych.
Jak audytorzy będą testować tę samą kontrolę
Audytor ISO/IEC 27001:2022 rozpocznie od SZBI. Zapyta, czy wymagania dotyczące kompetencji i świadomości zostały określone, czy personel rozumie swoje odpowiedzialności, czy zapisy są przechowywane, czy audyty wewnętrzne testują proces oraz czy przegląd zarządzania uwzględnia wyniki i doskonalenie. Może pobrać próbkę pracowników i zapytać, jak zgłosić incydent, jak używa się MFA, jakie są zasady dopuszczalnego użytkowania albo co zrobić po otrzymaniu podejrzanej wiadomości e-mail.
Przegląd nadzorczy NIS2 będzie bardziej skoncentrowany na wyniku i ryzyku dla usługi. Recenzent może zapytać, jak cyberhigiena ogranicza ryzyko dla świadczenia usług, jak kierownictwo zatwierdziło środki, jak szkolenie jest dostosowane do usług kluczowych, jak objęty jest personel stron trzecich, jak oceniana jest skuteczność oraz jak organizacja komunikowałaby znaczące cyberzagrożenia lub incydenty zgodnie z Article 23. Ponieważ Article 23 obejmuje wczesne ostrzeżenie w ciągu 24 godzin oraz zgłoszenie incydentu w ciągu 72 godzin dla znaczących incydentów, szkolenie musi obejmować rozpoznawanie i szybkość eskalacji.
Audytor DORA dla podmiotu finansowego powiąże świadomość z cyfrową odpornością operacyjną. Może zapytać, czy świadomość bezpieczeństwa ICT i szkolenia z odporności są obowiązkowe, czy raportowanie ICT dla wyższej kadry trafia do organu zarządzającego, czy kryteria klasyfikacji incydentów są rozumiane, czy komunikacja kryzysowa została przećwiczona oraz czy dostawcy zewnętrzni uczestniczą w szkoleniach, gdy jest to istotne umownie.
Audytor GDPR lub asesor prywatności skoncentruje się na tym, czy personel rozumie dane osobowe, role przetwarzania, poufność, identyfikację naruszeń, eskalację naruszeń, minimalizację danych i bezpieczne ujawnianie. Będzie oczekiwać, że szkolenie różni się dla wsparcia, HR, programistów i administratorów, ponieważ te role tworzą różne ryzyka prywatności.
Audytor wewnętrzny COBIT 2019 lub ISACA zapyta, kto jest właścicielem procesu, które cele proces wspiera, jak mierzone są wyniki, jakie istnieją wyjątki, czy działania korygujące są śledzone oraz czy kierownictwo otrzymuje znaczące raportowanie zamiast wskaźników próżności.
Typowe ustalenia dotyczące gotowości szkoleń NIS2
Najczęstszym ustaleniem jest niepełne pokrycie populacji. Raport LMS pokazuje 94% ukończenia, ale brakujące 6% obejmuje administratorów uprzywilejowanych, kontraktorów lub nowe osoby. Audytorzy nie zaakceptują procentu bez zrozumienia, kogo brakuje i dlaczego.
Drugim ustaleniem jest brak wrażliwości na role. Wszyscy otrzymują ten sam roczny moduł, ale programiści nie są szkoleni z bezpiecznego kodowania, agenci wsparcia nie są szkoleni z weryfikacji tożsamości, a najwyższe kierownictwo nie jest szkolone z obowiązków ładu zarządczego ani decyzji kryzysowych. NIS2 Article 20 i Article 21 utrudniają obronę takiego podejścia.
Trzecim ustaleniem są słabe dowody skuteczności. Ukończenie nie jest tym samym co zrozumienie lub zmiana zachowania. Audytorzy coraz częściej oczekują wyników testów wiedzy, trendów phishingowych, trendów zgłaszania incydentów, wniosków z ćwiczeń typu tabletop, redukcji powtarzających się niepowodzeń i działań korygujących.
Czwartym ustaleniem jest odłączona higiena techniczna. Szkolenie mówi „zgłaszaj podejrzaną aktywność”, ale nie ma przetestowanego kanału zgłoszeń. Szkolenie mówi „używaj MFA”, ale konta serwisowe omijają MFA. Szkolenie mówi „chroń dane”, ale dane produkcyjne pojawiają się w środowiskach testowych. Article 21 oczekuje systemu zabezpieczeń, a nie haseł.
Piątym ustaleniem jest słaba integralność zapisów. Dowody są przechowywane w edytowalnym arkuszu kalkulacyjnym bez właściciela, znacznika czasu eksportu, kontroli dostępu lub uzgodnienia z zapisami HR. Relacje zabezpieczeń ISO/IEC 27002:2022 w Zenith Controls nie bez powodu prowadzą z powrotem do ochrony zapisów. Dowody muszą być wiarygodne.
10-dniowy sprint działań naprawczych dla dowodów gotowych do audytu
Jeżeli Twoja organizacja działa pod presją, zacznij od skoncentrowanego sprintu.
| Dzień | Działanie | Wynik |
|---|---|---|
| Dzień 1 | Potwierdź zastosowanie NIS2 i zakres usług | Decyzja o statusie podmiotu kluczowego lub ważnego, usługi w zakresie, funkcje wspierające |
| Dzień 2 | Zbuduj rejestr wymagań | NIS2 Articles 20, 21, 23, klauzule ISO, zabezpieczenia Załącznika A, GDPR, DORA, umowy, wymagania ubezpieczeniowe |
| Dzień 3 | Utwórz macierz szkoleń opartych na rolach | Szkolenia zmapowane na rodziny stanowisk, dostęp uprzywilejowany, programistów, wsparcie, kontraktorów, najwyższe kierownictwo |
| Dzień 4 | Zmapuj szkolenia na scenariusze ryzyka | Phishing, kompromitacja danych uwierzytelniających, wyciek danych, ransomware, błędna konfiguracja, naruszenie po stronie dostawcy, naruszenie prywatności |
| Dzień 5 | Zbierz dowody | Eksporty LMS, potwierdzenia zapoznania się, raporty phishingowe, zapisy onboardingu, zapisy kontraktorów, udział najwyższego kierownictwa |
| Dzień 6 | Uzgodnij dowody | Populacja szkoleniowa sprawdzona względem zapisów HR, grup tożsamości, kont uprzywilejowanych, list kontraktorów |
| Dzień 7 | Sprawdź zrozumienie pracowników | Notatki z rozmów pokazujące, że personel zna zgłaszanie incydentów, oczekiwania dotyczące MFA, postępowanie z podejrzanymi wiadomościami e-mail, zasady dotyczące danych |
| Dzień 8 | Przejrzyj techniczne środki cyberhigieny | MFA, kopie zapasowe, EDR, wdrażanie poprawek, skanowanie podatności, rejestrowanie, monitorowanie, dowody bezpiecznej konfiguracji |
| Dzień 9 | Przygotuj pakiet przeglądu zarządzania | Ukończenie, wyjątki, trendy phishingowe, otwarte działania, role wysokiego ryzyka, incydenty, potrzeby budżetowe |
| Dzień 10 | Zaktualizuj plan postępowania z ryzykiem i SoA | Ryzyko szczątkowe, właściciele, terminy, miary skuteczności, aktualizacje Deklaracji stosowania |
Ten sprint daje możliwą do obrony bazę dowodową. Nie zastępuje bieżącego działania SZBI, ale tworzy strukturę, której oczekują regulatorzy i audytorzy.
Jak wygląda właściwy stan
Dojrzały program cyberhigieny i szkoleń NIS2 Article 21 ma pięć cech.
Po pierwsze, jest widoczny dla zarządu. Kierownictwo zatwierdza podejście, widzi znaczące metryki, rozumie ryzyko szczątkowe i finansuje doskonalenie.
Po drugie, jest oparty na ryzyku. Szkolenia różnią się w zależności od roli, krytyczności usługi, poziomu dostępu, ekspozycji danych i odpowiedzialności za incydenty.
Po trzecie, jest prowadzony przez dowody. Zapisy ukończenia, potwierdzenia zapoznania się, symulacje, ćwiczenia typu tabletop, raporty higieny technicznej i działania korygujące są kompletne, uzgodnione i chronione.
Po czwarte, uwzględnia zgodność krzyżową. Te same dowody wspierają NIS2, ISO/IEC 27001:2022, DORA, GDPR, zapewnienie w stylu NIST i raportowanie ładu COBIT 2019.
Po piąte, doskonali się. Incydenty, ustalenia z audytu, zmiany prawne, zmiany dostawców, nowe technologie i pojawiające się zagrożenia aktualizują plan szkoleń.
Ten ostatni punkt odróżnia teatr zgodności od odporności operacyjnej.
Kolejne kroki z Clarysec
Jeżeli Twój zespół kierowniczy pyta: „Czy jutro możemy wykazać cyberhigienę i szkolenia z cyberbezpieczeństwa wymagane przez NIS2 Article 21?”, Clarysec może pomóc przejść od rozproszonych dowodów do gotowego do audytu pakietu dowodowego SZBI.
Zacznij od Zenith Blueprint, aby uporządkować kompetencje, świadomość, zabezpieczenia osobowe, praktyki pracy zdalnej, zarządzanie podatnościami, kopie zapasowe, rejestrowanie, monitorowanie i działania technicznej cyberhigieny w ramach 30-krokowej mapy drogowej.
Użyj Zenith Controls, aby powiązać oczekiwania ISO/IEC 27002:2022 dotyczące świadomości, dopuszczalnego użytkowania, zgodności, monitorowania, zapisów i zapewnienia w rozmowach audytowych dotyczących NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST i COBIT 2019.
Następnie uruchom wymagania operacyjnie poprzez Politykę świadomości i szkoleń w zakresie bezpieczeństwa informacji, Politykę świadomości i szkoleń w zakresie bezpieczeństwa informacji — MŚP oraz Politykę bezpieczeństwa informacji — MŚP Clarysec.
Twoje natychmiastowe działanie jest proste: w tym tygodniu zbuduj jednostronicową mapę dowodów szkoleniowych NIS2 Article 21. Wypisz role w zakresie, przypisane szkolenia, dowody ukończenia, potwierdzenia zapoznania się z politykami, metryki phishingowe, dowody technicznej cyberhigieny, datę przeglądu zarządzania i działania korygujące. Jeżeli jakakolwiek komórka jest pusta, masz kolejne zadanie naprawcze do audytu.
Aby skrócić ścieżkę, pobierz szablony polityk Clarysec, użyj mapy drogowej Zenith Blueprint i zaplanuj ocenę gotowości dowodowej NIS2, aby przekształcić obecne zapisy szkoleń, zabezpieczenia cyberhigieny i SZBI ISO/IEC 27001:2022 w jeden możliwy do obrony plik audytowy.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
