Dowody na potrzeby rejestracji NIS2 w ISO 27001:2022

Wiadomość trafiła do skrzynki Anny z cichym stuknięciem, które zabrzmiało raczej jak syrena alarmowa. Jako CISO w CloudFlow, szybko rosnącym dostawcy B2B SaaS obsługującym klientów w całej UE, była przyzwyczajona do kwestionariuszy bezpieczeństwa, audytów zakupowych i audytów nadzoru ISO 27001. Ta wiadomość była inna.

Temat brzmiał: „Information Request Regarding National Implementation of Directive (EU) 2022/2555 (NIS2)”. Krajowy organ właściwy ds. cyberbezpieczeństwa oczekiwał, że CloudFlow potwierdzi swoją klasyfikację, przygotuje informacje rejestracyjne podmiotu, zidentyfikuje usługi objęte zakresem i będzie gotowa wykazać środki zarządzania ryzykiem cyberbezpieczeństwa.

Anna miała na ścianie oprawiony certyfikat ISO 27001:2022. Sprzedaż wykorzystywała go w rozmowach z klientami enterprise. Zarząd zatwierdził Politykę bezpieczeństwa informacji. Audyt wewnętrzny niedawno zamknął dwa ustalenia. Pytanie, przed którym stanęła, było jednak ostrzejsze niż sam status certyfikacji.

Czy CloudFlow może szybko i w sposób możliwy do obrony wykazać, że jej SZBI zgodny z ISO 27001:2022 obejmuje obowiązki wynikające z NIS2?

Właśnie w tym miejscu wiele organizacji popełnia błąd. Traktują rejestrację podmiotu na potrzeby NIS2 jako zgłoszenie administracyjne, podobne do aktualizacji wpisu w rejestrze przedsiębiorców albo portalu podatkowym. Tak nie jest. Rejestracja jest wejściem w obszar widoczności nadzorczej. Po przekroczeniu tego progu właściwy organ może zażądać uzasadnienia zakresu, zapisów zatwierdzeń organu zarządzającego, procedur zgłaszania incydentów, dowodów dotyczących ryzyka dostawców, punktów kontaktowych, metryk skuteczności kontroli oraz dowodu, że organizacja wie, które usługi są krytyczne.

Dla dostawców SaaS, usług chmurowych, usług zarządzanych, zarządzanego bezpieczeństwa, centrów danych, infrastruktury cyfrowej oraz wybranych dostawców z sektora finansowego prawdziwe pytanie nie brzmi już: „Czy mamy politykę bezpieczeństwa?”. Brzmi ono: „Czy potrafimy pokazać łańcuch dowodowy od obowiązku prawnego, przez zakres SZBI, postępowanie z ryzykiem i działanie środków kontrolnych, po nadzór organu zarządzającego?”.

Najsilniejszy program gotowości do egzekwowania NIS2 nie jest równoległym arkuszem kalkulacyjnym. Jest to identyfikowalny model dowodowy osadzony w ISO 27001:2022.

Rejestracja NIS2 jest w istocie problemem dowodowym

NIS2 ma szerokie zastosowanie do podmiotów publicznych lub prywatnych w sektorach wymienionych w załączniku I i załączniku II, które spełniają lub przekraczają właściwy próg średniego przedsiębiorstwa. Obejmuje także niektóre podmioty niezależnie od wielkości, w tym dostawców publicznych sieci lub usług łączności elektronicznej, dostawców usług zaufania, rejestry TLD, dostawców usług DNS, jedynych dostawców usług kluczowych oraz podmioty, których zakłócenie mogłoby wpłynąć na bezpieczeństwo publiczne, zdrowie publiczne, ryzyko systemowe albo krytyczność krajową lub regionalną.

Dla firm technologicznych szczególnie ważne są kategorie cyfrowe. Załącznik I obejmuje infrastrukturę cyfrową, taką jak dostawcy usług chmury obliczeniowej, dostawcy usług centrów danych, dostawcy sieci dostarczania treści, dostawcy usług zaufania, dostawcy usług DNS oraz dostawcy publicznych sieci lub usług łączności elektronicznej. Załącznik I obejmuje również zarządzanie usługami ICT świadczonymi w modelu business-to-business, w tym dostawców usług zarządzanych oraz dostawców zarządzanych usług bezpieczeństwa. Załącznik II obejmuje dostawców cyfrowych, takich jak internetowe platformy handlowe, wyszukiwarki internetowe i platformy serwisów społecznościowych.

Oznacza to, że organizacja może znaleźć się w zakresie NIS2, nie postrzegając siebie jako „infrastruktury krytycznej”. Spółka B2B SaaS z funkcjonalnością zarządzanego bezpieczeństwa, platforma chmurowa wspierająca klientów regulowanych albo dostawca z otoczenia sektora fintech może nagle potrzebować pliku rejestracyjnego, modelu kontaktu z właściwym organem oraz możliwej do obrony narracji kontrolnej.

NIS2 rozróżnia również podmioty kluczowe i ważne. Podmioty kluczowe zasadniczo podlegają bardziej proaktywnemu modelowi nadzoru, natomiast podmioty ważne są zwykle nadzorowane po pojawieniu się dowodów niezgodności lub incydentów. To rozróżnienie ma znaczenie, ale nie eliminuje potrzeby przygotowania. Obie kategorie potrzebują ładu zarządczego, zarządzania ryzykiem, zgłaszania incydentów, bezpieczeństwa dostawców i dowodów.

Podmioty finansowe muszą również uwzględnić DORA. NIS2 Article 4 uznaje, że gdy sektorowy akt prawny Unii nakłada co najmniej równoważne obowiązki w zakresie zarządzania ryzykiem cyberbezpieczeństwa i zgłaszania incydentów, do odpowiednich obszarów stosuje się przepisy sektorowe. DORA stosuje się od 17 stycznia 2025 r. i ustanawia zarządzanie ryzykiem ICT, zgłaszanie poważnych incydentów związanych z ICT, testowanie cyfrowej odporności operacyjnej, wymianę informacji, zarządzanie ryzykiem stron trzecich ICT, kontrole umowne oraz nadzór nad krytycznymi zewnętrznymi dostawcami usług ICT. Dla objętych nim podmiotów finansowych DORA jest podstawowymi ramami odporności cybernetycznej dla nakładających się wymagań, jednak interfejsy z NIS2 i koordynacja z organami krajowymi nadal mogą mieć znaczenie.

Wniosek jest prosty. Nie czekaj na pole w portalu albo wiadomość od organu, zanim zaczniesz budować dowody. Każda odpowiedź rejestracyjna oznacza przyszłe pytanie audytowe.

Zacznij od zakresu SZBI, nie od formularza w portalu

ISO 27001:2022 jest przydatna, ponieważ wymaga od organizacji określenia kontekstu, stron zainteresowanych, obowiązków regulacyjnych, zakresu, ryzyk, planów postępowania z ryzykiem, działania środków kontrolnych, monitorowania, audytu wewnętrznego, przeglądu zarządzania i doskonalenia.

Klauzule 4.1 do 4.4 wymagają, aby organizacja określiła kwestie wewnętrzne i zewnętrzne, zidentyfikowała strony zainteresowane i ich wymagania, zdecydowała, które wymagania są uwzględniane w ramach SZBI, określiła zakres SZBI z uwzględnieniem interfejsów i zależności, udokumentowała ten zakres oraz prowadziła procesy SZBI.

Dla NIS2 zakres ten powinien odpowiadać na praktyczne pytania:

• Które usługi w UE, podmioty prawne, spółki zależne, platformy, komponenty infrastruktury i jednostki biznesowe są istotne?
• Która kategoria z załącznika I lub załącznika II może mieć zastosowanie?
• Czy organizacja jest podmiotem kluczowym, ważnym, objętym DORA, poza zakresem, czy oczekuje na klasyfikację krajową?
• Które usługi są krytyczne dla klientów, bezpieczeństwa publicznego, stabilności finansowej, ochrony zdrowia, infrastruktury cyfrowej lub innych sektorów regulowanych?
• Którzy dostawcy usług chmurowych, MSP, MSSP, centra danych, podwykonawcy i inni dostawcy wspierają te usługi?
• Które państwa członkowskie, właściwe organy, CSIRT, organy ochrony danych i organy nadzoru finansowego mogą być właściwe?

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint umieszcza tę pracę na wczesnym etapie, w kroku 2, „Potrzeby interesariuszy i zakres SZBI”. Wskazuje organizacjom, aby identyfikowały organy regulacyjne i właściwe organy, przeglądały wymogi prawne i regulacyjne, przeglądały umowy i porozumienia, prowadziły rozmowy z interesariuszami oraz uwzględniały oczekiwane normy branżowe.

Punkt działania 4.2: Sporządź listę wszystkich istotnych stron zainteresowanych i odnotuj ich wymagania związane z bezpieczeństwem informacji. Bądź dokładny — pomyśl o każdym, kto złożyłby skargę albo poniósł konsekwencje, gdyby Twoje bezpieczeństwo zawiodło lub gdyby brakowało określonego środka kontrolnego. Ta lista wskaże, z czym musisz zapewnić zgodność lub co spełnić poprzez SZBI, i zasili ocenę ryzyka oraz dobór środków kontroli.

To właściwy punkt wyjścia do rejestracji NIS2. Przed zgłoszeniem przygotuj krótką notatkę zakresową NIS2, która łączy model biznesowy z kategoriami z załącznika I lub załącznika II, dokumentuje założenia dotyczące wielkości i usług, zapisuje interpretację prawa krajowego, identyfikuje właściwe organy oraz wskazuje, czy zastosowanie mają również DORA, GDPR, umowy z klientami lub przepisy sektorowe.

Clarysec Polityka zgodności prawnej i regulacyjnej dla MŚP Polityka zgodności prawnej i regulacyjnej - MŚP jasno definiuje cel:

„Niniejsza polityka określa podejście organizacji do identyfikowania, spełniania i wykazywania zgodności z obowiązkami prawnymi, regulacyjnymi i umownymi”.

Dla większych programów Polityka zgodności prawnej i regulacyjnej Clarysec Polityka zgodności prawnej i regulacyjnej jest jeszcze bardziej jednoznaczna:

„Wszystkie obowiązki prawne i regulacyjne muszą zostać zmapowane na konkretne polityki, środki kontrolne i właścicieli w ramach Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)”.

To zdanie jest fundamentem gotowości do egzekwowania. Jeśli organ zapyta, w jaki sposób zidentyfikowano obowiązki NIS2, odpowiedź nie powinna brzmieć: „doradził nam dział prawny”. Odpowiedzią powinien być udokumentowany rejestr, powiązany z zakresem, ryzykami, właścicielami kontroli, procedurami, utrzymywanymi dowodami i przeglądem zarządzania.

Zbuduj łańcuch dowodowy NIS2 wewnątrz ISO 27001:2022

NIS2 Article 21 wymaga, aby podmioty kluczowe i ważne wdrożyły odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykami dla sieci i systemów informatycznych wykorzystywanych do prowadzenia działalności lub świadczenia usług. Środki muszą uwzględniać stan wiedzy technicznej, właściwe normy europejskie i międzynarodowe tam, gdzie mają zastosowanie, koszt, ekspozycję na ryzyko, wielkość, prawdopodobieństwo i wagę incydentów oraz wpływ społeczny i gospodarczy.

Article 21(2) wymienia minimalne obszary, w tym analizę ryzyka i polityki bezpieczeństwa systemów informatycznych, obsługę incydentów, ciągłość działania, kopie zapasowe, odtwarzanie po awarii, zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, bezpieczne nabywanie i rozwój, obsługę podatności, ocenę skuteczności, cyberhigienę, szkolenia, kryptografię, bezpieczeństwo zasobów ludzkich, kontrolę dostępu, zarządzanie aktywami, uwierzytelnianie wieloskładnikowe lub ciągłe oraz bezpieczną komunikację tam, gdzie jest to właściwe.

ISO 27001:2022 naturalnie mapuje się na tę strukturę. Klauzule 6.1.1 do 6.1.3 wymagają oceny ryzyka i postępowania z ryzykiem, w tym kryteriów akceptacji ryzyka, właścicieli ryzyka, analizy prawdopodobieństwa i konsekwencji, planu postępowania z ryzykiem, porównania ze środkami kontrolnymi z załącznika A oraz Deklaracji stosowania. Klauzula 8 wymaga planowania i nadzoru operacyjnego, dowodów, że procesy działały zgodnie z planem, kontroli zmian, nadzoru nad procesami dostarczanymi z zewnątrz, powtarzalnych ocen ryzyka i udokumentowanych wyników postępowania z ryzykiem. Klauzula 9.1 wymaga monitorowania, pomiaru, analizy i oceny. Klauzula 9.2 wymaga audytu wewnętrznego. Klauzula 10.2 wymaga działań dotyczących niezgodności i działań korygujących.

Clarysec Polityka zarządzania ryzykiem Polityka zarządzania ryzykiem - MŚP przekształca to w regułę operacyjną:

„Wszystkie zidentyfikowane ryzyka muszą zostać zapisane w Rejestrze ryzyk”.

Korporacyjna Polityka zarządzania ryzykiem Polityka zarządzania ryzykiem łączy postępowanie z ryzykiem z doborem środków kontrolnych ISO 27001:2022:

„Decyzje dotyczące kontroli wynikające z procesu postępowania z ryzykiem powinny zostać odzwierciedlone w SoA”.

Ma to znaczenie, ponieważ dowody NIS2 powinny być identyfikowalne. Jeśli organ zapyta, dlaczego istnieje dany środek kontrolny, wskaż obowiązek, ryzyko, decyzję dotyczącą postępowania, właściciela kontroli, wpis w SoA, procedurę i dowód. Jeśli organ zapyta, dlaczego środka kontrolnego nie wybrano, wskaż uzasadnienie w SoA, zatwierdzoną akceptację ryzyka i przegląd zarządzania.

Najlepszy łańcuch dowodowy jest nudny w najlepszym możliwym sensie. Każdy obowiązek ma właściciela. Każdy właściciel ma środek kontrolny. Każdy środek kontrolny ma dowód. Każdy wyjątek ma zatwierdzenie. Każde ustalenie z audytu ma działanie korygujące.

Przenieś ład zarządczy z Article 20 do dowodów organu zarządzającego

NIS2 Article 20 przenosi cyberbezpieczeństwo do sali posiedzeń organu zarządzającego. Organy zarządzające muszą zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa przyjęte na potrzeby Article 21, nadzorować ich wdrożenie i mogą ponosić odpowiedzialność za naruszenia. Członkowie organu zarządzającego muszą uczestniczyć w szkoleniach, a podmioty są zachęcane do zapewniania regularnych szkoleń z cyberbezpieczeństwa pracownikom.

Organ zarządzający nie może po prostu delegować NIS2 do IT. Dowody powinny wykazywać, że kierownictwo zrozumiało analizę zakresu NIS2, zatwierdziło podejście do zarządzania ryzykiem, przeglądało istotne ryzyka, przydzieliło zasoby, śledziło wdrożenie, przeglądało incydenty i ćwiczenia oraz odbyło szkolenie.

Klauzule ISO 27001:2022 5.1 do 5.3 wspierają ten model ładu zarządczego, wymagając zaangażowania najwyższego kierownictwa, dostosowania celów bezpieczeństwa informacji do strategii biznesowej, integracji wymagań SZBI z procesami biznesowymi, zasobów, komunikacji, rozliczalności oraz raportowania wyników SZBI do najwyższego kierownictwa.

Clarysec Polityka ról i odpowiedzialności w ramach ładu zarządczego Polityka ról i odpowiedzialności w ramach ładu zarządczego definiuje rolę łącznika ds. bezpieczeństwa jako osobę, która:

„Pełni funkcję głównego łącznika z audytorami, organami regulacyjnymi i najwyższym kierownictwem w sprawach bezpieczeństwa informacji”.

Ta rola powinna być wskazana imiennie w pakiecie dowodowym do rejestracji NIS2. Nie powinna wynikać jedynie z domysłu. Organy, audytorzy i klienci chcą wiedzieć, kto koordynuje kontakt regulacyjny, kto odpowiada za zgłaszanie incydentów, kto utrzymuje rejestr prawny, kto aktualizuje kontakty do organów i kto raportuje do organu zarządzającego.

Praktyczny zestaw dowodów ładu zarządczego obejmuje:

• Zatwierdzenie przez organ zarządzający ram zarządzania ryzykiem cyberbezpieczeństwa.
• Protokoły przeglądu zarządzania obejmujące zakres NIS2, ryzyka, incydenty, dostawców i gotowość.
• Zapisy szkoleń członków organu zarządzającego i pracowników.
• Macierz RACI dla obowiązków NIS2, środków kontrolnych ISO 27001:2022, zgłaszania incydentów, zapewnienia dostawców i komunikacji regulacyjnej.
• Dowody, że obowiązki NIS2 są uwzględnione w audycie wewnętrznym i monitorowaniu zgodności.
• Śledzenie działań korygujących dla luk, przeterminowanych ryzyk, wyjątków i nieudanych testów.

Articles 32 i 33 również czynią jakość dowodów istotną, wskazując czynniki poważnego naruszenia, takie jak powtarzające się naruszenia, brak zgłoszenia lub usunięcia znaczących incydentów, brak usunięcia uchybień po wiążących instrukcjach, utrudnianie audytów lub monitorowania oraz informacje fałszywe albo rażąco niedokładne. Słabe dowody mogą stać się problemem egzekucyjnym nawet wtedy, gdy środki techniczne istnieją.

Przygotuj dowody kontaktu z organami i zgłaszania incydentów przed 02:00

Najbardziej bolesne niepowodzenia w zgłaszaniu incydentów często zaczynają się od podstawowego pytania: „Kogo powiadamiamy?”. Podczas ransomware, awarii DNS, naruszenia bezpieczeństwa chmury obliczeniowej albo ujawnienia danych zespoły tracą czas na szukanie właściwego CSIRT, właściwego organu, organu ochrony danych, organu nadzoru finansowego, kanału organów ścigania, szablonu komunikacji z klientem i wewnętrznej osoby zatwierdzającej.

NIS2 Article 23 wymaga zgłaszania bez zbędnej zwłoki znaczących incydentów wpływających na świadczenie usług. Znaczący incydent to taki, który spowodował lub mógł spowodować poważne zakłócenia operacyjne lub stratę finansową, albo wpłynął lub mógł wpłynąć na inne osoby, powodując znaczną szkodę materialną lub niematerialną. Harmonogram jest etapowy: wczesne ostrzeżenie w ciągu 24 godzin od uzyskania wiedzy, zgłoszenie incydentu w ciągu 72 godzin, aktualizacje pośrednie na żądanie oraz raport końcowy w ciągu miesiąca po zgłoszeniu 72-godzinnym albo po obsłużeniu incydentu w przypadku incydentów trwających. W stosownych przypadkach odbiorcy usług muszą również zostać poinformowani o znaczących incydentach lub znaczących cyberzagrożeniach oraz środkach ochronnych.

Zenith Blueprint, faza „Controls in Action”, krok 22, traktuje kontakt z organami jako przygotowanie, a nie panikę:

Zasada jest prosta: gdyby Twoja organizacja była celem cyberataku, uczestniczyła w naruszeniu ochrony danych lub była przedmiotem dochodzenia, kto wykonałby telefon do organów? Skąd wiedziałby, co powiedzieć? W jakich warunkach taki kontakt zostałby zainicjowany? Na te pytania trzeba odpowiedzieć z wyprzedzeniem, a nie po fakcie.

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls obejmuje środek kontrolny ISO/IEC 27002:2022 5.5, Kontakt z organami. Klasyfikuje go jako kontrolę zapobiegawczą i korygującą, powiązaną z poufnością, integralnością i dostępnością oraz z koncepcjami Identify, Protect, Respond i Recover. Łączy również środek kontrolny 5.5 ze środkami kontrolnymi ISO/IEC 27002:2022 5.24 Planowanie i przygotowanie zarządzania incydentami bezpieczeństwa informacji, 6.8 Zgłaszanie zdarzeń bezpieczeństwa informacji, 5.7 informacje o zagrożeniach, 5.6 Kontakt z grupami specjalnego zainteresowania oraz 5.26 Reagowanie na incydenty bezpieczeństwa informacji.

Z perspektywy zgodności przekrojowej Zenith Controls mapuje kontakt z organami na NIS2 Article 23, zgłoszenie naruszenia GDPR, zgłaszanie incydentów DORA, NIST SP 800-53 IR-6 Zgłaszanie incydentów oraz praktyki zewnętrznej eskalacji COBIT 2019. Jeden rejestr kontaktów do organów może obsłużyć wiele obowiązków, jeżeli jest właściwie zaprojektowany.

Clarysec Polityka reagowania na incydenty Polityka reagowania na incydenty - MŚP jednoznacznie wskazuje triaż prawny:

„Gdy zaangażowane są dane klientów, Dyrektor Generalny musi ocenić obowiązki prawne dotyczące powiadomień w oparciu o zastosowanie GDPR, NIS2 lub DORA”.

Silny pakiet dowodów dotyczących kontaktu z organami powinien obejmować:

• Dane kontaktowe właściwego organu i CSIRT według państwa członkowskiego i usługi.
• Kontakty do organów ochrony danych na potrzeby zgłoszeń naruszenia ochrony danych osobowych w GDPR.
• Kontakty do organów nadzoru finansowego, jeżeli DORA ma zastosowanie.
• Ścieżki kontaktu z organami ścigania i jednostkami ds. cyberprzestępczości.
• Upoważnionych wewnętrznych rzeczników i zastępców.
• Progi incydentów dla NIS2, GDPR, DORA, umów z klientami i ubezpieczenia cyber.
• Szablony wczesnego ostrzeżenia 24-godzinnego, zgłoszenia 72-godzinnego, aktualizacji pośredniej i raportu jednomiesięcznego.
• Zapisy ćwiczeń typu tabletop testujących zewnętrzne powiadomienia.
• Zapisy wcześniejszych zgłoszeń, decyzji o braku zgłoszenia i uzasadnienia prawnego.

Zmapuj NIS2 Article 21 na środki kontrolne ISO 27001 i dowody polityk

Sam certyfikat nie odpowiada na pytanie organu regulacyjnego. Odpowiada na nie mapowanie środków kontrolnych. Poniższa tabela daje zespołom bezpieczeństwa i zgodności praktyczny pomost między obszarami NIS2 Article 21, środkami kontrolnymi ISO/IEC 27002:2022, punktami odniesienia w politykach Clarysec i dowodami.

Clarysec Zenith Controls obejmuje również środek kontrolny ISO/IEC 27002:2022 5.31, Wymagania prawne, ustawowe, regulacyjne i umowne, jako kontrolę zapobiegawczą o wpływie na poufność, integralność i dostępność. Łączy 5.31 z prywatnością i ochroną PII, retencją zapisów, niezależnym przeglądem oraz zgodnością z politykami wewnętrznymi. Mapuje również 5.31 na rozliczalność GDPR, zgodność łańcucha dostaw z NIS2, zarządzanie ryzykiem ICT DORA, ład NIST CSF, kontrole programowe NIST SP 800-53 oraz nadzór zgodności zewnętrznej COBIT 2019.

„Control 5.31 zapewnia, że wszystkie istotne wymagania prawne, regulacyjne, ustawowe i umowne związane z bezpieczeństwem informacji są identyfikowane, dokumentowane i stale zarządzane”.

Właśnie tego krajowy organ oczekuje po rejestracji: nie tylko tego, że NIS2 znajduje się na liście, ale że organizacja ma działający mechanizm identyfikowania, mapowania, wdrażania, monitorowania i aktualizowania obowiązków.

Nie oddzielaj NIS2 od DORA, GDPR, dostawców i chmury

Dowody NIS2 rzadko istnieją w izolacji.

NIS2 Article 21(2)(d) wymaga bezpieczeństwa łańcucha dostaw, w tym aspektów bezpieczeństwa związanych z relacjami z dostawcami i usługodawcami. Article 21(3) wymaga, aby decyzje dotyczące ryzyka dostawców uwzględniały podatności, ogólną jakość produktów, praktyki cyberbezpieczeństwa, procedury bezpiecznego rozwoju oraz właściwe skoordynowane oceny ryzyka łańcucha dostaw prowadzone na poziomie UE.

Załącznik A ISO 27001:2022 zapewnia pomost operacyjny poprzez A.5.19 do A.5.23. Dla organizacji SaaS i chmurowych te środki kontrolne często przesądzają, czy dowody rejestracyjne są powierzchowne, czy możliwe do obrony.

DORA zaostrza obraz dostawców dla podmiotów finansowych. Articles 28 do 30 wymagają zarządzania ryzykiem stron trzecich ICT, rejestru umów o usługi ICT, rozróżnienia usług wspierających funkcje krytyczne lub istotne, przedumownej oceny ryzyka, due diligence, wymagań bezpieczeństwa umownego, praw audytu i kontroli, praw rozwiązania umowy, przetestowanych strategii wyjścia, oceny podwykonawstwa, przejrzystości lokalizacji danych, wsparcia przy incydentach, współpracy z organami oraz uzgodnień przejściowych. Jeśli dostawca SaaS obsługuje klientów regulowanych przez DORA, jego umowy i pakiet zapewnienia mogą zostać zbadane nawet wtedy, gdy sam nie jest podmiotem finansowym.

Clarysec Polityka bezpieczeństwa dostawców i stron trzecich - MŚP Polityka bezpieczeństwa dostawców i stron trzecich - MŚP powinna zatem zostać powiązana z pakietem dowodowym NIS2. Gotowość dostawców powinna obejmować:

• Inwentarz dostawców i klasyfikację krytyczności.
• Due diligence dostawców i oceny ryzyka.
• Klauzule umowne dotyczące bezpieczeństwa, wsparcia przy incydentach, prawa do audytu, lokalizacji danych, podwykonawstwa i wyjścia.
• Macierze współdzielonej odpowiedzialności w chmurze obliczeniowej.
• Zapisy monitorowania dostawców krytycznych.
• Testowanie wyjścia i odzyskiwania dla usług krytycznych.
• Procedury powiadamiania o incydentach dostawców i eskalacji.

GDPR również musi być zintegrowane. Znaczący incydent NIS2 może być jednocześnie naruszeniem ochrony danych osobowych, jeżeli naruszone zostaną dane klientów, pracowników lub użytkowników. GDPR wymaga od administratorów wykazania rozliczalności oraz, gdy spełnione są progi zgłoszeniowe, powiadomienia organu nadzorczego w ciągu 72 godzin od uzyskania wiedzy o naruszeniu ochrony danych osobowych. Proces reagowania na incydenty musi równolegle oceniać obowiązki wynikające z NIS2, GDPR, DORA, umów i zobowiązań wobec klientów.

Złóż tygodniowy pakiet dowodowy NIS2

Dostawca SaaS, MSP, MSSP, dostawca usług chmurowych lub firma infrastruktury cyfrowej może osiągnąć znaczący postęp w ciągu jednego skoncentrowanego tygodnia.

Dzień 1, sklasyfikuj podmiot i usługi. Wykorzystaj deklarację zakresu SZBI i rejestr stron zainteresowanych. Dodaj notatkę zakresową NIS2, która identyfikuje kategorie z załącznika I lub załącznika II, usługi w UE, państwa członkowskie, klientów, zależności, założenia dotyczące wielkości oraz to, czy zastosowanie mają DORA lub przepisy sektorowe. Zapisz niepewność klasyfikacji jako ryzyko, jeśli interpretacja prawna nie jest ostateczna.

Dzień 2, zaktualizuj rejestr obowiązków prawnych i regulacyjnych. Dodaj NIS2 Articles 20, 21 i 23, wymogi rejestracyjne wynikające z prawa krajowego, obowiązki dotyczące naruszeń GDPR, obowiązki DORA tam, gdzie są istotne, oraz kluczowe umowne wymogi powiadamiania. Zmapuj każdy obowiązek na politykę, właściciela, środek kontrolny, źródło dowodu i częstotliwość przeglądu.

Dzień 3, zaktualizuj ocenę ryzyka i postępowanie z ryzykiem. Uwzględnij w kryteriach ryzyka wpływ prawny, regulacyjny, operacyjny, dostawczy, finansowy, reputacyjny i społeczny. Dodaj ryzyka takie jak brak rejestracji, błędna klasyfikacja podmiotu, pominięcie 24-godzinnego wczesnego ostrzeżenia, niedostępne kontakty do organów, awaria dostawcy wpływająca na usługi krytyczne, niewystarczający nadzór organu zarządzającego oraz brak możliwości wykazania skuteczności kontroli.

Dzień 4, odśwież SoA. Potwierdź środki kontrolne istotne dla NIS2, w tym A.5.5 kontakt z organami, A.5.19 do A.5.23 kontrole dostawców i chmury, A.5.24 do A.5.28 kontrole incydentowe, A.5.29 bezpieczeństwo podczas zakłóceń, A.5.30 gotowość ICT do ciągłości działania, A.5.31 wymagania prawne, A.5.34 prywatność, A.8.8 zarządzanie podatnościami, A.8.13 kopie zapasowe, A.8.15 rejestrowanie, A.8.16 działania monitorujące, A.8.24 kryptografia oraz kontrole bezpiecznego rozwoju A.8.25 do A.8.32.

Dzień 5, przetestuj zgłaszanie incydentów. Przeprowadź ćwiczenie typu tabletop: błędna konfiguracja chmury ujawnia dane klientów i zakłóca usługę w dwóch państwach członkowskich. Uruchom zegar. Czy zespół potrafi sklasyfikować zdarzenie, ocenić progi GDPR, NIS2, DORA, umowne i klienckie, przygotować 24-godzinne wczesne ostrzeżenie, opracować 72-godzinne zgłoszenie, zabezpieczyć dowody i przypisać analizę przyczyny źródłowej?

Dzień 6, zbierz dowody. Utwórz folder gotowy dla organu regulacyjnego z notatką zakresową, rejestrem prawnym, rejestrem ryzyk, SoA, listą kontaktów do organów, podręcznikiem incydentowym, rejestrem dostawców, protokołami organu zarządzającego, zapisami szkoleń, logami, raportami monitorowania, testami kopii zapasowych, raportami podatności, zakresem audytu wewnętrznego i rejestrem działań korygujących.

Dzień 7, przegląd zarządzania. Przedstaw pakiet gotowości kierownictwu. Zapisz zatwierdzenia, ryzyka rezydualne, otwarte działania, terminy, zasoby oraz rozliczalność właścicieli. Jeżeli rejestracja jest wymagana, dołącz indeks dowodów do zapisu decyzji rejestracyjnej.

Clarysec Polityka audytu i monitorowania zgodności dla MŚP Polityka audytu i monitorowania zgodności - MŚP przewiduje tę potrzebę:

„Dowody muszą być dostosowane do obowiązków NIS2, gdy organizacja jest wyznaczona jako podmiot ważny albo w inny sposób mieści się w zakresie prawa krajowego”.

Korporacyjna Polityka audytu i monitorowania zgodności Polityka audytu i monitorowania zgodności określa cel:

„Wygenerowanie możliwych do obrony dowodów i ścieżki audytowej na potrzeby zapytań regulacyjnych, postępowań prawnych lub wniosków klientów o zapewnienie”.

To jest cel: dowody możliwe do obrony zanim nadejdzie żądanie.

Przygotuj się na różne perspektywy audytu

Audytor certyfikacyjny, organ krajowy, audytor klienta, audytor prywatności i zespół zapewnienia dostawców nie zadadzą identycznych pytań. Silny pakiet dowodowy NIS2 działa dla każdego z nich.

W przypadku środka kontrolnego ISO/IEC 27002:2022 5.5 audytorzy powszechnie oczekują udokumentowanych kontaktów do organów, przypisanych odpowiedzialności, utrzymania kontaktów, podręczników reagowania na incydenty oraz jasności opartej na scenariuszach. Proste pytanie audytowe może ujawnić dojrzałość: „W przypadku ransomware, kto kontaktuje się z organami ścigania albo krajowym CSIRT?”. Jeśli odpowiedź zależy od tego, czy ktoś pamięta nazwisko, kontrola nie jest gotowa.

Clarysec Polityka logowania i monitorowania Polityka logowania i monitorowania - MŚP wzmacnia oczekiwanie dowodowe:

„Logi muszą być dostępne i zrozumiałe dla zewnętrznych audytorów lub organów regulacyjnych na żądanie”.

Clarysec Polityka bezpieczeństwa informacji Polityka bezpieczeństwa informacji ustanawia szerszy standard korporacyjny:

„Wszystkie wdrożone środki kontrolne powinny być możliwe do prześledzenia audytowo, wspierane przez udokumentowane procedury i przechowywane dowody działania”.

To jest test audytowy w jednym zdaniu. Jeśli nie można przedstawić dowodów działania środka kontrolnego, nie będzie on miał dużej wagi, gdy właściwy organ zażąda potwierdzenia.

Końcowa lista kontrolna dowodów na potrzeby rejestracji NIS2

Użyj tej listy kontrolnej przed rejestracją albo przed odpowiedzią na żądanie krajowego organu.

• Udokumentuj analizę zakresu NIS2, w tym uzasadnienie załącznika I lub załącznika II, opisy usług, założenia dotyczące wielkości, obecność w państwach członkowskich i klasyfikację podmiotu.
• Zidentyfikuj, czy DORA ma zastosowanie bezpośrednio, czy pośrednio poprzez klientów z sektora finansowego i umowy o usługi ICT.
• Zaktualizuj zakres SZBI, aby obejmował właściwe usługi, zależności, procesy realizowane w outsourcingu i interfejsy regulacyjne.
• Dodaj NIS2, GDPR, DORA, przepisy sektorowe i wymagania umowne do rejestru obowiązków prawnych i regulacyjnych.
• Zmapuj każdy obowiązek na polityki, środki kontrolne, właścicieli, dowody, częstotliwość przeglądu i raportowanie zarządcze.
• Potwierdź zatwierdzenie i nadzór organu zarządzającego nad środkami zarządzania ryzykiem cyberbezpieczeństwa.
• Utrzymuj zapisy szkoleń z cyberbezpieczeństwa dla kierownictwa i pracowników.
• Zaktualizuj kryteria ryzyka, aby obejmowały wpływ regulacyjny, zakłócenie usługi, szkodę dla klienta, wpływ transgraniczny i zależność od dostawcy.
• Zapisz ryzyka związane z NIS2 w rejestrze ryzyk i powiąż je z planami postępowania z ryzykiem.
• Zaktualizuj SoA o środki kontrolne z załącznika A istotne dla NIS2 i status wdrożenia.
• Utrzymuj listy kontaktów do organów i procedury powiadamiania dla CSIRT, właściwych organów, organów ochrony danych, organów nadzoru finansowego i organów ścigania.
• Przetestuj przepływ 24-godzinnego wczesnego ostrzeżenia, 72-godzinnego zgłoszenia, aktualizacji pośredniej i jednomiesięcznego raportu końcowego.
• Utrzymuj dowody dostawców i chmury, w tym due diligence, umowy, prawa do audytu, monitorowanie, podwykonawstwo i plany wyjścia.
• Wykazuj skuteczność kontroli poprzez logi, metryki, audyty, pulpity, wyniki testów i działania korygujące.
• Przygotuj indeks dowodów, aby na każde żądanie organu, klienta lub audytora można było odpowiedzieć szybko.

Następny krok z Clarysec

Rejestracja podmiotu na potrzeby NIS2 nie jest metą. To moment, w którym organizacja staje się widoczna dla krajowego nadzoru cyberbezpieczeństwa. Właściwe pytanie nie brzmi: „Czy możemy się zarejestrować?”. Właściwe pytanie brzmi: „Jeżeli organ po rejestracji poprosi o dowody, czy potrafimy przedstawić spójną narrację ISO 27001:2022 w ciągu godzin, a nie tygodni?”.

Clarysec pomaga organizacjom budować taką narrację poprzez Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls oraz praktyczne zestawy polityk ISO 27001:2022, które łączą obowiązki prawne, postępowanie z ryzykiem, zgłaszanie incydentów, bezpieczeństwo dostawców, rejestrowanie, monitorowanie, dowody audytowe i rozliczalność kierownictwa.

Przeprowadź przegląd luk dowodowych NIS2 względem obecnego SZBI. Zacznij od notatki zakresowej, rejestru prawnego, rejestru ryzyk, SoA, listy kontaktów do organów, procesu zgłaszania incydentów, rejestru dostawców i folderu dowodów audytowych. Jeśli te artefakty są niekompletne lub rozłączone, Clarysec może pomóc przekształcić je w pakiet dowodowy gotowy dla organu, zanim krajowy organ o niego poprosi.