Domeniul de aplicare al SMSI ISO 27001 pentru NIS2, DORA și GDPR
Maria, CISO într-un fintech european aflat în creștere rapidă, credea că auditul de supraveghere ISO 27001 era sub control.
Certificatul era recent. Declarația de aplicabilitate părea matură. Declarația privind domeniul de aplicare acoperea „sistemul corporativ de management al securității informației care susține operarea platformei SaaS”. Mediul cloud de producție era documentat. Procedura de răspuns la incidente exista. Registrul riscurilor avea proprietari, termene și niveluri de risc rezidual.
Apoi auditorul a adresat o întrebare simplă:
„Ce părți ale acestei platforme SaaS intră și în domeniul înregistrării NIS2, ce servicii externalizate susțin funcții critice sau importante DORA pentru clienții dumneavoastră financiari și unde anume sunt prelucrate datele cu caracter personal în sensul GDPR?”
În sală s-a făcut liniște.
Departamentul juridic a deschis un fișier cu obligații de reglementare. Echipa de produs a deschis o diagramă de arhitectură. Responsabilul cu protecția datelor (DPO) a deschis evidența activităților de prelucrare. Achizițiile au deschis lista furnizorilor. Operațiunile au deschis planul de recuperare în caz de dezastru. Niciun document nu se potrivea cu celelalte.
Domeniul de aplicare al SMSI spunea „platformă SaaS”. Evaluarea NIS2 identifica servicii de infrastructură digitală în mai multe state membre. Contractele cu clienții descriau platforma ca susținând operațiuni financiare reglementate. Înregistrările GDPR includeau date de identitate, telemetrie, adrese IP, metadate de plată, tichete de suport și servicii externalizate de analiză. Planul de recuperare în caz de dezastru acoperea producția, dar nu și platforma de suport pentru clienți utilizată pentru comunicările privind încălcările. Verificarea prealabilă a furnizorilor acoperea furnizorul de găzduire, dar nu serviciul administrat de detecție conectat la jurnalele de producție.
Aceasta este problema definirii domeniului de aplicare al SMSI în 2026. Certificarea ISO 27001 rămâne valoroasă, dar un „domeniu minim pentru certificare” poate deveni o expunere atunci când autoritățile de supraveghere, clienții și auditorii se așteaptă ca același sistem de management să explice serviciile esențiale NIS2, funcțiile critice sau importante DORA și limitele prelucrărilor GDPR.
Pentru ISO/IEC 27001:2022, NIS2, DORA și GDPR, un domeniu de aplicare slab nu este o deficiență administrativă. Este prima piesă de domino. Dacă domeniul este greșit, evaluarea riscurilor este incompletă, Declarația de aplicabilitate este înșelătoare, controalele pentru furnizori omit furnizori critici, termenele de raportare a incidentelor devin incerte, iar responsabilitatea privind protecția datelor se fragmentează între echipe.
De ce domeniul de aplicare al SMSI ISO 27001 este acum o limită de reglementare
ISO/IEC 27001:2022 Clauza 4.3 impune organizației să determine limitele și aplicabilitatea SMSI, luând în considerare aspectele interne și externe, cerințele părților interesate, precum și interfețele și dependențele cu alte organizații ISO/IEC 27001:2022.
Această formulare contează mai mult în 2026 decât în ciclurile anterioare de certificare. NIS2, DORA, GDPR, externalizarea în cloud, contractele cu clienții, serviciile tehnologice de grup și furnizorii de servicii administrate nu sunt note de subsol. Ele sunt date de intrare pentru delimitarea SMSI.
NIS2 ridică nivelul de guvernanță pentru entitățile esențiale și importante. Impune organelor de conducere să aprobe măsurile de management al riscurilor de securitate cibernetică, să supravegheze implementarea și să beneficieze de instruire. NIS2 Article 21 impune măsuri tehnice, operaționale și organizaționale adecvate și proporționale, inclusiv analiza riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, achiziția și dezvoltarea securizată, evaluarea eficacității, igiena cibernetică, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor și autentificarea multifactor, acolo unde este cazul.
DORA schimbă discuția privind domeniul de aplicare pentru entitățile financiare. Se aplică de la 17 ianuarie 2025 și stabilește cerințe uniforme pentru managementul riscurilor TIC, raportarea incidentelor legate de TIC, testarea rezilienței operaționale digitale, schimbul de informații și managementul riscului TIC asociat terților. DORA Article 6 impune un cadru documentat de management al riscurilor TIC. DORA Article 8 impune identificarea, clasificarea și documentarea funcțiilor de business susținute de TIC, a activelor informaționale și a activelor TIC, inclusiv a dependențelor. DORA Article 28 impune managementul riscului TIC asociat terților.
GDPR adaugă axa datelor cu caracter personal. Se aplică prelucrării automate sau structurate a datelor cu caracter personal, inclusiv prelucrării de către sedii din UE și de către anumiți operatori sau persoane împuternicite din afara UE care oferă bunuri sau servicii persoanelor din Uniune ori le monitorizează comportamentul. GDPR Article 30 impune evidențe ale activităților de prelucrare, Article 32 impune securitatea prelucrării, iar Article 33 stabilește așteptările privind notificarea încălcărilor.
Prin urmare, un domeniu de aplicare al SMSI robust și defensabil nu este redactat în jurul departamentelor. Este redactat în jurul serviciilor reglementate, funcțiilor critice sau importante, prelucrării datelor cu caracter personal, activelor suport și dependențelor de terți.
Greșeala: tratarea ISO 27001, NIS2, DORA și GDPR ca programe separate
Un tipar frecvent apare în multe organizații:
- Securitatea redactează domeniul de aplicare ISO 27001.
- Departamentul juridic evaluează aplicabilitatea NIS2.
- Riscul sau conformitatea gestionează obligațiile DORA.
- Funcția de protecție a datelor menține evidențele GDPR ale activităților de prelucrare.
- Achizițiile dețin lista furnizorilor.
- Operațiunile dețin continuitatea activității și recuperarea în caz de dezastru.
Fiecare echipă poate face o muncă rezonabilă. Problema este că realitatea reglementată traversează toate aceste zone.
Un serviciu de identitate a clienților găzduit în cloud poate susține simultan furnizarea serviciilor NIS2, operațiunile clienților reglementate de DORA și prelucrarea datelor cu caracter personal în temeiul GDPR. Un furnizor de detecție administrată poate fi furnizor de securitate, dependență pentru răspunsul la incidente, persoană împuternicită sau persoană subîmputernicită pentru datele din jurnale și o intrare esențială pentru deciziile de notificare către autorități. O platformă de suport poate fi considerată „non-producție”, deși gestionează comunicări privind încălcări ale datelor cu caracter personal și solicitări ale clienților privind dovezile.
SMSI este cel mai potrivit loc pentru integrarea acestor obligații, deoarece ISO 27001 impune o întrebare disciplinată: ce este în interiorul limitei, ce este în afara ei și de ce?
Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului de la Clarysec Zenith Blueprint abordează acest aspect în faza Fundamentarea și leadershipul SMSI, Pasul 2: Nevoile părților interesate și domeniul de aplicare al SMSI:
„După înțelegerea contextului și identificarea cerințelor părților interesate, Clauza 4.3 vă solicită să determinați limitele și aplicabilitatea SMSI pentru a-i stabili domeniul de aplicare. Domeniul de aplicare al SMSI este o definiție esențială care stabilește ce este inclus în programul dumneavoastră de management al securității și ce nu este inclus.”
Zenith Blueprint evidențiază și un aspect pe care multe declarații privind domeniul de aplicare încă îl omit:
„Dacă externalizați infrastructura IT către un furnizor cloud, aceasta nu este exclusă din domeniul de aplicare; dimpotrivă, includeți managementul relației respective și activele cloud ca parte a domeniului.”
Externalizarea transferă execuția. Nu elimină responsabilitatea.
Modelul celor patru limite pentru domeniul de aplicare ISO 27001 în 2026
Pentru organizațiile afectate de NIS2, DORA și GDPR, Clarysec recomandă definirea domeniului de aplicare al SMSI ISO 27001 prin patru limite conectate.
| Limită | Întrebare-cheie pentru definirea domeniului | Dovezi tipice | Relevanță de reglementare |
|---|---|---|---|
| Limita serviciilor | Ce servicii sunt furnizate clienților, cetățenilor, pacienților, entităților financiare sau altor părți interesate reglementate? | Catalog de servicii, evaluarea aplicabilității NIS2, contracte cu clienții, diagrame de arhitectură | Clasificarea ca entitate esențială sau importantă NIS2 și analiza impactului asupra serviciului |
| Limita funcțiilor | Ce procese de business sau servicii TIC susțin funcții critice sau importante? | BIA, maparea funcțiilor critice DORA, strategie de reziliență, înregistrări RTO și RPO | Managementul riscurilor TIC DORA, testarea rezilienței operaționale și riscul asociat terților |
| Limita prelucrării | Unde sunt colectate, stocate, utilizate, transferate, jurnalizate, susținute sau șterse datele cu caracter personal? | RoPA, mapări ale fluxurilor de date, DPIA, lista persoanelor împuternicite, calendar de retenție | Responsabilitate GDPR, securitatea prelucrării și răspuns la încălcări |
| Limita dependențelor | Ce furnizori, servicii cloud, subcontractanți și servicii interne partajate susțin elementele de mai sus? | Registrul furnizorilor, contracte, inventar cloud, planuri de ieșire, înregistrări de monitorizare | Securitatea lanțului de aprovizionare NIS2, riscul TIC asociat terților DORA și controalele ISO 27001 pentru furnizori |
O declarație slabă privind domeniul de aplicare spune doar „platforma SaaS”. O declarație mai puternică precizează ce servicii de business, sisteme, medii, locații, activități de prelucrare a datelor, grupuri de personal, relații cu furnizorii și procese de management sunt incluse.
O versiune mai robustă ar putea arăta astfel:
„SMSI acoperă guvernanța, managementul riscurilor, operarea și îmbunătățirea continuă a securității informației pentru platforma SaaS de analiză a plăților din UE a companiei, inclusiv mediile cloud de producție și neproducție, serviciile de identitate ale clienților, interfețele administrative, operațiunile de suport, platformele de jurnalizare și monitorizare, răspunsul la incidente, continuitatea activității, managementul furnizorilor și toate activitățile de prelucrare a datelor cu caracter personal care susțin serviciul. SMSI include managementul găzduirii cloud externalizate, al detecției administrate și al instrumentelor de suport pentru clienți utilizate pentru livrarea serviciilor, reziliență, monitorizarea securității sau comunicări legate de GDPR.”
Acest domeniu de aplicare nu este doar mai lung. Este mai verificabil, deoarece conectează serviciile, activele, prelucrările și dependențele.
Cum transformă politicile Clarysec domeniul de aplicare în limbaj de guvernanță
Domeniul de aplicare nu trebuie să existe într-un document izolat. El trebuie aliniat cu politica de securitate a informației, conformitatea juridică și de reglementare, managementul riscurilor, protecția datelor, guvernanța furnizorilor, criteriile de audit și planificarea continuității.
Politica Enterprise Politica de securitate a informației Politica de securitate a informației previne ambiguitatea privind excluderile:
„Orice excluderi sau limitări ale acestui domeniu de aplicare trebuie documentate în Declarația privind domeniul de aplicare al SMSI și justificate prin aprobare formală din partea Conducerii de vârf.”
Această clauză contează atunci când o unitate de business susține că suportul pentru clienți se află în afara platformei, deși agenții de suport accesează identificatori ai clienților și gestionează comunicări privind încălcările. Excluderea este posibilă numai dacă este documentată, justificată și aprobată.
Politica Enterprise Politica de conformitate juridică și de reglementare Politica de conformitate juridică și de reglementare transformă maparea juridică într-un proces operațional:
„Toate obligațiile legale și de reglementare trebuie mapate la politici, controale și proprietari specifici în cadrul Sistemului de management al securității informației (SMSI).”
Aceasta este puntea dintre aplicabilitatea juridică și Declarația de aplicabilitate. NIS2 Article 21 nu trebuie să rămână într-o notă juridică. Obligațiile TIC asociate terților din DORA nu trebuie să rămână doar în ghidurile de achiziții. Obligațiile GDPR Article 30 și Article 32 nu trebuie să existe doar în registrul de protecție a datelor. Ele au nevoie de proprietari, controale și dovezi mapate.
Politica Enterprise Politica de management al riscurilor Politica de management al riscurilor extinde domeniul către terți:
„Această politică se aplică tuturor unităților organizaționale, proceselor de afaceri, sistemelor, personalului și colaborărilor cu terți implicate în gestionarea, dezvoltarea, stocarea sau managementul activelor informaționale.”
Această formulare se aliniază cu securitatea lanțului de aprovizionare NIS2, riscul TIC asociat terților DORA și responsabilitatea operatorului sau a persoanei împuternicite în GDPR.
Politica Enterprise Politica de protecție a datelor și confidențialitate Politica de protecție a datelor și confidențialitate ancorează domeniul de protecție a datelor în prelucrare:
„Această politică se aplică tuturor unităților organizaționale, personalului și sistemelor implicate în prelucrarea informațiilor de identificare personală (PII), inclusiv:”
Principiul este decisiv. Dacă un sistem prelucrează PII, el nu poate fi invizibil pentru SMSI pe motiv că este „doar suport”, „non-producție” sau „deținut de marketing”.
Politica Enterprise Politica privind continuitatea activității și recuperarea în caz de dezastru Politica privind continuitatea activității și recuperarea în caz de dezastru leagă domeniul de rezultatele BIA:
„Această politică se aplică tuturor unităților organizaționale, sistemelor informatice, proceselor de afaceri, personalului și serviciilor terților clasificate ca fiind critice sau esențiale pe baza rezultatelor analizei impactului asupra activității (BIA).”
Această clauză se aliniază natural cu funcțiile critice sau importante DORA și continuitatea serviciilor NIS2.
Pentru organizațiile mai mici, politicile Clarysec pentru IMM-uri păstrează formularea concisă, menținând aceeași logică. Politica IMM Politica de audit și monitorizare a conformității-sme Politica de audit și monitorizare a conformității-sme - IMM definește acoperirea auditului astfel:
„Toate controalele și sistemele aflate în domeniul de aplicare al Sistemului de management al securității informației (SMSI)”
Politica IMM Politica de protecție a datelor și confidențialitate-sme Politica de protecție a datelor și confidențialitate-sme - IMM definește domeniul de protecție a datelor astfel:
„Orice sistem, aplicație sau locație în care datele cu caracter personal sunt stocate sau transmise”
Politica IMM Politica de management al riscurilor-sme Politica de management al riscurilor-sme - IMM menține vizibile serviciile externalizate:
„Toate informațiile, serviciile și activele administrate intern sau prin terți”
Clauze scurte ca acestea sunt puternice, deoarece împiedică o limită de certificare să excludă date reglementate, servicii cloud sau active administrate de furnizori.
Inventarul activelor este locul unde domeniul de aplicare devine real
O declarație privind domeniul de aplicare este credibilă doar dacă poate fi trasată către active, proprietari, furnizori, fluxuri de date și dovezi.
Zenith Blueprint, în faza Managementul riscurilor, Pasul 9: Identificarea activelor, amenințărilor și vulnerabilităților, instruiește organizațiile să listeze activele aflate în domeniul SMSI și să înregistreze proprietarul, locația și clasificarea. Oferă un exemplu practic:
„Baza de date a clienților – deținută de Departamentul IT – găzduită pe AWS – conține date cu caracter personal și financiare (sensibilitate ridicată).”
Același pas adaugă o reamintire privind domeniul, direct relevantă pentru NIS2 și GDPR:
„Asigurați-vă că activele cu date cu caracter personal sunt marcate (pentru relevanță GDPR) și că activele serviciilor critice sunt notate (pentru potențiala aplicabilitate NIS2 dacă activați într-un sector reglementat).”
Zenith Controls: ghidul de conformitate transversală de la Clarysec Zenith Controls tratează controlul ISO/IEC 27002:2022 5.9, Inventarul informațiilor și al altor active asociate, ca pe un control fundamental de conformitate transversală. Atributele sale clasifică acest control ca preventiv, susținând confidențialitatea, integritatea și disponibilitatea, aliniat cu conceptul de securitate cibernetică Identificare, capabilitatea operațională de management al activelor și domeniile de guvernanță, ecosistem și protecție.
Zenith Controls explică direct relevanța pentru GDPR și NIS2:
„Fără un inventar al activelor exact și actualizat, organizațiile nu pot evalua sau implementa protecții adecvate.”
Pentru NIS2, inventarul activelor susține identificarea sistemelor și componentelor critice care stau la baza serviciilor esențiale sau importante. Pentru DORA, DORA Article 8 face din identificarea activelor TIC și a activelor informaționale un element central al rezilienței operaționale. Pentru GDPR, inventarul activelor susține maparea fluxurilor de date, calitatea RoPA și răspunsul la încălcări.
Standardele ISO suport întăresc aceeași logică. ISO/IEC 27005:2024 consolidează identificarea activelor în evaluarea riscurilor de securitate a informației. ISO 22301:2019 susține identificarea resurselor necesare pentru continuitatea activității. ISO/IEC 19770-1:2017 susține maturitatea managementului activelor IT. ISO/IEC 27017:2015 și ISO/IEC 27018:2019 susțin controale specifice cloud și protecția PII în cloud-uri publice. ISO/IEC 27701:2019 extinde managementul informațiilor privind confidențialitatea. ISO/IEC 29100:2011 contribuie cu principii de confidențialitate precum transparența, minimizarea și măsurile de securitate.
Un exercițiu practic de definire a domeniului pentru echipe SaaS și fintech
Începeți cu un singur serviciu reglementat, nu cu întreaga companie. De exemplu: „SaaS de analiză a plăților în UE pentru instituții financiare”.
Apoi construiți o hartă serviciu-activ-prelucrare.
| Element de domeniu | Exemplu de intrare | De ce aparține domeniului de aplicare |
|---|---|---|
| Serviciu reglementat | SaaS de analiză a plăților în UE | Poate susține clasificarea NIS2 ca serviciu digital și obligațiile de reglementare ale clienților |
| Funcție critică sau importantă | Tablou de bord pentru monitorizarea tranzacțiilor destinat clienților financiari reglementați | Poate fi tratată de clienți ca susținând funcții critice sau importante DORA |
| Prelucrarea datelor cu caracter personal | Identitatea utilizatorilor, date de contact ale clienților, adrese IP, tichete de suport, jurnale de audit | GDPR se aplică prelucrării automate sau structurate a datelor cu caracter personal |
| Active de bază | Tenantul cloud de producție, clusterul de baze de date, gateway-ul API, IAM, fluxul CI/CD, platforma de monitorizare | Necesare pentru evaluarea riscurilor ISO 27001, managementul activelor NIS2 și vizibilitatea TIC DORA |
| Furnizori-cheie | Furnizor cloud, furnizor de detecție administrată, SaaS de suport pentru clienți, serviciu de e-mail, furnizor de backup | Necesari pentru securitatea lanțului de aprovizionare NIS2 și riscul TIC asociat terților DORA |
| Dependențe de continuitate | Depozit securizat de backup, regiune de recuperare în caz de dezastru, comunicații de suport, canal de coordonare a incidentelor | Necesare pentru reziliența DORA și continuitatea activității NIS2 |
| Proprietari de dovezi | CISO, DPO, șeful departamentului de inginerie, responsabilul de achiziții, proprietarul serviciului | Necesari pentru responsabilitatea de audit și revizuirea de management |
Un exemplu mai detaliat de active ar putea arăta astfel.
| Nume sau descriere activ | Proprietar | Serviciu de business susținut | Relevanță de reglementare | În domeniul SMSI? | Justificare |
|---|---|---|---|---|---|
| Serviciul de autentificare a clienților | Șeful platformei | Autentificarea utilizatorilor și MFA | DORA, GDPR, NIS2 | Da | Critic pentru accesul la platformă și prelucrează date cu caracter personal |
| Bază de date de staging | Echipa DevOps | Testare de preproducție | GDPR | Da | Prelucrează date cu caracter personal pseudonimizate și poate afecta securitatea producției |
| API de plăți terț | Șeful de produs | Prelucrare principală a plăților | DORA, GDPR | Da, managementul furnizorului | Susține livrarea serviciului critic și prelucrează date personale sau financiare |
| Wiki intern | Manager IT | Documentație internă | ISO 27001 | Da | Conține detalii de configurare, proceduri și documentație de securitate |
| Rețea izolată R&D | Șeful R&D | Cercetare viitoare | Neaplicabil în prezent | Nu | Izolată fizic, fără date de producție, fără PII, fără funcție critică, excludere aprobată formal |
Apoi utilizați Zenith Blueprint Pasul 13: Planificarea tratamentului riscurilor și Declarația de aplicabilitate. Ghidul instruiește utilizatorii să construiască Declarația de aplicabilitate folosind șablonul care listează toate controalele din Anexa A și să decidă aplicabilitatea pe baza tratamentului riscurilor, a cerințelor legale sau contractuale, a relevanței pentru domeniu și a contextului organizațional. Acesta precizează:
„Pentru fiecare control (rând) din foaia SoA, decideți dacă este aplicabil SMSI-ului dumneavoastră.”
Pentru exemplul de mai sus, Declarația de aplicabilitate trebuie să ia în considerare controale pentru securitatea furnizorilor, servicii cloud, gestionarea incidentelor, continuitate, cerințe juridice și de reglementare, protecția datelor, managementul vulnerabilităților, backup-uri, jurnalizare, monitorizare, criptografie, dezvoltare securizată, testare de securitate și managementul schimbărilor.
Un flux de lucru practic este:
- Creați o filă „Maparea domeniului de aplicare SMSI” în Registrul riscurilor și în generatorul SoA.
- Adăugați câte un rând pentru fiecare serviciu reglementat sau linie de produs.
- Conectați fiecare serviciu la active, tipuri de date, furnizori, locații și proprietari de business.
- Marcați relevanța NIS2, relevanța DORA și relevanța prelucrării GDPR.
- Adăugați scenarii de risc pentru indisponibilitatea serviciului, încălcarea datelor cu caracter personal, eșecul furnizorului, configurarea greșită a cloud-ului, vulnerabilitatea critică și eșecul raportării incidentelor.
- Selectați controalele SoA pe baza acestor riscuri și obligații.
- Documentați excluderile, controalele compensatorii și acceptarea riscului.
- Obțineți aprobarea conducerii de vârf pentru limitele și excluderile finale.
- Introduceți limita finală în auditul intern, revizuirea de management și monitorizarea furnizorilor.
Rezultatul nu este doar o declarație mai bună privind domeniul de aplicare. Este un lanț defensabil de la serviciul reglementat la activ, furnizor, date, control, proprietar și dovezi.
Mapare de conformitate transversală: un singur domeniu, multe obligații
Un SMSI ISO 27001 bine definit devine stratul operațional în care așteptările NIS2, DORA, GDPR, NIST CSF și COBIT pot fi reconciliate.
| Control ISO/IEC 27002:2022 | Valoare principală pentru definirea domeniului | Relevanță NIS2 | Relevanță DORA | Relevanță GDPR | Relevanță NIST CSF și COBIT |
|---|---|---|---|---|---|
| 5.9 Inventarul informațiilor și al altor active asociate | Identifică activele, proprietarii, locațiile, clasificarea și dependențele de servicii | Susține managementul activelor din Article 21 și identificarea sistemelor care susțin serviciile | Susține identificarea activelor TIC, activelor informaționale și funcțiilor conform Article 8 | Susține acuratețea RoPA, securitatea prelucrării și investigarea încălcărilor | Se mapează la NIST CSF ID.AM și COBIT 2019 BAI09 Manage Assets |
| 5.31 Cerințe legale, statutare, de reglementare și contractuale | Leagă obligațiile de politici, controale, proprietari și dovezi | Susține guvernanța obligațiilor NIS2 și conformitatea lanțului de aprovizionare | Susține managementul riscurilor TIC, raportarea și obligațiile privind terții | Susține responsabilitatea și conformitatea juridică | Se mapează la NIST CSF GOVERN și COBIT 2019 MEA03 Managed Compliance with External Requirements |
| 5.34 Confidențialitatea și protecția PII | Asigură vizibilitatea și protecția prelucrării datelor cu caracter personal | Susține protecția datelor beneficiarilor serviciilor, acolo unde este relevant | Susține integritatea, securitatea și confidențialitatea datelor în serviciile TIC | Susține GDPR Article 32 și așteptările privind protecția datelor încă din faza de proiectare | Susține guvernanța protecției datelor și managementul operațional al confidențialității |
Pentru controlul ISO/IEC 27002:2022 5.31, Cerințe legale, statutare, de reglementare și contractuale, Zenith Controls leagă obligațiile de conformitate de confidențialitate, protecția PII, păstrarea înregistrărilor, revizuirea independentă și conformitatea cu politicile interne. Acesta se mapează natural la responsabilitatea GDPR, conformitatea lanțului de aprovizionare NIS2, managementul riscurilor TIC și conformitatea DORA, guvernanța NIST CSF și monitorizarea conformității externe COBIT 2019.
Pentru controlul ISO/IEC 27002:2022 5.34, Confidențialitatea și protecția PII, Zenith Controls conectează confidențialitatea la inventarul activelor, servicii cloud, clasificare, transferul informațiilor, controlul accesului, managementul identității și revizuiri ale schimbărilor de proiect. Maparea sa GDPR acoperă securitatea prelucrării și protecția datelor încă din faza de proiectare. Maparea DORA susține integritatea, securitatea și confidențialitatea datelor, inclusiv datele cu caracter personal gestionate în servicii TIC.
Principiul este simplu: nu creați patru programe de conformitate deconectate. Creați un SMSI delimitat clar, care poate explica modul în care obligațiile sunt îndeplinite, dovedite și auditate.
Domeniul raportării incidentelor: unde limitele afectează termenele de reglementare
Un domeniu de aplicare incorect devine dureros de vizibil în timpul incidentelor.
NIS2 Article 23 impune raportarea etapizată a incidentelor semnificative, inclusiv o avertizare timpurie în termen de 24 de ore, o notificare a incidentului în termen de 72 de ore, rapoarte intermediare la cerere și un raport final în termen de o lună. Comunicarea către destinatarii afectați poate fi, de asemenea, necesară.
DORA impune entităților financiare să detecteze, să gestioneze, să clasifice și să raporteze incidentele majore legate de TIC folosind criterii precum clienții sau contrapărțile afectate, durata, indisponibilitatea, extinderea geografică, pierderile de date, criticitatea serviciilor afectate și impactul economic. Clienții trebuie informați fără întârzieri nejustificate atunci când un incident TIC major le afectează interesele financiare.
Notificarea încălcării datelor cu caracter personal conform GDPR depinde de faptul dacă o încălcare conduce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat, accidental ori ilegal, la date cu caracter personal.
Dacă platforma de suport, mediul de jurnale, serviciul de identitate, canalul de notificare a clienților sau furnizorul de detecție administrată se află în afara domeniului SMSI, echipele de incidente pot să nu știe dacă un eveniment declanșează raportarea NIS2, DORA, GDPR, raportarea contractuală către clienți sau toate acestea. Această incertitudine consumă timpul disponibil pentru raportare.
Un domeniu matur include dependențe relevante pentru incidente: instrumente de detecție, depozite de jurnale, depozite criminalistice, canale de comunicare cu clienții, instrumente de suport, medii de backup, canale de coordonare a incidentelor și furnizori implicați în triaj sau recuperare.
Cum vor testa auditorii și autoritățile de supraveghere domeniul de aplicare al SMSI
Un domeniu de aplicare solid rezistă eșantionării. Un domeniu slab se prăbușește atunci când auditorii compară documentele cu realitatea.
| Lentilă de audit | Ce va testa auditorul | Dovezi tipice solicitate |
|---|---|---|
| Auditor ISO 27001 | Dacă domeniul ia în considerare contextul, cerințele părților interesate, interfețele, dependențele și excluderile documentate | Declarația privind domeniul de aplicare al SMSI, registrul părților interesate, registrul juridic, inventarul activelor, SoA, aprobarea conducerii |
| Evaluator orientat NIST | Dacă activele, furnizorii, răspunsurile la risc, monitorizarea și criteriile de incident se aliniază cu limita declarată | Profiluri curente și țintă, inventarul activelor, registrul riscurilor, plan de acțiune, acoperirea monitorizării, planuri de incident |
| Auditor COBIT 2019 | Dacă guvernanța acoperă obligațiile externe, serviciile critice, monitorizarea conformității și responsabilitatea | Rapoarte către consiliu, mapări de conformitate, deținerea serviciilor, tablouri de bord privind riscurile, monitorizare de tip MEA03 |
| Auditor ISACA ITAF | Dacă dovezile sunt suficiente, adecvate și trasabile de la obligații la controale și rezultate | Active eșantionate, contracte cu furnizorii, jurnale, registrul juridic, piste de audit, interviuri cu proprietarii |
| Evaluator DORA | Dacă activele TIC și serviciile terților care susțin funcții critice sau importante sunt identificate și testate | Registru TIC, maparea funcțiilor critice, contracte, planuri de ieșire, rezultatele testelor, înregistrări ale incidentelor |
| Auditor de protecție a datelor | Dacă prelucrarea datelor cu caracter personal este inventariată, protejată și legată de controale | RoPA, DPIA, acorduri cu persoanele împuternicite, jurnale de acces, dovezi privind retenția, proceduri privind încălcările |
Zenith Controls oferă așteptări utile de audit pentru controlul ISO/IEC 27002:2022 5.9. Auditorii care aplică ISO/IEC 19011 solicită inventarul devreme pentru a delimita alte evaluări și pentru a verifica punctual activele fizice, software și cloud. Auditorii care aplică ISO/IEC 27007 întreabă cum și când este actualizat inventarul, căutând legături cu achizițiile, managementul schimbărilor și dezafectarea. Auditorii care aplică NIST SP 800-53A verifică dacă detaliile inventarului includ tipul activului, proprietarul, locația, adresa de rețea acolo unde este cazul și starea și dacă activele cloud, virtuale și mobile sunt incluse.
Pentru controlul 5.31, Zenith Controls notează că auditorii de certificare se așteaptă la un registru de conformitate sau la o listă de legi și contracte, referențiate în SoA și în planurile de tratare a riscurilor. Auditorii COBIT caută proprietari de conformitate, evaluări și raportare către conducerea superioară. Auditorii ISACA ITAF eșantionează dovezi pentru a confirma că organizația nu doar își cunoaște obligațiile, ci se asigură activ că acestea sunt îndeplinite.
Pentru controlul 5.34, auditorii revizuiesc politici de protecție a datelor, inventare de date, DPIA, registre de instruire, dovezi de criptare, controale de acces, eșantioane DSAR, dovezi de protecție a datelor încă din faza de proiectare și înregistrări ale incidentelor care implică PII. O declarație privind domeniul de aplicare care exclude un sistem ce prelucrează date cu caracter personal va fi contestată rapid.
Întrebarea consiliului: ce nu poate fi exclus?
Conducerea de vârf întreabă adesea dacă o unitate de business, o locație, un furnizor sau un sistem poate rămâne în afara domeniului de aplicare al SMSI. Uneori răspunsul este da. Dar nu dacă excluderea împiedică organizația să îndeplinească obligații legale, de reglementare, contractuale sau de securitate a serviciilor.
Utilizați acest test de excludere înainte de a aproba orice limitare a domeniului:
- Unitatea, sistemul sau furnizorul susține un serviciu reglementat de NIS2?
- Susține o funcție critică sau importantă DORA pentru organizație sau pentru clienții săi reglementați?
- Colectează, stochează, transmite, jurnalizează, susține sau șterge date cu caracter personal?
- Furnizează monitorizarea securității, identitate, backup, răspuns la incidente sau recuperare pentru un serviciu aflat în domeniul de aplicare?
- Furnizează dovezi necesare pentru clasificarea incidentelor sau notificarea către autorități?
- Un contract cu un client impune acoperirea sa de către SMSI?
- Compromiterea sa ar afecta confidențialitatea, integritatea, disponibilitatea, conformitatea juridică sau continuitatea serviciului în domeniul declarat?
Dacă răspunsul este da, excluderea necesită dovezi solide, guvernanță compensatorie, acceptarea riscului și aprobare formală din partea conducerii de vârf. În multe cazuri, nu ar trebui exclusă.
Un domeniu modern al SMSI ISO 27001 ar trebui să includă:
- Serviciile de business și liniile de produs acoperite.
- Entitățile juridice, unitățile organizaționale și locațiile acoperite.
- Segmentele de clienți și jurisdicțiile care determină obligațiile.
- Funcțiile critice sau importante și serviciile esențiale bazate pe BIA.
- Activele informaționale, activele TIC și mediile cloud.
- Activitățile de prelucrare a datelor cu caracter personal și depozitele PII.
- Procesele de dezvoltare, testare, suport, monitorizare și incidente.
- Furnizorii și serviciile externalizate care susțin servicii aflate în domeniu.
- Interfețele și dependențele cu companii din grup sau furnizori externi.
- Excluderi explicite, cu justificare, acceptarea riscului și aprobare din partea conducerii de vârf.
Astfel, domeniul de aplicare ISO 27001 devine o poziție de guvernanță la nivelul consiliului, nu o scurtătură de certificare.
Faceți domeniul SMSI pregătit pentru audit înainte ca auditorul să îl definească în locul dumneavoastră
Cel mai nepotrivit moment pentru a descoperi o problemă de domeniu este în timpul certificării, al unei revizuiri de supraveghere, al verificării prealabile de către un client sau al unui incident în desfășurare.
Un certificat restrâns poate satisface o cerință formală de achiziții, dar nu va rezista unei examinări serioase dacă exclude serviciile, funcțiile TIC, furnizorii și prelucrările de date cu caracter personal care creează expunere de reglementare. În 2026, organizațiile care vor trece auditurile cu încredere vor fi cele care pot demonstra o hartă coerentă de la serviciul reglementat la activ, furnizor, date cu caracter personal, control, proprietar și dovezi.
Începeți cu trei acțiuni concrete:
- Utilizați Zenith Blueprint Zenith Blueprint Faza: Fundamentarea și leadershipul SMSI, Pasul 2, pentru a rescrie domeniul de aplicare al SMSI în jurul serviciilor, funcțiilor, prelucrărilor și dependențelor.
- Utilizați Zenith Controls Zenith Controls pentru a mapa inventarul activelor, obligațiile legale și protecția PII la nivelul așteptărilor de audit ISO 27001, NIS2, DORA, GDPR, NIST și COBIT 2019.
- Aliniați domeniul politicilor folosind Politica de securitate a informației Politica de securitate a informației, Politica de conformitate juridică și de reglementare Politica de conformitate juridică și de reglementare, Politica de management al riscurilor Politica de management al riscurilor, Politica de protecție a datelor și confidențialitate Politica de protecție a datelor și confidențialitate și Politica privind continuitatea activității și recuperarea în caz de dezastru Politica privind continuitatea activității și recuperarea în caz de dezastru de la Clarysec.
Dacă domeniul actual al SMSI încă arată ca o etichetă de departament, reconstruiți-l ca o limită de conformitate. Descărcați seturile de instrumente Clarysec, mapați integral un serviciu reglementat și transformați domeniul ISO 27001 în dovezi pregătite pentru audit pentru NIS2, DORA și GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
