Raportarea incidentelor DORA și controalele ISO 27001 în 2026

Este ora 08:17 într-o dimineață de marți din 2026. Sarah, CISO-ul unei companii fintech europene, vede un tablou de bord care clipește galben, nu roșu. O platformă critică de decontare a plăților încetinește. Tranzacțiile nu eșuează complet, dar durează de trei ori mai mult decât permite acordul de nivel al serviciului. Centrul de operațiuni de securitate observă tentative neobișnuite de autentificare asupra unui cont de administrator. Furnizorul de infrastructură cloud raportează degradarea serviciului într-o zonă de disponibilitate. Echipa de suport pentru clienți începe să primească apeluri de la clienți corporativi care întreabă de ce fișierele de plată întârzie.

Nimeni nu știe încă dacă este vorba despre un atac cibernetic, un eșec al rezilienței operaționale, indisponibilitatea unui furnizor, un incident de confidențialitate sau toate acestea simultan.

Sarah are o problemă DORA înainte ca faptele tehnice să fie complete. Este acesta un incident major legat de TIC? Afectează o funcție critică sau importantă? A depășit pragul intern de severitate? Cine trebuie notificat, când și cu ce dovezi? Dacă sunt implicate date cu caracter personal, a început și termenul de notificare prevăzut de GDPR? Dacă un furnizor terț TIC face parte din lanțul incidentului, cine deține faptele?

Aici descoperă entitățile financiare diferența dintre a avea un plan de răspuns la incidente și a avea un model operațional verificabil pentru raportarea incidentelor DORA.

Raportarea incidentelor DORA în 2026 impune mai mult decât escaladare rapidă. Impune un lanț defensabil de la detectare la clasificare, de la clasificare la raportare către autoritatea de supraveghere, de la raportare la remediere și de la remediere la lecții învățate. ISO/IEC 27001:2022 oferă structura sistemului de management. Controalele din Anexa A a ISO/IEC 27002:2022 oferă așteptările practice privind controalele. Politicile Clarysec, foaia de parcurs în 30 de pași și ghidul de conformitate încrucișată transformă aceste așteptări într-o implementare pregătită pentru dovezi.

De ce eșuează raportarea incidentelor DORA sub presiune

Cele mai multe eșecuri de raportare a incidentelor DORA nu încep cu neglijența. Încep cu ambiguitatea.

Un analist de securitate vede o alertă, dar nu știe dacă aceasta se califică drept incident legat de TIC conform DORA. Managerul serviciilor IT tratează performanța degradată ca pe o problemă tehnică de serviciu, în timp ce funcția de conformitate o tratează ca pe un eveniment de reglementare. Echipa juridică așteaptă confirmarea înainte de escaladare. Proprietarul procesului de afaceri nu poate cuantifica încă impactul asupra clienților. CISO-ul dorește dovezi, dar jurnalele relevante sunt dispersate în servicii cloud, stații de lucru și servere, sisteme de identitate, SIEM și platforme ale furnizorilor.

Până când organizația ajunge la un acord privind clasificarea, fereastra de raportare este deja sub presiune.

Articolele 17-21 din DORA creează o așteptare structurată pentru gestionarea incidentelor legate de TIC, clasificare, raportare, conținutul raportării și gestionarea de către autoritatea de supraveghere. Pentru entitățile financiare, cerința practică este clară: să monitorizeze, să gestioneze, să jurnalizeze, să clasifice, să raporteze, să actualizeze și să învețe din incidentele legate de TIC într-un mod care poate fi reconstituit ulterior.

Politica de răspuns la incidente [IRP] de la Clarysec integrează DORA direct în cadrul de referință:

DORA a UE (2022/2554): articolul 17: cerințe de raportare a incidentelor TIC pentru instituțiile financiare către autoritățile competente.

Aceeași politică leagă gestionarea incidentelor de controalele ISO/IEC 27002:2022 5.25-5.27, acoperind responsabilitățile pentru evaluarea incidentelor, răspuns, comunicare și îmbunătățire.

Pentru firmele fintech mai mici și entitățile reglementate cu resurse restrânse, Politica de răspuns la incidente - IMM [IRP-SME] de la Clarysec face obligația aplicabilă în practică, subliniind că DORA impune entităților financiare să clasifice, să raporteze și să urmărească incidentele și perturbările legate de TIC.

Această formulare este importantă. Conformitatea DORA nu înseamnă doar un șablon de raportare. Organizația trebuie să clasifice, să raporteze și să urmărească. Aceasta înseamnă dovezi privind evenimentul inițial, criteriile de decizie, nivelul de severitate, decizia de raportare, comunicările, acțiunile de recuperare, implicarea furnizorilor și activitățile de urmărire.

ISO/IEC 27001:2022 ca centru de comandă pentru incidentele DORA

Un sistem de management al securității informației matur conform ISO/IEC 27001:2022 nu trebuie să devină un alt siloz de conformitate lângă DORA. Trebuie să devină centrul de comandă pentru raportarea incidentelor DORA.

SMSI impune deja asumarea riscului, selectarea controalelor, audit intern, analiza efectuată de management, informații documentate, îmbunătățire continuă și dovezi privind funcționarea controalelor. DORA adaugă presiunea raportării specifice sectorului, dar ISO/IEC 27001:2022 oferă structura de guvernanță necesară pentru ca procesul să fie repetabil.

Zenith Blueprint: foaie de parcurs în 30 de pași pentru auditori [ZB] de la Clarysec consolidează această integrare în Pasul 13, planificarea tratării riscului și Declarația de aplicabilitate. Blueprint recomandă maparea controalelor la riscuri și clauze pentru trasabilitate, inclusiv adăugarea unei referințe la un control din Anexa A pentru riscuri și consemnarea situațiilor în care controalele susțin GDPR, NIS2 sau DORA.

Pentru incidentul de decontare a plăților al lui Sarah, înregistrarea din registrul de riscuri ar putea fi:

„Perturbarea sau compromiterea platformei de prelucrare a plăților.”

Controalele mapate din Anexa A a ISO/IEC 27001:2022 ar include 5.24, 5.25, 5.26, 5.27, 5.28, 6.8, 8.15 și 8.16, cu o notă DORA privind clasificarea și raportarea incidentelor majore legate de TIC.

Zenith Controls: ghidul de conformitate încrucișată [ZC] de la Clarysec funcționează apoi ca o busolă de conformitate încrucișată. În Zenith Controls, Clarysec mapează controalele ISO/IEC 27002:2022 la alte controale ISO/IEC 27001:2022, standarde conexe, așteptări de audit și reglementări precum DORA, GDPR și NIS2. Nu creează „controale Zenith” separate. Arată cum funcționează împreună controalele ISO existente și cum sunt testate acestea.

Fluxul de raportare DORA poate fi privit ca un lanț de controale:

Nu puteți raporta ceea ce nu ați detectat. Nu puteți clasifica ceea ce nu ați evaluat. Nu puteți justifica o decizie de raportare fără înregistrări. Nu puteți îmbunătăți fără o analiză post-incident.

Controlul 6.8: ceasul DORA pornește de la oameni

În scenariul lui Sarah, primul semnal util poate să nu vină de la Centrul de operațiuni de securitate. Poate veni de la un manager de relații care aude reclamațiile clienților, de la un utilizator din financiar care observă loturi de decontare eșuate sau de la un inginer care remarcă o latență anormală.

De aceea, controlul 6.8 din Anexa A a ISO/IEC 27001:2022, raportarea evenimentelor de securitate a informațiilor, este esențial pentru DORA. Acesta face din raportare o responsabilitate a întregului personal, nu doar o funcție a operațiunilor de securitate.

În Zenith Blueprint, Pasul 16, controale privind personalul II, Clarysec precizează:

Un sistem eficace de răspuns la incidente nu începe cu instrumentele, ci cu oamenii.

Pasul 16 recomandă canale de raportare clare, instruire de conștientizare, o cultură fără culpabilizare, triaj, confidențialitate și simulări periodice. Cel mai util mesaj practic este simplu:

„Când aveți îndoieli, raportați.”

Acesta este un principiu de control DORA. Dacă angajații așteaptă până sunt siguri, organizația pierde timp. Dacă raportează devreme, organizația poate evalua, clasifica și decide.

În Zenith Controls, 6.8 este mapat ca un control de detectare care susține confidențialitatea, integritatea și disponibilitatea. Se conectează la 5.24 deoarece canalele de raportare trebuie să facă parte din planul de incident. Alimentează 5.25 deoarece evenimentele pot fi evaluate doar dacă sunt raportate. Declanșează 5.26 deoarece răspunsul formal începe după evaluarea rapoartelor.

Pentru DORA, acest lucru susține articolele 17 și 18, conform cărora entitățile financiare trebuie să gestioneze, să clasifice și să raporteze incidente majore legate de TIC și amenințări cibernetice semnificative. Susține și articolul 33 și considerentul 85 din GDPR, deoarece raportarea internă determină cât de rapid este identificată și escaladată o încălcare a securității datelor cu caracter personal.

O implementare practică Clarysec este o fișă de instrucțiuni de o pagină, „Cum se raportează un incident TIC”. Aceasta trebuie să includă:

• Ce trebuie raportat, inclusiv indisponibilități, e-mailuri suspecte, dispozitive pierdute, comportament neobișnuit al sistemelor, suspiciuni de compromitere a furnizorilor, acces neautorizat, scurgere de date și degradarea serviciilor cu impact asupra clienților.
• Cum se raportează, folosind o căsuță poștală monitorizată, o categorie de tichet, o linie telefonică, un canal de colaborare sau un portal SOC.
• Ce trebuie inclus, cum ar fi ora, sistemul, utilizatorul, procesul de afaceri, impactul observat, capturi de ecran dacă pot fi realizate în siguranță și dacă pot fi afectați clienți sau date cu caracter personal.
• Ce nu trebuie făcut, inclusiv să nu se șteargă jurnale, să nu se repornească sisteme critice decât la instrucțiuni, să nu se contacteze clienți externi fără aprobare și să nu se investigheze dincolo de rolul deținut.
• Ce se întâmplă ulterior, inclusiv triaj, clasificare, escaladare, răspuns, păstrarea dovezilor și o posibilă evaluare de reglementare.

Obiectivul nu este transformarea fiecărui angajat într-un investigator. Obiectivul este ca fiecare angajat să devină o sursă fiabilă de semnal.

Controlul 5.25: punctul de decizie pentru clasificarea DORA

Raportarea incidentelor majore legate de TIC conform DORA depinde de clasificare. Aici devine central controlul 5.25 din Anexa A a ISO/IEC 27001:2022, evaluarea și decizia privind evenimentele de securitate a informațiilor.

Zenith Blueprint, Pasul 23, explică provocarea practică:

Nu orice anomalie este un dezastru. Nu orice alertă indică o compromitere.

Apoi descrie scopul 5.25 astfel:

distingerea aspectelor inofensive de cele dăunătoare și stabilirea situațiilor care impun escaladare.

Pentru DORA, acesta este momentul în care un eveniment de securitate, degradarea serviciului, indisponibilitatea unui furnizor, expunerea datelor sau o perturbare operațională este evaluată în raport cu criteriile pentru incident major. Organizația trebuie să ia în considerare impactul operațional, serviciile afectate, funcțiile critice sau importante, clienții și tranzacțiile afectate, durata, distribuția geografică, impactul asupra datelor, implicațiile reputaționale și impactul economic.

În Zenith Controls, 5.25 este mapat direct la articolul 18 din DORA, clasificarea incidentelor TIC majore. Acesta este procesul structurat de evaluare prin care se stabilește dacă un eveniment observat se califică drept incident de securitate. Se conectează și la 8.16, activități de monitorizare, deoarece alertele și datele de jurnal trebuie triate, precum și la 5.26, deoarece clasificarea declanșează răspunsul.

Aici eșuează multe organizații la audit. Au tichete, dar nu înregistrări de clasificare. Au etichete de severitate, dar nu criterii. Au rapoarte către autorități, dar nu pista decizională care dovedește de ce un incident a fost sau nu considerat major.

Clarysec abordează acest aspect prin integrarea clasificării DORA în modelul de severitate a incidentelor. În versiunea pentru organizații mari a Politicii de răspuns la incidente, clauza 5.3.1 include un exemplu clar de Nivel 1:

Nivel 1: Critic (de exemplu, încălcare confirmată a securității datelor, focar de ransomware, compromiterea unui sistem de producție)

Pentru organizațiile mai mici, Politica de răspuns la incidente - IMM adaugă o așteptare operațională strictă:

Directorul general, cu contribuția furnizorului IT, trebuie să clasifice toate incidentele în funcție de severitate în termen de o oră de la notificare.

Acest obiectiv de clasificare într-o oră este puternic deoarece impune disciplină de guvernanță. O entitate reglementată mai mică poate să nu aibă un SOC 24/7, dar poate totuși să definească cine clasifică, cine oferă consiliere și cât de rapid trebuie luată decizia.

O înregistrare de triaj DORA-ISO pentru incidente

Pentru ca clasificarea să fie defensabilă, creați o înregistrare de triaj al incidentului DORA în sistemul de gestionare a tichetelor, GRC sau de gestionare a incidentelor. Înregistrarea trebuie creată pentru fiecare eveniment TIC potențial material, chiar dacă ulterior este reclasificat la un nivel inferior.

Adăugați o notă de decizie:

„Pe baza perturbării serviciului de plăți care afectează un proces critic de afaceri, a cauzei principale nerezolvate și a impactului potențial asupra clienților, evenimentul este escaladat ca incident major potențial legat de TIC. Funcțiile de conformitate și juridică vor evalua cerințele de notificare către autorități. Păstrarea dovezilor a fost inițiată.”

Această înregistrare unică susține urmărirea conform articolului 17 din DORA, clasificarea conform articolului 18, deciziile de raportare conform articolului 19, evaluarea ISO/IEC 27001:2022 Anexa A 5.25, raportarea 6.8, răspunsul 5.26 și gestionarea dovezilor 5.28.

Controalele 5.24 și 5.26: planificare, roluri și răspuns

Când are loc un incident DORA, planul de răspuns trebuie să răspundă deja la întrebări incomode.

Cine are autoritatea de a clasifica? Cine contactează autoritatea competentă? Cine aprobă notificarea inițială? Cine comunică cu clienții? Cine contactează furnizorul terț TIC? Cine decide dacă incidentul declanșează și notificarea GDPR? Cine păstrează dovezile? Cine deține raportul final?

Controlul 5.24 din Anexa A a ISO/IEC 27001:2022, planificarea și pregătirea managementului incidentelor de securitate a informațiilor, răspunde la aceste întrebări înainte de criză. Controlul 5.26, răspunsul la incidentele de securitate a informațiilor, asigură transformarea planului în acțiuni controlate în timpul incidentului.

În Zenith Controls, 5.24 este corelat cu articolele 17-21 din DORA deoarece operaționalizează un răspuns la incidente documentat, testat și revizuit, inclusiv escaladare internă, notificare externă către autorități, comunicare cu părțile interesate și lecții învățate.

ISO/IEC 27035-1:2023 susține acest lucru prin extinderea gestionării incidentelor dincolo de procedurile de răspuns, către politică, planificare, capabilități, relații, mecanisme de suport, conștientizare, instruire și testare periodică. ISO/IEC 27035-2:2023 detaliază suplimentar procesul de gestionare a incidentelor, de la pregătire până la lecțiile învățate.

Zenith Blueprint, Pasul 23, oferă o instrucțiune directă de implementare:

Asigurați-vă că aveți un plan de răspuns la incidente actualizat (5.24), care acoperă pregătirea, escaladarea, răspunsul și comunicarea.

Un plan de răspuns la incidente pregătit pentru DORA trebuie să definească:

• Echipa de răspuns la incidente TIC și înlocuitorii acesteia.
• Autoritatea pentru clasificarea severității și escaladarea raportării DORA.
• Responsabilitățile juridice, de conformitate, de confidențialitate, de comunicații, IT, de securitate, ale furnizorului și ale proprietarului procesului de afaceri.
• Criteriile pentru clasificarea incidentelor majore legate de TIC.
• Procedurile pentru raportarea inițială, intermediară și finală către autorități.
• Evaluarea notificărilor GDPR, NIS2, contractuale, de asigurare cibernetică și către consiliul de administrație.
• Pașii de izolare, eradicare, recuperare și validare.
• Cerințele de păstrare a dovezilor.
• Procedurile de escaladare către furnizor și de acces la jurnale.
• Urmărirea lecțiilor învățate și a acțiunilor corective.

Politica de răspuns la incidente - IMM leagă și termenele de răspuns de cerințele legale:

Termenele de răspuns, inclusiv recuperarea datelor și obligațiile de notificare, trebuie documentate și aliniate la cerințele legale, cum ar fi cerința GDPR de notificare a încălcării securității datelor cu caracter personal în termen de 72 de ore.

Acest lucru este vital deoarece un singur incident TIC poate deveni un incident major DORA, o încălcare a securității datelor cu caracter personal conform GDPR, un incident semnificativ NIS2, un eveniment de notificare contractuală către client și o problemă de management al furnizorilor. Planul trebuie să coordoneze aceste suprapuneri, nu să le trateze ca lumi separate.

Controalele 8.15 și 8.16: jurnalele fac raportul defensabil

Raportarea incidentelor DORA depinde de fapte. Faptele depind de jurnalizare și monitorizare.

În scenariul de decontare a plăților, Sarah trebuie să știe când a început degradarea, ce sisteme au fost afectate, dacă au fost utilizate conturi privilegiate, dacă datele au părăsit mediul, dacă indisponibilitatea furnizorului cloud se aliniază cu telemetria internă și când recuperarea a fost finalizată.

Controlul 8.15 din Anexa A a ISO/IEC 27001:2022, jurnalizarea, și 8.16, activități de monitorizare, susțin această bază de dovezi. În Zenith Controls, ambele se conectează la 5.24 deoarece planificarea răspunsului la incidente trebuie să includă date de jurnal utilizabile și capabilitate de monitorizare. Controlul 8.16 se conectează și la 5.25 deoarece alertele trebuie triate pentru a conduce la decizii.

Politica de jurnalizare și monitorizare - IMM [LMP-SME] de la Clarysec include o cerință practică de escaladare:

Alertele cu prioritate ridicată trebuie escaladate către directorul general și coordonatorul pentru confidențialitate în termen de 24 de ore

Pentru entitățile reglementate DORA, incidentele TIC potențial majore necesită, de regulă, un model mai rapid de escaladare operațională, în special atunci când sunt afectate funcții critice sau importante. Totuși, tiparul de guvernanță este corect: alertele cu prioritate ridicată nu pot rămâne în interiorul IT. Ele trebuie să ajungă la rolurile de afaceri, confidențialitate și management.

Un model de jurnalizare pregătit pentru DORA trebuie să includă:

• Jurnalizare centralizată pentru sisteme critice, platforme de identitate, stații de lucru și servere, servicii cloud, instrumente de securitate a rețelei și aplicații de afaceri.
• Sincronizarea timpului între sisteme, astfel încât cronologiile incidentelor să fie fiabile.
• Categorizarea alertelor aliniată la severitatea incidentelor și la clasificarea DORA.
• Păstrarea jurnalelor aliniată la nevoile de reglementare, contractuale și criminalistice.
• Controale de acces care protejează integritatea jurnalelor.
• Proceduri pentru capturarea instantaneelor jurnalelor în timpul incidentelor majore.
• Cerințe de acces la jurnalele furnizorilor pentru serviciile TIC critice.

Auditorii nu vor accepta „SIEM-ul le are” ca dovadă suficientă. Vor întreba dacă au existat jurnalele corecte, dacă alertele au fost revizuite, dacă escaladarea s-a făcut la timp și dacă jurnalele au fost păstrate după ce incidentul a devenit potențial raportabil.

Controlul 5.28: colectarea dovezilor și lanțul de custodie

Într-un incident major legat de TIC, dovezile servesc trei scopuri: investigația tehnică, responsabilitatea față de autorități și defensabilitatea juridică.

Dacă dovezile sunt incomplete, suprascrise, alterate sau nedocumentate, organizația poate avea dificultăți în a dovedi ce s-a întâmplat. Poate avea dificultăți și în a-și justifica decizia de clasificare.

Politica privind colectarea dovezilor și activitățile criminalistice [ECF] de la Clarysec precizează:

Un registru al lanțului de custodie trebuie să însoțească toate dovezile fizice sau digitale de la momentul obținerii până la arhivare sau transfer și trebuie să documenteze:

Versiunea IMM, Politica privind colectarea dovezilor și activitățile criminalistice - IMM [ECF-SME], păstrează cerința simplă:

Fiecare element de probă digitală trebuie înregistrat cu:

Lecția operațională este directă. Gestionarea dovezilor nu poate începe după ce funcția juridică le solicită. Trebuie integrată în răspunsul la incidente.

ISO/IEC 27006-1:2024 consolidează această așteptare de audit prin accentuarea procedurilor de identificare, colectare și păstrare a dovezilor din incidentele de securitate a informațiilor. Pentru DORA, același set de dovezi poate susține notificarea inițială, actualizările intermediare, raportul final, analiza post-incident și întrebările autorității de supraveghere.

O listă practică de verificare a dovezilor pentru incidentele legate de DORA trebuie să includă:

• Tichetul de incident și notele de triaj.
• Cronologia detectării, escaladării, clasificării, raportării, izolării, recuperării și închiderii.
• Alertele SIEM și jurnalele corelate.
• Artefacte de la stații de lucru, servere și alte endpoint-uri.
• Jurnale de identitate și de acces privilegiat.
• Rezumate ale traficului de rețea.
• Starea furnizorului cloud și jurnalele de audit.
• Comunicări cu furnizorii și declarații privind incidentul.
• Înregistrări de impact asupra afacerii, inclusiv clienți, servicii, tranzacții și perioade de indisponibilitate.
• Ciorne și transmiteri de notificări către autorități.
• Decizii și aprobări ale managementului.
• Analiza cauzei principale.
• Lecții învățate și acțiuni corective.

Dovezile trebuie să arate atât faptele tehnice, cât și deciziile de guvernanță. Raportarea DORA nu privește doar ce s-a întâmplat cu sistemele. Privește și modul în care managementul a recunoscut, evaluat, escaladat, controlat și îmbunătățit pe baza incidentului.

Controlul 5.27: lecții învățate și îmbunătățire continuă

Un incident DORA nu este închis atunci când este transmis raportul final. Este închis atunci când organizația a învățat din el, a atribuit acțiuni corective, a actualizat controalele și a verificat îmbunătățirea.

Controlul 5.27 din Anexa A a ISO/IEC 27001:2022, învățarea din incidentele de securitate a informațiilor, conectează raportarea DORA la ciclul de îmbunătățire continuă al ISO/IEC 27001:2022. În Zenith Controls, 5.24 este legat de 5.27 deoarece gestionarea incidentelor este incompletă fără analiza cauzei principale, lecții învățate și îmbunătățirea controalelor.

Zenith Blueprint, Pasul 23, instruiește organizațiile să actualizeze planul cu lecțiile învățate și să asigure instruire specifică privind răspunsul la incidente și gestionarea dovezilor. Acest lucru este deosebit de important pentru DORA deoarece întârzierile recurente de clasificare, lipsa dovezilor de la furnizori, jurnalele slabe sau comunicările neclare pot deveni preocupări ale autorității de supraveghere.

Un șablon de lecții învățate trebuie să captureze:

• Ce s-a întâmplat și când.
• Ce funcții critice sau importante au fost afectate.
• Dacă clasificarea a fost oportună și exactă.
• Dacă deciziile de raportare DORA au fost luate pe baza unor dovezi suficiente.
• Dacă au fost evaluate declanșatoarele de notificare GDPR, NIS2, contractuale sau către clienți.
• Dacă furnizorii au răspuns în termenele convenite.
• Dacă jurnalele și probele criminalistice au fost păstrate.
• Ce controale au eșuat sau au lipsit.
• Ce politici, proceduri operative de răspuns, instruiri sau controale tehnice trebuie îmbunătățite.
• Cine deține fiecare acțiune corectivă și până când.

Acest lucru alimentează și analiza efectuată de management conform ISO/IEC 27001:2022. Tendințele incidentelor trebuie analizate de conducere, nu îngropate în analize tehnice post-incident.

Conformitate încrucișată: DORA, GDPR, NIS2, NIST și COBIT 2019

DORA este subiectul principal pentru entitățile financiare, dar raportarea incidentelor aparține rareori unui singur cadru.

Un singur incident TIC poate implica raportarea incidentelor majore legate de TIC conform DORA, notificarea încălcării securității datelor cu caracter personal conform GDPR, raportarea incidentelor semnificative NIS2, obligații contractuale față de clienți, notificarea asigurării cibernetice și raportarea către consiliul de administrație.

Zenith Controls ajută la reducerea acestei complexități prin maparea controalelor ISO/IEC 27002:2022 între cadre. De exemplu:

Din perspectiva NIST, același model susține funcțiile Detect, Respond și Recover. Din perspectiva COBIT 2019 și a auditului ISACA, preocuparea este guvernanța: dacă gestionarea incidentelor, continuitatea, riscul, conformitatea, responsabilitățile furnizorilor și monitorizarea performanței sunt controlate.

Cele mai mature organizații nu creează fluxuri de lucru separate pentru fiecare cadru. Ele creează un singur proces de gestionare a incidentelor, cu suprapuneri de reglementare. Tichetul capturează o singură dată aceleași fapte esențiale, apoi se ramifică, atunci când este necesar, către raportare DORA, GDPR, NIS2, contractuală, de asigurare sau specifică sectorului.

Cum vor testa auditorii procesul dvs. de incident DORA

Un proces de raportare a incidentelor pregătit pentru DORA trebuie să reziste unor perspective diferite de audit.

Un auditor ISO/IEC 27001:2022 va examina dacă SMSI a selectat și implementat controalele relevante din Anexa A, dacă Declarația de aplicabilitate susține acele controale, dacă există înregistrări ale incidentelor și dacă auditul intern și analiza efectuată de management includ performanța privind incidentele.

Zenith Controls citează metodologia de audit ISO/IEC 19011:2018 pentru 5.24, 5.25 și 6.8. Pentru 5.24, auditorii examinează planul de răspuns la incidente pentru tipuri de incidente, clasificări de severitate, roluri atribuite, liste de contacte, căi de escaladare, instrucțiuni de raportare către autorități și responsabilități de comunicare. Pentru 5.25, examinează dacă există criterii de clasificare documentate, cum ar fi matrice de severitate sau arbori decizionali bazați pe impactul asupra sistemului, sensibilitatea datelor și durată. Pentru 6.8, evaluează mecanismele de raportare, metricile privind timpul până la raportare și dovezile că evenimentele raportate sunt jurnalizate, triate și rezolvate.

O revizuire de supraveghere DORA se va concentra pe faptul dacă incidentele majore legate de TIC sunt detectate, clasificate, raportate, actualizate și închise conform așteptărilor de reglementare. Revizorul poate solicita un incident eșantion și îl poate urmări de la prima alertă până la raportul final.

Un auditor de confidențialitate se va concentra pe evaluarea riscului de încălcare a securității datelor cu caracter personal și pe declanșarea obligațiilor din articolul 33 și articolul 34 din GDPR. BS EN 17926:2023 este relevant aici deoarece adaugă responsabilități privind incidentele de confidențialitate, criterii de notificare, termene și aliniere la așteptările de divulgare către autoritatea de supraveghere.

Aceleași dovezi pot satisface mai multe întrebări de audit dacă sunt structurate corect de la început.

Listă de verificare pentru pregătirea raportării incidentelor DORA în 2026

Înainte de următorul exercițiu de simulare la masă, audit intern sau revizuire de supraveghere, testați organizația în raport cu această listă:

• Știu angajații cum să raporteze incidente TIC suspectate?
• Există un canal dedicat de raportare a incidentelor?
• Evenimentele de securitate sunt jurnalizate și triate consecvent?
• Există o matrice documentată de severitate și de clasificare a incidentelor majore DORA?
• Clasificarea este cerută într-un interval definit după notificare?
• Funcțiile critice sau importante sunt mapate la sisteme și furnizori?
• Declanșatorii de notificare DORA, GDPR, NIS2, contractuali, de asigurare și către clienți sunt evaluați într-un singur flux de lucru?
• Rolurile privind incidentele sunt definite între IT, securitate, juridic, conformitate, confidențialitate, comunicații și proprietarii proceselor de afaceri?
• Jurnalele sunt suficiente pentru reconstituirea cronologiilor incidentelor?
• Dovezile sunt păstrate cu lanț de custodie?
• Obligațiile furnizorilor privind incidentele și drepturile de acces la jurnale sunt testate?
• Exercițiile de simulare la masă sunt efectuate folosind scenarii DORA realiste?
• Lecțiile învățate sunt urmărite până la acțiuni corective?
• Metricile privind incidentele sunt revizuite în analiza efectuată de management?
• Declarația de aplicabilitate este mapată la controalele ISO/IEC 27001:2022 relevante pentru DORA?

Dacă răspunsul la oricare dintre acestea este „parțial”, problema nu este doar conformitatea. Este reziliența operațională.

Construiți un model de raportare a incidentelor DORA pregătit pentru dovezi

Raportarea incidentelor DORA în 2026 este un test al guvernanței sub presiune. Organizațiile care vor performa bine nu vor fi cele cu cele mai lungi documente de răspuns la incidente. Vor fi cele cu canale de raportare clare, clasificare rapidă, jurnale fiabile, dovezi păstrate, oameni instruiți, escaladare către furnizori testată și trasabilitate între cadre.

Clarysec vă poate ajuta să construiți acest model operațional.

Începeți prin maparea riscurilor de incident și a Declarației de aplicabilitate folosind Zenith Blueprint: foaie de parcurs în 30 de pași pentru auditori. Apoi aliniați controalele privind incidentele cu Zenith Controls: ghidul de conformitate încrucișată. Operaționalizați procesul cu Politica de răspuns la incidente, Politica de răspuns la incidente - IMM, Politica de jurnalizare și monitorizare - IMM, Politica privind colectarea dovezilor și activitățile criminalistice și Politica privind colectarea dovezilor și activitățile criminalistice - IMM de la Clarysec.

Dacă echipa de conducere dorește încredere înainte de următorul incident real, desfășurați un exercițiu de simulare la masă pentru un incident major legat de TIC conform DORA cu setul de instrumente Clarysec și produceți pachetul de dovezi pe care un auditor sau o autoritate de supraveghere s-ar aștepta să îl vadă.