Dovezi de audit ISO 27001 pentru NIS2 și DORA
Este ora 08:17 într-o zi de marți, iar CISO al unei companii fintech SaaS aflate în creștere rapidă are trei mesaje în așteptare.
Primul este de la un client bancar important: „Vă rugăm să ne transmiteți cel mai recent raport de audit intern, procesele-verbale ale analizelor efectuate de management, stadiul acțiunilor corective, procedura de raportare a incidentelor, registrul furnizorilor și dovezi ale supravegherii exercitate de consiliul de administrație.”
Al doilea este de la CFO: „Intrăm în domeniul de aplicare al NIS2 sau DORA și ce dovezi avem deja?”
Al treilea este de la CEO: „Putem spune că suntem pregătiți pentru audit?”
Răspunsul incomod în multe organizații nu este că nu se întâmplă nimic. Este mai rău. Activitățile de securitate au loc peste tot, dar dovezile nu sunt centralizate nicăieri. Există controale, dar nu există pistă de audit. Există tichete, dar nu există o legătură clară cu riscurile. Există informări pentru conducere, dar nu există rezultate formale ale analizei efectuate de management. Există discuții cu furnizorii, dar nu există un registru al furnizorilor robust, o analiză contractuală sau o strategie de ieșire care să poată fi susținută în audit.
Exact acest decalaj este punctul în care auditul intern și analiza efectuată de management ISO/IEC 27001:2022 devin mai mult decât activități de certificare. Ele devin ritmul operațional pentru NIS2, DORA, GDPR, programele de asigurare solicitate de clienți, asigurarea cibernetică și responsabilitatea consiliului de administrație.
Echipele SaaS, cloud, MSP, MSSP și fintech rareori eșuează pentru că nu desfășoară activități de securitate. Eșuează pentru că activitatea este dispersată în Slack, Jira, foi de calcul, portaluri ale furnizorilor, tichete SOC, dosare de achiziții și prezentări pentru consiliu. O autoritate de reglementare, un auditor extern sau un client enterprise nu dorește o explicație eroică. Dorește dovezi obiective.
Soluția practică nu este derularea unor programe de audit separate pentru fiecare cadru. Soluția este utilizarea SMSI ISO 27001 ca mecanism central de generare și gestionare a dovezilor, apoi etichetarea acelor dovezi pentru NIS2, DORA, GDPR și cerințele contractuale. Implementat corect, un singur ciclu de audit intern și o singură analiză efectuată de management pot răspunde multor întrebări de conformitate.
De la oboseala provocată de cadre multiple la un model unificat de dovezi SMSI
Mulți CISO se confruntă cu o variantă a problemei Mariei. Maria conduce funcția de securitate pentru o companie B2B SaaS cu clienți din sectorul financiar. Echipa ei a trecut acum șase luni printr-un audit de certificare ISO/IEC 27001:2022. SMSI se maturizează, politicile sunt respectate, iar proprietarii de controale își înțeleg responsabilitățile. Apoi CEO transmite mai departe două articole, unul despre Directiva NIS2 și unul despre DORA, cu o întrebare scurtă: „Suntem acoperiți?”
Răspunsul depinde de domeniul de aplicare, servicii, clienți și entități juridice. Dar răspunsul operațional este clar: dacă Maria tratează NIS2 și DORA ca proiecte de conformitate separate, va crea muncă duplicată, dovezi neconsecvente și oboseală de audit care se amplifică. Dacă le tratează ca cerințe ale părților interesate în cadrul SMSI, poate utiliza ISO 27001 pentru a le integra, testa și demonstra nivelul de pregătire.
ISO/IEC 27001:2022 este proiectat pentru acest lucru. Clauza 4 cere organizației să își înțeleagă contextul și cerințele părților interesate, inclusiv obligațiile legale, de reglementare, contractuale și cele determinate de dependențe. Clauza 5 cere leadership și integrare în procesele de afaceri. Clauza 6 cere evaluarea riscurilor și tratarea riscurilor. Clauza 9 cere evaluarea performanței prin monitorizare, audit intern și analiză efectuată de management. Clauza 10 cere îmbunătățire și acțiune corectivă.
NIS2 și DORA se încadrează natural în această structură.
NIS2 cere entităților esențiale și importante să implementeze măsuri tehnice, operaționale și organizaționale adecvate și proporționale de management al riscurilor de securitate cibernetică. De asemenea, atribuie organelor de conducere responsabilitatea de a aproba aceste măsuri, de a supraveghea implementarea și de a putea fi trase la răspundere pentru încălcări. Măsurile minime acoperă analiza riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, dezvoltarea securizată, gestionarea vulnerabilităților, evaluarea eficacității, instruirea, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor și, după caz, autentificarea multifactor sau autentificarea continuă.
DORA se aplică de la 17 ianuarie 2025 și creează un regim sectorial de reziliență operațională digitală pentru entitățile financiare. Acesta impune responsabilitatea organului de conducere pentru managementul riscurilor TIC, un cadru documentat de management al riscurilor TIC, o strategie de reziliență operațională digitală, planuri de continuitate și recuperare TIC, testarea rezilienței, guvernanța incidentelor TIC și managementul riscurilor asociate terților furnizori de servicii TIC. Pentru furnizorii SaaS și cloud care deservesc entități financiare, DORA poate apărea prin obligații contractuale, audituri ale clienților și așteptări privind managementul riscurilor asociate furnizorilor terți de servicii TIC, chiar și atunci când furnizorul nu este el însuși o entitate financiară.
GDPR adaugă stratul de responsabilitate demonstrabilă. Acolo unde datele cu caracter personal sunt prelucrate în domeniul de aplicare al GDPR, organizațiile trebuie să poată demonstra conformitatea cu principiile de protecție a datelor și cu măsurile tehnice și organizatorice adecvate.
ISO 27001 nu este un certificat magic de conformitate pentru aceste obligații. Este sistemul de management care le poate organiza, demonstra și îmbunătăți.
Întrebarea privind domeniul de aplicare: ce demonstrați și pentru cine?
Înainte de a construi un pachet de dovezi pregătit pentru audit, conducerea trebuie să răspundă la o întrebare de bază: ce obligații intră în domeniul de aplicare?
Pentru organizațiile SaaS și cloud, domeniul de aplicare NIS2 poate fi mai larg decât se așteaptă. NIS2 se aplică entităților publice sau private din sectoarele enumerate care îndeplinesc pragurile de mărime, precum și anumitor entități cu impact ridicat indiferent de mărime. Sectoarele relevante pot include infrastructura digitală, furnizorii de servicii de cloud computing, furnizorii de centre de date, rețelele de distribuție de conținut, furnizorii de servicii de încredere, furnizorii de comunicații electronice publice și furnizorii B2B de management al serviciilor TIC, cum ar fi furnizorii de servicii administrate și furnizorii de servicii de securitate administrate. Furnizorii SaaS trebuie să acorde atenție modului în care sunt livrate serviciile, sectoarelor pe care le susțin și măsurii în care permit administrare la cerere și acces la distanță extins la resurse de calcul partajate, scalabile.
Pentru furnizorii de servicii fintech și pentru sectorul financiar, DORA trebuie analizat separat. DORA acoperă direct o gamă largă de entități financiare, inclusiv instituții de credit, instituții de plată, furnizori de servicii de informare cu privire la conturi, instituții emitente de monedă electronică, firme de investiții, furnizori de servicii pentru criptoactive, locuri de tranzacționare, administratori de fonduri, întreprinderi de asigurare și reasigurare și furnizori de servicii de crowdfunding. Furnizorii terți de servicii TIC fac, de asemenea, parte din ecosistemul DORA, deoarece entitățile financiare trebuie să își gestioneze dependențele TIC, să mențină registre ale acordurilor contractuale și să includă prevederi contractuale specifice pentru serviciile TIC care susțin funcții critice sau importante.
NIS2 și DORA interacționează, de asemenea. Atunci când un act juridic sectorial al UE impune cerințe echivalente de management al riscurilor de securitate cibernetică sau de notificare a incidentelor, dispozițiile NIS2 corespunzătoare pot să nu se aplice acelor entități pentru acele domenii. DORA este regimul sectorial de reziliență operațională pentru entitățile financiare. Acest lucru nu face NIS2 irelevant pentru toți furnizorii din jur. Înseamnă că modelul de dovezi trebuie să distingă dacă organizația este o entitate financiară direct supusă DORA, un furnizor terț de servicii TIC care susține entități financiare, un furnizor SaaS în domeniul de aplicare NIS2 sau un grup cu mai multe entități juridice și linii de servicii.
Această analiză a domeniului de aplicare aparține contextului SMSI și registrului părților interesate. Fără ea, planul de audit va testa lucrurile greșite.
O singură pistă de audit, multe întrebări de conformitate
O greșeală frecventă este crearea unor pachete de dovezi separate pentru ISO 27001, NIS2, DORA, GDPR, asigurarea cibernetică și auditurile clienților. Această abordare creează duplicare și răspunsuri contradictorii. O abordare mai bună este un singur model de dovezi, cu mai multe perspective.
În centru se află SMSI. În jurul său se află cinci familii de dovezi.
| Familie de dovezi | Ce demonstrează | Înregistrări tipice |
|---|---|---|
| Dovezi de guvernanță | Managementul a aprobat, a alocat resurse și a analizat SMSI | Politica de securitate a informației, roluri, plan de audit, procese-verbale ale analizei efectuate de management, raportare către consiliul de administrație |
| Dovezi privind riscurile | Riscurile au fost identificate, evaluate, alocate unor proprietari și tratate | criterii de risc, registrul de riscuri, plan de tratare a riscurilor, Declarația de aplicabilitate, aprobări ale riscului rezidual |
| Dovezi privind controalele | Controalele funcționează conform proiectării | revizuirea drepturilor de acces, teste de backup, alerte de monitorizare, rapoarte de vulnerabilitate, due diligence pentru furnizori, înregistrări de dezvoltare securizată |
| Dovezi de asigurare | Verificările independente sau interne au identificat lacune și au verificat conformitatea | plan de audit intern, lista de verificare a auditului, raport de audit, registru al neconformităților, registru CAPA |
| Dovezi de îmbunătățire | Constatările au condus la corectare, analiza cauzei principale și îmbunătățire continuă | planuri de acțiune corectivă, lecții învățate, decizii de management, politici actualizate, înregistrări ale retestării |
Această structură este aliniată cu Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint. În faza Audit, Analiză și Îmbunătățire, pasul 25 se concentrează pe programul de audit intern, pasul 26 pe execuția auditului, pasul 28 pe analiza efectuată de management și pasul 29 pe îmbunătățirea continuă.
Ghidul Blueprint pentru pasul 25 este deliberat practic:
„Elaborați un calendar care descrie când vor avea loc auditurile și ce vor acoperi.”
„Utilizați șablonul de plan de audit intern, dacă este furnizat; acesta poate fi un document simplu sau o foaie de calcul care enumeră datele auditului, domeniul de aplicare și auditorii desemnați.”
Din Zenith Blueprint, faza Audit, Analiză și Îmbunătățire, pasul 25: Programul de audit intern Zenith Blueprint
Acest plan simplu de audit devine puternic atunci când este bazat pe risc și etichetat în raport cu obligațiile NIS2, DORA și GDPR.
Controale ISO 27001 care fundamentează pregătirea pentru audit
Pentru pregătirea pentru audit, trei controale ISO/IEC 27002:2022 sunt deosebit de importante atunci când sunt interpretate prin Zenith Controls: The Cross-Compliance Guide Zenith Controls:
- 5.4 Responsabilități de management
- 5.35 Revizuirea independentă a securității informației
- 5.36 Conformitatea cu politicile, regulile și standardele de securitate a informației
Acestea nu sunt „controale Zenith” separate. Sunt controale ISO/IEC 27002:2022 pe care Zenith Controls ajută să le mapați, auditați și interpretați între cadre.
Controlul 5.4 verifică dacă responsabilitățile privind securitatea informației sunt atribuite și înțelese. Controlul 5.35 verifică dacă securitatea informației este revizuită independent. Controlul 5.36 verifică dacă organizația respectă politicile, regulile și standardele sale.
Zenith Controls clasifică controlul 5.35 într-un mod orientat spre asigurare:
Controlul ISO/IEC 27002:2022 5.35, „Revizuirea independentă a securității informației”, este tratat în Zenith Controls ca „Preventiv, corectiv”, susținând confidențialitatea, integritatea și disponibilitatea prin conceptele de securitate cibernetică „Identificare” și „Protecție”, cu capabilitate operațională în „Asigurarea securității informației.” Zenith Controls
Acest lucru contează deoarece auditul intern este atât preventiv, cât și corectiv. Previne punctele oarbe prin testarea SMSI înaintea controlului extern și corectează punctele slabe prin acțiuni documentate.
Matricea extinsă de corespondență pornește de la cerințele NIS2 și DORA și identifică apoi dovezile ISO 27001 care le pot demonstra.
| Temă de reglementare | Dovezi ISO/IEC 27001:2022 și ISO/IEC 27002:2022 | Focus practic al auditului |
|---|---|---|
| Responsabilitatea managementului | Clauzele 5, 9.3 și controalele 5.2, 5.4, 5.35, 5.36 | Aprobări ale conducerii, procese-verbale ale analizei, atribuiri de roluri, decizii CAPA |
| Analiza riscurilor și politici de securitate | Clauzele 4, 6.1, 6.2 și controalele 5.1, 5.7, 5.9, 5.31 | criterii de risc, registrul de riscuri, aprobări de politici, cerințe legale și contractuale |
| Gestionarea incidentelor | Controalele 5.24, 5.25, 5.26, 5.27, 5.28 | Clasificare, escaladare, înregistrări de răspuns, lecții învățate, conservarea dovezilor |
| Continuitatea activității și recuperare | Controalele 5.29, 5.30, 8.13 | Planuri de continuitate, pregătire TIC, teste de restaurare a backup-urilor, metrici de recuperare |
| Riscul asociat furnizorilor și serviciilor cloud | Controalele 5.19, 5.20, 5.21, 5.22, 5.23 | Due diligence pentru furnizori, contracte, monitorizare, planuri de ieșire din cloud, risc de concentrare |
| Dezvoltare securizată și vulnerabilități | Controalele 8.8, 8.25, 8.26, 8.27, 8.28, 8.29 | SLA-uri pentru vulnerabilități, înregistrări SDLC securizat, aprobări de schimbări, testare de securitate |
| Acces, HR și instruire | Controalele 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7 | revizuirea drepturilor de acces, eșantioane pentru angajare-transfer-încetare, înregistrări de conștientizare, controale pentru lucrul la distanță |
| Jurnalizare, monitorizare și criptografie | Controalele 8.15, 8.16, 8.17, 8.24 | Păstrarea jurnalelor, revizuirea alertelor, sincronizarea timpului, standarde de criptare |
| Confidențialitate și conformitate juridică | Controalele 5.31, 5.34, 5.36 | Registru juridic, controale de confidențialitate, dovezi privind persoanele împuternicite, revizuiri de conformitate |
Maparea controalelor este utilă doar atunci când dovezile sunt solide. Dacă înregistrarea este slabă, nicio matrice de corespondență nu o va salva. Dacă înregistrarea este completă, aceleași dovezi pot răspunde întrebărilor de tip ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 și COBIT 2019.
Dovezile de politică pe care Clarysec se așteaptă ca organizațiile să le păstreze
Politicile Clarysec transformă teoria SMSI în așteptări concrete privind dovezile.
Pentru IMM-uri, Politica de audit și monitorizare a conformității-sme Politica de audit și monitorizare a conformității-sme impune aprobarea conducerii și disciplina de audit:
„Directorul general (GM) trebuie să aprobe un plan anual de audit.”
Din Politica de audit și monitorizare a conformității-sme, Cerințe de guvernanță, clauza 5.1.1 Politica de audit și monitorizare a conformității-sme
De asemenea, stabilește o cadență minimă:
„Auditurile interne sau revizuirile de conformitate trebuie efectuate cel puțin anual.”
Din Politica de audit și monitorizare a conformității-sme, Cerințe de guvernanță, clauza 5.2.1
Și conectează constatările la corectare și la analiza efectuată de management:
„GM trebuie să aprobe un plan de acțiune corectivă și să urmărească implementarea acestuia.”
Din Politica de audit și monitorizare a conformității-sme, Cerințe de guvernanță, clauza 5.4.2
„Constatările de audit și actualizările de stare trebuie incluse în procesul de analiză efectuată de management al SMSI.”
Din Politica de audit și monitorizare a conformității-sme, Cerințe de guvernanță, clauza 5.4.3
Păstrarea dovezilor este, de asemenea, explicită:
„Dovezile trebuie păstrate timp de cel puțin doi ani sau mai mult, atunci când acest lucru este impus prin certificare sau acorduri cu clienții.”
Din Politica de audit și monitorizare a conformității-sme, Cerințe de implementare a politicii, clauza 6.2.4
Pentru organizațiile mai mari, Politica de audit și monitorizare a conformității Politica de audit și monitorizare a conformității, denumită în unele materiale Clarysec și P33 Politica de audit și monitorizare a conformității, extinde structura:
„Un plan de audit bazat pe risc trebuie elaborat și aprobat anual, luând în considerare:”
Din Politica de audit și monitorizare a conformității, Cerințe de guvernanță, clauza 5.2 Politica de audit și monitorizare a conformității
„Organizația trebuie să mențină un registru de audit care conține:”
Din Politica de audit și monitorizare a conformității, Cerințe de guvernanță, clauza 5.4
„Auditurile interne trebuie să urmeze o procedură documentată care include:”
Din Politica de audit și monitorizare a conformității, Cerințe de implementare a politicii, clauza 6.1.1
„Toate constatările trebuie să conducă la o CAPA documentată care include:”
Din Politica de audit și monitorizare a conformității, Cerințe de implementare a politicii, clauza 6.2.1
Analiza efectuată de management este ancorată în Politica de securitate a informației Politica de securitate a informației, denumită în unele materiale Clarysec și P01 Politica de securitate a informației:
„Activitățile de analiză efectuată de management (conform ISO/IEC 27001 Clauza 9.3) trebuie efectuate cel puțin anual și trebuie să includă:”
Din Politica de securitate a informației, Cerințe de guvernanță, clauza 5.3 Politica de securitate a informației
Aceste cerințe creează lanțul de dovezi pe care auditorii îl așteaptă: plan aprobat, procedură definită, registru de audit, constatări, CAPA, păstrare și analiză de către conducere.
Construirea pachetului de dovezi pregătit pentru audit
Un pachet de dovezi pregătit pentru audit nu este un folder uriaș creat cu două zile înainte de audit. Este o structură vie, menținută pe tot parcursul anului.
| Element de dovadă | Scop ISO 27001 | Relevanță pentru NIS2 și DORA |
|---|---|---|
| Domeniul de aplicare al SMSI și registrul părților interesate | Arată că sunt identificate cerințele legale, contractuale și de dependență | Susține domeniul de aplicare al entității NIS2, analiza rolului DORA și responsabilitatea demonstrabilă GDPR |
| criterii de risc și registrul de riscuri | Arată evaluarea consecventă a riscurilor și proprietatea asupra riscurilor | Susține măsurile de management al riscurilor NIS2 și cadrul de risc TIC DORA |
| Declarația de aplicabilitate | Arată controalele selectate, justificarea și starea implementării | Creează o bază de referință consolidată a controalelor pentru conformitate transversală |
| Plan anual de audit intern | Arată asigurarea planificată | Susține supravegherea managementului și planificarea auditului TIC în DORA |
| Lista de verificare a auditului intern | Arată criteriile de audit și metoda de eșantionare | Demonstrează cum au fost testate cerințele NIS2, DORA și GDPR |
| Raport de audit și registrul constatărilor | Arată dovezi obiective și neconformități | Susține evaluarea eficacității și asigurarea de reglementare |
| Registru CAPA | Arată cauza principală, proprietarul, termenul-limită și închiderea | Susține măsurile corective în temeiul NIS2 și remedierea în temeiul DORA |
| Pachet pentru analiza efectuată de management | Arată analiza de către conducere a performanței, incidentelor, riscurilor și resurselor | Susține responsabilitatea consiliului de administrație în temeiul NIS2 și DORA |
| Registrul furnizorilor și dovezi contractuale | Arată controlul riscurilor asociate terților | Susține securitatea lanțului de aprovizionare NIS2 și managementul riscurilor asociate terților TIC DORA |
| Înregistrări privind raportarea incidentelor și lecțiile învățate | Arată răspunsul și îmbunătățirea | Susține raportarea etapizată NIS2 și guvernanța incidentelor DORA |
Pachetul de dovezi ar trebui mapat la clauzele ISO/IEC 27001:2022 și la controalele din Anexa A, dar etichetat pentru relevanța de reglementare. De exemplu, o înregistrare de audit al unui furnizor poate susține controalele pentru furnizori din Anexa A, securitatea lanțului de aprovizionare NIS2 și managementul riscurilor asociate terților TIC DORA. O înregistrare a unui exercițiu de tip tabletop pentru incidente poate susține gestionarea incidentelor ISO 27001, pregătirea pentru notificarea etapizată NIS2 și guvernanța incidentelor majore legate de TIC conform DORA.
Cum se efectuează auditul intern integrat
Pasul 26 din Zenith Blueprint pune accent pe dovezile obiective:
„Efectuați auditul prin colectarea de dovezi obiective pentru fiecare element din lista dumneavoastră de verificare.”
„Intervievați personalul relevant.”
„Revizuiți documentația.”
„Observați practicile.”
„Eșantionați și efectuați verificări punctuale.”
Din Zenith Blueprint, faza Audit, Analiză și Îmbunătățire, pasul 26: Execuția auditului Zenith Blueprint
Exact acest lucru este necesar pentru pregătirea NIS2 și DORA. Autoritățile de reglementare și clienții nu vor accepta „credem că funcționează”. Vor întreba de unde știți.
Un audit bine derulat testează patru dimensiuni ale dovezilor.
| Dimensiunea dovezii | Exemplu de test de audit | Dovezi bune |
|---|---|---|
| Proiectare | Politica sau procesul definește cerința? | Politică, procedură, standard, flux de lucru aprobate |
| Implementare | Procesul a fost implementat? | Tichete, configurații, înregistrări privind instruirea, înregistrări ale furnizorilor |
| Eficacitate operațională | A funcționat în timp? | Eșantioane pe mai multe luni, alerte, jurnale de revizuire, rezultatele testelor |
| Escaladare de guvernanță | Managementul a văzut rezultatele și a acționat asupra lor? | aprobare CAPA, procese-verbale ale analizei efectuate de management, decizie bugetară |
Luați în considerare un eveniment ransomware simulat pe un server de staging. Auditorul testează dacă procesul de răspuns la incidente poate îndeplini cerințele ISO 27001, așteptările de raportare etapizată NIS2 și obligațiile DORA față de clienți.
| Dovezi colectate | Relevanță ISO 27001 | Relevanță NIS2 | Relevanță DORA |
|---|---|---|---|
| Jurnal al incidentelor cu clasificarea inițială și marcaj temporal | Controlul 5.26 răspuns la incidente de securitate a informației | Stabilește momentul luării la cunoștință pentru termenele de raportare | Susține identificarea și jurnalizarea incidentelor legate de TIC |
| Escaladare către CSIRT și consilier juridic | Controlul 5.25 evaluarea și decizia privind evenimentele de securitate a informației | Susține procesul decizional pentru notificarea incidentelor semnificative | Susține comunicarea internă și procedurile de escaladare |
| Proiect de șablon pentru notificarea de avertizare timpurie | Controlul 5.24 planificarea și pregătirea pentru gestionarea incidentelor | Susține capabilitatea de a îndeplini așteptarea de avertizare timpurie în 24 de ore | Poate susține pregătirea pentru comunicarea contractuală |
| Înregistrare a deciziei de restaurare din backup | Controalele 5.29, 5.30 și 8.13 | Susține dovezile privind continuitatea activității și recuperarea în caz de dezastru | Susține așteptările privind răspunsul, recuperarea și restaurarea din backup |
| Înregistrare de comunicare cu clientul | Controalele 5.20 și 5.22 acorduri cu furnizorii și monitorizarea serviciilor furnizorilor | Poate susține comunicarea contractuală și din lanțul de aprovizionare | Susține obligațiile clienților financiari privind riscul asociat terților |
NIS2 are o structură de raportare etapizată pentru incidente semnificative, inclusiv avertizare timpurie în termen de 24 de ore de la luarea la cunoștință, notificarea incidentului în termen de 72 de ore și un raport final în termen de o lună de la notificarea incidentului. DORA are propriul cadru de clasificare și raportare a incidentelor legate de TIC pentru entitățile financiare. Auditul intern trebuie să verifice dacă playbook-urile capturează momentul luării la cunoștință, criteriile de severitate, serviciile afectate, indicatorii de compromitere, acțiunile de atenuare, cauza principală, obligațiile de notificare a clienților și datele pentru raportarea finală.
Transformarea unei constatări de audit în dovezi pentru NIS2 și DORA
O constatare realistă privind un furnizor arată cum ar trebui să circule dovezile.
În timpul auditului intern, auditorul eșantionează cinci furnizori critici. Un furnizor de jurnalizare cloud susține monitorizarea fraudei și alertarea de securitate pentru platforma fintech. Furnizorul este listat în inventar, dar nu există un plan de ieșire documentat, nu există dovezi ale unei revizuiri anuale de securitate și nu există confirmare că respectivul contract include asistență pentru incidente sau drepturi de audit.
Auditorul înregistrează o neconformitate față de cerințele privind securitatea furnizorilor și ieșirea din cloud. Un răspuns slab ar spune „lipsește revizuirea furnizorului”. Un răspuns solid creează un lanț de dovezi pentru conformitate transversală:
- Înregistrați constatarea în raportul de audit, incluzând dimensiunea eșantionului, numele furnizorului, referința contractuală și dovezile lipsă.
- Adăugați o înregistrare CAPA cu cauza principală, de exemplu „lista de verificare pentru integrarea furnizorilor nu a inclus clasificarea criticității sau declanșatorul planului de ieșire”.
- Desemnați proprietarul furnizorului și proprietarul riscului.
- Actualizați registrul furnizorilor pentru a marca serviciul ca susținând o funcție critică sau importantă.
- Efectuați o evaluare a riscurilor care acoperă întreruperea serviciului, accesul la date, riscul de concentrare, dependența de raportarea incidentelor și lacunele contractuale.
- Actualizați planul de tratare a riscurilor și Declarația de aplicabilitate, acolo unde este relevant.
- Obțineți un addendum contractual actualizat sau o acceptare documentată a riscului.
- Creați sau testați un plan de ieșire.
- Reauditați dovezile furnizorului după remediere.
- Raportați constatarea, riscul și necesarul de resurse în analiza efectuată de management.
Acest lanț unic susține mai multe obligații. NIS2 se așteaptă la securitatea lanțului de aprovizionare și la luarea în considerare a vulnerabilităților furnizorilor, a practicilor de securitate cibernetică și a procedurilor de dezvoltare securizată. DORA cere entităților financiare să gestioneze riscul asociat terților TIC, să mențină registre ale acordurilor contractuale, să evalueze furnizorii înainte de contractare, să includă drepturi de audit și inspecție acolo unde este cazul, să mențină drepturi de încetare și să documenteze strategii de ieșire pentru serviciile TIC care susțin funcții critice sau importante. GDPR poate fi, de asemenea, relevant dacă furnizorul prelucrează date cu caracter personal.
Înregistrarea de audit nu mai este doar dovadă de conformitate. Este dovadă de reziliență.
Analiza efectuată de management: locul în care dovezile devin responsabilitate
Auditul intern identifică realitatea. Analiza efectuată de management decide ce trebuie făcut.
Pasul 28 din Zenith Blueprint descrie pachetul de intrări pentru analiza efectuată de management:
„ISO 27001 specifică mai multe intrări obligatorii pentru analiza efectuată de management. Pregătiți un raport scurt sau o prezentare care acoperă aceste puncte.”
Blueprint enumeră stadiul acțiunilor anterioare, schimbările în aspectele externe și interne, performanța și eficacitatea SMSI, incidentele sau neconformitățile, oportunitățile de îmbunătățire și necesarul de resurse.
Din Zenith Blueprint, faza Audit, Analiză și Îmbunătățire, pasul 28: Analiza efectuată de management Zenith Blueprint
Pentru NIS2 și DORA, analiza efectuată de management este locul în care responsabilitatea la nivelul consiliului de administrație devine vizibilă. Analiza nu ar trebui să spună doar „s-a discutat securitatea”. Ar trebui să arate că managementul a analizat:
- Schimbări în cerințele NIS2, DORA, GDPR, ale clienților și contractuale.
- Schimbări ale domeniului de aplicare, inclusiv țări, produse, clienți reglementați sau dependențe TIC noi.
- Rezultatele auditului intern, inclusiv neconformități majore și minore.
- Stadiul CAPA și al acțiunilor restante.
- Obiective și metrici de securitate.
- Tendințe ale incidentelor, incidente evitate la limită și lecții învățate.
- Riscuri de concentrare asociate furnizorilor și serviciilor cloud.
- Rezultatele testelor de continuitate a activității și de backup.
- Performanța privind vulnerabilitățile și aplicarea patch-urilor.
- Necesar de resurse, inclusiv oameni, instrumente, instruire și buget.
- Riscuri reziduale care necesită acceptare formală.
- Decizii de îmbunătățire și proprietari responsabili.
Aici Maria poate transforma un raport tehnic în asigurare strategică. În loc să spună „am găsit o lacună în procesul de incident”, poate spune: „Auditul a identificat o neconformitate minoră în criteriile noastre de decizie pentru raportarea incidentelor NIS2. CAPA actualizează procedura, adaugă o matrice decizională și impune un exercițiu de tip tabletop în termen de 30 de zile. Avem nevoie de aprobarea managementului pentru revizuire juridică și timp de instruire.”
Acesta este tipul de înregistrare care susține guvernanță, supraveghere și proces decizional defensabil.
Acțiunea corectivă: diferența dintre o constatare și maturitate
Un audit intern fără acțiune corectivă este doar un diagnostic.
Pasul 29 din Zenith Blueprint recomandă organizațiilor să utilizeze un registru CAPA:
„Completați-l cu fiecare problemă: descrierea problemei, cauza principală, acțiunea corectivă, proprietarul responsabil, data-țintă de finalizare, starea.”
Din Zenith Blueprint, faza Audit, Analiză și Îmbunătățire, pasul 29: Îmbunătățire continuă Zenith Blueprint
De asemenea, face o distincție importantă:
„În termeni de audit: corectarea remediază simptomul, acțiunea corectivă remediază cauza. Ambele sunt importante.”
Din Zenith Blueprint, faza Audit, Analiză și Îmbunătățire, pasul 29: Îmbunătățire continuă
Dacă lipsesc dovezile de restaurare din backup, corectarea poate fi rularea și documentarea unui test de restaurare în această săptămână. Acțiunea corectivă este modificarea procedurii de backup astfel încât testele de restaurare să fie programate trimestrial, ticketate automat, revizuite de proprietarul serviciului și incluse în metricile analizei efectuate de management.
Auditorii caută această maturitate. Un auditor ISO 27001 testează conformitatea cu SMSI și controalele selectate. Un evaluator NIS2 întreabă dacă măsurile de management al riscurilor sunt eficace și supravegheate. Un evaluator DORA caută integrarea cadrului de risc TIC, testarea rezilienței, gestionarea dependențelor față de terți și remedierea. Un evaluator NIST Cybersecurity Framework 2.0 poate întreba dacă rezultatele privind guvernanța, identificarea, protejarea, detectarea, răspunsul și recuperarea funcționează. Un auditor COBIT 2019 se poate concentra pe obiective de guvernanță, proprietate, indicatori de performanță și asigurare.
Aceeași înregistrare CAPA poate satisface aceste perspective dacă include cauza principală, proprietarul, impactul asupra riscului, acțiunea corectivă, termenul-limită, dovezi ale implementării, revizuirea eficacității și vizibilitate pentru management.
Perspectivele multiple ale auditorului
Auditori diferiți citesc aceleași dovezi în mod diferit. Zenith Controls ajută la anticiparea acestor întrebări, acționând ca ghid de conformitate transversală pentru controalele ISO/IEC 27002:2022 și cadrele conexe.
| Perspectivă de audit | Ce va întreba probabil auditorul | Dovezi care răspund bine |
|---|---|---|
| Auditor ISO 27001 | Este SMSI planificat, implementat, evaluat și îmbunătățit conform cerințelor ISO/IEC 27001:2022? | Domeniu de aplicare, evaluarea riscurilor, Declarația de aplicabilitate, plan de audit intern, raport de audit, rezultate ale analizei efectuate de management, CAPA |
| Evaluator NIS2 | A aprobat și supravegheat managementul măsuri adecvate de management al riscurilor și poate entitatea să demonstreze eficacitatea și acțiunea corectivă? | Procese-verbale ale consiliului sau ale analizei efectuate de management, plan de tratare a riscurilor, playbook-uri pentru incidente, revizuiri ale furnizorilor, înregistrări privind instruirea, metrici de eficacitate |
| Evaluator DORA | Este managementul riscurilor TIC integrat în guvernanță, strategia de reziliență, testare, riscul asociat terților și remediere? | Cadru de risc TIC, plan de audit, dovezi ale testelor de reziliență, registru al terților, maparea funcțiilor critice, înregistrări de remediere |
| Evaluator GDPR | Poate organizația să demonstreze responsabilitatea pentru prelucrarea și securitatea datelor cu caracter personal? | Inventar de date, înregistrări privind temeiul juridic, acorduri cu persoanele împuternicite, jurnale ale încălcărilor, controale de acces, dovezi privind păstrarea, măsuri de securitate |
| Evaluator NIST CSF 2.0 | Funcționează eficace rezultatele privind guvernanța, riscul, protecția, detecția, răspunsul și recuperarea? | Dovezi de control mapate la rezultate, jurnale, monitorizare, înregistrări ale incidentelor, teste de recuperare, acțiuni de îmbunătățire |
| Auditor COBIT 2019 | Sunt definite și monitorizate obiectivele de guvernanță, proprietatea, managementul performanței și activitățile de asigurare? | RACI, politici, KPI, registru de audit, managementul problemelor, raportare către management, înregistrări ale deciziilor |
Controlul 5.36 este un bun exemplu. Auditorul ISO 27001 se poate concentra pe existența revizuirilor de conformitate și pe alimentarea acestora în acțiuni corective. Evaluatorul NIS2 poate întreba dacă aceste revizuiri testează măsurile juridice de securitate cibernetică, nu doar regulile interne. Evaluatorul DORA se poate concentra pe includerea furnizorilor critici de servicii TIC și a aplicării contractuale în revizuirile de conformitate.
De aceea, dovezile trebuie proiectate de la început pentru mai mulți cititori.
Un sprint practic de 30 de zile pentru pregătirea pentru audit
Dacă CEO întreabă dacă organizația poate fi pregătită pentru audit în 30 de zile, răspunsul onest este: puteți construi o bază de dovezi credibilă dacă managementul susține sprintul și domeniul de aplicare este realist.
| Zile | Activitate | Rezultat |
|---|---|---|
| 1-3 | Confirmați domeniul de aplicare al SMSI, serviciile reglementate, părțile interesate și obligațiile | Declarație privind domeniul de aplicare, notă de aplicabilitate NIS2, DORA și GDPR |
| 4-7 | Actualizați criteriile de risc, registrul de riscuri și principalii proprietari de risc | Registru de riscuri actualizat și priorități de tratare |
| 8-10 | Construiți un plan de audit intern bazat pe risc | Plan de audit aprobat și lista de verificare a auditului |
| 11-17 | Executați interviuri de audit, eșantionare și revizuirea dovezilor | Jurnal de dovezi, constatări, observații pozitive |
| 18-20 | Validați constatările cu proprietarii și clasificați severitatea | Raport de audit și registru al neconformităților |
| 21-24 | Creați un registru CAPA cu cauze principale, proprietari și termene-limită | Plan de acțiune corectivă aprobat |
| 25-27 | Pregătiți pachetul pentru analiza efectuată de management | Set de diapozitive sau raport de analiză cu metrici, riscuri, incidente, resurse |
| 28-30 | Desfășurați analiza efectuată de management și înregistrați deciziile | Procese-verbale, jurnal de acțiuni, acceptări ale riscurilor, decizii privind resursele |
Acest sprint nu înlocuiește maturitatea pe termen lung. Creează o bază operațională care poate fi susținută în audit. Valoarea reală apare atunci când organizația repetă ciclul trimestrial sau semestrial, nu doar o dată pe an.
Eșecuri frecvente ale dovezilor identificate de Clarysec
Aceleași puncte slabe apar în auditurile SaaS, cloud și fintech:
- Planul de audit există, dar nu este bazat pe risc.
- Lista de verificare a auditului testează clauzele ISO, dar ignoră obligațiile NIS2, DORA, GDPR și ale clienților.
- Procesele-verbale ale analizei efectuate de management există, dar nu arată decizii, alocarea resurselor sau acceptarea riscurilor.
- Înregistrările CAPA listează acțiuni, dar nu cauza principală.
- Constatările sunt închise fără verificarea eficacității.
- Revizuirile furnizorilor sunt efectuate, dar furnizorii critici nu sunt diferențiați de furnizorii cu risc scăzut.
- Playbook-urile pentru incidente există, dar nimeni nu poate dovedi că fluxul de raportare de 24 de ore sau 72 de ore ar funcționa.
- Sarcinile de backup sunt verzi, dar testele de restaurare nu sunt dovedite.
- Revizuirile drepturilor de acces sunt exportate, dar excepțiile nu sunt urmărite până la închidere.
- Jurnalele sunt colectate, dar nimeni nu poate demonstra monitorizarea, escaladarea sau răspunsul.
- Dovezile sunt stocate în foldere personale, în locul unui depozit controlat.
- Cerințele de păstrare sunt neclare sau nealiniate cu contractele clienților.
Aceste eșecuri pot fi remediate. Ele necesită o arhitectură structurată a dovezilor SMSI, nu vânătoare de documente în ultimul moment.
Cum arată bine pentru consiliul de administrație
Când CISO revine la CEO și CFO, cel mai puternic răspuns nu este „am trecut o listă de verificare a auditului”. Este:
„Avem un plan de audit aprobat. Am efectuat un audit intern bazat pe risc. Am identificat constatări cu dovezi obiective. Am aprobat CAPA cu proprietari și termene-limită. Am escaladat riscurile materiale, incidentele, dependențele față de furnizori și necesarul de resurse în analiza efectuată de management. Am mapat dovezile la ISO/IEC 27001:2022, NIS2, DORA și GDPR. Putem demonstra pista de audit.”
Acest răspuns schimbă conversația. Îi oferă CEO încredere în relația cu clienții. Îi oferă CFO claritate privind expunerea de reglementare. Oferă consiliului de administrație o înregistrare de supraveghere defensabilă. Îi oferă CISO o foaie de parcurs prioritizată, în locul unui teanc de solicitări neconectate.
Cel mai important, mută organizația de la teatru de conformitate la reziliență operațională.
Pașii următori cu Clarysec
Următorul audit nu ar trebui să fie o cursă contra cronometru. Ar trebui să fie dovada vizibilă că SMSI funcționează, conducerea este implicată și organizația este pregătită pentru ISO 27001, NIS2, DORA, GDPR și programe de asigurare solicitate de clienți.
Clarysec vă poate ajuta să:
- Construiți un plan de audit intern bazat pe risc folosind Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint.
- Mapați dovezile de audit prin Zenith Controls: The Cross-Compliance Guide Zenith Controls.
- Implementați guvernanța auditului pentru IMM-uri sau organizații enterprise folosind Politica de audit și monitorizare a conformității-sme Politica de audit și monitorizare a conformității-sme sau Politica de audit și monitorizare a conformității Politica de audit și monitorizare a conformității.
- Pregătiți pachete pentru analiza efectuată de management aliniate la Politica de securitate a informației Politica de securitate a informației și la așteptările ISO/IEC 27001:2022 Clauza 9.3.
- Transformați constatările în înregistrări CAPA, decizii de management și îmbunătățire măsurabilă.
Descărcați toolkit-urile Clarysec, programați o evaluare a nivelului de pregătire sau solicitați un demo pentru a transforma următorul audit intern în dovezi pregătite pentru consiliul de administrație pentru ISO 27001, NIS2, DORA și mai departe.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
