⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
RO EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Audit intern ISO 27001 pentru NIS2 și DORA

Igor Petreski
15 min read
#Audit #SMSI #Managementul riscurilor #Răspuns la incidente #Managementul furnizorilor #Continuitatea activității #Jurnalizare și monitorizare
Program de audit intern ISO 27001 mapat la dovezi pentru NIS2 și DORA

Este prima ședință a comitetului de audit din 2026. Sarah, CISO la FinSecure, un furnizor SaaS și FinTech cu creștere rapidă, are cincisprezece minute pe ordinea de zi. Consiliul de administrație are cinci întrebări.

Suntem pregătiți pentru auditul nostru de supraveghere ISO/IEC 27001:2022? Intrăm în domeniul de aplicare al NIS2 ca furnizor de servicii administrate? Ne afectează DORA deoarece susținem clienți din sectorul financiar? Putem demonstra că raportarea incidentelor, verificarea prealabilă a furnizorilor și continuitatea activității funcționează? Și de ce revizuirea drepturilor de acces din trimestrul trecut a identificat încă acele conturi care ar fi trebuit eliminate?

Sarah are dovezi, dar acestea sunt dispersate. Echipa de inginerie are exporturi ale scanărilor de vulnerabilitate. Achizițiile au chestionare pentru furnizori. Departamentul juridic are clauze contractuale. Responsabilul de conformitate are o evidență de urmărire GDPR. SOC are tichete de incident. Nimic nu este evident greșit, dar nimic nu spune o poveste coerentă de asigurare.

Acesta este momentul în care un program de audit intern ISO 27001 devine fie un motor strategic de dovezi, fie rămâne o mobilizare anuală de ultim moment.

Pentru organizațiile afectate de NIS2 și DORA, auditul intern nu mai poate fi o listă de verificare formală. Trebuie să devină un sistem de asigurare bazat pe risc, care confirmă dacă domeniul de aplicare al SMSI este corect, dacă controalele funcționează în practică, dacă cerințele de reglementare sunt mapate, dacă constatările sunt clasificate consecvent și dacă acțiunile corective ajung în analiza efectuată de management. În 2026, cele mai solide programe nu vor întreba doar: „Am efectuat un audit?” Vor întreba: „Putem demonstra, lună de lună, că guvernanța securității cibernetice, reziliența TIC, securitatea furnizorilor și pregătirea pentru incidente funcționează?”

Aceasta este abordarea pe care Clarysec o integrează în Zenith Blueprint: foaia de parcurs în 30 de pași pentru auditori, Zenith Controls: ghidul de conformitate transversală și suita de politici Clarysec. Scopul nu este crearea unor proiecte ISO, NIS2 și DORA separate. Scopul este îmbogățirea SMSI astfel încât un singur program de audit să producă dovezi reutilizabile pentru mai multe cerințe de asigurare.

De ce programele de audit intern din 2026 trebuie să se schimbe

NIS2 și DORA au mutat discuția de audit de la documentație la reziliență guvernată.

NIS2 se aplică multor organizații medii și mari din sectoare critice și importante, inclusiv infrastructură digitală, furnizori de servicii de cloud computing, furnizori de centre de date, furnizori de servicii administrate, furnizori de servicii de securitate administrate, piețe online, motoare de căutare online și platforme de rețele sociale. Statele membre au început aplicarea măsurilor naționale din octombrie 2024, iar până în 2026 multe organizații operează în primul an complet al unor așteptări NIS2 mature.

DORA se aplică din 17 ianuarie 2025 unei game largi de entități financiare, inclusiv instituții de credit, instituții de plată, instituții emitente de monedă electronică, firme de investiții, furnizori de servicii de criptoactive, societăți de asigurare și reasigurare, furnizori de servicii de finanțare participativă și furnizori terți relevanți de servicii TIC. DORA este regimul sectorial de reziliență operațională digitală pentru entitățile financiare vizate. Furnizorii TIC care deservesc entități financiare pot resimți DORA și prin contracte, drepturi de audit, participare la testare, suport pentru incidente, controale privind subcontractarea și cerințe de ieșire.

Ambele reglementări ridică nivelul responsabilității. NIS2 Article 20 impune organelor de conducere să aprobe și să supravegheze măsurile de management al riscurilor de securitate cibernetică și să beneficieze de instruire în securitate cibernetică. DORA Article 5 face organul de conducere responsabil în ultimă instanță pentru riscul TIC, inclusiv pentru aprobarea și supravegherea strategiei de reziliență operațională digitală, a politicilor TIC, a aranjamentelor de continuitate și a riscului asociat terților.

ISO 27001 se potrivește bine acestui mediu deoarece este un sistem de management. Acesta impune organizației să își înțeleagă contextul, să definească părțile interesate și cerințele acestora, să stabilească domeniul de aplicare al SMSI, să evalueze și să trateze riscurile, să monitorizeze performanța, să desfășoare audituri interne și să stimuleze îmbunătățirea continuă. Ideea nu este să forțăm NIS2 și DORA într-o structură de tip ISO. Ideea este să utilizăm ISO 27001 ca sistem operațional pentru asigurare repetabilă.

Începeți cu domeniul de aplicare: auditați sistemul pe care se bazează consiliul

Un program slab de audit intern începe cu un domeniu de aplicare vag, precum „securitatea informației”. Un program solid începe cu limita operațională și de reglementare a organizației.

ISO 27001 impune ca domeniul de aplicare al SMSI să ia în considerare aspectele interne și externe, cerințele părților interesate și interfețele sau dependențele cu alte organizații. Acest lucru contează deoarece obligațiile NIS2 și DORA se află adesea la marginea organizației: platforme cloud, furnizori SOC externalizați, servicii de detecție și răspuns gestionate, sisteme de plată, API-uri fintech, prelucrarea datelor clienților, servicii de backup și parteneri pentru escaladarea incidentelor.

Politica de audit și monitorizare a conformității pentru IMM-uri de la Clarysec stabilește baza de guvernanță:

Directorul general (GM) trebuie să aprobe un plan anual de audit.

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.1.1.

Pentru medii mai mari, Politica de audit și monitorizare a conformității de la Clarysec ridică nivelul așteptărilor:

Un plan de audit bazat pe risc trebuie elaborat și aprobat anual, luând în considerare:

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.2.

Prin urmare, domeniul de aplicare nu este doar o preferință a auditorului. Este un angajament de asigurare aprobat de management.

Un program de audit intern ISO 27001 pentru 2026, care susține NIS2 și DORA, ar trebui să includă:

  • Clauzele și procesele SMSI, inclusiv contextul, leadershipul, managementul riscurilor, obiectivele, suportul, operațiunile, evaluarea performanței și îmbunătățirea.
  • Zonele relevante de control din Anexa A ISO/IEC 27001:2022, inclusiv relațiile cu furnizorii, managementul incidentelor, continuitatea activității, obligațiile legale, confidențialitatea, jurnalizarea, monitorizarea, managementul vulnerabilităților, controlul accesului, criptografia, dezvoltarea securizată, managementul schimbărilor și guvernanța cloud.
  • Suprapuneri de reglementare, inclusiv NIS2 Articles 20, 21 și 23, DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 și 28 to 30, plus cerințele GDPR privind securitatea și responsabilitatea.
  • Servicii-cheie și procese de afaceri, în special funcții critice sau importante, servicii esențiale, platforme destinate clienților și sisteme care susțin clienți reglementați.
  • Dependențe de terți, inclusiv furnizori TIC, furnizori cloud, dezvoltare externalizată, SOC, MSSP, persoane împuternicite și subcontractori critici.
  • Procese care produc dovezi, inclusiv evaluări ale riscurilor, revizuirea drepturilor de acces, remedierea vulnerabilităților, exerciții de incidente, teste de restaurare a backup-urilor, revizuiri ale furnizorilor, teste de continuitate și analize efectuate de management.

Zenith Blueprint consolidează acest aspect în faza Audit, analiză și îmbunătățire, pasul 25, Program de audit intern:

Decideți domeniul de aplicare al programului de audit intern. În cele din urmă, pe parcursul unui an, trebuie să acoperiți toate procesele și controalele relevante ale SMSI.

Din faza Audit, analiză și îmbunătățire, pasul 25: Program de audit intern.

Nu este necesar să auditați totul în fiecare lună. Dar, pe parcursul ciclului anual, ar trebui să acoperiți toate procesele și controalele relevante ale SMSI, cu activități mai frecvente în zonele cu risc ridicat și reglementate.

Construiți universul de audit în jurul temelor de control NIS2 și DORA

NIS2 Article 21 impune măsuri tehnice, operaționale și organizaționale adecvate și proporționale. Baza sa include analiza riscurilor, politicile de securitate, gestionarea incidentelor, continuitatea activității, managementul backup-urilor, recuperarea în caz de dezastru, managementul crizelor, securitatea lanțului de aprovizionare, achiziția și dezvoltarea securizate, gestionarea vulnerabilităților, evaluarea eficacității, igiena cibernetică, instruirea, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor, autentificarea multifactor sau autentificarea continuă, după caz, și comunicațiile securizate.

DORA are un ciclu de viață operațional similar. Impune entităților financiare să identifice și să clasifice funcțiile de afaceri susținute de TIC, activele informaționale, activele TIC, dependențele și interconexiunile cu terții. De asemenea, impune protecție, detecție, clasificarea incidentelor, răspuns, recuperare, backup, restaurare, testare, învățare post-incident, comunicare și managementul riscului TIC asociat terților.

Un univers de audit unificat previne greșeala frecventă de a audita ISO 27001 separat de NIS2 și DORA.

Domeniu de auditAncoră de audit ISO 27001Relevanță NIS2 și DORADovezi tipice
Guvernanță și obligații legaleContext, leadership, tratarea riscurilor, cerințe legale și contractualeSupravegherea consiliului conform NIS2, responsabilitatea organului de conducere conform DORA, responsabilitate GDPRRegistru juridic, registru al părților interesate, domeniul de aplicare al SMSI, apetitul la risc, procese-verbale ale consiliului, analiza efectuată de management
Evaluarea și tratarea riscurilorEvaluarea riscurilor, Declarația de aplicabilitate, planul de tratareMăsuri adecvate și proporționale conform NIS2, cadru de management al riscurilor TIC conform DORARegistrul de riscuri, criterii de risc, aprobări ale tratării, acceptarea riscului rezidual
Inventarul activelor și dependențelorManagementul activelor, guvernanța serviciilor cloud, servicii ale furnizorilorActive și interconexiuni TIC conform DORA, sisteme de furnizare a serviciilor conform NIS2CMDB, mapări ale fluxurilor de date, registrul furnizorilor, inventar cloud, clasificare pe criticitate
Controlul accesului și identitateSecuritatea resurselor umane, managementul accesului, MFA, acces privilegiatControlul accesului și MFA conform NIS2, principiul privilegiului minim și autentificare puternică conform DORATichete pentru angajare-transfer-încetare, revizuiri ale drepturilor de acces, rapoarte MFA, jurnale ale conturilor privilegiate
Jurnalizare, monitorizare și detecțieJurnalizare, monitorizare, evaluarea evenimentelorDetecția anomaliilor și clasificarea incidentelor conform DORA, pregătire pentru incidente conform NIS2Alerte SIEM, reguli de detecție, înregistrări de triaj al incidentelor, tablouri de bord de monitorizare
Gestionarea incidentelorPlanificarea incidentelor, răspuns, colectarea dovezilor, lecții învățateFlux de raportare conform NIS2, ciclul de viață al incidentelor TIC conform DORAJurnal al incidentelor, matrice de severitate, șabloane de notificare, rapoarte privind cauza principală, înregistrări ale exercițiilor
Continuitatea activității și recuperarePregătire TIC, backup-uri, securitate în cazul perturbărilorBackup și managementul crizelor conform NIS2, continuitate și recuperare conform DORABIA, planuri de continuitate, teste de backup, înregistrări RTO și RPO, test de comunicare de criză
Riscul asociat furnizorilor și terților TICAcorduri cu furnizorii, lanț de aprovizionare TIC, achiziție și ieșire cloudSecuritatea lanțului de aprovizionare conform NIS2, registru al terților TIC și clauze contractuale conform DORAVerificarea prealabilă a furnizorilor, contracte, drepturi de audit, planuri de ieșire, analiza riscului de concentrare
Dezvoltare securizată și vulnerabilitățiAchiziție securizată, dezvoltare, schimbare, managementul vulnerabilitățilorGestionarea vulnerabilităților conform NIS2, aplicarea patch-urilor și testare conform DORAScanări de vulnerabilitate, SLA-uri de remediere, tichete de schimbare, revizuirea codului, rapoarte de testare de penetrare
Monitorizarea conformității și acțiuni corectiveMonitorizare, audit intern, neconformitate și acțiune corectivăMăsuri corective conform NIS2, audit și urmărirea remedierii conform DORARapoarte de audit, registru CAPA, tablou de bord KPI, acțiuni rezultate din analiza efectuată de management

Această structură transformă fiecare domeniu de audit într-un obiect comun de asigurare. Auditorul intern testează cerința ISO 27001, apoi consemnează dacă aceeași dovadă susține și așteptările NIS2, DORA, GDPR, NIST CSF și COBIT 2019.

Planificați anul în jurul riscului, nu al documentelor

Zenith Blueprint oferă echipelor o succesiune practică pentru transformarea auditului în îmbunătățire:

  • Pasul 25, Program de audit intern: planificați domeniul de aplicare, frecvența, independența și prioritățile bazate pe risc.
  • Pasul 26, Execuția auditului: colectați dovezi obiective prin interviuri, revizuirea documentelor, observare și eșantionare.
  • Pasul 27, Constatări de audit, analiză și cauză principală: clasificați constatările și identificați cauza principală.
  • Pasul 28, Analiza efectuată de management: includeți rezultatele auditului, incidentele, neconformitățile, obiectivele, riscurile și nevoile de resurse în analiza conducerii.
  • Pasul 29, Îmbunătățire continuă: construiți acțiuni corective care elimină cauzele, nu doar simptomele.

Zenith Blueprint este explicit privind independența:

În mod ideal, auditorul intern nu ar trebui să își auditeze propria activitate.

Din faza Audit, analiză și îmbunătățire, pasul 25: Program de audit intern.

Pentru o companie SaaS sau fintech mai mică, acest lucru poate însemna solicitarea unui manager dintr-o altă funcție să auditeze procesele de securitate, rotirea responsabililor de control sau utilizarea unui consultant extern. Esențial este să se documenteze competența și independența, mai ales atunci când dovezile NIS2 și DORA pot fi ulterior revizuite de clienți, autorități de reglementare, organisme de supraveghere sau auditori externi.

Politica de audit și monitorizare a conformității pentru IMM-uri definește și structura minimă de audit:

Fiecare audit trebuie să includă un domeniu de aplicare definit, obiective, personal responsabil și dovezile necesare.

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.2.3.

O structură trimestrială practică pentru un furnizor SaaS sau TIC cu creștere rapidă ar putea fi:

TrimestruFocalizare principală a audituluiAccent de reglementareRezultate principale
Q1Gestionarea și raportarea incidentelorNIS2 Article 23, DORA Articles 17 to 19Raport de audit al incidentelor, test al fluxului de notificare, revizuirea matricei de severitate
Q2Managementul riscului asociat terților TICNIS2 Article 21, DORA Articles 28 to 30Eșantion de furnizori, revizuire contractuală, dovezi de verificare prealabilă, revizuirea planificării ieșirii
Q3Continuitatea activității și testarea reziliențeiNIS2 Article 21, DORA Articles 11, 12, 24 to 27Dovezi de restaurare a backup-urilor, exercițiu de continuitate, remedierea constatărilor din testul de reziliență
Q4Guvernanță, risc și conformitateNIS2 Article 20, DORA Articles 5 și 6, ISO 27001 Clauses 5, 9 și 10Pachet pentru analiza efectuată de management, stare CAPA, decizii privind riscul rezidual, plan de audit pentru anul următor

Aceasta nu înlocuiește colectarea lunară a dovezilor. Oferă anului un ritm clar de asigurare.

Eșantionarea: câte dovezi sunt suficiente?

Eșantionarea este punctul în care multe audituri interne devin fie prea superficiale, fie prea costisitoare. În mediile TIC reglementate, eșantionarea trebuie să fie bazată pe risc, explicabilă și documentată.

Zenith Blueprint, pasul 26, oferă principiul practic:

Eșantionați și efectuați verificări punctuale: nu puteți verifica totul, așadar utilizați eșantionarea.

Din faza Audit, analiză și îmbunătățire, pasul 26: Execuția auditului.

Politica enterprise a Clarysec face acest lucru verificabil prin audit:

Documentarea strategiei de eșantionare, a domeniului de aplicare al auditului și a limitărilor

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.5.3.

Pentru NIS2 și DORA, eșantionarea ar trebui să ia în considerare criticitatea, riscul, importanța furnizorului, perioada de timp, istoricul incidentelor, geografia și dacă procesul eșantionat susține funcții critice sau importante.

Zonă de controlPopulațieEșantion sugeratAjustare bazată pe risc
Alocarea accesuluiToate conturile noi de utilizator din trimestru10 conturi sau 10%, oricare este mai mareIncludeți toate conturile privilegiate și administratorii aplicațiilor critice
Eliminarea accesului la plecareToți utilizatorii ale căror relații au încetat în trimestru100% pentru utilizatorii privilegiați, 10 utilizatori standardCreșteți eșantionul dacă integrarea HR sau IAM s-a schimbat
Verificarea prealabilă a furnizorilorFurnizori TIC activiToți furnizorii critici, 5 furnizori cu risc mediu, 3 furnizori cu risc redusIncludeți furnizorii care susțin clienți financiari sau servicii esențiale
Remedierea vulnerabilitățilorConstatări critice și ridicate închise în trimestru15 tichete din mai multe sistemeIncludeți sisteme expuse la internet și excepții repetate
Gestionarea incidentelorToate incidentele de securitate din trimestruToate incidentele majore, 5 incidente minore, 3 exemple de triaj fals pozitivIncludeți incidente cu date cu caracter personal, impact asupra clienților sau relevanță transfrontalieră
Restaurarea backup-urilorTeste de backup efectuate în trimestruToate testele pentru sisteme critice, 3 sisteme necriticeIncludeți sisteme care susțin funcții critice sau importante
Managementul schimbărilorModificări de producție din trimestru15 modificări, inclusiv schimbări de urgențăIncludeți modificări care afectează autentificarea, jurnalizarea, criptarea sau datele clienților
Instruire de securitateAngajați și contractori activi în perioadă20 de utilizatori din mai multe departamenteIncludeți membri ai organului de conducere și roluri tehnice privilegiate

Pentru mediile afectate de DORA, dovezile de testare merită atenție specială. DORA impune testarea rezilienței operaționale digitale pentru entitățile financiare, cu testări mai avansate, precum testarea de penetrare bazată pe amenințări pentru entități selectate cel puțin o dată la trei ani. Eșantionul de audit ar trebui să includă nu doar rapoarte de testare, ci și dovezi că constatările au fost prioritizate, remediate și retestate.

Exemplu practic de audit: riscul asociat terților TIC

Securitatea furnizorilor este adesea cea mai rapidă modalitate de a expune lacunele dintre documentație și realitatea operațională. DORA Articles 28 to 30 impun managementul riscului asociat terților TIC, conținut contractual și registre de informații. NIS2 Article 21 impune securitatea lanțului de aprovizionare, care ia în considerare vulnerabilitățile și practicile furnizorilor direcți.

Pentru un audit Q2, Sarah eșantionează cinci furnizori critici, trei furnizori noi integrați în ultimele șase luni și doi furnizori cu contracte reînnoite recent. Auditorul intervievează achizițiile, departamentul juridic, responsabilii de servicii și responsabilii controalelor de securitate.

Cerință DORA sau NIS2Ancoră de control ISO 27001:2022Întrebare de auditDovezi de colectat
DORA Article 28, registru al terților TICA.5.19 Securitatea informației în relațiile cu furnizoriiExistă un registru complet și actualizat al aranjamentelor cu furnizorii terți TIC?Registrul furnizorilor activ și înregistrări eșantionate ale furnizorilor critici
DORA Article 28, evaluare a riscurilor precontractualăA.5.19 Securitatea informației în relațiile cu furnizoriiA fost efectuată verificarea prealabilă înainte de semnarea sau reînnoirea contractelor cu furnizorii?Rapoarte de verificare prealabilă, evaluări de risc și înregistrări de aprobare
DORA Article 30, conținut contractualA.5.20 Abordarea securității informației în acordurile cu furnizoriiContractele includ măsuri de securitate, drepturi de audit, asistență pentru incidente și suport la încetare, acolo unde este necesar?Contracte, acte adiționale, anexe de securitate și note de revizuire juridică
NIS2 Article 21, securitatea lanțului de aprovizionareA.5.21 Managementul securității informației în lanțul de aprovizionare TICSunt înțelese practicile de securitate ale furnizorilor, subcontractarea și dependențele de servicii?Chestionare de furnizori, declarații privind subcontractorii și hărți ale dependențelor
Monitorizarea continuă a furnizorilorA.5.22 Monitorizarea, revizuirea și managementul schimbărilor serviciilor furnizorilorPerformanța și securitatea furnizorilor sunt revizuite în timp?Procese-verbale QBR, rapoarte SLA, rapoarte de audit și înregistrări ale revizuirilor anuale

Acest tabel face mai mult decât să ghideze colectarea dovezilor. Demonstrează că organizația a transpus textul de reglementare în criterii de audit aliniate la ISO și în dovezi concrete.

Constatări: redactați-le astfel încât managementul să poată acționa

O constatare de audit nu ar trebui să sune ca o plângere vagă. Ar trebui să fie suficient de structurată pentru ca managementul să înțeleagă riscul, să aloce responsabilitatea și să aprobe acțiunea corectivă.

Politica de audit și monitorizare a conformității pentru IMM-uri precizează:

Toate constatările de audit trebuie documentate cu ratinguri de risc și acțiuni propuse.

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.4.1.

Politica de audit și monitorizare a conformității pentru mediile enterprise adaugă disciplina acțiunilor corective:

Toate constatările trebuie să genereze o CAPA documentată care include:

Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.2.1.

În Zenith Blueprint, pasul 27 recomandă clasificarea constatărilor ca neconformități majore, neconformități minore sau observații, apoi efectuarea analizei cauzei principale. O neconformitate majoră indică o lacună gravă sau un eșec sistematic. O neconformitate minoră este o abatere izolată într-un proces altfel conform. O observație este o oportunitate de îmbunătățire.

O constatare solidă include:

  • Cerința sau așteptarea de control.
  • Situația observată.
  • Dovezile eșantionate.
  • Riscul și impactul asupra activității.
  • Relevanța de reglementare.
  • Clasificarea și ratingul de risc.
  • Cauza principală.
  • Responsabilul acțiunii corective și termenul-limită.

Exemplu de constatare:

Constatarea NC-2026-07, neconformitate minoră, întârziere în revizuirea securității furnizorilor

Cerință: Revizuirile de securitate ale furnizorilor TIC critici trebuie efectuate cel puțin anual, susținând controalele ISO 27001 privind furnizorii, așteptările NIS2 privind lanțul de aprovizionare și obligațiile DORA privind riscul asociat terților TIC.

Situație: Doi dintre cei doisprezece furnizori TIC critici nu aveau revizuirile de securitate pentru 2026 finalizate până la data obligatorie.

Dovezi: Export din registrul furnizorilor datat 15 iunie 2026, evidență de urmărire a revizuirii furnizorilor, interviu cu responsabilul de achiziții și două înregistrări de revizuire lipsă.

Risc: Revizuirea întârziată a furnizorilor poate împiedica identificarea la timp a vulnerabilităților, a modificărilor de subcontractare, a lacunelor de suport pentru incidente sau a neconformității contractuale care afectează servicii critice.

Cauză principală: Achizițiile nu au fost notificate automat la apropierea datelor de revizuire ale furnizorilor, iar responsabilitatea pentru dovezile privind furnizorii relevante pentru DORA nu a fost atribuită.

Acțiune corectivă: Configurarea reamintirilor automate de revizuire, desemnarea responsabililor nominali de control pentru toți furnizorii TIC critici, finalizarea revizuirilor restante până la 31 iulie 2026 și efectuarea de verificări trimestriale pe eșantion.

Pentru analiza cauzei principale, tehnica „5 De ce” este utilă. Dacă o evaluare precontractuală a fost omisă, cauza reală poate să nu fie o greșeală individuală. Poate fi faptul că fluxul de achiziții a permis contractelor TIC cu valoare redusă să ocolească revizuirea de securitate, deși așteptările DORA și NIS2 se aplică pe baza riscului și dependenței, nu doar a valorii cheltuielilor.

Calendarul dovezilor pentru 2026

Un calendar al dovezilor pentru 2026 transformă auditul intern într-un ritm operațional. Acesta distribuie generarea dovezilor pe parcursul anului și evită mobilizarea de la final de an.

Politica de securitate a informației de la Clarysec impune analiza guvernanței privind:

Revizuirea indicatorilor-cheie de performanță ai securității (KPI), incidentelor, constatărilor de audit și statutului riscului

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.3.2.

Dovezile nu sunt colectate doar pentru auditori. Ele alimentează deciziile privind riscul, bugetul, resursele, furnizorii, instrumentele, instruirea și acțiunile corective.

LunăFocalizare de audit și doveziDovezi-cheie generate
IanuarieConfirmarea domeniului de reglementare, a domeniului de aplicare al SMSI și a planului de audit 2026Plan de audit aprobat, revizuirea domeniului de aplicare al SMSI, evaluarea aplicabilității NIS2 și DORA, actualizarea registrului juridic
FebruarieGuvernanță, apetitul la risc și instruirea organului de conducereProcese-verbale ale consiliului, înregistrări privind instruirea, criterii de risc, registru de riscuri actualizat
MartieInventarul activelor, datelor și dependențelorExport CMDB, mapări ale fluxurilor de date, listă de servicii critice, hartă a interconexiunilor cu furnizorii TIC
AprilieAudit privind controlul accesului și MFAÎnregistrări ale revizuirii drepturilor de acces, eșantion de acces privilegiat, raport de acoperire MFA, testare a plecărilor
MaiVulnerabilități, aplicarea patch-urilor și managementul securizat al schimbărilorMetrici privind vulnerabilitățile, dovezi de remediere, eșantion de tichete de schimbare, aprobări ale excepțiilor
IunieGuvernanța furnizorilor și a serviciilor cloudEșantion de verificare prealabilă a furnizorilor, revizuirea clauzelor contractuale, drepturi de audit, planuri de ieșire, note privind riscul de concentrare
IulieExercițiu de gestionare și raportare a incidentelorSimulare de incident, clasificare a severității, test al fluxului de raportare NIS2, test de escaladare a incidentelor DORA
AugustJurnalizare, monitorizare și detecțieCazuri de utilizare SIEM, ajustarea alertelor, acoperirea monitorizării, eșantion de escaladare
SeptembrieBackup, restaurare și continuitatea activitățiiÎnregistrări ale testelor de backup, dovezi RTO și RPO, exercițiu de continuitate, test de comunicare de criză
OctombrieDezvoltare securizată și securitatea aplicațiilorDovezi SDLC, eșantion de revizuire a codului, rezultatele testelor de securitate, revizuirea dezvoltării externalizate
NoiembrieAudit intern complet al SMSI și revizuire a conformității transversaleRaport de audit intern, registru al constatărilor, mapare NIS2 și DORA, dovezi de responsabilitate GDPR
DecembrieAnaliza efectuată de management și închiderea acțiunilor corectiveProcese-verbale ale analizei efectuate de management, stare CAPA, acceptarea riscului rezidual, date de intrare pentru planul de audit 2027

Acest calendar oferă comitetului de audit un plan de asigurare orientat spre viitor și oferă responsabililor de control timp să creeze dovezi prin activități operaționale normale.

Coloana vertebrală ISO 27002:2022: 5.31, 5.35 și 5.36

Zenith Controls este ghidul de conformitate transversală al Clarysec. Acesta mapează zonele de control ISO/IEC 27001:2022 și ISO/IEC 27002:2022 la alte standarde, reglementări, așteptări de audit și tipare de dovezi. Este deosebit de util pentru conectarea revizuirii interne, a obligațiilor legale și a respectării politicilor.

Trei zone de control ISO/IEC 27002:2022 formează coloana vertebrală a unui program unificat de audit intern:

Zonă ISO 27002:2022 evidențiată în Zenith ControlsÎntrebare de auditValoare pentru NIS2 și DORA
5.31 Cerințe legale, statutare, de reglementare și contractualeȘtim ce obligații se aplică și le-am mapat la controale și dovezi?Susține aplicabilitatea NIS2, obligațiile TIC DORA, contractele cu clienții și responsabilitatea GDPR
5.35 Revizuirea independentă a securității informațieiSunt revizuirile obiective, planificate, competente și urmate de acțiuni?Susține asigurarea asupra măsurilor de securitate cibernetică, testării rezilienței TIC și supravegherii managementului
5.36 Conformitatea cu politicile, regulile și standardele pentru securitatea informațieiSunt regulile interne respectate în practică și monitorizate continuu?Susține aplicarea politicilor, igiena cibernetică, controlul accesului, pregătirea pentru incidente și acțiunea corectivă

Controlul 5.35 este piatra de temelie a asigurării, deoarece validează dacă SMSI este revizuit independent. Controlul 5.36 confirmă că politicile nu sunt doar aprobate, ci sunt efectiv respectate. Controlul 5.31 conectează SMSI la obligațiile legale, de reglementare și contractuale, inclusiv NIS2, DORA, GDPR și cerințele de securitate ale clienților.

Maparea conformității transversale: un audit, mai multe perspective de asigurare

Un dosar de lucru matur pentru audit intern ar trebui să arate explicit cum un element de dovadă susține mai multe așteptări de asigurare.

Dovadă de auditAsigurare ISO 27001Relevanță NIS2Relevanță DORARelevanță GDPR, NIST și COBIT
Registru juridic și de reglementareContext și obligații de conformitateDomeniu de aplicare, statutul entității, factori determinanți Article 21Obligații sectoriale de reziliență TICResponsabilitate GDPR, NIST CSF GOVERN, conformitate externă COBIT
Registrul de riscuri și planul de tratareEvaluarea riscurilor, tratare, Declarație de aplicabilitateMăsuri adecvate și proporționaleCadru de management al riscurilor TIC și toleranțăManagementul riscurilor NIST, optimizarea riscului COBIT
Raport de exercițiu tabletop pentru incidentePregătire pentru incidente și lecții învățatePregătirea fluxului de raportareClasificare, escaladare, raportare și cauză principalăPregătire pentru încălcări GDPR, NIST CSF RESPOND, incidente gestionate COBIT
Dosar de verificare prealabilă a furnizoruluiRelația cu furnizorul și lanțul de aprovizionare TICVulnerabilități și practici ale furnizorilorRegistru al terților TIC, verificare prealabilă, planificare a ieșiriiNIST C-SCRM, guvernanța furnizorilor COBIT
Test de restaurare a backup-urilorPregătire TIC și continuitateBackup, recuperare în caz de dezastru, managementul crizelorObiective de recuperare, restaurare și verificări de integritateDisponibilitate GDPR, NIST CSF RECOVER, continuitate COBIT
Revizuirea accesuluiControlul accesului și securitatea resurselor umaneControlul accesului și așteptări MFAPrincipiul privilegiului minim și autentificare puternicăIntegritate și confidențialitate GDPR, NIST CSF PROTECT

Acesta este ceea ce îi permite CISO să spună consiliului: „Auditul nostru privind incidentele din iulie a produs dovezi pentru ISO 27001, NIS2, asigurarea clienților DORA, pregătirea pentru încălcări GDPR, rezultatele de răspuns NIST CSF și guvernanța incidentelor COBIT.”

Analiza efectuată de management: locul în care auditul devine responsabilitate

Auditul intern are valoare redusă dacă constatările nu ajung la management. Analiza efectuată de management conform ISO 27001 oferă mecanismul, iar NIS2 și DORA fac explicită așteptarea de guvernanță.

Politica de audit și monitorizare a conformității pentru IMM-uri impune:

Constatările de audit și actualizările de stare trebuie incluse în procesul de analiză efectuată de management al SMSI.

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.4.3.

De asemenea, precizează:

GM trebuie să aprobe un plan de acțiuni corective și să urmărească implementarea acestuia.

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.4.2.

Analiza efectuată de management ar trebui să răspundă la următoarele întrebări:

  • Sunt obligațiile NIS2, DORA, GDPR și contractuale încă reflectate corect în domeniul de aplicare al SMSI?
  • Sunt controalele cu risc ridicat auditate suficient de frecvent?
  • Ce constatări indică o deficiență sistemică, nu o eroare izolată?
  • Există acțiuni corective restante?
  • Responsabilii de risc acceptă riscul rezidual în cunoștință de cauză?
  • Furnizorii, raportarea incidentelor, continuitatea și testarea sunt finanțate și susținute adecvat?
  • Tendințele de audit indică necesitatea unor modificări de politică, instrumente, buget sau instruire?

Dacă aceste răspunsuri nu sunt documentate, organizația poate avea dovezi de activitate, dar nu dovezi de guvernanță.

Capcane frecvente de evitat în 2026

Cea mai frecventă eroare este tratarea auditului intern ISO 27001 ca fiind separat de asigurarea de reglementare. Aceasta creează duplicare și zone oarbe.

Alte capcane includ:

  • Domeniul de aplicare exclude furnizori critici, platforme cloud sau servicii SOC externalizate.
  • Aplicabilitatea NIS2 sau DORA nu este documentată în registrul juridic.
  • Planul de audit nu este aprobat de management.
  • Eșantionarea este efectuată, dar nu este documentată.
  • Auditorii interni își revizuiesc propria activitate fără măsuri de atenuare.
  • Constatările descriu simptomele, dar nu cauzele principale.
  • Acțiunile corective actualizează documente, dar nu repară procese.
  • Analiza efectuată de management primește rezultatele auditului, dar nu ia decizii.
  • Exercițiile de incidente testează răspunsul tehnic, dar nu notificarea de reglementare.
  • Auditurile furnizorilor revizuiesc chestionare, dar nu contracte, planuri de ieșire sau risc de concentrare.
  • Dovezile de backup arată sarcini finalizate cu succes, dar nu integritatea restaurării.
  • Revizuirile drepturilor de acces sunt efectuate, dar excepțiile nu sunt urmărite până la închidere.

Fiecare capcană poate deveni o neconformitate minoră sau majoră, în funcție de severitate și impact sistemic. Mai important, fiecare slăbește capacitatea organizației de a demonstra reziliența în cadrul NIS2, DORA și al verificărilor clienților.

Transformați planul de audit 2026 într-un motor de dovezi

Dacă programul dvs. de audit intern este încă un singur eveniment anual, acum este momentul să îl reproiectați.

Începeți cu un plan de audit aprobat de management. Definiți domeniul de aplicare al SMSI în jurul serviciilor reale, al obligațiilor reglementate și al dependențelor de terți. Construiți un univers de audit bazat pe risc. Documentați eșantionarea. Clasificați consecvent constatările. Utilizați analiza cauzei principale. Urmăriți CAPA. Includeți rezultatele în analiza efectuată de management. Mențineți un calendar lunar al dovezilor.

Clarysec vă poate ajuta să avansați mai rapid cu:

Alegeți un domeniu cu risc ridicat, cum ar fi raportarea incidentelor sau guvernanța furnizorilor TIC, și desfășurați un audit intern focalizat utilizând structura Clarysec pentru domeniu de aplicare, eșantionare și constatări. Într-un singur ciclu, veți ști dacă dovezile dvs. sunt pregătite pentru audit, dacă funcționează controalele și dacă organul de conducere are informațiile necesare pentru a guverna riscul cibernetic.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Foaie de parcurs DORA 2026 pentru riscurile TIC, furnizori și TLPT

Foaie de parcurs DORA 2026 pentru riscurile TIC, furnizori și TLPT

O foaie de parcurs DORA 2026 practică și pregătită pentru audit pentru entitățile financiare care implementează managementul riscurilor TIC, supravegherea terților, raportarea incidentelor, testarea rezilienței operaționale și TLPT utilizând politicile Clarysec, Zenith Blueprint și Zenith Controls.

Dovezi de audit ISO 27001 pentru NIS2 și DORA

Dovezi de audit ISO 27001 pentru NIS2 și DORA

Aflați cum să utilizați auditul intern și analiza efectuată de management ISO/IEC 27001:2022 ca mecanism unificat de generare a dovezilor pentru NIS2, DORA, GDPR, riscurile asociate furnizorilor, programele de asigurare solicitate de clienți și responsabilitatea consiliului de administrație.