Maparea NIS2 2024/2690 la ISO 27001 pentru furnizorii de servicii cloud
La ora 08:17, într-o zi de marți, Maria, CISO-ul unui furnizor european de servicii administrate, primește alerta de care se tem toți furnizorii MSP. Un cont privilegiat de administrare la distanță a declanșat alerte de autentificare din locații imposibile. Doi tenanți ai clienților indică acțiuni administrative anormale. SOC-ul a deschis deja un canal critic de coordonare a incidentului.
Până la ora 09:00, CEO-ul se alătură apelului. Întrebările se schimbă imediat.
Intrăm în domeniul de aplicare al NIS2? Ni se aplică Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei? Avem nevoie de o avertizare timpurie în 24 de ore? Ce clienți trebuie notificați? Putem demonstra că MFA, jurnalizarea, segmentarea, managementul vulnerabilităților, controalele furnizorilor și escaladarea incidentelor funcționau înainte de incident?
Compania Mariei este certificată ISO/IEC 27001:2022. Aceasta furnizează management cloud, servicii de centre de date și suport de securitate administrată pentru clienți care includ un furnizor de logistică și o bancă regională. Certificatul contează, dar nu răspunde singur la întrebările operaționale. Echipa juridică are un proces de notificare în proiect. Managerul de conformitate are un tabel. Auditorul a solicitat Declarația de aplicabilitate, testarea răspunsului la incidente, jurnale de acces privilegiat, due diligence-ul furnizorilor, dovezi privind responsabilitatea partajată în cloud și ipotezele privind continuitatea activității.
Acesta este momentul în care NIS2 încetează să mai fie un text juridic și devine o problemă operațională de control.
Pentru furnizorii de servicii de cloud computing, furnizorii de servicii administrate, furnizorii de servicii de securitate administrate și furnizorii de centre de date, NIS2 și Regulamentul de punere în aplicare 2024/2690 ridică standardul de la o intenție generală de securitate la dovezi de control verificabile. Guvernanța, managementul riscurilor, controlul accesului, managementul activelor, tratarea vulnerabilităților, răspunsul la incidente, securitatea furnizorilor, jurnalizarea, monitorizarea, criptarea, continuitatea activității și reziliența fizică trebuie să funcționeze ca un singur sistem.
ISO/IEC 27001:2022 este cea mai bună coloană vertebrală pentru acest sistem, dar numai dacă organizația mapează cerințele NIS2 în SMSI, registrul de riscuri, Declarația de aplicabilitate, politici și modelul de dovezi. Un certificat pe perete nu este suficient. Activitatea reală constă în construirea unui fir verificabil de la reglementare la risc, de la risc la control, de la control la politică și de la politică la dovezi operaționale.
De ce NIS2 2024/2690 schimbă discuția despre conformitatea cloud și MSP
NIS2 utilizează un model bazat pe sector și dimensiune, însă categoriile sale de infrastructură digitală și management al serviciilor TIC sunt intenționat largi. În temeiul NIS2 Article 2 și Article 3, coroborate cu Anexa I și Anexa II, multe organizații pot fi clasificate drept entități esențiale sau importante, inclusiv furnizori de servicii de cloud computing, furnizori de servicii de centre de date, furnizori de servicii administrate, furnizori de servicii de securitate administrate, furnizori DNS, registre TLD, rețele de livrare de conținut și prestatori de servicii de încredere. Statele membre trebuie să stabilească și să revizuiască periodic listele entităților esențiale și importante, primul termen pentru listă fiind stabilit la 17 aprilie 2025.
Acest lucru este important deoarece furnizorii de servicii cloud, MSP, MSSP și furnizorii de centre de date se află în lanțurile de risc ale altor organizații. O compromitere a planului de control cloud poate afecta mii de sisteme ale clienților. O indisponibilitate a centrului de date poate produce efecte în cascadă în sectorul bancar, sănătate, logistică și administrația publică. O compromitere a credențialelor unui MSP poate deveni un eveniment ransomware cu impact asupra mai multor clienți. Un eșec de detecție la nivelul unui MSSP poate întârzia izolarea incidentului la clienți reglementați.
NIS2 Article 20 impune organelor de conducere să aprobe măsurile de management al riscurilor de securitate cibernetică și să supravegheze implementarea. Article 21 impune măsuri tehnice, operaționale și organizatorice adecvate și proporționale, bazate pe o abordare care acoperă toate riscurile. Cerințele de bază includ analiza riscului, managementul incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, achiziția și dezvoltarea securizate, tratarea și divulgarea vulnerabilităților, evaluarea eficacității, igiena cibernetică, instruirea, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor, MFA sau autentificare continuă, comunicații securizate și comunicații de urgență.
Article 23 adaugă raportarea etapizată a incidentelor semnificative, inclusiv o avertizare timpurie în termen de 24 de ore, notificarea incidentului în termen de 72 de ore, rapoarte intermediare la cerere și un raport final în termen de o lună de la notificare sau după gestionarea incidentului, dacă incidentul este în curs.
Regulamentul de punere în aplicare 2024/2690 concretizează aceste așteptări pentru furnizorii digitali relevanți. În practică, autoritățile, clienții și auditorii nu vor întreba doar dacă există politici. Vor întreba dacă respectivele controale sunt mapate, deținute, testate și susținute prin dovezi.
ISO/IEC 27001:2022 transformă NIS2 în context operațional al SMSI
O greșeală frecventă în pregătirea pentru NIS2 este pornirea de la o listă extinsă de verificare și repartizarea sarcinilor între IT, juridic, SOC, infrastructură, managementul furnizorilor și conformitate. Aceasta poate genera activitate, dar deseori eșuează la audit deoarece nimeni nu poate arăta de ce au fost selectate controalele, cum se raportează ele la risc, cine a acceptat riscul rezidual și ce dovezi demonstrează eficacitatea.
ISO/IEC 27001:2022 oferă furnizorilor structura necesară pentru a evita acest eșec.
Clauzele 4.1 până la 4.4 impun organizației să determine aspectele interne și externe, să identifice părțile interesate și cerințele acestora, să decidă care cerințe vor fi abordate prin SMSI și să definească domeniul de aplicare al SMSI, inclusiv interfețele și dependențele. Pentru un furnizor cloud sau MSP, domeniul de aplicare ar trebui să ia în considerare explicit NIS2, Regulamentul de punere în aplicare 2024/2690, anexele de securitate ale clienților, cerințele clienților determinate de DORA, regiunile cloud, subcontractorii, dependențele de centre de date, platformele de administrare la distanță, căile de acces privilegiat și obligațiile de notificare a incidentelor.
Clauzele 5.1 până la 5.3 impun leadership, alinierea politicilor, resurse, comunicare, responsabilități atribuite și răspundere managerială. Acest lucru susține direct NIS2 Article 20.
Clauzele 6.1.1 până la 6.1.3 impun evaluarea riscurilor, tratamentul riscului, proprietari de risc, analiza probabilității și consecințelor, selectarea controalelor, comparația cu Anexa A, o Declarație de aplicabilitate, un Plan de tratare a riscurilor și acceptarea formală a riscului rezidual. Aici NIS2 devine operațională. Fiecare cerință de reglementare devine factor de risc, obligație de conformitate, cerință de control sau cerință de dovezi.
Clarysec începe această activitate cu Zenith Blueprint: Foaia de parcurs în 30 de pași a auditorului Zenith Blueprint, în special faza Managementul riscurilor.
Începând cu Pasul 13, Planificarea tratării riscurilor și Declarația de aplicabilitate, Zenith Blueprint instruiește echipele să construiască trasabilitate între riscuri, controale și factori de reglementare:
„Referințe încrucișate la reglementări: dacă anumite controale sunt implementate în mod specific pentru a respecta GDPR, NIS2 sau DORA, puteți nota acest lucru fie în Registrul de riscuri, fie în notele SoA. De exemplu, controlul 8.27 (ștergerea securizată a datelor) poate fi foarte relevant pentru cerința GDPR de eliminare a datelor cu caracter personal; puteți nota «Aplicabil – susține GDPR Art.32 (securitatea prelucrării)». Acest lucru nu este cerut de ISO, dar ajută la demonstrarea faptului că ați luat în considerare aceste cadre.”
Pasul 14, Politici de tratare a riscurilor și referințe încrucișate la reglementări, adaugă disciplina practică de mapare:
„Pentru fiecare reglementare, dacă este aplicabil, puteți crea un tabel simplu de mapare care enumeră cerințele-cheie de securitate ale reglementării și controalele/politicile corespunzătoare din SMSI. Acest lucru nu este obligatoriu în ISO 27001, dar este un exercițiu intern util pentru a vă asigura că nimic nu a fost omis.”
Aceasta este diferența dintre a spune „suntem certificați ISO” și a demonstra „SMSI-ul nostru ISO/IEC 27001:2022 abordează Regulamentul de punere în aplicare NIS2 2024/2690”.
Mapare unificată a controalelor NIS2 la ISO/IEC 27001:2022
Următoarea mapare nu este consultanță juridică și nu înlocuiește analiza transpunerii naționale. Este o arhitectură practică de control pentru furnizorii care au nevoie de o cale ISO/IEC 27001:2022 verificabilă către pregătirea pentru NIS2.
| Tema NIS2 și a Regulamentului de punere în aplicare | Mecanism SMSI ISO/IEC 27001:2022 | Zone-cheie de control din Anexa A | Dovezi de implementare Clarysec |
|---|---|---|---|
| Guvernanță și responsabilitate managerială | Clauzele 4, 5, 6 și 9 definesc contextul, leadershipul, planificarea riscurilor și revizuirea performanței | 5.1 Politici de securitate a informației, 5.2 Roluri și responsabilități privind securitatea informației, 5.31 Cerințe legale, statutare, de reglementare și contractuale | Domeniul de aplicare al SMSI, registrul părților interesate, aprobarea consiliului de administrație, registrul de riscuri, SoA, procese-verbale ale revizuirilor de management |
| Guvernanța serviciilor cloud | Evaluarea riscurilor, due diligence-ul furnizorilor, responsabilitatea partajată și selectarea controalelor | 5.23 Securitatea informației pentru utilizarea serviciilor cloud, 5.19 Securitatea informației în relațiile cu furnizorii, 5.22 Monitorizarea, revizuirea și managementul schimbărilor privind serviciile furnizorilor | Inventar cloud, evaluarea riscului furnizorului, matricea responsabilității partajate, clauze contractuale, dovezi de jurnalizare cloud |
| Acces privilegiat MSP și MSSP | Tratarea riscului pentru mediile clienților, platformele administrative și instrumentele de suport | 5.15 Controlul accesului, 5.16 Managementul identității, 5.18 Drepturi de acces, 8.2 Drepturi de acces privilegiat, 8.5 Autentificare securizată | Înregistrări PAM, rapoarte MFA, jurnale de acces la distanță, configurație de gateway bastion sau Zero Trust, revizuirea drepturilor de acces |
| Reziliența centrului de date | Analiza impactului asupra activității, planificarea continuității și managementul dependențelor | 5.30 Pregătirea TIC pentru continuitatea activității, 7.1 Perimetre de securitate fizică, 7.2 Intrare fizică, 8.13 Backup al informațiilor, 8.14 Redundanță | BIA, înregistrări RTO și RPO, raport de test DR, jurnale de acces fizic, dovezi de testare pentru energie și răcire |
| Raportarea și escaladarea incidentelor | Proces de incident corelat cu declanșatori legali, contractuali și de notificare a clienților | 5.24 Planificarea și pregătirea managementului incidentelor de securitate a informației, 5.25 Evaluarea și decizia asupra evenimentelor de securitate a informației, 5.26 Răspuns la incidentele de securitate a informației, 5.27 Învățare din incidentele de securitate a informației | Playbook de avertizare timpurie în 24 de ore, flux de notificare în 72 de ore, registru al incidentelor, analiză post-incident |
| Tratarea și divulgarea vulnerabilităților | Tratarea vulnerabilităților pe baza riscului, managementul excepțiilor și evaluarea eficacității | 8.8 Managementul vulnerabilităților tehnice, 8.9 Managementul configurației, 8.32 Managementul schimbărilor, 8.16 Activități de monitorizare | Rezultate de scanare, SLA-uri de remediere, aprobări ale excepțiilor, rapoarte de patch-uri, informații privind amenințările |
| Securitatea lanțului de aprovizionare | Cerințe ale părților interesate și riscuri asociate furnizorilor integrate în SMSI | 5.19 Securitatea informației în relațiile cu furnizorii, 5.20 Abordarea securității informației în acordurile cu furnizorii, 5.21 Managementul securității informației în lanțul de aprovizionare TIC, 5.22 Monitorizarea, revizuirea și managementul schimbărilor privind serviciile furnizorilor | Încadrare pe niveluri a furnizorilor, chestionare de due diligence, clauze contractuale, drepturi de audit, registru al subcontractorilor, planuri de ieșire |
| Jurnalizare, monitorizare și investigație | Detecție, dovezi, corelare temporală și suport pentru incidente | 8.15 Jurnalizare, 8.16 Activități de monitorizare, 8.17 Sincronizarea ceasului, 5.25 Evaluarea și decizia asupra evenimentelor de securitate a informației | Hartă de acoperire SIEM, dovadă privind păstrarea jurnalelor, înregistrări de ajustare a alertelor, înregistrări de sincronizare a ceasului, dovezi de corelare a incidentelor |
| Izolarea rețelei și a tenanților | Arhitectură securizată, segmentare și căi administrative restricționate | 8.20 Securitatea rețelei, 8.22 Separarea rețelelor, 8.23 Filtrare web, 8.24 Utilizarea criptografiei | Diagrame de rețea, reguli de firewall, grupuri de securitate cloud, reguli VPC sau de subrețea, rezultate ale testelor de segmentare |
Această mapare devine puternică atunci când este integrată în registrul de riscuri și în Declarația de aplicabilitate. De exemplu, un furnizor poate crea un scenariu de risc numit „Compromiterea platformei de administrare la distanță duce la acțiuni neautorizate în mediile clienților”. Controalele includ MFA, managementul accesului privilegiat, segmentarea, jurnalizarea, managementul vulnerabilităților, securitatea furnizorilor, planificarea incidentelor și procedurile de notificare a clienților. Notele SoA pot face trimitere la NIS2 Article 21, Article 23, Regulamentul de punere în aplicare 2024/2690, contractele cu clienții și cerințele de due diligence ale clienților DORA, după caz.
Guvernanța cloud: controlul ISO 5.23 este un reper NIS2
Pentru furnizorii cloud și MSP care utilizează servicii cloud pentru a livra servicii clienților, controlul 5.23 din Anexa A ISO/IEC 27001:2022, Securitatea informației pentru utilizarea serviciilor cloud, este unul dintre cele mai importante repere.
Zenith Controls: Ghidul de conformitate transversală Zenith Controls sintetizează controlul 5.23 ca un control preventiv care susține confidențialitatea, integritatea și disponibilitatea, corelat cu securitatea relațiilor cu furnizorii, guvernanța, riscul de ecosistem și protecția. Acesta acoperă guvernanța serviciilor cloud, responsabilitatea partajată, evaluarea furnizorului, inventarele, localizarea datelor, jurnalizarea, criptarea, rolurile de identitate, monitorizarea, clauzele contractuale, riscul asociat furnizorilor, ieșirea din cloud și planificarea rezilienței.
Zenith Blueprint, în faza Controale în acțiune, Pasul 23, explică motivul practic:
„Cloud-ul nu mai este o destinație, este opțiunea implicită. Controlul 5.23 recunoaște această realitate și impune ca securitatea informației să fie abordată explicit în selectarea, utilizarea și managementul serviciilor cloud, nu ca o idee ulterioară, ci ca principiu de proiectare încă de la început.”
Pentru un MSP, fiecare platformă de monitorizare și administrare la distanță, portal pentru clienți, instrument de ticketing, platformă de telemetrie de securitate, serviciu de backup, director cloud și consolă administrativă SaaS trebuie guvernate. Pentru un furnizor de centre de date, guvernanța cloud se poate aplica platformelor de monitorizare, sistemelor de management al vizitatorilor, integrărilor de control al accesului fizic, sistemelor de administrare la distanță și infrastructurii portalurilor pentru clienți.
Politica de utilizare a serviciilor cloud Enterprise de la Clarysec Politica de utilizare a serviciilor cloud face obligatoriu due diligence-ul înainte de activare:
„Toate utilizările serviciilor cloud trebuie să treacă printr-un due diligence bazat pe risc înainte de activare, inclusiv evaluarea furnizorului, validarea conformității legale și revizuiri de validare a controalelor.”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.2.
Pentru furnizorii mai mici, Cloud Usage Policy-sme Cloud Usage Policy-sme - SME creează un model de aprobare simplificat:
„Toate utilizările serviciilor cloud trebuie revizuite și aprobate de directorul general (GM) înainte de implementare sau abonare.”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.1.
Ambele abordări susțin aceeași așteptare NIS2: riscul de dependență de cloud trebuie înțeles înainte ca serviciul să devină parte a lanțului de livrare.
Răspunsul la incidente: ceasul de 24 de ore pornește înainte de redactarea raportului
NIS2 Article 23 este strict deoarece termenul de raportare începe de la momentul luării la cunoștință a unui incident semnificativ, nu din momentul în care este disponibilă o analiză perfectă a cauzei principale. Provocarea pentru furnizori este să determine rapid dacă un eveniment este semnificativ, care clienți sunt afectați, dacă sunt implicate date cu caracter personal, dacă există impact transfrontalier asupra serviciului și ce termene contractuale au început să curgă.
Controlul 5.24 din Anexa A ISO/IEC 27001:2022, Planificarea și pregătirea managementului incidentelor de securitate a informației, este controlul de planificare. Zenith Controls îl sintetizează ca un control corectiv care susține confidențialitatea, integritatea și disponibilitatea, corelat cu conceptele de răspuns și recuperare, guvernanță, managementul evenimentelor și apărare. Include roluri, responsabilități, căi de escaladare, protocoale de comunicare, pregătire pentru notificări de reglementare, aliniere cu jurnalizarea și monitorizarea, integrare cu continuitatea activității și recuperarea în caz de dezastru, învățare post-incident și mapare la NIS2, GDPR, DORA, ISO 22301, NIST CSF, NIST SP 800-53 și COBIT 2019.
Incident Response Policy-sme de la Clarysec Incident Response Policy-sme - SME transformă prima decizie într-o cerință limitată în timp:
„Directorul general, cu contribuția furnizorului IT, trebuie să clasifice toate incidentele în funcție de severitate în termen de o oră de la notificare.”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.3.1.
Această clasificare într-o oră susține disciplina operațională necesară pentru analiza avertizării timpurii NIS2 în 24 de ore, evaluarea încălcării datelor cu caracter personal conform GDPR, escaladarea către clienți conform DORA și triajul notificărilor contractuale.
Arborele decizional al unui furnizor pentru incidente ar trebui să răspundă la patru întrebări:
- Există o compromitere confirmată sau suspectată a confidențialității, integrității sau disponibilității?
- Evenimentul afectează furnizarea serviciului, mediile clienților, clienți reglementați, date cu caracter personal sau funcții critice?
- Ar putea cauza perturbări operaționale grave, pierderi financiare sau prejudicii materiale ori nemateriale?
- Ce obligații de notificare se aplică: NIS2, GDPR, obligații ale clienților DORA, SLA-uri contractuale sau așteptări ale autorităților naționale de reglementare?
Arborele decizional trebuie testat în exerciții de tip tabletop înainte de un incident real.
Managementul vulnerabilităților: demonstrați reducerea riscului înainte de impact
NIS2 impune tratarea și divulgarea vulnerabilităților. Pentru clienți și autorități de reglementare, managementul vulnerabilităților este una dintre cele mai ușor de măsurat zone de control, deoarece produce dovezi clare: acoperirea scanării, termene de aplicare a patch-urilor, aprobări ale excepțiilor, analiza vulnerabilităților exploatate și înregistrări de remediere.
Controlul 8.8 din Anexa A ISO/IEC 27001:2022, Managementul vulnerabilităților tehnice, este sintetizat în Zenith Controls ca un control preventiv care acoperă confidențialitatea, integritatea și disponibilitatea, corelat cu identificarea și protecția, managementul amenințărilor și vulnerabilităților, guvernanța, ecosistemul, protecția și apărarea. Include identificarea, evaluarea, prioritizarea vulnerabilităților, aplicarea patch-urilor, controale compensatorii, integrarea informațiilor privind amenințările, divulgarea vulnerabilităților, responsabilități privind vulnerabilitățile cloud și ale aplicațiilor, dovezi de audit și termene de remediere.
Politica de management al vulnerabilităților și al patch-urilor Enterprise de la Clarysec Politica de management al vulnerabilităților și al patch-urilor oferă auditorilor un model concret de testat:
„Organizația trebuie să clasifice toate vulnerabilitățile detectate utilizând o metodologie standardizată (de exemplu, CVSS v3.x) și să aplice termene de remediere aliniate cu criticitatea pentru activitate: 5.2.1 Critic (CVSS 9.0-10.0): revizuire imediată; termen maxim de aplicare a patch-ului de 72 de ore. 5.2.2 Ridicat (7.0-8.9): răspuns în termen de 48 de ore; termen de aplicare a patch-ului de 7 zile calendaristice. 5.2.3 Mediu (4.0-6.9): răspuns în termen de 5 zile; termen de aplicare a patch-ului de 30 de zile calendaristice. 5.2.4 Scăzut (<4.0): răspuns în termen de 10 zile; termen de aplicare a patch-ului de 60 de zile calendaristice.”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.2.
Pentru un furnizor cloud, aceasta trebuie să acopere componentele hypervisorului, imaginile de containere, straturile de orchestrare, API-urile destinate clienților, fluxurile de integrare și livrare continuă (CI/CD), consolele administrative și bibliotecile terțe. Pentru un MSP, întrebarea-cheie este dacă vulnerabilitățile interne sunt separate de vulnerabilitățile gestionate de clienți și dacă responsabilitatea este definită contractual. Pentru un furnizor de centre de date, domeniul de aplicare poate include sistemele de management al clădirii, sistemele de control al accesului, platformele de monitorizare, instrumentele de intervenție la fața locului și infrastructura de rețea.
Modelul de responsabilitate partajată trebuie documentat. Un furnizor poate să nu dețină fiecare patch, dar trebuie totuși să gestioneze riscul, să notifice clientul unde este cazul și să demonstreze că limitele responsabilității sunt înțelese.
Jurnalizarea, monitorizarea și segmentarea fac incidentele investigabile
Atunci când un incident al furnizorului ajunge să afecteze clienții, primele întrebări privind dovezile sunt simple: cine s-a autentificat, de unde, cu ce privilegiu, în ce tenant, ce s-a modificat, ce jurnale există și dacă traseele administrative au fost segmentate.
Politica de jurnalizare și monitorizare Enterprise de la Clarysec Politica de jurnalizare și monitorizare impune sistemelor acoperite să genereze jurnalele necesare echipelor de răspuns și auditorilor:
„Toate sistemele acoperite trebuie să genereze jurnale care capturează: 6.1.1.1 Autentificarea utilizatorului și tentativele de acces 6.1.1.2 Activitățile utilizatorilor privilegiați 6.1.1.3 Schimbările de configurație 6.1.1.4 Tentativele de acces eșuate sau evenimentele de sistem 6.1.1.5 Detecțiile de programe malware și alertele de securitate 6.1.1.6 Comunicările externe și declanșatoarele regulilor de firewall”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.1.1.
Pentru IMM-urile care se bazează pe furnizori externi, Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme - SME adaugă o cerință contractuală:
„Contractele trebuie să impună furnizorilor să păstreze jurnalele timp de cel puțin 12 luni și să ofere acces la cerere.”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.5.1.3.
Segmentarea este la fel de importantă. Network Security Policy-sme Network Security Policy-sme - SME prevede:
„Rețelele interne trebuie segmentate după funcție (de exemplu, financiar, oaspeți, IoT, sisteme administrative).”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.2.1.
Zenith Blueprint, în faza Controale în acțiune, Pasul 20, oferă procedura practică de audit pentru arhitectura de rețea și segmentare. Aceasta instruiește echipele să revizuiască și să documenteze dispunerea rețelei, să verifice regulile de firewall, configurațiile IPS/IDS și accesul la distanță, să confirme că grupurile de securitate cloud și regulile VPC sau de subrețea corespund arhitecturii intenționate, să listeze serviciile de rețea interne și externe și să valideze că sistemele sensibile nu sunt accesibile din VLAN-uri generale de utilizatori sau din rețele pentru oaspeți.
Pentru un MSP, instrumentele de administrare la distanță nu trebuie să fie conectate plat la rețeaua de birou. Pentru un furnizor de centre de date, interfețele de management pentru energie, răcire, controlul accesului și servicii de rețea ale clienților ar trebui izolate și monitorizate. Pentru un furnizor cloud, accesul la planul de control ar trebui restricționat prin identitate, rețea, starea de securitate a dispozitivului și controale ale fluxurilor de lucru privilegiate.
Securitatea furnizorilor: furnizorul este și client
Furnizorii cloud, MSP, MSSP și de centre de date sunt furnizori pentru clienți reglementați, dar sunt și clienți ai furnizorilor de software, operatorilor telecom, furnizorilor de identitate, platformelor SaaS, furnizorilor de hardware, subcontractorilor și operatorilor de infrastructură.
NIS2 face din securitatea lanțului de aprovizionare o cerință de bază. DORA, care se aplică de la 17 ianuarie 2025, plasează managementul riscurilor asociate terților TIC în centrul cerințelor pentru entitățile financiare. NIS2 Article 4 și considerentul 28 recunosc DORA ca act juridic sectorial specific al Uniunii pentru entitățile financiare acolo unde cerințele se suprapun. Acest lucru nu reduce presiunea asupra furnizorilor cloud și MSP. O crește, deoarece clienții financiari introduc în contractele cu furnizorii cerințe contractuale de nivel DORA, drepturi de audit, testarea rezilienței, strategii de ieșire și așteptări privind raportarea incidentelor.
Politica de securitate privind terții și furnizorii Enterprise de la Clarysec Politica de securitate privind terții și furnizorii impune acces controlat al terților:
„Tot accesul terților trebuie jurnalizat și monitorizat și, acolo unde este fezabil, segmentat prin gazde bastion, VPN-uri sau gateway-uri Zero Trust.”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.3.2.
Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy-sme - SME exprimă principiul privilegiului minim în termeni direcți:
„Furnizorilor trebuie să li se acorde acces numai la sistemele și datele minime necesare pentru a-și îndeplini funcția.”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.2.1.
Aceste clauze se mapează natural la controalele 5.19, 5.20, 5.21 și 5.22 din Anexa A ISO/IEC 27001:2022. Ele susțin, de asemenea, guvernanța persoanei împuternicite și a persoanei subîmputernicite conform GDPR, revizuirile riscurilor asociate terților conform DORA și chestionarele de audit ale clienților.
Continuitatea activității și reziliența centrului de date: demonstrați ipotezele
NIS2 Article 21 include continuitatea activității, managementul backup-ului, recuperarea în caz de dezastru și managementul crizelor. DORA Articles 11 până la 14 impun politici de continuitate a activității TIC, planuri de răspuns și recuperare, analiza impactului asupra activității, politici de backup, proceduri de restaurare, obiective de recuperare, testare, analize post-incident și comunicări de criză pentru entitățile financiare.
Pentru furnizorii cloud și de centre de date, continuitatea nu este un dosar. Este arhitectură, capacitate, contracte, dependențe, dovezi de restaurare și ipoteze testate.
Business Continuity Policy and Disaster Recovery Policy Enterprise de la Clarysec Business Continuity Policy and Disaster Recovery Policy impune BIA anuală și revizuire după schimbări semnificative:
„Analiza impactului asupra activității (BIA) trebuie efectuată cel puțin anual pentru toate unitățile de business critice și revizuită la schimbări semnificative ale sistemelor, proceselor sau dependențelor. Rezultatele BIA trebuie să definească: 5.2.1. perioada maximă de indisponibilitate tolerabilă (MTD) 5.2.2. obiective privind timpul de recuperare (RTO) 5.2.3. obiective privind punctul de recuperare (RPO) 5.2.4. dependențe critice (sisteme, furnizori, personal)”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.2.
Într-un scenariu de centru de date, BIA ar trebui să acopere alimentările electrice, UPS-urile, generatoarele, contractele de combustibil, răcirea, stingerea incendiilor, operatorii de rețea, sistemele de acces fizic, intervențiile la fața locului, monitorizarea, hardware-ul de rezervă și canalele de comunicare cu clienții. Într-un scenariu cloud, ar trebui să acopere regiunile, zonele de disponibilitate, replicarea, imutabilitatea backup-urilor, dependențele de identitate, DNS, autorități de certificare, gateway-uri API și sisteme de suport. Într-un scenariu MSP, ar trebui să acopere instrumentele de administrare la distanță, seifurile pentru acces privilegiat, consolele EDR, ticketingul, depozitele de documentație și comunicațiile de urgență.
ISO 22301 poate consolida disciplina de management al continuității activității, iar ISO/IEC 27005:2022 susține criteriile de risc, planificarea tratamentului, monitorizarea, dovezile și îmbunătățirea continuă. Acest lucru este util deoarece pregătirea pentru NIS2 impune organizației să consolideze factorii juridici, contractuali, operaționali, de furnizor, tehnologici, financiari, de proces și umani într-un singur proces de risc.
Trasabilitate practică a riscului pentru compromiterea accesului la distanță la un MSP
Un atelier practic poate începe cu un scenariu:
„Compromiterea accesului privilegiat la distanță duce la acces neautorizat la sistemele clienților, perturbarea serviciului, posibilă expunere a datelor cu caracter personal și obligații de notificare reglementară.”
Creați un rând în registrul de riscuri și completați trasabilitatea.
| Câmp | Exemplu de intrare |
|---|---|
| Proprietar de risc | Responsabilul serviciilor administrate |
| Active și procese | Platformă de administrare la distanță, conturi administrative ale clienților, seif privilegiat, ticketing, SIEM, mediile clienților |
| Eveniment de amenințare | Furt de credențiale, oboseală MFA, furt de token, vulnerabilitate RMM exploatată, insider malițios |
| Impact | Compromiterea clientului, indisponibilitatea serviciului, încălcare contractuală, incident semnificativ NIS2, încălcarea securității datelor cu caracter personal conform GDPR, escaladare către client conform DORA |
| Controale existente | MFA, PAM, principiul privilegiului minim, segmentare, jurnalizare, scanări de vulnerabilitate, planul de răspuns la incidente |
| Tratament necesar | Întărirea accesului condiționat, impunerea administrării just-in-time, îmbunătățirea izolării tenanților, creșterea perioadei de păstrare a jurnalelor, testarea playbook-ului de notificare |
| Dovezi ISO/IEC 27001:2022 | Evaluarea riscurilor, SoA, revizuirea drepturilor de acces, mostre de jurnale, rapoarte de vulnerabilitate, exercițiu de tip tabletop, revizuire de management |
| Mapare NIS2 | Article 21 privind managementul riscurilor și Article 23 privind raportarea incidentelor, plus măsuri operaționale din Regulamentul de punere în aplicare |
| Mapare client | Notificare contractuală, drepturi de audit, anexă de securitate, chestionare aliniate DORA, acolo unde este cazul |
| Decizia privind riscul rezidual | Acceptat de proprietarul de risc după tratament, revizuit trimestrial |
Apoi actualizați Declarația de aplicabilitate. Pentru fiecare control relevant din Anexa A, explicați de ce se aplică și ce temă NIS2 susține. În final, colectați dovezile înainte de audit: rapoarte de aplicare MFA, liste de conturi privilegiate, setări de păstrare a jurnalelor, starea patch-urilor RMM, alerte SIEM, înregistrări de clasificare a incidentelor, aprobări ale accesului furnizorilor și rezultate tabletop.
Cum vor testa auditori diferiți același mediu de control
Un SMSI integrat trebuie să satisfacă perspective diferite de asigurare fără a crea pachete separate de dovezi pentru fiecare cadru.
| Perspectiva auditorului | Pe ce se va concentra | Dovezi solicitate în mod tipic |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Dacă cerințele NIS2, DORA și GDPR sunt reflectate în context, domeniu de aplicare, evaluarea riscurilor, SoA, audit intern și revizuire de management | Domeniul de aplicare al SMSI, registrul părților interesate, metodologia de risc, registrul de riscuri, SoA, plan de tratament, politici, raport de audit intern, revizuire de management |
| Autoritate competentă NIS2 sau evaluator delegat | Dacă măsurile de management al riscurilor de securitate cibernetică sunt adecvate și proporționale și dacă raportarea incidentelor semnificative este operațională | Mapare NIS2, procedură de clasificare a incidentelor, flux de 24 de ore și 72 de ore, supravegherea consiliului de administrație, dovezi de control tehnic, dovezi privind securitatea furnizorilor |
| Evaluator al clientului DORA | Dacă riscul asociat terților TIC, testarea rezilienței, raportarea incidentelor, drepturile de audit și planificarea ieșirii îndeplinesc așteptările sectorului financiar | Clauze contractuale, registru al subcontractorilor, teste de reziliență, SLA-uri de incident, plan de ieșire, rapoarte de audit, suport privind riscul de concentrare |
| Auditor GDPR sau revizuire DPO | Dacă riscul de încălcare a securității datelor cu caracter personal, obligațiile persoanei împuternicite, confidențialitatea, integritatea și responsabilitatea sunt abordate | Evidențe ale activităților de prelucrare, termeni DPA, flux de evaluare a încălcărilor, jurnale de acces, dovezi de criptare, controale de retenție și ștergere |
| Evaluator orientat NIST | Dacă sunt implementate și măsurate capabilitățile de identificare, protecție, detecție, răspuns și recuperare | Inventarul activelor, controale de acces, date de vulnerabilitate, acoperire SIEM, playbook-uri de răspuns, teste de recuperare, metrici |
| Auditor COBIT 2019 sau ISACA | Dacă sunt stabilite obiectivele de guvernanță, responsabilitățile, deținerea riscului, monitorizarea controalelor și procesele de asigurare | Mandate de guvernanță, RACI, apetitul la risc, deținerea controlului, raportare KPI/KRI, plan de asigurare, urmărirea acțiunilor corective |
Aici Zenith Controls ajută ca ghid de conformitate transversală. Pentru controale precum 5.23, 5.24 și 8.8, acesta conectează așteptările de control ISO/IEC 27001:2022 cu temele NIS2, GDPR, DORA, NIST SP 800-53, COBIT 2019, NIST CSF și ISO 22301. Scopul nu este crearea unor programe de conformitate separate. Scopul este o singură arhitectură de dovezi etichetată după control, risc, factor de reglementare și proprietar.
Modelul de implementare Clarysec
Pentru furnizorii cloud, MSP, MSSP și de centre de date, activitatea ar trebui să avanseze pe cinci niveluri.
Mai întâi, confirmați domeniul de aplicare. Determinați dacă organizația și serviciile intră în domeniul de aplicare al NIS2, ce reguli ale statelor membre se aplică, dacă Regulamentul de punere în aplicare 2024/2690 se aplică categoriei furnizorului și dacă clienții impun DORA, GDPR, NIST sau obligații sectoriale specifice.
În al doilea rând, construiți contextul SMSI. În temeiul clauzelor 4 și 5 din ISO/IEC 27001:2022, identificați părțile interesate, obligațiile legale, angajamentele față de clienți, dependențele de furnizori, limitele serviciilor și responsabilitățile de management.
În al treilea rând, efectuați evaluarea riscurilor și tratamentul riscului utilizând principiile ISO/IEC 27005:2022. Consolidați NIS2, DORA, GDPR, contractele, politicile interne și riscurile serviciilor într-un singur registru de cerințe de bază. Definiți criteriile de risc, proprietarii, probabilitatea, impactul, opțiunile de tratament, alegerile de control și aprobările riscului rezidual.
În al patrulea rând, mapați controalele în Declarația de aplicabilitate. Utilizați Pașii 13 și 14 din Zenith Blueprint pentru a trasa riscurile către controalele din Anexa A și așteptările de reglementare. Utilizați Zenith Controls pentru a înțelege cum controale precum 5.23, 5.24, 8.8, 5.20 și 5.30 se mapează între cadre și perspective de audit.
În al cincilea rând, operaționalizați dovezile. Politicile nu sunt suficiente. Biblioteca de politici Clarysec oferă cerințe aplicabile pentru aprobarea cloud, accesul furnizorilor, jurnalizare, remedierea vulnerabilităților, segmentarea rețelei, clasificarea incidentelor și planificarea continuității. Pachetul de dovezi demonstrează că aceste cerințe funcționează.
Pasul următor: transformați presiunea NIS2 în reziliență pregătită pentru audit
Regulamentul de punere în aplicare NIS2 2024/2690 nu cere haos. Cere trasabilitate, responsabilitate asumată și dovezi.
Dacă sunteți furnizor de servicii cloud, MSP, MSSP sau operator de centru de date, începeți cu serviciile, clienții, dependențele, scenariile de incident și obligațiile de dovezi. Apoi derulați un exercițiu structurat de mapare NIS2 la ISO/IEC 27001:2022:
- Confirmați dacă entitatea și serviciile dumneavoastră intră în domeniul de aplicare.
- Mapați temele NIS2 și ale Regulamentului de punere în aplicare în domeniul de aplicare al SMSI.
- Actualizați registrul de riscuri și Declarația de aplicabilitate.
- Aplicați politicile Clarysec pentru utilizarea serviciilor cloud, securitatea furnizorilor, jurnalizare, managementul vulnerabilităților, răspuns la incidente, securitatea rețelei și continuitate.
- Utilizați Zenith Blueprint Zenith Blueprint Pașii 13, 14, 20 și 23 pentru a crea trasabilitate și dovezi operaționale.
- Utilizați Zenith Controls Zenith Controls pentru a mapa transversal controalele ISO/IEC 27001:2022 la așteptările NIS2, DORA, GDPR, NIST și COBIT 2019.
- Testați dovezile printr-o simulare de audit înainte ca un client, o autoritate de reglementare sau un auditor de certificare să le solicite.
Clarysec vă poate ajuta să depășiți conformitatea bazată pe liste de verificare și să construiți un SMSI integrat care rezistă presiunii NIS2, DORA, GDPR și auditurilor clienților. Descărcați seturile de instrumente Clarysec relevante, programați un atelier de mapare sau solicitați o evaluare a pregătirii pentru audit pentru a transforma complexitatea reglementară în guvernanță de securitate defensabilă și reziliență operațională.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
