Dovezi privind igiena cibernetică NIS2 mapate la ISO 27001
Este ora 08:40 într-o zi de luni. Sarah, CISO al unui furnizor B2B SaaS aflat în creștere rapidă, intră în apelul conducerii așteptând o revizuire de rutină a acțiunilor deschise privind riscurile. În schimb, consilierul juridic general deschide discuția cu o întrebare mult mai directă:
„Dacă autoritatea națională competentă ne cere mâine să demonstrăm igiena cibernetică și instruirea în securitate cibernetică prevăzute de NIS2 Article 21, ce transmitem concret?”
Directorul de resurse umane spune că fiecare angajat a finalizat instruirea anuală de conștientizare. Managerul SOC spune că simulările de phishing se îmbunătățesc. Responsabilul de operațiuni IT spune că MFA este aplicată, backup-urile sunt testate, iar aplicarea patch-urilor este urmărită. Managerul de conformitate spune că dosarul de audit ISO/IEC 27001:2022 conține înregistrări de instruire, dar echipa proiectului DORA are propriile dovezi privind instruirea de reziliență, iar dosarul GDPR conține jurnale separate de conștientizare privind confidențialitatea.
Toată lumea a lucrat. Nimeni nu este sigur că dovezile spun o poveste coerentă.
Aceasta este problema reală a NIS2 Article 21 pentru entitățile esențiale și importante. Cerința nu se limitează la „instruirea utilizatorilor”. Article 21 impune măsuri tehnice, operaționale și organizaționale adecvate și proporționale pentru gestionarea riscului cibernetic. Setul minim de controale include igienă cibernetică și instruire în securitate cibernetică, dar și gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, gestionarea vulnerabilităților, criptografie, securitatea resurselor umane, controlul accesului, managementul activelor, MFA sau autentificare continuă, comunicații securizate și proceduri de evaluare a eficacității.
Igiena cibernetică nu este o campanie de conștientizare. Este disciplina operațională zilnică ce conectează oamenii, controalele, dovezile și responsabilitatea managementului.
Pentru CISO, manageri de conformitate, MSP, furnizori SaaS, operatori cloud și furnizori de servicii digitale, răspunsul practic nu este crearea unui „proiect de instruire NIS2” separat. Abordarea mai solidă este construirea unui singur lanț de dovezi pregătit pentru audit în cadrul unui SMSI ISO/IEC 27001:2022, susținut de practicile de control ISO/IEC 27002:2022, gestionat pe bază de risc prin ISO/IEC 27005:2022 și corelat cu NIS2, DORA, GDPR, asigurare de tip NIST și așteptările de guvernanță COBIT 2019.
De ce NIS2 Article 21 transformă instruirea în dovadă pentru organul de conducere
NIS2 se aplică multor entități medii și mari din sectoarele Anexa I și Anexa II care furnizează servicii sau desfășoară activități în Uniune. Pentru companiile de tehnologie, domeniul de aplicare poate fi mai larg decât anticipează multe echipe de conducere. Anexa I acoperă infrastructura digitală, inclusiv furnizori de servicii de cloud computing, furnizori de servicii de centre de date, furnizori de rețele de distribuție a conținutului, furnizori de servicii de încredere, furnizori de servicii DNS și registre TLD. Anexa I acoperă și managementul serviciilor TIC B2B, inclusiv furnizori de servicii administrate și furnizori de servicii de securitate administrate. Anexa II include furnizori digitali precum piețe online, motoare de căutare online și platforme de servicii de rețele sociale.
Unele entități pot intra în domeniul de aplicare indiferent de dimensiune, inclusiv anumiți furnizori de servicii DNS și registre TLD. Deciziile naționale privind criticitatea pot include în domeniul de aplicare și furnizori mai mici, atunci când o perturbare ar putea afecta siguranța publică, riscul sistemic sau serviciile esențiale.
Article 21(1) impune entităților esențiale și importante să implementeze măsuri tehnice, operaționale și organizaționale adecvate și proporționale pentru gestionarea riscurilor la adresa rețelelor și sistemelor informatice utilizate pentru operațiuni sau pentru furnizarea serviciilor și pentru prevenirea ori minimizarea impactului incidentelor. Article 21(2) enumeră măsurile minime, inclusiv politici privind analiza riscurilor și securitatea sistemelor informatice, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, achiziția și mentenanța securizate, evaluarea eficacității, practici de bază de igienă cibernetică și instruire în securitate cibernetică, criptografie, securitatea resurselor umane, controlul accesului, managementul activelor și MFA sau autentificare continuă, acolo unde este adecvat.
Article 20 ridică nivelul de responsabilitate. Organele de conducere trebuie să aprobe măsurile de management al riscurilor de securitate cibernetică, să supravegheze implementarea și pot fi trase la răspundere pentru încălcări. Membrii organelor de conducere trebuie să urmeze instruire, iar entitățile sunt încurajate să ofere angajaților instruire periodică similară, astfel încât aceștia să poată identifica riscurile, să evalueze practicile de management al riscurilor de securitate cibernetică și să înțeleagă impactul acestora asupra serviciilor.
Article 34 adaugă presiune financiară. Încălcările Article 21 sau Article 23 pot declanșa amenzi administrative de cel puțin 10.000.000 EUR sau 2% din cifra de afaceri anuală mondială pentru entitățile esențiale și de cel puțin 7.000.000 EUR sau 1,4% pentru entitățile importante, aplicându-se valoarea cea mai mare.
De aceea, „am derulat instruirea anuală de conștientizare” nu este suficient. O autoritate de reglementare, un auditor ISO, un evaluator de securitate al clientului sau un asigurător cibernetic va aștepta dovezi că instruirea este bazată pe roluri, bazată pe risc, actuală, măsurată, conectată la incidente și înțeleasă de management.
Politica privind conștientizarea și instruirea în domeniul securității informației pentru organizații enterprise a Clarysec, clauza 5.1.1.3, impune ca instruirea să:
Acopere subiecte precum phishing, igiena parolelor, raportarea și managementul incidentelor, securitatea fizică, protecția datelor și minimizarea datelor
Aceeași politică, clauza 8.3.1.1, identifică linia de dovezi pe care auditorii o solicită, de regulă, prima:
Înregistrări privind atribuirea instruirii, confirmarea de luare la cunoștință și finalizarea
Pentru IMM-uri, Politica privind conștientizarea și instruirea în domeniul securității informației - IMM de la Clarysec, clauza 8.4.1, este și mai directă privind verificabilitatea în audit:
Înregistrările privind instruirea fac obiectul auditului intern și al revizuirii externe. Înregistrările trebuie să fie exacte, complete și demonstrabile la cerere (de exemplu, pentru certificare ISO, audit GDPR sau validare de asigurare).
Această frază surprinde diferența dintre conștientizare ca activitate de resurse umane și conștientizare ca control de conformitate. Dacă înregistrările sunt incomplete, neverificabile sau nu sunt asociate riscului aferent rolului, controlul poate exista operațional, dar poate eșua în audit.
Utilizați ISO/IEC 27001:2022 ca structură centrală a dovezilor
ISO/IEC 27001:2022 este coloana vertebrală naturală pentru NIS2 Article 21, deoarece obligă organizația să definească domeniul de aplicare, părțile interesate, riscurile, controalele, obiectivele, dovezile, auditul intern, revizuirea de management și îmbunătățirea continuă.
Clauzele 4.1 până la 4.4 impun organizației să înțeleagă aspectele interne și externe, să determine părțile interesate și cerințele acestora, să definească domeniul de aplicare al SMSI, să ia în considerare interfețele și dependențele cu activitățile desfășurate de alte organizații și să mențină SMSI ca set de procese care interacționează. Pentru un furnizor SaaS sau MSP, domeniul de aplicare al SMSI trebuie să includă explicit obligațiile NIS2, obligațiile contractuale ale clienților, dependențele față de furnizorii cloud, acoperirea SOC externalizat, rolurile de prelucrare a datelor și angajamentele privind disponibilitatea serviciilor.
Clauzele 5.1 până la 5.3 introduc responsabilitatea de guvernanță. Conducerea de vârf trebuie să alinieze politica și obiectivele de securitate a informației cu direcția strategică, să integreze cerințele SMSI în procesele de afaceri, să furnizeze resurse, să atribuie responsabilități și să asigure raportarea performanței. Aceasta se aliniază direct cu NIS2 Article 20, unde organele de conducere aprobă și supraveghează măsurile de management al riscurilor de securitate cibernetică.
Clauzele 6.1.1 până la 6.1.3 și 6.2 transformă așteptările legale în tratamentul riscului. Organizația trebuie să planifice acțiuni pentru riscuri și oportunități, să opereze un proces repetabil de evaluare a riscurilor de securitate a informației, să determine proprietari de risc, să selecteze opțiuni de tratare a riscului, să compare controalele cu Anexa A, să creeze o Declarație de aplicabilitate, să formuleze un Plan de tratare a riscurilor, să obțină aprobarea proprietarului de risc și să stabilească obiective de securitate măsurabile.
Aici NIS2 Article 21 devine gestionabil. Nu aveți nevoie de un program de conștientizare NIS2 deconectat. Aveți nevoie de o narațiune mapată la risc și control.
| Aria cerinței NIS2 | Mecanism de dovezi ISO/IEC 27001:2022 | Dovezi practice |
|---|---|---|
| Aprobarea și supravegherea de către management | Clauzele 5.1, 5.3, 9.3 | Procese-verbale ale organului de conducere, pachet de revizuire de management, atribuiri de roluri, aprobări bugetare |
| Igienă cibernetică și instruire | Clauza 7.2, Clauza 7.3, controale din Anexa A privind personalul și tehnologia | Plan de instruire, exporturi LMS, matrice de roluri, rezultate phishing, confirmări de luare la cunoștință a politicilor |
| Analiza riscurilor și politica de securitate | Clauzele 6.1.2, 6.1.3, 6.2 | evaluarea riscurilor, Plan de tratare a riscurilor, Declarație de aplicabilitate, obiective de securitate |
| Evaluarea eficacității | Clauzele 9.1, 9.2, 10.2 | KPI, rezultate ale auditului intern, acțiuni corective, rezultate ale testării controalelor |
| Gestionarea incidentelor și pregătire pentru raportare | Controale din Anexa A privind gestionarea incidentelor | runbook-uri de incidente, jurnale de escaladare, rapoarte tabletop, înregistrări privind păstrarea dovezilor |
| Lanț de aprovizionare și dependență cloud | Controale din Anexa A privind furnizorii și serviciile cloud | Registrul furnizorilor, verificare prealabilă, contracte, planuri de ieșire, revizuiri ale serviciilor |
| Acces, managementul activelor și MFA | Controale din Anexa A privind accesul, activele și identitatea | Inventarul activelor, revizuirea drepturilor de acces, rapoarte MFA, dovezi privind accesul privilegiat |
Clauzele 8.1 până la 8.3, 9.1 până la 9.3 și 10.1 până la 10.2 completează bucla operațională. Acestea impun control operațional planificat, reevaluarea riscurilor, implementarea planurilor de tratare a riscurilor, monitorizare și măsurare, audit intern, revizuire de management, îmbunătățire continuă și acțiune corectivă. ISO/IEC 27001:2022 devine motorul de dovezi pentru NIS2 Article 21, nu doar o insignă de certificare.
Traduceți igiena cibernetică în ancore de control ISO
„Igiena cibernetică” este intenționat largă. Pentru auditori, trebuie transpusă în controale specifice și testabile. Clarysec începe, de regulă, dovezile privind igiena cibernetică NIS2 Article 21 cu trei ancore practice de control din ISO/IEC 27002:2022, interpretate prin Zenith Controls: Ghidul de conformitate transversală.
Prima ancoră este controlul ISO/IEC 27002:2022 6.3, conștientizare, educație și instruire în domeniul securității informației. În Zenith Controls, 6.3 este tratat ca un control preventiv care susține confidențialitatea, integritatea și disponibilitatea. Capabilitatea sa operațională este securitatea resurselor umane, iar conceptul său de securitate cibernetică este protecția. Aceasta încadrează conștientizarea ca un control de protecție, nu ca un exercițiu de comunicare.
Zenith Controls arată și cum 6.3 depinde de alte controale și le consolidează. Este legat de 5.2 roluri și responsabilități privind securitatea informației, deoarece instruirea trebuie să reflecte responsabilitățile atribuite. Este legat de 6.8 raportarea evenimentelor de securitate a informației, deoarece personalul nu poate raporta ceea ce nu recunoaște. Este legat de 8.16 activități de monitorizare, deoarece analiștii SOC și personalul operațional au nevoie de instruire pentru a recunoaște anomaliile și a urma protocoalele de răspuns. Este legat de 5.36 conformitatea cu politicile, regulile și standardele pentru securitatea informației, deoarece politicile funcționează numai când oamenii le înțeleg.
Așa cum afirmă Zenith Controls pentru controlul ISO/IEC 27002:2022 6.3:
Conformitatea depinde de conștientizare. 6.3 asigură că angajații cunosc politicile de securitate și își înțeleg responsabilitatea personală de a le respecta. Educația și instruirea periodică atenuează riscul încălcărilor neintenționate ale politicilor cauzate de necunoaștere.
A doua ancoră este controlul ISO/IEC 27002:2022 5.10, utilizarea acceptabilă a informațiilor și a altor active asociate. Igiena cibernetică depinde de înțelegerea de către oameni a ceea ce pot face cu endpoint-uri, unități cloud, instrumente SaaS, platforme de colaborare, medii amovibile, date de producție, date de test și instrumente bazate pe IA. Zenith Controls mapează 5.10 ca un control preventiv în zona managementului activelor și a protecției informațiilor. În practică, dovezile privind utilizarea acceptabilă nu înseamnă doar o politică semnată. Ele includ dovada că politica acoperă patrimoniul real de active, că procesul de integrare include confirmarea de luare la cunoștință, că monitorizarea susține aplicarea și că excepțiile sunt gestionate.
A treia ancoră este controlul ISO/IEC 27002:2022 5.36, conformitatea cu politicile, regulile și standardele pentru securitatea informației. Aceasta este puntea de audit. Zenith Controls mapează 5.36 ca un control preventiv de guvernanță și asigurare. Este legat de 5.1 politici pentru securitatea informației, 6.4 proces disciplinar, 5.35 revizuire independentă a securității informației, 5.2 roluri și responsabilități, 5.25 evaluare și decizie privind evenimentele de securitate a informației, 8.15 jurnalizare, 8.16 activități de monitorizare și 5.33 protecția înregistrărilor.
Pentru NIS2 Article 21, acest aspect este esențial. Autoritățile de reglementare și auditorii nu întreabă doar dacă există o politică. Ei întreabă dacă respectarea este monitorizată, încălcările sunt detectate, dovezile sunt protejate, acțiunile corective sunt realizate, iar managementul vede rezultatele.
Construiți un pachet de dovezi privind igiena cibernetică și instruirea NIS2
Să considerăm un furnizor SaaS de dimensiune medie care se pregătește atât pentru pregătirea NIS2, cât și pentru un audit de supraveghere ISO/IEC 27001:2022. Organizația are 310 angajați, inclusiv dezvoltatori, SRE, agenți de suport, personal de vânzări, contractori și executivi. Furnizează servicii de fluxuri de lucru în cloud pentru clienți din UE și se bazează pe un furnizor cloud hyperscale, două platforme de identitate, un furnizor MDR externalizat și mai multe instrumente de suport subcontractate.
Managerul de conformitate are exporturi de instruire din LMS, dar acestea nu sunt mapate la NIS2 Article 21, controale ISO, roluri de business sau scenarii de risc. Un sprint practic de remediere produce un pachet de dovezi privind igiena cibernetică și instruirea, cu șase componente.
| Componentă de dovezi | Ce demonstrează | Proprietar | Test de audit |
|---|---|---|---|
| Matrice de instruire bazată pe roluri | Instruirea este corelată cu responsabilitățile și expunerea la risc | Manager SMSI și resurse umane | Eșantionarea rolurilor și verificarea atribuirii modulelor obligatorii |
| Plan anual de instruire | Competența și conștientizarea sunt planificate, nu ad-hoc | Manager SMSI | Verificarea datelor, subiectelor, audienței, aprobării și țintelor de finalizare |
| Export LMS privind finalizarea | Personalul a finalizat instruirea atribuită | Resurse umane sau People Ops | Reconcilierea listei de angajați cu raportul de finalizare, intrări și plecări |
| Raport de simulare phishing | Eficacitatea conștientizării este măsurată | Centrul de operațiuni de securitate | Revizuirea rezultatelor campaniei, a utilizatorilor care dau clic repetat și a instruirii remediale |
| Jurnal de confirmare de luare la cunoștință a politicilor | Personalul a acceptat regulile și responsabilitățile | Resurse umane și conformitate | Confirmarea luării la cunoștință a politicilor de securitate, utilizare acceptabilă și raportare a incidentelor |
| Rezumat al revizuirii de management | Conducerea supraveghează tendințele și acțiunile corective | CISO și sponsor executiv | Verificarea faptului că procesele-verbale includ metrici, excepții, riscuri și decizii |
Elementul-cheie este trasabilitatea.
Porniți de la NIS2 Article 21(2)(g), practici de bază de igienă cibernetică și instruire în securitate cibernetică. Conectați-l la clauzele ISO/IEC 27001:2022 7.2 și 7.3 pentru competență și conștientizare, la clauzele 9.1 și 9.2 pentru monitorizare și audit și la controale din Anexa A, inclusiv conștientizare, utilizare acceptabilă, managementul vulnerabilităților, managementul configurației, backup-uri, jurnalizare, monitorizare, criptografie, controlul accesului și gestionarea incidentelor. Apoi conectați dovezile la Registrul de riscuri.
| Grup de roluri | Risc de igienă cibernetică NIS2 | Instruire obligatorie | Dovezi |
|---|---|---|---|
| Toți angajații | Phishing, parole slabe, raportare deficitară a incidentelor, gestionare necorespunzătoare a datelor | instruire de securitate de bază, igiena parolelor, MFA, protecția datelor, raportarea incidentelor | Finalizare LMS, scor la test de evaluare, confirmare de luare la cunoștință a politicii |
| Executivi | Acceptarea riscului, răspundere juridică, decizii de criză, supravegherea raportării | Obligații de guvernanță, responsabilități de management NIS2, escaladarea incidentelor, apetitul la risc | Participare la atelier executiv, pachet pentru organul de conducere, jurnal de decizii |
| Dezvoltatori | Vulnerabilități, cod nesigur, expunerea secretelor, date de test nesigure | Programare securizată, managementul dependențelor, divulgarea vulnerabilităților, minimizarea datelor | Înregistrare de instruire, listă de verificare SDLC securizat, eșantioane de revizuire a codului |
| SRE și operațiuni IT | Configurare greșită, întârziere la patch-uri, eșec de backup, lacune de jurnalizare | Managementul patch-urilor, configurare securizată, restaurarea backup-urilor, monitorizare, răspuns la incidente | Raport de patch, test de backup, dovezi de alertă SIEM, raport tabletop |
| Suport clienți | Inginerie socială, divulgare neautorizată, încălcare a confidențialității | Verificarea identității digitale, gestionarea datelor, escaladare, raportarea încălcărilor | Revizuirea drepturilor de acces CRM, înregistrare de instruire, eșantion QA suport |
| Contractori cu acces | Obligații neclare, acces neadministrat, scurgere de date | Integrare de securitate condensată, utilizare acceptabilă, rută de raportare | Confirmare contractor, aprobarea accesului, dovezi de încetare a colaborării |
Politica privind conștientizarea și instruirea în domeniul securității informației pentru organizații enterprise susține această structură. Clauza 5.1.2.4 include explicit subiecte de instruire pentru executivi:
Executivi (de exemplu, guvernanță, acceptarea riscului, obligații legale)
Această linie contează potrivit NIS2 Article 20 deoarece instruirea managementului nu este opțională. Dacă organul de conducere aprobă măsuri de management al riscurilor, dar nu poate explica acceptarea riscului, pragurile de incident sau rutinele de supraveghere, lanțul de dovezi se rupe.
Politica de securitate a informației - IMM de la Clarysec, clauza 6.4.1, arată cum igiena cibernetică devine comportament de control zilnic:
Controalele de securitate obligatorii trebuie aplicate consecvent, inclusiv backup-uri regulate, actualizări antivirus, parole puternice și eliminarea securizată a documentelor sensibile.
Aceasta este o formulare concisă pentru IMM-uri a igienei cibernetice practice. Auditorul va dori în continuare dovezi, precum rapoarte privind sarcinile de backup, acoperire EDR, configurarea parolelor sau MFA și jurnale de eliminare securizată, dar politica stabilește comportamentul așteptat.
Mapați NIS2 Article 21 la dovezi de audit
Auditorii testează funcționarea controalelor, nu sloganuri. Ei vor urmări firul logic de la cerința legală la domeniul de aplicare al SMSI, evaluarea riscurilor, Declarația de aplicabilitate, politică, procedură, dovezi și revizuirea de management.
| Aria NIS2 Article 21 | Mapare ISO/IEC 27001:2022 sau ISO/IEC 27002:2022 | Referință Clarysec | Dovezi principale de audit |
|---|---|---|---|
| Instruire în securitate cibernetică | Clauza 7.2, Clauza 7.3, A.6.3 conștientizare, educație și instruire în securitatea informației | Politica privind conștientizarea și instruirea în domeniul securității informației | Politică de instruire, plan anual, înregistrări LMS, rezultate phishing, listă de verificare pentru integrare, procese-verbale privind instruirea organului de conducere |
| Comportament acceptabil de igienă cibernetică | A.5.10 utilizarea acceptabilă a informațiilor și a altor active asociate | Politica de securitate a informației - IMM | Confirmare de utilizare acceptabilă, înregistrări de integrare, înregistrări de excepții, dovezi de monitorizare |
| Igiena vulnerabilităților și a patch-urilor | A.8.8 managementul vulnerabilităților tehnice | Zenith Blueprint Step 19 | Scanări de vulnerabilitate, rapoarte de patch, tichete de remediere, înregistrări de acceptare a riscului |
| Configurare securizată | A.8.9 managementul configurației | Zenith Blueprint Step 19 | Configurații de referință securizate, revizuiri de configurare, aprobări de schimbare, rapoarte de abateri de la configurația de referință |
| Reziliență și recuperare | A.8.13 backupul informațiilor | Politica de securitate a informației - IMM | Jurnale de backup, teste de restaurare, revizuiri ale eșecurilor de backup, dovezi de recuperare |
| Detecție și răspuns | A.8.15 jurnalizare, A.8.16 activități de monitorizare, A.6.8 raportarea evenimentelor de securitate a informației | Zenith Controls | Alerte SIEM, proceduri de monitorizare, instruire privind raportarea incidentelor, rezultate tabletop |
| Protecție criptografică | A.8.24 utilizarea criptografiei | ISO/IEC 27001:2022 Anexa A | Standarde de criptare, dovezi de management al cheilor, configurație TLS, rapoarte privind criptarea stocării |
| Integritatea dovezilor | A.5.33 protecția înregistrărilor | Zenith Controls | Dosare de audit controlate, marcaje temporale de export, reguli de retenție, jurnale de acces |
O autoritate de reglementare poate să nu folosească terminologia ISO, dar traseul dovezilor rămâne același. Arătați că cerința este identificată, evaluată din perspectiva riscului, tratată, implementată, monitorizată, raportată managementului și îmbunătățită.
Utilizați Zenith Blueprint pentru a trece de la plan la dovezi
Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului oferă echipelor o cale practică de la intenție la dovezi. În faza ISMS Foundation & Leadership, Step 5, Communication, Awareness, and Competence, Blueprint instruiește organizațiile să identifice competențele necesare, să evalueze competențele curente, să furnizeze instruire pentru acoperirea lacunelor, să mențină înregistrări de competență și să trateze competența ca proces continuu.
Elementul de acțiune din Blueprint este intenționat operațional:
Efectuați o analiză rapidă a nevoilor de instruire. Listați rolurile-cheie SMSI (din Step 4) și, pentru fiecare, notați orice instruire sau certificare cunoscută pe care o deține, precum și ce instruire suplimentară ar putea fi utilă. Listați și subiectele generale de conștientizare a securității necesare pentru toți angajații. Pe baza acestora, redactați un Plan de instruire simplu pentru anul următor – de exemplu: „T1: conștientizare privind securitatea pentru întreg personalul; T2: instruire avansată de răspuns la incidente pentru IT; T3: instruire de auditor intern ISO 27001 pentru doi membri ai echipei; …”.
În faza Controls in Action, Step 15, People Controls I, Zenith Blueprint recomandă instruire anuală obligatorie pentru toți angajații, module specifice rolului, integrare de securitate pentru noii angajați în prima săptămână, campanii de phishing simulate, newslettere, informări de echipă, dovezi de participare, buletine de securitate țintite după amenințări emergente și instruire pentru contractori sau terți cu acces.
Step 16, People Controls II, avertizează că auditorii vor testa implementarea, nu doar documentația. Pentru lucrul la distanță, auditorii pot solicita Politica de telemuncă, dovezi privind VPN sau criptarea endpoint-urilor, implementarea MDM, restricții BYOD și înregistrări de instruire care arată măsurile de precauție pentru lucrul la distanță. Dacă munca hibridă face parte din modelul operațional, dovezile de instruire NIS2 trebuie să includă utilizarea Wi-Fi securizat, blocarea dispozitivului, stocarea aprobată, MFA și raportarea activităților suspecte din mediile de acasă.
Step 19, Technological Controls I, conectează igiena cibernetică la stratul de controale tehnice. Zenith Blueprint recomandă revizuirea rapoartelor de patch, scanări de vulnerabilitate, configurații de referință securizate, acoperire EDR, jurnale de malware, alerte DLP, restaurări de backup, dovezi de redundanță, îmbunătățiri ale jurnalizării și sincronizarea timpului. Article 21(2)(g) nu poate fi evaluat izolat. O forță de muncă instruită are în continuare nevoie de endpoint-uri cu patch-uri aplicate, jurnale monitorizate, backup-uri testate și configurații securizate.
Faceți planul de instruire bazat pe risc cu ISO/IEC 27005:2022
O slăbiciune frecventă în audit este un plan generic de instruire care arată la fel pentru dezvoltatori, financiar, suport, executivi și contractori. ISO/IEC 27005:2022 ajută la evitarea acestei slăbiciuni prin transformarea instruirii într-o parte a tratării riscului.
Clauza 6.2 recomandă identificarea cerințelor de bază ale părților interesate relevante și a statutului de conformitate, inclusiv ISO/IEC 27001:2022 Anexa A, alte standarde SMSI, cerințe sectoriale, reglementări naționale și internaționale, reguli interne de securitate, controale de securitate contractuale și controale deja implementate prin tratamente anterioare ale riscului. Aceasta susține un singur Registru al obligațiilor de conformitate, în locul unor foi de calcul separate pentru NIS2, ISO, DORA, GDPR, clienți și asigurări.
Clauzele 6.4.1 până la 6.4.3 explică faptul că acceptarea riscului și criteriile de evaluare trebuie să ia în considerare aspectele legale și de reglementare, activitățile operaționale, relațiile cu furnizorii, constrângerile tehnologice și financiare, confidențialitatea, prejudiciile reputaționale, încălcările contractuale, încălcările nivelurilor de serviciu și impactul asupra terților. Un incident de phishing care afectează un sistem intern de newsletter este diferit de compromiterea credențialelor care afectează un serviciu de securitate administrat, o platformă de suport pentru clienți, o integrare de plăți sau o operațiune DNS.
Clauzele 7.1 până la 7.2.2 impun o evaluare a riscurilor consecventă și reproductibilă, inclusiv riscuri de confidențialitate, integritate și disponibilitate, precum și proprietari de risc nominalizați. Clauzele 8.2 până la 8.6 ghidează apoi selectarea tratamentului, determinarea controalelor, compararea cu Anexa A, documentarea Declarației de aplicabilitate și detalierea planului de tratare a riscurilor.
Instruirea este un tratament, dar nu singurul. Dacă simulările repetate de phishing arată că utilizatorii din financiar sunt vulnerabili la frauda cu facturi, planul de tratare poate include instruire de reîmprospătare, un flux mai puternic de aprobare a plăților, acces condițional, monitorizarea regulilor de mailbox și exerciții executive pe scenarii de fraudă.
Clauzele 9.1, 9.2, 10.4.2, 10.5.1 și 10.5.2 subliniază reevaluarea planificată, metodele documentate, monitorizarea eficacității și actualizările atunci când apar vulnerabilități noi, active, utilizări ale tehnologiei, legi, incidente sau schimbări ale apetitului la risc. Aceasta demonstrează că organizația nu își îngheață planul de instruire o dată pe an.
Reutilizați aceleași dovezi pentru NIS2, DORA, GDPR, NIST și COBIT
Cel mai solid pachet de dovezi NIS2 trebuie să susțină mai multe conversații de asigurare.
NIS2 Article 4 recunoaște că actele juridice sectoriale ale Uniunii pot înlocui obligațiile corespondente NIS2 de management al riscurilor și raportare atunci când au un efect cel puțin echivalent. Considerentul 28 identifică DORA drept regimul sectorial pentru entitățile financiare aflate în domeniul său de aplicare. Pentru entitățile financiare acoperite, regulile DORA privind managementul riscurilor TIC, gestionarea incidentelor, testarea rezilienței, schimbul de informații și riscul TIC asociat terților se aplică în locul prevederilor NIS2 corespondente. NIS2 rămâne foarte relevant pentru entitățile din afara DORA și pentru furnizori terți de servicii TIC, cum ar fi furnizorii cloud, MSP și MSSP.
DORA consolidează aceeași logică de sistem de management. Articles 4 to 6 impun managementul riscurilor TIC proporțional, responsabilitatea organului de conducere, roluri TIC clare, strategie de reziliență operațională digitală, planuri de audit TIC, bugete și resurse de conștientizare sau instruire. Articles 8 to 13 impun identificarea activelor și dependențelor, protecție și prevenire, controale de acces, autentificare puternică, backup-uri, continuitate, răspuns și recuperare, învățare post-incident, raportare TIC către conducerea superioară și instruire obligatorie de conștientizare a securității TIC și de reziliență operațională digitală. Articles 17 to 23 impun gestionare structurată a incidentelor, clasificare, escaladare și comunicări cu clienții. Articles 24 to 30 conectează testarea cu guvernanța furnizorilor, verificarea prealabilă, contractele, drepturile de audit și strategiile de ieșire.
GDPR adaugă stratul de responsabilitate privind protecția datelor cu caracter personal. Article 5 impune integritate și confidențialitate prin măsuri tehnice și organizatorice adecvate, iar Article 5(2) impune operatorilor de date să demonstreze conformitatea. Article 6 impune un temei legal pentru prelucrare, în timp ce Articles 9 and 10 impun măsuri de protecție mai stricte pentru categorii speciale de date și date legate de infracțiuni. Pentru un furnizor SaaS, dovezile de instruire trebuie să includă confidențialitatea, minimizarea datelor, divulgarea securizată, escaladarea încălcărilor și gestionarea datelor clienților specifică rolului.
Perspectivele de audit de tip NIST și COBIT 2019 apar frecvent în programe de asigurare solicitate de clienți, audit intern și raportarea către organul de conducere. Un evaluator de tip NIST va întreba, de regulă, dacă instruirea și conștientizarea sunt bazate pe risc, bazate pe roluri, măsurate și conectate la răspunsul la incidente, identitate, managementul activelor și monitorizare continuă. Un auditor COBIT 2019 sau de tip ISACA se va concentra pe guvernanță, responsabilitate, metrici de performanță, supravegherea managementului, deținerea proceselor și alinierea cu obiectivele enterprise.
| Perspectivă de cadru | Ce interesează auditorul | Dovezi de pregătit |
|---|---|---|
| NIS2 Article 21 | Măsuri proporționale de risc cibernetic, igienă cibernetică, instruire, supravegherea managementului | Mapare Article 21, aprobare a organului de conducere, plan de instruire, indicatori-cheie de performanță privind igiena cibernetică, dovezi de pregătire pentru incidente |
| ISO/IEC 27001:2022 | Domeniul de aplicare al SMSI, tratarea riscului, competență, conștientizare, monitorizare, audit intern, îmbunătățire | Domeniu de aplicare, Registrul de riscuri, SoA, matrice de competențe, înregistrări de instruire, raport de audit, acțiuni corective |
| DORA | ciclul de viață al riscului TIC, instruire de reziliență, testare, clasificarea incidentelor, risc TIC asociat terților | cadru de management al riscurilor TIC, instruire de reziliență, rezultate ale testării, procedură de incident, Registrul furnizorilor |
| GDPR | Responsabilitate, protecția datelor, conștientizare privind încălcarea confidențialității, confidențialitate, minimizare | Instruire privind confidențialitatea, mapare a rolurilor de prelucrare, dovezi de escaladare a încălcărilor, proceduri de gestionare a datelor |
| Revizuire de tip NIST | Conștientizare bazată pe roluri, operare măsurabilă a controalelor, monitorizare, răspuns | Matrice de roluri, metrici de simulare, dovezi de acces, dovezi de jurnalizare, rezultate tabletop |
| Revizuire COBIT 2019 sau ISACA | Guvernanță, deținerea proceselor, performanță, asigurarea controalelor, raportarea managementului | RACI, tablou de bord KPI, procese-verbale de revizuire de management, program de audit intern, urmărirea remedierii |
Beneficiul practic este simplu: un singur pachet de dovezi, mai multe narațiuni de audit.
Cum vor testa auditorii același control
Un auditor ISO/IEC 27001:2022 va începe cu SMSI. Va întreba dacă cerințele de competență și conștientizare sunt determinate, dacă personalul își înțelege responsabilitățile, dacă înregistrările sunt păstrate, dacă auditurile interne testează procesul și dacă revizuirea de management ia în considerare performanța și îmbunătățirea. Poate eșantiona angajați și îi poate întreba cum raportează un incident, cum este utilizată MFA, care sunt regulile de utilizare acceptabilă sau ce trebuie făcut după primirea unui e-mail suspect.
O revizuire de supraveghere NIS2 va fi mai orientată spre rezultat și riscul asupra serviciului. Revizorul poate întreba cum reduce igiena cibernetică riscul pentru furnizarea serviciului, cum a aprobat managementul măsurile, cum este instruirea adaptată serviciilor esențiale, cum este acoperit personalul terților, cum este evaluată eficacitatea și cum ar comunica organizația amenințări cibernetice semnificative sau incidente potrivit Article 23. Deoarece Article 23 include o avertizare timpurie în termen de 24 de ore și notificarea incidentului în termen de 72 de ore pentru incidente semnificative, instruirea trebuie să includă recunoașterea și viteza de escaladare.
Un auditor DORA pentru o entitate financiară va conecta conștientizarea la reziliența operațională digitală. Poate întreba dacă instruirea de conștientizare a securității TIC și de reziliență este obligatorie, dacă raportarea TIC către conducerea superioară ajunge la organul de conducere, dacă sunt înțelese criteriile de clasificare a incidentelor, dacă au fost exersate comunicările de criză și dacă furnizorii terți participă la instruire acolo unde este relevant contractual.
Un auditor GDPR sau evaluator de confidențialitate se va concentra pe măsura în care personalul înțelege datele cu caracter personal, rolurile de prelucrare, confidențialitatea, identificarea încălcărilor, escaladarea încălcărilor, minimizarea datelor și divulgarea securizată. Va aștepta ca instruirea să difere pentru suport, resurse umane, dezvoltatori și administratori, deoarece aceste roluri creează riscuri diferite pentru confidențialitate.
Un auditor intern COBIT 2019 sau ISACA va întreba cine deține procesul, ce obiective susține, cum este măsurată performanța, ce excepții există, dacă acțiunile corective sunt urmărite și dacă managementul primește raportare semnificativă, nu metrici de vanitate.
Constatări frecvente privind pregătirea instruirii NIS2
Cea mai frecventă constatare este acoperirea incompletă a populației. Raportul LMS arată finalizare de 94%, dar cei 6% lipsă includ administratori privilegiați, contractori sau angajați noi. Auditorii nu vor accepta un procent fără a înțelege cine lipsește și de ce.
A doua constatare este lipsa sensibilității la rol. Toată lumea primește același modul anual, dar dezvoltatorii nu sunt instruiți în programare securizată, agenții de suport nu sunt instruiți în verificarea identității digitale, iar executivii nu sunt instruiți în obligații de guvernanță sau decizii de criză. NIS2 Article 20 și Article 21 fac acest lucru dificil de susținut.
A treia constatare este dovada slabă a eficacității. Finalizarea nu este același lucru cu înțelegerea sau schimbarea comportamentului. Auditorii așteaptă din ce în ce mai mult scoruri la teste, tendințe de phishing, tendințe de raportare a incidentelor, lecții din exerciții tabletop, reducerea eșecurilor repetate și acțiuni corective.
A patra constatare este igiena tehnică deconectată. Instruirea spune „raportați activitatea suspectă”, dar nu există un canal de raportare testat. Instruirea spune „utilizați MFA”, dar conturile de serviciu ocolesc MFA. Instruirea spune „protejați datele”, dar datele de producție apar în medii de testare. Article 21 așteaptă un sistem de control, nu sloganuri.
A cincea constatare este integritatea slabă a înregistrărilor. Dovezile sunt stocate într-o foaie de calcul editabilă, fără proprietar, marcaj temporal de export, control al accesului sau reconciliere cu înregistrările de resurse umane. Relațiile de control ISO/IEC 27002:2022 din Zenith Controls trimit înapoi către protecția înregistrărilor dintr-un motiv. Dovezile trebuie să fie de încredere.
Un sprint de remediere de 10 zile pentru dovezi pregătite pentru audit
Dacă organizația este sub presiune, începeți cu un sprint focalizat.
| Zi | Acțiune | Rezultat |
|---|---|---|
| Ziua 1 | Confirmați aplicabilitatea NIS2 și domeniul serviciilor | Decizie privind entitatea esențială sau importantă, servicii în domeniul de aplicare, funcții suport |
| Ziua 2 | Construiți registrul cerințelor | NIS2 Articles 20, 21, 23, clauze ISO, controale din Anexa A, GDPR, DORA, contracte, cerințe de asigurare |
| Ziua 3 | Creați matricea de instruire bazată pe roluri | Instruire mapată la familii de posturi, acces privilegiat, dezvoltatori, suport, contractori, executivi |
| Ziua 4 | Mapați instruirea la scenarii de risc | Phishing, compromitere de cont, scurgere de date, ransomware, configurare greșită, compromitere a furnizorului, încălcare a confidențialității |
| Ziua 5 | Colectați dovezi | Exporturi LMS, confirmări, rapoarte de phishing, înregistrări de integrare, înregistrări ale contractorilor, participare executivă |
| Ziua 6 | Reconciliați dovezile | Populație de instruire verificată față de înregistrările de resurse umane, grupuri de identitate, conturi privilegiate, liste de contractori |
| Ziua 7 | Testați înțelegerea angajaților | Note de interviu care arată că personalul cunoaște raportarea incidentelor, așteptările MFA, gestionarea e-mailurilor suspecte, regulile privind datele |
| Ziua 8 | Revizuiți controalele tehnice de igienă | MFA, backup-uri, EDR, aplicarea patch-urilor, scanări de vulnerabilitate, jurnalizare, monitorizare, dovezi de configurare securizată |
| Ziua 9 | Produceți pachetul de revizuire de management | Finalizare, excepții, tendințe de phishing, acțiuni deschise, roluri cu risc ridicat, incidente, nevoi bugetare |
| Ziua 10 | Actualizați Planul de tratare a riscurilor și SoA | risc rezidual, proprietari, termene-limită, măsuri de eficacitate, actualizări ale Declarației de aplicabilitate |
Acest sprint oferă o bază de dovezi defensabilă. Nu înlocuiește operarea continuă a SMSI, dar creează structura pe care autoritățile de reglementare și auditorii o așteaptă.
Cum arată o practică bună
Un program matur de igienă cibernetică și instruire NIS2 Article 21 are cinci caracteristici.
În primul rând, este vizibil pentru organul de conducere. Managementul aprobă abordarea, vede metrici relevante, înțelege riscul rezidual și finanțează îmbunătățirea.
În al doilea rând, este bazat pe risc. Instruirea diferă în funcție de rol, criticitatea serviciului, nivelul de acces, expunerea datelor și responsabilitatea privind incidentele.
În al treilea rând, este condus de dovezi. Înregistrările de finalizare, confirmările, simulările, exercițiile tabletop, rapoartele de igienă tehnică și acțiunile corective sunt complete, reconciliate și protejate.
În al patrulea rând, este conștient de conformitatea transversală. Aceleași dovezi susțin NIS2, ISO/IEC 27001:2022, DORA, GDPR, asigurarea de tip NIST și raportarea de guvernanță COBIT 2019.
În al cincilea rând, se îmbunătățește. Incidentele, constatările de audit, modificările legislative, schimbările furnizorilor, tehnologiile noi și amenințările emergente actualizează planul de instruire.
Acest ultim punct este diferența dintre teatrul conformității și reziliența operațională.
Pașii următori cu Clarysec
Dacă echipa de conducere întreabă „Putem demonstra mâine igiena cibernetică și instruirea în securitate cibernetică prevăzute de NIS2 Article 21?”, Clarysec vă poate ajuta să treceți de la dovezi dispersate la un pachet de dovezi SMSI pregătit pentru audit.
Începeți cu Zenith Blueprint pentru a structura competența, conștientizarea, controalele privind personalul, practicile de telemuncă, managementul vulnerabilităților, backup-urile, jurnalizarea, monitorizarea și acțiunile de igienă tehnică pe parcursul foii de parcurs în 30 de pași.
Utilizați Zenith Controls pentru a corela așteptările ISO/IEC 27002:2022 privind conștientizarea, utilizarea acceptabilă, conformitatea, monitorizarea, înregistrările și asigurarea în conversațiile de audit privind NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST și COBIT 2019.
Apoi operaționalizați cerințele prin Politica privind conștientizarea și instruirea în domeniul securității informației, Politica privind conștientizarea și instruirea în domeniul securității informației - IMM și Politica de securitate a informației - IMM de la Clarysec.
Acțiunea imediată este simplă: construiți săptămâna aceasta o hartă de o pagină a dovezilor de instruire NIS2 Article 21. Listați rolurile în domeniul de aplicare, instruirea atribuită, dovada finalizării, confirmările de luare la cunoștință a politicilor, metricile de phishing, dovezile tehnice de igienă cibernetică, data revizuirii de management și acțiunile corective. Dacă o celulă este goală, ați găsit următoarea sarcină de remediere pentru audit.
Pentru un parcurs mai rapid, descărcați șabloanele de politici Clarysec, utilizați foaia de parcurs Zenith Blueprint și programați o evaluare a pregătirii dovezilor NIS2 pentru a transforma înregistrările curente de instruire, controalele de igienă cibernetică și SMSI ISO/IEC 27001:2022 într-un singur dosar de audit defensabil.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
