Dovezi pentru înregistrarea NIS2 în ISO 27001:2022

E-mailul a ajuns în inboxul Annei cu un sunet discret, dar care a părut mai degrabă o sirenă. În calitate de CISO al CloudFlow, un furnizor B2B SaaS cu creștere rapidă, care deservește clienți din întreaga UE, era obișnuită cu chestionare de securitate, audituri de achiziții și audituri de supraveghere ISO 27001. Acest mesaj era diferit.

Subiectul spunea: „Solicitare de informații privind implementarea națională a Directivei (UE) 2022/2555 (NIS2).” Autoritatea națională de securitate cibernetică solicita CloudFlow să își confirme clasificarea, să pregătească informațiile de înregistrare a entității, să identifice serviciile din domeniul de aplicare și să fie pregătită să demonstreze măsurile de management al riscurilor de securitate cibernetică.

Anna avea pe perete un certificat ISO 27001:2022 înrămat. Echipa de vânzări îl folosea în tranzacțiile corporate. Organul de conducere aprobase Politica de securitate a informației. Auditul intern închisese recent două constatări. Dar întrebarea din fața ei era mai precisă decât statutul certificării.

Putea CloudFlow să demonstreze, rapid și solid, că SMSI ISO 27001:2022 acoperea obligațiile NIS2?

Aici multe organizații fac pasul greșit. Tratează înregistrarea entității NIS2 ca pe o depunere administrativă, similară actualizării unui registru al comerțului sau a unui portal fiscal. Nu este așa. Înregistrarea este poarta de intrare în vizibilitatea supravegherii. După această poartă, autoritatea competentă poate solicita justificarea domeniului de aplicare, înregistrări ale aprobării organului de conducere, proceduri de raportare a incidentelor, dovezi privind riscul furnizorilor, puncte de contact, metrici privind eficacitatea controalelor și dovada că organizația știe care servicii sunt critice.

Pentru furnizorii SaaS, cloud, servicii administrate, securitate administrată, centre de date, infrastructură digitală și anumiți furnizori din sectorul financiar, întrebarea reală nu mai este „Avem o politică de securitate?” Este „Putem arăta un lanț de dovezi de la obligația legală la domeniul de aplicare al SMSI, tratamentul riscului, operarea controlului și supravegherea managementului?”

Cel mai puternic program de pregătire pentru aplicarea NIS2 nu este o foaie de calcul paralelă. Este un model trasabil de dovezi în interiorul ISO 27001:2022.

Înregistrarea NIS2 este, de fapt, o problemă de dovezi

NIS2 se aplică pe scară largă entităților publice sau private din sectoarele enumerate în Anexa I și Anexa II care ating sau depășesc pragul relevant pentru întreprinderi mijlocii. De asemenea, include anumite entități indiferent de dimensiune, inclusiv furnizori de rețele sau servicii publice de comunicații electronice, furnizori de servicii de încredere, registre TLD, furnizori de servicii DNS, furnizori unici de servicii esențiale și entități a căror perturbare ar putea afecta siguranța publică, sănătatea, riscul sistemic sau criticitatea națională ori regională.

Pentru companiile de tehnologie, categoriile digitale sunt deosebit de importante. Anexa I include infrastructura digitală, precum furnizori de servicii de cloud computing, furnizori de servicii de centre de date, furnizori de rețele de livrare de conținut, furnizori de servicii de încredere, furnizori de servicii DNS și furnizori de rețele sau servicii publice de comunicații electronice. Anexa I include, de asemenea, managementul serviciilor TIC pentru servicii B2B, inclusiv furnizori de servicii administrate și furnizori de servicii de securitate administrate. Anexa II include furnizori digitali precum piețe online, motoare de căutare online și platforme de servicii de rețele sociale.

Aceasta înseamnă că o organizație poate intra în domeniul de aplicare NIS2 fără să se considere „infrastructură critică”. O companie B2B SaaS cu funcționalități de securitate administrată, o platformă cloud care susține clienți reglementați sau un furnizor adiacent fintech poate avea brusc nevoie de un dosar de înregistrare, un model de contact cu autoritatea competentă și o prezentare defensabilă a controalelor.

NIS2 distinge, de asemenea, între entități esențiale și entități importante. Entitățile esențiale se confruntă, în general, cu un model de supraveghere mai proactiv, în timp ce entitățile importante sunt de regulă supravegheate după apariția unor dovezi de neconformitate sau a unor incidente. Distincția contează, dar nu elimină necesitatea pregătirii. Ambele categorii au nevoie de guvernanță, managementul riscurilor, raportarea incidentelor, securitatea furnizorilor și dovezi.

Entitățile financiare trebuie să ia în considerare și DORA. Articolul 4 din NIS2 recunoaște că, atunci când un act juridic sectorial specific al Uniunii impune obligații cel puțin echivalente privind managementul riscurilor de securitate cibernetică și raportarea incidentelor, acele reguli sectoriale se aplică domeniilor corespunzătoare. DORA se aplică începând cu 17 ianuarie 2025 și instituie managementul riscurilor TIC, raportarea incidentelor majore legate de TIC, testarea rezilienței operaționale digitale, partajarea informațiilor, managementul riscurilor asociate terților TIC, controale contractuale și supravegherea furnizorilor terți critici de servicii TIC. Pentru entitățile financiare acoperite, DORA este principalul cadru de reziliență cibernetică pentru cerințele care se suprapun, dar interfețele NIS2 și coordonarea cu autoritățile naționale pot rămâne relevante.

Lecția este simplă. Nu așteptați câmpul din portal sau e-mailul autorității de reglementare pentru a construi dovezile. Fiecare răspuns de înregistrare implică o întrebare viitoare de audit.

Începeți cu domeniul de aplicare al SMSI, nu cu formularul din portal

ISO 27001:2022 este util deoarece obligă organizația să definească contextul, părțile interesate, obligațiile de reglementare, domeniul de aplicare, riscurile, planurile de tratament, operarea controalelor, monitorizarea, auditul intern, revizuirea de management și îmbunătățirea.

Clauzele 4.1–4.4 cer organizației să determine aspectele interne și externe, să identifice părțile interesate și cerințele acestora, să decidă ce cerințe sunt abordate prin SMSI, să definească domeniul de aplicare al SMSI luând în considerare interfețele și dependențele, să documenteze acel domeniu și să opereze procesele SMSI.

Pentru NIS2, acest domeniu de aplicare trebuie să răspundă unor întrebări practice:

• Ce servicii din UE, entități juridice, filiale, platforme, componente de infrastructură și unități de business sunt relevante?
• Ce categorie din Anexa I sau Anexa II s-ar putea aplica?
• Organizația este esențială, importantă, acoperită de DORA, în afara domeniului de aplicare sau în așteptarea clasificării naționale?
• Ce servicii sunt critice pentru clienți, siguranța publică, stabilitatea financiară, sănătate, infrastructură digitală sau alte sectoare reglementate?
• Ce furnizori cloud, MSP, MSSP, centre de date, subcontractori și alți furnizori susțin aceste servicii?
• Ce state membre, autorități competente, CSIRT-uri, autorități pentru protecția datelor și supraveghetori financiari pot fi relevanți?

Zenith Blueprint: Foaia de parcurs în 30 de pași a auditorului de la Clarysec Zenith Blueprint plasează această activitate devreme, în Pasul 2, nevoile părților interesate și domeniul de aplicare al SMSI. Acesta îndrumă organizațiile să identifice autoritățile de reglementare și autoritățile competente, să revizuiască cerințele legale și de reglementare, să revizuiască contractele și acordurile, să desfășoare interviuri cu părțile interesate și să ia în considerare standardele așteptate în industrie.

Element de acțiune 4.2: Compilați o listă a tuturor părților interesate semnificative și notați cerințele acestora legate de securitatea informației. Fiți riguroși – luați în calcul orice persoană sau organizație care s-ar plânge ori ar suporta consecințe dacă securitatea ar eșua sau dacă ar lipsi un anumit control. Această listă va ghida ceea ce trebuie să respectați sau să satisfaceți prin SMSI și va alimenta evaluarea riscurilor și selecția controalelor.

Acesta este punctul corect de pornire pentru înregistrarea NIS2. Înainte de depunere, creați o scurtă notă privind domeniul de aplicare NIS2 care conectează modelul de afaceri la categoriile din Anexa I sau Anexa II, documentează ipotezele privind dimensiunea și serviciile, consemnează interpretarea legislației naționale, identifică autoritățile competente și precizează dacă se aplică și DORA, GDPR, contractele cu clienții sau regulile sectoriale.

Politica Clarysec pentru IMM-uri privind conformitatea juridică și de reglementare Politica de conformitate juridică și de reglementare - IMM definește clar scopul:

„Această politică definește abordarea organizației pentru identificarea, îndeplinirea și demonstrarea conformității cu obligațiile legale, de reglementare și contractuale.”

Pentru programele mai ample, Politica Clarysec de conformitate juridică și de reglementare Politica de conformitate juridică și de reglementare este și mai explicită:

„Toate obligațiile legale și de reglementare trebuie mapate la politici, controale și responsabili specifici în cadrul Sistemului de management al securității informației (SMSI).”

Această propoziție este fundamentul pregătirii pentru aplicarea cerințelor. Dacă o autoritate de reglementare întreabă cum au fost identificate obligațiile NIS2, răspunsul nu ar trebui să fie „ne-a consiliat juridicul”. Răspunsul trebuie să fie un registru documentat, legat de domeniul de aplicare, riscuri, responsabili de control, proceduri, dovezi păstrate și revizuire de management.

Construiți lanțul de dovezi NIS2 în interiorul ISO 27001:2022

Articolul 21 din NIS2 impune entităților esențiale și importante să implementeze măsuri tehnice, operaționale și organizaționale adecvate și proporționale pentru gestionarea riscurilor la adresa rețelelor și sistemelor informatice utilizate pentru activități sau furnizarea serviciilor. Măsurile trebuie să țină cont de stadiul actual al tehnologiei, standardele europene și internaționale relevante acolo unde se aplică, cost, expunerea la risc, dimensiune, probabilitatea și severitatea incidentelor, precum și impactul social și economic.

Articolul 21(2) enumeră domenii minime, inclusiv analiza riscului și politicile de securitate a sistemelor informatice, gestionarea incidentelor, continuitatea activității, backup-uri, recuperarea în caz de dezastru, managementul crizelor, securitatea lanțului de aprovizionare, achiziția și dezvoltarea securizate, gestionarea vulnerabilităților, evaluarea eficacității, igienă cibernetică, instruire, criptografie, securitatea resurselor umane, controlul accesului, managementul activelor, autentificare multifactor sau continuă și comunicații securizate acolo unde este cazul.

ISO 27001:2022 se mapează natural la această structură. Clauzele 6.1.1–6.1.3 impun evaluarea riscurilor și tratamentul riscului, inclusiv criterii de acceptare a riscului, responsabili de risc, analiza probabilității și a consecințelor, un Plan de tratament al riscurilor, compararea cu controalele din Anexa A și o Declarație de aplicabilitate. Clauza 8 impune planificare și control operațional, dovezi că procesele au operat conform planului, controlul schimbărilor, controlul proceselor furnizate extern, evaluări recurente ale riscurilor și rezultate documentate ale tratamentului. Clauza 9.1 impune monitorizare, măsurare, analiză și evaluare. Clauza 9.2 impune audit intern. Clauza 10.2 impune acțiuni privind neconformitățile și acțiune corectivă.

Politica de management al riscurilor de la Clarysec Politica de management al riscurilor - IMM transformă acest lucru într-o regulă operațională:

„Toate riscurile identificate trebuie înregistrate în Registrul riscurilor.”

Politica enterprise de management al riscurilor Politica de management al riscurilor conectează tratamentul riscului la selecția controalelor ISO 27001:2022:

„Deciziile privind controalele rezultate din procesul de tratament al riscurilor trebuie reflectate în SoA.”

Acest lucru contează deoarece dovezile NIS2 trebuie să fie trasabile. Dacă o autoritate întreabă de ce există un control, indicați obligația, riscul, decizia de tratament, responsabilul controlului, intrarea din SoA, procedura și dovada. Dacă autoritatea întreabă de ce un control nu a fost selectat, indicați justificarea din SoA, acceptarea riscului aprobată și revizuirea de management.

Cel mai bun lanț de dovezi este plictisitor în cel mai bun sens posibil. Fiecare obligație are un responsabil. Fiecare responsabil are un control. Fiecare control are dovezi. Fiecare excepție are aprobare. Fiecare constatare de audit are acțiune corectivă.

Integrați guvernanța din Articolul 20 în dovezile organului de conducere

Articolul 20 din NIS2 mută securitatea cibernetică în sala organului de conducere. Organismele de conducere trebuie să aprobe măsurile de management al riscurilor de securitate cibernetică adoptate pentru Articolul 21, să supravegheze implementarea și pot fi trase la răspundere pentru încălcări. Membrii organismelor de conducere trebuie să urmeze instruire, iar entitățile sunt încurajate să ofere instruire periodică în securitate cibernetică angajaților.

Un organ de conducere nu poate delega pur și simplu NIS2 către IT. Dovezile trebuie să arate că managementul a înțeles analiza domeniului de aplicare NIS2, a aprobat abordarea de management al riscurilor, a revizuit riscurile materiale, a alocat resurse, a urmărit implementarea, a revizuit incidentele și exercițiile și a primit instruire.

Clauzele 5.1–5.3 din ISO 27001:2022 susțin acest model de guvernanță prin cerințe privind angajamentul conducerii de vârf, alinierea obiectivelor de securitate a informației cu strategia de business, integrarea cerințelor SMSI în procesele de afaceri, resurse, comunicare, responsabilitate și raportarea performanței SMSI către conducerea de vârf.

Politica Clarysec privind rolurile și responsabilitățile de guvernanță Politica privind rolurile și responsabilitățile de guvernanță definește rolul de legătură pentru securitate ca fiind cel care:

„Servește ca principal punct de legătură cu auditorii, autoritățile de reglementare și conducerea superioară în probleme de securitate a informației.”

Acest rol trebuie nominalizat în pachetul de dovezi pentru înregistrarea NIS2. Nu trebuie să fie implicit. Autoritățile, auditorii și clienții vor să știe cine coordonează contactul cu autoritățile de reglementare, cine deține responsabilitatea pentru raportarea incidentelor, cine menține registrul juridic, cine actualizează contactele autorităților și cine raportează către organul de conducere.

Un set practic de dovezi de guvernanță include:

• Aprobarea de către organul de conducere a cadrului de management al riscurilor de securitate cibernetică.
• Procese-verbale ale revizuirii de management care acoperă domeniul de aplicare NIS2, riscurile, incidentele, furnizorii și gradul de pregătire.
• Înregistrări de instruire pentru membrii organismului de conducere și angajați.
• O matrice RACI pentru obligațiile NIS2, controalele ISO 27001:2022, raportarea incidentelor, asigurarea furnizorilor și comunicarea cu autoritățile de reglementare.
• Dovezi că obligațiile NIS2 sunt incluse în auditul intern și în monitorizarea conformității.
• Urmărirea acțiunilor corective pentru lacune, riscuri restante, excepții și teste eșuate.

Articolele 32 și 33 fac, de asemenea, importantă calitatea dovezilor, identificând factori de încălcare gravă precum încălcări repetate, neîndeplinirea obligației de a notifica sau remedia incidente semnificative, neabordarea deficiențelor după instrucțiuni obligatorii, obstrucționarea auditurilor sau monitorizării și furnizarea de informații false ori cu inexactități grave. Dovezile slabe pot deveni o problemă de aplicare a cerințelor chiar și atunci când controalele tehnice există.

Pregătiți dovezile privind contactul cu autoritățile și raportarea incidentelor înainte de ora 02:00

Cele mai dureroase eșecuri de raportare a incidentelor încep adesea cu o întrebare simplă: „Pe cine notificăm?” În timpul unui ransomware, al unei defecțiuni DNS, al unei compromiteri în cloud sau al unei expuneri de date, echipele pierd timp căutând CSIRT-ul corect, autoritatea competentă, autoritatea pentru protecția datelor, supraveghetorul financiar, canalul organelor de aplicare a legii, șablonul pentru clienți și aprobatorul intern.

Articolul 23 din NIS2 impune notificarea fără întârzieri nejustificate a incidentelor semnificative care afectează furnizarea serviciilor. Un incident semnificativ este unul care a cauzat sau ar putea cauza perturbări operaționale severe ori pierderi financiare, sau a afectat ori ar putea afecta alte persoane prin producerea unor prejudicii materiale sau nemateriale considerabile. Calendarul este etapizat: avertizare timpurie în termen de 24 de ore de la luarea la cunoștință, notificarea incidentului în termen de 72 de ore, actualizări intermediare la cerere și un raport final în termen de o lună după notificarea de 72 de ore sau după gestionarea incidentului în cazul incidentelor în curs. După caz, destinatarii serviciilor trebuie informați și despre incidente semnificative sau amenințări cibernetice semnificative și despre măsurile de protecție.

Zenith Blueprint, în faza Controls in Action, Pasul 22, tratează contactul cu autoritățile ca pregătire, nu ca reacție de panică:

Principiul este simplu: dacă organizația ar fi vizată de un atac cibernetic, implicată într-o încălcare a securității datelor sau supusă unei investigații, cine ar contacta autoritățile? Cum ar ști ce să spună? În ce condiții ar fi inițiat un astfel de contact? Aceste întrebări trebuie clarificate în avans, nu după producerea faptelor.

Zenith Controls: Ghidul de conformitate încrucișată de la Clarysec Zenith Controls acoperă controlul ISO/IEC 27002:2022 5.5, Contactul cu autoritățile. Clasifică acest control ca preventiv și corectiv, legat de confidențialitate, integritate și disponibilitate și conectat la conceptele Identify, Protect, Respond și Recover. De asemenea, leagă controlul 5.5 de controalele ISO/IEC 27002:2022 5.24 planificarea și pregătirea managementului incidentelor de securitate a informației, 6.8 raportarea evenimentelor de securitate a informației, 5.7 informații privind amenințările, 5.6 contactul cu grupuri de interes special și 5.26 răspunsul la incidente de securitate a informației.

Din perspectiva conformității încrucișate, Zenith Controls mapează contactul cu autoritățile la Articolul 23 din NIS2, notificarea încălcărilor conform GDPR, raportarea incidentelor DORA, NIST SP 800-53 IR-6 Raportarea incidentelor și practicile COBIT 2019 de escaladare externă. Un singur registru al contactelor autorităților poate deservi obligații multiple dacă este proiectat corespunzător.

Politica de răspuns la incidente a Clarysec Politica de răspuns la incidente - IMM explicitează triajul juridic:

„Atunci când sunt implicate date ale clienților, Directorul general trebuie să evalueze obligațiile legale de notificare pe baza aplicabilității GDPR, NIS2 sau DORA.”

Un pachet solid de dovezi privind contactul cu autoritățile trebuie să includă:

• Datele de contact ale autorității competente și ale CSIRT-ului pe stat membru și serviciu.
• Contactele autorităților pentru protecția datelor pentru notificarea încălcărilor securității datelor cu caracter personal conform GDPR.
• Contactele autorităților de supraveghere financiară dacă se aplică DORA.
• Rute de contact către organele de aplicare a legii și unitățile de criminalitate informatică.
• Comunicatori interni autorizați și înlocuitori.
• Praguri de incident pentru NIS2, GDPR, DORA, contracte cu clienții și asigurare cibernetică.
• Șabloane pentru avertizare la 24 de ore, notificare la 72 de ore, actualizare intermediară și raportare la o lună.
• Înregistrări ale exercițiilor tabletop care testează notificarea externă.
• Înregistrări ale notificărilor anterioare, deciziilor de a nu notifica și justificării juridice.

Mapați Articolul 21 din NIS2 la controalele ISO 27001 și dovezile de politică

Un certificat singur nu răspunde întrebării unei autorități de reglementare. O mapare a controalelor răspunde. Tabelul următor oferă echipelor de securitate și conformitate o punte practică între ariile din Articolul 21 din NIS2, controalele ISO/IEC 27002:2022, ancorele de politică Clarysec și dovezi.

Zenith Controls de la Clarysec acoperă și controlul ISO/IEC 27002:2022 5.31, cerințe legale, statutare, de reglementare și contractuale, ca un control preventiv cu impact asupra confidențialității, integrității și disponibilității. Leagă 5.31 de confidențialitate și protecția PII, păstrarea înregistrărilor, revizuire independentă și conformitatea cu politicile interne. De asemenea, mapează 5.31 la responsabilitatea demonstrabilă GDPR, conformitatea NIS2 a lanțului de aprovizionare, managementul riscurilor TIC DORA, guvernanța NIST CSF, controalele de program NIST SP 800-53 și supravegherea conformității externe COBIT 2019.

„Controlul 5.31 asigură că toate cerințele legale, de reglementare, statutare și contractuale relevante legate de securitatea informației sunt identificate, documentate și gestionate continuu.”

Exact asta vrea să vadă o autoritate națională după înregistrare: nu doar că NIS2 este listată, ci că organizația are un mecanism viu pentru identificarea, maparea, implementarea, monitorizarea și actualizarea obligațiilor.

Nu separați NIS2 de DORA, GDPR, furnizori și cloud

Dovezile NIS2 există rareori izolat.

Articolul 21(2)(d) din NIS2 impune securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate ale relațiilor cu furnizorii și furnizorii de servicii. Articolul 21(3) impune ca deciziile privind riscul furnizorilor să ia în considerare vulnerabilitățile, calitatea generală a produselor, practicile de securitate cibernetică, procedurile de dezvoltare securizată și evaluările coordonate relevante ale UE privind riscurile lanțului de aprovizionare.

Anexa A din ISO 27001:2022 oferă puntea operațională prin A.5.19–A.5.23. Pentru organizațiile SaaS și cloud, aceste controale determină adesea dacă dovezile de înregistrare sunt superficiale sau defensabile.

DORA clarifică și mai mult imaginea furnizorilor pentru entitățile financiare. Articolele 28–30 impun managementul riscurilor asociate terților TIC, un registru al contractelor de servicii TIC, distingerea serviciilor care susțin funcții critice sau importante, evaluare de risc precontractuală, verificare prealabilă, cerințe contractuale de securitate, drepturi de audit și inspecție, drepturi de încetare, strategii de ieșire testate, evaluarea subcontractării, transparență privind locația datelor, asistență în caz de incident, cooperare cu autoritățile și aranjamente de tranziție. Dacă un furnizor SaaS deservește clienți reglementați de DORA, contractele și pachetul său de asigurare pot fi examinate chiar dacă furnizorul nu este el însuși entitate financiară.

Politica Clarysec de securitate privind terții și furnizorii - IMM Politica de securitate privind terții și furnizorii - IMM trebuie, prin urmare, conectată la pachetul de dovezi NIS2. Pregătirea privind furnizorii trebuie să includă:

• Inventarul furnizorilor și clasificarea criticității.
• Verificarea prealabilă a furnizorilor și evaluări de risc.
• Clauze contractuale pentru securitate, asistență în caz de incident, drepturi de audit, locația datelor, subcontractare și ieșire.
• Matrice de responsabilitate partajată pentru cloud.
• Înregistrări de monitorizare pentru furnizorii critici.
• Testarea ieșirii și recuperării pentru serviciile critice.
• Proceduri de notificare și escaladare a incidentelor furnizorilor.

GDPR trebuie, de asemenea, integrat. Un incident semnificativ NIS2 poate fi și o încălcare a securității datelor cu caracter personal dacă sunt compromise date ale clienților, angajaților sau utilizatorilor. GDPR impune operatorilor de date să demonstreze responsabilitatea demonstrabilă și, atunci când pragurile de notificare sunt îndeplinite, să notifice autoritatea de supraveghere în termen de 72 de ore de la luarea la cunoștință a unei încălcări a securității datelor cu caracter personal. Fluxul de lucru de răspuns la incidente trebuie să evalueze în paralel obligațiile NIS2, GDPR, DORA, contractuale și față de clienți.

Asamblați un pachet de dovezi NIS2 într-o săptămână

Un furnizor SaaS, MSP, MSSP, cloud sau o companie de infrastructură digitală poate progresa substanțial într-o săptămână concentrată.

Ziua 1, clasificați entitatea și serviciile. Utilizați declarația privind domeniul de aplicare al SMSI și registrul părților interesate. Adăugați o notă privind domeniul de aplicare NIS2 care identifică categoriile din Anexa I sau Anexa II, serviciile din UE, statele membre, clienții, dependențele, ipotezele privind dimensiunea și dacă se aplică DORA sau reguli sectoriale. Înregistrați incertitudinea de clasificare ca risc dacă interpretarea juridică nu este finală.

Ziua 2, actualizați registrul obligațiilor legale și de reglementare. Adăugați Articolele 20, 21 și 23 din NIS2, cerințele de înregistrare din legislația națională, obligațiile privind încălcările conform GDPR, obligațiile DORA acolo unde sunt relevante și cerințele contractuale cheie de notificare. Mapați fiecare obligație la o politică, responsabil, control, sursă de dovezi și frecvență de revizuire.

Ziua 3, actualizați evaluarea riscurilor și tratamentul. Includeți impactul legal, de reglementare, operațional, asociat furnizorilor, financiar, reputațional și social în criteriile de risc. Adăugați riscuri precum neînregistrarea, clasificarea incorectă a entității, ratarea avertizării timpurii de 24 de ore, indisponibilitatea contactelor autorităților, indisponibilitatea unui furnizor care afectează servicii critice, supravegherea insuficientă a organului de conducere și incapacitatea de a demonstra eficacitatea controalelor.

Ziua 4, actualizați SoA. Confirmați controalele relevante pentru NIS2, inclusiv A.5.5 contactul cu autoritățile, A.5.19–A.5.23 controalele privind furnizorii și cloud, A.5.24–A.5.28 controalele privind incidentele, A.5.29 securitatea în timpul perturbărilor, A.5.30 pregătirea TIC pentru continuitatea activității, A.5.31 cerințe legale, A.5.34 confidențialitate, A.8.8 managementul vulnerabilităților, A.8.13 backup-uri, A.8.15 jurnalizare, A.8.16 activități de monitorizare, A.8.24 criptografie și controalele de dezvoltare securizată A.8.25–A.8.32.

Ziua 5, testați raportarea incidentelor. Rulați un exercițiu tabletop: o configurare greșită în cloud expune date ale clienților și perturbă serviciul în două state membre. Porniți cronometrul. Poate echipa să clasifice evenimentul, să evalueze pragurile GDPR, NIS2, DORA, contractuale și față de clienți, să pregătească o avertizare timpurie de 24 de ore, să redacteze o notificare de 72 de ore, să păstreze dovezile și să atribuie analiza cauzei principale?

Ziua 6, colectați dovezile. Creați un dosar pregătit pentru autoritatea de reglementare cu nota privind domeniul de aplicare, registrul juridic, Registrul riscurilor, SoA, lista de contacte ale autorităților, procedura operațională de incident, Registrul furnizorilor, procese-verbale ale organului de conducere, înregistrări de instruire, jurnale, rapoarte de monitorizare, teste de backup, rapoarte de vulnerabilitate, domeniul auditului intern și registrul acțiunilor corective.

Ziua 7, revizuire de management. Prezentați pachetul de pregătire conducerii. Înregistrați aprobările, riscurile reziduale, acțiunile deschise, termenele-limită, resursele și responsabilitatea responsabililor desemnați. Dacă înregistrarea este scadentă, atașați indexul dovezilor la înregistrarea deciziei de înregistrare.

Politica Clarysec de audit și monitorizare a conformității pentru IMM-uri Politica de audit și monitorizare a conformității - IMM anticipează această nevoie:

„Dovezile trebuie aliniate cu obligațiile NIS2 atunci când organizația este desemnată ca entitate importantă sau intră în alt mod în domeniul de aplicare al legislației naționale”

Politica enterprise de audit și monitorizare a conformității Politica de audit și monitorizare a conformității precizează obiectivul:

„Să genereze dovezi defensabile și o pistă de audit pentru susținerea solicitărilor autorităților de reglementare, procedurilor juridice sau cererilor clienților privind asigurarea controalelor.”

Acesta este scopul: dovezi defensabile înainte ca solicitarea să ajungă.

Pregătiți-vă pentru perspective de audit diferite

Un auditor de certificare, o autoritate națională, un auditor al clientului, un auditor de confidențialitate și o echipă de asigurare a furnizorilor nu vor pune întrebări identice. Un pachet solid de dovezi NIS2 funcționează pentru toate aceste perspective.

Pentru controlul ISO/IEC 27002:2022 5.5, auditorii se așteaptă în mod obișnuit la contacte documentate ale autorităților, responsabilități atribuite, menținerea contactelor, proceduri operaționale de răspuns la incidente și claritate bazată pe scenarii. O întrebare simplă de audit poate revela maturitatea: „În cazul unui ransomware, cine contactează organele de aplicare a legii sau CSIRT-ul național?” Dacă răspunsul depinde de faptul că cineva își amintește un nume, controlul nu este pregătit.

Politica Clarysec de jurnalizare și monitorizare Politica de jurnalizare și monitorizare - IMM întărește așteptarea privind dovezile:

„Jurnalele trebuie să fie disponibile și inteligibile pentru auditorii externi sau autoritățile de reglementare la cerere”

Politica de securitate a informației de la Clarysec Politica de securitate a informației stabilește standardul enterprise mai amplu:

„Toate controalele implementate trebuie să poată fi auditate, să fie susținute de proceduri documentate și de dovezi păstrate privind operarea.”

Acesta este testul de audit într-o singură propoziție. Dacă un control nu poate fi dovedit, nu va avea multă greutate atunci când o autoritate competentă solicită probe.

Lista finală de verificare a dovezilor pentru înregistrarea NIS2

Utilizați această listă înainte de înregistrare sau înainte de a răspunde unei solicitări a unei autorități naționale.

• Documentați analiza domeniului de aplicare NIS2, inclusiv justificarea pentru Anexa I sau Anexa II, descrierile serviciilor, ipotezele privind dimensiunea, amprenta în statele membre și clasificarea entității.
• Identificați dacă DORA se aplică direct sau indirect prin clienți din sectorul financiar și contracte de servicii TIC.
• Actualizați domeniul de aplicare al SMSI pentru a include serviciile relevante, dependențele, procesele externalizate și interfețele de reglementare.
• Adăugați NIS2, GDPR, DORA, regulile sectoriale și cerințele contractuale în registrul obligațiilor legale și de reglementare.
• Mapați fiecare obligație la politici, controale, responsabili, dovezi, frecvența de revizuire și raportarea de management.
• Confirmați aprobarea și supravegherea de către organul de conducere a măsurilor de management al riscurilor de securitate cibernetică.
• Mențineți înregistrări de instruire în securitate cibernetică pentru management și angajați.
• Actualizați criteriile de risc pentru a include impactul de reglementare, perturbarea serviciilor, prejudiciul pentru clienți, impactul transfrontalier și dependența de furnizori.
• Înregistrați riscurile legate de NIS2 în Registrul riscurilor și conectați-le la planuri de tratament.
• Actualizați SoA cu controalele din Anexa A relevante pentru NIS2 și starea implementării.
• Mențineți liste de contacte ale autorităților și proceduri de notificare pentru CSIRT-uri, autorități competente, autorități pentru protecția datelor, supraveghetori financiari și organe de aplicare a legii.
• Testați fluxul de lucru pentru avertizarea timpurie de 24 de ore, notificarea de 72 de ore, actualizarea intermediară și raportul final la o lună.
• Mențineți dovezi privind furnizorii și cloud, inclusiv verificări prealabile, contracte, drepturi de audit, monitorizare, subcontractare și planuri de ieșire.
• Demonstrați eficacitatea controalelor prin jurnale, metrici, audituri, tablouri de bord, rezultatele testelor și acțiuni corective.
• Pregătiți un index al dovezilor astfel încât orice solicitare din partea unei autorități de reglementare, a unui client sau a unui auditor să poată primi răspuns rapid.

Următorul pas cu Clarysec

Înregistrarea entității NIS2 nu este linia de sosire. Este punctul în care organizația devine vizibilă pentru supravegherea națională în materie de securitate cibernetică. Întrebarea corectă nu este „Ne putem înregistra?” Întrebarea corectă este „Dacă autoritatea cere dovezi după înregistrare, putem produce o poveste coerentă ISO 27001:2022 în ore, nu în săptămâni?”

Clarysec ajută organizațiile să construiască această poveste prin Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls și seturi practice de politici ISO 27001:2022 care conectează obligațiile legale, tratamentul riscului, raportarea incidentelor, securitatea furnizorilor, jurnalizarea, monitorizarea, dovezile de audit și responsabilitatea managementului.

Rulați o revizuire a lacunelor privind dovezile NIS2 față de SMSI curent. Începeți cu nota privind domeniul de aplicare, registrul juridic, Registrul riscurilor, SoA, lista de contacte ale autorităților, fluxul de lucru de raportare a incidentelor, Registrul furnizorilor și dosarul de dovezi de audit. Dacă aceste artefacte sunt incomplete sau deconectate, Clarysec vă poate ajuta să le transformați într-un pachet de dovezi pregătit pentru autoritatea de reglementare înainte ca autoritatea națională să îl solicite.