⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
RO EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Evaluarea cantitativă a riscului cibernetic pentru NIS2 și DORA

Igor Petreski
14 min read
#Managementul riscurilor #Audit #SMSI #Managementul furnizorilor #Răspuns la incidente #Continuitatea activității #Protecția datelor #Securitate cloud
Evaluarea cantitativă a riscului cibernetic mapată la ISO 27001, NIS2 și DORA

Ședința consiliului în care „risc ridicat” nu a mai fost suficient

Este ora 08:15 într-o zi de marți. CISO al unei companii fintech aflate în creștere rapidă stă în fața sălii de ședințe a consiliului de administrație cu trei versiuni ale aceleiași narațiuni despre riscul cibernetic.

Prima versiune este familiară: ransomware este „Ridicat”, indisponibilitatea cloud este „Ridicat”, compromiterea unui furnizor este „Mediu”, utilizarea abuzivă a accesului privilegiat este „Ridicat”. Este o abordare defensabilă, aliniată cu registrul de riscuri curent și aproape inutilă pentru decizia pe care consiliul trebuie să o ia.

A doua versiune este o foaie de parcurs tehnică: implementarea de backupuri imuabile, îmbunătățirea controalelor de identitate, finanțarea testării rezilienței, consolidarea monitorizării furnizorilor și extinderea acoperirii jurnalizării. Este logică, dar CFO adresează întrebarea care schimbă ședința: „Care dintre acestea reduce cel mai mult riscul pentru activitățile organizației per euro investit?”

A treia versiune schimbă conversația.

O indisponibilitate de 12 ore a platformei de orchestrare a plăților este estimată la €620,000 ca impact brut operațional, contractual și asupra veniturilor. Expunerea anualizată curentă este estimată la €186,000. Un pachet de reziliență de €74,000 poate reduce pierderea anuală estimată la aproximativ €62,000. Expunerea rămasă depășește în continuare toleranța, deoarece serviciul susține o funcție critică sau importantă, expunerea privind notificarea clienților rămâne semnificativă, iar dependența de terți este ridicată.

Acum consiliul nu mai dezbate culori. Discută despre expunere financiară, toleranță la risc, răspundere de reglementare și priorități de investiții.

Aceasta este evaluarea cantitativă a riscului cibernetic în 2026. Nu este teatru matematic. Nu pretinde că evenimentele cibernetice pot fi prezise cu precizie perfectă. Este traducerea disciplinată a expresiei „acesta este roșu” în „aceasta este expunerea financiară plauzibilă, acesta este nivelul de încredere, aceasta este consecința de reglementare, aceasta este decizia de tratament și aceasta este pista de audit a dovezilor”.

Pentru CISO, responsabili de conformitate, auditori și responsabili de business, această schimbare devine obligatorie în practică. ISO/IEC 27001:2022 cere un proces documentat, consecvent și comparabil de evaluare și tratament al riscurilor. NIS2 mută riscul de securitate cibernetică în zona aprobării de către organul de conducere, supravegherii, instruirii și răspunderii. DORA plasează guvernanța riscului TIC, testarea rezilienței, clasificarea incidentelor, riscul asociat terților și responsabilitatea managementului în centrul cerințelor pentru entitățile financiare. NIST CSF 2.0 oferă conducerii un limbaj de guvernanță pentru apetitul la risc, prioritizare și supraveghere. GDPR adaugă responsabilitate atunci când sunt implicate date cu caracter personal.

Lacuna nu este că organizațiile nu au registre de riscuri. Lacuna este că multe registre de riscuri nu pot explica banii, prioritățile, responsabilitatea consiliului sau dovezile de audit.

Abordarea Clarysec închide această lacună prin combinarea Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului Zenith Blueprint, a politicilor Clarysec și a Zenith Controls: ghidul de conformitate încrucișată Zenith Controls într-un singur model practic de dovezi: cuantificați ceea ce contează, mapați la controale, arătați cine a acceptat riscul și demonstrați că tratamentul a funcționat.

De ce registrele de riscuri calitative nu mai sunt suficiente

Evaluarea calitativă a riscului rămâne importantă. O matrice clară de probabilitate și impact ajută echipele să prioritizeze atunci când datele sunt incomplete, mai ales într-un domeniu de aplicare extins al SMSI. Problema apare atunci când organizația se oprește acolo.

Un consiliu poate înțelege că un risc este „Ridicat”, dar nu poate compara ușor trei riscuri „Ridicate” care concurează pentru același buget. Prioritatea cea mai mare este scenariul de ransomware, indisponibilitatea cloud, riscul de concentrare la furnizor sau punctul slab privind accesul privilegiat? Răspunsul depinde de expunerea financiară, severitatea de reglementare, impactul asupra clienților, obligațiile contractuale, criticitatea serviciului și riscul rezidual după tratament.

De aceea, evaluarea cantitativă a riscului cibernetic funcționează cel mai bine ca model hibrid. Nu cuantificați fiecare problemă minoră. Folosiți scorarea calitativă în întregul registru, apoi adăugați analiza financiară pentru riscurile care necesită decizii de management, aprobarea investițiilor, acțiuni contractuale, transferul riscului sau supravegherea de către consiliu.

Politica Clarysec pentru organizații Politica de management al riscurilor Politica de management al riscurilor susține explicit acest lucru. În secțiunea „Cerințe de implementare a politicii”, clauza 6.2.3, aceasta prevede:

„Pot fi aplicate atât metode calitative, cât și metode cantitative, în funcție de categoria de risc și de disponibilitatea informațiilor.”

Această clauză este importantă deoarece previne un eșec frecvent: falsa precizie. Organizațiile mature nu forțează modelarea financiară asupra fiecărui risc minor. O aplică acolo unde decizia o impune.

Pentru IMM-uri, baza poate rămâne simplă. Politica Clarysec pentru IMM-uri Politica de management al riscurilor Politica de management al riscurilor - IMM, secțiunea „Cerințe de guvernanță”, clauza 5.1.2, prevede:

„Fiecare înregistrare de risc trebuie să includă: descriere, probabilitate, impact, scor, proprietar și plan de tratament.”

Îmbunătățirea nu constă în înlocuirea acestei structuri. Îmbunătățirea constă în îmbogățirea celor mai importante înregistrări cu estimări financiare, mai ales acolo unde sunt implicate perioade de indisponibilitate, servicii reglementate, date cu caracter personal, dependențe cloud, externalizare TIC sau angajamente critice față de clienți.

Schimbarea de guvernanță: riscul cibernetic este acum un artefact pentru consiliu

Cuantificarea riscului cibernetic nu este doar un exercițiu financiar. Este dovadă de guvernanță.

Conform ISO/IEC 27001:2022, organizația trebuie să determine contextul, părțile interesate, cerințele legale și contractuale, domeniul de aplicare, interfețele și dependențele. Trebuie să definească un proces de evaluare a riscurilor de securitate a informației care produce rezultate consecvente, valide și comparabile. Trebuie să identifice riscurile pentru confidențialitate, integritate și disponibilitate, să identifice proprietarii de risc, să evalueze consecințele și probabilitatea, să determine nivelurile de risc și să prioritizeze riscurile. Apoi trebuie să selecteze opțiuni de tratament, să determine controalele, să le compare cu Anexa A, să producă o Declarație de aplicabilitate, să obțină aprobarea proprietarului de risc și să păstreze informații documentate.

Aceasta înseamnă că registrul de riscuri nu este o foaie de calcul privată a echipei de securitate. Este o înregistrare SMSI care conectează leadershipul, selectarea controalelor, responsabilitatea pentru tratament și analiza efectuată de management.

NIS2 ridică și mai mult nivelul așteptărilor. Organele de conducere ale entităților esențiale și importante trebuie să aprobe măsurile de management al riscurilor de securitate cibernetică, să supravegheze implementarea și să primească instruire astfel încât să poată înțelege riscurile și evalua practicile de securitate cibernetică. NIS2 Article 21 cere măsuri tehnice, operaționale și organizaționale adecvate și proporționale, luând în considerare stadiul actual al tehnologiei, costul implementării, expunerea la risc, dimensiunea entității, probabilitatea, severitatea și impactul social și economic.

Expresia „impact social și economic” este punctul în care cuantificarea financiară a riscului cibernetic devine puternică. Un furnizor care susține servicii cloud, centre de date, DNS, servicii de încredere, servicii administrate, servicii de securitate administrate, infrastructură digitală, piețe online sau alte sectoare acoperite poate fi nevoit să demonstreze nu doar că există controale, ci și de ce acestea sunt proporționale cu expunerea.

Pentru entitățile financiare, DORA se aplică de la 17 ianuarie 2025 și devine regimul sectorial de reziliență operațională digitală. Acoperă managementul riscurilor TIC, raportarea incidentelor majore legate de TIC, testarea rezilienței operaționale digitale, schimbul de informații privind amenințările cibernetice, riscul asociat terților TIC și supravegherea furnizorilor terți critici de servicii TIC. Pentru entitățile financiare identificate și în temeiul transpunerii naționale NIS2, DORA funcționează ca act juridic al Uniunii cu caracter sectorial pentru aspectele relevante de management al riscurilor TIC și raportare a incidentelor.

În termeni practici, o companie fintech nu are nevoie de cinci cadre de risc deconectate. Are nevoie de un model integrat de risc care arată ce regim se aplică, ce dependențe există, ce expunere financiară este plauzibilă și cum a aprobat și monitorizat managementul tratamentul.

GDPR adaugă un alt nivel. Dacă sunt implicate date cu caracter personal, un eveniment cibernetic poate deveni o încălcare a securității datelor cu caracter personal, nu doar un incident operațional. Modelul de risc ar trebui să identifice contextul prelucrării, rolul de operator sau persoană împuternicită, categoriile de date, categoriile speciale de date atunci când este relevant, măsurile de securitate, logica de evaluare a încălcării și implicațiile de notificare.

De la harta termică la euro: modelul hibrid practic

Întrebarea corectă nu este „Ar trebui să înlocuim evaluarea calitativă a riscului?” Întrebarea corectă este „Care riscuri merită cuantificare financiară?”

Zenith Blueprint, faza Managementul riscurilor, pasul 12, „Metode de evaluare a riscurilor: calitative și cantitative”, oferă un răspuns pragmatic:

„Evaluarea cantitativă a riscului încearcă să estimeze riscul în termeni numerici, de exemplu pierderea anuală estimată în monedă. Aceasta implică frecvent:

✓ Colectarea datelor istorice privind incidentele, de exemplu cât de des apare o încălcare și care este costul mediu. ✓ Utilizarea unor modele precum pierderea anualizată estimată (ALE = impactul unei pierderi unice × rata anuală de apariție) sau a unor cadre precum FAIR (Factor Analysis of Information Risk) pentru analize mai complexe.”

Același pas avertizează că analiza pur cantitativă poate fi dificilă pentru IMM-uri, deoarece datele istorice pot fi limitate, iar procesul poate necesita multe resurse. Răspunsul practic este analiza cantitativă „ușoară” pentru riscurile principale.

ElementSemnificație practicăExemplu
Impactul unei pierderi uniceImpact estimat dacă scenariul are loc o singură dată€620,000 pentru o indisponibilitate de 12 ore a platformei de plăți
Rata anuală de aparițieFrecvența estimată pe an0.3, adică aproximativ o dată la 3.3 ani
Pierderea anualizată estimatăImpactul unei pierderi unice înmulțit cu rata anuală de aparițieExpunere anuală estimată de €186,000
Costul tratamentuluiCostul pachetului de controale€74,000 pentru failover, monitorizare și testare
Pierdere anualizată rezidualăExpunerea anuală estimată după tratament€62,000
DecizieTratare, transfer, evitare sau acceptareTratare și revizuirea riscului rezidual în cadrul analizei efectuate de management

Numerele nu trebuie să fie perfecte. Trebuie să fie explicate. Ipotezele de impact pot include pierderi de venituri, credite SLA, compensații pentru clienți, răspuns la incidente, consultanță juridică, suport criminalistic, ore suplimentare, suport pentru clienți, efort de notificare către autorități, pierderea clienților și impact reputațional. Ipotezele de frecvență pot proveni din incidente interne, rapoarte privind indisponibilități ale furnizorilor, informații privind amenințările, experiență sectorială, expunere la vulnerabilități, constatări de audit și maturitatea controalelor.

Zenith Blueprint, faza Managementul riscurilor, pasul 10, „Stabilirea criteriilor de risc și a matricei de impact”, explică de ce modelul trebuie calibrat:

„Atunci când definiți impactul, este recomandabil să raportați nivelurile la scara specifică a activității dumneavoastră. De exemplu, «Impact financiar major = pierdere > $100k» (ajustați la contextul dumneavoastră). Luați în considerare și impactul de reglementare: de exemplu, o încălcare a securității datelor cu caracter personal poate fi automat «Majoră» sau «Severă» din cauza amenzilor GDPR și a cerințelor de notificare, chiar dacă pierderea financiară directă este neclară.”

Aceasta este puntea dintre riscul calitativ și cel cantitativ. „Major” devine relevant doar atunci când organizația definește ce înseamnă major în termeni financiari, operaționali, juridici și pentru clienți.

Exemplu practic: cuantificarea riscului de indisponibilitate cloud la furnizor

Imaginați-vă un furnizor SaaS care deservește clienți din sectorul financiar. Acesta depinde de un furnizor de găzduire cloud, o platformă administrată de baze de date, un gateway de plăți și un serviciu de notificare a clienților. Echipa selectează un scenariu pentru analiza cantitativă:

„Indisponibilitatea prelungită a platformei administrate de baze de date cauzează întreruperea serviciului destinat clienților și întârzierea prelucrării tranzacțiilor.”

Pasul 1: definiți scenariul de risc și proprietarul

Politica pentru IMM-uri Politica de management al riscurilor cere descriere, probabilitate, impact, scor, proprietar și plan de tratament. Politica Clarysec pentru organizații Politica de management al riscurilor, secțiunea „Cerințe de guvernanță”, clauza 5.2.2, adaugă că registrul:

„Include proprietari de risc, scoruri de impact și probabilitate, planuri de tratament, termene-limită și referințe la controale”

Proprietarul nu este „IT”. Proprietarul responsabil este proprietarul serviciului, sprijinit de CISO, CTO, responsabilul de conformitate, responsabilul de furnizori și echipa financiară.

Pasul 2: estimați expunerea financiară

Echipa estimează:

  • €35,000 pe oră în venituri pierdute din tranzacții și credite SLA
  • €8,000 pe oră în costuri de suport, escaladare și gestionare a incidentului
  • €60,000 în costuri de remediere și comunicare cu clienții
  • €120,000 în pierdere potențială de clienți sau impact comercial
  • 10 ore ca indisponibilitate severă plauzibilă, pe baza istoricului furnizorului și a revizuirii arhitecturii

Impactul unei pierderi unice este:

10 × (€35,000 + €8,000) + €60,000 + €120,000 = €610,000

Probabilitatea curentă este estimată la 0.25 pe an. Pierderea anualizată estimată este:

€610,000 × 0.25 = €152,500

Pachetul de tratament propus include proiectarea unui failover multi-regiune, restaurare testată din backup, revizuirea SLA cu furnizorul, monitorizare sintetică, un exercițiu de simulare tabletop și actualizarea planului de exit. Costul din primul an este de €82,000, cu €34,000 cost recurent.

După tratament, probabilitatea reziduală este estimată la 0.10 pe an, iar impactul rezidual al unei pierderi unice la €350,000 datorită restaurării mai rapide. ALE rezidual este:

€350,000 × 0.10 = €35,000

Reducerea din primul an a expunerii anuale estimate este de aproximativ €117,500, înainte de a lua în calcul reziliența de reglementare, încrederea clienților și beneficiile contractuale.

Pasul 3: alegeți tratamentul și documentați rațiunea

Tratamentul riscului nu este întotdeauna atenuare pură. Politica Clarysec pentru IMM-uri Politica de management al riscurilor, secțiunea „Cerințe de implementare a politicii”, clauza 6.1.3, prevede:

„Transfer: utilizați contracte, acorduri privind nivelul serviciilor sau asigurări pentru a transfera riscul extern.”

Pentru acest scenariu, organizația alege un tratament mixt: reduce riscul prin reziliență tehnică, transferă o parte prin SLA și remedii contractuale și acceptă riscul rezidual cu aprobarea managementului.

Pasul 4: mapați tratamentul la Declarația de aplicabilitate

Politica Clarysec pentru organizații Politica de management al riscurilor, secțiunea „Alinierea Declarației de aplicabilitate (SoA)”, clauza 6.5.1, prevede:

„Deciziile privind controalele rezultate din procesul de tratament al riscului trebuie reflectate în SoA.”

Aici modelul financiar devine pregătit pentru audit. Scenariul de indisponibilitate a furnizorului se leagă de controalele ISO/IEC 27001:2022 Anexa A privind furnizorii, cloud, continuitate, incidente și perturbări. Se leagă și de securitatea lanțului de aprovizionare și continuitatea activității din NIS2, de riscul asociat terților TIC și testarea rezilienței din DORA, de securitatea GDPR și evaluarea încălcării dacă sunt afectate date cu caracter personal, precum și de rezultatele NIST CSF privind guvernanța, lanțul de aprovizionare, răspunsul și recuperarea.

Zenith Blueprint, faza Managementul riscurilor, pasul 13, „Planificarea tratamentului riscului și Declarația de aplicabilitate”, explică trasabilitatea:

„SoA este, în fapt, un document-punte: leagă evaluarea și tratamentul riscului de controalele reale pe care le aveți. Prin completarea sa, verificați încă o dată dacă ați omis controale.”

O justificare solidă pentru SoA ar putea spune: „Aplicabil deoarece indisponibilitatea bazei de date administrate afectează un serviciu critic pentru clienți, dependența de terți TIC, obligațiile contractuale față de clienți, angajamentele de continuitate și disponibilitatea potențială a datelor cu caracter personal. Controalele sunt selectate pentru a reduce o expunere anualizată cuantificată de €152,500 și pentru a susține riscul rezidual aprobat de management.”

Pasul 5: escaladați pe baza pragurilor

Politica Clarysec pentru organizații Politica de management al riscurilor, secțiunea „Cerințe de guvernanță”, clauza 5.6, cere:

„Matricea de autoritate privind riscurile trebuie să definească în mod clar pragurile de escaladare către managementul de vârf sau consiliul de administrație.”

O expunere anualizată de €152,500 poate depăși toleranța managementului local. Un risc cu valoare mai mică poate necesita totuși escaladare dacă afectează o funcție critică sau importantă, declanșează așteptări DORA, implică date cu caracter personal, amenință angajamentele față de clienți sau creează răspundere pentru organul de conducere conform NIS2.

Mapare de conformitate încrucișată: un risc cuantificat, mai multe obligații

Un risc cibernetic cuantificat nu ar trebui copiat în cinci foi de calcul de conformitate separate. Ar trebui să devină un singur obiect de risc cu mai multe perspective de conformitate.

Perspectivă de conformitateCe trebuie să arate riscul cuantificatArtefact de dovezi
ISO/IEC 27001:2022Criterii de risc, proprietar, probabilitate, consecință, tratament, acceptare reziduală, mapare SoA și dovezi operaționaleRegistrul de riscuri, planul de tratament al riscurilor, SoA, analiza efectuată de management, înregistrări de audit
NIS2Măsuri adecvate și proporționale, aprobarea și supravegherea de către organul de conducere, considerente privind incidentele și continuitatea, măsuri privind lanțul de aprovizionareProcese-verbale ale consiliului, registre de instruire, aprobări ale tratamentului riscului, flux de lucru pentru incidente
DORAGuvernanța riscului TIC, funcții critice sau importante, dependențe de terți TIC, testare, clasificarea incidentelor și strategia de reziliențăCadru de risc TIC, registru de informații, rezultatele testelor, clasificarea incidentelor, plan de exit
GDPRDomeniul datelor cu caracter personal, măsuri de securitate, implicații privind încălcările, responsabilitatea operatorului sau a persoanei împuternicite, contextul prelucrării legaleLegătură cu RoPA, DPIA unde este aplicabil, evaluarea încălcării, dovezi de securitate
NIST CSF 2.0Apetitul la risc, prioritizare standardizată, guvernanță, risc asociat furnizorilor, detecție, răspuns și rezultate de recuperareProfil curent și profil țintă, plan de acțiune, POA&M, înregistrări privind riscul furnizorilor
COBIT 2019Obiective de guvernanță, monitorizarea performanței, optimizarea riscului, decizii privind resursele și asigurareRaportare de guvernanță, metrici de performanță a controalelor, rapoarte de asigurare

NIS2 Article 21 este deosebit de relevant deoarece include analiza riscului, politici de securitate, gestionarea incidentelor, continuitatea activității, backup, recuperarea în caz de dezastru, managementul crizelor, securitatea lanțului de aprovizionare, dezvoltarea securizată, gestionarea vulnerabilităților, evaluarea eficacității, igienă cibernetică, instruire, criptografie, securitatea resurselor umane, controlul accesului, managementul activelor și autentificare.

DORA creează o disciplină similară pentru entitățile financiare, dar cu focalizare sectorială. Cere un cadru intern de guvernanță și control pentru riscul TIC, cu organul de conducere ca responsabil final. Se așteaptă la aprobarea și supravegherea politicilor TIC, rolurilor, strategiei de reziliență operațională digitală, toleranței la risc TIC, planurilor de continuitate și răspuns, planurilor de audit, bugetelor, instruirii, politicilor privind terții TIC și canalelor de raportare.

DORA oferă, de asemenea, evaluării cantitative a riscului un declanșator operațional direct: clasificarea incidentelor. Incidentele majore legate de TIC trebuie clasificate folosind criterii precum clienții, contrapărțile și tranzacțiile afectate, durata, perioada de indisponibilitate, răspândirea geografică, pierderile de date care afectează disponibilitatea, autenticitatea, integritatea sau confidențialitatea, criticitatea serviciilor afectate și impactul economic. Dacă modelul de risc estimează deja timpul de indisponibilitate, impactul asupra clienților, impactul asupra datelor și pierderea economică, acesta susține clasificarea incidentului atunci când are loc un eveniment real.

Corelarea controalelor care face verificabilă răspunderea consiliului

În Zenith Controls, Clarysec mapează controlul ISO/IEC 27002:2022 5.4, „Responsabilitățile managementului”, ca ancoră de guvernanță pentru responsabilitatea privind securitatea informației. Ghidul îl tratează ca preventiv, susținând confidențialitatea, integritatea și disponibilitatea, aliniat la conceptul de securitate cibernetică „Identify”, cu guvernanța drept capabilitate operațională și cu guvernanța plus ecosistemul drept domenii de securitate.

Acest lucru contează deoarece expunerea financiară cibernetică aparține procesului decizional al managementului. Zenith Controls leagă controlul ISO/IEC 27002:2022 5.4 de mai multe controale suport:

Relație cu controlul ISO/IEC 27002:2022De ce contează pentru riscul cuantificat
5.2 Roluri și responsabilități privind securitatea informațieiProprietarii de risc, proprietarii de control și autoritățile de escaladare trebuie definite
5.1 Politici pentru securitatea informațieiDeciziile privind riscurile cuantificate trebuie să fie aliniate cu angajamentele de politică aprobate
5.35 Revizuire independentă a securității informațieiRevizuirea independentă oferă managementului asigurare obiectivă asupra tratamentului riscului
5.36 Conformitatea cu politicile, regulile și standardele pentru securitatea informațieiMonitorizarea conformității arată dacă tratamentele funcționează conform intenției
5.8 Securitatea informației în managementul proiectelorProdusele noi și schimbările trebuie să includă din timp riscul cibernetic și expunerea financiară

Zenith Controls mapează, de asemenea, responsabilitățile managementului la clauzele ISO/IEC 27001:2022 5.1, 5.2 și 9.3, conectând leadershipul, politica și analiza efectuată de management. În plus, le mapează la clauzele ISO/IEC 27014:2020 6 și 7, care se concentrează pe cadre de guvernanță și procese pentru evaluarea, direcționarea, monitorizarea și comunicarea securității informației.

Lanțul de dovezi este direct:

  1. Managementul definește apetitul, toleranța și pragurile de escaladare.
  2. Proprietarii de risc cuantifică principalele riscuri cibernetice.
  3. Controalele sunt selectate și reflectate în SoA.
  4. Acțiunile de tratament sunt executate și monitorizate.
  5. Revizuirea independentă și monitorizarea conformității testează eficacitatea.
  6. Analiza efectuată de management evaluează performanța, incidentele, rezultatele auditului, resursele și acțiunile de îmbunătățire.
  7. Consiliul primește expunerea financiară, riscul rezidual și dovezile de responsabilitate în termeni de afaceri.

Politica Clarysec pentru IMM-uri Politica de management al riscurilor, secțiunea „Roluri și responsabilități”, clauza 4.1.1, consolidează acest rol de guvernanță:

„Stabilește apetitul la risc al organizației și aprobă cadrul de gestionare a riscurilor.”

Pentru un IMM, acesta poate fi directorul general sau proprietarul. Pentru o entitate financiară reglementată, acesta poate fi organul de conducere. Principiul responsabilității este același.

Cum vor testa auditorii și autoritățile de reglementare cifrele dumneavoastră

Evaluarea cantitativă a riscului cibernetic nu va fi auditată ca știință actuarială perfectă. Va fi auditată pentru metodă, consecvență, trasabilitate, guvernanță și dovezi.

Perspectiva auditorului sau evaluatoruluiCe va testaDovezi așteptate
ISO/IEC 27001:2022Clauza 6.1.2 privind evaluarea riscurilor, clauza 6.1.3 privind tratamentul riscului, deciziile SoA, aprobarea proprietarului de risc și clauza 9.3 privind analiza efectuată de managementCriterii de risc, registru, plan de tratament al riscurilor, SoA, aprobări, procese-verbale ale analizei efectuate de management
Autoritatea competentă NIS2Aprobarea și supravegherea de către organul de conducere, măsurile din Article 21, proporționalitatea, pregătirea pentru incidente și instruireaPachete pentru consiliu, înregistrări privind finalizarea instruirii, aprobări de risc, proceduri de incident, dovezi privind continuitatea
Supraveghetor DORA sau auditor internCadru de risc TIC, toleranța la risc TIC, funcții critice sau importante, testare, clasificarea incidentelor și riscul asociat terților TICRegistru de risc TIC, strategie de reziliență, registru de informații, rezultatele testelor, planuri de exit
Evaluator NIST CSF 2.0Rezultatele GOVERN, inclusiv GV.RM-02 privind apetitul și toleranța la risc și GV.RM-06 privind prioritizarea standardizatăProfil curent, profil țintă, plan de acțiune, legătură cu riscul la nivel de organizație
Evaluator COBIT 2019Guvernanța IT la nivel de organizație, optimizarea riscului, drepturi decizionale, alocarea resurselor și asigurareRaportare de guvernanță, metrici de performanță, rapoarte de asigurare

Politica Clarysec Politica de audit și monitorizare a conformității - IMM Politica de audit și monitorizare a conformității - IMM, secțiunea „Cerințe de guvernanță”, clauza 5.4.3, face explicită bucla de audit:

„Constatările de audit și actualizările de stare trebuie incluse în procesul de analiză efectuată de management al SMSI.”

Acest lucru este critic. Dacă modelul de risc estimează o expunere de €500,000, dar auditul intern constată că testul de restaurare a eșuat, riscul rezidual trebuie să se schimbe. Dacă planul de exit de la furnizor nu a fost testat, organizația nu ar trebui să accepte riscul rezidual ca și cum acel control ar fi matur. Dacă testarea DORA identifică o lacună critică, constatarea trebuie să alimenteze tratamentul, bugetul și analiza efectuată de management.

Zenith Blueprint, faza Audit, revizuire și îmbunătățire, pasul 28, „Analiza efectuată de management”, susține acest lucru prin recomandarea unor intrări pentru analiza efectuată de management, cum ar fi schimbări ale aspectelor interne și externe, cerințe de reglementare, rezultate ale auditului, monitorizare și măsurare, obiective, incidente, neconformități, oportunități de îmbunătățire și necesar de resurse. Într-un program de risc cibernetic cuantificat, pachetul pentru analiza efectuată de management ar trebui să includă principalele expuneri financiare, tendința de la ultima analiză, progresul tratamentului, acțiuni restante, risc rezidual peste toleranță și deciziile necesare.

Construirea unui pachet de risc cibernetic pentru consiliu

Un pachet de risc cibernetic pregătit pentru consiliu nu trebuie să înece directorii în numărători de vulnerabilități, variabile FAIR sau identificatori de control. Trebuie să traducă riscul cibernetic în decizii.

Pentru fiecare risc principal cuantificat, includeți:

  • Numele scenariului și serviciul de business afectat
  • Criticitatea serviciului sau funcției
  • Indicatori privind datele cu caracter personal, serviciul reglementat și dependența de furnizor
  • Estimarea curentă a impactului unei pierderi unice
  • Estimarea curentă a ratei anuale de apariție
  • Pierderea anualizată estimată curentă
  • Ipoteze și nivel de încredere
  • Controale curente și lacune cunoscute
  • Opțiuni de tratament și cost
  • Expunerea reziduală estimată după tratament
  • Relevanța pentru ISO/IEC 27001:2022, NIS2, DORA și GDPR
  • Proprietar de risc și decizia necesară
  • Referințe SoA și de politică
  • Termen-limită și data revizuirii

O perspectivă simplificată pentru consiliu poate arăta astfel:

Scenariu de riscALE curentCostul tratamentuluiALE rezidualFactor de reglementareDecizie
Indisponibilitatea bazei de date administrate care afectează prelucrarea tranzacțiilor€152,500€82,000€35,000Risc TIC DORA, tratament al riscului ISO, continuitatea furnizoruluiAprobarea tratamentului
Ransomware care afectează platforma de date a clienților€372,000€100,000€95,000Risc de încălcare GDPR, gestionarea incidentelor NIS2, controale ISO privind incidenteleAprobarea EDR și a backupurilor imuabile
Compromiterea accesului privilegiat în consola de administrare cloud€260,000€58,000€72,000Controlul accesului ISO, autentificare NIS2, integritatea datelor DORAAprobarea îmbunătățirii MFA și PAM
Risc de concentrare la furnizor SaaS critic€190,000€45,000€95,000Risc asociat terților DORA, lanț de aprovizionare NIS2, controale ISO privind furnizoriiAprobarea testării planului de exit

Cifrele sunt estimări, dar valoarea de guvernanță este reală. Consiliul poate compara prioritățile. CISO poate justifica cheltuielile. Finanțele pot valida ipotezele. Conformitatea poate lega deciziile de obligații. Auditorii pot urmări pista de audit.

Greșeli frecvente în cuantificarea riscului cibernetic

Prima greșeală este falsa precizie. Un model care pretinde o pierdere de €487,239.17 fără ipoteze clare este mai puțin credibil decât un interval cu bază documentată. Folosiți intervale acolo unde este adecvat și revizuiți ipotezele după incidente, audituri, schimbări ale furnizorilor și decizii arhitecturale majore.

A doua greșeală este contabilizarea doar a costului tehnic. Un incident cibernetic major poate implica pierderi de venituri, compensații pentru clienți, perturbări operaționale, raportare de reglementare, consultanță juridică, suport criminalistic, costuri de comunicare, penalități contractuale, pierderea clienților, timp de management și impact reputațional.

A treia greșeală este ignorarea severității de reglementare. O încălcare a securității datelor cu caracter personal poate fi majoră chiar dacă pierderea operațională directă pare modestă. Un incident DORA poate fi semnificativ din cauza criticității serviciului, perioadei de indisponibilitate, pierderii de date sau clienților afectați. Un incident NIS2 poate fi material deoarece cauzează perturbări operaționale severe, pierderi financiare sau prejudicii considerabile altora.

A patra greșeală este neactualizarea SoA. Dacă deciziile de tratament selectează monitorizarea furnizorilor, planificarea ieșirii din cloud, colectarea dovezilor privind incidentele, pregătirea TIC pentru continuitatea activității sau controale pentru perturbări, SoA trebuie să reflecte controalele aplicabile și starea implementării.

A cincea greșeală este excluderea echipei financiare. Evaluarea cantitativă a riscului cibernetic este cea mai solidă atunci când securitatea, finanțele, juridicul, operațiunile, produsul și conformitatea convin asupra ipotezelor de impact. CISO nu ar trebui să inventeze singur cifre privind pierderea veniturilor.

A șasea greșeală este tratarea asigurării ca transfer complet al riscului. Asigurarea poate reduce impactul financiar, dar nu elimină răspunderea de reglementare, perturbarea serviciului, afectarea încrederii clienților sau responsabilitatea managementului.

Unde se încadrează Clarysec

Clarysec ajută organizațiile să construiască un program de risc cibernetic suficient de practic pentru IMM-uri și suficient de riguros pentru medii reglementate.

Zenith Blueprint ghidează organizația de la domeniul de aplicare și context până la criterii de risc, evaluare calitativă și cantitativă, planificarea tratamentului, trasabilitatea SoA, audit, analiza efectuată de management și îmbunătățire. Zenith Controls ajută la maparea așteptărilor privind controalele ISO/IEC 27001:2022 și ISO/IEC 27002:2022 la alte cadre, audituri și obligații de guvernanță. Politicile Clarysec oferă limbajul pe care auditorii îl așteaptă, inclusiv apetitul la risc, matricele de autoritate, opțiunile de tratament, registrele de conformitate, alinierea SoA și integrarea analizei efectuate de management.

Politica pentru IMM-uri Politica de conformitate juridică și de reglementare Politica de conformitate juridică și de reglementare - IMM, secțiunea „Cerințe de guvernanță”, clauza 5.1.1, începe cu o obligație simplă:

„Directorul general trebuie să mențină un registru de conformitate simplu și structurat, care să enumere:”

Acest registru simplu contează. Obligațiile legale, de reglementare și contractuale trebuie să fie vizibile în SMSI. Pentru riscul cantitativ, aceasta înseamnă că NIS2, DORA, GDPR, contractele cu clienții, SLA-urile, obligațiile de externalizare, obligațiile de raportare a incidentelor și angajamentele de audit influențează impactul, prioritatea tratamentului și escaladarea.

Politica Clarysec pentru organizații Politica de management al riscurilor, secțiunea „Standarde și cadre de referință”, clauza 11.9.1, reflectă direct și guvernanța de tip DORA:

„Article 5: impune un cadru documentat de management al riscurilor TIC, acoperit integral de structura acestei politici, inclusiv maparea SoA și KRI.”

Acesta este modelul Clarysec într-o singură frază: management documentat al riscului TIC, mapat la controale, măsurat prin indicatori, revizuit de management și susținut cu dovezi pentru audit.

Pașii următori: faceți registrul de riscuri cibernetice din 2026 defensabil financiar

Dacă registrul de riscuri cibernetice curent încă spune „Ridicat” fără a explica expunerea financiară, economia tratamentului sau impactul de reglementare, începeți cu cinci acțiuni în acest trimestru:

  1. Selectați primele 5 până la 10 scenarii de risc cibernetic în funcție de impactul asupra activităților organizației.
  2. Definiți praguri de impact financiar pentru Minor, Moderat, Major și Sever.
  3. Estimați impactul unei pierderi unice, rata anuală de apariție și pierderea anualizată estimată pentru fiecare scenariu principal.
  4. Mapați fiecare decizie de tratament la controalele ISO/IEC 27001:2022, SoA, obligațiile NIS2 sau DORA unde este aplicabil, implicațiile GDPR și rezultatele de guvernanță NIST CSF.
  5. Prezentați riscul rezidual, costul tratamentului și pragurile de escaladare în cadrul analizei efectuate de management.

Clarysec vă poate ajuta să transformați acest proces într-un sistem repetabil de dovezi folosind Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, politica Clarysec pentru organizații Politica de management al riscurilor Politica de management al riscurilor, politica pentru IMM-uri Politica de management al riscurilor Politica de management al riscurilor - IMM și șabloanele suport de audit și conformitate.

Scopul nu este să faceți riscul cibernetic perfect predictibil. Scopul este să îl faceți explicabil, comparabil, semnificativ financiar și verificabil în audit.

Descărcați șabloanele Clarysec pentru politici de risc și conformitate, explorați Zenith Blueprint sau programați o evaluare Clarysec pentru a transforma registrul de riscuri cibernetice din 2026 în dovezi pregătite pentru consiliu pentru ISO/IEC 27001:2022, NIS2, DORA și GDPR.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Guvernanța securității fluxurilor CI/CD pentru auditurile din 2026

Guvernanța securității fluxurilor CI/CD pentru auditurile din 2026

Un ghid practic pentru directorii securității informației privind guvernanța fluxurilor CI/CD ca sisteme auditabile ale lanțului de aprovizionare software, cu proveniența build-ului, runnere securizate, artefacte semnate, dovezi de implementare și mapări la politicile Clarysec.