Registre de contacte de reglementare NIS2 și DORA pentru ISO 27001
Incidentul de la 02:17: când lista de contacte devine controlul
La ora 02:17, într-o marți, analistul SOC observă tiparul pe care nimeni nu vrea să îl vadă. Un cont de serviciu privilegiat s-a autentificat dintr-o zonă geografică neobișnuită, înregistrările clienților au fost interogate în succesiune, iar un furnizor de detecție administrată a deschis un tichet cu severitate ridicată. În câteva minute, coordonatorul incidentului confirmă îngrijorarea: indicatorii de ransomware se propagă lateral, un serviciu critic de producție este degradat, iar datele clienților pot fi implicate.
Răspunsul tehnic începe rapid. Stațiile și serverele afectate sunt izolate, jurnalele de identitate sunt extrase, instantaneele din cloud sunt păstrate, iar furnizorul de securitate administrată se alătură conferinței de coordonare. Apoi începe panica rece.
Directorul securității informației (CISO) întreabă: „Pe cine notificăm?”
Departamentul juridic spune că autoritatea pentru protecția datelor ar putea trebui implicată. Responsabilul cu protecția datelor (DPO) întreabă dacă aceasta este o încălcare a securității datelor cu caracter personal. Directorul operațional (COO) spune că furnizorul cloud trebuie escaladat conform clauzei de suport enterprise. Managerul de conformitate întreabă dacă entitatea este o entitate importantă în sensul NIS2 sau dacă DORA se aplică deoarece serviciul susține o entitate financiară reglementată. Consiliul de administrație vrea să știe ce trebuie să se întâmple în primele 24 de ore.
Nimeni nu contestă necesitatea comunicării. Problema este că datele de contact, fluxul de aprobare, declanșatorii juridici și cerințele privind dovezile sunt dispersate într-o foaie de calcul veche de continuitate a activității, în contracte cu furnizorii, fire de e-mail, un wiki de conformitate depășit și telefonul unei singure persoane.
Aceasta nu este doar o dificultate operațională. În 2026, este o lacună de conformitate.
NIS2 a transformat notificarea etapizată a incidentelor într-o obligație de guvernanță, incluzând avertizarea timpurie în termen de 24 de ore, notificarea în termen de 72 de ore și un raport final în termen de o lună pentru incidente semnificative. DORA a creat un regim dedicat de reziliență operațională digitală pentru entitățile financiare, incluzând managementul incidentelor TIC, clasificarea, raportarea către autoritățile de supraveghere, riscul asociat terților TIC și comunicarea în situații de criză. GDPR rămâne relevant ori de câte ori sunt implicate date cu caracter personal. ISO/IEC 27001:2022 transformă aceste obligații în dovezi verificabile ale sistemului de management.
Un registru al contactelor de reglementare pare administrativ. Nu este. Este țesutul conjunctiv dintre răspunsul la incidente, notificarea juridică, continuitatea activității, coordonarea furnizorilor, responsabilitatea conducerii executive și dovezile de audit.
Clarysec tratează acest aspect ca pe o problemă de dovezi, nu ca pe un exercițiu birocratic. În Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului Zenith Blueprint, pasul 22 din faza Controale în acțiune explică de ce contactul cu autoritățile trebuie predefinit:
Controlul 5.5 asigură că o organizație este pregătită să interacționeze cu autoritățile externe atunci când este necesar, nu reactiv sau sub presiune, ci prin canale predefinite, structurate și bine înțelese.
Aceasta este lecția reală a incidentului de la 02:17. Momentul potrivit pentru a găsi portalul de notificare al autorității de reglementare, telefonul de permanență al CSIRT, contactul de rezervă al DPO, canalul de raportare al supraveghetorului financiar și ruta de escaladare a furnizorului este înainte de incident, nu atunci când termenul de raportare curge deja.
De ce registrele contactelor de reglementare au devenit o prioritate de conformitate în 2026
Multe organizații au deja liste de contacte de urgență. Problema este că NIS2 și DORA cer ceva mai disciplinat decât o listă de nume și numere de telefon. Acestea cer o guvernanță a contactelor corectă, bazată pe roluri și pregătită pentru audit, corelată cu declanșatori juridici, autoritate de escaladare, termene de raportare și dependențe de furnizori.
NIS2 se aplică unui set larg de entități esențiale și importante din sectoare precum energie, transport, sector bancar, infrastructuri ale pieței financiare, sănătate, apă potabilă, apă uzată, infrastructură digitală, managementul serviciilor TIC, administrație publică și spațiu. Include, de asemenea, mulți furnizori digitali, inclusiv servicii de cloud computing, servicii de centre de date, rețele de livrare a conținutului, furnizori de servicii administrate, furnizori de servicii de securitate administrate, piețe online, motoare de căutare online și platforme de rețele sociale. Statele membre au avut obligația să stabilească liste ale entităților esențiale și importante până la 17 aprilie 2025 și să le actualizeze cel puțin o dată la doi ani. Pentru mulți furnizori de cloud, SaaS, servicii administrate și platforme digitale, expunerea la reglementare a trecut de la teoretică la operațională.
DORA se aplică din 17 ianuarie 2025 entităților financiare precum instituții de credit, instituții de plată, instituții emitente de monedă electronică, firme de investiții, furnizori de servicii de criptoactive, locuri de tranzacționare, depozitari centrali de titluri de valoare, contrapărți centrale, societăți de asigurare și reasigurare și alte organizații acoperite din sectorul financiar. DORA este, de asemenea, foarte relevantă pentru ecosistemul terților TIC, deoarece entitățile financiare trebuie să gestioneze furnizorii care susțin funcții critice sau importante. DORA Article 17 impune un proces de management al incidentelor legate de TIC, Article 18 stabilește așteptările de clasificare, iar Article 19 reglementează raportarea incidentelor majore legate de TIC către autoritatea competentă.
GDPR adaugă dimensiunea protecției datelor. Un incident de securitate cibernetică poate deveni o încălcare a securității datelor cu caracter personal dacă implică distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat, accidental ori ilegal, la date cu caracter personal. Operatorul de date trebuie să poată demonstra responsabilitatea, să evalueze riscul pentru persoane și, acolo unde este necesar, să notifice autoritatea de supraveghere și, posibil, persoanele vizate afectate.
Prin urmare, un registru matur al contactelor de reglementare trebuie să răspundă sub presiune la cinci întrebări:
- Ce CSIRT, autoritate competentă, supraveghetor financiar, autoritate pentru protecția datelor și contact din partea organelor de aplicare a legii se aplică acestei entități juridice, acestei jurisdicții și acestui serviciu?
- Ce rol intern este autorizat să inițieze contactul, să aprobe formularea și să transmită notificările?
- Ce furnizori trebuie contactați pentru izolare, jurnale, restaurare, conservarea dovezilor sau raportare contractuală?
- Ce rută de comunicare către clienți, contrapărți sau public este declanșată la fiecare nivel de severitate?
- Cum demonstrăm că registrul a fost revizuit, testat și utilizat corect?
Răspunsul nu poate exista doar în inboxul departamentului juridic sau în memoria CISO. Trebuie să fie o înregistrare controlată a SMSI.
Ce conține un registru al contactelor NIS2 și DORA pregătit pentru dovezi
Un registru al contactelor de reglementare trebuie proiectat pentru utilizare în timpul unui incident real. Dacă coordonatorul incidentului trebuie să ia prima decizie de escaladare în câteva minute, registrul nu poate fi o listă vagă de site-uri web. Trebuie să fie structurat, verificat și corelat cu manualul operațional de răspuns la incidente.
| Câmpul registrului | De ce contează într-un incident | Valoarea ca dovadă |
|---|---|---|
| Tipul autorității sau al părții interesate | Distinge între CSIRT, autoritate competentă, supraveghetor financiar, autoritate pentru protecția datelor, organe de aplicare a legii, furnizor, grup de clienți și rol intern | Arată că părțile interesate și canalele de notificare au fost identificate |
| Denumirea organismului sau a entității specifice | Identifică exact autoritatea de reglementare, supraveghetorul, furnizorul, grupul de clienți sau funcția internă | Reduce riscul de destinatar greșit și jurisdicție greșită |
| Jurisdicția și entitatea juridică | Previne notificările către țara sau entitatea greșită în grupuri transfrontaliere | Susține domeniul de aplicare, aplicabilitatea și maparea de reglementare |
| Condiția declanșatoare | Corelează contactul cu incident semnificativ NIS2, incident major legat de TIC DORA, încălcare a securității datelor cu caracter personal GDPR sau notificare contractuală | Arată logica decizională documentată |
| Canal principal de contact | Furnizează portalul, e-mailul, telefonul, ruta de mesagerie securizată sau canalul de suport cu prioritate ridicată | Susține raportarea și escaladarea la timp |
| Canal de contact de rezervă | Asigură reziliență atunci când canalul principal nu este disponibil | Demonstrează continuitatea comunicării |
| Proprietar intern autorizat | Definește cine poate contacta, aproba sau transmite informații | Susține responsabilitatea și separarea atribuțiilor |
| Dovezi necesare înainte de contact | Enumeră fapte, evaluarea severității, serviciile afectate, indicatorii de compromitere, impactul asupra clienților și stadiul revizuirii juridice | Susține notificarea la timp, dar controlată |
| Data ultimei validări și validatorul | Confirmă revizuirea periodică și reduce riscul contactelor depășite | Furnizează dovezi de audit privind mentenanța |
| Referință la test sau exercițiu | Corelează contactul cu exerciții tabletop, simulări sau utilizare în incidente reale | Arată eficacitatea operațională |
| Locația de păstrare | Indică SMSI, platforma GRC, sistemul de gestionare a tichetelor sau depozitul securizat | Susține repetabilitatea și recuperarea pentru audit |
Un registru complet trebuie să includă cel puțin șase familii de contacte.
În primul rând, autorități oficiale de securitate cibernetică: CSIRT-uri naționale, autorități competente, puncte unice de contact acolo unde este cazul și agenții sectoriale de securitate cibernetică.
În al doilea rând, supraveghetori financiari pentru DORA: autorități competente și canale de raportare utilizate pentru raportarea inițială, intermediară și finală a incidentelor majore legate de TIC.
În al treilea rând, autorități pentru protecția datelor: autorități de protecție a datelor, logica autorității principale de supraveghere pentru prelucrări transfrontaliere și căi de escaladare către DPO.
În al patrulea rând, organe de aplicare a legii: unități de criminalitate informatică, unități antifraudă și contacte de urgență pentru extorcare, ransomware, acces neautorizat și conservarea dovezilor.
În al cincilea rând, furnizori și terți TIC: furnizori cloud, furnizori de securitate administrată, furnizori de servicii administrate, platforme de identitate, procesatori de plăți, furnizori de criminalistică digitală și consilieri juridici.
În al șaselea rând, roluri interne de escaladare: coordonatorul incidentului, CISO, DPO, consilierul juridic general, responsabilul de comunicare, responsabilul pentru continuitate, aprobatorul executiv, legătura cu consiliul de administrație și proprietarul serviciului.
Registrul trebuie să includă și grupuri de interes special acolo unde este relevant, cum ar fi ISAC-uri sau comunități sectoriale de schimb de informații. Acestea nu sunt autorități de reglementare, dar pot deveni canale importante pentru informații privind amenințările și răspuns coordonat.
Zenith Blueprint face acest lucru practic în pasul 22:
Creați sau actualizați proceduri pentru interacțiunea cu autoritățile în timpul evenimentelor de securitate (5.5), incluzând datele de contact ale CERT-urilor locale, autorităților de reglementare și organelor de aplicare a legii. Mențineți o listă similară de contacte pentru participarea la forumuri de securitate sau grupuri sectoriale (5.6). Stocați aceste informații într-o locație accesibilă, dar protejată prin control al accesului, și includeți-le în runbook-ul de răspuns la incidente.
Ultima propoziție contează. Dacă registrul nu este în manualul operațional de răspuns la incidente, este puțin probabil să fie utilizat atunci când presiunea este reală.
Exemplu de structură a registrului de contacte pentru un furnizor FinTech sau SaaS
Imaginați-vă un furnizor fintech SaaS care susține analitica plăților pentru clienți din UE. Acesta utilizează un furnizor cloud, un furnizor de detecție administrată, o platformă de identitate, o platformă de suport pentru clienți și consilier juridic extern. În funcție de rolul său, poate fi o entitate financiară, un furnizor terț de servicii TIC, un furnizor digital aflat în domeniul de aplicare NIS2 sau o persoană împuternicită pentru date cu caracter personal conform GDPR.
Un registru practic ar putea începe astfel:
| Tipul autorității sau entității | Organismul sau denumirea specifică | Punct de contact | Metodă principală | Metodă de rezervă | Declanșator pentru contact | Proprietar |
|---|---|---|---|---|---|---|
| CSIRT NIS2 | CSIRT național | Punct de primire pentru răspuns la incidente | Portal securizat | E-mail de urgență | Incident cibernetic semnificativ care afectează serviciile | CISO |
| Supraveghetor DORA | Autoritate financiară națională | Birou de raportare a incidentelor TIC | Portalul supraveghetorului | Telefon desemnat | Incident major legat de TIC | Responsabil conformitate |
| Autoritate pentru protecția datelor GDPR | Autoritatea pentru protecția datelor | Unitate de notificare a încălcărilor | Formular web | Legătură DPO cu autoritatea | Evaluarea riscului privind încălcarea securității datelor cu caracter personal indică faptul că notificarea poate fi necesară | DPO |
| Organe de aplicare a legii | Unitate națională de criminalitate informatică | Ofițer de permanență | Linie oficială de raportare | Ofițer local de legătură | Activitate infracțională suspectată, extorcare sau necesitate de conservare a dovezilor | Responsabil juridic |
| Furnizor cloud critic | Denumirea furnizorului cloud | Suport de securitate enterprise | Portal de tichete cu prioritate ridicată | Technical account manager | Incident care afectează tenantul, jurnalele, izolarea sau restaurarea | Responsabil Cloud Ops |
| Furnizor de detecție administrată | Denumirea furnizorului MDR | Responsabil escaladare SOC | Linie de escaladare 24x7 | Contact de escaladare pentru cont | Detecție confirmată cu severitate ridicată sau cerință de suport criminalistic | Coordonatorul incidentului |
| Executiv intern | CEO sau executiv delegat | Escaladare executivă | Mobil direct | Asistent executiv | Orice incident care necesită notificare externă sau decizie privind impactul public | CISO |
| Comunicare internă | Responsabil PR sau comunicare | Responsabil comunicare de criză | Mobil direct | Canal de colaborare | Comunicarea către clienți, media sau piață poate fi necesară | Consilierul juridic general |
Intrările nu trebuie să conțină date cu caracter personal inutile. Utilizați contacte bazate pe roluri ori de câte ori este posibil, protejați datele de contact sensibile și asigurați disponibilitatea offline în timpul unei indisponibilități majore. Un registru accesibil doar din aceleași sisteme afectate de un incident ransomware nu este rezilient.
Maparea registrului la dovezile ISO/IEC 27001:2022
Auditorii rareori sancționează o organizație pentru că îi lipsește o foaie de calcul. O sancționează pentru că organizația nu poate demonstra că foaia de calcul este completă, actuală, aprobată, protejată, testată și conectată la procese reale.
ISO/IEC 27001:2022 începe cu contextul organizației. Clauzele 4.1 până la 4.4 cer organizației să înțeleagă aspectele interne și externe, să identifice părțile interesate și cerințele acestora, să definească domeniul de aplicare al SMSI și să înțeleagă interfețele și dependențele. Un registru al contactelor de reglementare este o dovadă solidă că cerințele legale, de reglementare, contractuale și ale părților interesate au fost transformate în relații operaționale.
Urmează leadershipul. Clauzele 5.1 până la 5.3 cer conducerii de vârf să demonstreze leadership, să atribuie responsabilități, să asigure comunicarea și să susțină SMSI. Dacă registrul identifică cine este autorizat să notifice un CSIRT, un supraveghetor sau o autoritate pentru protecția datelor, cine aprobă comunicările externe și cine raportează starea incidentului către conducerea de vârf, acesta susține dovezile de leadership.
Planificarea riscurilor transformă apoi obligațiile în acțiune. Clauzele 6.1.1 până la 6.1.3 impun un proces de evaluare a riscurilor și de tratare a riscurilor, comparația cu Anexa A, o Declarație de aplicabilitate, un Plan de tratare a riscurilor și acceptarea riscului rezidual. Registrul trebuie să apară în planul de tratare pentru riscuri precum eșecul notificării legale, întârzierea escaladării incidentului, eșecul răspunsului furnizorului, eroarea de notificare transfrontalieră și întreruperea comunicării pentru continuitatea activității.
Reperele de control din Anexa A sunt clare:
| Control ISO/IEC 27001:2022 | Denumirea controlului | Relevanța registrului |
|---|---|---|
| A.5.5 | Contactul cu autoritățile | Stabilește contacte predefinite cu autoritățile pentru incidente și evenimente de reglementare |
| A.5.6 | Contactul cu grupurile de interes special | Susține schimbul sectorial de informații și coordonarea informațiilor privind amenințările |
| A.5.19 | Securitatea informației în relațiile cu furnizorii | Corelează contactele furnizorilor cu obligațiile de securitate și rutele de escaladare |
| A.5.20 | Abordarea securității informației în acordurile cu furnizorii | Asigură că notificarea și canalele de suport sunt susținute contractual |
| A.5.21 | Managementul securității informației în lanțul de aprovizionare TIC | Conectează furnizorii TIC critici la fluxurile de răspuns și recuperare |
| A.5.22 | Monitorizarea, revizuirea și managementul schimbărilor pentru serviciile furnizorilor | Menține actuale contactele furnizorilor atunci când serviciile sau furnizorii se schimbă |
| A.5.23 | Securitatea informației pentru utilizarea serviciilor cloud | Susține escaladarea incidentelor cloud, accesul la dovezi și restaurarea |
| A.5.24 | Planificarea și pregătirea managementului incidentelor de securitate a informației | Integrează registrul în planificarea răspunsului la incidente |
| A.5.25 | Evaluarea și decizia privind evenimentele de securitate a informației | Corelează declanșatorii cu evaluarea raportabilității și jurnalele de decizie |
| A.5.26 | Răspunsul la incidente de securitate a informației | Susține coordonarea externă în timpul răspunsului |
| A.5.27 | Învățarea din incidentele de securitate a informației | Determină actualizări ale registrului după incidente și exerciții |
| A.5.28 | Colectarea dovezilor | Susține notificările păstrate, confirmările de primire, notele de apel și feedbackul autorității de reglementare |
| A.5.29 | Securitatea informației în timpul perturbărilor | Asigură disponibilitatea canalelor de comunicare în timpul perturbării |
| A.5.30 | Pregătirea TIC pentru continuitatea activității | Corelează guvernanța contactelor cu planurile de continuitate și recuperare |
| A.5.31 | Cerințe legale, statutare, de reglementare și contractuale | Mapează contactele la obligațiile legale și contractuale de notificare |
| A.5.34 | Confidențialitatea și protecția PII | Asigură integrarea căilor DPO și ale autorității pentru protecția datelor pentru încălcări ale securității datelor cu caracter personal |
| A.8.15 | Jurnalizare | Furnizează faptele și dovezile necesare pentru notificare |
| A.8.16 | Activități de monitorizare | Permite detectarea timpurie și escaladarea la timp în fluxurile de notificare |
În Zenith Controls: ghidul de conformitate transversală Zenith Controls, contactul cu autoritățile este tratat ca controlul 5.5, cu caracteristici preventive și corective. Acesta susține Confidențialitatea, Integritatea și Disponibilitatea și se conectează la conceptele de securitate cibernetică Identify, Protect, Respond și Recover. Zenith Controls îl leagă de planificarea incidentelor, raportarea evenimentelor, informații privind amenințările, grupuri de interes special și răspuns la incidente. Ghidul explică, de asemenea, de ce contactele prestabilite cu autoritățile de reglementare, organele de aplicare a legii, CERT-urile naționale sau agențiile de protecție a datelor permit escaladare și îndrumare mai rapide în timpul unor evenimente precum încălcări semnificative sau atacuri ransomware.
Controlul nu este izolat. Zenith Controls mapează și controlul 6.8, raportarea evenimentelor de securitate a informației, ca un control de detectare legat de planificarea incidentelor, evaluarea evenimentelor, răspuns, lecții învățate, conștientizare, monitorizare și proces disciplinar. Controlul 5.24, planificarea și pregătirea managementului incidentelor de securitate a informației, se conectează la evaluarea evenimentelor, lecții învățate, jurnalizare, monitorizare, securitate în timpul perturbărilor, continuitate și contact cu autoritățile. Povestea de audit devine mai solidă atunci când evenimentele sunt raportate, evaluate, escaladate, comunicate, susținute cu dovezi și îmbunătățite.
NIS2, DORA și GDPR: un registru, termene juridice diferite
Un singur incident poate declanșa mai multe fluxuri juridice. Accesul neautorizat la un furnizor SaaS ar putea fi un incident semnificativ NIS2, o încălcare a securității datelor cu caracter personal GDPR și un eveniment contractual de notificare a clienților. O indisponibilitate la o entitate financiară ar putea fi un incident major legat de TIC conform DORA, necesitând în același timp analiză GDPR și coordonare cu furnizorii.
NIS2 impune entităților esențiale și importante să notifice fără întârzieri nejustificate CSIRT-ul sau autoritatea competentă cu privire la incidentele semnificative care afectează furnizarea serviciilor. Modelul de raportare etapizată include o avertizare timpurie fără întârzieri nejustificate și în termen de 24 de ore de la luarea la cunoștință, o notificare a incidentului fără întârzieri nejustificate și în termen de 72 de ore, rapoarte intermediare de stare la cerere și un raport final în termen de o lună după notificarea incidentului. Dacă incidentul este încă în desfășurare, poate fi necesară și raportarea progresului.
DORA impune entităților financiare să mențină un proces de management al incidentelor legate de TIC care detectează, gestionează și notifică incidentele, înregistrează incidentele și amenințările cibernetice semnificative, clasifică severitatea și criticitatea, atribuie roluri, definește escaladarea și comunicarea, raportează incidentele majore către conducerea superioară și susține recuperarea la timp. Raportarea incidentelor majore legate de TIC urmează logica raportării inițiale, intermediare și finale, cu clasificare bazată pe factori precum clienții afectați, durata, răspândirea geografică, pierderea datelor, criticitatea serviciilor și impactul economic.
GDPR adaugă evaluarea încălcării securității datelor cu caracter personal. Un registru al contactelor nu decide singur raportabilitatea juridică. El asigură că persoanele potrivite pot decide rapid, folosind canale actuale și criterii documentate.
Biblioteca de politici Clarysec face acest lucru operațional. În Politica de răspuns la incidente pentru IMM Politica de răspuns la incidente - IMM, clauza 5.1.1 prevede:
Directorul general (GM) este responsabil pentru autorizarea tuturor deciziilor de escaladare a incidentelor, notificărilor de reglementare și comunicărilor externe.
Aceeași politică pentru IMM, clauza 7.4.1, adaugă:
Atunci când sunt implicate date ale clienților, directorul general trebuie să evalueze obligațiile legale de notificare pe baza aplicabilității GDPR, NIS2 sau DORA.
Pentru medii enterprise, Politica de răspuns la incidente Politica de răspuns la incidente, clauza 5.5, stabilește cadrul de comunicare:
Toate comunicările legate de incidente trebuie să urmeze Matricea de comunicare și escaladare, asigurând:
Clauza 6.4.2 adaugă cerința privind dovezile:
Toate notificările încălcărilor trebuie documentate și aprobate înainte de transmitere, iar copiile trebuie păstrate în SMSI.
Aici registrul devine dovadă ISO. Nu este vorba doar despre a ști pe cine să suni. Este vorba despre a arăta cine a fost autorizat, ce a fost evaluat, ce a fost aprobat, ce a fost transmis și unde se află copia păstrată.
Modelul de dovezi Clarysec: patru artefacte care funcționează împreună
O capabilitate solidă privind contactele de reglementare necesită patru artefacte care funcționează ca un singur lanț de dovezi.
Registrul contactelor de reglementare identifică persoanele de contact, canalele, declanșatorii și proprietarii. Matricea de comunicare și escaladare definește cine face ce. Jurnalul de decizie înregistrează clasificarea, evaluarea raportabilității, revizuirea juridică și aprobarea. Pachetul de dovezi al notificării păstrează notificările transmise, confirmările din portaluri, e-mailurile, notele de apel, feedbackul autorității de reglementare, răspunsurile furnizorilor și rapoartele finale.
Politica de conformitate juridică și de reglementare Clarysec Politica de conformitate juridică și de reglementare - IMM face explicit conceptul de registru. Clauza 5.5.2 prevede:
Termenii-cheie de conformitate (de exemplu, termenele de notificare a încălcărilor și clauzele privind gestionarea datelor) trebuie extrași și urmăriți în Registrul de conformitate.
Registrul de conformitate trebuie să alimenteze registrul contactelor de reglementare. Cerința legală ar putea spune „avertizare timpurie NIS2 în termen de 24 de ore”, în timp ce registrul contactelor identifică portalul CSIRT național, numărul de permanență de rezervă, persoana autorizată să transmită notificarea, revizorul juridic, dovezile necesare și calea de păstrare.
Politicile privind continuitatea activității consolidează aceeași așteptare. Politica privind continuitatea activității și recuperarea în caz de dezastru pentru IMM Politica privind continuitatea activității și recuperarea în caz de dezastru - IMM, clauza 5.2.1.1, se referă la:
liste de contacte și planuri alternative de comunicare
Politica privind continuitatea activității și recuperarea în caz de dezastru pentru întreprinderi Politica privind continuitatea activității și recuperarea în caz de dezastru, clauza 5.3.3, cere ca aranjamentele de continuitate să fie:
Susținute de liste de contacte actualizate și fluxuri de escaladare
Guvernanța furnizorilor aparține, de asemenea, modelului. În Politica de securitate privind terții și furnizorii pentru IMM Politica de securitate privind terții și furnizorii - IMM, clauza 5.4.3 impune o:
Persoană de contact desemnată
Pentru NIS2 și DORA, acel contact nu poate fi generic. Dacă un furnizor cloud critic, un furnizor de servicii de securitate administrate, un furnizor de identitate sau un procesator de plăți susține un serviciu reglementat, registrul trebuie să identifice contactul operațional, contactul pentru incidente de securitate, canalul de notificare contractuală și ruta de escaladare pentru solicitări de dovezi.
Construiți registrul într-o singură sesiune de lucru
Un registru util poate fi construit rapid dacă persoanele potrivite sunt în cameră. Programați o sesiune de două ore cu CISO, DPO, consilierul juridic, managerul de furnizori, responsabilul pentru continuitate, coordonatorul incidentului și proprietarul de conformitate.
Începeți cu Registrul de conformitate. Extrageți obligațiile NIS2, DORA, GDPR, contractuale și sectoriale de raportare. Înregistrați termenele, criteriile de raportabilitate și cerințele privind dovezile.
Deschideți manualul operațional de răspuns la incidente. Pentru fiecare categorie de incident, cum ar fi ransomware, acces neautorizat, indisponibilitate a serviciului, exfiltrare de date, incident al furnizorului și indisponibilitate a unei regiuni cloud, identificați contactele externe necesare.
Completați registrul contactelor de reglementare cu autoritatea, jurisdicția, declanșatorul, canalul principal, canalul de rezervă, proprietarul, aprobatorul, dovezile necesare, data ultimei validări și locația de păstrare.
Corelați contactele furnizorilor. Pentru fiecare funcție critică sau importantă, identificați contactul furnizorului pentru incidente de securitate, canalul de notificare contractuală, contactul de audit și calea de escaladare de urgență.
Revizuiți în raport cu politicile. Confirmați că autoritatea de escaladare corespunde Politicii de răspuns la incidente, că dovezile notificărilor sunt păstrate în SMSI, că listele de contacte pentru continuitatea activității sunt aliniate și că persoanele de contact ale furnizorilor au proprietari desemnați.
Testați un scenariu. Utilizați un exercițiu tabletop focalizat: „Expunere a datelor clienților detectată la 02:17, afectând clienți din UE și posibil cauzată de compromiterea credențialelor furnizorului de identitate.” Cereți echipei să identifice dacă pot fi necesare notificări către CSIRT, autoritatea pentru protecția datelor, supraveghetorul financiar, furnizor și clienți. Scopul nu este forțarea unei concluzii juridice finale în timpul exercițiului. Scopul este să se demonstreze unde se găsesc contactele, cine aprobă contactarea, ce dovezi sunt necesare și unde sunt jurnalizate deciziile.
Creați pachetul de dovezi. Salvați versiunea registrului, participanții la ședință, aprobările, notele de scenariu, jurnalul de decizie, acțiunile și referința actualizată la manualul operațional.
Aici pasul 23 din Zenith Blueprint devine practic:
Asigurați-vă că aveți un Plan de răspuns la incidente (5.24) actualizat, care acoperă pregătirea, escaladarea, răspunsul și comunicarea. Definiți ce constituie un eveniment de securitate raportabil (5.25) și cum este declanșat și documentat procesul decizional. Selectați un eveniment recent sau desfășurați un exercițiu de tip tabletop pentru a vă valida planul.
Exercițiul nu trebuie să fie elaborat. Trebuie să demonstreze pregătirea.
Mapare transversală a conformității: un registru, mai multe cadre
Valoarea unui registru al contactelor de reglementare constă în reducerea efortului duplicat de conformitate. Un artefact pregătit pentru dovezi poate susține așteptările de guvernanță din ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 și COBIT 2019.
| Cadru | Ce susține registrul | Dovezi așteptate de auditori sau evaluatori |
|---|---|---|
| ISO/IEC 27001:2022 | Părți interesate, cerințe legale, contact cu autoritățile, managementul incidentelor, guvernanța furnizorilor, continuitate și colectarea dovezilor | Domeniu de aplicare, Declarație de aplicabilitate, registru, aprobări, istoric al revizuirilor, înregistrări tabletop și jurnale ale incidentelor |
| NIS2 | Contact cu CSIRT sau autoritatea competentă, notificare etapizată a incidentelor semnificative, responsabilitatea conducerii și coordonarea lanțului de aprovizionare | Decizie de raportabilitate, dovada avertizării timpurii în 24 de ore, dovada notificării în 72 de ore, raport final și supraveghere de către consiliul de administrație |
| DORA | Raportare către autoritatea competentă, clasificarea incidentelor, comunicare privind incidentele majore TIC, coordonarea terților TIC și comunicare de criză | Înregistrări de raportare inițială, intermediară și finală, clasificarea severității, Registrul furnizorilor și înregistrări ale testelor de continuitate |
| GDPR | Flux de notificare către autoritatea pentru protecția datelor, escaladare către DPO, evaluarea încălcării securității datelor cu caracter personal și responsabilitate | Evaluarea încălcării, analiza rolului de operator de date sau persoană împuternicită, contactul autorității pentru protecția datelor, notificări transmise și decizii privind comunicarea către persoanele vizate |
| NIST CSF 2.0 | Rezultate GOVERN pentru părți interesate, obligații, roluri, politici, supraveghere și managementul riscului din lanțul de aprovizionare | Profil curent, profil-țintă, analiză a lacunelor, POA&M, hartă a părților interesate și dovezi de coordonare cu furnizorii |
| COBIT 2019 | Guvernanța nevoilor părților interesate, riscului, conformității, gestionării incidentelor și aranjamentelor cu terții | RACI, dovezi privind performanța proceselor, monitorizarea controalelor, înregistrări de asigurare și dovezi de revizuire de management |
NIST CSF 2.0 este deosebit de util ca strat de integrare. Funcția sa GOVERN cere organizațiilor să înțeleagă părțile interesate, obligațiile legale și de reglementare, serviciile critice, dependențele, apetitul la risc, rolurile, politicile, supravegherea și riscul asociat furnizorilor. Profilurile CSF ajută organizațiile să documenteze un profil curent, să definească un profil-țintă, să analizeze lacunele și să creeze un plan de acțiune prioritizat. Un registru al contactelor de reglementare poate fi o dovadă concretă care închide diferența dintre guvernanța actuală și cea țintă a incidentelor.
Pentru lanțul de aprovizionare, NIST CSF 2.0 se așteaptă ca furnizorii, clienții și partenerii să aibă roluri și responsabilități definite în materie de securitate cibernetică, criticitatea furnizorilor să fie cunoscută, cerințele de securitate cibernetică să fie incluse în acorduri, riscurile asociate furnizorilor să fie evaluate, iar furnizorii relevanți să fie incluși în planificarea, răspunsul și recuperarea în caz de incidente. Aceasta se mapează direct la riscul asociat terților TIC din DORA și la așteptările NIS2 privind lanțul de aprovizionare.
Cum vor testa auditorii și supraveghetorii același registru
Un registru bine întreținut va fi examinat diferit în funcție de perspectiva evaluatorului.
Un auditor ISO/IEC 27001:2022 va începe cu domeniul de aplicare și părțile interesate. Va întreba cum a identificat organizația autoritățile aplicabile, obligațiile legale, obligațiile contractuale de notificare și dependențele externalizate. Apoi va urmări registrul până la Declarația de aplicabilitate, Planul de răspuns la incidente, planul de continuitate a activității și păstrarea dovezilor. Poate selecta un contact și solicita dovada ultimei validări.
Un evaluator NIS2 se va concentra asupra faptului dacă entitatea a identificat CSIRT-ul sau autoritatea competentă corectă și dacă pragurile pentru incidente semnificative sunt operaționalizate. Va căuta un proces capabil să susțină avertizarea timpurie în 24 de ore, notificarea în 72 de ore și raportarea finală. Va analiza și supravegherea de către organul de conducere, deoarece NIS2 Article 20 face din guvernanța securității cibernetice o responsabilitate a conducerii.
Un supraveghetor DORA sau o echipă de audit intern va testa dacă registrul susține managementul incidentelor, clasificarea, raportarea incidentelor majore legate de TIC, comunicarea de criză, raportarea către conducerea superioară, coordonarea furnizorilor și recuperarea operațională. Poate întreba dacă există contacte pentru furnizori terți de servicii TIC care susțin funcții critice sau importante și dacă obligațiile de comunicare sunt reflectate în contracte.
Un auditor GDPR sau o revizuire DPO se va concentra pe evaluarea încălcării securității datelor cu caracter personal. Va întreba dacă DPO și contactele juridice privind protecția datelor sunt implicate devreme, dacă rolurile de operator de date și persoană împuternicită sunt clare, dacă autoritatea de supraveghere corectă este identificată și dacă deciziile privind comunicarea către persoanele vizate sunt înregistrate.
Un evaluator NIST CSF va trata registrul ca dovadă pentru rezultatele GOVERN: așteptările părților interesate, obligațiile legale, rolurile, politicile, supravegherea și riscul din lanțul de aprovizionare. Un auditor COBIT 2019 sau în stil ISACA va examina dacă nevoile părților interesate sunt transpuse în practici de guvernanță și management, dacă responsabilitățile sunt atribuite și dacă performanța proceselor este monitorizată.
Același artefact trebuie să reziste tuturor acestor întrebări. De aceea registrul trebuie să fie controlat, deținut, revizuit, protejat prin control al accesului și testat.
Tipare comune de eșec în guvernanța contactelor
Organizațiile eșuează rareori pentru că nu au deloc contacte. Eșuează deoarece contactele nu pot fi considerate de încredere în timpul unui incident real.
| Tipar de eșec | De ce creează risc | Remediere practică |
|---|---|---|
| Contactul autorității de reglementare este doar o pagină publică de pornire | Echipele pierd timp găsind ruta reală de raportare | Validați portalul, e-mailul, telefonul și canalele de rezervă |
| DPO nu are înlocuitor | Deciziile de protecție a datelor în afara programului se blochează | Desemnați și instruiți contacte de rezervă pentru protecția datelor |
| Contactele furnizorilor sunt ascunse în contracte | Echipele de incident nu pot escalada rapid | Extrageți contactele de securitate, contractuale și de suport în registru |
| Lista BCDR și matricea IR nu coincid | Echipele urmează căi de escaladare conflictuale | Reconciliați ambele înregistrări printr-un singur proprietar și un ciclu de revizuire |
| Nu există o dată a ultimei revizuiri | Auditorii nu pot verifica mentenanța | Adăugați date de validare, validatori și dovezi de aprobare |
| Organele de aplicare a legii sunt omise | Răspunsul la ransomware sau extorcare nu are suport pentru dovezi | Adăugați contacte pentru criminalitate informatică și conservarea dovezilor |
| Termenele NIS2 și DORA nu sunt integrate | Fluxurile doar pentru GDPR omit obligații sectoriale | Mapați declanșatorii la NIS2, DORA, GDPR și contracte |
| Registrul este disponibil doar online în sistemele afectate | Indisponibilitatea sau ransomware-ul blochează accesul | Mențineți rute protejate offline și alternative de acces |
| Notificările nu sunt păstrate | Funcția de conformitate nu poate demonstra ce a fost transmis | Păstrați notificările, confirmările de primire, aprobările și corespondența în SMSI |
| Exercițiile tabletop omit notificarea | Procesul rămâne teoretic | Testați căutarea contactului, aprobarea, transmiterea și păstrarea dovezilor |
Fiecare problemă creează o constatare de audit previzibilă. Remedierea este la fel de previzibilă: aliniați registrul la politică, integrați-l în răspunsul la incidente, validați contactele, testați fluxul de lucru și păstrați dovezile.
Responsabilitatea consiliului de administrație și a managementului
NIS2 impune organelor de conducere să aprobe măsurile de management al riscurilor de securitate cibernetică, să supravegheze implementarea și să urmeze instruire. DORA Article 5 face organul de conducere responsabil pentru definirea, aprobarea, supravegherea și asumarea responsabilității pentru aranjamentele privind riscurile TIC, inclusiv politici, roluri, continuitatea activității TIC, planuri de răspuns și recuperare, politica privind terții TIC, conștientizare și instruire. ISO/IEC 27001:2022 cere leadershipului să alinieze SMSI la direcția strategică, să furnizeze resurse, să atribuie responsabilități și să susțină îmbunătățirea continuă.
Consiliul de administrație nu trebuie să memoreze numărul de telefon al CSIRT. Trebuie însă să aibă asigurarea că există pregătire pentru notificare, că aceasta are un proprietar, este testată și este revizuită.
Un pachet trimestrial pentru management trebuie să includă:
- Stadiul revizuirii registrului contactelor de reglementare
- Modificări ale autorităților, supraveghetorilor sau jurisdicțiilor aplicabile
- Lacune deschise privind contactele furnizorilor pentru incidente
- Rezultatele exercițiilor tabletop și lecțiile învățate
- Dovezi privind testarea fluxului de aprobare a notificărilor
- Metrici privind timpul de la detecție la decizia de escaladare
- Actualizări ale obligațiilor de raportare NIS2, DORA, GDPR și contractuale
- Riscuri reziduale care necesită acceptarea managementului
Aceasta mută registrul din zona unei foi de calcul operaționale în zona unui control de guvernanță.
Cum vă ajută Clarysec să construiți o guvernanță a contactelor pregătită pentru audit
Clarysec conectează textul politicilor, secvențierea implementării și maparea controalelor între cadre într-o singură cale de dovezi.
Biblioteca de politici definește responsabilitatea și înregistrările necesare. Politica de răspuns la incidente stabilește așteptările privind escaladarea, aprobarea notificărilor și păstrarea. Politica de conformitate juridică și de reglementare cere urmărirea termenilor de conformitate, cum ar fi termenele de notificare a încălcărilor. Politica privind continuitatea activității și recuperarea în caz de dezastru impune liste de contacte actualizate și planuri alternative de comunicare. Politica de securitate privind terții și furnizorii impune contacte desemnate pentru furnizori.
Zenith Blueprint oferă secvențierea implementării. Pasul 5 din faza Fundamente și leadership SMSI abordează comunicarea, conștientizarea și competența, incluzând părțile interesate externe, calendarul, rolurile de comunicator și planurile de comunicare. Pasul 22 integrează contactele cu autoritățile și cu grupurile de interes special în controalele organizaționale. Pasul 23 validează managementul incidentelor, deciziile privind evenimentele raportabile, conservarea probelor criminalistice și lecțiile învățate.
Ghidul Zenith Controls oferă busola de conformitate transversală. Acesta arată cum contactul cu autoritățile se conectează la planificarea incidentelor, raportarea evenimentelor, informații privind amenințările, grupuri de interes special și răspuns la incidente. De asemenea, arată de ce raportarea evenimentelor de securitate a informației și pregătirea pentru incidente sunt componente necesare. Un registru al contactelor este eficace doar dacă evenimentele sunt raportate și evaluate suficient de devreme pentru a-l declanșa.
Pentru IMM-uri, aceasta înseamnă un registru suplu, dar defensabil, responsabilitate clară și dovezi care respectă proporționalitatea. Pentru întreprinderi, înseamnă integrare între jurisdicții, entități juridice, unități de business, furnizori, autorități de reglementare, supraveghetori, CSIRT-uri și raportare către consiliul de administrație.
Pașii următori: construiți registrul înainte să pornească cronometrul
Dacă organizația dumneavoastră se pregătește pentru NIS2, DORA, pregătirea notificărilor privind încălcările GDPR sau certificarea ISO/IEC 27001:2022, nu așteptați un incident live pentru a descoperi dacă guvernanța contactelor funcționează.
Începeți cu patru acțiuni în această săptămână:
- Creați sau actualizați registrul contactelor de reglementare pentru CSIRT-uri, autorități competente, supraveghetori financiari, autorități pentru protecția datelor, organe de aplicare a legii, furnizori critici și roluri interne de escaladare.
- Mapați fiecare contact la un declanșator, proprietar, flux de aprobare, cerință privind dovezile și locație de păstrare.
- Derulați un exercițiu tabletop concentrat pe deciziile de notificare, contactarea autorităților, coordonarea furnizorilor și păstrarea dovezilor.
- Actualizați înregistrările SMSI, inclusiv Registrul de conformitate, manualul operațional de răspuns la incidente, listele de contacte pentru continuitatea activității și înregistrările contactelor furnizorilor.
Clarysec vă poate ajuta să implementați rapid acest lucru folosind Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls și bibliotecile noastre de politici pentru IMM-uri și întreprinderi, inclusiv Politica de răspuns la incidente Politica de răspuns la incidente, Politica de conformitate juridică și de reglementare Politica de conformitate juridică și de reglementare - IMM, Politica privind continuitatea activității și recuperarea în caz de dezastru Politica privind continuitatea activității și recuperarea în caz de dezastru și Politica de securitate privind terții și furnizorii Politica de securitate privind terții și furnizorii - IMM.
Cronometrul de 24 de ore nu se oprește cât timp echipa caută contactul corect. Construiți registrul acum, testați-l și transformați-l în parte a dovezilor ISO înainte ca următorul incident să decidă calendarul în locul dumneavoastră.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
