Achiziția de software secure-by-demand în 2026

Este marți dimineață, la începutul anului 2026, iar Maria, CISO-ul unei companii europene de plăți aflate în expansiune rapidă, prezintă în fața consiliului de administrație. Ultimul punct de pe agendă ar trebui să fie unul de rutină: aprobarea unei noi platforme de detectare a fraudei, bazată pe IA. Furnizorul are o demonstrație impresionantă, o reducere valabilă pentru o perioadă limitată, o prezentare de securitate de o pagină și un contract standard.
Apoi încep întrebările.
CEO-ul întreabă: „De unde știm că această platformă este sigură? Clienții noștri din servicii financiare solicită dovezi de conformitate DORA, iar acest furnizor devine parte din infrastructura noastră critică.”
Departamentul juridic întreabă dacă acordul de prelucrare a datelor este pregătit, unde vor fi prelucrate datele clienților din UE și dacă persoanele subîmputernicite sunt divulgate. Responsabilul pentru reziliență operațională întreabă despre planificarea ieșirii, exporturile de backup și continuitatea funcțiilor critice. Inginerul de securitate a produsului solicită divulgarea vulnerabilităților, dovezi privind aplicarea patch-urilor și un SBOM sau o declarație echivalentă de transparență a componentelor. Echipa de achiziții pune întrebarea care face costisitor riscul asociat furnizorilor: „Putem aproba acum și colecta documentele după semnare?”
Acela este momentul în care achiziția modernă de software devine fie un control, fie un viitor raport de incident.
În 2026, achiziția securizată de software nu se poate baza pe bunăvoință post-contractuală. Securitatea lanțului de aprovizionare NIS2, riscul asociat terților TIC conform DORA, responsabilitatea persoanei împuternicite conform GDPR și așteptările de securitate a produsului din Cyber Resilience Act au mutat asigurarea furnizorilor în punctul deciziei de achiziție. Cumpărătorii au nevoie de achiziție de software secure-by-demand, în care clientul definește dovezile de securitate, clauzele contractuale, porțile de integrare și responsabilitățile operaționale înainte de cumpărare.
Pentru clienții Clarysec, răspunsul nu este încă un tabel care se pierde în e-mail. Este un sistem de control al achizițiilor aliniat la ISO/IEC 27001:2022, mapat prin politicile Clarysec, Zenith Blueprint: An Auditor’s 30-Step Roadmap și Zenith Controls, astfel încât fiecare achiziție de software sau SaaS să aibă o pistă de audit defensabilă, de la nevoia de business până la decizia privind riscul asociat furnizorului.
Secure-by-demand este noul control pentru achiziția de software
Secure-by-design este discutat, de regulă, din perspectiva furnizorului. Secure-by-demand este disciplina din perspectiva cumpărătorului: organizația refuză să cumpere software dacă furnizorul nu poate demonstra că securitatea, confidențialitatea, reziliența, gestionarea vulnerabilităților și auditabilitatea sunt integrate în ofertă.
Aceasta schimbă conversația de cumpărare. În loc să întrebe „Aveți securitate?”, achizițiile formulează întrebări mai precise:
- Ce date veți prelucra, unde și în ce rol juridic?
- Ce funcție de business veți susține și cât de critică este aceasta?
- Ce dovezi demonstrează că aceste controale funcționează, nu doar că sunt documentate?
- La ce termene de notificare a incidentelor vă angajați?
- Ce dovezi puteți furniza privind divulgarea vulnerabilităților, aplicarea patch-urilor, SBOM sau VEX?
- Ce subcontractanți sau persoane subîmputernicite vor avea acces la datele sau serviciul nostru?
- Putem audita, inspecta sau solicita dovezi pe durata contractului?
- Ce se întâmplă la încetare, migrare, încălcare, insolvență sau solicitare din partea autorităților de reglementare?
ISO/IEC 27001:2022 oferă structura de sistem de management pentru această schimbare. Clauza 4 impune organizației să înțeleagă contextul, părțile interesate și domeniul de aplicare al SMSI, inclusiv cerințele externe de reglementare și cerințele furnizorilor. Clauza 5 transformă riscul asociat furnizorilor într-o responsabilitate de leadership și guvernanță. Clauza 6 impune evaluarea riscurilor, tratarea riscurilor, selectarea controalelor, o Declarație de aplicabilitate și decizii privind riscul rezidual. Clauza 8 impune operarea controlată a proceselor, inclusiv a proceselor furnizate din exterior. Clauza 9 impune monitorizarea, auditul intern și analiza efectuată de management.
Aceasta înseamnă că achiziția de software nu este doar un flux comercial. Devine un proces SMSI operat și verificabil. Autoritățile de reglementare și auditorii întreabă tot mai des de ce o organizație a acceptat un furnizor înainte de a înțelege riscul. Achiziția secure-by-demand oferă un răspuns clar: riscul a fost evaluat, tratat, acoperit contractual și atribuit înainte de crearea dependenței.
De ce NIS2, DORA, GDPR și CRA converg la selecția furnizorilor
Consiliul Mariei pune întrebările corecte deoarece un singur furnizor de software poate declanșa simultan mai multe obligații.
NIS2 se aplică în funcție de sector, dimensiune și criticitate, Annex I și Annex II aducând în domeniul de aplicare multe organizații digitale, financiare, de infrastructură, furnizori de servicii administrate și organizații dependente de cloud. Article 21 impune măsuri tehnice, operaționale și organizaționale adecvate și proporționale, inclusiv securitatea lanțului de aprovizionare, achiziția securizată, dezvoltarea și mentenanța securizate, gestionarea vulnerabilităților, controlul accesului, managementul activelor, continuitatea, gestionarea incidentelor și evaluarea eficacității controalelor. Article 21(3) impune în mod specific atenție asupra vulnerabilităților furnizorilor direcți și practicilor de securitate cibernetică ale furnizorilor. Article 23 creează așteptări etapizate privind raportarea incidentelor semnificative, inclusiv avertizare timpurie în termen de 24 de ore și notificare în termen de 72 de ore.
DORA se aplică, de la 17 ianuarie 2025, entităților financiare aflate în domeniul său de aplicare. Acesta creează cerințe uniforme pentru managementul riscurilor TIC, raportarea incidentelor legate de TIC, testarea rezilienței operaționale digitale și managementul riscurilor asociate terților TIC. DORA este deosebit de prescriptiv pentru achiziții. Entitățile financiare au nevoie de strategii pentru riscurile asociate terților TIC, registre ale aranjamentelor privind serviciile TIC, verificare prealabilă, analiză a riscului de concentrare, contracte scrise cu prevederi de securitate și reziliență, drepturi de audit și acces, obligații de cooperare, drepturi de încetare și planuri de ieșire. Articles 28 și 30 sunt centrale pentru riscul asociat terților TIC și controalele contractuale, în timp ce Articles 17 to 23 modelează gestionarea incidentelor și raportarea.
GDPR adaugă poarta de responsabilitate pentru persoana împuternicită. Articles 5, 28, 32, 33 și 34 impun responsabilitate, contracte cu persoanele împuternicite, securitate adecvată, cooperare pentru notificarea încălcărilor și gestionarea impactului asupra persoanelor vizate. Un furnizor SaaS care prelucrează date cu caracter personal nu este doar un furnizor. El devine parte din postura de conformitate a operatorului. DPA, măsurile tehnice și organizatorice, lista persoanelor subîmputernicite, garanțiile pentru transferuri, regulile de păstrare și obligațiile de ștergere trebuie înțelese înainte de începerea prelucrării.
Așteptările CRA adaugă asigurarea produsului. Chiar și atunci când cumpărătorul nu este producătorul, echipele de achiziții trebuie să solicite dovezi privind dezvoltarea securizată, gestionarea vulnerabilităților, suportul produsului, actualizările de securitate, divulgarea coordonată a vulnerabilităților și transparența componentelor, cum ar fi un SBOM sau o declarație echivalentă. Aceste cerințe aparțin RFP-urilor, anexelor de securitate și porților de acceptare.
Tema comună este simplă: organizația cumpărătoare trebuie să știe ce cumpără, ce risc importă și ce dovezi poate produce atunci când întreabă autoritățile de reglementare, clienții sau auditorii.
Coloana vertebrală ISO 27001 pentru controalele de asigurare a furnizorilor
Cel mai eficient model de achiziție secure-by-demand nu este construit reglementare cu reglementare. Este construit pornind de la controale. Clarysec utilizează ISO/IEC 27001:2022 ca structură SMSI, susținută de îndrumările de control din ISO/IEC 27002:2022 și de maparea de conformitate încrucișată din Zenith Controls.
În Zenith Controls, asigurarea furnizorilor este ancorată în jurul controalelor ISO/IEC 27002:2022 5.19, 5.20 și 5.21. Acestea nu sunt elemente izolate într-o listă de verificare. Ele formează un ciclu de viață al achiziției.
| Control ISO/IEC 27002:2022 | Întrebare de achiziție | Dovezi secure-by-demand | Risc principal redus |
|---|---|---|---|
| 5.19 Securitatea informațiilor în relațiile cu furnizorii | Ar trebui să colaborăm cu acest furnizor? | Clasificarea furnizorului, verificare prealabilă, rating de risc, asumarea responsabilității, cadență de reevaluare | Expunere necunoscută asociată furnizorului |
| 5.20 Abordarea securității informațiilor în acordurile cu furnizorii | Cerințele noastre sunt aplicabile contractual? | Anexă de securitate, DPA, SLA, drepturi de audit, notificarea incidentelor, clauze pentru subcontractanți, clauze de ieșire | Slăbiciune contractuală |
| 5.21 Gestionarea securității informațiilor în lanțul de aprovizionare TIC | Dependențele TIC din aval ne pot compromite? | Listă de subcontractanți, controale pentru persoanele subîmputernicite, arhitectură cloud, dovezi privind componentele, gestionarea vulnerabilităților, analiză de concentrare | Risc ascuns de lanț de aprovizionare și tehnologie |
Zenith Controls mapează aceste controale ISO la așteptări de reglementare și audit. Nu creează controale proprietare separate numite Zenith Controls. Ajută echipele să înțeleagă cum controalele ISO/IEC 27002:2022 susțin NIS2, DORA, GDPR, NIST CSF 2.0 și asigurarea aliniată COBIT.
Și rețeaua de controale-suport contează. Asigurarea furnizorilor se conectează la managementul activelor, controlul accesului, securitatea cloud, managementul vulnerabilităților, jurnalizare, gestionarea incidentelor, pregătirea TIC pentru continuitatea activității, dezvoltare securizată, securitatea aplicațiilor, managementul configurației, backup, redundanță, conformitate juridică, confidențialitate, managementul schimbărilor și revizuire independentă. Achizițiile coordonează procesul, dar responsabilitatea pentru risc trebuie să includă proprietarul de business, securitatea informațiilor, departamentul juridic, protecția datelor, IT, finanțele și proprietarul serviciului.
Porțile de politică Clarysec înainte de semnare
Modelul de politici Clarysec mută în mod deliberat asigurarea furnizorilor în amonte. Cel mai ferm limbaj apare acolo unde trebuie: înainte de semnarea acordurilor, înainte de activarea abonamentelor cloud și înainte de partajarea datelor.
Versiunea pentru IMM a politicii Clarysec Politica de securitate privind terții și furnizorii prevede:
Evaluați și documentați riscurile asociate furnizorilor înainte de semnarea acordurilor sau acordarea accesului.
Aceasta provine din secțiunea „Obiective”, clauza de politică 3.3. Clauza este scurtă deoarece intenția de control este nenegociabilă: fără evaluarea riscurilor, fără contract, fără acces.
Pentru mediile enterprise, politica Clarysec Politica de securitate privind terții și furnizorii consolidează poarta precontractuală:
Toți furnizorii noi trebuie să treacă printr-o evaluare de securitate documentată înainte de semnarea contractului.
Aceasta provine din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.1.1. Aceeași politică identifică și „drepturi de audit, inspectare și solicitare a dovezilor de securitate” în secțiunea „Cerințe de guvernanță”, clauza de politică 5.3.4.
Pentru achizițiile cloud și SaaS, Politica de utilizare a serviciilor cloud pentru IMM adaugă o poartă practică de aprobare:
Orice utilizare a serviciilor cloud trebuie revizuită și aprobată de directorul general (GM) înainte de implementare sau abonare.
Aceasta provine din secțiunea „Cerințe de guvernanță”, clauza de politică 5.1. Într-o organizație mică, această aprobare poate fi echivalentul unui comitet de guvernanță cloud. Într-o organizație enterprise, devine un flux de lucru între achiziții, securitate, protecția datelor și arhitectură. Politica enterprise Politica de utilizare a serviciilor cloud susține, de asemenea, cerințele contractuale cloud, inclusiv prevederi aplicabile în contractele cu CSP.
Pentru achiziția de software, politica enterprise Politica privind cerințele de securitate a aplicațiilor este explicită:
Achiziția de software sau aranjamentele de externalizare trebuie să includă cerințe de securitate în RFP-uri, contracte și SLA-uri, inclusiv prevederi privind termenele de remediere a vulnerabilităților și drepturile de audit ale terților.
Aceasta provine din secțiunea „Cerințe de guvernanță”, clauza de politică 5.4. Observați ordinea: RFP-uri, contracte și SLA-uri. Securitatea apare în etapa de interacțiune cu piața, nu ca anexă post-atribuire.
Pentru achizițiile determinate de GDPR, politica Clarysec pentru IMM Politica de conformitate juridică și de reglementare impune:
Clauzele acordului de prelucrare a datelor (DPA) sau clauzele contractuale echivalente trebuie convenite înainte ca orice date cu caracter personal sau sensibile să fie partajate.
Aceasta provine din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.3.2. Aceasta previne una dintre cele mai comune deficiențe de înrolare SaaS: încărcarea datelor cu caracter personal într-un instrument înainte ca termenii aplicabili persoanei împuternicite, obligațiile privind încălcările și condițiile pentru persoanele subîmputernicite să fie convenite.
Pentru securitatea aplicațiilor furnizorului, politica pentru IMM Politica privind cerințele de securitate a aplicațiilor impune achizițiilor să:
specifice obligații pentru divulgarea vulnerabilităților, timpi de răspuns și aplicarea patch-urilor.
Aceasta provine din secțiunea „Cerințe de guvernanță”, clauza de politică 5.3.2. De asemenea, prevede:
GM trebuie să solicite documentație sau certificări (de exemplu, SOC 2, ISO 27001, rapoarte de testare de securitate) ca dovezi ale conformității furnizorului, acolo unde este aplicabil.
Aceasta provine din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.3.2. Cuvântul-cheie este dovezi. Achiziția secure-by-demand nu se bazează pe declarații de încredere. Se bazează pe artefacte care pot fi revizuite.
Poarta de achiziție din Zenith Blueprint
Zenith Blueprint tratează securitatea furnizorilor ca pe un control operat, nu ca pe un slogan de achiziții. În faza Controls in Action, Step 23 acoperă controalele organizaționale 5.19 până la 5.37, inclusiv securitatea informațiilor în relațiile cu furnizorii.
Blueprint explică:
Totul începe cu clasificarea furnizorilor. Nu toți furnizorii poartă același risc. Un serviciu de curățenie poate avea acces fizic la birouri, dar nu la rețele. O firmă de testare de penetrare sau un furnizor de găzduire cloud, pe de altă parte, poate avea acces tehnic profund chiar în nucleul infrastructurii dumneavoastră. Clasificarea trebuie să ia în considerare dacă furnizorul gestionează sau prelucrează direct informațiile dumneavoastră, dacă furnizează infrastructură sau platforme pe care operați, dacă gestionează sau întreține sisteme în numele dumneavoastră și dacă compromiterea sa ar putea afecta obiectivele dumneavoastră de confidențialitate, integritate sau disponibilitate.
Pentru controlul 5.20, Blueprint este direct:
Zonele principale abordate în mod obișnuit în acordurile cu furnizorii includ obligațiile de confidențialitate; responsabilitățile de control al accesului; măsuri tehnice și organizatorice pentru protecția datelor, criptare, transmitere securizată, backup și angajamente de disponibilitate; termene și protocoale de raportare a incidentelor; dreptul de audit, inclusiv frecvența, domeniul de aplicare și accesul la dovezi relevante; controale pentru subcontractanți; și prevederi de sfârșit de contract, cum ar fi returnarea sau distrugerea datelor, recuperarea activelor și dezactivarea accesului.
Acesta concluzionează că controlul 5.20 este „ultima linie de pârghie” și „aparține porții de achiziție”. Odată ce contractul este semnat, puterea de negociere scade. Înainte de semnare, dovezile și obligațiile pot fi transformate în condiții de cumpărare.
Pentru dezvoltare externalizată, faza Controls in Action, Step 21, control 8.30, adaugă o altă cerință de achiziție. Blueprint prevede:
La baza acestui control se află principiul că securitatea trebuie să fie o cerință contractuală, nu o așteptare verbală.
Echipele externalizate trebuie să respecte aceleași standarde de dezvoltare securizată ca echipele interne, inclusiv analiza statică, revizuirea codului de către colegi, criptarea, MFA pentru depozite și vizibilitatea asupra codului, deciziilor de arhitectură, vulnerabilităților, cererilor de schimbare, jurnalelor CI/CD și rezultatelor scanărilor.
Construiți într-o după-amiază o poartă RFP secure-by-demand
Să presupunem că organizația dumneavoastră dorește o platformă de analiză a clienților. Aceasta va ingera identificatori ai clienților, evenimente comportamentale, metadate de suport și referințe ale tranzacțiilor. Proprietarul de business dorește aprobare rapidă. Echipa de securitate are la dispoziție o săptămână.
Începeți cu o înregistrare de poartă de achiziție folosind Politica de securitate privind terții și furnizorii, Politica privind cerințele de securitate a aplicațiilor, Politica de utilizare a serviciilor cloud, Politica de conformitate juridică și de reglementare și Step 23 din Zenith Blueprint ca documente sursă.
| Câmp al porții | Exemplu de intrare |
|---|---|
| Numele furnizorului | Furnizor SaaS pentru analiza clienților |
| Tipul serviciului | SaaS cloud care prelucrează date despre clienți și utilizare |
| Proprietar de business | Șef operațiuni clienți |
| Date implicate | Identificatori ai clienților, evenimente de utilizare, metadate de suport, referințe ale tranzacțiilor |
| Rol GDPR | Furnizor probabil persoană împuternicită, organizația operator |
| Criticitate | Ridicată dacă este utilizată pentru decizii privind serviciile pentru clienți, medie dacă este doar pentru analiză |
| Relevanță NIS2 | Furnizorul susține operațiuni de servicii digitale și poate afecta impactul incidentelor |
| Relevanță DORA | Relevant dacă analiza susține operațiuni de servicii financiare sau raportarea funcțiilor critice |
| Relevanța asigurării CRA | Securitatea produsului, gestionarea vulnerabilităților, suport pentru actualizări, transparența componentelor |
| Rating inițial de risc | Ridicat până la primirea dovezilor privind DPA, incidentele, subcontractanții și exportul |
| Condiție de aprobare | Niciun contract înainte de evaluarea de securitate, DPA și revizuirea anexei de securitate |
Atașați la RFP un chestionar secure-by-demand. Evitați întrebările generice precum „Criptați datele?”. Formulați întrebări bazate pe dovezi:
- Furnizați raportul actual independent de asigurare a securității, certificatul sau dovezi echivalente privind controalele.
- Identificați locațiile de găzduire, opțiunile de rezidență a datelor, locațiile de backup și locațiile de acces pentru suport.
- Furnizați DPA, lista persoanelor subîmputernicite și procesul de notificare pentru modificările persoanelor subîmputernicite.
- Confirmați termenele de notificare a incidentelor, inclusiv suport pentru avertizare timpurie în 24 de ore acolo unde pot fi declanșate fluxuri NIS2 și suport pentru raportare etapizată pentru clienții reglementați de DORA.
- Furnizați politica de divulgare a vulnerabilităților, SLA-urile pentru patch-uri în funcție de severitate și dovezi privind guvernanța recentă a remedierii vulnerabilităților.
- Furnizați dovezi privind securitatea produsului, cum ar fi descrierea ciclului de viață al dezvoltării securizate, rezumatul testului de penetrare, SBOM sau o declarație de transparență a componentelor și perioada de suport pentru actualizări de securitate.
- Confirmați MFA, principiul privilegiului minim, jurnalizarea, monitorizarea accesului administrativ și drepturile clientului de audit sau de solicitare a dovezilor.
- Descrieți exportul, ștergerea, returnarea, suportul la încetare și asistența pentru tranziție.
- Listați subcontractanții semnificativi și dependențele TIC care susțin serviciul.
- Confirmați dacă datele clienților sunt utilizate pentru instruire, analiză, îmbunătățirea produsului sau dezvoltarea modelelor IA și identificați temeiul juridic sau modelul de instrucțiuni al persoanei împuternicite.
Apoi evaluați furnizorul înainte de negociere.
| Domeniu de cerințe | Condiție de acceptare | Condiție de respingere sau escaladare |
|---|---|---|
| Dovezi de securitate | Raport actual de asigurare, rezumat al testării de securitate sau documentație echivalentă | Doar declarații de marketing, fără dovezi disponibile |
| Pregătirea persoanei împuternicite GDPR | DPA acceptat înainte de partajarea datelor, persoane subîmputernicite divulgate | DPA amânat până după integrare sau termeni vagi pentru persoanele subîmputernicite |
| Angajamente privind incidentele | Termen contractual de notificare, contacte de escaladare, suport pentru impactul asupra clientului | Furnizorul refuză obligații specifice de notificare sau cooperare |
| Gestionarea vulnerabilităților | Canal de divulgare, SLA de remediere bazat pe severitate, dovezi privind procesul de patch-uri | Nu există proces de divulgare sau angajamente de remediere |
| Lanțul de aprovizionare TIC | Găzduirea, subcontractanții și dependențele critice sunt divulgate | Furnizorul nu identifică furnizorii critici din aval |
| Ieșire și reziliență | Exportul, ștergerea, backup-ul și asistența la încetare sunt documentate | Nu există dovezi privind exportul sau ștergerea testate |
| Auditabilitate | Drept de a solicita dovezi, de a inspecta sau de a audita proporțional | Furnizorul nu permite o asigurare semnificativă după semnare |
În final, actualizați Registrul de riscuri și Declarația de aplicabilitate. Înregistrarea tratării riscului trebuie să arate de ce se aplică controalele ISO/IEC 27002:2022 5.19, 5.20 și 5.21, ce cerințe contractuale și tehnice au fost selectate, cine deține riscul rezidual și ce cadență de monitorizare se aplică. Dacă businessul dorește să continue în ciuda lacunelor, utilizați o înregistrare formală de acceptare a riscului, cu dată de expirare, controale compensatorii și aprobare executivă.
Clauze contractuale care transformă reglementarea în obligații aplicabile
Așteptările de securitate trebuie să devină angajamente contractuale. Un certificat poate fi util, dar rareori răspunde la toate întrebările despre serviciul exact, locația datelor, subcontractanți, modelul de suport, angajamentele privind incidentele sau drepturile de ieșire.
| Cerință de reglementare | Îndrumare din politica Clarysec | Exemplu de clauză contractuală |
|---|---|---|
| DORA Article 30 drepturi de audit și strategie de ieșire | Politica de securitate privind terții și furnizorii, clauza 5.3.4, impune „drepturi de audit, inspectare și solicitare a dovezilor de securitate” | Furnizorul este de acord să ofere acces la documentația de securitate relevantă, cu notificare rezonabilă, și să susțină returnarea ordonată a datelor, ștergerea și tranziția serviciului la încetare. |
| NIS2 Article 21 securitatea lanțului de aprovizionare și gestionarea vulnerabilităților | Politica privind cerințele de securitate a aplicațiilor, clauza 5.4, impune termene de remediere a vulnerabilităților și drepturi de audit ale terților | Furnizorul trebuie să mențină un proces de divulgare a vulnerabilităților, să notifice Clientul cu privire la vulnerabilitățile critice cu impact asupra serviciului și să furnizeze termene de remediere bazate pe severitate. |
| GDPR Article 28 obligațiile persoanei împuternicite | Politica de conformitate juridică și de reglementare, clauza 6.3.2, impune termenii DPA înainte de partajarea datelor | Acordul include un acord de prelucrare a datelor care guvernează datele cu caracter personal, persoanele subîmputernicite, măsurile de securitate, cooperarea în caz de încălcare, păstrarea și ștergerea. |
| Guvernanța serviciilor cloud | Politica de utilizare a serviciilor cloud, clauza 5.1, impune revizuire și aprobare înainte de implementare sau abonare | Furnizorul trebuie să divulge regiunile de găzduire, locațiile de backup, controalele de criptare, controalele de acces administrativ și jurnalele de acces la datele clientului. |
| Așteptările CRA privind securitatea produsului | Politica privind cerințele de securitate a aplicațiilor - IMM, clauza 5.3.2, impune divulgarea vulnerabilităților, timpi de răspuns și aplicarea patch-urilor | Furnizorul trebuie să furnizeze dovezi privind securitatea produsului, transparența componentelor acolo unde este aplicabil, divulgarea coordonată a vulnerabilităților și angajamente privind actualizările de securitate. |
Acest tabel este puntea practică dintre obligațiile legale și activitatea de achiziție. De asemenea, ajută departamentul juridic, securitatea și achizițiile să negocieze pornind de la aceeași bază de referință a controalelor.
Mapare de conformitate încrucișată: un dosar de furnizor, multe obligații
Avantajul utilizării ISO/IEC 27001:2022 ca structură de bază este că un singur dosar de asigurare a furnizorilor poate susține mai multe conversații de reglementare.
| Cadru | Ce trebuie să demonstreze achizițiile | Focalizare a controalelor Clarysec |
|---|---|---|
| NIS2 | Supravegherea de către management, securitatea lanțului de aprovizionare, achiziția securizată, gestionarea vulnerabilităților, gestionarea incidentelor, continuitatea și practicile de securitate cibernetică ale furnizorilor | Clasificarea furnizorilor, clauze de securitate, angajamente privind vulnerabilitățile și incidentele, monitorizarea furnizorilor |
| DORA | Strategie privind terții TIC, registru al aranjamentelor, verificare prealabilă, analiză de concentrare, clauze contractuale, drepturi de audit, cooperare în caz de incident și planuri de ieșire | Registru al furnizorilor TIC, rating de criticitate, controale contractuale, dovezi de testare a rezilienței, suport la încetare |
| GDPR | Roluri de operator și persoană împuternicită, DPA înainte de prelucrare, securitatea prelucrării, cooperare în caz de încălcare, guvernanța persoanelor subîmputernicite, dovezi de responsabilitate | Poartă DPA, maparea datelor, lista persoanelor subîmputernicite, măsuri tehnice și organizatorice, angajamente de păstrare și ștergere |
| Așteptări CRA | Securitatea produsului, dezvoltare securizată, divulgarea vulnerabilităților, suport pentru actualizări, transparența componentelor și dovezi de securitate | Calendar RFP pentru securitatea produsului, SBOM sau dovezi echivalente, SLA-uri pentru patch-uri, obligații de divulgare a vulnerabilităților |
| NIST CSF 2.0 | Managementul riscurilor lanțului de aprovizionare, roluri ale furnizorilor, contracte, verificare prealabilă, monitorizare, planificarea incidentelor și planificare post-încetare | Acțiuni pentru lacune între profilul curent și profilul țintă, registru de risc asociat furnizorilor, cadență de monitorizare |
| COBIT 2019 și practica de audit ISACA | Guvernanță asupra aprovizionării, responsabilitatea pentru risc, obiective de control, dovezi de proces și alinierea beneficiu-risc-resurse | Înregistrări ale deciziilor, RACI, acceptarea riscului, metrici, pistă de audit intern |
NIST CSF 2.0 este util ca nivel de comunicare. Funcția GOVERN accentuează conștientizarea juridică, de reglementare, contractuală, de confidențialitate și a dependențelor. Rezultatele GV.SC privind lanțul de aprovizionare impun procese de management al riscurilor lanțului de aprovizionare, roluri ale furnizorilor, prioritizarea furnizorilor în funcție de criticitate, cerințe contractuale, verificare prealabilă, monitorizare, planificarea incidentelor și planificarea încetării.
Aceasta se mapează clar la Step 23 din Zenith Blueprint și la controalele ISO/IEC 27002:2022 5.19 până la 5.21, așa cum sunt mapate în Zenith Controls. De asemenea, oferă consiliilor un limbaj pe care îl înțeleg: stare curentă, stare țintă, lacună, risc, acțiune, responsabil și dată.
Ce vor întreba auditorii
Un proces solid de achiziție secure-by-demand trebuie să reziste unor perspective diferite de audit.
Un auditor ISO/IEC 27001:2022 va începe cu contextul și domeniul de aplicare al SMSI. Va întreba dacă interfețele și dependențele furnizorilor sunt incluse, dacă cerințele părților interesate includ NIS2, DORA, GDPR și contractele cu clienții și dacă riscurile asociate furnizorilor sunt evaluate consecvent conform metodologiei de risc. Va urmări pista către tratarea riscului, Declarația de aplicabilitate, controalele furnizorilor, dovezile operaționale, auditul intern și analiza efectuată de management.
Un evaluator DORA se va concentra pe funcțiile de business susținute de TIC, funcțiile critice sau importante, înregistrările dependențelor de terți, clauzele contractuale, drepturile de audit și acces, cooperarea în caz de incident, testarea rezilienței, strategiile de ieșire și riscul de concentrare. Dacă un SaaS susține o funcție critică sau importantă, un chestionar sumar pentru furnizor nu va fi suficient.
O autoritate NIS2 va întreba cum a evaluat organizația practicile de securitate cibernetică ale furnizorilor, vulnerabilitățile furnizorilor direcți, suportul pentru notificarea incidentelor, dependențele de continuitate și deciziile de achiziție securizată. Va testa dacă asigurarea furnizorilor susține propriile obligații ale organizației conform Article 21 și Article 23.
Un evaluator GDPR va întreba dacă rolurile de operator și persoană împuternicită au fost înțelese înainte de începerea prelucrării, dacă un DPA sau termeni echivalenți au fost conveniți înainte de partajarea datelor, dacă persoanele subîmputernicite au fost divulgate, dacă măsurile de securitate au fost adecvate, dacă cooperarea în caz de încălcare este contractuală și dacă returnarea sau ștergerea datelor este aplicabilă contractual.
Un auditor COBIT 2019 sau în stil ISACA se va concentra pe guvernanță și responsabilitate: cine a aprobat furnizorul, ce risc a fost acceptat, dacă cerințele politicilor au fost respectate, dacă excepțiile sunt urmărite și dacă beneficiile, riscul și resursele au fost echilibrate.
Pachetul dumneavoastră de dovezi trebuie să includă clasificarea furnizorului, aprobarea proprietarului de business, evaluarea riscurilor, cerințele de securitate din RFP, răspunsurile furnizorului, DPA, anexa de securitate, SLA, drepturile de audit, registrul persoanelor subîmputernicite, angajamentele privind vulnerabilitățile, clauzele privind incidentele, dovezile privind locația cloud, dovezile de jurnalizare și criptare, termenii de ieșire, înregistrările de reevaluare, excepțiile și maparea Declarației de aplicabilitate.
Tipare comune de eșec în achiziția de software
Primul eșec este tratarea achizițiilor ca flux comercial și a securității ca flux tehnic. Până când securitatea primește contractul, businessul și-a asumat deja psihologic angajamentul, data de implementare este anunțată, iar puterea de negociere este slabă.
Al doilea eșec este substituirea dovezilor. Un furnizor oferă un certificat, iar cumpărătorul presupune că acesta răspunde la toate întrebările. Certificarea poate ajuta, dar este posibil să nu acopere produsul exact, regiunea de găzduire, modelul de suport, lanțul de subcontractanți, obligațiile privind incidentele, utilizarea datelor pentru IA sau cerințele de ieșire.
Al treilea eșec este omiterea riscului din aval. Un furnizor SaaS se poate baza pe găzduire cloud, instrumente de analiză, platforme de suport, echipe offshore de dezvoltare, furnizori de modele IA și procesatori de plăți. Controlul ISO/IEC 27002:2022 5.21 impune atenție asupra lanțului de aprovizionare TIC din spatele furnizorului direct. În DORA, aceasta se conectează la subcontractare și riscul de concentrare. În GDPR, se conectează la persoanele subîmputernicite. În NIS2, se conectează la vulnerabilitățile furnizorilor direcți și practicile de securitate cibernetică ale furnizorilor.
Al patrulea eșec este limbajul slab privind incidentele. Un contract care spune „furnizorul va notifica prompt clientul” poate să nu susțină avertizarea timpurie NIS2, raportarea etapizată DORA, comunicările către clienți sau escaladarea internă. Clauzele privind incidentele au nevoie de termene, declanșatoare, contacte, obligații de cooperare și obligații privind dovezile.
Al cincilea eșec este neclaritatea drepturilor de ieșire. Dacă un furnizor devine nesigur, neconform, este achiziționat, devine insolvent sau nepotrivit strategic, cumpărătorul are nevoie de export, ștergere, suport de tranziție, dezactivarea accesului și dovezi de distrugere. Ieșirea nu este o idee juridică de final. Este un control de reziliență.
De la poarta de achiziție la asigurarea continuă a furnizorilor
Achiziția secure-by-demand nu se încheie la semnare. Un ciclu de viață matur al furnizorilor, în stil Clarysec, are cinci etape.
| Etapă a ciclului de viață | Activitate de control | Înregistrare de dovezi |
|---|---|---|
| Cerere | Nevoia de business, datele și criticitatea sunt identificate înainte de interacțiunea cu piața | Formular de inițiere, clasificarea datelor, rating de criticitate |
| Selecție | RFP include cerințe de securitate, confidențialitate, reziliență și asigurare a produsului | Calendar RFP, răspunsuri ale furnizorului, fișă de scorare |
| Contract | Obligațiile devin aplicabile înainte de semnare | DPA, anexă de securitate, SLA, drepturi de audit, clauze privind incidentele și ieșirea |
| Înrolare | Accesul, configurația, jurnalizarea, criptarea și fluxurile de date sunt validate | Listă de verificare pentru integrare, aprobări de acces, dovezi de configurare |
| Operare | Riscul asociat furnizorului este monitorizat și reevaluat | Cadență de revizuire, dovezi actualizate, incidente, schimbări, acceptarea riscului |
Pentru furnizorii cu risc ridicat, monitorizarea trebuie să includă actualizarea dovezilor, ședințe de revizuire a securității, participare la exerciții de tip tabletop pentru incidente, revizuirea drepturilor de acces, raportare privind vulnerabilitățile și patch-urile, revizuirea schimbărilor de serviciu și actualizări privind persoanele subîmputernicite. Pentru furnizorii cu risc mai scăzut, revizuirea anuală poate fi suficientă. Scalabilitatea ISO 27001, proporționalitatea NIS2 și proporționalitatea DORA susțin toate adaptarea, dar adaptarea trebuie justificată și documentată.
Următorul pas Clarysec
Următoarea achiziție SaaS riscantă nu va aștepta o reproiectare perfectă a guvernanței. Începeți cu următoarea solicitare de achiziție.
Utilizați Zenith Blueprint: An Auditor’s 30-Step Roadmap pentru a implementa controalele privind relațiile cu furnizorii din Step 23 și controalele pentru dezvoltare externalizată din Step 21. Utilizați Zenith Controls pentru a mapa controalele ISO/IEC 27002:2022 5.19, 5.20 și 5.21 la NIS2, DORA, GDPR, NIST CSF 2.0 și așteptările de audit aliniate COBIT. Utilizați biblioteca de politici Clarysec, inclusiv Politica de securitate privind terții și furnizorii, Politica privind cerințele de securitate a aplicațiilor, Politica de utilizare a serviciilor cloud și Politica de conformitate juridică și de reglementare, pentru a face poarta aplicabilă.
Înainte de semnarea următorului contract, solicitați clasificarea furnizorului, dovezi de securitate, pregătirea DPA, angajamente privind incidentele, gestionarea vulnerabilităților, transparența subcontractanților, drepturi de audit și termeni de ieșire.
Aceasta este achiziția secure-by-demand. Așa transformă CISO-ii presiunea de reglementare în putere de cumpărare. Așa transformă managerii de conformitate obligațiile suprapuse într-un singur dosar de dovezi. Așa văd auditorii că riscul asociat furnizorului a fost analizat înainte de crearea dependenței. Și așa cumpără proprietarii de business software mai rapid, fără să moștenească riscuri negestionate.
Sunteți gata să transformați următoarea achiziție de software într-un control pregătit pentru audit? Explorați suita integrată de politici Clarysec, descărcați Zenith Blueprint, revizuiți Zenith Controls sau programați o demonstrație pentru a construi un program de achiziții secure-by-demand care rezistă în fața NIS2, DORA, GDPR, așteptărilor CRA și controlului real al auditorilor.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council