⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Arhitectura Zero Trust 2026: dovezi pregătite pentru audit

Igor Petreski
14 min read
Maparea dovezilor Arhitecturii Zero Trust pentru ISO 27001 NIS2 DORA și GDPR

Auditul Zero Trust de luni dimineață pe care nu l-a planificat nimeni

La ora 08:12, într-o zi de luni, CISO al unei companii fintech SaaS europene primește trei mesaje în mai puțin de cinci minute.

Primul vine de la un client bancar: „Vă rugăm să ne transmiteți pachetul de dovezi pentru Arhitectura Zero Trust în vederea revizuirii anuale a terților TIC.”

Al doilea vine de la departamentul juridic: „Este posibil să fim clasificați ca entitate importantă conform NIS2 într-un stat membru, iar unii clienți întreabă dacă DORA ni se aplică și nouă ca furnizor de servicii TIC.”

Al treilea vine de la directorul de inginerie: „Avem MFA, SSO, EDR, politici de rețea Kubernetes și alerte SIEM. Asta înseamnă Zero Trust?”

Aici se blochează multe organizații. Au instrumente de securitate, dar nu au un model operațional de conformitate Zero Trust. Pot prezenta capturi de ecran MFA, dar nu pot explica modul în care identitatea, postura de securitate a dispozitivelor, principiul privilegiului minim, segmentarea, monitorizarea, raportarea incidentelor, măsurile de protecție a confidențialității și dependențele față de furnizori funcționează împreună. Pot arăta controale, dar nu și trasabilitate.

În 2026, Arhitectura Zero Trust bazată pe NIST SP 800-207 trebuie să însemne mai mult decât „nu acorda niciodată încredere implicită, verifică întotdeauna”. Pentru CISO, manageri de conformitate, auditori și responsabili de business, întrebarea practică este mai clară:

Cum transformăm Zero Trust în dovezi care satisfac ISO/IEC 27001:2022, așteptările NIS2 privind igiena cibernetică, gestionarea riscurilor TIC conform DORA, GDPR Article 32 privind securitatea prelucrării, verificarea prealabilă solicitată de clienți și supravegherea de către consiliul de administrație?

Răspunsul nu este încă un instrument. Este un model de dovezi bazat pe risc, care conectează politica, controalele, implementarea tehnică, monitorizarea și responsabilitatea managementului.

Zero Trust în 2026: de la strategie de securitate la dovezi de conformitate

NIST SP 800-207 definește Zero Trust ca un set de principii pentru proiectarea și operarea sistemelor securizate în care încrederea nu este niciodată implicită. Accesul este acordat pe baza identității, contextului, politicii, stării activului și evaluării continue.

Cele șapte principii NIST Zero Trust sunt deosebit de utile deoarece transformă un slogan vag de securitate într-un model care poate fi mapat, testat și auditat:

  1. Toate sursele de date și serviciile de calcul sunt considerate resurse.
  2. Toate comunicațiile sunt securizate indiferent de locația în rețea.
  3. Accesul la resursele individuale ale întreprinderii este acordat pentru fiecare sesiune.
  4. Accesul la resurse este determinat de politici dinamice, inclusiv de atribute de identitate, dispozitiv, aplicație și comportament.
  5. Întreprinderea monitorizează și măsoară integritatea și profilul de risc al securității pentru toate activele deținute și asociate.
  6. Autentificarea și autorizarea tuturor resurselor sunt dinamice și aplicate strict înainte de permiterea accesului.
  7. Întreprinderea colectează informații despre active, infrastructură și comunicații, apoi le utilizează pentru a îmbunătăți profilul de risc al securității.

Pentru un furnizor SaaS modern, o bancă digitală, un furnizor de servicii administrate sau o platformă cloud-native, aceste principii se traduc în domenii practice de control:

  • Identitatea este verificată și guvernată.
  • Dispozitivele sunt evaluate înainte de acordarea accesului.
  • Accesul privilegiat este minimizat și revizuit.
  • Căile de rețea sunt segmentate și controlate.
  • Aplicațiile, API-urile și depozitele de date aplică autorizarea.
  • Jurnalele și telemetria susțin monitorizarea continuă.
  • Incidentele declanșează izolarea, raportarea și recuperarea.
  • Dovezile demonstrează că aceste controale funcționează, nu doar că au fost proiectate.

Acest ultim punct este locul în care intervine conformitatea.

ISO/IEC 27001:2022 impune organizațiilor să definească contextul, părțile interesate, cerințele juridice și contractuale aplicabile, domeniul de aplicare, interfețele și dependențele. De asemenea, impune evaluarea riscurilor, tratarea riscurilor, o Declarație de aplicabilitate, responsabilitatea conducerii, audit intern, revizuire de management și îmbunătățire continuă.

Zero Trust se integrează firesc în această structură atunci când este tratat ca sistem de control. Nu trebuie să rămână în afara SMSI ca inițiativă de inginerie. Trebuie să facă parte din evaluarea riscurilor, selectarea controalelor, guvernanța politicilor, gestionarea furnizorilor, protecția confidențialității, răspunsul la incidente și raportarea către consiliul de administrație.

Presiunea de reglementare din spatele dovezilor Zero Trust

Presiunea pentru dovezi Zero Trust provine, de regulă, din obligații suprapuse, nu dintr-un singur standard.

NIS2 se poate aplica entităților publice sau private din sectoarele prevăzute în Anexa I sau Anexa II care îndeplinesc pragurile de dimensiune și activitate și se poate aplica și anumitor entități mai mici, dar critice. Anexa I include furnizori de servicii de cloud computing, furnizori de centre de date, furnizori de rețele de distribuție de conținut, furnizori de servicii de încredere, furnizori de servicii administrate, furnizori de servicii de securitate administrate, entități bancare și entități de infrastructură a pieței financiare. Anexa II include furnizori digitali precum piețe online, motoare de căutare și platforme de rețele sociale.

NIS2 Article 20 transformă securitatea cibernetică într-o responsabilitate a organului de conducere. Consiliul trebuie să aprobe măsurile de gestionare a riscurilor de securitate cibernetică, să supravegheze implementarea și să beneficieze de instruire în domeniul securității cibernetice. Article 21 impune măsuri tehnice, operaționale și organizaționale adecvate și proporționale, care acoperă analiza riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, dezvoltarea securizată, gestionarea vulnerabilităților, evaluarea eficacității, igiena cibernetică, instruirea, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor și, acolo unde este cazul, MFA sau autentificare continuă. Article 23 introduce raportarea etapizată a incidentelor semnificative, inclusiv avertizare timpurie în 24 de ore, notificare în 72 de ore și raport final.

DORA se aplică de la 17 ianuarie 2025 și instituie un regim uniform de reziliență operațională digitală pentru entitățile financiare. Acoperă gestionarea riscurilor TIC, raportarea incidentelor majore legate de TIC, testarea rezilienței operaționale, schimbul de informații privind amenințările și riscul asociat terților TIC. DORA Articles 5 și 6 impun guvernanță și un cadru documentat de gestionare a riscurilor TIC. Article 9 tratează protecția și prevenirea, inclusiv politici, proceduri, protocoale și instrumente pentru protejarea sistemelor TIC. Article 17 impune un proces de gestionare a incidentelor legate de TIC.

GDPR se aplică prelucrării în contextul unui sediu din UE și, de asemenea, operatorilor de date sau persoanelor împuternicite din afara UE care oferă bunuri sau servicii persoanelor din UE ori le monitorizează comportamentul. GDPR Article 5 impune responsabilitate. Article 32 impune măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului. Article 33 impune notificarea încălcării securității datelor cu caracter personal către autoritatea de supraveghere fără întârzieri nejustificate și, acolo unde este posibil, în termen de 72 de ore de la luarea la cunoștință a încălcării.

Un model de dovezi Zero Trust ajută deoarece același control poate susține mai multe cadre. MFA poate susține controlul accesului ISO/IEC 27001:2022, măsurile de autentificare NIS2, cerințele de protecție DORA și securitatea prelucrării conform GDPR. Dar acest lucru este valabil numai dacă organizația poate demonstra domeniul de aplicare, responsabilitatea, implementarea, monitorizarea și revizuirea.

Maparea principiilor NIST Zero Trust la controalele ISO/IEC 27001:2022

Controalele din Anexa A ISO/IEC 27001:2022, susținute de ghidul de implementare ISO/IEC 27002:2022, oferă limbajul de audit de care au nevoie majoritatea organizațiilor. Tabelul de mai jos traduce principiile NIST Zero Trust în arii de control ISO recunoscute de auditori.

Principiu NIST SP 800-207 Zero TrustPrincipiu de bază Zero TrustControale relevante ISO/IEC 27001:2022 Anexa A
Toate sursele de date și serviciile de calcul sunt resurseIdentificarea activelor și a datelorA.5.9 Inventarul informațiilor și al altor active asociate, A.5.10 Utilizarea acceptabilă a informațiilor și a altor active asociate, A.5.12 Clasificarea informațiilor
Toate comunicațiile sunt securizate indiferent de locația în rețeaComunicații securizate și canale criptateA.8.20 Securitatea rețelei, A.8.22 Separarea rețelelor, A.8.24 Utilizarea criptografiei
Accesul este acordat pentru fiecare sesiuneAutentificare și autorizare bazate pe sesiuneA.5.17 Informații de autentificare, A.8.5 Autentificare securizată
Accesul este determinat de politici dinamiceAcces contextual și bazat pe principiul privilegiului minimA.5.15 Controlul accesului, A.5.18 Drepturi de acces, A.8.3 Restricționarea accesului la informații
Integritatea activelor și profilul de risc al securității sunt monitorizateVerificarea posturii punctelor terminale și a sarcinilor de lucruA.8.1 Dispozitive utilizator de tip punct terminal, A.8.8 Managementul vulnerabilităților tehnice
Autentificarea și autorizarea sunt dinamice și aplicate strictCiclul de viață al identității și gestionarea accesului privilegiatA.5.16 Managementul identității, A.8.2 Drepturi de acces privilegiat, A.8.5 Autentificare securizată
Informațiile sunt colectate pentru a îmbunătăți profilul de risc al securitățiiMonitorizare continuă, jurnalizare și îmbunătățireA.8.15 Jurnalizare, A.8.16 Activități de monitorizare, A.8.23 Filtrare web

Această mapare nu este doar un exercițiu de proiectare tehnică. Ea devine structura pentru registrul de riscuri, Declarația de aplicabilitate, pachetul de dovezi și agenda revizuirii de management.

De exemplu, un scenariu de risc precum „un cont de dezvoltator compromis modifică codul de producție și accesează datele clienților” trebuie mapat la managementul identității, MFA, acces privilegiat, segregarea rețelelor, jurnalizare, monitorizare, dezvoltare securizată, managementul schimbărilor și răspuns la incidente. Acest scenariu unic poate susține ISO/IEC 27001:2022, NIS2 Article 21, gestionarea riscurilor TIC conform DORA și GDPR Article 32.

Stiva de controale Zero Trust Clarysec

Clarysec construiește Zero Trust în jurul a cinci domenii de dovezi: identitate, dispozitiv, rețea, aplicație și date, cu monitorizare și guvernanță peste toate cele cinci.

Fundamentul este controlul accesului și managementul identității. În Zenith Controls: The Cross-Compliance Guide, controlul ISO/IEC 27002:2022 5.15, Controlul accesului, este clasificat drept control preventiv care susține confidențialitatea, integritatea și disponibilitatea, aliniat la conceptul de securitate cibernetică Protect și la capabilitatea de management al identității și accesului. Controlul 5.16, Managementul identității, este de asemenea preventiv și este legat de aceleași proprietăți CIA și de capabilitatea IAM. Controlul 8.16, Activități de monitorizare, este clasificat ca de detecție și corectiv, susținând Detect and Respond prin managementul evenimentelor de securitate a informațiilor.

Această combinație este importantă. Zero Trust nu înseamnă doar controlul accesului. Înseamnă controlul accesului plus ciclul de viață al identității, plus postura de securitate a dispozitivelor, plus segregarea rețelelor, plus monitorizare, plus răspuns.

Clauzele de politică Clarysec transformă acest model în guvernanță aplicabilă.

Din Politica de control al accesului la nivel enterprise, secțiunea Obiective, clauza 3.4:

Susținerea principiilor Zero Trust prin refuzarea implicită a accesului, cu excepția cazului în care acesta este aprobat și justificat explicit.

Din Politica la nivel enterprise privind gestionarea conturilor de utilizator și a privilegiilor, secțiunea Cerințe de implementare a politicii, clauza 6.2.1:

Toți utilizatorii trebuie să primească nivelul minim de acces necesar pentru îndeplinirea atribuțiilor de serviciu.

Din Politica de securitate a rețelei la nivel enterprise, secțiunea Cerințe de guvernanță, clauza 5.2:

Tot traficul între zone trebuie controlat prin firewall-uri sau soluții de perimetru definit software, cu configurații explicite deny-by-default.

Din Politica de jurnalizare și monitorizare la nivel enterprise, secțiunea Obiective, clauza 3.4:

Instituirea unor sisteme centralizate de jurnalizare și alertare (de exemplu, SIEM) pentru agregarea, corelarea și escaladarea activităților suspecte aproape în timp real.

Din Politica de securitate a informației la nivel enterprise, secțiunea Cerințe de implementare a politicii, clauza 6.6.1:

Toate controalele implementate trebuie să fie verificabile, susținute de proceduri documentate și de dovezi păstrate privind funcționarea lor.

Pentru IMM-uri, aceeași intenție de guvernanță poate fi implementată cu documentație de politică mai suplă. Politica privind gestionarea conturilor de utilizator și a privilegiilor - IMM, secțiunea Obiective, clauza 3.2 prevede:

Aplicarea principiului privilegiului minim, asigurând că utilizatorilor li se acordă numai nivelul minim de acces necesar pentru îndeplinirea atribuțiilor.

Politica de control al accesului - IMM, secțiunea Cerințe de guvernanță, clauza 5.4.3 adaugă:

Conturile privilegiate trebuie să utilizeze autentificare multifactor (MFA) acolo unde aceasta este suportată.

Politica de securitate a rețelei - IMM, secțiunea Cerințe de implementare a politicii, clauza 6.2.3 prevede:

Traficul dintre segmente trebuie filtrat, iar accesul între segmente trebuie să respecte principiul privilegiului minim.

Politica de jurnalizare și monitorizare - IMM, secțiunea Scop, clauza 1.3 explică:

Jurnalizarea și monitorizarea susțin detectarea amenințărilor, conformitatea cu cerințele de reglementare, raportarea incidentelor și gestionarea incidentelor, precum și analiza criminalistică digitală.

Pentru Zero Trust orientat spre confidențialitate, Politica de protecție a datelor și confidențialitate - IMM, secțiunea Cerințe de guvernanță, clauza 5.3.2 prevede:

Accesul utilizatorilor la date cu caracter personal trebuie limitat la roluri cu o nevoie de business documentată.

Aceste clauze creează ancore de audit. Un auditor poate testa dacă accesul este refuzat implicit, privilegiile sunt minimizate, traficul între zone este controlat, jurnalele sunt centralizate și dovezile sunt păstrate.

Matricea dovezilor Zero Trust pe mai multe cadre

Un model solid de dovezi Zero Trust trebuie să evite capturile de ecran fragmentate. Dovezile trebuie să arate guvernanță, proiectare, implementare, monitorizare și revizuire.

Capabilitate Zero TrustDovezi ISO/IEC 27001:2022 și ISO/IEC 27002:2022Dovezi NIS2Dovezi DORADovezi GDPR
Verificarea identității și ciclul de viațăDomeniul de aplicare al SMSI, registrul de riscuri, intrări SoA pentru A.5.15 și A.5.16, înregistrări privind intrările-transferurile-plecărileMăsuri Article 21 privind securitatea resurselor umane, controlul accesului și managementul activelorGuvernanța activelor TIC și a accesului utilizatorilor în cadrul de risc TICAcces limitat la roluri autorizate, înregistrări de responsabilitate ale operatorului de date
MFA și autentificare continuăPolitica de control al accesului, procedura de acces privilegiat, rapoarte privind aplicarea MFAMăsuri Article 21 pentru MFA sau autentificare continuă, acolo unde este cazulControale care susțin accesul securizat la sistemele TIC și la funcțiile criticeDovezi Article 32 privind securitatea prelucrării pentru accesul la date cu caracter personal
Postura de securitate a dispozitivelor și încrederea în punctele terminaleInventarul activelor, configurație de referință pentru puncte terminale, acoperire EDR, aprobări de excepțiiIgienă cibernetică, gestionarea vulnerabilităților și politici privind sistemele securizateInventar al activelor TIC, testarea rezilienței, monitorizarea sistemelor TICProtecție împotriva prelucrării neautorizate sau ilegale de pe puncte terminale compromise
Segmentarea rețelei și microsegmentareDiagrame de rețea, reguli de firewall, rezultate ale testelor de segmentare, înregistrări ale schimbărilorMăsuri de prevenire sau minimizare a impactului incidentelor și de susținere a continuității activitățiiArhitectură de referință, toleranță la impact, testarea sistemelor criticeIzolarea datelor, minimizarea sferei încălcării
Principiul privilegiului minim pentru aplicații și API-uriMatrice RBAC sau ABAC, politici IAM cloud, domenii de aplicare ale tokenurilor, revizuiri ale accesului APIAchiziție, dezvoltare și mentenanță securizate, gestionarea vulnerabilitățilorMaparea funcțiilor susținute de TIC și documentarea dependențelorLimitarea scopului, acces la date cu caracter personal pe baza nevoii de business
Monitorizare continuă și detecțieCazuri de utilizare SIEM, triaj al alertelor, procedură de monitorizare, înregistrări ale incidentelorGestionarea incidentelor și pregătire pentru raportarea incidentelor semnificativeClasificarea incidentelor, escaladarea către management și ciclul de viață al raportăriiDetectarea încălcării securității datelor cu caracter personal și dovezi de responsabilitate
Încrederea în furnizori și cloudAcorduri cu furnizorii, plan de ieșire din cloud, monitorizarea furnizorilor, maparea responsabilităților partajateSecuritatea lanțului de aprovizionare pentru furnizorii direcți și furnizorii de serviciiStrategie privind riscul asociat terților TIC, registrul contractelor TIC, drepturi de audit și planuri de ieșireVerificarea prealabilă a persoanelor împuternicite, garanții contractuale și controale de securitate

Acest tabel este nucleul unui program Zero Trust pregătit pentru consiliul de administrație. Arată cum un singur mediu de control poate susține mai multe cerințe de asigurare fără a crea pachete de dovezi separate pentru fiecare cadru.

Utilizarea Zenith Blueprint pentru crearea trasabilității

Zenith Blueprint: An Auditor’s 30-Step Roadmap de la Clarysec este conceput pentru a împiedica Zero Trust să devină o filosofie de inginerie nedocumentată. În faza de gestionare a riscurilor, Pasul 13, Planificarea tratării riscurilor și Declarația de aplicabilitate, acesta explică:

SoA este, în fapt, un document-punte: leagă evaluarea/tratamentul riscurilor de
controalele efective pe care le aveți. Prin completarea lui, verificați din nou dacă ați omis vreun control.

Același pas recomandă maparea controalelor la riscuri, adăugarea referințelor la controalele din Anexa A în intrările de tratare a riscurilor și corelarea cu reglementări precum GDPR, NIS2 sau DORA atunci când controalele sunt implementate pentru a îndeplini acele obligații.

Pentru Zero Trust, aceasta este puntea lipsă. Dacă un auditor întreabă de ce ați implementat acces condiționat, răspunsul nu ar trebui să fie „pentru că așa spune Zero Trust”. Un răspuns mai bun este:

  • Scenariul de risc este accesul neautorizat la datele clienților prin credențiale compromise.
  • Proprietarul riscului este CTO sau directorul de inginerie.
  • Tratarea riscului include SSO, MFA, acces condiționat, validarea posturii de securitate a punctelor terminale, principiul privilegiului minim, segmentare și monitorizare.
  • SoA mapează tratarea riscului la controlul accesului, managementul identității, jurnalizare, monitorizare, criptografie, managementul vulnerabilităților și managementul serviciilor cloud.
  • Același tratament susține NIS2 Article 21, gestionarea riscurilor TIC conform DORA și GDPR Article 32.
  • Dovezile includ clauze de politică, revizuiri ale drepturilor de acces, alerte SIEM, rapoarte EDR privind postura de securitate, reguli de firewall, exporturi IAM, exerciții pentru incidente și procese-verbale ale revizuirilor de management.

Așa devine Arhitectura Zero Trust pregătită pentru audit.

Încrederea în punctele terminale, API-urile și segregarea rețelelor în practică

Zero Trust eșuează adesea deoarece organizațiile se concentrează pe identitate și ignoră contextul dispozitivelor, sarcinilor de lucru, datelor și rețelei.

Zenith Blueprint Pasul 19, Controale tehnologice I, explică clar cerința privind postura de securitate a punctelor terminale:

Accesul la informații prin puncte terminale trebuie să fie contextual. De exemplu, dispozitivul
îndeplinește standardele minime de securitate înainte de a accesa resursele companiei? A trecut recent
printr-o scanare malware? Se conectează dintr-o locație sau rețea neobișnuită? Integrată cu principiile Zero
Trust, postura de securitate a punctului terminal poate alimenta accesul condiționat, refuzând accesul până când
dispozitivul dovedește că este sigur.

Aceasta transformă dispozitivul într-o parte a deciziei de autorizare. O parolă validă utilizată de pe un laptop negestionat nu trebuie tratată la fel ca o autentificare validă de pe un punct terminal corporativ conform, criptat și monitorizat.

Același pas subliniază că restricțiile de acces se aplică aplicațiilor, serviciilor și API-urilor, nu doar utilizatorilor:

Restricțiile de acces trebuie aplicate și aplicațiilor, serviciilor și API-urilor, nu doar persoanelor.
De exemplu, un microserviciu poate avea nevoie doar de acces de citire la un tabel din baza de date, nu de drepturi CRUD
complete. Un instrument de backup poate avea nevoie de acces doar la anumite bucket-uri de stocare, nu la toate resursele tenantului.

Această îndrumare este critică pentru mediile cloud-native. Domeniile de aplicare ale API-urilor, conturile de serviciu, identitățile sarcinilor de lucru, rolurile Kubernetes și politicile IAM cloud trebuie să respecte toate principiul privilegiului minim. Accesul uman este doar o parte a suprafeței de control.

Pasul 20 din Zenith Blueprint abordează separarea rețelelor:

Separarea este unul dintre cele mai vechi și mai eficiente principii în securitatea cibernetică: limitează
propagarea, reduce riscul și conține prejudiciul
. Controlul 8.22 se concentrează pe segregarea rețelelor,
practica separării sistemelor, serviciilor și utilizatorilor în zone logice sau fizice diferite pentru a preveni
accesul neautorizat și a restricționa mișcarea laterală în caz de compromitere.

Acest lucru este critic pentru reziliența cerută de DORA și NIS2. O rețea Zero Trust trebuie să presupună că un cont, o sarcină de lucru sau un punct terminal poate fi compromis. Segmentarea împiedică un eveniment local să devină un incident sistemic.

Un pachet de dovezi Zero Trust în 10 zile

Imaginați-vă o companie fintech SaaS care furnizează analiză antifraudă băncilor. Prelucrează date cu caracter personal, utilizează infrastructură cloud, se bazează pe Kubernetes administrat, se integrează cu API-urile clienților și utilizează un furnizor de identitate terț. Un client solicită dovezi Zero Trust, iar compania are zece zile lucrătoare.

Un sprint practic de dovezi Clarysec ar arăta astfel.

CalendarAcțiuneRezultat al dovezilor
Ziua 1-2Definirea domeniului de aplicare Zero Trust pentru conturile cloud de producție, furnizorul de identitate, CI/CD, stațiile de lucru ale administratorilor, gateway-ul API pentru clienți, depozitul de date, SIEM, EDR și furnizorii criticiDeclarație privind domeniul de aplicare, hartă a dependențelor, diagramă de delimitare
Ziua 3Construirea trasabilității risc-control folosind Zenith Blueprint Pasul 13Intrări în registrul de riscuri, plan de tratare a riscurilor, mapări SoA
Ziua 4-5Aplicarea clauzelor de politică enterprise sau IMM și documentarea excepțiilorPolitici aprobate, registru de excepții, înregistrări de acceptare a riscului
Ziua 6-7Colectarea dovezilor tehniceRapoarte MFA, politici de acces condiționat, înregistrări PAM, tablouri de bord pentru puncte terminale, reguli de firewall, politici de rețea Kubernetes, exporturi IAM, cazuri de utilizare SIEM
Ziua 8Adăugarea dovezilor privind confidențialitatea și protecția datelorMatrice rol-date, înregistrări ale activităților de prelucrare, dovezi de criptare, reguli de retenție, procedură de escaladare a încălcărilor
Ziua 9Adăugarea suprapunerilor NIS2 și DORAMapare Article 21, pregătire pentru raportarea incidentelor, hartă a funcțiilor TIC, registrul furnizorilor, dovezi privind planul de ieșire
Ziua 10Crearea rezumatului executivNarațiune pregătită pentru consiliu, rezumat al riscului rezidual, foaie de parcurs pentru îmbunătățire

Scopul nu este să pretindeți că organizația a atins Zero Trust perfect în zece zile. Scopul este să creați un lanț de dovezi defensabil pentru cele mai importante riscuri și să demonstrați că programul este guvernat, măsurabil și în curs de îmbunătățire.

Cum vor testa diferiți auditori Zero Trust

O greșeală frecventă este pregătirea unei singure narațiuni tehnice și presupunerea că fiecare auditor va pune aceleași întrebări. Nu va fi așa.

Un auditor ISO/IEC 27001:2022 va căuta sistemul de management. Va întreba dacă riscurile Zero Trust sunt incluse în evaluarea riscurilor, dacă tratamentele sunt aprobate, dacă SoA este completă, dacă politicile sunt documente controlate, dacă se realizează revizuiri ale drepturilor de acces, dacă auditurile interne testează controalele și dacă revizuirile de management urmăresc performanța.

Un evaluator DORA va întreba dacă controalele Zero Trust fac parte din cadrul documentat de gestionare a riscurilor TIC. Va aștepta inventare de active și dependențe, maparea funcțiilor critice sau importante, clasificarea incidentelor, escaladarea către consiliu, testare, cerințe contractuale pentru terți, drepturi de audit, strategii de ieșire și urmărirea remedierilor.

Un evaluator NIS2 se va concentra pe responsabilitatea organului de conducere, măsurile de gestionare a riscurilor de securitate cibernetică prevăzute la Article 21 și pregătirea pentru raportarea incidentelor conform Article 23. De asemenea, va aștepta dovezi că securitatea lanțului de aprovizionare, continuitatea activității, gestionarea vulnerabilităților, controlul accesului și igiena cibernetică sunt gestionate.

Un evaluator GDPR sau un auditor de confidențialitate va întreba dacă accesul la date cu caracter personal este necesar, documentat, limitat, monitorizat și aliniat la scopurile prelucrării. Va examina rolurile de operator de date și persoană împuternicită, detectarea încălcărilor securității datelor cu caracter personal, accesul bazat pe roluri, criptarea, pseudonimizarea acolo unde este cazul, retenția și responsabilitatea.

Perspectiva auditoruluiÎntrebare probabilăDovezi care răspund întrebării
Auditor ISO/IEC 27001:2022Este Zero Trust bazat pe risc, aprobat și reflectat în SoA?Registrul de riscuri, SoA, plan de tratare a riscurilor, aprobări de politici, procese-verbale ale revizuirilor de management
Evaluator NIST CSFSunt integrate rezultatele privind guvernanța, identitatea, protecția, detecția, răspunsul și recuperarea?Profil CSF, plan de remediere a lacunelor, controale IAM, cazuri de utilizare pentru jurnalizare, playbook-uri de răspuns, teste de restaurare
Evaluator DORASusține Zero Trust gestionarea riscurilor TIC și reziliența funcțiilor critice?Inventarul activelor TIC, hartă a dependențelor, program de testare, clasificarea incidentelor, registrul furnizorilor
Auditor GDPR/confidențialitateEste accesul la date cu caracter personal limitat și protejat demonstrabil?Matrice rol-date, revizuiri ale drepturilor de acces, dovezi de criptare, proceduri pentru încălcări, înregistrări ale activităților de prelucrare
Auditor COBIT 2019/ISACASunt guvernate responsabilitățile, metricile și performanța controlului?RACI, KPI, registru de excepții, constatări de audit, instrument de urmărire a remedierilor

Același control poate satisface mai multe întrebări, dar numai dacă dovezile sunt organizate.

Furnizori, cloud și riscul asociat terților TIC

Zero Trust nu se oprește la firewall, iar în mediile cloud este posibil să nu existe deloc un perimetru tradițional de firewall. Furnizorii de identitate, platformele cloud, instrumentele CI/CD, furnizorii de detecție administrată, procesatorii de plăți, gateway-urile API și echipele de dezvoltare externalizată devin toate parte a țesăturii de încredere.

NIS2 Article 21 include explicit securitatea lanțului de aprovizionare pentru furnizorii direcți și furnizorii de servicii, inclusiv vulnerabilitățile furnizorilor, reziliența produselor și serviciilor, practicile de securitate cibernetică ale furnizorilor și procedurile de dezvoltare securizată.

DORA impune gestionarea riscului asociat terților TIC ca parte a cadrului de gestionare a riscurilor TIC, cu un registru al contractelor de servicii TIC, verificare prealabilă precontractuală, evaluarea criticității, risc de concentrare, cerințe contractuale de securitate, asistență în caz de incident, cooperare cu autoritățile, drepturi de audit, drepturi de încetare, strategii de ieșire și planuri de tranziție.

Pentru Zero Trust, regula practică este simplă: nu acordați încredere unei conexiuni cu furnizorul doar pentru că este contractuală. Solicitați controale tehnice și dovezi.

O integrare API cu un client trebuie să aibă tokenuri cu domeniu de aplicare definit, limitarea ratei solicitărilor, monitorizare, rotație, responsabil desemnat și revocare. Un furnizor de servicii administrate trebuie să utilizeze MFA, conturi nominale, principiul privilegiului minim, jurnalizarea sesiunilor și acces limitat în timp. Relația cu un furnizor cloud trebuie să includă maparea responsabilităților partajate, configurația de criptare, păstrarea jurnalelor, testarea backup-ului și planificarea ieșirii.

De aceea, dovezile privind furnizorii și cloud-ul aparțin modelului Zero Trust, nu unui folder separat de achiziții.

Metrici care demonstrează că Zero Trust funcționează

Consiliile de administrație și auditorii nu vor doar diagrame de arhitectură. Vor dovezi operaționale și tendințe de îmbunătățire.

Metrici utile pentru Zero Trust includ:

  • Procentul de conturi privilegiate protejate prin MFA.
  • Procentul de utilizatori acoperiți de acces condiționat.
  • Numărul de conturi privilegiate permanente comparativ cu conturile just-in-time.
  • Numărul de revizuiri ale drepturilor de acces restante.
  • Procentul de puncte terminale conforme cu cerințele privind postura de securitate.
  • Acoperirea EDR la nivelul activelor critice.
  • Numărul de tentative de acces refuzate din cauza riscului asociat dispozitivului sau locației.
  • Timpul mediu de detectare a activității privilegiate suspecte.
  • Timpul mediu de revocare a accesului după încetarea activității.
  • Procentul regulilor de firewall între zone revizuite în ultimul trimestru.
  • Numărul de furnizori critici cu dovezi de securitate actualizate.
  • Numărul de excepții Zero Trust cu data de remediere depășită.
  • Procentul de aplicații critice care trimit jurnale către SIEM.
  • Rezultatele simulărilor de incidente pentru compromiterea credențialelor.

Aceste metrici susțin îmbunătățirea continuă ISO/IEC 27001:2022, evaluarea eficacității conform NIS2, așteptările DORA privind testarea și remedierea, precum și responsabilitatea conform GDPR.

Eșecuri frecvente ale dovezilor Zero Trust

Cele mai frecvente eșecuri nu sunt cauzate de lipsa instrumentelor. Ele sunt cauzate de trasabilitate slabă.

În primul rând, organizațiile implementează MFA, dar nu pot demonstra că toate conturile privilegiate sunt acoperite. Conturile de serviciu, conturile de urgență break-glass și conturile de administrator local rămân adesea în afara controlului.

În al doilea rând, revizuirile drepturilor de acces se realizează manual, dar nu sunt corelate cu rolurile de business, sensibilitatea datelor sau proprietarii de risc. Dovezile arată că cineva a apăsat „revizuit”, nu că accesul inutil a fost eliminat.

În al treilea rând, segmentarea rețelei există în diagrame, dar nu în reguli testate. Auditorii vor întreba dacă accesul între segmente este refuzat implicit și dacă excepțiile sunt aprobate.

În al patrulea rând, jurnalele sunt colectate, dar nu sunt acționabile. Un SIEM fără cazuri de utilizare definite, triaj al alertelor și proceduri de răspuns nu demonstrează monitorizare continuă.

În al cincilea rând, accesul furnizorilor este negestionat. Furnizorii pot utiliza conturi partajate, acces VPN persistent sau roluri cloud ample fără monitorizarea sesiunilor.

În al șaselea rând, dovezile privind confidențialitatea sunt separate de dovezile de securitate. GDPR impune protecția demonstrabilă a datelor cu caracter personal, astfel încât controalele de identitate și acces trebuie conectate la categoriile de date și scopurile prelucrării.

În cele din urmă, excepțiile sunt nedocumentate. Zero Trust poate tolera excepții dacă acestea sunt evaluate din perspectiva riscului, aprobate, limitate în timp și monitorizate. Nu poate tolera excepții invizibile.

Construiți pachetul de dovezi Zero Trust cu Clarysec

Arhitectura Zero Trust în 2026 nu este un slogan. Este un model operațional de conformitate care leagă identitatea, dispozitivele, aplicațiile, segmentarea rețelei, principiul privilegiului minim, monitorizarea continuă, controlul furnizorilor și măsurile de protecție a confidențialității într-un sistem unic verificabil.

Dacă vă pregătiți pentru certificarea ISO/IEC 27001:2022, răspundeți solicitărilor clienților privind NIS2, vă aliniați la gestionarea riscurilor TIC conform DORA sau demonstrați securitatea prelucrării conform GDPR Article 32, începeți cu trasabilitatea.

Utilizați Zenith Blueprint: An Auditor’s 30-Step Roadmap pentru a mapa riscurile Zero Trust în registrul de riscuri, planul de tratare a riscurilor și SoA. Utilizați Zenith Controls: The Cross-Compliance Guide pentru a alinia controlul accesului, managementul identității și monitorizarea la așteptările trans-cadru. Utilizați biblioteca de politici Clarysec, inclusiv Politica de control al accesului la nivel enterprise, Politica la nivel enterprise privind gestionarea conturilor de utilizator și a privilegiilor, Politica de securitate a rețelei la nivel enterprise, Politica de jurnalizare și monitorizare la nivel enterprise, Politica de securitate a informației la nivel enterprise și Politica de protecție a datelor și confidențialitate - IMM, pentru a transforma arhitectura în guvernanță aplicabilă.

Următorul pas practic este să selectați un scenariu cu risc ridicat, cum ar fi compromiterea accesului privilegiat la datele clienților, și să construiți în jurul lui un lanț complet de dovezi Zero Trust. Dacă puteți demonstra acel scenariu de la un capăt la altul, aveți fundamentul pentru un program Zero Trust scalabil, verificabil și pregătit pentru cerințele de reglementare.

Descărcați pachetele de politici Clarysec sau programați un apel strategic pentru a vedea cum Zenith Blueprint și Zenith Controls pot transforma Zero Trust dintr-un risc de audit într-un avantaj de conformitate.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

DLP în 2026: ISO 27001 pentru GDPR, NIS2 și DORA

DLP în 2026: ISO 27001 pentru GDPR, NIS2 și DORA

Prevenirea pierderii datelor nu mai este o simplă configurare izolată a unui instrument. În 2026, CISO au nevoie de un program DLP guvernat prin politici și susținut de dovezi, care conectează clasificarea datelor, transferul securizat, jurnalizarea, răspunsul la incidente, guvernanța furnizorilor și controalele ISO/IEC 27001:2022 la GDPR Article 32, NIS2 și DORA.

NIST SP 800-63-4: dovezi pentru parole, MFA și chei de acces

NIST SP 800-63-4: dovezi pentru parole, MFA și chei de acces

Ghid practic pentru CISO privind transformarea așteptărilor NIST SP 800-63-4 referitoare la parole, MFA și chei de acces în dovezi pentru ISO/IEC 27001:2022, NIS2, DORA și GDPR, utilizând politicile Clarysec, Zenith Blueprint și Zenith Controls.

Guvernanța accesului la distanță securizat și a VPN pentru NIS2 și DORA

Guvernanța accesului la distanță securizat și a VPN pentru NIS2 și DORA

Accesul la distanță nu mai este un subiect IT izolat. În 2026, VPN, MFA, accesul furnizorilor, profilul de securitate al dispozitivelor terminale, jurnalizarea și dovezile privind aplicarea patch-urilor trebuie să răspundă cerințelor auditorilor ISO 27001, responsabilității managementului conform NIS2, regulilor DORA privind riscul TIC și obligațiilor de securitate prevăzute de GDPR Article 32.