Auditovateľné posúdenie rizík podľa ISO 27001 pre NIS2 a DORA

Káva na Sarahinom stole bola studená.

Ako CISO rýchlo rastúcej fintech spoločnosti bola na tlak zvyknutá. Spoločnosť práve získala významného bankového partnera a dotazník due diligence na jej obrazovke mal byť len formalitou. Prvé otázky boli známe: predložte Vyhlásenie o uplatniteľnosti podľa ISO/IEC 27001:2022, poskytnite najnovší register rizík, vysvetlite metodiku posudzovania rizík.

Potom sa tón dotazníka zmenil.

Preukážte, ako váš program riadenia rizík pokrýva DORA. Vysvetlite pripravenosť na NIS2 vrátane zodpovednosti manažmentu a opatrení týkajúcich sa rizík dodávateľského reťazca. Poskytnite dôkazy, že kritickí dodávatelia IKT sú posudzovaní, monitorovaní a zahrnutí do plánov reakcie na incidenty a kontinuity činností.

Do pondelkového rána bola tá istá téma na programe výboru predstavenstva pre riziká. Certifikačný audit ISO 27001 o osem týždňov. Tlak súvisiaci s DORA zo strany zákazníkov z finančného sektora. Klasifikačné otázky podľa NIS2 pre službu prevádzkovanú v cloudovom prostredí, ktorá expanduje do EÚ. Obstarávanie tvrdilo, že preskúmania dodávateľov existujú, ale dôkazy boli roztrúsené v e-mailoch, zmluvných priečinkoch a tabuľke dodávateľov. Právne oddelenie uviedlo, že regulačné mapovanie ešte prebieha. Vývojový tím tvrdil, že register rizík je vo veľkej miere hotový.

Predstavenstvo položilo jedinú otázku, na ktorej záležalo:

Vieme preukázať, že naše posúdenie rizík a plán ošetrenia rizík sú dostatočné?

Toto je skutočný problém spoločností v oblasti SaaS, fintech, riadených služieb, cloudu a digitálnych platforiem. Nie to, či existuje register rizík. Nie to, či boli kontroly z prílohy A skopírované do tabuľky. Problém je, či organizácia dokáže pod auditným a zákazníckym tlakom preukázať, že jej proces posudzovania rizík podľa ISO 27001 je opakovateľný, založený na rizikách, schválený vlastníkmi rizík, prepojený s aktivitami ošetrenia rizík, mapovaný na zákonné povinnosti a prevádzkovo aktuálny.

Ak je vykonané správne, jedno posúdenie rizík podľa ISO 27001 a jeden plán ošetrenia rizík môžu podporiť certifikáciu ISO/IEC 27001:2022, opatrenia riadenia rizík kybernetickej bezpečnosti podľa NIS2 Article 21, požiadavky DORA na riadenie IKT rizík, preukázateľnú zodpovednosť podľa GDPR, uistenie dodávateľov, pripravenosť na incidenty a reportovanie predstavenstvu.

Ak je vykonané zle, stane sa z neho tabuľka, ktorú audítori rozoberú za tridsať minút.

Tento návod ukazuje, ako Clarysec vytvára auditovateľné dôkazy o posúdení rizík a ošetrení rizík podľa ISO 27001 pomocou Zenith Blueprint: 30-kroková cestovná mapa audítora, politík Clarysec a Zenith Controls: príručka pre krížový súlad.

Prečo je posúdenie rizík podľa ISO 27001 dnes jadrom súladu

Regulačné prostredie EÚ sa zbieha k jednoduchému princípu: riziko kybernetickej bezpečnosti musí byť riadené, zdokumentované, testované a musí mať vlastníka.

ISO/IEC 27001:2022 takto funguje už dnes. Ustanovenia 4.1 až 4.4 vyžadujú, aby organizácia pred posudzovaním rizík porozumela svojmu kontextu, zainteresovaným stranám, rozsahu ISMS a interakciám procesov. Ustanovenia 6.1.2 a 6.1.3 vyžadujú definovaný proces posudzovania a ošetrenia rizík informačnej bezpečnosti. Ustanovenia 8.2 a 8.3 vyžadujú, aby organizácia vykonávala posúdenia rizík a implementovala plán ošetrenia rizík pri uchovávaní zdokumentovaných informácií.

NIS2 a DORA robia tú istú logiku založenú na riziku naliehavejšou.

NIS2 Article 20 vyžaduje, aby riadiace orgány základných a dôležitých subjektov schvaľovali opatrenia riadenia rizík kybernetickej bezpečnosti, dohliadali na ich implementáciu a absolvovali školenie v oblasti kybernetickej bezpečnosti. Article 21 vyžaduje primerané a úmerné technické, prevádzkové a organizačné opatrenia na riadenie rizík pre sieťové a informačné systémy. Tieto opatrenia zahŕňajú analýzu rizík, riešenie incidentov, kontinuitu činností, bezpečnosť dodávateľského reťazca, bezpečný vývoj, riešenie zraniteľností, hodnotenie účinnosti, kybernetickú hygienu, kryptografiu, bezpečnosť v oblasti ľudských zdrojov, riadenie prístupu, správu aktív a viacfaktorovú autentifikáciu alebo zabezpečenú komunikáciu tam, kde je to primerané.

DORA vytvára podobný tlak na finančné subjekty. Articles 5 a 6 vyžadujú, aby riadiaci orgán definoval, schvaľoval, dohliadal a zostával zodpovedný za nastavenie riadenia IKT rizík. DORA očakáva zdokumentovaný rámec riadenia IKT rizík integrovaný do celkového riadenia rizík, podporený politikami, postupmi, protokolmi, nástrojmi, vnútorným auditom, nápravnými opatreniami, kontinuitou, testovaním, riadením incidentov a správou a riadením externých poskytovateľov IKT.

Praktický záver je nevyhnutný: register rizík už nie je pracovným zošitom technického tímu. Je dôkazom správy a riadenia.

Podniková Politika riadenia rizík spoločnosti Clarysec túto požiadavku stanovuje explicitne:

Formálny proces riadenia rizík sa musí udržiavať v súlade s ISO/IEC 27005 a ISO 31000 a musí pokrývať identifikáciu, analýzu, hodnotenie, ošetrenie, monitorovanie a komunikáciu rizík.

Z Podnikovej politiky riadenia rizík, časť „Požiadavky na správu a riadenie“, ustanovenie politiky 5.1.

Tá istá politika definuje auditovateľný výsledok:

Udržiavať centralizovaný register rizík a plán ošetrenia rizík pod riadením verzií, ktorý odráža aktuálny stav rizík, pokrytie kontrolami a pokrok pri zmierňovaní rizík.

Z Podnikovej politiky riadenia rizík, časť „Ciele“, ustanovenie politiky 3.3.

Práve formulácia „aktuálny stav rizík, pokrytie kontrolami a pokrok pri zmierňovaní rizík“ odlišuje statický súbor pre súlad od obhájiteľného programu riadenia rizík.

Začnite rozsahom, povinnosťami a rizikovými kritériami

Mnohé slabé posúdenia rizík podľa ISO 27001 začínajú kontrolným zoznamom kontrol. To je opačný postup.

ISO 27001 vyžaduje, aby organizácia pred výberom kontrol určila kontext, požiadavky zainteresovaných strán, rozsah ISMS, zodpovednosti vedenia a plánovanie rizík. ISO/IEC 27005:2022 to posilňuje odporúčaním, aby organizácie identifikovali základné požiadavky zainteresovaných strán ešte pred posudzovaním rizík. Tieto požiadavky môžu pochádzať z noriem ISO, odvetvových predpisov, vnútroštátnych zákonov, zákazníckych zmlúv, interných politík, predchádzajúcich aktivít ošetrenia rizík a povinností dodávateľov.

Pre SaaS alebo fintech spoločnosť pôsobiacu vo vzťahu k EÚ by sa rizikový proces mal začať inventárom požiadaviek na súlad a povinností.

Pre MSP stanovuje Clarysec Politika právneho a regulačného súladu - MSP východiskový bod:

Generálny manažér musí udržiavať jednoduchý, štruktúrovaný register súladu, ktorý uvádza:

Z Politiky právneho a regulačného súladu pre MSP, časť „Požiadavky na správu a riadenie“, ustanovenie politiky 5.1.1.

Takýto jednoduchý register je mostom medzi súladom a riadením rizík. Ak uvádza, že GDPR sa uplatňuje, pretože sa spracúvajú osobné údaje z EÚ, NIS2 sa môže uplatniť, pretože organizácia poskytuje digitálne alebo riadené služby, alebo že DORA je relevantná prostredníctvom zákazníkov z finančného sektora, tieto povinnosti musia ovplyvniť rizikové kritériá a priority ošetrenia rizík.

Zenith Blueprint je v tomto bode vo fáze Riadenie rizík, krok 10, „Stanovenie rizikových kritérií a matice dopadov“, priamy:

V akceptačných kritériách zohľadnite aj zákonné/regulačné požiadavky. Niektoré riziká môžu byť neakceptovateľné bez ohľadu na pravdepodobnosť z dôvodu zákonov.

Zo Zenith Blueprint, fáza Riadenie rizík, krok 10.

Uvádza aj praktické pravidlo pre workshopy:

„Každé riziko, ktoré by mohlo viesť k nesúladu s uplatniteľnými zákonmi (GDPR atď.), je neakceptovateľné a musí byť zmiernené.“

Zo Zenith Blueprint, fáza Riadenie rizík, krok 10.

Pre Sarahinu fintech spoločnosť to mení model skórovania. Zraniteľnosť API dodávateľa môže mať nízku pravdepodobnosť, ale ak by jej zneužitie mohlo spustiť významný incident súvisiaci s IKT podľa DORA, významný incident podľa NIS2, posúdenie porušenia ochrany údajov podľa GDPR, porušenie zákazníckeho SLA alebo eskaláciu na úroveň predstavenstva, dopad je vysoký alebo kritický. Regulačná expozícia sa stáva súčasťou logiky rizík, nie samostatnou tabuľkou.

Vytvorte register rizík, ktorý audítori dokážu testovať

Audítori sa nepýtajú iba na vaše najvyššie riziká. Testujú, či je metóda definovaná, opakovateľná, sledovateľná a dodržiavaná.

Budú sa pýtať:

• Ako ste tieto riziká identifikovali?
• Ktoré aktíva, služby, dodávatelia, typy údajov a procesy boli v rozsahu?
• Aké kritériá sa použili pre pravdepodobnosť a dopad?
• Kto vlastní každé riziko?
• Ktoré existujúce kontroly riziko znižujú?
• Prečo bolo zvolené konkrétne rozhodnutie o ošetrení rizika?
• Kde sú dôkazy, že ošetrenie rizika bolo vykonané?
• Kto schválil zostatkové riziko?
• Kedy bude riziko prehodnotené?

Clarysec Politika riadenia rizík - MSP zachytáva minimálny auditovateľný záznam rizika:

Každý záznam rizika musí obsahovať: opis, pravdepodobnosť, dopad, skóre, vlastníka a plán ošetrenia rizík.

Z Politiky riadenia rizík pre MSP, časť „Požiadavky na správu a riadenie“, ustanovenie politiky 5.1.2.

Pre podnikové programy rozširuje Zenith Blueprint vo fáze Riadenie rizík, krok 11, „Vytvorenie a zdokumentovanie registra rizík“, túto štruktúru. Odporúča stĺpce ako ID rizika, aktívum, hrozba, zraniteľnosť, opis rizika, pravdepodobnosť, dopad, úroveň rizika, aktuálne kontroly, vlastník rizika, rozhodnutie o ošetrení rizika, plán ošetrenia rizík alebo kontroly a stav.

Silný záznam rizika vyzerá takto:

Toto sa zásadne líši od záznamu „Riziko tretej strany, vysoké, zmierniť“. Auditovateľná verzia prepája aktívum, hrozbu, zraniteľnosť, dôsledok, aktuálne kontroly, vlastníka, predpis, dôkazy a správu a riadenie.

Premeňte ošetrenie rizík na plán dôkazov

Plán ošetrenia rizík musí odpovedať na štyri prevádzkové otázky:

1. Čo urobíme?
2. Kto to vlastní?
3. Kedy to bude dokončené?
4. Ako preukážeme, že sa riziko znížilo?

ISO/IEC 27001:2022 ustanovenie 6.1.3 vyžaduje, aby organizácia vybrala možnosti ošetrenia rizík, určila potrebné kontroly, porovnala ich s prílohou A s cieľom zabrániť opomenutiam, vytvorila Vyhlásenie o uplatniteľnosti, sformulovala plán ošetrenia rizík a získala schválenie vlastníka rizika pre plán a zostatkové riziká. Ustanovenie 8.3 následne vyžaduje implementáciu plánu ošetrenia rizík a uchovávanie zdokumentovaných informácií o výsledkoch.

Podniková Politika riadenia rizík to robí praktickým:

Manažér rizík zabezpečí, aby boli ošetrenia rizík realistické, časovo ohraničené a mapované na kontroly prílohy A ISO/IEC 27001.

Z Podnikovej politiky riadenia rizík, časť „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.4.2.

Politika pre MSP zároveň objasňuje, že akceptácia nie je skratka:

Akceptovať: Odôvodniť, prečo nie je potrebná ďalšia činnosť, a zaznamenať zostatkové riziko.

Z Politiky riadenia rizík pre MSP, časť „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.

Akceptácia musí byť odôvodnená voči kritériám, schválená príslušným vlastníkom a monitorovaná. Pod NIS2 a DORA sa neschválené zostatkové riziko môže stať zlyhaním správy a riadenia.

Úplný plán ošetrenia rizík by mal obsahovať tieto polia:

Pre Sarahino R-042 sa plán ošetrenia rizík mení na zoznam aktivít pre krížový súlad.

Tento plán je účinný, pretože vytvára priamu líniu od jedného rizikového scenára ku kontrolám ISO 27001, povinnostiam NIS2, článkom DORA, vlastníkom a dôkazom.

Nechajte Vyhlásenie o uplatniteľnosti odviesť viac práce

Vyhlásenie o uplatniteľnosti sa často považuje za certifikačný artefakt. Malo by byť viac než to.

ISO/IEC 27001:2022 ustanovenie 6.1.3 vyžaduje, aby SoA obsahovalo potrebné kontroly, odôvodnenie ich zahrnutia, stav implementácie a odôvodnenie vylúčení. Usmernenie ISO/IEC 27005:2022 posilňuje potrebu porovnať vybrané kontroly s prílohou A ISO/IEC 27001, aby sa predišlo opomenutiam.

V auditovateľnom programe sa SoA stáva mostom medzi ošetrením rizík a dôkazmi krížového súladu. Ak plán ošetrenia rizík vyžaduje MFA, logovanie, monitorovanie dodávateľov, obnovu zo záloh, bezpečný vývoj, eskaláciu incidentov alebo plánovanie ukončenia cloudovej služby, SoA má ukázať, že relevantné kontroly prílohy A sú zahrnuté, odôvodnené, implementované alebo plánované a podložené dôkazmi.

Pomáha to tiež predísť častému auditnému zlyhaniu: register rizík hovorí jedno, plán ošetrenia rizík druhé a SoA mlčí. Keď tieto artefakty nesúhlasia, audítori rýchlo strácajú dôveru.

Mapovanie ošetrenia rizík podľa ISO 27001 na NIS2, DORA a GDPR

ISO 27001 nenahrádza NIS2, DORA ani GDPR. Poskytuje štruktúrovaný mechanizmus na vytváranie dôkazov pre tieto požiadavky.

Kľúčové je zabudovať mapovanie do rizikového procesu, nie ho dodatočne pripájať.

Toto mapovanie je obzvlášť dôležité tam, kde sa predpisy prekrývajú. DORA je odvetvový režim IKT odolnosti pre mnohé finančné subjekty, zatiaľ čo NIS2 môže zostať priamo relevantná pre určitých poskytovateľov, koordináciu alebo subjekty mimo rozsahu DORA. Fintech spoločnosť môže potrebovať DORA ako svoj primárny rámec IKT odolnosti, zatiaľ čo poskytovateľ riadených služieb podporujúci túto fintech spoločnosť môže priamo podliehať povinnostiam podľa NIS2.

Register rizík musí vedieť ukázať obe strany tejto závislosti.

Použite Zenith Controls ako kompas krížového súladu

Clarysec používa Zenith Controls ako príručku krížového súladu, aby predišiel častému zlyhaniu, keď kontroly ISO, regulačné články a auditné otázky existujú v oddelených svetoch. Nevytvára samostatný kontrolný rámec. Mapuje kontrolné oblasti ISO/IEC 27001:2022 a ISO/IEC 27002:2022 na iné normy, auditné očakávania a perspektívy súladu.

Pre posúdenie rizík a ošetrenie rizík podľa ISO 27001 sú obzvlášť dôležité tieto odkazy:

Poučenie z krížového súladu je jednoduché. Ak zákonné povinnosti nie sú v metóde posudzovania rizík, skórovanie je neúplné. Ak je skórovanie neúplné, priority ošetrenia rizík môžu byť nesprávne. Ak sú priority nesprávne, SoA a reportovanie predstavenstvu sa stávajú nespoľahlivými.

Zenith Blueprint zdôrazňuje rovnaký bod vo fáze Riadenie rizík, krok 14, „Politiky ošetrenia rizík a regulačné krížové odkazy“. Odporúča organizáciám vytvoriť mapovaciu tabuľku, ktorá uvádza kľúčové regulačné bezpečnostné požiadavky a zodpovedajúce kontroly alebo politiky v ISMS. Nie je to povinné pre certifikáciu ISO 27001, ale je to veľmi užitočné na preukázanie, že bezpečnosť je riadená v právnom a zmluvnom kontexte.

Na čo sa budú pýtať rôzni audítori

Certifikačný audítor, hodnotiteľ zameraný na NIS2, zákazník orientovaný na DORA, hodnotiteľ GDPR, posudzovateľ NIST alebo odborník na COBIT môžu skúmať tie isté dôkazy, ale klásť odlišné otázky.

Preto záleží na architektúre dôkazov. Ten istý záznam rizika má byť sledovateľný od cieľa organizácie k aktívu, hrozbe, zraniteľnosti, kontrole, vlastníkovi, regulačnému dôvodu, aktivite ošetrenia rizika, výsledku testu a manažérskemu rozhodnutiu.

Politiky Clarysec sú navrhnuté tak, aby takúto architektúru podporovali. Podniková Politika riadenia rizík uvádza v časti „Referenčné normy a rámce“:

Article 5: Vyžaduje zdokumentovaný rámec riadenia IKT rizík, ktorý je plne pokrytý štruktúrou tejto politiky vrátane mapovania SoA a KRI.

Tým sa politika mení zo statického dokumentu na auditný dôkaz, že správa a riadenie IKT rizík boli zámerne navrhnuté s ohľadom na DORA.

Časté zistenia, ktoré narúšajú rizikové programy

Keď Clarysec preskúmava dôkazy o posúdení rizík a ošetrení rizík podľa ISO 27001, opakovane sa objavujú rovnaké zistenia.

Po prvé, rizikové kritériá ignorujú právny, regulačný, zmluvný, dodávateľský a súkromnoprávny dopad. To spôsobuje slabé skórovanie. Porušenie ochrany osobných údajov alebo zlyhanie kritického dodávateľa môže byť hodnotené ako stredné, pretože pravdepodobnosť je nízka, hoci dopad podľa GDPR, NIS2, DORA alebo zákazníckej zmluvy by ho mal zaradiť ako vysoké alebo kritické.

Po druhé, vlastníci rizík sú generickí. „IT“ nie je vlastník rizika. Vlastníkom rizika má byť rola alebo osoba zodpovedná za rozhodnutia o ošetrení rizika, rozpočet, termíny a zostatkové riziko.

Po tretie, plány ošetrenia rizík nie sú časovo ohraničené. „Zlepšiť monitorovanie“ nie je plán. „Nasadiť upozornenia na privilegované relácie v SIEM pre produkčné administrátorské účty do 30. júna, vlastníkom je manažér SOC, otestované simulovaným administrátorským prihlásením, s priloženými dôkazmi upozornenia“ je plán.

Po štvrté, SoA je odpojené od ošetrenia rizík. Ak plán ošetrenia rizík vyžaduje monitorovanie dodávateľov, testovanie záloh, eskaláciu incidentov, MFA alebo logovanie, SoA má odrážať relevantné kontroly a stav ich implementácie.

Po piate, zostatkové riziko nie je schválené. ISO 27001 vyžaduje schválenie plánu ošetrenia rizík a zostatkových rizík vlastníkom rizika. NIS2 a DORA to robia ešte dôležitejším, pretože zodpovednosť manažmentu je explicitná.

Po šieste, dodávateľské riziko sa rieši ako administratíva obstarávania. Podľa NIS2 Article 21(2)(d) a DORA Articles 28 a 30 musí byť riziko dodávateľov a externých poskytovateľov IKT súčasťou riadenia rizík, nie ročný dotazník uložený izolovane.

Po siedme, chýbajú dôkazy o účinnosti. ISO 27001 ustanovenie 6.1.1 vyžaduje, aby sa plánované činnosti hodnotili z hľadiska účinnosti. NIS2 zahŕňa hodnotenie účinnosti v Article 21(2)(f). DORA očakáva testovanie a nápravné opatrenia. Kontrola, ktorá existuje, ale nikdy sa netestuje, je slabým dôkazom.

Politika riadenia rizík - MSP stanovuje očakávanie jasne:

Generálny manažér a koordinátor rizík musia zabezpečiť, aby aktivity riadenia rizík boli pripravené na audit. Register rizík a súvisiace aktivity podliehajú vnútornému a externému auditu.

Z Politiky riadenia rizík pre MSP, časť „Uplatňovanie politiky a súlad“, ustanovenie politiky 8.2.1.

Reportovanie predstavenstvu bez zahltenia vedenia

NIS2, DORA a ISO 27001 smerujú k zodpovednosti manažmentu, ale predstavenstvá nepotrebujú každý riadok rizika. Potrebujú reportovanie použiteľné na rozhodovanie.

Dobrý balík rizík pre predstavenstvo má ukázať:

• vysoké a kritické riziká podľa domény,
• omeškané aktivity ošetrenia rizík,
• regulačné riziká týkajúce sa NIS2, DORA, GDPR alebo zmlúv,
• dodávateľské riziká ovplyvňujúce kritické alebo dôležité služby,
• trendy incidentov a takmer vzniknutých incidentov,
• zostatkové riziká čakajúce na akceptáciu,
• výsledky testov účinnosti kontrol,
• významné zmeny rozsahu, dodávateľov, technológie alebo práva,
• zistenia vnútorného auditu a nápravné opatrenia.

Clarysec zvyčajne odporúča mesačné prevádzkové preskúmania rizík a štvrťročné preskúmania manažmentom. Mesačné preskúmania sa zameriavajú na realizáciu ošetrenia rizík. Štvrťročné preskúmania sa zameriavajú na akceptáciu, financovanie, prioritizáciu, regulačnú expozíciu a strategické rozhodnutia o rizikách.

Tento rytmus podporuje aj neustále zlepšovanie. Posúdenia rizík sa majú aktualizovať pri incidentoch, vzniku nových zraniteľností, zavedení nových aktív, zmene technológií, zmene dodávateľov, zmene právnych predpisov, zmene zákazníckych povinností alebo zmene apetítu na riziko.

Implementačná cesta Clarysec

Jednotný rizikový program zabraňuje odpojeným tabuľkám pre ISO, NIS2, DORA, GDPR a požiadavky zákazníkov na uistenie. Praktická cesta je:

1. Potvrďte rozsah ISMS, služby, aktíva, dodávateľov, jurisdikcie a zákaznícke povinnosti.
2. Vytvorte alebo aktualizujte register súladu pomocou Politiky právneho a regulačného súladu - MSP, kde je to vhodné.
3. Definujte metodiku rizík, akceptačné kritériá, škály pravdepodobnosti, škály dopadu a pravidlá regulačného dopadu.
4. Vytvorte register rizík pomocou fázy Riadenie rizík v Zenith Blueprint a prístupu Clarysec k nástroju Risk Register and SoA Builder.
5. Identifikujte riziká založené na aktívach a scenároch vrátane scenárov dodávateľov, cloudu, ochrany súkromia, kontinuity, incidentov, zraniteľností, bezpečného vývoja a prístupu.
6. Skórujte riziká pomocou kritérií, ktoré zahŕňajú právny, regulačný, zmluvný, prevádzkový, súkromnoprávny, dodávateľský a finančný dopad.
7. Vyberte možnosti ošetrenia rizík: zmierniť, vyhnúť sa, preniesť alebo akceptovať.
8. Mapujte potrebné kontroly na prílohu A ISO/IEC 27001:2022 a usmernenie ISO/IEC 27002:2022.
9. Vytvorte alebo aktualizujte Vyhlásenie o uplatniteľnosti.
10. Mapujte ošetrenia rizík na NIS2 Article 21, riadenie IKT rizík a očakávania pre tretie strany podľa DORA, preukázateľnú zodpovednosť podľa GDPR a zmluvné povinnosti zákazníkov.
11. Zhromaždite dôkazy, overte účinnosť kontrol a získajte schválenie zostatkového rizika.
12. Pripravte auditný balík usporiadaný podľa rizika, kontroly, predpisu a dôkazového artefaktu.
13. Premietnite výsledky do preskúmania manažmentom, vnútorného auditu, nápravných opatrení a neustáleho zlepšovania.

Toto nie je papierovanie samoúčelne. Je to operačný systém pre obhájiteľné riadenie kybernetickej bezpečnosti.

Vytvorte auditovateľný balík ošetrenia rizík

Sarahin príbeh sa končí dobre, pretože prestala riešiť ISO 27001, NIS2 a DORA ako samostatné projekty súladu. Použila posúdenie rizík podľa ISO 27001 ako centrálny mechanizmus, vložila regulačné povinnosti do rizikových kritérií, mapovala aktivity ošetrenia rizík na prílohu A a požiadavky EÚ a zhromaždila dôkazy, ktorým zákazníci, audítori aj predstavenstvo rozumejú.

Vaša organizácia môže urobiť to isté.

Použite Zenith Blueprint: 30-kroková cestovná mapa audítora na definovanie rizikových kritérií, vytvorenie registra rizík, vytvorenie plánu ošetrenia rizík a krížové odkazovanie na regulačné požiadavky.

Použite Zenith Controls: príručka pre krížový súlad na prepojenie kontrolných oblastí prílohy A ISO/IEC 27001:2022 so správou a riadením, právnym súladom, uistením a auditnými perspektívami.

Použite Politiku riadenia rizík, Politiku riadenia rizík - MSP a Politiku právneho a regulačného súladu - MSP od Clarysec na štandardizáciu vlastníctva, registrov, rozhodnutí o ošetrení rizík a auditovateľných dôkazov.

Najrýchlejším praktickým ďalším krokom je vziať desať najvyšších rizík a otestovať ich voči piatim otázkam:

1. Je viditeľný regulačný dopad?
2. Je plán ošetrenia rizík časovo ohraničený a má vlastníka?
3. Je každé ošetrenie mapované na prílohu A a SoA?
4. Je zdokumentovaná relevancia NIS2, DORA, GDPR alebo zákazníka tam, kde sa uplatňuje?
5. Existujú dôkazy, že kontrola funguje?

Ak je odpoveď nie, Clarysec vám môže pomôcť premeniť register rizík na obhájiteľný program ošetrenia rizík s krížovým súladom, ktorému môžu dôverovať audítori, regulátori, zákazníci aj predstavenstvá.