Správa a riadenie cloudových regiónov pre GDPR, NIS2 a DORA

V utorok ráno o 08:17 dostane Maria, CISO rýchlo rastúceho európskeho fintechu, správu, ktorej sa skôr či neskôr obáva každý regulovaný zákazník cloudových služieb.

Tím obstarávania preposiela stručné oznámenie dodávateľa:

„Náš poskytovateľ cloudovej analytiky presúva zákaznícku telemetriu z EÚ do nového regiónu z dôvodov výkonnosti. Tvrdí, že to nemá žiadny bezpečnostný dopad. Môžeme to schváliť?“

Skôr než Maria stihne odpovedať, prichádza druhé oznámenie od primárneho poskytovateľa cloudových služieb. S účinnosťou o 90 dní bude poskytovateľ „optimalizovať svoj globálny model podpory“ tým, že tickety podpory druhej úrovne (Tier 2) bude smerovať cez nového ďalšieho sprostredkovateľa. Rýchle preskúmanie ukáže, že tento ďalší sprostredkovateľ má sídlo v krajine bez rozhodnutia o primeranosti podľa GDPR.

Do 09:00 sa do vlákna zapojili právne oddelenie, tím ochrany súkromia, tím odolnosti, obstarávanie, cloudové inžinierstvo a oddelenie compliance. DPO sa pýta, či je potrebné posúdenie vplyvu prenosu. Manažér odolnosti sa pýta, či nový región ovplyvňuje plán obnovy kritickej služby. Vedúci compliance pre finančné služby sa pýta, či sa poskytovateľ nachádza v registri externých poskytovateľov IKT podľa DORA. Cloudový tím kontroluje produkčnú dátovú rovinu a zisťuje, že problém je širší ako analytika. Do rozsahu môžu patriť aj zálohy, prevádzkové logy, tickety podpory, exporty z dátového jazera, núdzový privilegovaný prístup typu break-glass a prístup subdodávateľov.

Toto je skutočný problém správy a riadenia cloudu v roku 2026.

Väčšina organizácií má cloudovú politiku. Mnohé majú register dodávateľov. Niektoré majú posúdenie prenosov podľa GDPR. Menej organizácií však dokáže s dôkazmi odpovedať na náročnejšiu auditnú otázku:

Kde presne sa nachádzajú regulované údaje a kritické spracúvanie IKT, kto k nim môže pristupovať a odkiaľ, čo sa deje pri prepnutí na záložné prostredie a aká zmluvná kontrola bráni poskytovateľovi zmeniť odpoveď bez schválenia?

Toto je správa a riadenie cloudových regiónov. Nie je to jednorazové právne zaškrtávacie políčko. Je to živý kontrolný systém naprieč ISO/IEC 27001:2022, cloudovými a dodávateľskými kontrolami ISO/IEC 27002:2022, zodpovednosťou podľa GDPR, odolnosťou služieb podľa NIS2 a dohľadom nad externými poskytovateľmi IKT podľa DORA.

Lokalizácia údajov je dnes prevádzková kontrola

Roky sa „hosting iba v EÚ“ vnímal ako ustanovenie v zmluve o spracúvaní osobných údajov. To už nestačí. Moderný program lokalizácie cloudových údajov a správy regiónov musí pokrývať aspoň šesť prevádzkových vrstiev:

1. Primárne produkčné regióny pre úložisko a výpočtové zdroje.
2. Regióny pre zálohy, archívy a obnovu po havárii.
3. Umiestnenia údajov z logovania, monitorovania, SIEM a observability.
4. Prístup podpory vrátane vzdialenej správy a núdzového privilegovaného prístupu typu break-glass.
5. Ďalší sprostredkovatelia a subdodávatelia vrátane spravovaných služieb a komponentov z marketplace.
6. Trasy prenosu údajov medzi prostrediami, rozhraniami API, analytickými platformami a nástrojmi zákazníckej podpory.

GDPR z toho robí nevyhnutnosť, pretože osobné údaje môžu zahŕňať online identifikátory, IP adresy, identifikátory zákazníckych účtov, záznamy používateľov, identifikátory zariadení, prevádzkové metadáta a záznamy podpory. Spracúvanie je zároveň definované široko a zahŕňa ukladanie, prístup, používanie, sprístupnenie, výmaz a zničenie. „Posielame iba logy“ nie je bezpečná výnimka, ak tieto logy obsahujú identifikátory.

GDPR Article 5 zahŕňa aj zásadu zodpovednosti. Prevádzkovatelia musia nielen dodržiavať zásady zákonnosti, korektnosti, transparentnosti, obmedzenia účelu, minimalizácie údajov, obmedzenia uchovávania, integrity a dôvernosti. Musia byť tiež schopní preukázať súlad. Správa a riadenie cloudových regiónov je jedným zo spôsobov, ako sa toto preukazovanie stáva reálnym.

NIS2 rozširuje problém z ochrany súkromia na odolnosť. Podľa Article 21 musia základné a dôležité subjekty zaviesť primerané technické, prevádzkové a organizačné opatrenia na riadenie rizík pre siete a informačné systémy používané na prevádzku alebo poskytovanie služieb. Uvedené opatrenia zahŕňajú bezpečnosť dodávateľského reťazca, kontinuitu činností, riadenie záloh, obnovu po havárii, krízové riadenie, riadenie prístupu, správu aktív, šifrovanie a posúdenie účinnosti. Ak rozhodnutie o cloudovom regióne ovplyvňuje dostupnosť alebo obnovu služby v rozsahu pôsobnosti, nejde iba o otázku ochrany údajov. Je to otázka odolnosti.

Pre finančné subjekty DORA posúva požiadavky ešte vyššie. DORA sa uplatňuje od 17. januára 2025 a stanovuje požiadavky na riadenie rizík IKT, nahlasovanie incidentov, testovanie digitálnej prevádzkovej odolnosti, riadenie rizík externých poskytovateľov IKT a zmluvné dojednania. Article 28 vyžaduje, aby finančné subjekty riadili riziko externých poskytovateľov IKT ako neoddeliteľnú súčasť rámca riadenia rizík IKT, viedli registre zmluvných dojednaní, posudzovali riziko koncentrácie a plánovali ukončenie pre kritické alebo dôležité funkcie. Article 30 očakáva zmluvnú jednoznačnosť v oblasti miest poskytovania služieb a spracúvania údajov, práv na audit a prístup, podpory pri incidentoch, subdodávateľstva, obnovy, vrátenia a prechodu pri ukončení.

DORA pôsobí ako odvetvovo špecifický režim pre finančné subjekty, zatiaľ čo NIS2 zostáva relevantná v širšom dodávateľskom reťazci, najmä pre poskytovateľov cloudových výpočtových služieb, poskytovateľov dátových centier a poskytovateľov spravovaných služieb. Jediný nepreverený ďalší sprostredkovateľ preto môže vytvoriť domino efekt naprieč finančnou odolnosťou, bezpečnosťou dodávateľského reťazca a povinnosťami ochrany súkromia.

Jednoducho povedané, ak regulovaná organizácia nedokáže riadiť, kde prebieha jej cloudové spracúvanie, nemôže dôveryhodne riadiť riziko externých poskytovateľov IKT.

Použite ISO 27001 ako kotvu systému manažérstva

ISO/IEC 27001:2022 poskytuje štruktúru na premenu nejasností v lokalizácii údajov na riadený systém manažérstva.

Kapitoly 4.1 až 4.4 vyžadujú, aby organizácia definovala ISMS v kontexte vrátane interných a externých otázok, požiadaviek zainteresovaných strán, zákonných, regulačných a zmluvných povinností, rozhraní a závislostí s inými organizáciami. Pri správe a riadení cloudových regiónov by mal rozsah ISMS výslovne zahŕňať cloudové služby, outsourcované spracúvanie IKT, závislosti kritických služieb a toky regulovaných údajov.

Kapitoly 5.1 až 5.3 stanovujú zodpovednosť vedenia. Vrcholový manažment musí zosúladiť politiku informačnej bezpečnosti a ciele so strategickým smerovaním, zabezpečiť zdroje, prideliť zodpovednosti a zabezpečiť reportovanie výkonnosti ISMS. Tu sa lokalizácia údajov v cloude stáva témou pre manažment a predstavenstvo, najmä pri subjektoch podľa NIS2, kde riadiace orgány musia schvaľovať opatrenia riadenia kybernetických rizík a dohliadať na ne, a pri finančných subjektoch podľa DORA, kde je riadiaci orgán zodpovedný za správu rizík IKT.

Kapitoly 6.1.1 až 6.1.3 poskytujú mechanizmus riadenia rizík. Organizácia potrebuje opakovateľný proces posúdenia rizík, vlastníkov rizík, kritériá dopadu a pravdepodobnosti, možnosti ošetrenia, vybrané kontroly, vyhlásenie o uplatniteľnosti a akceptáciu zostatkového rizika. Zmena cloudového regiónu by sa nemala schvaľovať neformálnym e-mailom. Ak ovplyvňuje regulované údaje, kritické funkcie, dodávateľov alebo predpoklady kontinuity, má spustiť posúdenie rizík alebo preskúmanie zmeny.

Kapitola 8.1 premieňa plánovanie na prevádzkové riadenie. Procesy musia byť implementované, riadené, zdokumentované, menené kontrolovaným spôsobom a rozšírené na externe poskytované produkty a služby relevantné pre ISMS. Kapitoly 8.2 a 8.3 vyžadujú prehodnotenie a ošetrenie rizík v plánovaných intervaloch alebo pri významných zmenách. Migrácia cloudového regiónu, replikácia záloh, nová platforma logovania alebo zmena ďalšieho sprostredkovateľa podpory sú všetko kandidáti na prehodnotenie.

Súbor kontrol ISO/IEC 27002:2022 potom poskytuje praktickú rodinu kontrol. Medzi najrelevantnejšie kontroly patria:

• 5.9 Inventarizácia informácií a ďalších pridružených aktív.
• 5.14 Prenos informácií.
• 5.15 Riadenie prístupu.
• 5.19 Informačná bezpečnosť vo vzťahoch s dodávateľmi.
• 5.20 Riešenie informačnej bezpečnosti v dodávateľských zmluvách.
• 5.22 Monitorovanie, preskúmanie a riadenie zmien dodávateľských služieb.
• 5.23 Informačná bezpečnosť pri používaní cloudových služieb.
• 5.29 Informačná bezpečnosť počas narušenia.
• 5.30 Pripravenosť IKT na kontinuitu činností.
• 5.31 Zákonné, štatutárne, regulačné a zmluvné požiadavky.
• 5.34 Súkromie a ochrana osobne identifikovateľných údajov (PII).
• 5.36 Súlad s politikami, pravidlami a normami informačnej bezpečnosti.
• 8.11 Maskovanie údajov.
• 8.12 Prevencia úniku údajov.
• 8.13 Zálohovanie informácií.
• 8.15 Logovanie.
• 8.16 Monitorovacie činnosti.
• 8.20 Bezpečnosť sietí.
• 8.24 Používanie kryptografie.
• 8.25 Životný cyklus bezpečného vývoja.
• 8.27 Bezpečná architektúra systémov a inžinierske princípy.
• 8.32 Riadenie zmien.

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls považuje kontrolu ISO/IEC 27002:2022 5.23, Informačná bezpečnosť pri používaní cloudových služieb, za preventívnu kontrolu podporujúcu dôvernosť, integritu a dostupnosť, s prevádzkovou spôsobilosťou v oblasti bezpečnosti dodávateľských vzťahov a bezpečnostných domén naprieč správou, ekosystémom a ochranou. Príručka prepája 5.23 s 5.19 vzťahmi s dodávateľmi, 5.14 prenosom informácií, 5.9 inventarizáciou aktív, 8.11 a 8.12 maskovaním údajov a prevenciou úniku údajov, 8.20 bezpečnosťou sietí a 8.25 životným cyklom bezpečného vývoja.

Kľúčové pozorovanie zo Zenith Controls znie:

„Poskytovatelia cloudových služieb (CSP) fungujú ako kritickí dodávatelia, a preto sa na nich vzťahujú všetky kontroly týkajúce sa výberu dodávateľov, uzatvárania zmlúv a riadenia rizík podľa 5.19. Kontrola 5.23 však ide ďalej, pretože rieši riziká špecifické pre cloud, ako sú multi-tenancy, transparentnosť umiestnenia údajov a modely zdieľanej zodpovednosti.“

Táto veta vystihuje posun v správe a riadení. Poskytovateľ cloudu nie je len ďalší dodávateľ. Často je miestom, kde prebieha regulované spracúvanie.

Skryté pasce lokalizácie: zálohy, logy, podpora a ďalší sprostredkovatelia

Väčšina zlyhaní lokalizácie údajov nezačína v produkčnej databáze. Začína v podporných systémoch, ktoré nikdy neboli riadne zahrnuté do preskúmania tokov údajov.

Zálohy sú klasickým príkladom. Platforma SaaS môže bežať vo Frankfurte alebo Dubline, zatiaľ čo automatizované zálohy sa z dôvodov odolnosti alebo nákladov replikujú inde. Ak záloha obsahuje osobné údaje, záznamy zákazníkov, autentifikačné logy alebo regulovanú históriu transakcií, región zálohy je podstatný. Podľa NIS2 Article 21 sú riadenie záloh a obnova po havárii súčasťou základnej bezpečnostnej úrovne. Podľa DORA kontinuita kritických alebo dôležitých funkcií a otestované stratégie ukončenia vyžadujú znalosť miest obnovy a závislostí obnovy.

Ďalším slabým miestom sú logy. Bezpečnostné tímy centralizujú telemetriu do SIEM, služieb observability a dátových jazier. Tieto logy môžu obsahovať IP adresy, identifikátory používateľov, činnosti administrátorov, platobné metadáta, neúspešné pokusy o autentifikáciu, identifikátory zákazníckych účtov alebo trasovacie údaje podpory. Ak sa logy presúvajú do globálnej monitorovacej služby, organizácia mohla nevedomky vytvoriť cezhraničný prenos.

Clarysec Politika logovania a monitorovania pre MSP Politika logovania a monitorovania - SME priamo rieši dôkazy od dodávateľov:

„Zmluvy musia vyžadovať, aby poskytovatelia uchovávali logy najmenej 12 mesiacov a poskytli k nim prístup na požiadanie.“

Tento citát pochádza zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.5.1.3. Pri správe a riadení lokalizácie údajov by rovnaké preskúmanie zmluvy malo potvrdiť, kde sa tieto logy uchovávajú, kto k nim môže pristupovať a či sú dôkazy z logov dostupné počas vyšetrovania incidentu alebo regulačného preverenia.

Prístup podpory je jemnejší problém. Poskytovateľ môže hostovať údaje v EÚ, zatiaľ čo podporní inžinieri mimo EÚ môžu pristupovať k zákazníckym prostrediam, snapshotom databáz, diagnostickým balíkom alebo prílohám ticketov. Prijateľnosť závisí od dotknutých údajov, mechanizmu prenosu, roly, zmluvných ochranných opatrení, riadenia prístupu a logovania. Architektúra môže byť regionálna, zatiaľ čo model ľudského prístupu je globálny.

Ďalší sprostredkovatelia vytvárajú posledné slepé miesto. Váš priamy dodávateľ sa môže spoliehať na cloudovú infraštruktúru, siete na doručovanie obsahu, spravované databázy, ticketovacie platformy, analytické služby, offshore tímy podpory alebo bezpečnostných dodávateľov. DORA Article 29 vyžaduje posúdenie rizík subdodávateľstva, poskytovateľov z tretích krajín, obmedzení obnovy údajov, súladu s ochranou údajov a zložitých reťazcov subdodávateľstva. NIS2 Article 21 vyžaduje, aby subjekty zohľadňovali praktiky kybernetickej bezpečnosti priamych dodávateľov a poskytovateľov služieb. GDPR vyžaduje, aby sprostredkovatelia riadili ďalších sprostredkovateľov spôsobom, ktorý zachováva schopnosť prevádzkovateľa plniť svoje povinnosti.

Clarysec Politika bezpečnosti tretích strán a dodávateľov pre MSP Politika bezpečnosti tretích strán a dodávateľov - SME to prevádza do praxe:

„Ak sa od dodávateľov vyžaduje uchovávanie údajov mimo pracoviska, spoločnosť musí získať uistenie o ochrane údajov, fyzickej bezpečnosti a geografickom umiestnení úložiska (napr. hosting iba v EÚ, ak to vyžaduje GDPR).“

Toto pochádza zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.4. Rovnaká politika tiež vyžaduje:

„Obmedzenia ďalšieho subdodávateľstva bez schválenia.“

Tento citát pochádza zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.5. Spoločne tieto ustanovenia menia lokalizáciu údajov na pracovný tok riadenia dodávateľov, nie na preferenciu obstarávania.

Premeňte politiku na vynútiteľnú správu a riadenie cloudových regiónov

Správa a riadenie cloudových regiónov musí byť vynútiteľné, preskúmateľné a auditovateľné.

Pre MSP nastavuje základnú úroveň Politika používania cloudových služieb pre MSP Politika používania cloudových služieb - SME:

„Lokalizácia údajov a postupy ochrany súkromia sú v súlade s uplatniteľnými právnymi požiadavkami (napr. GDPR).“

Toto pochádza zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.2.3. Rovnaká politika vyžaduje, aby záznamy správy a riadenia cloudu obsahovali:

„Krajinu alebo región, kde sú údaje uložené.“

Tento citát pochádza zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.4.

Pre väčšie organizácie je Politika používania cloudových služieb Politika používania cloudových služieb explicitnejšia v zmluvnom presadzovaní:

„Požiadavky na lokalizáciu údajov musia byť vynútiteľné zmluvne (napr. ukladanie iba v EÚ pre údaje regulované GDPR).“

Toto pochádza zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.6.2. Uvádza tiež:

„Cezhraničné prenosy údajov musia byť v súlade s kapitolou V GDPR a tam, kde je to uplatniteľné, s DORA Article 28.“

Toto pochádza zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.6.3.

Podniková verzia tiež venuje pozornosť:

„Zárukám lokalizácie údajov a vlastníctva údajov.“

Tento citát pochádza zo sekcie „Roly a zodpovednosti“, ustanovenie politiky 4.5.1.2.

Politika bezpečnosti tretích strán a dodávateľov Politika bezpečnosti tretích strán a dodávateľov dopĺňa zmluvnú vrstvu tým, že vyžaduje:

„Požiadavky na nakladanie s údajmi vrátane umiestnenia úložiska, riadenia prístupu a ustanovení o vrátení alebo zničení.“

Tento citát pochádza zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.2.

Napokon Politika právneho a regulačného súladu Politika právneho a regulačného súladu identifikuje zmeny, ktoré by mali spustiť preskúmanie súladu, vrátane:

„Zmeny mechanizmov prenosu údajov, ďalších sprostredkovateľov alebo cezhraničných tokov údajov.“

Toto pochádza zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.1.1.

Tieto dokumenty nemajú fungovať ako samostatné súbory. V zrelom ISMS sa menia na jeden prevádzkový model: inventár cloudu, register tokov údajov, register dodávateľov, zmluvná matica, posúdenie rizík, preskúmanie prenosov, schvaľovanie zmien a balík auditných dôkazov.

Vytvorte register správy a riadenia cloudových regiónov

Praktický register premieňa lokalizáciu údajov v cloude z predpokladu na dôkaz. Začnite jednou kritickou službou orientovanou na zákazníkov, najmä takou, ktorá pravdepodobne spadá do rozsahu NIS2, due diligence zákazníkov podľa DORA alebo preskúmania podľa GDPR.

Teraz prepojte register s implementáciou.

V Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint sa fáza Controls in Action, krok 23, zameriava na organizačné opatrenia 5.19 až 5.37 vrátane dodávateľských zmlúv a správy cloudových služieb. Blueprint upozorňuje, že dodávateľské zmluvy musia pokrývať viac než všeobecnú dôvernosť:

„V mnohých odvetviach dodávateľské zmluvy definujú aj vlastníctvo údajov a jurisdikciu. Kde sa údaje spracúvajú? Kto si ponecháva kontrolu? Existujú obmedzenia prenosu? Existujú kontroly špecifické pre cloud, napríklad segmentácia údajov, vlastníctvo kľúčov alebo geografické obmedzenia? Tieto prvky nie sú len právne; sú to prevádzkové otázky bezpečnosti, najmä v regulovaných sektoroch.“

Rovnaká fáza a krok riešia riadenie zmien dodávateľov:

„Väčšina dodávateľských vzťahov sa začína s dobrými úmyslami. Dôkladné preskúmanie, jasné očakávania, podpísané zmluvy (pozri 5.20), možno aj bezpečnostný kontrolný zoznam. Čo sa však stane o rok neskôr, keď dodávateľ navrhne presun vašich údajov do nového cloudového regiónu?“

To je Mariin utorkový ranný problém. Register dáva CISO spôsob, ako odpovedať ešte pred schválením presunu.

Zenith Blueprint tiež objasňuje význam správy a riadenia pri cloudovej kontrole 5.23:

„Nesprávne nakonfigurovaný úložiskový bucket, verejne vystavený dashboard alebo nadmerné oprávnenia v nastavení cloudového IAM nie sú zlyhaniami cloudu. Sú to zlyhania správy a riadenia.“

Vo fáze Controls in Action, krok 22, sa Blueprint venuje prenosu informácií a uvádza:

„Ak sa osobné údaje prenášajú cez hranice, použitá metóda musí byť v súlade s povinnosťami v oblasti ochrany súkromia a právnymi povinnosťami, nielen s internými preferenciami.“

Táto veta je dôležitá pre cloudové tímy. Šifrovanie, bezpečné API a privátna konektivita sú nevyhnutné, ale nenahrádzajú právnu a regulačnú správu prenosov.

Uskutočnite prvý 90-minútový workshop k dôkazom

Nezačínajte mapovaním celého podniku. Začnite jednou kritickou službou a uskutočnite cielený workshop s cloudovým inžinierstvom, obstarávaním, právnym oddelením, ochranou súkromia, odolnosťou a bezpečnostnou prevádzkou.

Najprv vypíšte každý cloudový alebo dodávateľský komponent, ktorý službu ukladá, spracúva, prenáša, zálohuje, monitoruje alebo podporuje. Zahrňte aj menšie systémy, ako je monitorovanie dostupnosti, prílohy ticketov, sledovanie chýb, nástroje podpory na zdieľanie obrazovky a diagnostické exporty.

Po druhé označte každú kategóriu údajov. Ak tím povie „iba metadáta“, spochybnite tento predpoklad. Metadáta môžu byť stále osobnými údajmi alebo dôvernými údajmi zákazníka.

Po tretie overte región na základe dôkazov. Použite konfiguráciu cloudovej konzoly, politiky zálohovania, nastavenia tenantu SIEM, prílohy DPA, zoznamy ďalších sprostredkovateľov, zmluvné podmienky, dokumentáciu prístupu podpory a auditné reporty CSP. Nespoliehajte sa iba na obchodné uistenia.

Po štvrté zaznamenajte medzery do registra rizík ISMS. Príklady zahŕňajú „región replikácie záloh nie je zmluvne obmedzený“, „prístup podpory z tretej krajiny nemá zdokumentovaný schvaľovací pracovný tok“, „logy SIEM sa uchovávajú globálne“, „zoznam ďalších sprostredkovateľov neidentifikuje región hostovania“ alebo „register DORA nerozlišuje závislosť od kritickej alebo dôležitej funkcie“.

Po piate rozhodnite o ošetrení rizika. Ošetrenia môžu zahŕňať dodatok k zmluve, uzamknutie regiónu, notifikáciu zákazníka, šifrovanie pomocou kľúčov spravovaných zákazníkom, tokenizáciu, minimalizáciu logov, schválenie nového dodávateľa, aktualizáciu stratégie ukončenia alebo akceptáciu zostatkového rizika vlastníkom rizika.

Po šieste uchovajte dôkazy. Audítori sa nebudú pýtať len na to, čo ste rozhodli. Budú sa pýtať, ako viete, že to bolo implementované.

Namapujte jeden súbor dôkazov na ISO, GDPR, NIS2, DORA a NIST CSF 2.0

Silný program správy a riadenia cloudových regiónov predchádza duplicitnej práci v oblasti súladu. Rovnaké dôkazy môžu podporovať viacero povinností, ak sú správne štruktúrované.

NIST CSF 2.0 je užitočný ako integračná vrstva. Jeho funkcia GOVERN sa zosúlaďuje so zákonnými, regulačnými, zmluvnými a súkromnostnými povinnosťami, apetítom na riziko, zodpovednosťou, politikami a dohľadom. Jeho kategória dodávateľského reťazca GV.SC sa dobre mapuje na očakávania DORA voči externým poskytovateľom IKT, požiadavky NIS2 na dodávateľský reťazec a dodávateľské kontroly ISO.

COBIT 2019 a auditný pohľad ISACA často testujú rovnaké fakty cez ciele správy a riadenia: vlastníctvo, rozhodovacie právomoci, optimalizáciu rizík, výkonnosť dodávateľov, realizáciu prínosov a uistenie. Preskúmavateľ v štýle COBIT nemusí začať otázkou „ktorý cloudový región je nakonfigurovaný?“ Môže začať otázkou „kto má právomoc schváliť zmenu regiónu, ako sa riziko eskaluje a ako manažment vie, že cloudoví dodávatelia zostávajú v tolerancii?“

Preto model Clarysec zachytáva vlastníkov, schvaľovacie body, zmluvné dôkazy a reportovanie manažmentu, nielen technické nastavenia.

Pripravte sa na otázky audítora

Správa a riadenie cloudových regiónov je dokonalým príkladom toho, ako rôzni audítori posudzujú rovnakú kontrolu z rôznych uhlov.

Audítor ISO/IEC 27001:2022 začne rozsahom, požiadavkami zainteresovaných strán, posúdením rizík a vyhlásením o uplatniteľnosti. Bude sa pýtať, či sú identifikované zákonné, regulačné a zmluvné požiadavky, či sú zahrnuté cloudové a dodávateľské kontroly, či boli riziká posúdené, či sú kontroly implementované a či sa uchovávajú dôkazy. Môže vybrať vzorku jednej cloudovej služby a vyžiadať si preskúmanie onboardingu, zmluvné ustanovenia, konfiguráciu regiónu, preskúmanie monitorovania a schválenie zmeny.

Orgán na ochranu údajov alebo preskúmavateľ GDPR sa zameria na osobné údaje. Bude sa pýtať, aké osobné údaje sa spracúvajú, kde sú uložené, odkiaľ sa k nim pristupuje, ktorí sprostredkovatelia a ďalší sprostredkovatelia sú zapojení, či sú zdokumentované mechanizmy prenosu, či je potrebné posúdenie vplyvu prenosu a či sú zavedené primerané technické a organizačné opatrenia. Logom, údajom podpory a zálohám sa často venuje pozornosť, pretože organizácie ich podceňujú.

Audítor NIS2 alebo príslušný orgán sa zameria na služby v rozsahu pôsobnosti. Bude skúmať zodpovednosť manažmentu podľa Article 20, opatrenia riadenia rizík podľa Article 21, kontinuitu, riadenie záloh, obnovu po havárii, riešenie incidentov, bezpečnosť dodávateľského reťazca, riadenie prístupu, správu aktív a posúdenie účinnosti.

Dohľadový orgán DORA alebo tím vnútorného auditu bude hľadať správu rizík IKT, dohľad riadiaceho orgánu, register informácií o zmluvných dojednaniach s externými poskytovateľmi IKT, mapovanie kritických alebo dôležitých funkcií, riziko koncentrácie, riziko subdodávateľstva, miesta spracúvania údajov, práva na audit, podporu nahlasovania incidentov, testovanie kontinuity a plány ukončenia. DORA jasne stanovuje, že outsourcing neprenáša zodpovednosť.

Zenith Controls pomáha bezpečnostným lídrom pripraviť sa na tieto auditné štýly, pretože krížovo odkazuje vzťahy medzi kontrolami. Pri kontrole ISO/IEC 27002:2022 5.20, Riešenie informačnej bezpečnosti v dodávateľských zmluvách, Zenith Controls prepája túto kontrolu s 5.19 vzťahmi s dodávateľmi, 5.14 prenosom informácií, 5.22 monitorovaním dodávateľov, 5.11 vrátením aktív a 5.36 súladom s politikami, pravidlami a normami. Pri kontrole 5.22, Monitorovanie, preskúmanie a riadenie zmien dodávateľských služieb, prepája priebežný dohľad nad dodávateľmi s 5.29 bezpečnosťou počas narušenia, 8.8 riadením technických zraniteľností, 5.15 riadením prístupu, 8.27 bezpečnou architektúrou systémov a inžinierskymi princípmi a 5.36 súladom.

Tento pohľad naprieč kontrolami je dôležitý, pretože zmena regiónu nikdy nie je len zmenou regiónu. Môže zmeniť dodávateľské riziko, riziko prenosu, riziko prístupu, riziko kontinuity, dôkazy pre reakciu na incidenty a zmluvný súlad.

Použite tento kontrolný zoznam CISO na rok 2026 pred schválením cloudovej zmeny

Použite tento kontrolný zoznam pred schválením akéhokoľvek nového cloudového regiónu, cezhraničnej cesty spracúvania, umiestnenia záloh, platformy logovania, modelu podpory alebo zmeny kritického dodávateľa IKT.

Ak je odpoveď na ktorúkoľvek otázku „predpokladáme“, kontrola nie je dostatočne zrelá pre regulovanú prevádzku.

Plán nápravy

Cesta nápravy je praktická, ak je ukotvená v ISMS.

1. Potvrďte, že rozsah ISMS zahŕňa cloudové služby, kritické závislosti IKT a spracúvanie regulovaných údajov.
2. Vytvorte register správy a riadenia cloudových regiónov pre prioritné služby.
3. Namapujte každú službu na kategórie údajov, regióny, umiestnenia záloh, prístup podpory a ďalších sprostredkovateľov.
4. Preskúmajte dodávateľské zmluvy z hľadiska ustanovení o umiestnení úložiska, prenose, audite, incidente, subdodávateľstve, vrátení a zničení.
5. Aktualizujte register rizík o medzery, riziká koncentrácie a nezdokumentované prenosy.
6. Zosúlaďte register externých poskytovateľov IKT podľa DORA a mapovanie závislostí služieb podľa NIS2 tam, kde je to uplatniteľné.
7. Overte technické presadzovanie vrátane uzamknutí regiónov, politík zálohovania, nastavení logovania, šifrovania, riadenia prístupu a správy kľúčov.
8. Pripravte balík auditných dôkazov so snímkami obrazovky, zmluvami, záznamami rizík, schváleniami, zápisnicami z preskúmaní a výsledkami testov.
9. Zaveďte spúšťač zmeny pre nové regióny, ďalších sprostredkovateľov, mechanizmy prenosu alebo zmeny služieb kritických dodávateľov.
10. Reportujte manažmentu riziko lokalizácie údajov v cloude, výnimky a rozhodnutia o zostatkovom riziku.

Toto nie je teoretický súlad. Je to rozdiel medzi cloudovým prostredím, ktoré obstojí pri auditnom preverení, a prostredím, ktoré závisí od ústnych uistení.

Obchodný prípad: suverenita, odolnosť a dôvera

Vrcholové vedenie niekedy vníma správu lokalizácie údajov ako obmedzenie cloudovej agility. V praxi zrelá správa regiónov agilitu zvyšuje, pretože tímy poznajú pravidlá skôr, než nakupujú, budujú alebo migrujú.

Produktový tím môže spúšťať rýchlejšie, keď sú schválené regióny jasné. Obstarávanie môže rokovať rýchlejšie, keď sú povinné ustanovenia už definované. Právne oddelenie môže rýchlejšie posudzovať prenosy, keď sú toky údajov zdokumentované. Bezpečnostná prevádzka môže rýchlejšie vyšetrovať, keď sú známe umiestnenia logov a prístupové práva. Predstavenstvo môže rýchlejšie rozhodovať o rizikách, keď sú viditeľné riziko koncentrácie, dopad na kontinuitu a akceptácia zostatkového rizika.

Pre zákazníkov, najmä regulovaných zákazníkov, sa z toho stáva signál dôvery. Poskytovateľ SaaS, ktorý vie vysvetliť, kde sa údaje nachádzajú, ako sa riadia zálohy, ako je kontrolovaný prístup podpory, ako sa schvaľujú ďalší sprostredkovatelia a ako sa preskúmavajú zmeny regiónov, bude úspešnejší než poskytovateľ, ktorý povie len „používame popredného cloudového poskytovateľa“.

V roku 2026 je tento rozdiel podstatný. NIS2 priniesla riadenie kybernetickej bezpečnosti základným a dôležitým subjektom naprieč EÚ. DORA spravila z dohľadu nad externými poskytovateľmi IKT formálnu disciplínu finančného sektora. Zodpovednosť podľa GDPR zostáva ústredná. ISO/IEC 27001:2022 poskytuje systém manažérstva, ktorý to drží pohromade.

Ďalšie kroky s Clarysec

Ak vaša organizácia nedokáže odpovedať, kde sa regulované údaje a kritické spracúvanie IKT nachádzajú naprieč produkciou, zálohami, logmi, prístupom podpory a subdodávateľmi, teraz je čas túto medzeru uzavrieť.

Clarysec vám môže pomôcť vytvoriť balík dôkazov pre správu a riadenie cloudových regiónov pomocou:

• Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint pre fázovanú implementáciu ISO a pripravenosť na audit.
• Zenith Controls: The Cross-Compliance Guide Zenith Controls na mapovanie cloudových a dodávateľských kontrol ISO/IEC 27002:2022 na prevádzkové dôkazy a očakávania naprieč rámcami.
• Politika používania cloudových služieb Politika používania cloudových služieb a Politika používania cloudových služieb pre MSP Politika používania cloudových služieb - SME pre požiadavky na lokalizáciu cloudových údajov.
• Politika bezpečnosti tretích strán a dodávateľov Politika bezpečnosti tretích strán a dodávateľov a Politika bezpečnosti tretích strán a dodávateľov pre MSP Politika bezpečnosti tretích strán a dodávateľov - SME pre dodávateľské zmluvy, subdodávateľstvo a uistenie o geografickom umiestnení úložiska.
• Politika logovania a monitorovania pre MSP Politika logovania a monitorovania - SME pre uchovávanie logov a dôkazy od poskytovateľov.
• Politika právneho a regulačného súladu Politika právneho a regulačného súladu pre spúšťače preskúmania súladu pri mechanizmoch prenosu, ďalších sprostredkovateľoch a cezhraničných tokoch údajov.

Začnite jednou kritickou službou, jedným poskytovateľom cloudu a jedným registrom. Po niekoľkých workshopoch sa môžete posunúť od predpokladov k dôkazom a od fragmentovaného súladu k riadenej cloudovej odolnosti.

Stiahnite si toolkit Clarysec, požiadajte o demo alebo si objednajte posúdenie správy a riadenia cloudových regiónov, aby ste svoje záväzky lokalizácie údajov v cloude premenili na dôkaz pripravený na audit.