Priebežné monitorovanie súladu s NIS2 a DORA

Otázka piatkového popoludnia, na ktorú dnes musí vedieť odpovedať každý CISO

O 16:40 v piatok dostane CISO cloudovej platobnej platformy v priebehu desiatich minút tri správy.

Prvá je od finančného riaditeľa: „Náš bankový partner požaduje aktualizované dôkazy, že spĺňame očakávania DORA v oblasti rizík IKT tretích strán a nahlasovania incidentov.“

Druhá je od hlavného právnika: „Naša služba riadenej bezpečnosti nás môže dostať do rozsahu podľa národnej implementácie NIS2. Vieme preukázať dohľad manažmentu a účinnosť kontrol?“

Tretia je od vedúceho vývoja: „Kritickú zraniteľnosť sme zaplátali, ale backlog ukazuje 38 omeškaných stredne závažných zistení. Musíme eskalovať?“

Toto je okamih, keď ročný model súladu zlyháva.

PDF politika, register rizík naposledy aktualizovaný pred predchádzajúcim auditom a priečinok so snímkami obrazovky nestačia pre NIS2 ani DORA. Tieto režimy očakávajú živý systém správy a riadenia, dohľad manažmentu, pracovné toky riadenia incidentov, prehľad o dodávateľoch, testovanie odolnosti, nápravné opatrenia a preukázateľnú účinnosť kontrol.

Pre mnohých CISO nejde o teoretický tlak. Transpozícia NIS2 v členských štátoch EÚ posunula kybernetickú bezpečnosť z technického programu na otázku zodpovednosti manažmentu. DORA sa uplatňuje od 17. januára 2025 a finančným subjektom poskytuje sektorovo špecifický súbor pravidiel digitálnej prevádzkovej odolnosti pre riziká IKT, nahlasovanie incidentov, testovanie a riziká tretích strán. Cloud, SaaS, riadené služby, riadená bezpečnosť, dátové centrá, doručovanie obsahu, služby dôvery a poskytovatelia verejných elektronických komunikácií môžu mať priame alebo nepriame povinnosti podľa rozsahu, veľkosti, sektora, národnej klasifikácie a zákazníckych zmlúv.

Praktická otázka už neznie: „Máme kontrolu?“

Znie: „Kto kontrolu vlastní, aká metrika preukazuje, že funguje, ako často zbierame dôkazy a čo sa stane, keď metrika zlyhá?“

To je jadro priebežného monitorovania súladu s NIS2 a DORA. Pri implementáciách Clarysec používame ISO/IEC 27001:2022 ako chrbticu systému manažérstva, ISO/IEC 27002:2022 ako jazyk kontrol, Zenith Blueprint: 30-kroková cestovná mapa audítora ako implementačnú postupnosť a Zenith Controls: Sprievodca krížovým súladom ako kompas krížového súladu, ktorý prepája dôkazy ISO/IEC 27001:2022 s NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 a očakávaniami auditu.

Prečo NIS2 a DORA znamenajú, že periodický súlad nestačí

NIS2 a DORA sa líšia právnou štruktúrou, modelom dohľadu a rozsahom, ale vytvárajú rovnaký prevádzkový tlak. Kybernetická bezpečnosť a odolnosť IKT musia byť riadené priebežne.

NIS2 vyžaduje, aby základné a dôležité subjekty uplatňovali primerané a proporcionálne technické, prevádzkové a organizačné opatrenia s prístupom zohľadňujúcim všetky hrozby. Tieto opatrenia zahŕňajú analýzu rizík, politiky bezpečnosti informačných systémov, riešenie incidentov, kontinuitu činností, krízové riadenie, bezpečnosť dodávateľského reťazca, bezpečné obstarávanie a vývoj, riešenie zraniteľností, posudzovanie účinnosti, kybernetickú hygienu, školenia, kryptografiu, personálnu bezpečnosť, riadenie prístupu, správu aktív a viacfaktorovú autentifikáciu tam, kde je to vhodné. Riadiace orgány musia schvaľovať opatrenia riadenia kybernetických rizík, dohliadať na ich implementáciu a absolvovať školenie.

DORA to pre finančné subjekty formuluje ešte explicitnejšie. Vyžaduje vnútorné usporiadanie správy a riadenia a kontrol pre riziko IKT, zdokumentovaný rámec riadenia rizík IKT, zodpovednosť riadiaceho orgánu, riadenie a nahlasovanie incidentov súvisiacich s IKT, testovanie digitálnej prevádzkovej odolnosti, riadenie rizík IKT tretích strán, následné činnosti po audite, školenie a komunikačné opatrenia. DORA tiež jasne stanovuje, že finančné subjekty zostávajú zodpovedné za súlad aj vtedy, keď využívajú poskytovateľov služieb IKT tretích strán.

Vzniká tým nová realita súladu. CISO nemôže čakať do mesiaca auditu, aby zistil, že:

• revízie privilegovaného prístupu boli vynechané dva štvrťroky;
• plány ukončenia dodávateľa boli zdokumentované, ale nikdy neboli testované;
• kritériá závažnosti incidentov nie sú namapované na prahové hodnoty regulačného oznamovania;
• zálohy sú nakonfigurované, ale chýbajú dôkazy o obnove;
• manažment nikdy nepreskúmal omeškané ošetrenia rizík;
• cloudové zmluvy neobsahujú práva na audit, prehľad o subdodávateľoch alebo ustanovenia o oznamovaní incidentov.

Starý projektový model vytvára panické cykly. Tímy pred auditom narýchlo zhromažďujú snímky obrazovky, aktualizujú dátumy politík a dúfajú, že dôkazy vytvoria súvislý príbeh. NIS2 a DORA sú navrhnuté tak, aby tento prístup neobstál. Zameriavajú sa na preukázateľnú zodpovednosť, proporcionalitu, odolnosť a dôkazy o fungovaní.

ISO/IEC 27001:2022 poskytuje pre tento problém prevádzkový rámec. Jeho kapitoly vyžadujú, aby organizácie rozumeli kontextu, zainteresovaným stranám, právnym a zmluvným požiadavkám, rozsahu, vedeniu, rolám, posudzovaniu rizík, ošetreniu rizík, Vyhláseniu o uplatniteľnosti, prevádzkovému plánovaniu, hodnoteniu výkonnosti, internému auditu, preskúmaniu manažmentom, riešeniu nezhôd a neustálemu zlepšovaniu. Táto štruktúra je ideálna na spojenie NIS2, DORA, GDPR, uistenia zákazníkov a interného rizika do jedného modelu priebežného monitorovania.

Priebežné monitorovanie súladu neznamená viac dashboardov. Znamená riadenú periodicitu zberu dôkazov.

Vybudujte mechanizmus súladu na ISO/IEC 27001:2022

Mnohé organizácie nesprávne chápu ISO/IEC 27001:2022 iba ako certifikačný rámec. V praxi ide o systém riadenia rizík, ktorý robí riadenie bezpečnosti opakovateľným, merateľným a auditovateľným.

Je to dôležité, pretože NIS2 a DORA nie sú izolované kontrolné zoznamy. Vyžadujú prevádzkový model, ktorý dokáže absorbovať právne požiadavky, preložiť ich do kontrol, priradiť vlastníctvo, monitorovať výkonnosť a zlepšovať sa pri zistení medzier.

Základné kapitoly ISO/IEC 27001:2022 poskytujú tento model:

Pre FinTech, poskytovateľa SaaS, službu riadenej bezpečnosti alebo dodávateľa IKT finančným subjektom táto štruktúra bráni duplicitným projektom súladu. Jeden ISMS dokáže raz namapovať povinnosti na kontroly a následne opakovane využívať dôkazy pre NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019, certifikáciu ISO/IEC 27001:2022 a zákaznícke preskúmania uistenia.

Začnite vlastníctvom kontrol, nie nástrojmi

Prvým vzorcom zlyhania pri priebežnom monitorovaní súladu je implementácia začínajúca nástrojom. Spoločnosť kúpi platformu GRC, naimportuje stovky požiadaviek, všetko priradí tímu „Security“ a nazve to priebežným monitorovaním. O šesť mesiacov je dashboard červený, vývoj spochybňuje dôkazy o zraniteľnostiach, právne oddelenie tvrdí, že dodávateľská dokumentácia je neúplná, a manažment nevidí zostatkové riziko jasne.

ISO/IEC 27001:2022 tomu predchádza tým, že vyžaduje priradenie a komunikáciu zodpovedností a právomocí. NIS2 a DORA posilňujú rovnaké očakávanie prostredníctvom zodpovednosti manažmentu, definovaných rolí a dohľadu.

Politika Clarysec Politika rolí a zodpovedností v oblasti správy a riadenia - SME uvádza:

Každá rola so zodpovednosťou za bezpečnosť musí byť zaznamenaná v centrálnej evidencii a písomne potvrdená.

Táto kapitola je dôležitejšia než väčšina dashboardov. Ak testovanie záloh, náprava zraniteľností, due diligence dodávateľov, klasifikácia incidentov a revízia privilegovaného prístupu nemajú menovitých vlastníkov, neexistuje spoľahlivá periodicita zberu dôkazov.

Politika informačnej bezpečnosti to v podnikových prostrediach premieňa na prevádzkovú prax:

Zhromažďujte a uchovávajte auditné dôkazy pre audity a preskúmania kontrol.

Od vlastníkov kontrol zároveň vyžaduje:

Nahlasovať výkonnosť kontrol a akékoľvek medzery alebo problémy manažérovi ISMS.

V Zenith Controls sa táto téma priamo mapuje na kontroly ISO/IEC 27002:2022 5.2 Roly a zodpovednosti v oblasti informačnej bezpečnosti, 5.35 Nezávislé preskúmanie informačnej bezpečnosti a 5.36 Súlad s politikami, pravidlami a normami informačnej bezpečnosti.

Zenith Blueprint poskytuje praktický východiskový bod vo fáze ISMS Foundation & Leadership, krok 4: Roly a zodpovednosti v ISMS. Odporúča formálne vymenovanie, aktualizácie pracovných náplní, zosúladenie KPI, komunikáciu v celej organizácii a zodpovednosť na úrovni oddelení.

Typický záznam o vymenovaní môže uvádzať:

„S okamžitou účinnosťou ste vymenovaný za pracovníka informačnej bezpečnosti so zodpovednosťou dohliadať na ISMS a koordinovať ho vrátane riadenia rizík, implementácie kontrol a monitorovania súladu.“

Toto vymenovanie nie je byrokracia. Je to auditný dôkaz pre vedenie a priradenie rolí podľa ISO/IEC 27001:2022. Zároveň podporuje dohľad manažmentu podľa NIS2 a správu a riadenie podľa DORA. Regulátori, certifikační audítori a bankoví zákazníci chcú vidieť, že zodpovednosť nie je implicitná. Je priradená, potvrdená, vybavená zdrojmi a monitorovaná.

Praktický register vlastníctva kontrol má obsahovať tieto polia:

Tento register sa stáva mostom medzi politikou a dôkazmi.

Definujte KPI a KRI, ktoré preukazujú účinnosť kontrol

Keď existujú vlastníci, musia vedieť, ako vyzerá „dobré“. Priebežné monitorovanie súladu stojí na zmysluplných ukazovateľoch, nie na všeobecných zámeroch.

„Zlepšiť záplatovanie“ nie je KPI. „Pravidelne preskúmavať dodávateľov“ nie je dôkaz. „Udržiavať odolnosť“ nie je merateľná kontrola.

Clarysec jasne oddeľuje dva typy ukazovateľov:

• KPI, kľúčový ukazovateľ výkonnosti, meria, či proces funguje podľa očakávania.
• KRI, kľúčový ukazovateľ rizika, signalizuje rastúce riziko alebo prekročenie prahovej hodnoty vyžadujúce eskaláciu.

Podniková Politika riadenia rizík uvádza:

KRI (kľúčové ukazovatele rizík) a bezpečnostné metriky sa musia definovať pre kritické riziká a monitorovať mesačne.

Zároveň vyžaduje logiku eskalácie:

Eskalačné spúšťače musia byť zabudované do logiky monitorovania (napr. keď sa zostatkové riziko zvýši o viac ako jednu úroveň alebo sa zmeškajú termíny ošetrenia).

Pre menšie organizácie používa Politika riadenia rizík - SME od Clarysec proporcionálny prístup:

Pokrok pri zmierňovaní rizík sa musí preskúmavať štvrťročne.

Umožňuje aj jednoduché metriky:

Môžu sa sledovať neformálne metriky (napr. počet otvorených rizík, omeškané opatrenia, nové incidenty).

Táto proporcionalita je dôležitá. Nadnárodná banka a 60-členný dodávateľ FinTech nepotrebujú identickú telemetriu, ale obaja potrebujú priradené vlastníctvo, opakovateľné meranie, prahové hodnoty eskalácie a dôkazy o nápravných opatreniach.

Praktický model KPI a KRI pre NIS2 a DORA vyzerá takto:

Tieto metriky podporujú viac než certifikáciu ISO/IEC 27001:2022. Podporujú aj opatrenia riadenia kybernetických rizík podľa NIS2, pripravenosť na nahlasovanie incidentov podľa NIS2, riadenie rizík IKT podľa DORA, riziká tretích strán podľa DORA, preukázateľnú zodpovednosť podľa GDPR, výstupy správy a riadenia podľa NIST CSF 2.0 a riadenie výkonnosti v štýle COBIT.

Nastavte periodicitu zberu dôkazov skôr, než si ich vyžiada audit

Mnohé organizácie zbierajú dôkazy náhodne. Snímka obrazovky sa objaví v kanáli Teams. Ticket Jira je prepojený v e-maile. Dotazník dodávateľa je uložený v obstarávaní. Test zálohy je opísaný ústne. Počas týždňa auditu sa manažér ISMS stáva forenzným vyšetrovateľom.

Priebežné monitorovanie súladu vyžaduje plánovanú periodicitu a čistú dôkazovú hygienu.

Politika monitorovania auditov a súladu - SME od Clarysec uvádza:

Každý audit musí obsahovať definovaný rozsah, ciele, zodpovedný personál a požadované dôkazy.

Zároveň stanovuje:

Dôkazy sa musia uchovávať najmenej dva roky alebo dlhšie, ak to vyžadujú certifikačné alebo klientské dohody.

Pre podnikové organizácie Politika monitorovania auditov a súladu pridáva očakávania automatizácie:

Automatizované nástroje sa musia nasadiť na monitorovanie súladu konfigurácií, riadenia zraniteľností, stavu záplat a privilegovaného prístupu.

Automatizácia má byť cielená. Vysokorizikové a často vykonávané kontroly nemajú závisieť od manuálnych snímok obrazovky. Najlepší model dôkazov kombinuje automatizovanú telemetriu, potvrdenia vlastníkov, evidenciu výnimiek, záznamy v tiketovacom systéme, výsledky testov a zápisnice z preskúmania manažmentom.

Dôležitá je aj konvencia pomenovania. Dôkazy majú byť ľahko vyhľadateľné bez mimoriadneho úsilia. Napríklad:

• týždenná správa o zraniteľnostiach: YYYY-MM-DD_Vulnerability-SLA_ControlOwner
• mesačná revízia privilegovaného prístupu: YYYY-MM_IAM-Privileged-Review_Attestation
• štvrťročné preskúmanie dodávateľov: YYYY-QX_Critical-Supplier-Review
• balík incidentu: INC-YYYY-###_Timeline-Classification-RCA-CAPA

Tu sa politika mení na prevádzku. Uchovávanie dôkazov nie je archívna úloha. Je súčasťou kontroly.

Namapujte jednu dôkazovú položku na viacero povinností

Priebežné monitorovanie súladu je účinné vtedy, keď jedna dôkazová položka spĺňa viacero rámcov. Preto je Zenith Controls ústredným prvkom prístupu Clarysec ku krížovému súladu.

Zoberme si riešenie incidentov. Podľa NIS2 významné incidenty vyžadujú postupné nahlasovanie vrátane včasného varovania do 24 hodín od zistenia, oznámenia do 72 hodín a záverečnej správy do jedného mesiaca, podľa národnej implementácie a skutkového stavu incidentu. DORA vyžaduje, aby finančné subjekty riadili, klasifikovali, eskalovali a nahlasovali závažné incidenty súvisiace s IKT pomocou požadovaných procesov a šablón. GDPR vyžaduje, aby prevádzkovatelia posudzovali a riadili porušenia ochrany osobných údajov, keď je dotknutá dôvernosť, integrita alebo dostupnosť osobných údajov.

Jeden balík dôkazov k incidentu môže podporiť všetky tri režimy, ak obsahuje:

• časovú os incidentu a čas zistenia;
• odôvodnenie klasifikácie;
• dotknuté služby a jurisdikcie;
• dopad na klientov, transakcie alebo používateľov;
• posúdenie dopadu na osobné údaje;
• koreňovú príčinu;
• zmierňujúce opatrenia a kroky obnovy;
• komunikáciu a oznámenia;
• záznam eskalácie manažmentu;
• záznam o nápravnom opatrení.

Rovnaká logika krížového súladu platí pre dodávateľské riziko. NIS2 vyžaduje bezpečnosť dodávateľského reťazca a pozornosť venovanú priamym vzťahom s dodávateľmi a poskytovateľmi služieb. DORA vyžaduje stratégiu rizík IKT tretích strán, registre, due diligence pred uzavretím zmluvy, zmluvné doložky, práva na audit, úrovne služieb, stratégie ukončenia a monitorovanie rizika koncentrácie. NIST CSF 2.0 chápe riziko dodávateľského reťazca ako disciplínu správy a riadenia životného cyklu. ISO/IEC 27001:2022 prepája tieto požiadavky s rozsahom, požiadavkami zainteresovaných strán, ošetrením rizík a prevádzkovým riadením externe poskytovaných procesov.

Praktická matica dôkazov pomáha vlastníkom kontrol pochopiť, prečo na dôkazoch záleží:

Tento prístup bráni duplicitnej práci na súlade. Organizácia zhromaždí jeden silný súbor dôkazov a následne ho namapuje na viaceré povinnosti.

Monitorovací model Clarysec: od povinnosti cez vlastníka k dôkazu

Robustný monitorovací model sleduje jednoduchú postupnosť.

Najprv definujte povinnosť. Napríklad DORA vyžaduje, aby sa riziko IKT tretích strán riadilo ako súčasť riadenia rizík IKT, s registrami, due diligence, zmluvnými požiadavkami, právami na audit a stratégiami ukončenia pre kritické alebo dôležité funkcie. NIS2 vyžaduje bezpečnosť dodávateľského reťazca a primerané nápravné opatrenia.

Následne preložte povinnosť do požiadaviek ISMS podľa ISO/IEC 27001:2022. To zahŕňa požiadavky zainteresovaných strán, rozsah, posúdenie rizík, ošetrenie rizík, Vyhlásenie o uplatniteľnosti, prevádzkové riadenie, monitorovanie, interný audit, preskúmanie manažmentom a zlepšovanie.

Po tretie vyberte prevádzkové kontroly. V Zenith Controls základné kontroly správy a riadenia pre priebežné monitorovanie súladu zahŕňajú kontroly ISO/IEC 27002:2022 5.2, 5.35 a 5.36. Podporné kontroly často zahŕňajú 5.19 Informačná bezpečnosť vo vzťahoch s dodávateľmi, 5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT, 5.22 Monitorovanie, preskúmanie a riadenie zmien služieb dodávateľov, 5.23 Informačná bezpečnosť pri používaní cloudových služieb, 5.24 Plánovanie a príprava riadenia incidentov informačnej bezpečnosti, 5.26 Reakcia na incidenty informačnej bezpečnosti, 5.30 Pripravenosť IKT na kontinuitu činností, 5.31 Právne, zákonné, regulačné a zmluvné požiadavky, 8.8 Riadenie technických zraniteľností, 8.13 Zálohovanie informácií, 8.15 Logovanie, 8.16 Monitorovacie činnosti a 8.9 Riadenie konfigurácie.

Po štvrté priraďte vlastníka a periodicitu. Dodávateľské riziko môže zahŕňať obstarávanie, právne oddelenie, bezpečnosť a vlastníka obchodnej služby, ale jeden zodpovedný vlastník musí udržiavať register a nahlasovať výnimky.

Po piate definujte KPI, KRI a dôkazy. KPI dodávateľov môžu zahŕňať percento kritických dodávateľov IKT s dokončenou due diligence, percento so schválenými zmluvnými doložkami, počet bez testovaných plánov ukončenia a počet omeškaných preskúmaní dodávateľov. KRI môžu zahŕňať nevyriešené vysoko rizikové zistenia dodávateľov, riziko koncentrácie nad toleranciou alebo chýbajúce práva na audit pre službu podporujúcu kritickú alebo dôležitú funkciu.

Po šieste reportujte a eskalujte. Mesačné dashboardy ISMS nemajú iba ukazovať zelený stav. Majú identifikovať omeškané dôkazy, pohyb rizika, zmeškané termíny ošetrenia a rozhodnutia manažmentu, ktoré sú potrebné.

Po siedme auditujte a zlepšujte. Medzery v dôkazoch sa stávajú nápravnými opatreniami, nie výhovorkami.

Toto je v súlade s fázou Audit, Review & Improvement v Zenith Blueprint. Krok 25, Program interného auditu, odporúča pokryť relevantné procesy a kontroly ISMS počas auditného cyklu, s ročným auditom v plnom rozsahu a menšími štvrťročnými namátkovými kontrolami vo vysokorizikových oblastiach, kde je to vhodné. Krok 28, Preskúmanie manažmentom, požaduje vstupy ako zmeny požiadaviek, výsledky monitorovania a merania, výsledky auditov, incidenty, nezhody, príležitosti na zlepšenie a potreby zdrojov. Krok 29, Neustále zlepšovanie, používa register CAPA na zachytenie opisu problému, koreňovej príčiny, nápravného opatrenia, zodpovedného vlastníka, cieľového dátumu a stavu.

Takto vyzerá priebežné monitorovanie súladu v praxi.

Praktický scenár: kritická zraniteľnosť na verejnom API

O 02:15 sa spustí upozornenie SIEM. Sken zraniteľností identifikoval kritickú zraniteľnosť vzdialeného spustenia kódu na verejne dostupnej API bráne podporujúcej regulovanú platobnú službu.

Model priebežného monitorovania má reagovať bez čakania na stretnutie.

Najprv inventarizácia aktív klasifikuje bránu ako kritickú. Spustí sa časovač KPI riadenia zraniteľností. KRI pre nezaplátané kritické zraniteľnosti sa zvýši. Ak je aktívum prístupné z internetu a exploit je aktívny, okamžite sa aktivuje prahová hodnota eskalácie.

Po druhé sa ticket nasmeruje na pohotovostný tím DevOps. Vedúci DevOps ako vlastník kontroly riadenia zraniteľností dostane automatizované upozornenie. SOC Manager sleduje, či existujú indikátory zneužitia. Manažér ISMS monitoruje, či sú splnené kritériá incidentu.

Po tretie sa dôkazy zhromažďujú ako vedľajší produkt pracovného toku. Upozornenie SIEM, sken zraniteľností, klasifikácia aktíva, časové pečiatky ticketu, chat reakcie, záznam o záplate, validačný sken a schválenie uzavretia sa priložia k balíku dôkazov.

Po štvrté tím posúdi, či ide iba o zraniteľnosť, bezpečnostnú udalosť alebo incident. Ak existuje dopad na službu, indikátory kompromitácie, dopad na zákazníka alebo sprístupnenie osobných údajov, pracovný tok incidentu spustí posúdenia oznamovania podľa NIS2, DORA, GDPR a zmluvných požiadaviek.

Po piate manažment dostane stručnú správu. Ak bola zraniteľnosť odstránená do štyroch hodín, dôkazy podporujú účinnosť kontroly. Ak prekročila SLA, register CAPA zaznamená koreňovú príčinu, nápravné opatrenie, vlastníka, cieľový dátum a stav.

Táto jediná udalosť vytvára užitočné dôkazy pre riadenie zraniteľností, pripravenosť na incidenty, monitorovanie, prístup ku kritickým aktívam, preskúmanie manažmentom a neustále zlepšovanie.

Ako budú audítori a regulátori testovať rovnaký monitorovací model

Zrelý program priebežného monitorovania súladu musí obstáť pod rôznymi audítorskými pohľadmi. Dôkazy sa nemenia, menia sa otázky.

Pri kontrole ISO/IEC 27002:2022 5.35 Nezávislé preskúmanie informačnej bezpečnosti sa audítor ISO/IEC 27001:2022 zameria na plán interného auditu, rozsah, kompetenciu, zistenia a nápravné opatrenia. Regulátor NIS2 alebo DORA sa zameria na to, či manažment porozumel zisteniam, financoval nápravu a znížil systémové riziko. Posudzovateľ NIST CSF 2.0 môže preskúmanie namapovať na funkciu GOVERN vrátane dohľadu a úpravy výkonnosti.

Rovnaký súbor dôkazov slúži všetkým, ak je úplný, aktuálny a prepojený s vlastníctvom.

Bežné úskalia, ktoré oslabujú priebežné monitorovanie súladu

Prvým úskalím je pristupovať k NIS2 a DORA ako k samostatným projektom. Vytvára to duplicitné registre, protichodné metriky a vyčerpaných vlastníkov kontrol. Použite ISO/IEC 27001:2022 ako chrbticu ISMS a mapujte povinnosti cez jednu knižnicu kontrol.

Druhým úskalím je priraďovanie kontrol tímom namiesto ľuďom. „IT vlastní zálohy“ nestačí. Menovitý vlastník musí potvrdiť stav, nahlasovať výnimky a eskalovať riziko.

Tretím úskalím je zhromažďovať dôkazy bez hodnotenia účinnosti. Snímka obrazovky úspešnej zálohy nepreukazuje obnoviteľnosť. Test obnovy áno. Dotazník dodávateľa nepreukazuje odolnosť tretej strany. Zmluvné doložky, práva na audit, podmienky oznamovania incidentov, správy o výkonnosti a plánovanie ukončenia vytvárajú silnejšie dôkazy.

Štvrtým úskalím je merať aktivitu namiesto rizika. Počítanie zraniteľností je užitočné. Sledovanie omeškaných kritických zraniteľností na systémoch dostupných z internetu je lepšie. Počítanie dodávateľov je užitočné. Sledovanie kritických dodávateľov bez plánov ukončenia je lepšie.

Piatym úskalím je slabá disciplína nápravných opatrení. Krok 29 v Zenith Blueprint jasne uvádza, že zistenia potrebujú opis problému, koreňovú príčinu, nápravné opatrenie, zodpovedného vlastníka, cieľový dátum a stav. Ak sa register CAPA nepreskúmava, priebežné monitorovanie súladu sa mení na priebežné hromadenie známych slabín.

Čo má manažment vidieť každý mesiac

Riadiace orgány podľa NIS2 a DORA nepotrebujú surové exporty zo skenerov. Potrebujú pohľad na kybernetické riziko a riziko IKT v kvalite vhodnej na rozhodovanie.

Mesačný dashboard pre predstavenstvo alebo manažment má obsahovať:

• najvýznamnejšie kybernetické riziká a riziká IKT s pohybom zostatkového rizika;
• omeškané ošetrenia rizík a zmeškané termíny;
• významné incidenty, kandidátov na závažný incident súvisiaci s IKT a získané poučenia;
• výnimky kritického dodávateľského rizika;
• výkonnosť SLA zraniteľností pre kritické aktíva;
• stav testov zálohovania a obnovy;
• výnimky z revízie privilegovaného prístupu;
• mieru dokončenia dôkazov súladu;
• auditné zistenia a stav CAPA;
• požadované rozhodnutia o zdrojoch.

Toto priamo podporuje preskúmanie manažmentom podľa ISO/IEC 27001:2022 a očakávania správy a riadenia podľa NIS2 a DORA. Je to zároveň v súlade s NIST CSF 2.0, kde vrcholový manažment stanovuje priority, zodpovednosť za konanie, zdroje a apetít na riziko, zatiaľ čo manažéri premieňajú tieto priority na cieľové profily a akčné plány.

Vybudujte rytmus dôkazov pre NIS2 a DORA už tento týždeň

Na začiatok nemusíte riešiť všetko naraz. Užitočný prvý týždeň môže byť jednoduchý.

Deň 1: vytvorte register vlastníkov kontrol pre päť domén: správa a riadenie a riadenie rizík, riadenie a nahlasovanie incidentov, riadenie zraniteľností a záplat, dodávateľské a cloudové riziko a kontinuita činností a obnova.

Deň 2: definujte jeden KPI a jeden KRI pre každú doménu. Udržte ich konkrétne, merateľné a previazané s apetítom na riziko.

Deň 3: namapujte každú dôkazovú položku na hodnotu pre NIS2, DORA, ISO/IEC 27001:2022, GDPR a uistenie zákazníkov.

Deň 4: nastavte periodicitu zberu dôkazov, miesto uloženia, konvenciu pomenovania, pravidlo uchovávania a preskúmavateľa.

Deň 5: vykonajte stolovú eskaláciu. Použite scenár výpadku cloudovej služby alebo kritickej zraniteľnosti. Potvrďte klasifikáciu, posúdenie regulačného oznamovania, komunikáciu so zákazníkmi, uloženie dôkazov a vytvorenie CAPA.

Ak vaša organizácia stále riadi NIS2 a DORA pomocou tabuľkových prehľadov, ročných workshopov a roztrúsených priečinkov s dôkazmi, teraz je čas prejsť na monitorovaný prevádzkový rytmus.

Začnite tromi krokmi:

1. Vytvorte register vlastníkov kontrol pre svoje najrizikovejšie domény.
2. Definujte jeden KPI, jeden KRI, jednu dôkazovú položku a jednu periodicitu pre každú kontrolu.
3. Vykonajte 30-minútové preskúmanie dôkazov a otvorte položky CAPA pre všetko, čo chýba.

Clarysec vám môže pomôcť urýchliť tento posun pomocou Zenith Blueprint na postupnosť implementácie, Zenith Controls na mapovanie krížového súladu a knižnice politík Clarysec vrátane Politiky informačnej bezpečnosti, Politiky riadenia rizík, Politiky monitorovania auditov a súladu, Politiky rolí a zodpovedností v oblasti správy a riadenia - SME, Politiky riadenia rizík - SME a Politiky monitorovania auditov a súladu - SME.

Cieľom nie je viac papierovania k súladu. Cieľom je odpovedať na otázku piatkového popoludnia s istotou:

„Áno, vieme, kto vlastní kontrolu, poznáme KPI, máme dôkazy, poznáme výnimky a manažment preskúmal riziko.“

Kontaktujte Clarysec a vybudujte model priebežného monitorovania súladu, ktorý je pripravený na audit, pripravený pre predstavenstvo a dostatočne odolný pre NIS2, DORA aj ďalší predpis, ktorý príde.