Oznamovanie incidentov podľa DORA a kontroly ISO 27001 v roku 2026

Je utorok ráno v roku 2026, 08:17. Sarah, CISO európskej fintech spoločnosti, vidí na riadiacom paneli oranžové, nie červené upozornenie. Kritická platforma na zúčtovanie platieb sa spomaľuje. Transakcie úplne nezlyhávajú, ale trvajú trikrát dlhšie, než pripúšťa dohoda o úrovni služieb. SOC zaznamenáva neobvyklé pokusy o autentifikáciu voči administrátorskému účtu. Poskytovateľ cloudovej infraštruktúry hlási zhoršenie služby v jednej zóne dostupnosti. Zákaznícka podpora začína prijímať hovory od firemných klientov, ktorí sa pýtajú, prečo sa platobné súbory oneskorujú.

Nikto zatiaľ nevie, či ide o kybernetický útok, zlyhanie prevádzkovej odolnosti, výpadok dodávateľa, incident ochrany súkromia alebo o všetko naraz.

Sarah má problém podľa DORA skôr, než sú technické fakty úplné. Ide o závažný incident súvisiaci s IKT? Ovplyvňuje kritickú alebo dôležitú funkciu? Prekročil interný prah závažnosti? Kto má byť informovaný, kedy a s akými dôkazmi? Ak sú dotknuté osobné údaje, začala už plynúť aj oznamovacia lehota podľa GDPR? Ak je súčasťou reťazca incidentu externý poskytovateľ IKT služieb, kto zodpovedá za fakty?

Práve tu finančné subjekty zisťujú rozdiel medzi tým, že majú plán reakcie na incidenty, a tým, že majú prevádzkový model oznamovania incidentov podľa DORA vhodný na audit.

Oznamovanie incidentov podľa DORA v roku 2026 vyžaduje viac než rýchlu eskaláciu. Vyžaduje obhájiteľný reťazec od detekcie ku klasifikácii, od klasifikácie k oznamovaniu orgánu dohľadu, od oznamovania k nápravným opatreniam a od nápravy k poučeniam. ISO/IEC 27001:2022 poskytuje štruktúru systému manažérstva. Kontroly prílohy A ISO/IEC 27002:2022 poskytujú praktické očakávania na úrovni kontrol. Politiky Clarysec, 30-kroková cestovná mapa a sprievodca krížovým súladom premieňajú tieto očakávania na implementáciu pripravenú na predloženie dôkazov.

Prečo oznamovanie incidentov podľa DORA zlyháva pod tlakom

Väčšina zlyhaní pri oznamovaní incidentov podľa DORA sa nezačína nedbanlivosťou. Začína sa nejednoznačnosťou.

Bezpečnostný analytik vidí upozornenie, ale nevie, či sa kvalifikuje ako incident súvisiaci s IKT podľa DORA. Manažér IT služieb považuje zhoršený výkon za technický problém služby, zatiaľ čo funkcia súladu ho považuje za regulačnú udalosť. Právne oddelenie čaká na potvrdenie pred eskaláciou. Vlastník podnikového procesu ešte nevie kvantifikovať vplyv na klientov. CISO požaduje dôkazy, ale relevantné logy sú rozptýlené naprieč cloudovými službami, koncovými bodmi, systémami identít, SIEM a platformami dodávateľov.

Kým sa organizácia zhodne na klasifikácii, oznamovacie okno je už pod tlakom.

Articles 17 až 21 DORA vytvárajú štruktúrované očakávania pre riadenie incidentov súvisiacich s IKT, klasifikáciu, oznamovanie, obsah hlásení a spracovanie zo strany dohľadu. Pre finančné subjekty je praktická požiadavka jasná: monitorovať, riadiť, logovať, klasifikovať, oznamovať, aktualizovať a učiť sa z incidentov súvisiacich s IKT spôsobom, ktorý možno neskôr spätne zrekonštruovať.

Politika reakcie na incidenty [IRP] od Clarysec vkladá DORA priamo do referenčného rámca:

Nariadenie EÚ DORA (2022/2554): Article 17: požiadavky na oznamovanie incidentov súvisiacich s IKT finančnými inštitúciami príslušným orgánom.

Tá istá politika prepája riadenie incidentov s kontrolami ISO/IEC 27002:2022 5.25 až 5.27, ktoré pokrývajú zodpovednosti za posúdenie incidentu, reakciu, komunikáciu a zlepšovanie.

Pre menšie finančno-technologické spoločnosti a štíhle regulované subjekty robí Politika reakcie na incidenty – SME [IRP-SME] od Clarysec túto povinnosť prakticky vykonateľnou tým, že zdôrazňuje, že DORA vyžaduje od finančných subjektov klasifikovať, oznamovať a sledovať incidenty a narušenia súvisiace s IKT.

Táto formulácia je dôležitá. Súlad s DORA nie je len oznamovacia šablóna. Organizácia musí klasifikovať, oznamovať a sledovať. To znamená dôkazy o počiatočnej udalosti, rozhodovacích kritériách, úrovni závažnosti, rozhodnutí o oznámení, komunikácii, krokoch obnovy, zapojení dodávateľov a následných činnostiach.

ISO/IEC 27001:2022 ako riadiace centrum incidentov podľa DORA

Vyspelý systém manažérstva informačnej bezpečnosti podľa ISO/IEC 27001:2022 sa nemá stať ďalším izolovaným pilierom súladu vedľa DORA. Má sa stať riadiacim centrom pre oznamovanie incidentov podľa DORA.

ISMS už vyžaduje vlastníctvo rizika, výber kontrol, vnútorný audit, preskúmanie manažmentom, zdokumentované informácie, neustále zlepšovanie a dôkazy o fungovaní kontrol. DORA pridáva sektorovo špecifický tlak na oznamovanie, ale ISO/IEC 27001:2022 poskytuje štruktúru správy a riadenia, vďaka ktorej je proces opakovateľný.

Zenith Blueprint: 30-kroková cestovná mapa audítora [ZB] od Clarysec posilňuje túto integráciu v kroku 13, Plánovanie ošetrenia rizík a vyhlásenie o uplatniteľnosti. Blueprint odporúča mapovať kontroly na riziká a ustanovenia pre sledovateľnosť vrátane pridania odkazu na kontrolu prílohy A k rizikám a zaznamenania prípadov, keď kontroly podporujú GDPR, NIS2 alebo DORA.

Pri incidente Sarah týkajúcom sa zúčtovania platieb by záznam v registri rizík mohol znieť:

„Narušenie alebo kompromitácia platformy na spracovanie platieb.“

Namapované kontroly prílohy A ISO/IEC 27001:2022 by zahŕňali 5.24, 5.25, 5.26, 5.27, 5.28, 6.8, 8.15 a 8.16, s poznámkou k DORA pre klasifikáciu a oznamovanie závažného incidentu súvisiaceho s IKT.

Zenith Controls: Sprievodca krížovým súladom [ZC] od Clarysec následne slúži ako kompas krížového súladu. V Zenith Controls Clarysec mapuje kontroly ISO/IEC 27002:2022 na iné kontroly ISO/IEC 27001:2022, súvisiace normy, auditné očakávania a predpisy, ako DORA, GDPR a NIS2. Nevytvára samostatné „Zenith kontroly“. Ukazuje, ako existujúce kontroly ISO fungujú spoločne a ako sa testujú.

Pracovný tok oznamovania podľa DORA možno vnímať ako reťazec kontrol:

Nemôžete oznámiť to, čo ste nedetegovali. Nemôžete klasifikovať to, čo ste neposúdili. Nemôžete odôvodniť rozhodnutie o oznámení bez záznamov. Nemôžete sa zlepšiť bez preskúmania po incidente.

Kontrola 6.8: Hodiny DORA sa spúšťajú u ľudí

V scenári Sarah nemusí prvý užitočný signál prísť zo SOC. Môže prísť od manažéra vzťahov, ktorý počuje sťažnosti klientov, od používateľa z financií, ktorý vidí zlyhané dávky zúčtovania, alebo od inžiniera, ktorý si všimne abnormálnu latenciu.

Preto je kontrola prílohy A ISO/IEC 27001:2022 6.8, Nahlasovanie udalostí informačnej bezpečnosti, pre DORA nevyhnutná. Robí z nahlasovania zodpovednosť pracovnej sily, nie iba funkciu bezpečnostnej prevádzky.

V Zenith Blueprint, krok 16, Personálne opatrenia II, Clarysec uvádza:

Účinný systém reakcie na incidenty sa nezačína nástrojmi, ale ľuďmi.

Krok 16 odporúča jasné kanály na nahlasovanie, školenie bezpečnostného povedomia, kultúru bez obviňovania, triáž, dôvernosť a pravidelné simulácie. Najužitočnejšie praktické posolstvo je jednoduché:

„Ak máte pochybnosti, nahláste to.“

To je kontrolný princíp DORA. Ak zamestnanci čakajú, kým si budú istí, organizácia stráca čas. Ak hlásia včas, organizácia môže posúdiť, klasifikovať a rozhodnúť.

V Zenith Controls je 6.8 mapovaná ako detekčné opatrenie podporujúce dôvernosť, integritu a dostupnosť. Prepája sa s 5.24, pretože kanály na nahlasovanie musia byť súčasťou plánu reakcie na incidenty. Napája 5.25, pretože udalosti možno posúdiť iba vtedy, keď sú nahlásené. Spúšťa 5.26, pretože formálna reakcia začína po vyhodnotení hlásení.

Pre DORA to podporuje Articles 17 a 18, podľa ktorých finančné subjekty musia riadiť, klasifikovať a oznamovať závažné incidenty súvisiace s IKT a významné kybernetické hrozby. Podporuje to aj GDPR Article 33 a Recital 85, pretože interné nahlasovanie určuje, ako rýchlo sa identifikuje a eskaluje porušenie ochrany osobných údajov.

Praktickou implementáciou Clarysec je jednostranový pokyn „Ako nahlásiť incident súvisiaci s IKT“. Mal by obsahovať:

• Čo nahlásiť vrátane výpadkov, podozrivých e-mailov, stratených zariadení, neobvyklého správania systému, podozrenia na kompromitáciu dodávateľa, neoprávneného prístupu, úniku údajov a zhoršenia služby s vplyvom na klienta.
• Ako nahlásiť, s použitím monitorovanej schránky, kategórie tiketu, horúcej linky, komunikačného kanála alebo portálu SOC.
• Čo uviesť, napríklad čas, systém, používateľa, obchodný proces, pozorovaný vplyv, snímky obrazovky, ak je to bezpečné, a informáciu, či môžu byť dotknutí klienti alebo osobné údaje.
• Čo nerobiť vrátane nemazania logov, nereštartovania kritických systémov bez pokynu, nekontaktovania klientov externe bez schválenia a nevyšetrovania nad rámec vlastnej roly.
• Čo nasleduje ďalej vrátane triáže, klasifikácie, eskalácie, reakcie, uchovania dôkazov a možného regulačného posúdenia.

Cieľom nie je urobiť z každého zamestnanca vyšetrovateľa. Cieľom je urobiť z každého zamestnanca spoľahlivý zdroj signálu.

Kontrola 5.25: Rozhodovací bod klasifikácie podľa DORA

Oznamovanie závažných incidentov súvisiacich s IKT podľa DORA závisí od klasifikácie. Práve tu sa kontrola prílohy A ISO/IEC 27001:2022 5.25, Posúdenie a rozhodnutie o udalostiach informačnej bezpečnosti, stáva ústrednou.

Zenith Blueprint, krok 23, vysvetľuje praktickú výzvu:

Nie každá anomália je katastrofa. Nie každé upozornenie signalizuje kompromitáciu.

Následne opisuje účel 5.25 takto:

rozlišovať neškodné od škodlivého a vedieť, čo si vyžaduje eskaláciu.

Pre DORA je to okamih, keď sa bezpečnostná udalosť, zhoršenie služby, výpadok dodávateľa, sprístupnenie údajov alebo prevádzkové narušenie posudzuje voči kritériám závažného incidentu. Organizácia musí zohľadniť prevádzkový vplyv, dotknuté služby, kritické alebo dôležité funkcie, dotknutých klientov a transakcie, trvanie, geografický rozsah, vplyv na údaje, reputačné dôsledky a ekonomický vplyv.

V Zenith Controls je 5.25 mapovaná priamo na DORA Article 18, klasifikáciu závažného incidentu súvisiaceho s IKT. Ide o štruktúrovaný hodnotiaci proces na určenie, či pozorovaná udalosť predstavuje bezpečnostný incident. Prepája sa aj s 8.16, Monitorovacie činnosti, pretože upozornenia a údaje z logov sa musia triediť, a s 5.26, pretože klasifikácia spúšťa reakciu.

Práve tu mnoho organizácií zlyháva pri auditoch. Majú tikety, ale nie záznamy o klasifikácii. Majú označenia závažnosti, ale nie kritériá. Majú regulačné hlásenia, ale nie rozhodovaciu stopu preukazujúcu, prečo incident bol alebo nebol považovaný za závažný.

Clarysec to rieši tým, že vkladá klasifikáciu podľa DORA do modelu závažnosti incidentov. V podnikovej Politike reakcie na incidenty obsahuje bod 5.3.1 jasný príklad úrovne Tier 1:

Tier 1: Kritický (napr. potvrdené porušenie ochrany údajov, šírenie ransomvéru, kompromitácia produkčného systému)

Pre menšie organizácie pridáva Politika reakcie na incidenty – SME prísnu prevádzkovú požiadavku:

Generálny manažér musí so vstupmi od poskytovateľa IT služieb klasifikovať všetky incidenty podľa závažnosti do jednej hodiny od oznámenia.

Tento cieľ klasifikácie do jednej hodiny je silný, pretože vynucuje disciplínu správy a riadenia. Menší regulovaný subjekt nemusí mať nepretržitý SOC, ale stále môže definovať, kto klasifikuje, kto poskytuje odborné stanovisko a ako rýchlo sa rozhodnutie musí uskutočniť.

Záznam triáže incidentu DORA-to-ISO

Aby bola klasifikácia obhájiteľná, vytvorte záznam triáže incidentu podľa DORA vo svojom tiketovacom, GRC alebo systéme riadenia incidentov. Záznam má vzniknúť pre každú potenciálne významnú udalosť súvisiacu s IKT, aj keď sa jej klasifikácia neskôr zníži.

Pridajte poznámku k rozhodnutiu:

„Na základe narušenia platobnej služby ovplyvňujúceho kritický obchodný proces, nevyriešenej koreňovej príčiny a potenciálneho vplyvu na klientov sa udalosť eskaluje ako potenciálny závažný incident súvisiaci s IKT. Funkcia súladu a právne oddelenie posúdia požiadavky na regulačné oznámenie. Uchovanie dôkazov bolo začaté.“

Tento jediný záznam podporuje sledovanie podľa DORA Article 17, klasifikáciu podľa Article 18, rozhodnutia o oznámení podľa Article 19, posúdenie podľa prílohy A ISO/IEC 27001:2022 5.25, nahlasovanie podľa 6.8, reakciu podľa 5.26 a nakladanie s dôkazmi podľa 5.28.

Kontroly 5.24 a 5.26: Plánovanie, roly a reakcia

Keď nastane incident podľa DORA, plán reakcie už musí odpovedať na nepríjemné otázky.

Kto má právomoc klasifikovať? Kto kontaktuje príslušný orgán? Kto schvaľuje počiatočné oznámenie? Kto komunikuje s klientmi? Kto kontaktuje externého poskytovateľa IKT služieb? Kto rozhoduje, či incident spúšťa aj oznamovaciu povinnosť podľa GDPR? Kto uchováva dôkazy? Kto vlastní záverečnú správu?

Kontrola prílohy A ISO/IEC 27001:2022 5.24, Plánovanie a príprava riadenia incidentov informačnej bezpečnosti, odpovedá na tieto otázky pred krízou. Kontrola 5.26, Reakcia na incidenty informačnej bezpečnosti, zabezpečuje, aby sa plán počas incidentu premenil na riadené kroky.

V Zenith Controls je 5.24 prepojená s DORA Articles 17 až 21, pretože operacionalizuje zdokumentovanú, testovanú a preskúmavanú reakciu na incidenty vrátane internej eskalácie, externého regulačného oznámenia, komunikácie so zainteresovanými stranami a poučení.

ISO/IEC 27035-1:2023 to podporuje tým, že rozširuje riadenie incidentov nad rámec postupov reakcie na politiku, plánovanie, schopnosti, vzťahy, podporné mechanizmy, povedomie, školenie a pravidelné testovanie. ISO/IEC 27035-2:2023 ďalej rozpracúva proces riadenia incidentov od prípravy až po poučenia.

Zenith Blueprint, krok 23, poskytuje priamy implementačný pokyn:

Zabezpečte, aby ste mali aktuálny plán reakcie na incidenty (5.24), ktorý pokrýva prípravu, eskaláciu, reakciu a komunikáciu.

Plán reakcie na incidenty pripravený pre DORA má definovať:

• Tím reakcie na incidenty súvisiace s IKT a jeho zástupcov.
• Právomoc na klasifikáciu závažnosti a eskaláciu oznamovania podľa DORA.
• Zodpovednosti právneho oddelenia, funkcie súladu, ochrany súkromia, komunikácie, IT, bezpečnosti, dodávateľov a vlastníkov podnikového procesu.
• Kritériá klasifikácie závažného incidentu súvisiaceho s IKT.
• Postupy pre počiatočné, priebežné a záverečné regulačné hlásenie.
• Posúdenie oznamovacích spúšťačov podľa GDPR, NIS2, zmlúv, kybernetického poistenia a predstavenstva.
• Kroky zamedzenia šírenia, odstránenia, obnovy a validácie.
• Požiadavky na uchovanie dôkazov.
• Postupy eskalácie voči dodávateľom a prístupu k logom.
• Sledovanie poučení a nápravných opatrení.

Politika reakcie na incidenty – SME prepája časové lehoty reakcie aj s právnymi požiadavkami:

Časové lehoty reakcie vrátane obnovy údajov a oznamovacích povinností musia byť zdokumentované a zosúladené s právnymi požiadavkami, napríklad so 72-hodinovou požiadavkou GDPR na oznámenie porušenia ochrany osobných údajov.

Je to zásadné, pretože jeden incident súvisiaci s IKT sa môže stať závažným incidentom podľa DORA, porušením ochrany osobných údajov podľa GDPR, významným incidentom podľa NIS2, zmluvnou udalosťou vyžadujúcou notifikáciu klienta a otázkou riadenia dodávateľov. Plán musí tieto vrstvy koordinovať namiesto toho, aby ich považoval za oddelené svety.

Kontroly 8.15 a 8.16: Logy robia hlásenie obhájiteľným

Oznamovanie incidentov podľa DORA závisí od faktov. Fakty závisia od logovania a monitorovania.

V scenári zúčtovania platieb potrebuje Sarah vedieť, kedy sa zhoršenie začalo, ktoré systémy boli dotknuté, či boli použité privilegované účty, či údaje opustili prostredie, či výpadok poskytovateľa cloudu zodpovedá internej telemetrii a kedy bola obnova dokončená.

Kontroly prílohy A ISO/IEC 27001:2022 8.15, Logovanie, a 8.16, Monitorovacie činnosti, podporujú túto dôkazovú základňu. V Zenith Controls sa obe prepájajú s 5.24, pretože plánovanie reakcie na incidenty musí zahŕňať použiteľné údaje z logov a monitorovacie schopnosti. Kontrola 8.16 sa prepája aj s 5.25, pretože upozornenia sa musia triediť do rozhodnutí.

Politika logovania a monitorovania – SME [LMP-SME] od Clarysec obsahuje praktickú požiadavku na eskaláciu:

Upozornenia s vysokou prioritou musia byť eskalované generálnemu manažérovi a koordinátorovi ochrany súkromia do 24 hodín.

Pre subjekty regulované DORA potenciálne závažné incidenty súvisiace s IKT zvyčajne vyžadujú rýchlejší model prevádzkovej eskalácie, najmä ak sú dotknuté kritické alebo dôležité funkcie. Vzor správy a riadenia je však správny: upozornenia s vysokou prioritou nemôžu zostať iba v IT. Musia sa dostať k roliam podnikového procesu, ochrany súkromia a manažmentu.

Model logovania pripravený pre DORA má zahŕňať:

• Centralizované logovanie pre kritické systémy, platformy identít, koncové body, cloudové služby, nástroje sieťovej bezpečnosti a podnikové aplikácie.
• Synchronizáciu času naprieč systémami, aby boli časové osi incidentov spoľahlivé.
• Kategorizáciu upozornení zosúladenú so závažnosťou incidentu a klasifikáciou DORA.
• Uchovávanie logov zosúladené s regulačnými, zmluvnými a forenznými potrebami.
• Riadenie prístupu, ktoré chráni integritu logov.
• Postupy na zachytenie snapshotov logov počas závažných incidentov.
• Požiadavky na prístup k logom dodávateľa pre kritické IKT služby.

Audítori neprijmú tvrdenie „SIEM to má“ ako dostatočný dôkaz. Budú sa pýtať, či existovali správne logy, či sa upozornenia preskúmali, či eskalácia prebehla včas a či boli logy uchované, keď sa incident stal potenciálne oznamovateľným.

Kontrola 5.28: Zber dôkazov a reťazec zverenia

Pri závažnom incidente súvisiacom s IKT plnia dôkazy tri účely: technické vyšetrovanie, regulačnú zodpovednosť a právnu obhájiteľnosť.

Ak sú dôkazy neúplné, prepísané, zmenené alebo nezdokumentované, organizácia môže mať problém preukázať, čo sa stalo. Môže mať problém aj s odôvodnením svojho klasifikačného rozhodnutia.

Politika zberu dôkazov a forenznej analýzy [ECF] od Clarysec uvádza:

Záznam reťazca zverenia musí sprevádzať všetky fyzické alebo digitálne dôkazy od okamihu získania cez archiváciu alebo odovzdanie a musí dokumentovať:

Verzia pre MSP, Politika zberu dôkazov a forenznej analýzy – SME [ECF-SME], ponecháva požiadavku jednoduchú:

Každá položka digitálneho dôkazu musí byť zaznamenaná s údajmi:

Prevádzkové poučenie je priame. Nakladanie s dôkazmi sa nemôže začať až po tom, ako si ich vyžiada právne oddelenie. Musí byť vložené do reakcie na incidenty.

ISO/IEC 27006-1:2024 posilňuje toto auditné očakávanie zdôraznením postupov na identifikáciu, zber a uchovanie dôkazov z incidentov informačnej bezpečnosti. Pre DORA môže rovnaký súbor dôkazov podporovať počiatočné oznámenie, priebežné aktualizácie, záverečnú správu, preskúmanie po incidente a otázky orgánu dohľadu.

Praktický kontrolný zoznam dôkazov pre incidenty súvisiace s DORA má zahŕňať:

• Incidentný tiket a poznámky z triáže.
• Časovú os detekcie, eskalácie, klasifikácie, oznámenia, zamedzenia šírenia, obnovy a uzavretia.
• Upozornenia SIEM a korelované logy.
• Artefakty koncových bodov a serverov.
• Logy identít a privilegovaných prístupov.
• Súhrny sieťovej prevádzky.
• Stav poskytovateľa cloudu a auditné logy.
• Komunikáciu s dodávateľmi a vyhlásenia k incidentu.
• Záznamy o vplyve na podnikanie vrátane klientov, služieb, transakcií a výpadkov.
• Návrhy a podania regulačných oznámení.
• Rozhodnutia manažmentu a schválenia.
• Analýzu koreňovej príčiny.
• Poučenia a nápravné opatrenia.

Dôkazy musia preukazovať technické fakty aj rozhodnutia správy a riadenia. Oznamovanie podľa DORA nie je iba o tom, čo sa stalo systémom. Ide aj o to, ako manažment incident rozpoznal, posúdil, eskaloval, riadil a ako sa z neho zlepšil.

Kontrola 5.27: Poučenia a neustále zlepšovanie

Incident podľa DORA nie je uzavretý odoslaním záverečnej správy. Je uzavretý vtedy, keď sa z neho organizácia poučila, priradila nápravné opatrenia, aktualizovala kontroly a overila zlepšenie.

Kontrola prílohy A ISO/IEC 27001:2022 5.27, Poučenie z incidentov informačnej bezpečnosti, prepája oznamovanie podľa DORA s cyklom neustáleho zlepšovania podľa ISO/IEC 27001:2022. V Zenith Controls je 5.24 prepojená s 5.27, pretože riadenie incidentov je neúplné bez analýzy koreňovej príčiny, poučení a zlepšovania kontrol.

Zenith Blueprint, krok 23, dáva organizáciám pokyn aktualizovať plán na základe poučení a poskytovať cielené školenie o reakcii na incidenty a nakladaní s dôkazmi. Pre DORA je to obzvlášť dôležité, pretože opakujúce sa oneskorenia klasifikácie, chýbajúce dôkazy od dodávateľov, slabé logy alebo nejasná komunikácia sa môžu stať predmetom záujmu orgánu dohľadu.

Šablóna poučení má zachytiť:

• Čo sa stalo a kedy.
• Ktoré kritické alebo dôležité funkcie boli dotknuté.
• Či bola klasifikácia včasná a presná.
• Či boli rozhodnutia o oznámení podľa DORA prijaté s dostatočnými dôkazmi.
• Či boli posúdené spúšťače oznámenia podľa GDPR, NIS2, zmlúv alebo voči klientom.
• Či dodávatelia reagovali v dohodnutých lehotách.
• Či boli uchované logy a forenzné dôkazy.
• Ktoré kontroly zlyhali alebo chýbali.
• Ktoré politiky, scenáre reakcie, školenia alebo technické kontroly sa musia zlepšiť.
• Kto vlastní každé nápravné opatrenie a do kedy.

Toto zároveň vstupuje do preskúmania manažmentom podľa ISO/IEC 27001:2022. Trendy incidentov má preskúmavať vedenie, nemajú zostať pochované v technických analýzach po incidente.

Krížový súlad: DORA, GDPR, NIS2, NIST a COBIT 2019

DORA je pre finančné subjekty hlavnou témou, ale oznamovanie incidentov zriedkavo patrí iba do jedného rámca.

Jeden incident súvisiaci s IKT môže zahŕňať oznamovanie závažného incidentu súvisiaceho s IKT podľa DORA, oznámenie porušenia ochrany osobných údajov podľa GDPR, oznamovanie významného incidentu podľa NIS2, zmluvné povinnosti voči zákazníkom, oznámenie kybernetickej poisťovni a reportovanie predstavenstvu.

Zenith Controls pomáha znižovať túto zložitosť mapovaním kontrol ISO/IEC 27002:2022 naprieč rámcami. Napríklad:

Z pohľadu NIST rovnaký model podporuje výsledky Detect, Respond a Recover. Z pohľadu COBIT 2019 a auditu ISACA je predmetom záujmu správa a riadenie: či sú riadenie incidentov, kontinuita činností, riziká, súlad, zodpovednosti dodávateľov a monitorovanie výkonnosti pod kontrolou.

Najvyspelejšie organizácie nevytvárajú samostatné pracovné toky pre každý rámec. Vytvárajú jeden proces riadenia incidentov s regulačnými vrstvami. Tiket raz zachytí rovnaké základné fakty a následne sa podľa potreby vetví na DORA, GDPR, NIS2, zmluvné, poistné alebo sektorovo špecifické hlásenie.

Ako audítori otestujú váš proces incidentov podľa DORA

Proces oznamovania incidentov pripravený pre DORA musí obstáť pred rôznymi auditnými pohľadmi.

Audítor ISO/IEC 27001:2022 preskúma, či ISMS vybral a implementoval relevantné kontroly prílohy A, či vyhlásenie o uplatniteľnosti podporuje tieto kontroly, či existujú záznamy o incidentoch a či vnútorný audit a preskúmanie manažmentom zahŕňajú výkonnosť riadenia incidentov.

Zenith Controls uvádza metodiku auditu ISO/IEC 19011:2018 pre 5.24, 5.25 a 6.8. Pri 5.24 audítori preskúmajú plán reakcie na incidenty z pohľadu typov incidentov, klasifikácií závažnosti, pridelených rolí, zoznamov kontaktov, eskalačných postupov, pokynov na regulačné oznamovanie a komunikačných zodpovedností. Pri 5.25 preskúmajú, či existujú zdokumentované klasifikačné kritériá, napríklad matice závažnosti alebo rozhodovacie stromy založené na vplyve na systém, citlivosti údajov a trvaní. Pri 6.8 posudzujú mechanizmy nahlasovania, metriky času do nahlásenia a dôkazy, že nahlásené udalosti sú logované, triedené a vyriešené.

Preskúmanie orgánom dohľadu podľa DORA sa zameria na to, či sú závažné incidenty súvisiace s IKT detegované, klasifikované, oznamované, aktualizované a uzavreté v súlade s regulačnými očakávaniami. Preskúmavateľ si môže vyžiadať vzorový incident a sledovať ho od prvého upozornenia až po záverečnú správu.

Audítor ochrany súkromia sa zameria na to, či bolo posúdené riziko porušenia ochrany osobných údajov a či boli aktivované povinnosti podľa GDPR Article 33 a Article 34. BS EN 17926:2023 je tu relevantná, pretože pridáva zodpovednosti pri incidentoch ochrany súkromia, kritériá oznámenia, načasovanie a zosúladenie s očakávaniami na zverejnenie orgánu dohľadu.

Rovnaké dôkazy môžu uspokojiť viacero auditných otázok, ak sú od začiatku správne štruktúrované.

Kontrolný zoznam pripravenosti oznamovania incidentov podľa DORA na rok 2026

Pred ďalším stolovým cvičením, vnútorným auditom alebo preskúmaním orgánom dohľadu otestujte svoju organizáciu podľa tohto zoznamu:

• Vedia zamestnanci, ako nahlásiť podozrivé incidenty súvisiace s IKT?
• Existuje samostatný kanál na nahlasovanie incidentov?
• Sú bezpečnostné udalosti konzistentne logované a triedené?
• Existuje zdokumentovaná matica závažnosti a klasifikácie závažného incidentu podľa DORA?
• Vyžaduje sa klasifikácia v definovanom čase po oznámení?
• Sú kritické alebo dôležité funkcie namapované na systémy a dodávateľov?
• Sú spúšťače oznámení podľa DORA, GDPR, NIS2, zmlúv, poistenia a voči klientom posudzované v jednom pracovnom toku?
• Sú roly pri incidentoch definované naprieč IT, bezpečnosťou, právnym oddelením, funkciou súladu, ochranou súkromia, komunikáciou a vlastníkmi podnikového procesu?
• Sú logy dostatočné na rekonštrukciu časových osí incidentov?
• Sú dôkazy uchovávané s reťazcom zverenia?
• Sú povinnosti dodávateľov pri incidentoch a práva na prístup k logom testované?
• Vykonávajú sa stolové cvičenia s realistickými scenármi DORA?
• Sú poučenia sledované až po nápravné opatrenia?
• Sú metriky incidentov preskúmavané v rámci preskúmania manažmentom?
• Je vyhlásenie o uplatniteľnosti namapované na kontroly ISO/IEC 27001:2022 relevantné pre DORA?

Ak je odpoveď na ktorúkoľvek z týchto otázok „čiastočne“, problémom nie je iba súlad. Je to prevádzková odolnosť.

Vybudujte model oznamovania incidentov podľa DORA pripravený na predkladanie dôkazov

Oznamovanie incidentov podľa DORA v roku 2026 je testom správy a riadenia pod tlakom. Organizácie, ktoré uspejú, nebudú tie s najdlhšími dokumentmi reakcie na incidenty. Budú to tie, ktoré majú jasné kanály na nahlasovanie, rýchlu klasifikáciu, spoľahlivé logy, uchované dôkazy, vyškolených ľudí, otestovanú eskaláciu dodávateľom a sledovateľnosť naprieč rámcami.

Clarysec vám môže pomôcť vybudovať tento prevádzkový model.

Začnite mapovaním rizík incidentov a vyhlásenia o uplatniteľnosti pomocou Zenith Blueprint: 30-kroková cestovná mapa audítora. Potom zosúlaďte svoje kontroly incidentov s Zenith Controls: Sprievodca krížovým súladom. Proces operacionalizujte pomocou Politiky reakcie na incidenty, Politiky reakcie na incidenty – SME, Politiky logovania a monitorovania – SME, Politiky zberu dôkazov a forenznej analýzy a Politiky zberu dôkazov a forenznej analýzy – SME od Clarysec.

Ak chce váš vrcholový manažment získať istotu pred najbližším skutočným incidentom, vykonajte stolové cvičenie závažného incidentu súvisiaceho s IKT podľa DORA so súborom nástrojov Clarysec a vytvorte balík dôkazov, ktorý by audítor alebo orgán dohľadu očakával vidieť.