ENISA EUVD 2026: ISO 27001 pre NIS2 a CRA

Je utorok v roku 2026, 08:17. Maria, CISO rýchlo rastúcej fintech SaaS platformy, dostáva v priebehu niekoľkých minút dva signály. Najprv SOC zverejní v kanáli pre incidenty upozornenie z databázy zraniteľností EÚ ENISA. Dotknutý komponent sa nenachádza priamo vo vlastnej kódovej základni Marie. Je súčasťou autentifikačného SDK tretej strany vloženého v mobilnej aplikácii, ktorú udržiava partner zodpovedný za outsourcovaný vývoj.

Následne výskumník v oblasti bezpečnosti pošle e-mail na verejný bezpečnostný kontakt s predmetom: „Zverejnenie zraniteľnosti – váš SaaS produkt“. Výskumník tvrdí, že za špecifických podmienok by chyba mohla sprístupniť nekritické metadáta zákazníkov.

Nie je potvrdené žiadne porušenie ochrany osobných údajov. Žiadny zákazník nenahlásil ujmu. Dashboard skenera nie je červený. Otázky však prichádzajú okamžite.

Sme vystavení riziku? Ktoré služby určené zákazníkom používajú SDK? Ide o významný incident podľa NIS2, incident súvisiaci s IKT podľa DORA, porušenie ochrany osobných údajov podľa GDPR alebo problém bezpečnosti produktu podľa Cyber Resilience Act? Musíme situáciu oznámiť dodávateľovi, zákazníkovi, príslušnému orgánu alebo ENISA? A najdôležitejšie: vieme preukázať, kedy sme sa o nej dozvedeli?

Práve tu mnoho organizácií zistí, že spravodajstvo o hrozbách a zraniteľnostiach nie je problém dátového feedu. Je to problém prevádzkového modelu.

ENISA EUVD sa stane praktickým referenčným bodom pre spravodajstvo o hrozbách a zraniteľnostiach v EÚ, koordinované zverejňovanie zraniteľností a transparentnosť bezpečnosti produktov. Samotná databáza však Marii nepovie, či je dotknutá služba v rozsahu NIS2, či sa DORA uplatňuje z dôvodu činností finančných služieb, či je pravdepodobné sprístupnenie osobných údajov alebo či vzniká pripravenosť na oznamovanie podľa CRA. Tieto rozhodnutia musia prebiehať v riadenom, zdokumentovanom a auditovateľnom systéme manažérstva informačnej bezpečnosti.

Prístup Clarysec spočíva v operacionalizácii EUVD prostredníctvom správy a riadenia podľa ISO/IEC 27001:2022, implementácie kontrol podľa ISO/IEC 27002:2022, vlastníctva politík a dôkazov o súlade naprieč rámcami. Cieľom nie je vytvoriť ďalšiu tabuľku s názvom „EUVD tracker“. Cieľom je vybudovať obhájiteľný model spravodajstva o hrozbách a zraniteľnostiach a oznamovania, ktorý obstojí pri otázkach regulátora, zákazníckych auditoch, certifikačných auditoch ISO 27001 a preskúmaní predstavenstvom.

Prečo ENISA EUVD mení riadenie zraniteľností v roku 2026

Mnohé bezpečnostné tímy roky považovali spravodajstvo o hrozbách a zraniteľnostiach za vstup pre záplatovanie. Objaví sa CVE, skener zistí expozíciu, prevádzka nasadí záplatu a ticket sa uzavrie. Tento model už organizáciám regulovaným v EÚ nestačí.

NIS2 presúva riadenie kybernetických rizík do správy a riadenia. Article 20 vyžaduje, aby riadiace orgány základných a dôležitých subjektov schvaľovali opatrenia riadenia kybernetických rizík, dohliadali na ich implementáciu a absolvovali školenie v oblasti kybernetickej bezpečnosti. Article 21 vyžaduje primerané technické, prevádzkové a organizačné opatrenia vrátane politík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečného obstarávania a údržby, riešenia a zverejňovania zraniteľností, posudzovania účinnosti, kybernetickej hygieny, kryptografie, bezpečnosti ľudských zdrojov, riadenia prístupu, správy aktív a tam, kde je to vhodné, viacfaktorovej autentifikácie alebo priebežnej autentifikácie.

Article 23 pridáva fázované oznamovanie významných incidentov vrátane včasného varovania do 24 hodín od okamihu, keď sa organizácia o incidente dozvedela, oznámenia incidentu do 72 hodín a záverečnej správy do jedného mesiaca. Ak sa upozornenie EUVD zmení na zneužité prerušenie služby, organizácia potrebuje dôkazy o čase zistenia, triáži, posúdení dopadu, zmiernení a rozhodnutiach o oznamovaní.

DORA vytvára paralelný, ale sektorovo špecifický režim pre finančné subjekty. Vyžaduje internú správu a riadiace opatrenia pre riziká IKT, zodpovednosť riadiaceho orgánu, procesy riadenia incidentov, riadenie rizík tretích strán v oblasti IKT, testovanie, odolnosť, zmluvné kontroly a oznamovanie závažných incidentov súvisiacich s IKT podľa DORA Article 19. Pre finančné subjekty v rozsahu pôsobnosti DORA predstavuje sektorovo špecifický rámec pre riziká IKT a oznamovanie incidentov.

GDPR pridáva ďalší rozmer. Ak by zneužitie mohlo spôsobiť neoprávnený prístup, zverejnenie, stratu, zmenu alebo zničenie osobných údajov, pracovný tok zraniteľnosti sa musí prepojiť s posúdením porušenia ochrany osobných údajov. Zásada zodpovednosti podľa GDPR znamená, že prevádzkovateľ musí preukázať súlad, nielen tvrdiť, že konal primerane.

Cyber Resilience Act robí z riadenia zraniteľností a koordinovaného zverejňovania zraniteľností povinnosť bezpečnosti produktu pre produkty s digitálnymi prvkami. Zároveň vytvára očakávania týkajúce sa oznamovania aktívne zneužívaných zraniteľností a závažných bezpečnostných incidentov, ak sa uplatňujú. Aj keď konečné právne rozhodnutie o oznamovaní vyžaduje odborné posúdenie, prevádzkové dôkazy sú bezpečnostné dôkazy: dotknutý produkt, dotknutá verzia, zneužiteľnosť, zmiernenie, stav zverejnenia, dopad na zákazníkov, koordinácia dodávateľov a časová os.

Keď je zraniteľnosť verejne viditeľná prostredníctvom EUVD, audítori a regulátori sa môžu pýtať, prečo nebola posúdená, prečo neboli identifikované dotknuté aktíva, prečo neboli kontaktovaní dodávatelia alebo prečo sa nezvažovalo oznamovanie. Najsilnejšie organizácie budú vedieť na šesť otázok odpovedať dôkazmi:

1. Ktoré upozornenia EUVD sú pre nás relevantné?
2. Ktoré aktíva, produkty, dodávatelia a zákazníci sú dotknutí?
3. Kto vlastní rozhodnutie?
4. Aká lehota na nápravu alebo zmiernenie sa uplatňuje?
5. Kedy sa riešenie zraniteľnosti mení na oznamovanie incidentu?
6. Ako preukazujeme uzavretie a dohľad manažmentu?

Základ ISO 27001:2022 pre dôkazy EUVD

ISO/IEC 27001:2022 je prirodzenou oporou systému manažérstva pre operacionalizáciu EUVD, pretože začína kontextom, zainteresovanými stranami, rozsahom, rizikom a dôkazmi.

Kapitoly 4.1 až 4.4 vyžadujú, aby organizácia definovala interné a externé otázky, zainteresované strany, právne, regulačné a zmluvné požiadavky, rozsah ISMS, rozhrania a závislosti. Pre pripravenosť na EUVD sa rozsah ISMS nemôže končiť pri interných serveroch. Musí zohľadňovať SaaS produkty, cloudové služby, outsourcovaný vývoj, poskytovateľov spravovaných služieb, dodávateľov IKT, záväzky voči zákazníkom, regulačné povinnosti a očakávania týkajúce sa zraniteľností produktov.

Kapitoly 5.1 až 5.3 vyžadujú vedenie, zosúladenie politík, zdroje, komunikáciu, zodpovednosť za vykonanie a zodpovednosti za reportovanie. Tu vrcholový manažment prijíma, že spravodajstvo o hrozbách a zraniteľnostiach nie je technická zdvorilosť. Je to signál rizika pre organizáciu.

Kapitoly 6.1.1 až 6.1.3 poskytujú mechanizmus pre posúdenie rizík, ošetrenie rizík, výber kontrol, porovnanie s prílohou A, vyhlásenie o uplatniteľnosti (SoA), schválenie reziduálneho rizika a plánovanie ošetrenia. Keď záznam EUVD ovplyvní prostredie, reakcia má spustiť opakovateľný pracovný tok rizík, ktorý prepája dotknuté aktíva, pravdepodobnosť, dopad, existujúce kontroly, možnosti ošetrenia a schválenie vlastníkom rizika.

Kapitoly 8.1 až 8.3 a 9.1 až 9.3 menia tento model na prevádzkový cyklus. Organizácie musia plánovať a riadiť procesy ISMS, uchovávať zdokumentované informácie, riadiť externe poskytované procesy, prehodnocovať riziká, implementovať plány ošetrenia, monitorovať a merať výkonnosť, vykonávať interné audity a realizovať preskúmania manažmentom.

V praxi Clarysec mapuje EUVD do troch vrstiev:

Kľúčový princíp je jednoduchý. Upozornenia EUVD sa musia stať záznamami v ISMS, nie neformálnymi správami v chate, ktoré zmiznú po nasadení záplaty.

Súbor kontrol ISO 27001, ktorý robí EUVD použiteľným

Najdôležitejšie kontroly prílohy A ISO/IEC 27001:2022 pre prevádzku EUVD sú 5.7 Spravodajstvo o hrozbách, 8.8 Riadenie technických zraniteľností, 5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT a 5.31 Právne, zákonné, regulačné a zmluvné požiadavky.

Clarysec ich mapuje prostredníctvom Zenith Controls: The Cross-Compliance Guide Zenith Controls, ktorý slúži ako kompas pre súlad naprieč rámcami pre ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST CSF a plánovanie auditných dôkazov.

Mapovanie Zenith Controls pre kontrolu ISO/IEC 27002:2022 5.7, Spravodajstvo o hrozbách, ju označuje ako preventívnu, detekčnú a nápravnú, podporujúcu dôvernosť, integritu a dostupnosť a zosúladenú s konceptmi kybernetickej bezpečnosti Identify, Detect a Respond. Jej prevádzkovou schopnosťou je riadenie hrozieb a zraniteľností s bezpečnostnými doménami obrany a odolnosti.

Mapovanie Zenith Controls pre kontrolu ISO/IEC 27002:2022 8.8, Riadenie technických zraniteľností, ju označuje ako preventívnu, podporujúcu dôvernosť, integritu a dostupnosť a zosúladenú s Identify a Protect. Jej prevádzkovou schopnosťou je riadenie hrozieb a zraniteľností a jej bezpečnostné domény zahŕňajú správu a riadenie, ekosystém, ochranu a obranu.

Mapovanie Zenith Controls pre kontrolu ISO/IEC 27002:2022 5.21, Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT, ju označuje ako preventívnu, podporujúcu dôvernosť, integritu a dostupnosť a zosúladenú s Identify. Jej prevádzkovou schopnosťou je bezpečnosť vzťahov s dodávateľmi, s doménami správy a riadenia, ekosystému a ochrany.

Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint zdôrazňuje aj kontrolu 5.31 v kroku 23, Právne, zákonné, regulačné a zmluvné požiadavky:

Bezpečnosť neexistuje vo vákuu. Funguje v sieti povinností, z ktorých niektoré sú definované zákonom, iné zmluvou a ďalšie sektorovo špecifickou reguláciou.

To je most správy a riadenia medzi EUVD a regulačným oznamovaním. Záznam o zraniteľnosti môže začať ako spravodajstvo o hrozbách, stať sa ticketom technickej zraniteľnosti, spustiť spoluprácu s dodávateľom a následne sa zmeniť na incident alebo právne rozhodnutie o oznámení.

Preto sa EUVD nemá považovať len za ďalší feed. Je to integračný bod kontrol.

Model politík Clarysec: od upozornenia po zodpovedné rozhodnutie

Zrelý prevádzkový model EUVD potrebuje jazyk politík, ktorý tímom povie, čo majú robiť ešte pred príchodom prvého kritického upozornenia.

Vulnerability and Patch Management Policy spoločnosti Clarysec Vulnerability and Patch Management Policy dáva podnikovým tímom jasný mandát na monitorovanie a eskaláciu:

Monitorujte upozornenia na hrozby (napr. CVE, CISA KEV, bulletiny dodávateľov) a eskalujte kritické zraniteľnosti.

Tá istá politika vyžaduje centrálnu dôkazovú základňu:

Centralizovaný register riadenia zraniteľností musí udržiavať tím bezpečnostných operácií a mesačne ho musí preskúmať CISO alebo delegovaná autorita.

Pre MSP verzia Vulnerability and Patch Management Policy - SME spoločnosti Clarysec Vulnerability and Patch Management Policy - SME explicitne určuje model zdrojov zahrnutím:

Dôveryhodné upozornenia zo spravodajstva o hrozbách (napr. CISA, ENISA, upozornenia národných CERT)

Zároveň zachováva auditnú stopu:

Záznam o záplatách sa musí udržiavať a preskúmavať počas auditov a činností reakcie na incidenty

Tieto ustanovenia predchádzajú bežnému zlyhaniu. Ak príde upozornenie EUVD a nikto nevie, či patrí do registra zraniteľností, frontu incidentov, sledovania dodávateľov alebo právneho posúdenia, organizácia stráca čas. Jazyk politiky robí prvý krok automatickým.

Rozmer CVD rieši Coordinated Vulnerability Disclosure Policy spoločnosti Clarysec Coordinated Vulnerability Disclosure Policy, ktorá poskytuje pracovný tok prijatia, potvrdenia, posúdenia závažnosti a overenia:

Po prijatí hlásenia ho VRT zaznamená a do 2 pracovných dní odošle oznamovateľovi potvrdenie s priradením referenčného čísla. VRT vykoná predbežné posúdenie závažnosti, napríklad pomocou skórovania CVSS, a overí problém, vrátane podpory tímov IT a vývoja, ak je to potrebné, v cieľovej lehote 5 pracovných dní. Kritické zraniteľnosti, napríklad tie, ktoré umožňujú vzdialené spustenie kódu alebo závažné porušenie ochrany osobných údajov, sa musia riešiť zrýchlene.

Zároveň prepája zraniteľnosti tretích strán so spoluprácou s dodávateľmi:

Pri každej potvrdenej kritickej alebo vysoko rizikovej zraniteľnosti CISO okamžite informuje vrcholový manažment a príslušných vlastníkov systémov. Ak zraniteľnosť ovplyvňuje produkty alebo služby poskytované dodávateľom alebo inou treťou stranou, VRT bez zbytočného odkladu informuje bezpečnostný kontakt dodávateľa a vyžiada si spoluprácu pri náprave.

Application Security Requirements Policy - SME spoločnosti Clarysec Application Security Requirements Policy - SME posilňuje očakávania voči produktom a dodávateľom tým, že od tímov vyžaduje:

špecifikovať povinnosti týkajúce sa zverejňovania zraniteľností, lehôt reakcie a záplatovania.

Pre dodávateľské zmluvy obsahuje Third-Party and Supplier Security Policy - SME spoločnosti Clarysec Third-Party and Supplier Security Policy - SME:

Lehoty oznámenia porušenia ochrany osobných údajov (napr. do 24 – 72 hodín)

Napokon Incident Response Policy spoločnosti Clarysec Incident Response Policy prepája regulované údaje a sektorové oznamovanie s rozhodnutím o incidente prostredníctvom klauzuly 6.4.1:

Verzia pre MSP zachováva rovnaký praktický spúšťač. Incident Response Policy - SME spoločnosti Clarysec Incident Response Policy - SME uvádza:

Ak sú dotknuté údaje zákazníkov, generálny manažér musí posúdiť zákonné oznamovacie povinnosti na základe uplatniteľnosti GDPR, NIS2 alebo DORA.

To je most medzi „videli sme zraniteľnosť“ a „posúdili sme, či podlieha oznamovaniu“.

Praktický záznam prijatia EUVD

Predpokladajme, že EUVD zverejní alebo aktualizuje záznam o zraniteľnosti ovplyvňujúcej autentifikačné SDK v mobilnej aplikácii Marie. SDK udržiava dodávateľ, integruje ho partner pre outsourcovaný vývoj a používajú ho zákazníci, ktorí sa autentifikujú do fintech SaaS produktu. Existuje verejná diskusia o exploite, ale v logoch tenantov nie je potvrdené zneužitie.

Obhájiteľný záznam prijatia má zachytiť technický aj regulačný kontext.

Tento záznam nie je dekoráciou súladu. Je riadiacim centrom rozhodnutí.

Praktický pracovný tok vyzerá takto:

1. SOC prijme upozornenie EUVD a vytvorí záznam o zraniteľnosti.
2. Vlastník aktíva potvrdí, či dotknutý komponent existuje v produkčnom prostredí.
3. Bezpečnostný tím vykoná posúdenie závažnosti na základe technickej závažnosti, zneužiteľnosti, expozície, citlivosti údajov a kritickosti služby.
4. Vlastník dodávateľa kontaktuje dodávateľa SDK alebo partnera pre outsourcovaný vývoj prostredníctvom vopred definovaných bezpečnostných kontaktov.
5. Vedúci reakcie na incidenty rozhodne, či existujú dôkazy o zneužití, dopade na službu alebo ujme zákazníkov.
6. Právne oddelenie, DPO a funkcia súladu posúdia, či sa spúšťajú pracovné toky súvisiace s GDPR, NIS2, DORA alebo CRA.
7. Inžiniering nasadí záplatu alebo zmierňujúce opatrenie.
8. Bezpečnostný tím overí nápravu prostredníctvom skenu, kontroly verzie, kontroly logov alebo testu kompenzačnej kontroly.
9. CISO preskúma kritické a vysoké záznamy a reportuje trendy do preskúmania manažmentom.

Vo fáze Controls in Action, krok 19, Technologické kontrolné opatrenia I, Zenith Blueprint vysvetľuje riadenie technických zraniteľností jednoduchým auditným jazykom:

Kontrola nie je o dokonalosti, ale o tom, aby existoval organizovaný, transparentný a zodpovedný proces.

Táto veta je dôležitá. Regulátori a audítori neočakávajú, že každá zraniteľnosť bude opravená okamžite. Očakávajú, že organizácia vie, čo existuje, stanoví priority, prijme primerané opatrenia, zaznamená výnimky a preukáže následné kroky.

Spravodajstvo o hrozbách je rozhodovacia funkcia, nie poštová schránka

Najväčšou chybou pri plánovaní EUVD je prideliť feed jednému analytikovi a nazvať to „spravodajstvo o hrozbách“. Zenith Blueprint vo fáze Controls in Action, krok 22, Organizačné opatrenia, vysvetľuje kontrolu ISO/IEC 27002:2022 5.7 takto:

Najlepšie zdroje spravodajstva o hrozbách sú často kombináciou interného monitorovania, externých partnerstiev a zapojenia komunity.

Zároveň upozorňuje, že spravodajstvo sa musí zmeniť na konanie:

Táto kontrola skutočne ožíva pri rozhodovaní. Spravodajstvo o hrozbách má priamo ovplyvňovať, ktoré kontroly sa sprísnia, ktoré aktíva sa reklasifikujú alebo izolujú, aké scenáre sa testujú v stolových cvičeniach a ako rýchlo sa nasadzujú záplaty alebo zmierňujúce opatrenia.

Pre EUVD musia byť príjemcovia spravodajstva definovaní podľa rolí.

NIST CSF 2.0 môže pomôcť štruktúrovať tento model. Jeho funkcia GOVERN zdôrazňuje očakávania zainteresovaných strán, právne a regulačné povinnosti, apetít na riziko, zodpovednosť vedenia, definované roly, politiku, zdroje a dohľad. Jeho prevádzkové funkcie pomáhajú organizovať evidenciu aktív, identifikáciu zraniteľností, ochranu, detekciu, reakciu, obnovu a zlepšovanie. Metóda profilu NIST CSF sa dá použiť na definovanie aktuálneho a cieľového stavu prevádzky EUVD a následnú premenu medzier na prioritizovaný akčný plán.

V terminológii Clarysec je NIST CSF užitočnou organizačnou vrstvou, ISO/IEC 27001:2022 je auditovateľný systém manažérstva a Zenith Controls je kompas pre súlad naprieč rámcami, ktorý udržiava mapovania konzistentné.

Sledovanie zraniteľností dodávateľov a produktov

NIS2 Article 21 robí z bezpečnosti dodávateľského reťazca súčasť minimálnych opatrení riadenia kybernetických rizík. Article 21(3) vyžaduje, aby subjekty zohľadňovali zraniteľnosti špecifické pre každého priameho dodávateľa a poskytovateľa služieb, kvalitu produktov a postupy kybernetickej bezpečnosti dodávateľov vrátane postupov bezpečného vývoja. Recitály 85 a 86 zdôrazňujú riziko tretích strán vyplývajúce zo spracúvania údajov, spravovaných služieb, dodávateľov softvéru a poskytovateľov spravovaných bezpečnostných služieb.

DORA je pre finančné subjekty preskriptívnejšia. Vyžaduje, aby sa riziko tretích strán v oblasti IKT riadilo ako súčasť rámca rizík IKT, s informačnými registrami, due diligence, analýzou rizika koncentrácie, písomnými zmluvami, právami na audit a kontrolu, podporou pri incidentoch, viditeľnosťou subdodávok, bezpečnostnými požiadavkami, právami na ukončenie a otestovanými stratégiami ukončenia.

EUVD bolestivo zviditeľní slabú viditeľnosť dodávateľov. Ak je dotknutý komponent dodávateľa, organizácia potrebuje viac než kontakt na obstarávanie. Potrebuje:

1. pomenovaný bezpečnostný kontakt dodávateľa,
2. zmluvné povinnosti oznamovať zraniteľnosti,
3. inventár produktov a verzií,
4. SBOM alebo transparentnosť komponentov, ak je relevantná,
5. SLA na nápravu a povinnosti náhradných postupov,
6. práva na audit alebo uistenie,
7. povinnosti podpory pri incidentoch,
8. plány ukončenia alebo náhrady pre kritické závislosti.

Preto Clarysec mapuje prevádzku EUVD na kontrolu ISO/IEC 27002:2022 5.21 prostredníctvom Zenith Controls. Domény správy a riadenia, ekosystému a ochrany zodpovedajú praktickému problému dodávateľov: nemožno napraviť to, čo nemožno vystopovať, a nemožno doložiť to, čo nebolo zmluvne vyžadované.

Pre pripravenosť na oznamovanie podľa CRA sa ten istý záznam o zraniteľnosti dodávateľa a produktu stáva zásadným. Aj keď konečné regulačné rozhodnutie vyžaduje právnu analýzu, prevádzkový dôkaz pochádza z bezpečnostných a inžinierskych dôkazov.

Kedy sa zraniteľnosť EUVD stáva incidentom

Nie každá zraniteľnosť je incident. Každá závažná zraniteľnosť však musí byť schopná rýchlo sa stať záznamom incidentu.

Praktický spúšťač je tento: ak spravodajstvo o hrozbách z EUVD naznačuje možnú expozíciu, otvorte záznam o zraniteľnosti. Ak existujú dôkazy o zneužití, dopade na službu, sprístupnení regulovaných údajov, ujme zákazníkov alebo prevádzkovom narušení, prepojte ho so záznamom incidentu alebo ho naň preveďte.

NIS2 Article 23 vyžaduje oznámenie významných incidentov ovplyvňujúcich poskytovanie služieb vrátane incidentov, ktoré spôsobujú alebo môžu spôsobiť závažné prevádzkové narušenie alebo finančnú stratu, alebo ovplyvňujú iné osoby značnou materiálnou alebo nemateriálnou ujmou. DORA vyžaduje, aby finančné subjekty zaznamenávali incidenty súvisiace s IKT a významné kybernetické hrozby, klasifikovali závažné incidenty súvisiace s IKT, oznamovali ich podľa Article 19, ak sa to vyžaduje, komunikovali s klientmi, ak sú dotknuté finančné záujmy, a uzavreli ich analýzou koreňovej príčiny. GDPR vyžaduje posúdenie porušenia ochrany osobných údajov, ak bezpečnostný incident spôsobí náhodné alebo nezákonné zničenie, stratu, zmenu, neoprávnené zverejnenie osobných údajov alebo neoprávnený prístup k nim.

Zenith Blueprint, fáza Controls in Action, krok 16, Personálne opatrenia II, posilňuje význam kultúry hlásenia:

Podporujte prístup „nízkeho prahu hlásenia“; odkaz má znieť: „Ak máte pochybnosti, nahláste to.“

Pre EUVD to platí pre inžinierov a dodávateľov rovnako ako pre zamestnancov. Ak vývojár vidí dotknutú závislosť, ak dodávateľ potvrdí zneužiteľnosť alebo ak podpora zaznamená podozrivé správanie zákazníka, organizácia má uprednostniť včasnú triáž pred oneskorenou istotou.

Ako budú audítori testovať váš program EUVD

Silný prevádzkový model EUVD má byť navrhnutý pre viaceré auditné pohľady. Rovnaké dôkazy môžu uspokojiť rôzne očakávania, ak sú dobre štruktúrované.

Audítor ISO 27001 si spravidla vyberie vzorku vysoko závažného záznamu spusteného EUVD a overí, či sa viaže na rozsah, povinnosti zainteresovaných strán, posúdenie rizík, ošetrenie, kontroly prílohy A, prevádzkové dôkazy a preskúmanie. Posudzovateľ orientovaný na NIST sa zameria na výsledky. Audítor v štýle COBIT sa zameria na správu a riadenie, vlastníctvo, výkonnosť a uistenie. Posudzovateľ DORA bude venovať osobitnú pozornosť závislostiam od tretích strán v oblasti IKT, zmluvným kontrolám a klasifikácii incidentov.

Reportovanie predstavenstvu bez šumu CVE

NIS2 a DORA stavajú riadiace orgány do centra zodpovednosti za kybernetickú bezpečnosť. Vrcholový manažment však nepotrebuje výpis položiek EUVD. Potrebuje reportovanie vhodné na rozhodovanie.

Mesačná správa zo spravodajstva o hrozbách a zraniteľnostiach má obsahovať:

1. kritické a vysoké zraniteľnosti spárované s EUVD, ktoré ovplyvňujú aktíva v rozsahu,
2. otvorené zraniteľnosti mimo SLA nápravy,
3. oneskorenia spôsobené dodávateľmi a zmluvné eskalácie,
4. zraniteľnosti prepojené s incidentmi alebo takmer vzniknutými incidentmi,
5. spúšťače a výsledky pracovného toku zraniteľností produktu podľa CRA,
6. posúdenia oznamovania podľa NIS2, DORA alebo GDPR,
7. akceptované reziduálne riziká a osoby, ktoré ich akceptovali,
8. trendy podľa služby organizácie, produktu, dodávateľa a koreňovej príčiny,
9. metriky účinnosti kontrol a opatrenia na zlepšenie.

Toto priamo mapuje na očakávania preskúmania manažmentom podľa kapitoly 9.3 ISO/IEC 27001:2022 vrátane zmien kontextu, potrieb zainteresovaných strán, trendov výkonnosti, výsledkov auditov, plnenia cieľov, spätnej väzby, výsledkov posúdenia rizík, stavu ošetrenia a príležitostí na zlepšenie.

Bežné zlyhania pripravenosti na EUVD

Organizácie, ktoré majú problém so spravodajstvom o hrozbách a zraniteľnostiach, zvyčajne zlyhávajú predvídateľnými spôsobmi.

Po prvé, nemajú spoľahlivú evidenciu aktív a softvéru. Relevantnosť EUVD nemožno posúdiť bez názvov produktov, verzií, knižníc, cloudových služieb, dodávateľov a tokov údajov.

Po druhé, oddeľujú riadenie zraniteľností od reakcie na incidenty. Tím zraniteľností uzatvára tickety, zatiaľ čo tím incidentov nikdy neposúdi, či došlo k zneužitiu. To vytvára slepé miesta v oznamovaní.

Po tretie, dodávateľské zmluvy mlčia. Ak dodávateľ nie je povinný oznamovať, spolupracovať, záplatovať, poskytovať dôkazy alebo podporovať reakciu na incidenty, zákazník má počas kritického okna slabú vyjednávaciu pozíciu.

Po štvrté, právne tímy a DPO sa zapájajú príliš neskoro. Ak rozhodnutia o oznamovaní podľa GDPR, NIS2, DORA alebo CRA začnú až po tom, čo inžiniering už záplatoval a posunul sa ďalej, časová os zistenia sa stáva nejasnou.

Po piate, reportovanie manažmentu je príliš technické. Predstavenstvá dostávajú dlhé zoznamy CVE bez dopadu na organizáciu, regulačnej relevantnosti, trendov dodávateľov alebo rozhodnutí o reziduálnom riziku.

Metodika Clarysec to rieši prepojením kontrol. V Zenith Blueprint krok 19 posilňuje riadenie technických zraniteľností, krok 22 operacionalizuje spravodajstvo o hrozbách, krok 16 posilňuje kultúru hlásenia incidentov a krok 23 udržiava právne, zákonné, regulačné a zmluvné povinnosti viditeľné.

30-dňový sprint pripravenosti na EUVD

Ak vaša organizácia potrebuje rýchlu cestu, začnite sústredeným 30-dňovým sprintom.

Prvý týždeň: definujte rozsah a povinnosti. Potvrďte, či organizácia môže byť základným alebo dôležitým subjektom podľa NIS2, či sa DORA uplatňuje na finančné činnosti, či sa GDPR uplatňuje na spracúvanie osobných údajov a kde môžu byť relevantné povinnosti súvisiace so zraniteľnosťami produktov podľa CRA. Aktualizujte právny a zmluvný register ISMS.

Druhý týždeň: vybudujte pracovný tok prijatia. Pridajte EUVD, národné CERT, upozornenia dodávateľov a sektorové feedy do zoznamu zdrojov spravodajstva o hrozbách a zraniteľnostiach. Definujte, kto otvára záznamy, kto overuje expozíciu, kto kontaktuje dodávateľov, kto posudzuje oznamovanie a kto schvaľuje reziduálne riziko.

Tretí týždeň: prepojte dodávateľov a produkty. Identifikujte kritické produkty, služby určené zákazníkom, priamych dodávateľov IKT, outsourcovaných vývojárov, poskytovateľov cloudových služieb a poskytovateľov spravovanej bezpečnosti. Potvrďte bezpečnostné kontakty, zmluvné doložky, povinnosti reakcie na zraniteľnosti a očakávania dôkazov.

Štvrtý týždeň: otestujte pracovný tok. Vykonajte stolové cvičenie s realistickým upozornením EUVD. Vyžadujte od tímu záznam o zraniteľnosti, komunikáciu s dodávateľom, posúdenie incidentu, právne rozhodnutie o oznámení, záznam o záplate, schválenie reziduálneho rizika a súhrn pre manažment.

Výstupom nemá byť slide deck. Má to byť dôkazový balík, z ktorého môže audítor vybrať vzorku.

Urobte z EUVD systém kontrol, nie ďalší feed

Do roku 2026 nebudú organizáciami, ktoré dobre zvládnu ENISA EUVD, tie, ktoré si jednoducho predplatia viac upozornení. Budú to tie, ktoré premenia verejné spravodajstvo o hrozbách a zraniteľnostiach na konanie založené na riziku, zodpovednosť dodávateľov, koordinované zverejňovanie, rozhodnutia o oznamovaní a auditné dôkazy.

Clarysec vám môže pomôcť vybudovať tento model pomocou Zenith Blueprint Zenith Blueprint, knižnice politík Clarysec a Zenith Controls Zenith Controls. Mapujeme kapitoly ISO/IEC 27001:2022 a kontroly ISO/IEC 27002:2022 na očakávania auditov podľa NIS2, DORA, GDPR, NIST CSF a v štýle COBIT a následne premieňame mapovanie na praktické registre, playbooky, dodávateľské doložky a reportovanie pre manažment.

Ak sa váš tím pripravuje na riešenie zraniteľností podľa NIS2, pripravenosť na oznamovanie podľa CRA, prevádzku CVD alebo spravodajstvo o hrozbách a zraniteľnostiach riadené EUVD, začnite preskúmaním pripravenosti na EUVD od Clarysec. Pomôžeme vám identifikovať medzery, prioritizovať kontroly a vybudovať dôkazovú stopu skôr, než prvé kritické upozornenie otestuje váš program.