⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Pripravenosť na Akt EÚ o kybernetickej solidarite s ISO 27001

Igor Petreski

Incident o 03:17, ktorý mení spoluprácu v EÚ na váš auditný problém

V utorok o 03:17 ráno sa Maria, CISO spoločnosti InnovateCloud, pozerá na obrazovku plnú upozornení. Jej spoločnosť je stredne veľký európsky poskytovateľ SaaS služieb pre logistických zákazníkov v Nemecku, Francúzsku a Poľsku. Prvé upozornenie vyzerá ako podozrivý privilegovaný prístup v produkčnom tenantovi. O desať minút neskôr poskytovateľ riadených bezpečnostných služieb hlási podobnú aktivitu týkajúcu sa ďalších dvoch zákazníkov. O 04:00 SOC vidí volania API z infraštruktúry, ktorá bola predtým spájaná s prípravou ransomvérového útoku.

InnovateCloud nebola pôvodným cieľom. Zdá sa, že v zasiahnutej oblasti je kľúčový poskytovateľ infraštruktúry. Vplyv incidentu je však teraz Mariin problém.

Jedným z dotknutých zákazníkov je nemecká banka, ktorá požaduje odpovede podľa DORA. Ďalším je kritický dodávateľ v energetickom sektore, ktorý je už klasifikovaný podľa vnútroštátnych pravidiel transpozície NIS2. Prostredie môže obsahovať osobné údaje, ale exfiltrácia údajov zatiaľ nie je potvrdená. Bezpečnostný tím chce hrozbu okamžite zadržať. Právne oddelenie chce vedieť, či už začala plynúť 24-hodinová lehota na včasné varovanie podľa NIS2. Manažér ochrany súkromia sa pýta, či môže vzniknúť povinnosť oznámiť porušenie ochrany osobných údajov podľa GDPR. Predstavenstvo chce vedieť, či sa výpadok môže rozšíriť naprieč členskými štátmi.

V roku 2026 to už nie je iba interná kríza.

Akt EÚ o kybernetickej solidarite mení prevádzkovú realitu veľkých a cezhraničných kybernetických incidentov. Zavádza mechanizmy detekcie, pripravenosti a reakcie na úrovni EÚ vrátane Európskeho systému kybernetických výstrah, Mechanizmu kybernetickej núdze a Rezervy EÚ pre kybernetickú bezpečnosť. Aj keď organizácia nikdy priamo nepožiada o pomoc z rezervy, jej dôkazy, kontakty na orgány, zmluvy s dodávateľmi, časové osi incidentov a komunikácia so zákazníkmi sa môžu stať súčasťou širšieho európskeho reťazca reakcie.

Nedostatky sa ukážu rýchlo. Mnohé organizácie majú nástroje, tikety a politiky, ale nemajú dôkazy, ktoré obstoja pri regulačnom preskúmaní. Môžu povedať „kontaktovali sme regulátora“, ale nedokážu preukázať, kto bol oprávnený konať, aký prah spustil kontakt, čo bolo komunikované, či boli zachované logy, či bol dodávateľ zmluvne povinný poskytnúť súčinnosť, alebo či možno záverečnú správu spätne zostaviť zo súbežne prijatých rozhodnutí.

Riešením nie je ďalší izolovaný „zakladač k Aktu EÚ o kybernetickej solidarite“. Riešením je systém manažérstva informačnej bezpečnosti podľa ISO/IEC 27001:2022, ktorý vytvára dôkazy raz a opakovane ich využíva pre očakávania NIS2, DORA, GDPR, NIST CSF 2.0 a COBIT 2019.

Tieto dôkazy sa začínajú vytvárať ešte pred incidentom.

Prečo Akt EÚ o kybernetickej solidarite zvyšuje dôkazový štandard

Akt EÚ o kybernetickej solidarite je navrhnutý pre kybernetickú detekciu, pripravenosť a krízovú reakciu na úrovni EÚ. Jeho praktický vplyv pre CISO, audítorov a manažérov súladu je jasný: koordinácia rozsiahlych incidentov vyžaduje dôkazy, ktoré sú rýchlejšie, čistejšie, konzistentnejšie a jednoduchšie zdieľateľné s dôveryhodnými zainteresovanými stranami.

Ak je možný cezhraničný vplyv, organizácia môže potrebovať koordináciu s národnými CSIRT, príslušnými orgánmi, sektorovými regulátormi, dozornými orgánmi na ochranu údajov, orgánmi finančného dohľadu, orgánmi činnými v trestnom konaní, zákazníkmi, sprostredkovateľmi, dodávateľmi a externými tímami reakcie na incidenty. Rezerva EÚ pre kybernetickú bezpečnosť pridáva ďalší rozmer, pretože vopred preverení súkromní poskytovatelia môžu podporovať pripravenosť, reakciu a obnovu. Riadenie dodávateľov, právomoc konať, nakladanie s údajmi a uchovávanie dôkazov sú preto ešte dôležitejšie.

Súkromné subjekty sú v centre tejto reality. Cloudoví poskytovatelia, dátové centrá, poskytovatelia riadených služieb, poskytovatelia riadených bezpečnostných služieb, prevádzkovatelia digitálnej infraštruktúry, fintech spoločnosti a SaaS platformy často držia telemetriu, logy, údaje o vplyve na zákazníkov a technické fakty, ktoré orgány potrebujú na pochopenie závažného incidentu.

NIS2 už smeruje týmto smerom. Vzťahuje sa na mnohé stredne veľké a veľké subjekty v sektoroch prílohy I a prílohy II, ktoré poskytujú služby alebo vykonávajú činnosti v EÚ. Zahŕňa aj určité subjekty bez ohľadu na veľkosť vrátane poskytovateľov dôveryhodných služieb, poskytovateľov DNS služieb, registrov domén najvyššej úrovne a poskytovateľov služieb registrácie doménových mien. Príloha I zahŕňa digitálnu infraštruktúru, ako sú cloudové výpočtové služby, služby dátových centier, siete na doručovanie obsahu, poskytovatelia DNS, poskytovatelia dôveryhodných služieb a registre TLD. Zahŕňa aj riadenie služieb IKT B2B vrátane poskytovateľov riadených služieb a poskytovateľov riadených bezpečnostných služieb. Príloha II zahŕňa digitálnych poskytovateľov, ako sú online trhoviská, internetové vyhľadávače a platformy sociálnych sietí.

DORA pridáva druhú vrstvu pre finančný sektor. Od 17. januára 2025 sa vzťahuje na široké spektrum finančných subjektov vrátane úverových inštitúcií, platobných inštitúcií, inštitúcií elektronických peňazí, investičných spoločností, poskytovateľov služieb kryptoaktív, obchodných miest, poisťovní a zaisťovní, ratingových agentúr, poskytovateľov crowdfundingových služieb a ďalších. Zároveň vytvára významné očakávania voči externým poskytovateľom IKT služieb, pretože finančné subjekty zostávajú zodpovedné za outsourcované IKT služby.

Fintech incident v roku 2026 preto môže byť koordinovaný cez dohľadové kanály DORA, zatiaľ čo poskytovateľ SaaS alebo MSSP podporujúci daný fintech môže spadať pod NIS2. Tá istá technická udalosť môže vytvoriť odlišné oznamovacie povinnosti, dôkazové očakávania a zmluvné povinnosti pre rôznych aktérov.

ISO/IEC 27001:2022 dáva organizáciám prevádzkový systém na riadenie tejto zložitosti. Kapitoly 4.1 až 4.4 vyžadujú, aby organizácia definovala ISMS vo svojom podnikateľskom kontexte, identifikovala zainteresované strany a ich zákonné, regulačné a zmluvné požiadavky, určila hranice a závislosti a zaviedla systém manažérstva. Kapitoly 5.1 až 5.3 robia vedenie zodpovedným za politiku, zdroje, integráciu a priradenie rolí. Kapitoly 6.1.1 až 6.1.3 vyžadujú opakovateľné posúdenie rizík, ošetrenie rizík a Vyhlásenie o uplatniteľnosti. Kapitola 8.1 vyžaduje prevádzkové riadenie vrátane riadenia externe poskytovaných procesov, produktov a služieb.

Toto je jadro pripravenosti na Akt EÚ o kybernetickej solidarite: preukázať, že krízová reakcia je riadená, testovaná a auditovateľná, nie improvizovaná.

Dôkazový model Clarysec: jeden incident, mnoho povinností

Cezhraničný incident nečaká, kým ho právne tímy klasifikujú. Dôkazy sa musia zachytávať od prvého upozornenia a následne smerovať do správnych oznamovacích a koordinačných postupov.

Prístup Clarysec prepája tri aktíva:

  1. Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint, ktorý premieňa implementáciu ISO/IEC 27001:2022 na postupnú cestu pripravenú na audit.
  2. Zenith Controls: Sprievodca krížovým súladom Zenith Controls, ktorý mapuje kontroly ISO/IEC 27002:2022 na súvisiace kontroly, atribúty, prevádzkové schopnosti, bezpečnostné domény a očakávania na dôkazy naprieč rámcami.
  3. Šablóny politík Clarysec pre reakciu na incidenty, zber dôkazov, bezpečnosť dodávateľov, logovanie, monitorovanie a kontinuitu činností, prispôsobené pre podnikové prostredia aj prostredia MSP.

V Zenith Blueprint, vo fáze Controls in Action, krok 22 rieši kontrolu ISO/IEC 27002:2022 5.5, Kontakt s orgánmi. Uvádza:

Kontrola 5.5 zabezpečuje, aby bola organizácia pripravená komunikovať s externými orgánmi vtedy, keď je to potrebné, nie reaktívne alebo v panike, ale prostredníctvom vopred definovaných, štruktúrovaných a dobre pochopených kanálov.

Tá istá časť kladie otázku, na ktorú by mal každý CISO odpovedať ešte pred krízou:

ak by bola vaša organizácia cieľom kybernetického útoku, zapojená do porušenia ochrany údajov alebo vyšetrovaná, kto by kontaktoval orgány? Ako by vedel, čo povedať? Za akých podmienok by sa takýto kontakt inicioval?

Toto nie je administratívne papierovanie. V prostredí Aktu EÚ o kybernetickej solidarite je to rozdiel medzi pokojným včasným varovaním a protichodnými správami naprieč jurisdikciami.

Zenith Controls posudzuje kontrolu ISO/IEC 27002:2022 5.5, Kontakt s orgánmi, ako preventívnu a nápravnú, prepojenú s dôvernosťou, integritou a dostupnosťou a zosúladenú s konceptmi Identify, Protect, Respond a Recover. Prepája 5.5 s plánovaním a prípravou riadenia incidentov, hlásením udalostí, spravodajstvom o hrozbách, špecializovanými záujmovými skupinami a reakciou na incidenty.

Ten istý sprievodca posudzuje kontrolu ISO/IEC 27002:2022 5.24, Plánovanie a príprava riadenia incidentov informačnej bezpečnosti, ako nápravnú kontrolu prepojenú s Respond a Recover. Jej väzby na hodnotenie udalostí, reakciu na incidenty, získané poznatky, logovanie, monitorovanie, bezpečnosť počas narušenia a kontinuitu ukazujú, čo audítori často testujú: či váš plán prepája detekciu, klasifikáciu, eskaláciu, dôkazy, obnovu a poučenie.

Pre nakladanie s dôkazmi je osobitne dôležitá kontrola ISO/IEC 27002:2022 5.28, Zber dôkazov. Zenith Controls ju prepája s reakciou na incidenty, logovaním, monitorovaním a hlásením udalostí. Pri závažnom cezhraničnom incidente je to miesto, kde sa technické vyšetrovanie stáva obhájiteľným.

Mapovanie pripravenosti na Akt EÚ o kybernetickej solidarite na dôkazy ISO 27001

Akt EÚ o kybernetickej solidarite vytvára prostredie pripravenosti a koordinácie. ISO/IEC 27001:2022 poskytuje dôkazový mechanizmus. NIS2, DORA a GDPR definujú mnohé konkrétne očakávania v oblasti oznamovania, riadenia a ochrany.

Požiadavka scenára v roku 2026Dôkazová kotva ISO/IEC 27001:2022Súvisiace prevádzkové dôkazyPodpora Clarysec
Identifikovať, či organizácia, zákazníci alebo dodávatelia patria do rozsahu NIS2, DORA alebo GDPRKapitoly 4.1, 4.2 a 4.3 pre kontext, zainteresované strany a rozsah ISMSRegulačný register, mapa služieb, pôsobnosť v členských štátoch, sektory zákazníkov, roly pri spracúvaní údajovKroky určovania rozsahu v Zenith Blueprint a šablóny registra súladu
Rozhodnúť, či incident má cezhraničný vplyvKontroly prílohy A A.5.24 až A.5.28 a kapitola 8.1 prevádzkové riadenieZáznam klasifikácie incidentu, posúdenie vplyvu, dotknuté krajiny, dotknuté služby, indikátory kompromitáciePolitika reakcie na incidenty a pracovný tok zberu dôkazov
Oznámiť incident orgánom v požadovaných lehotáchA.5.5 kontakt s orgánmi, A.5.31 právne, zákonné, regulačné a zmluvné požiadavky, A.5.24 plánovanieMatica kontaktov na orgány, rozhodovací log, návrhy oznámení, časové pečiatky podaniaZenith Blueprint krok 22 a Politika reakcie na incidenty
Koordinovať sa s MSSP, cloudovým poskytovateľom alebo poskytovateľom reakcie typu rezervyA.5.19 až A.5.23 dodávateľské a cloudové kontroly, kapitola 8.1 riadenie externých procesovRegister dodávateľov, zmluvné doložky, povinnosti podpory pri incidente, práva na audit, lokality služiebPolitika bezpečnosti tretích strán a dodávateľov
Zachovať forenzné dôkazy pre orgány a poincidentné poučenieA.5.28 zber dôkazov, A.8.15 logovanie, A.8.16 monitorovacie činnostiReťazec zverenia, exporty logov, snapshoty, forenzné obrazy, prístupové záznamyPolitika zberu dôkazov a forenznej analýzy, Politika logovania a monitorovania - MSP
Udržať základné služby počas narušeniaA.5.29 informačná bezpečnosť počas narušenia, A.5.30 pripravenosť IKT na kontinuitu činností, A.8.13 zálohovanie informáciíBIA, ciele obnovy, testy záloh, náhradná komunikácia, krízové rolyPolitika kontinuity činností a obnovy po havárii

Všimnite si, čo chýba: samostatné silo súladu. Tie isté dôkazy, ktoré podporujú certifikáciu ISO/IEC 27001:2022, môžu podporiť zodpovednosť manažmentu podľa NIS2, riadenie IKT rizík podľa DORA, preukázateľnú zodpovednosť za bezpečnosť podľa GDPR, výsledky komunikácie podľa NIST CSF a očakávania uistenia podľa COBIT 2019.

NIS2: oznamovacia lehota začína plynúť nadobudnutím vedomosti

NIS2 je kľúčová pre pripravenosť na rok 2026, pretože definuje odstupňovaný pracovný tok hlásenia incidentov.

Article 23 vyžaduje, aby základné a dôležité subjekty bez zbytočného odkladu oznámili svojmu CSIRT alebo príslušnému orgánu významné incidenty ovplyvňujúce poskytovanie služieb. Včasné varovanie sa musí podať bez zbytočného odkladu a najneskôr do 24 hodín po nadobudnutí vedomosti o významnom incidente. Malo by uviesť, ak je to relevantné, či existuje podozrenie na škodlivé alebo protiprávne konanie a či je možný cezhraničný vplyv.

Oznámenie incidentu nasleduje bez zbytočného odkladu a najneskôr do 72 hodín po nadobudnutí vedomosti, aktualizuje včasné varovanie a poskytuje prvotné posúdenie závažnosti, vplyvu a dostupných indikátorov kompromitácie. Záverečná správa sa predkladá do jedného mesiaca po oznámení incidentu a obsahuje závažnosť, vplyv, pravdepodobný typ hrozby alebo koreňovú príčinu, zmierňujúce opatrenia a cezhraničný vplyv.

Preto reakcia na incidenty nemôže začínať prázdnym dokumentom.

Podniková Politika reakcie na incidenty Politika reakcie na incidenty uvádza:

NIS2 Article 23 (oznámenie do 24 hodín od nadobudnutia vedomosti o incidente)

Politika reakcie na incidenty - MSP Politika reakcie na incidenty - MSP prenáša rovnakú časovú logiku do praktického riadenia:

„Lehoty reakcie vrátane obnovy údajov a oznamovacích povinností musia byť zdokumentované a zosúladené s právnymi požiadavkami, ako je 72-hodinová požiadavka GDPR na oznámenie porušenia ochrany osobných údajov.“

Z Politiky reakcie na incidenty - MSP, časť „Požiadavky na riadenie“, kapitola 5.3.2.

Zároveň začleňuje posúdenie viacerých režimov priamo do procesu incidentu:

„Ak ide o údaje zákazníkov, generálny manažér musí posúdiť zákonné oznamovacie povinnosti na základe uplatniteľnosti GDPR, NIS2 alebo DORA.“

Z Politiky reakcie na incidenty - MSP, časť „Ošetrenie rizík a výnimky“, kapitola 7.4.1.

V scenári Aktu EÚ o kybernetickej solidarite sa „cezhraničný vplyv je možný“ stáva prevádzkovo dôležitým. Včasné varovanie nemusí obsahovať úplné fakty, ale organizácia musí vedieť preukázať, prečo na základe dostupných dôkazov predpokladala alebo nepredpokladala cezhraničný vplyv.

Záznam o incidente musí zachytiť:

  • Kedy organizácia nadobudla vedomosť.
  • Kto vyhlásil udalosť za potenciálny incident.
  • Ktoré služby, krajiny, zákazníci alebo sektory mohli byť dotknuté.
  • Či existovalo podozrenie na škodlivú alebo protiprávnu aktivitu.
  • Ktoré indikátory kompromitácie boli dostupné.
  • Aká kontaktná cesta na orgán bola použitá.
  • Či bola potrebná komunikácia so zákazníkmi.
  • Ktoré dôkazy boli zachované pred významnou nápravou.

Najlepší čas na návrh týchto polí je pred 03:17.

DORA: keď je zákazník regulovaný, ale logy má dodávateľ

DORA mení rozhovor s dodávateľmi. Finančné subjekty musia riadiť riziko externých poskytovateľov IKT ako súčasť svojho rámca riadenia IKT rizík. Outsourcing IKT služieb neprenáša regulačnú zodpovednosť z finančného subjektu.

DORA vyžaduje stratégie riadenia rizík externých poskytovateľov IKT, registre zmlúv o IKT službách, due diligence, plánovanie auditov a inšpekcií, práva na ukončenie a otestované stratégie ukončenia pre kritické alebo dôležité IKT služby. Article 30 vyžaduje zmluvnú jasnosť vrátane opisov služieb, lokalít, nakladania s údajmi, dôvernosti, integrity, dostupnosti, úrovní služieb, pomoci počas IKT incidentov, spolupráce s orgánmi a práv na ukončenie. Na kritické alebo dôležité funkcie sa vzťahujú prísnejšie podmienky.

Vráťme sa k Mariinmu incidentu. Nemecká banka je regulovaná podľa DORA. InnovateCloud poskytuje SaaS služby. MSSP deteguje podozrivú aktivitu. Cloudový poskytovateľ infraštruktúry má časť kľúčových auditných logov. Subdodávateľ prevádzkuje časť telemetrického pipeline. Banka zostáva zodpovedná, ale bez dôkazov od dodávateľov nedokáže incident správne klasifikovať a nahlásiť.

Clarysec to rieši klasifikáciou dodávateľov a zmluvnými dôkazmi. Podniková Politika bezpečnosti tretích strán a dodávateľov Politika bezpečnosti tretích strán a dodávateľov vyžaduje:

Zmluvy s dodávateľmi musia obsahovať:

Politika bezpečnosti tretích strán a dodávateľov - MSP Politika bezpečnosti tretích strán a dodávateľov - MSP používa rovnakú logiku súladu v ľahšom prevádzkovom modeli:

Zmluvy musia obsahovať povinné doložky pokrývajúce:

Hodnota je v prílohe za týmito slovami: povinnosti oznamovania incidentov, prístup k logom, práva na audit, dôvernosť, umiestnenie údajov, kontroly subdodávateľov, spolupráca s orgánmi, podpora obnovy a povinnosti pri ukončení.

Zenith Blueprint, fáza Controls in Action, krok 23, poskytuje implementačný postup:

Zostavte úplný zoznam aktuálnych dodávateľov a poskytovateľov služieb (5.19) a klasifikujte ich podľa prístupu k systémom, údajom alebo prevádzkovej kontrole. Pri každom klasifikovanom dodávateľovi overte, že bezpečnostné očakávania sú jasne zakotvené v zmluvách (5.20), vrátane dôvernosti, prístupu, hlásenia incidentov a povinností súladu.

Pokračuje nadväzujúcim rizikom:

Pri každom kritickom dodávateľovi identifikujte, či využíva subdodávateľov (ďalších sprostredkovateľov), ktorí môžu mať prístup k vašim údajom alebo systémom. Zdokumentujte, ako sa vaše požiadavky informačnej bezpečnosti prenášajú na tieto strany, buď prostredníctvom zmluvných podmienok vášho dodávateľa, alebo vašich vlastných priamych doložiek.

Toto je aj pripravenosť na Rezervu EÚ pre kybernetickú bezpečnosť. Ak externý poskytovateľ reakcie vstúpi počas núdzovej situácie do vášho prostredia, musíte poznať právny základ, rozsah prístupu, pravidlá pre dôkazy, povinnosti pri nakladaní s údajmi, koordinačnú cestu s orgánmi a podmienky ukončenia. DORA to výslovne vyžaduje pre finančné subjekty. NIS2 to robí relevantným pre základné a dôležité subjekty. ISO/IEC 27001:2022 z toho robí auditovateľnú oblasť.

GDPR: otázka porušenia ochrany osobných údajov vnútri kybernetickej krízy

Nie každý kybernetický incident je porušením ochrany osobných údajov, ale každý závažný incident sa musí z tohto pohľadu posúdiť.

GDPR sa vzťahuje na spracúvanie v rámci činnosti prevádzkarne v EÚ a tiež na prevádzkovateľov alebo sprostredkovateľov mimo EÚ, ktorí ponúkajú tovary alebo služby fyzickým osobám v EÚ alebo monitorujú ich správanie v EÚ. Definuje osobné údaje, spracúvanie, prevádzkovateľa, sprostredkovateľa a porušenie ochrany osobných údajov. Medzi jeho zásady patrí integrita, dôvernosť a preukázateľná zodpovednosť, čo znamená, že prevádzkovatelia musia vedieť preukázať súlad.

Počas incidentu o 03:17 si Mariin tím musí položiť otázky:

  • Boli osobné údaje sprístupnené, poskytnuté, zmenené, stratené alebo zničené?
  • Je InnovateCloud prevádzkovateľ, sprostredkovateľ alebo oboje vo vzťahu k dotknutým údajom?
  • Ide o osobitné kategórie osobných údajov?
  • Ktorí zákazníci alebo jednotlivci sú dotknutí?
  • Sú logy dostatočné na posúdenie rozsahu?
  • Bežia oznamovacie povinnosti podľa GDPR súbežne s povinnosťami podľa NIS2 alebo DORA?

Preto koordinácia ochrany súkromia patrí do eskalácie incidentu, nie do neskorého právneho preskúmania po tom, čo boli systémy znovu vybudované a logy zrotované.

Politika logovania a monitorovania - MSP Politika logovania a monitorovania - MSP uvádza:

Upozornenia s vysokou prioritou musia byť eskalované GM a koordinátorovi ochrany súkromia do 24 hodín

Táto kapitola je jednoduchá, ale rieši reálny vzorec zlyhania. Zodpovedné osoby za ochranu súkromia potrebujú dôkazy, kým sú ešte dostatočne aktuálne na určenie, či došlo k porušeniu ochrany osobných údajov a či jednotlivcom hrozí riziko.

Vytvorte 24-hodinový balík dôkazov pre cezhraničný incident

Praktické cvičenie pripravenosti musí simulovať prvých 24 hodín cezhraničného incidentu. Cieľom nie je nadmerne hlásiť. Cieľom je preukázať, že organizácia vie zhromaždiť fakty, prijímať obhájiteľné rozhodnutia a udržať komunikáciu konzistentnú.

Scenár

Váš MSSP deteguje podozrivý privilegovaný prístup z neobvyklého regiónu voči vášmu produkčnému tenantovi. Tá istá zdrojová infraštruktúra sa objavuje v upozorneniach týkajúcich sa dvoch zákazníkov v dvoch členských štátoch. Jeden zákazník je finančný subjekt. Dotknuté prostredie obsahuje osobné údaje, ale exfiltrácia údajov nie je potvrdená.

Krok 1: Otvorte záznam o incidente

Vytvorte záznam incidentu s použitím schválených klasifikačných polí. Uveďte čas nadobudnutia vedomosti, zdroj detekcie, dotknuté aktíva, dotknuté služby, potenciálne dotknuté krajiny, podozrenie na škodlivú aktivitu, počiatočnú závažnosť a veliteľa incidentu.

Prepojte to s kontrolami ISO/IEC 27002:2022 5.24, 5.25 a 5.26 a s kontrolami prílohy A ISO/IEC 27001:2022 A.5.24, A.5.25 a A.5.26.

Krok 2: Spustite rozhodovací pracovný tok pre kontakt s orgánmi

Použite maticu kontaktov na orgány požadovanú v Zenith Blueprint kroku 22. Identifikujte, ktoré orgány môžu byť relevantné: národný CSIRT, orgán ochrany údajov, finančný regulátor, orgány činné v trestnom konaní a sektorový regulátor.

Zaznamenajte rozhodnutie a jeho odôvodnenie. Ak sa včasné varovanie podľa NIS2 nepodá, zachyťte prečo. Ak je možný cezhraničný vplyv, zaznamenajte dôkazy podporujúce tento záver.

Krok 3: Zachovajte dôkazy pred významnou nápravou

Podniková Politika zberu dôkazov a forenznej analýzy Politika zberu dôkazov a forenznej analýzy uvádza:

Všetky zozbierané dôkazy musia byť jednoznačne identifikované, označené a uložené v zabezpečenom repozitári s:

Politika zberu dôkazov a forenznej analýzy - MSP Politika zberu dôkazov a forenznej analýzy - MSP poskytuje rovnakú disciplínu v jednoduchšej forme:

„Každá položka digitálnych dôkazov musí byť zalogovaná s:“

Z Politiky zberu dôkazov a forenznej analýzy - MSP, časť „Požiadavky na riadenie“, kapitola 5.2.1.

Pre stolové cvičenie zozbierajte vzorové dôkazové položky: export upozornenia zo SIEM, logy poskytovateľa identít, záznamy privilegovaných relácií, snapshot koncového bodu, logy firewallu, cloudové auditné logy, poznámky o vplyve na zákazníkov a schválenia komunikácie.

Krok 4: Aktivujte súčinnosť dodávateľov

Skontrolujte register dodávateľov. Identifikujte MSSP, cloudového poskytovateľa a kritických subdodávateľov. Potvrďte doložky podpory pri incidente, eskalačné kontakty, lehoty uchovávania logov, formát dôkazov a povinnosti spolupráce s orgánmi.

Toto priamo podporuje požiadavky DORA na riziko externých poskytovateľov IKT a očakávania NIS2 v oblasti bezpečnosti dodávateľského reťazca.

Krok 5: Pripravte tri komunikácie

Pripravte tri komunikácie z tej istej faktickej základne:

KomunikáciaÚčelPotrebné dôkazy
24-hodinové včasné varovanie v štýle NIS2Oznámiť nadobudnutie vedomosti o významnom incidente a možný cezhraničný vplyvČas nadobudnutia vedomosti, podozrenie na škodlivú aktivitu, dotknuté služby, členské štáty, počiatočné indikátory
Eskalácia finančnému zákazníkovi v štýle DORAPodporiť finančný subjekt pri klasifikácii IKT incidentu a povinnostiach riadenia rizika tretej stranyVplyv na službu, závislosť kritickej funkcie, zapojenie dodávateľa, odhad obnovy, dostupnosť logov
Poznámka k posúdeniu porušenia ochrany údajov podľa GDPRUrčiť, či je potrebné oznámenie porušenia ochrany osobných údajovRoly pri údajoch, dotknuté kategórie údajov, dôkazy o prístupe, indikátory exfiltrácie, riziko pre jednotlivcov

Krok 6: Uzavrite cvičenie získanými poznatkami

Aktualizujte register rizík, Vyhlásenie o uplatniteľnosti, register dodávateľov a plán reakcie na incidenty. Ak cvičenie odhalí chýbajúce logy, nejasné kontakty na orgány alebo slabé dodávateľské doložky, založte nápravné opatrenia.

Zenith Blueprint, fáza Controls in Action, krok 23, usmerňuje organizácie, aby validovali schopnosti reakcie na incidenty takto:

Vyberte nedávnu udalosť alebo vykonajte stolové cvičenie na validáciu svojho plánu. Zachyťte a zalogujte všetky rozhodnutia, roly a komunikáciu (5.26) a aktualizujte plán o získané poznatky (5.27). Potvrďte, že existujú postupy na zachovanie forenzných dôkazov (5.28), vrátane snapshotov logov, záloh a bezpečnej izolácie dotknutých systémov.

Tento odsek je programom cvičenia pripraveným na audit.

Logovanie: rozdiel medzi koordináciou a špekuláciami

Koordinácia cezhraničných incidentov zlyháva, keď má každý názory a nikto nemá časové pečiatky.

Zenith Blueprint, fáza Controls in Action, krok 19, to vyjadruje jasne:

Logovanie je životnou miazgou každého bezpečného IT prostredia. Bez neho zostávajú incidenty neviditeľné, zodpovednosť za konanie sa stráca a príčinné súvislosti miznú bez stopy.

Pokračuje:

Jadrom logovania je sledovateľnosť. Keď sa niečo pokazí, či už ide o neúspešný pokus o prihlásenie, vymazanie kritických súborov alebo spustenie neautorizovaného skriptu na serveri, logy poskytujú forenznú niť, ktorá vám pomáha rozpliesť, čo sa skutočne stalo.

Pre NIS2 logy podporujú 72-hodinové oznámenie incidentu s počiatočnou závažnosťou, vplyvom a indikátormi kompromitácie. Pre DORA logy podporujú klasifikáciu závažného incidentu súvisiaceho s IKT, analýzu koreňovej príčiny, prevádzkový vplyv a zodpovednosť tretích strán. Pre GDPR logy podporujú posúdenie, či boli osobné údaje sprístupnené alebo poskytnuté. V kontexte Aktu EÚ o kybernetickej solidarite logy podporujú spoločné situačné povedomie bez toho, aby sa tímy reakcie museli spoliehať na špekulácie.

Otázka k logovaniuPrečo je dôležitá pri koordinácii v roku 2026
Viete preukázať, kedy sa začala vedomosť o incidente?Lehoty NIS2 a interné eskalačné lehoty závisia od času nadobudnutia vedomosti
Viete identifikovať dotknuté služby podľa krajiny a zákazníka?Posúdenie cezhraničného vplyvu závisí od služby a geografie
Viete zachovať logy predtým, ako zamedzenie šírenia zmení systémy?Zber dôkazov a analýza koreňovej príčiny závisia od integrity
Viete oddeliť fakty o vplyve na zákazníkov od špekulácií?Externá komunikácia musí byť včasná, ale presná
Viete získať logy od dodávateľov dostatočne rýchlo?Zodpovednosť dodávateľov podľa DORA a NIS2 vyžaduje zmluvný a prevádzkový prístup

Ak je odpoveď na ktorúkoľvek otázku „nie sme si istí“, problém patrí do plánu ošetrenia rizík.

Kontinuita činností a bezpečná krízová prevádzka

Diskusia o Akte EÚ o kybernetickej solidarite sa prirodzene sústreďuje na reakciu na incidenty, ale odolnosť znamená aj udržať kritické služby bezpečné počas narušenia.

NIS2 Article 21 vyžaduje prístup zahŕňajúci všetky hrozby, ktorý pokrýva riešenie incidentov, kontinuitu činností, správu záloh, obnovu po havárii, krízové riadenie, bezpečnosť dodávateľského reťazca, riešenie zraniteľností, posudzovanie účinnosti, kybernetickú hygienu, kryptografiu, bezpečnosť HR, riadenie prístupu, správu aktív, viacfaktorovú autentifikáciu, bezpečnú komunikáciu a zabezpečenú núdzovú komunikáciu tam, kde je to vhodné.

DORA podobne vyžaduje riadenie, riadenie IKT rizík, riadenie incidentov, testovanie odolnosti, riadenie rizika tretích strán, kontinuitu a obnovu. Menšie subjekty môžu mať zjednodušené požiadavky, ale stále potrebujú zdokumentované riadenie IKT rizík, monitorovanie, odolné systémy, riešenie incidentov, identifikáciu závislostí od tretích strán, zálohy, obnovu, testovanie, poincidentné poučenie a školenie.

Podniková Politika kontinuity činností a obnovy po havárii Politika kontinuity činností a obnovy po havárii vychádza z jednoduchej požiadavky:

Plány musia pokrývať:

Za touto formuláciou stoja dôkazy kontinuity, ktoré audítori očakávajú: priority obnovy, cieľové časy obnovy, cieľové body obnovy, harmonogramy zálohovania, testy obnovy, krízové roly, náhradná komunikácia, závislosti od dodávateľov a zlepšovacie opatrenia po cvičení.

Kontroly ISO/IEC 27002:2022 5.29 a 5.30 sú tu kľúčové. Kontrola 5.29 rieši informačnú bezpečnosť počas narušenia. Kontrola 5.30 rieši pripravenosť IKT na kontinuitu činností. V Zenith Controls je plánovanie incidentov podľa 5.24 prepojené s bezpečnosťou počas narušenia a širším plánovaním kontinuity. Je to osobitne relevantné vtedy, keď bežné kanály nie sú dostupné, systémy identít sú degradované alebo krízové tímy musia koordinovať s orgánmi prostredníctvom zabezpečenej núdzovej komunikácie.

Mapa krížového súladu: NIS2, DORA, GDPR, NIST CSF 2.0 a COBIT 2019

CISO nepotrebuje päť samostatných incidentných programov. Potrebuje jeden dôkazový model, na ktorý sa dá pozerať piatimi optikami.

RámecČo chce vidieťDôkazy ISO/IEC 27001:2022, ktoré pomáhajú
NIS2Zodpovednosť manažmentu, riadenie rizík, riešenie incidentov, kontinuita, bezpečnosť dodávateľského reťazca, hlásenie a školenieRozsah ISMS, záznamy vedenia, posúdenie rizík, Vyhlásenie o uplatniteľnosti, plán incidentov, matica orgánov, register dodávateľov, záznamy o školeniach
DORARiadenie IKT, stratégia odolnosti, proces závažných incidentov súvisiacich s IKT, testovanie, riziko externých poskytovateľov IKT a auditovateľnosťRegister IKT rizík, testy kontinuity, dôkazy o incidente, zmluvy s dodávateľmi, plány ukončenia, auditné správy
GDPRBezpečnosť, dôvernosť, preukázateľná zodpovednosť, posúdenie porušenia ochrany údajov a jasnosť rolí pri osobných údajochMapy údajov, záznamy prevádzkovateľ-sprostredkovateľ, prístupové logy, poznámky k posúdeniu porušenia ochrany údajov, kryptografické kontroly, zachovanie dôkazov
NIST CSF 2.0Riadenie, rizikové profily, riziko dodávateľského reťazca, detekcia, reakcia, obnova a komunikáciaAktuálne a cieľové profily, akčný plán medzier, dôkazy monitorovania, playbooky reakcie, validácia obnovy
COBIT 2019 a auditná prax ISACACiele riadenia, zodpovednosť manažmentu, návrh kontrol, monitorovanie výkonnosti a uistenieSprávy pre predstavenstvo, RACI, vlastníctvo kontrol, metriky, výsledky interného auditu, sledovanie nápravných opatrení

Metóda aktuálneho a cieľového profilu NIST CSF 2.0 je osobitne užitočná pre organizácie, ktoré ešte nie sú dostatočne zrelé na plne integrovanú GRC platformu. Povzbudzuje organizácie, aby určili rozsah profilu, zhromaždili vstupy, ako sú politiky, priority podnikových rizík, analýzy vplyvu na podnikanie, požiadavky, normy, postupy, ochranné opatrenia a roly, následne analyzovali medzery a vytvorili prioritizovaný akčný plán. To je blízke praktickému sprintu pripravenosti na Akt EÚ o kybernetickej solidarite: aktuálne dôkazy, cieľové povinnosti, plán medzier, vlastníci, termíny a auditná stopa.

Audítori orientovaní na COBIT 2019 a štýl ISACA sa zvyčajne pýtajú, či sú ciele riadenia vlastnené, merané a monitorované. Neuspokoja sa s tvrdením „rieši to SOC“. Budú sa pýtať, ako riadiace orgány schvaľujú rizikové opatrenia, ako sa vykazuje výkonnosť, ako sa riadi riziko tretích strán, ako sa akceptujú výnimky a ako sa sledujú nápravné opatrenia.

Ako budú audítori testovať ten istý incident

Ten istý incident o 03:17 vytvára rôzne auditné otázky podľa mandátu posudzovateľa.

Audítor ISO/IEC 27001:2022 začne s ISMS. Bude sa pýtať, či je proces incidentov v rozsahu, či požiadavky zainteresovaných strán zahŕňajú NIS2, DORA, GDPR a zmluvy, či posúdenie rizík zohľadnilo cezhraničné a dodávateľské scenáre, či boli kontroly prílohy A vybrané vo Vyhlásení o uplatniteľnosti a či prevádzkové záznamy dokazujú, že proces bol dodržaný.

Orgán alebo posudzovateľ zameraný na NIS2 sa sústredí na zodpovednosť manažmentu, opatrenia riadenia rizík podľa Article 21 a hlásenie podľa Article 23. Môže sa pýtať, kedy organizácia nadobudla vedomosť, prečo incident bol alebo nebol významný, ako bol posúdený cezhraničný vplyv, či boli zákazníci informovaní a či boli nápravné opatrenia prijaté bez zbytočného odkladu.

Dohľadový orgán DORA alebo tím vnútorného auditu sa bude pýtať, či incident ovplyvnil kritické alebo dôležité funkcie, či externí poskytovatelia IKT podporili reakciu, či finančný subjekt zachoval zodpovednosť, či bol register informácií presný, či bol incident správne klasifikovaný a či sa získané poznatky premietli späť do testovania odolnosti a dohľadu nad dodávateľmi.

Audítor GDPR alebo orgán ochrany údajov sa bude pýtať, či organizácia mala dostatok dôkazov na určenie, či došlo k porušeniu ochrany osobných údajov, či boli roly prevádzkovateľa a sprostredkovateľa jasné, či boli dotknuté osoby vystavené riziku, či boli kontroly dôvernosti a integrity primerané a či sa udržiavali záznamy preukázateľnej zodpovednosti.

Posudzovateľ NIST CSF 2.0 prevedie udalosť na výsledky Govern, Identify, Protect, Detect, Respond a Recover. Bude hľadať očakávania zainteresovaných strán, zákonné povinnosti, apetít na riziko, riadenie dodávateľov, logovanie, monitorovanie, vykonanie reakcie, komunikáciu a validáciu obnovy.

Audítor COBIT 2019 alebo ISACA sa sústredí na účinnosť riadenia a systému manažérstva: vlastníctvo, rozhodovacie právomoci, metriky, akceptáciu rizika, výkonnosť procesov, uistenie a neustále zlepšovanie.

Práve tu je Zenith Controls užitočný ako kompas krížového súladu. Nepremenúva oficiálne kontroly ani nevytvára paralelný kontrolný rámec. Ukazuje, ako sa kontroly ISO/IEC 27002:2022, napríklad 5.5, 5.24 a 5.28, prepájajú s prevádzkovými schopnosťami, súvisiacimi kontrolami a dôkazmi relevantnými pre audit.

Vzťah kontrolSynergia pre pripravenosť na Akt EÚ o kybernetickej solidariteKontroly ISO/IEC 27002:2022
Od plánovania k reakciiRobustný plán incidentov zabezpečuje štruktúrovanú reakciu, jasné roly a riadenú komunikáciu5.24 až 5.26
Od reakcie k hláseniuProces reakcie musí zachovať dôkazy obhájiteľným spôsobom na podporu regulačného hlásenia5.26 až 5.28
Od reakcie ku kontaktu s orgánmiPlán reakcie musí obsahovať vopred definované spúšťače a kanály na kontaktovanie národných CSIRT a regulátorov5.26 až 5.5
Od orgánov k spravodajstvuSpolupráca s orgánmi môže poskytnúť spravodajstvo o hrozbách, ktoré sa premieta späť do posúdenia rizík5.5 až 5.7

Čo by mali CISO urobiť teraz pre pripravenosť na rok 2026

Ak sa pripravujete na prevádzkovú realitu Aktu EÚ o kybernetickej solidarite, začnite dôkazmi, nie sloganmi.

Po prvé, aktualizujte kontext ISMS a analýzu zainteresovaných strán. Identifikujte, či vaša organizácia, zákazníci alebo dodávatelia spadajú pod NIS2, DORA alebo GDPR. Zahrňte pôsobnosť v členských štátoch, sektorovú klasifikáciu, kritických zákazníkov, závislosti od IKT služieb a kontakty na orgány.

Po druhé, vykonajte stolové cvičenie cezhraničného incidentu. Použite scenár, ktorý zahŕňa dodávateľa, viac než jeden členský štát, možné sprístupnenie osobných údajov a regulovaného finančného zákazníka. Časovo ohraničte prvých 24 hodín.

Po tretie, preskúmajte zmluvy s dodávateľmi. Potvrďte oznamovacie povinnosti, prístup k logom, forenznú podporu, spoluprácu s orgánmi, prenesené povinnosti na subdodávateľov, umiestnenie údajov, práva na audit, podporu kontinuity a práva na ukončenie.

Po štvrté, otestujte zber dôkazov. Exportujte logy, zachovajte snapshoty, označte dôkazy, zaznamenajte reťazec zverenia a overte prístup do repozitára. Ak vaša politika hovorí, že dôkazy sú jednoznačne identifikované a bezpečne uložené, preukážte to.

Po piate, zosúlaďte komunikáciu o incidente. Vaše včasné varovanie podľa NIS2, eskalácia podľa DORA, posúdenie porušenia ochrany údajov podľa GDPR a oznámenie zákazníkovi si nesmú protirečiť. Môžu mať odlišné právne účely, ale musia vychádzať z tej istej faktickej základne.

Po šieste, zapojte predstavenstvo do cvičenia. NIS2 aj DORA zvyšujú zodpovednosť manažmentu. Kapitoly ISO/IEC 27001:2022 o vedení robia túto oblasť auditovateľnou. Predstavenstvo, ktoré nikdy nevidelo 24-hodinovú kybernetickú oznamovaciu lehotu, nie je pripravené na cezhraničnú krízu.

Ďalšie kroky s Clarysec

Budúcnosť kybernetickej bezpečnosti EÚ stojí na spolupráci a preukázanej dôvere. Organizácie, ktoré budú NIS2 a DORA chápať ako izolované kontrolné zoznamy, budú mať pri cezhraničných incidentoch problémy. Organizácie, ktoré vybudujú prevádzkové systémy podľa ISO/IEC 27001:2022 podložené dôkazmi, budú vedieť s istotou odpovedať regulátorom, zákazníkom, audítorom aj krízovým tímom.

Clarysec pomáha CISO, manažérom súladu, audítorom a vlastníkom organizácií premieňať kybernetickú reguláciu EÚ na prevádzkové dôkazy pripravené na audit prostredníctvom:

  • Zenith Blueprint: 30-kroková cestovná mapa audítora pre štruktúrovanú implementáciu ISO/IEC 27001:2022 a postupnosť auditu.
  • Zenith Controls: Sprievodca krížovým súladom pre mapovanie kontrol incidentov, orgánov, dodávateľov, dôkazov, logovania a kontinuity naprieč rámcami.
  • Šablón politík Clarysec vrátane Politika reakcie na incidenty, Politika zberu dôkazov a forenznej analýzy, Politika bezpečnosti tretích strán a dodávateľov, Politika kontinuity činností a obnovy po havárii, plus verzií pre MSP tam, kde je dôležitá proporcionalita.

Najlepší čas pripraviť sa na koordináciu cezhraničných incidentov je pred upozornením o 03:17. Druhý najlepší čas je dnes.

Začnite preskúmaním pripravenosti s Clarysec, stiahnite si príslušný balík politík alebo požiadajte o predstavenie, ako môžu Zenith Blueprint a Zenith Controls pomôcť vášmu ISMS vytvárať dôkazy, ktoré si kybernetická odolnosť v roku 2026 vyžiada.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article