ISO 27001 ako dôkazová báza pre NIS2 a DORA

Pondelkové ráno a kolízia požiadaviek na súlad

V pondelok o 08:12 dostane Maria, CISO európskeho spracovateľa platieb, tri správy, ktoré na prvý pohľad spolu nesúvisia.

Manažér vnútorného auditu žiada dôkazy, že Vyhlásenie o uplatniteľnosti podľa ISO 27001:2022 je aktuálne. Právny tím preposiela dotazník bankového partnera k dohľadu nad rizikami externých poskytovateľov IKT podľa DORA. Riaditeľ prevádzky sa pýta, či rovnaký postup reakcie na incidenty podporí očakávania NIS2 týkajúce sa oznamovania v novonadobudnutej obchodnej jednotke v EÚ.

O 09:00 je tabuľa v Mariinej kancelárii pokrytá skratkami: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. Jej organizácia má kontroly. Má správu prístupov, zálohy, dodávateľské dotazníky, šifrovanie, reakciu na incidenty, schvaľovanie politík, preskúmania manažmentom a záznamy o školeniach. Chýba jej však jednotná auditne pripravená dôkazová báza, ktorá vysvetľuje, prečo tieto kontroly existujú, ktoré riziká ošetrujú, ktoré predpisy podporujú, kto ich vlastní a kde sa nachádzajú dôkazy.

Tento problém sa v Európe stáva bežným. NIS2 kladie dôraz na riadenie kybernetických rizík, správu a riadenie, riešenie incidentov a odolnosť dodávateľského reťazca. DORA dopĺňa podrobné riadenie rizík IKT, testovanie odolnosti, nahlasovanie incidentov a dohľad nad externými poskytovateľmi IKT pre finančné subjekty. GDPR naďalej vyžaduje preukázateľnú zodpovednosť, bezpečnosť spracúvania, riadenie sprostredkovateľov a posudzovanie porušení ochrany osobných údajov.

Nesprávnou reakciou je vytvoriť tri paralelné programy súladu. Výsledkom sú duplicitné kontroly, nekonzistentné dôkazy a preťažené tímy.

Silnejšou reakciou je použiť ISO 27001:2022 ako základ kontrol. Nie ako certifikát na stene, ale ako prevádzkový systém pre riziká, politiky, správu a riadenie dodávateľov, reakciu na incidenty, mapovanie súladu a auditné dôkazy.

Praktický model Clarysec je jednoduchý: použiť ISMS podľa ISO 27001:2022 ako organizačný systém, použiť Vyhlásenie o uplatniteľnosti ako premostenie, použiť politiky ako vynútiteľné prevádzkové pravidlá a použiť Zenith Controls: sprievodca súladom naprieč predpismi ako kompas pre krížový súlad. Vybudujte raz, mapujte dôsledne, preukazujte priebežne.

Prečo ISO 27001:2022 funguje ako základ súladu

NIS2 a DORA majú rozdielny rozsah, právne mechanizmy a modely dohľadu. NIS2 sa vzťahuje na základné a dôležité subjekty naprieč odvetviami. DORA sa vzťahuje na finančné subjekty a vytvára podrobné požiadavky na digitálnu prevádzkovú odolnosť. GDPR sa zameriava na spracúvanie osobných údajov a preukázateľnú zodpovednosť.

Prevádzkové otázky za týmito rámcami sa však prekrývajú:

• Riadi sa kybernetická bezpečnosť politikami schválenými manažmentom?
• Sú riziká informačnej bezpečnosti a IKT identifikované, posúdené a ošetrené?
• Vyberajú sa kontroly na základe rizika, kontextu organizácie a zákonných povinností?
• Sú dodávatelia riadení prostredníctvom due diligence, zmlúv, monitorovania a kontrol pri ukončení spolupráce?
• Dokáže personál včas rozpoznať a nahlásiť bezpečnostné udalosti?
• Možno incidenty triediť, eskalovať, vyšetrovať a posudzovať z hľadiska regulačného oznámenia?
• Dokáže organizácia rýchlo získať dôkazy počas auditu, zákazníckeho preskúmania alebo dohľadovej kontroly?

ISO 27001:2022 poskytuje vedeniu systém manažérstva na konzistentné zodpovedanie týchto otázok. ISO/IEC 27007:2022 považuje Vyhlásenie o uplatniteľnosti za auditovateľný zoznam vybraných kontrol informačnej bezpečnosti vrátane kontrol z prílohy A ISO 27001:2022, iných noriem alebo opatrení špecifických pre organizáciu, s dokumentovaným odôvodnením zahrnutia alebo vylúčenia. ISO/IEC 27006-1:2024 posilňuje význam SoA a súvisiacej dokumentácie ISMS ako základnej dôkazovej bázy na preukázanie toho, ktoré kontroly sa vyžadujú, ako sú priradené zodpovednosti a ako sa politiky implementujú a komunikujú.

SoA sa tým stáva oveľa viac než tabuľkovým prehľadom. Stáva sa kontrolnou dohodou medzi rizikami, súladom, prevádzkou, právnym oddelením, obstarávaním, auditom a predstavenstvom.

Clarysec [P01] Politika informačnej bezpečnosti ukotvuje túto požiadavku správy a riadenia:

Organizácia musí implementovať a udržiavať systém manažérstva informačnej bezpečnosti (ISMS) v súlade s ISO/IEC 27001:2022, kapitolami 4 až 10.

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.

Je to dôležité, pretože požiadavky na dôkazy podľa NIS2 a DORA zriedka prichádzajú v jazyku ISO. Regulátor, zákazník alebo výbor predstavenstva môže požiadať o dôkaz riadenia kybernetických rizík, správy a riadenia IKT, dohľadu nad závislosťami od tretích strán, eskalácie incidentov alebo testovania prevádzkovej odolnosti. ISMS podľa ISO 27001:2022 dáva týmto odpovediam štruktúru.

SoA je premostenie, nie administratívne cvičenie

V Zenith Blueprint: 30-kroková cestovná mapa audítora, vo fáze riadenia rizík, krok 13, Clarysec opisuje SoA ako kľúčový mechanizmus sledovateľnosti medzi ošetrením rizík a implementovanými kontrolami:

SoA je v praxi premostený dokument: prepája vaše posúdenie a ošetrenie rizík so skutočnými kontrolami, ktoré máte zavedené.

Táto veta je jadrom súladu naprieč predpismi. Kontrola bez sledovateľnosti sa stáva voľným artefaktom. Kontrola prepojená s rizikom, zákonnou povinnosťou, politikou, vlastníkom, dôkazovým záznamom a výsledkom testu je pripravená na audit.

Krok 13 tiež odporúča dopĺňať odkazy na kontroly k rizikovým scenárom, napríklad prepojiť scenár porušenia ochrany zákazníckej databázy s riadením prístupu, kryptografiou, riadením zraniteľností, reakciou na incidenty a kontrolami dodávateľov. Odporúča aj zaznamenať, kedy kontroly podporujú externé požiadavky, ako sú GDPR, NIS2 alebo DORA.

Clarysec [P06] Politika riadenia rizík robí toto prevádzkové pravidlo explicitným:

Rozhodnutia o kontrolách vyplývajúce z procesu ošetrenia rizík musia byť premietnuté do SoA.

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.5.1.

Pre menšie organizácie používa Politika riadenia rizík - MSP rovnakú logiku:

Zabezpečuje, aby bolo riadenie rizík aktívnou súčasťou plánovania, realizácie projektov, výberu dodávateľov a reakcie na incidenty, v súlade s ISO 27001, ISO 31000 a uplatniteľnými regulačnými požiadavkami.

Zo sekcie „Účel“, ustanovenie politiky 1.2.

Ak ošetrenie rizík tretích strán podľa DORA, opatrenie na riešenie incidentov podľa NIS2 alebo bezpečnostná požiadavka na sprostredkovateľa podľa GDPR nie sú premietnuté v SoA alebo v súvisiacom registri súladu, organizácia možno prácu vykonáva. Bude ju však len ťažko preukazovať konzistentne.

Praktické mapovanie ISO 27001:2022 na NIS2 a DORA

Nasledujúce mapovanie nie je právnym poradenstvom. Je to praktický dôkazový model pre CISO, manažérov súladu, interných audítorov a vlastníkov procesov, ktorí potrebujú zosúladiť dôkazy ISO 27001:2022 s očakávaniami NIS2 a DORA.

ENISA v spolupráci s Európskou komisiou a skupinou pre spoluprácu NIS poskytla odporúčacie krížové referencie, ktoré pomáhajú zosúladiť požiadavky EÚ v oblasti kybernetickej bezpečnosti s medzinárodnými a národnými normami vrátane ISO 27001. Toto usmernenie nie je právne záväzné a musí byť doplnené pokynmi vnútroštátnych orgánov, odvetvovými pravidlami a právnym preskúmaním. Podporuje však obhájiteľný prístup k mapovaniu.

Mapovanie funguje, pretože nevytvára duplicitné kontroly pre každý predpis. Používa ISO 27001:2022 ako základ kontrol a dopĺňa regulačné značky, vlastníctvo a očakávania k dôkazom.

Tri kontroly ISO 27001:2022, ktoré odomykajú základ

Pre NIS2 a DORA je dôležitých viacero kontrol, ale tri kontroly ISO/IEC 27002:2022 sa často stávajú chrbticou dôkazového modelu: 5.1, 5.19 a 5.24. Štvrtá kontrola, 6.8, často rozhoduje o tom, či nahlasovanie incidentov funguje aj v praxi.

V Zenith Controls je kontrola ISO/IEC 27002:2022 5.1, Politiky informačnej bezpečnosti, charakterizovaná ako preventívna kontrola podporujúca dôvernosť, integritu a dostupnosť, pričom správa a riadenie a riadenie politík sú jej základnými prevádzkovými schopnosťami. Krížové mapovanie vysvetľuje, že GDPR Articles 5(2), 24 a 32 vyžadujú preukázateľnú zodpovednosť, zodpovednosť a bezpečnosť spracúvania. Tú istú kontrolu mapuje aj na očakávania NIS2 v oblasti riadenia kybernetických rizík a správy a riadenia, ako aj na požiadavky DORA týkajúce sa správy a riadenia IKT a rámca riadenia rizík.

Preto politika informačnej bezpečnosti nie je len ďalšia politika. Posudzovateľ NIS2 ju môže čítať ako dôkaz správy a riadenia. Dohľadový orgán podľa DORA ju môže čítať ako dôkaz rámca riadenia rizík IKT. Preskúmavateľ GDPR ju môže čítať ako dôkaz preukázateľnej zodpovednosti. Audítor ISO 27001:2022 ju môže čítať ako súčasť štruktúry politík ISMS.

Kontrola 5.19, Informačná bezpečnosť vo vzťahoch s dodávateľmi, je miestom, kde sa stretávajú obstarávanie, právne oddelenie, bezpečnosť, ochrana súkromia a odolnosť. Zenith Controls ju mapuje na povinnosti sprostredkovateľov podľa GDPR, kybernetickú bezpečnosť dodávateľského reťazca podľa NIS2 a riadenie rizík externých poskytovateľov IKT podľa DORA. Pri DORA sú tieto dôkazy ešte silnejšie, ak ich podporujú kontroly 5.20, Riešenie informačnej bezpečnosti v dodávateľských zmluvách, 5.21, Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT, a 5.23, Informačná bezpečnosť pri používaní cloudových služieb.

Kontrola 5.24, Plánovanie a príprava riadenia incidentov informačnej bezpečnosti, je prevádzkovým motorom pripravenosti na incidenty. Zenith Controls ju mapuje na riešenie a oznamovanie incidentov podľa NIS2, oznámenia o porušení ochrany osobných údajov podľa GDPR a riadenie a hlásenie incidentov súvisiacich s IKT podľa DORA. Jej dôkazmi nie je iba politika reakcie na incidenty. Patria sem kanály na hlásenie, kritériá triáže, záznamy o eskalácii, právne posúdenia oznamovacej povinnosti, scenárové cvičenia, incidentné tikety a poučenia.

Kontrola 6.8, Hlásenie udalostí informačnej bezpečnosti, uzatvára medzeru medzi písomným plánom a správaním ľudí. Ak personál nevie, ako nahlásiť podozrivý phishing, únik údajov, výpadok dodávateľa alebo podozrivú systémovú aktivitu, organizácia môže stratiť kritický čas ešte pred začiatkom právneho alebo regulačného posúdenia oznamovacej povinnosti.

Jeden dodávateľský incident, jeden koordinovaný dôkazový reťazec

Predstavte si, že poskytovateľ cloudovej analytiky, ktorého využíva Mariin spracovateľ platieb, zistí neoprávnený prístup k portálu podpory. Poskytovateľ hostuje pseudonymizované údaje o používaní zákazníkmi a podporuje reportovací pracovný postup kritický pre činnosť organizácie. Incident môže ovplyvniť osobné údaje, regulovanú odolnosť IKT a dostupnosť služby.

Fragmentovaný program súladu otvorí tri samostatné pracovné prúdy: posúdenie porušenia ochrany údajov podľa GDPR, preskúmanie incidentu IKT podľa DORA a dodávateľský tiket podľa ISO 27001. Každý tím žiada podobné dôkazy v inom formáte. Obstarávanie hľadá zmluvu. Právne oddelenie sa pýta, či je poskytovateľ sprostredkovateľom. Bezpečnosť zisťuje, či incident spĺňa prahové hodnoty hlásenia. Tím súladu začína nový tabuľkový prehľad.

Zrelý základ ISO 27001:2022 otvorí jeden koordinovaný dôkazový reťazec.

Najprv sa udalosť zaeviduje v rámci procesu reakcie na incidenty. Oznamovateľ použije definovaný kanál, bezpečnostný tím vykoná triáž udalosti a právne oddelenie vyhodnotí oznamovacie povinnosti. Clarysec [P30] Politika reakcie na incidenty vyžaduje, aby incidenty s regulovanými údajmi posúdilo právne oddelenie a DPO:

Ak incident vedie k potvrdenému alebo pravdepodobnému sprístupneniu osobných údajov alebo iných regulovaných údajov, právne oddelenie a DPO musia posúdiť uplatniteľnosť:

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.4.1.

Pre menšie organizácie Politika reakcie na incidenty-sme - MSP priraďuje rovnaký praktický rozhodovací bod:

Ak sú dotknuté údaje zákazníkov, generálny manažér musí posúdiť zákonné oznamovacie povinnosti na základe uplatniteľnosti GDPR, NIS2 alebo DORA.

Zo sekcie „Ošetrenie rizík a výnimky“, ustanovenie politiky 7.4.1.

Následne sa preskúma dodávateľský vzťah. Bol poskytovateľ klasifikovaný ako kritický? Obsahovala zmluva povinnosti oznamovania porušenia ochrany údajov, práva na audit, zodpovednosti v oblasti ochrany údajov, očakávania kontinuity služieb a ustanovenia o ukončení? Clarysec Politika bezpečnosti tretích strán a dodávateľov stanovuje toto očakávanie:

Zahrnúť štandardizované bezpečnostné požiadavky do všetkých dodávateľských zmlúv vrátane povinností oznamovania porušenia ochrany údajov, práv na audit a zodpovedností v oblasti ochrany údajov.

Zo sekcie „Ciele“, ustanovenie politiky 3.2.

Pre MSP Politika bezpečnosti tretích strán a dodávateľov-sme - MSP explicitne uvádza účel krížového súladu:

Podporovať súlad s povinnosťami podľa ISO/IEC 27001:2022, GDPR, NIS2 a DORA súvisiacimi so správou a riadením dodávateľov.

Zo sekcie „Ciele“, ustanovenie politiky 3.6.

Po tretie, register rizík, plán ošetrenia rizík a SoA sa aktualizujú, ak incident odhalí medzeru. Možno zmluve s dodávateľom chýba konkrétna regulačná notifikačná lehota. Možno je frekvencia monitorovania dodávateľa príliš nízka pre kritického poskytovateľa IKT. Možno plán reakcie na incidenty jasne nerozlišuje kritériá porušenia ochrany osobných údajov od kritérií prerušenia služby IKT.

Cieľom nie je vytvoriť nový vesmír súladu. Cieľom je aktualizovať jeden integrovaný dôkazový reťazec tak, aby tie isté záznamy vedeli zodpovedať viacero auditných otázok.

Premena SoA na dôkazovú mapu pre NIS2 a DORA

Štandardné SoA často dobre odpovedá na otázky ISO: ktoré kontroly sú uplatniteľné, prečo boli vybrané a či sú implementované. Aby sa z neho stala praktická dôkazová mapa pre NIS2 a DORA, doplňte ho o regulačné a prevádzkové dôkazové polia.

Otvorte SoA_Builder.xlsx z Audit Ready Toolkit uvedeného v Zenith Blueprint, vo fáze Audit, preskúmanie a zlepšovanie, krok 24. Krok 24 vysvetľuje, že audítori často vyberú vzorku kontroly zo SoA a opýtajú sa, prečo bola implementovaná. Stĺpec odôvodnenia a prepojené riziko alebo požiadavka by mali túto otázku zodpovedať.

Pridajte tieto stĺpce:

Teraz ho uplatnite na základný súbor kontrol.

Potom vykonajte vzorové sledovanie. Vyberte jeden dodávateľský incident z posledného roka a sledujte ho od incidentného tiketu k dodávateľskej zmluve, od klasifikácie dodávateľa k registru rizík, od ošetrenia rizika k SoA a od SoA k preskúmaniu manažmentom.

Ak sa reťazec preruší, nie je to zlyhanie. Je to presné nápravné opatrenie predtým, ako medzeru nájde audítor, zákazník, regulátor alebo výbor predstavenstva.

Centralizované dôkazy sú prehliadaným akcelerátorom

Mnohé organizácie majú primerané kontroly, ale slabé získavanie dôkazov. Dôkazy sú roztrúsené v e-mailoch, tiketovacích systémoch, priečinkoch SharePoint, zmluvných repozitároch, HR platformách, GRC nástrojoch a dodávateľských portáloch. Počas auditnej sezóny trávi tím súladu celé týždne zháňaním snímok obrazovky.

To nie je pripravenosť na audit. To je záchranná operácia pred auditom.

Clarysec [P33S] Politika monitorovania auditov a súladu-sme - MSP uvádza:

Všetky dôkazy musia byť uložené v centralizovanom auditnom priečinku.

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.1.

Centralizovaný auditný priečinok neznamená nekontrolované úložisko. Znamená štruktúrované úložisko zosúladené s ISMS, SoA, registrom rizík, plánom auditov a registrom súladu.

Clarysec Politika právneho a regulačného súladu - MSP rieši problém mapovania priamo:

Ak sa predpis vzťahuje na viacero oblastí (napr. GDPR sa vzťahuje na uchovávanie, bezpečnosť a súkromie), musí to byť jasne zmapované v registri súladu a školiacich materiáloch.

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.2.2.

Presne tak sa ISO 27001:2022 stáva základom kontrol pre NIS2 a DORA. Nespoliehate sa na neformálne znalosti jednotlivcov. Mapujete predpisy naprieč procesmi, politikami, kontrolami, dôkazmi a školeniami.

Nahlasovanie incidentov začína ľuďmi, nie portálmi

Bežná slabina pri audite vzniká vtedy, keď plán reakcie na incidenty vyzerá silno, ale zamestnanci nevedia, kedy alebo ako majú incident nahlásiť. Pre NIS2, DORA a GDPR je to nebezpečné, pretože regulačné lehoty posúdenia závisia od detekcie, eskalácie a klasifikácie.

V Zenith Blueprint, vo fáze Kontroly v praxi, krok 16, Clarysec zdôrazňuje nahlasovanie incidentov riadené personálom podľa kontroly ISO/IEC 27002:2022 6.8. Usmernenie uvádza, že reakcia na incidenty začína ľuďmi. Organizácie majú vytvoriť jasný, jednoduchý a dostupný kanál na hlásenie, napríklad monitorovanú e-mailovú adresu, interný portál, horúcu linku alebo kategóriu v tiketovacom systéme. Odporúča aj školenie bezpečnostného povedomia, kultúru hlásenia bez obviňovania, dôvernosť, nízky prah hlásenia a pravidelné simulácie.

Dopad na súlad naprieč predpismi je priamy. Zenith Blueprint prepája túto schopnosť hlásenia zo strany personálu s GDPR Article 33, NIS2 Article 23 a DORA Article 17. Ak zamestnanci váhajú s hlásením podozrivej aktivity, organizácia môže stratiť kritický čas predtým, ako právne, bezpečnostné alebo regulačné tímy posúdia oznamovacie povinnosti.

Praktický test kontroly je jednoduchý:

1. Opýtajte sa piatich zamestnancov, ako majú nahlásiť podozrivý phishingový e-mail.
2. Skontrolujte, či je kanál na hlásenie monitorovaný.
3. Potvrďte, či má tiketovací systém kategóriu bezpečnostného incidentu.
4. Preskúmajte poslednú simuláciu alebo scenárové cvičenie.
5. Overte, že poučenia boli preskúmané v rámci preskúmania manažmentom.

Ak je ktorákoľvek odpoveď nejasná, aktualizujte incidentný inštruktážny list, školiaci materiál, kanál na hlásenie a odkaz na dôkazy v SoA.

Ako rôzni audítori kontrolujú rovnaký základ

Dôkazy pre súlad naprieč predpismi musia obstáť pod rôznymi auditnými uhlami pohľadu. Tá istá kontrola môže byť testovaná odlišne v závislosti od mandátu preskúmavateľa.

Práve tu Zenith Controls prináša hodnotu nad rámec jednoduchej mapovacej tabuľky. Pomáha prekladať kontroly ISO/IEC 27002:2022 do auditne relevantných perspektív vrátane atribútov kontrol, regulačných vzťahov a očakávaní k dôkazom. Pri kontrole 5.1 atribúty podporujú správu a riadenie, riadenie politík, zodpovednosť a bezpečnostné ciele. Pri kontrole 5.24 atribúty podporujú koncepty reakcie a obnovy, pripravenosť na incidenty a nápravné opatrenia. Pri kontrole 5.19 atribúty vzťahu s dodávateľmi prepájajú správu a riadenie, riziko ekosystému, ochranu a dohľad nad tretími stranami.

Čo má vidieť predstavenstvo

Predstavenstvo nepotrebuje každú položku SoA. Potrebuje však príbeh, ktorý SoA rozpráva.

Silný balík pre predstavenstvo k zosúladeniu ISO 27001:2022, NIS2 a DORA má obsahovať:

• Rozsah ISMS a pokryté obchodné služby.
• Najvyššie riziká informačnej bezpečnosti a IKT.
• Súhrn uplatniteľných kontrol podľa oblastí.
• Stav mapovania na NIS2, DORA a GDPR.
• Kritickí dodávatelia a riziká koncentrácie.
• Metriky nahlasovania incidentov a výsledky scenárových cvičení.
• Otvorené nápravné opatrenia a oneskorené ošetrenia rizík.
• Rozhodnutia potrebné k akceptácii rizík, rozpočtu, vlastníctvu a zdrojom.

Tým sa súlad mení na dôkaz správy a riadenia. Zároveň je to v súlade s účelom kontroly 5.1 v Zenith Controls, kde politiky informačnej bezpečnosti podporujú smerovanie na úrovni vrcholového vedenia, zodpovednosť a bezpečnostné ciele.

Bežné chyby, ktorým sa treba vyhnúť

Prvou chybou je predpokladať, že certifikácia ISO 27001:2022 automaticky preukazuje súlad s NIS2 alebo DORA. Nepreukazuje. ISO 27001:2022 poskytuje silný systém manažérstva a základ kontrol, ale stále potrebujete regulačné vymedzenie rozsahu, právnu analýzu, odvetvovo špecifický výklad, notifikačné pracovné postupy a povedomie o očakávaniach vnútroštátnych orgánov.

Druhou chybou je považovať SoA za statické. SoA sa musí vyvíjať, keď vzniknú noví dodávatelia, systémy, incidenty, predpisy, služby alebo riziká. Zenith Blueprint, krok 24, odporúča krížovo overovať SoA voči registru rizík a plánu ošetrenia rizík a zabezpečiť, aby každá vybraná kontrola mala odôvodnenie založené na mapovanom riziku, právnej požiadavke alebo potrebe organizácie.

Treťou chybou je mapovať príliš vysoko. Prezentácia s tvrdením „ISO 27001 sa mapuje na DORA“ nie je auditný dôkaz. Konkrétny záznam v SoA, ktorý prepája bezpečnosť vzťahov s dodávateľmi s rizikom kritického dodávateľa IKT, zmluvnou doložkou, záznamom o preskúmaní dodávateľa a očakávaním DORA na dohľad nad tretími stranami, je oveľa silnejší.

Štvrtou chybou je necentralizovať dôkazy. Ak manažér súladu trávi dva týždne zbieraním snímok obrazovky pred každým auditom, organizácia má problém so získavaním dôkazov.

Piatou chybou je ignorovať opatrenia závislé od ľudí. Nahlasovanie incidentov, zaradenie dodávateľov, revízia prístupových práv, akceptácia politiky a eskalácia závisia od ľudského správania. Vyleštený proces, ktorý nikto nedodržiava, sa pri auditnom vzorkovaní zrúti.

Prevádzkový model Clarysec pre súlad naprieč predpismi

Metóda Clarysec prepája príbeh súladu od stratégie až po dôkazy:

• V Zenith Blueprint, vo fáze riadenia rizík, krok 13, mapujete kontroly na riziká a budujete SoA ako premostený dokument.
• V Zenith Blueprint, vo fáze riadenia rizík, krok 14, krížovo odkazujete požiadavky GDPR, NIS2 a DORA na politiky a kontroly.
• V Zenith Blueprint, vo fáze Kontroly v praxi, krok 16, operacionalizujete nahlasovanie incidentov vykonávané ľuďmi, aby eskalácia začala včas.
• V Zenith Blueprint, vo fáze Audit, preskúmanie a zlepšovanie, krok 24, finalizujete a testujete SoA, krížovo ho overujete voči plánu ošetrenia rizík a pripravujete ho ako jeden z prvých dokumentov, ktoré si audítor vyžiada.

Túto metódu podporujú politiky Clarysec, ktoré menia princípy na prevádzkové pravidlá: správa a riadenie informačnej bezpečnosti, ošetrenie rizík, bezpečnosť dodávateľov, reakcia na incidenty, právne a regulačné mapovanie a uchovávanie dôkazov.

Výsledkom nie je iba pripravenosť na ISO 27001:2022. Je to opakovane použiteľný systém dôkazov súladu pre NIS2, DORA, GDPR, preukazovanie súladu zákazníkom, vnútorný audit a dohľad predstavenstva.

Ďalšie kroky: vybudujte raz, preukazujte opakovane

Ak vaša organizácia čelí NIS2, DORA, GDPR, zákazníckym auditom alebo tlaku na certifikáciu ISO 27001:2022, začnite základom.

1. Preskúmajte svoje SoA a doplňte stĺpce regulačných dôvodov pre NIS2, DORA a GDPR.
2. Krížovo overte SoA voči svojmu registru rizík a plánu ošetrenia rizík.
3. Zmapujte kritických dodávateľov na kontroly bezpečnosti dodávateľov, zmluvné doložky a dôkazy o monitorovaní.
4. Otestujte pracovný postup nahlasovania incidentov scenárovým cvičením.
5. Centralizujte auditné dôkazy podľa kontroly, predpisu, vlastníka a stavu testu.
6. Použite Zenith Controls na preklad kontrol ISO/IEC 27002:2022 do dôkazov súladu naprieč predpismi.
7. Použite Zenith Blueprint na prechod od ošetrenia rizík k validácii SoA pripravenej na audit.
8. Nasaďte súbor politík Clarysec vrátane Politiky informačnej bezpečnosti, Politiky riadenia rizík, Politiky bezpečnosti tretích strán a dodávateľov a Politiky reakcie na incidenty, aby ste urýchlili implementáciu.

Najrýchlejšou cestou nie sú ďalšie odpojené kontrolné zoznamy. Je to jeden integrovaný ISMS, jedno sledovateľné SoA, jeden centralizovaný dôkazový model a jeden prevádzkový rytmus pre súlad naprieč predpismi.

Clarysec vám môže pomôcť premeniť ISO 27001:2022 z certifikačného projektu na praktický základ kontrol pre NIS2 a DORA. Stiahnite si Zenith Blueprint, preskúmajte Zenith Controls alebo si objednajte posúdenie Clarysec a vybudujte auditne pripravený dôkazový model skôr, než si ďalší regulátor, zákazník alebo výbor predstavenstva vyžiada dôkazy.