ISO 27001: spravodajstvo o hrozbách pre NIS2 a DORA

V utorok ráno o 07:42 dostane CISO európskej fintech spoločnosti ešte pred kávou štyri správy.

Prvou je upozornenie národného CERT, že zraniteľnosť vzdialeného prístupu sa aktívne zneužíva. Druhou je bulletin dodávateľa potvrdzujúci, že dotknutý komponent sa používa v spravovanej službe prenosu súborov. Treťou je notifikácia Managed Detection and Response, ktorá signalizuje nezvyčajnú odchádzajúcu prevádzku z neprodukčnej podsiete. Štvrtá prichádza od CFO: „Ovplyvňuje to náš balík pripravenosti na DORA a musíme niekoho informovať podľa NIS2?“

Toto je problém spravodajstva o hrozbách v roku 2026. Nejde o zhromažďovanie väčšieho počtu informačných kanálov. Ide o preukázanie, že relevantné spravodajské informácie o kybernetických hrozbách sa prijímajú, validujú, smerujú správnym vlastníkom, premietajú do opatrení a menia na dôkazy o rizikách, detekcii, zraniteľnostiach, incidentoch, dodávateľoch a riadení na úrovni predstavenstva.

Mnohé organizácie už odoberajú bezpečnostné upozornenia dodávateľov, upozornenia CISA, aktualizácie ENISA, oznámenia národných CERT, bulletiny ISAC, bezpečnostné notifikácie poskytovateľov cloudových služieb, kanály CVE, reporty MDR, databázy zneužiteľnosti a monitoring dark webu. Keď však príde skutočné upozornenie, tímy stále improvizujú. SOC píše detekčné pravidlo. Infraštruktúrny tím hľadá v inventároch aktív, ktoré nemusia byť aktuálne. Tím súladu sa pýta, či udalosť ovplyvňuje NIS2 alebo DORA. Manažment chce jasnú odpoveď skôr, než organizácia vôbec vie, či je zraniteľný komponent v produkčnom prostredí.

Problémom nie je nedostatok údajov. Problémom je chýbajúci prevádzkový model vhodný na audit.

Informačný kanál o hrozbách, ktorý nikto nepoužíva, nie je kontrolou. Upozornenie na zraniteľnosť, ktoré nezmení prioritu záplaty, nie je dôkazom. Oznámenie dodávateľa, ktoré sa nikdy nedostane do registra rizík, nie je bezpečnosťou dodávateľského reťazca. Upozornenie CSIRT, ktoré neaktualizuje monitorovanie, triedenie incidentov ani výkazníctvo manažmentu, je len šum v doručenej pošte.

Prístup Clarysec je jednoduchý: spravodajstvo o hrozbách sa musí stať prevádzkovým systémom pre rozhodnutia o rizikách. Musí byť zabudované do rozsahu ISMS, posúdenia rizík, vyhlásenia o uplatniteľnosti (SoA), postupov reakcie na incidenty, triedenia zraniteľností, logovania a monitorovania, správy a riadenia dodávateľov, výkazníctva manažmentu a balíka auditných dôkazov.

Prečo je spravodajstvo o hrozbách dnes kontrolou na úrovni predstavenstva

NIS2 zmenila tón riadenia kybernetickej bezpečnosti. Do rozsahu pôsobnosti zahŕňa mnohých poskytovateľov SaaS, poskytovateľov cloudových služieb, poskytovateľov riadených služieb, poskytovateľov riadených bezpečnostných služieb, organizácie digitálnej infraštruktúry a poskytovateľov digitálnych služieb ako základné alebo dôležité subjekty v závislosti od sektora, veľkosti a určenia členským štátom.

Článok 21 NIS2 vyžaduje primerané a úmerné technické, prevádzkové a organizačné opatrenia na riadenie rizík. Patria sem analýza rizík, riešenie incidentov, kontinuita činností, bezpečnosť dodávateľského reťazca, bezpečnosť pri obstarávaní, vývoji a údržbe vrátane riadenia a zverejňovania zraniteľností, hodnotenie účinnosti, základná kybernetická hygiena a školenie, kryptografia, bezpečnosť ľudských zdrojov, riadenie prístupu, správa aktív a MFA alebo priebežná autentifikácia tam, kde je to vhodné.

Článok 20 NIS2 zároveň vyžaduje, aby riadiace orgány schvaľovali opatrenia riadenia kybernetických rizík, dohliadali na ich implementáciu a absolvovali školenie. Pri základných subjektoch môže maximálna správna pokuta dosiahnuť najmenej 10 miliónov EUR alebo 2 percentá celosvetového ročného obratu podľa toho, ktorá hodnota je vyššia. Pri dôležitých subjektoch môže dosiahnuť najmenej 7 miliónov EUR alebo 1,4 percenta.

Pri spravodajstve o hrozbách sa otázka na úrovni predstavenstva mení na: ako vieme, že vznikajúce hrozby menia naše kontroly skôr, než sa z nich stanú incidenty?

DORA pridáva ďalšiu vrstvu pre finančné subjekty a príslušných externých poskytovateľov IKT. Uplatňuje sa od 17. januára 2025 a vyžaduje spoľahlivý, komplexný a riadne zdokumentovaný rámec riadenia rizík IKT integrovaný do celkového systému riadenia rizík. Rámec DORA očakáva, že organizácie budú identifikovať a klasifikovať obchodné funkcie a aktíva podporované IKT, chrániť a predchádzať, detegovať anomálne aktivity, reagovať a obnovovať, riadiť zálohovanie a obnovu, učiť sa z incidentov IKT, komunikovať počas kríz a riadiť riziká externých poskytovateľov IKT.

DORA vyžaduje aj riadenie, klasifikáciu a oznamovanie incidentov súvisiacich s IKT. Články 17, 18 a 19 pokrývajú procesy riadenia incidentov, klasifikáciu incidentov súvisiacich s IKT a kybernetických hrozieb a oznamovanie závažných incidentov súvisiacich s IKT. Článok 10 sa zameriava na detekciu anomálnych aktivít. Články 6 až 11 opisujú rámec riadenia rizík IKT, identifikáciu, ochranu, prevenciu, detekciu, reakciu a očakávania v oblasti obnovy.

Jednoducho povedané, DORA očakáva odolnosť zohľadňujúcu hrozby. Nie statickú odolnosť. Nie odolnosť založenú na ročnej politike. Odolnosť zohľadňujúcu hrozby.

ISO/IEC 27001:2022 poskytuje mechanizmus systému riadenia, ktorý tieto očakávania prepája. Kapitoly 4.1 až 4.4 vyžadujú, aby organizácia rozumela svojmu internému a externému kontextu, zainteresovaným stranám, právnym a regulačným povinnostiam, rozsahu ISMS, závislostiam a vzájomne pôsobiacim procesom. Kapitoly 6.1.1 až 6.1.3 vyžadujú opakovateľný proces posúdenia rizík a ošetrenia rizík, výber kontrol, porovnanie s prílohou A, vyhlásenie o uplatniteľnosti (SoA), plánovanie ošetrenia a schválenie reziduálneho rizika vlastníkom rizika.

Spravodajstvo o hrozbách patrí práve sem: nie ako bočný riadiaci panel, ale ako vstup do kontextu, rizík, výberu kontrol, ošetrenia, monitorovania, preskúmania manažmentom a neustáleho zlepšovania.

Pasca súladu: informačné kanály o hrozbách bez sledovateľnosti rozhodnutí

Najčastejší vzorec zlyhania je zdanlivo jednoduchý: organizácia prijíma spravodajstvo o hrozbách, ale nevie preukázať, ako mení rozhodnutia.

Slabý dôkazový reťazec zvyčajne vyzerá takto:

Práve tu implementačná metóda Clarysec pomáha organizáciám prejsť od „prijímame spravodajské informácie“ k „spravodajské informácie prevádzkovo využívame“.

V Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint fáza Controls in Action výslovne premieňa spravodajstvo o hrozbách na prax vhodnú na audit. Step 22, Organizational controls, uvádza:

Vytvorte zdokumentovaný zoznam zdrojov spravodajstva o hrozbách (5.7) od dodávateľov, ISAC alebo otvorených zdrojov a určte, ako sa spravodajské informácie validujú a integrujú do rozhodovania. Definujte, kto prijíma aktualizácie hrozieb a ako sa používajú (napr. prioritizácia záplat, školenie povedomia). Vytvorte krátky brífing o trendoch hrozieb, ktorý sa štvrťročne distribuuje kľúčovým zainteresovaným stranám.

Tento pokyn je mostom medzi údajmi o hrozbách a dôkazmi súladu. Register spravodajstva o hrozbách nie je len zoznam zdrojov. Preukazuje relevantnosť, vlastníctvo, validáciu, smerovanie, integráciu a využitie pre činnosť organizácie.

Logika kontrol ISO 27001: reťazec spravodajstva o hrozbách

Opatrenie ISO/IEC 27002:2022 5.7, spravodajstvo o hrozbách, vyžaduje, aby organizácie zhromažďovali a analyzovali informácie týkajúce sa hrozieb pre informačnú bezpečnosť a používali ich na tvorbu spravodajstva o hrozbách. V Zenith Controls: The Cross-Compliance Guide Zenith Controls je opatrenie 5.7 klasifikované ako preventívne, detekčné a nápravné. Podporuje dôvernosť, integritu a dostupnosť, je zosúladené s koncepciami kybernetickej bezpečnosti Identify, Detect a Respond a patrí do riadenia hrozieb a zraniteľností ako prevádzková spôsobilosť.

Na tejto klasifikácii záleží. Spravodajstvo o hrozbách predchádza incidentom tým, že usmerňuje bezpečnostné spevňovanie, záplatovanie, školenia a kontroly dodávateľov. Deteguje tým, že formuje monitorovanie, pravidlá SIEM a úlohy proaktívneho vyhľadávania hrozieb. Napráva tým, že zlepšuje reakciu na incidenty, poučenia a ošetrenie rizík.

Zenith Controls zároveň mapuje opatrenie ISO/IEC 27002:2022 5.7 na podporné kontroly:

Prepojenie so zraniteľnosťami je mimoriadne dôležité. Zenith Controls považuje opatrenie 8.8, riadenie technických zraniteľností, za preventívne a priamo prepojené s opatrením 5.7, pretože spravodajstvo o hrozbách z reálneho sveta informuje o tom, ktoré zraniteľnosti sa aktívne zneužívajú. Zároveň prepája 8.8 s 8.16, monitorovacie činnosti, pretože pozorované pokusy o zneužitie majú eskalovať naliehavosť záplatovania.

Vzniká tak praktický reťazec spravodajstva o hrozbách:

1. Prichádza externá alebo interná spravodajská informácia.
2. Relevantnosť sa validuje voči aktívam, dodávateľom, geografii, sektoru, obchodným službám a údajom.
3. Aktualizuje sa riziko.
4. Menia sa priority záplat a konfigurácie.
5. Ladí sa detekčná logika.
6. Preskúmavajú sa postupy reakcie na incidenty a prahy klasifikácie.
7. Kontrolujú sa závislosti od dodávateľov a cloudových služieb.
8. Manažment dostáva trendové reporty.
9. Dôkazy sa uchovávajú pre audítorov, regulátorov a zákazníkov.

Politiky, ktoré menia spravodajské informácie na zodpovedné správanie

Politiky sú miestom, kde sa logika kontrol mení na priradenie zodpovednosti podľa rolí. Súbory politík Clarysec pre MSP a podniky obsahujú väzby na spravodajstvo o hrozbách naprieč riadením rizík, ochranou koncových bodov, riadením zraniteľností, logovaním, monitorovaním a auditnými dôkazmi.

Pre MSP stanovuje Endpoint Protection - Malware Policy Endpoint Protection - Malware Policy - SME priamu požiadavku v kapitole Governance Requirements 5.4.1:

Poskytovateľ IT podpory musí monitorovať dôveryhodné zdroje spravodajstva o hrozbách (napr. CISA, ENISA, významní dodávatelia antivírusového softvéru) a zabezpečiť, aby detekčné signatúry zostávali aktuálne

Hodnota tejto kapitoly spočíva v priradení zodpovednosti. Spravodajstvo o hrozbách nie je „niekto v IT by mal kontrolovať upozornenia“. Je to výslovná povinnosť poskytovateľa.

Vulnerability and Patch Management Policy Vulnerability and Patch Management Policy - SME posilňuje rovnaký model v kapitole Roles and Responsibilities 4.2.1:

Monitoruje systémy z hľadiska zraniteľností a dostupných záplat pomocou upozornení dodávateľov, upozornení zo spravodajstva o hrozbách a notifikácií operačného systému

Zároveň v kapitole Policy Implementation Requirements 6.2.1.3 identifikuje typ zdroja, ktorý má spustiť opatrenie:

Dôveryhodné upozornenia zo spravodajstva o hrozbách (napr. CISA, ENISA, upozornenia národných CERT)

Pre podniky Vulnerability and Patch Management Policy Vulnerability and Patch Management Policy v kapitole Roles and Responsibilities 4.5.1 uvádza:

Monitorujte upozornenia na hrozby (napr. CVE, CISA KEV, bulletiny dodávateľov) a eskalujte kritické zraniteľnosti.

Požiadavka eskalácie je kľúčová. Zraniteľnosť sa stáva naliehavou, keď sa stretnú zneužiteľnosť, expozícia, kritickosť pre činnosť organizácie, citlivosť údajov a aktivita hrozieb.

Risk Management Policy Risk Management Policy začleňuje spravodajstvo o hrozbách do analýzy. Kapitola Policy Implementation Requirements 6.2.2 uvádza:

Analýza musí zohľadniť účinnosť existujúcich kontrol, relevantné spravodajstvo o hrozbách, kritickosť aktív a závažnosť zraniteľností.

Táto kapitola je jadrom spravodajstva o hrozbách pripraveného na audit. Preukazuje, že analýza rizík nie je teoretická.

Logging and Monitoring Policy Logging and Monitoring Policy premieňa spravodajské informácie na detekciu. Jej kapitola Purpose 1.2 uvádza:

Auditné logovanie, monitorovanie a detekcia hrozieb sú kritické pre detekciu anomálií, reakciu na hrozby, forenzné preskúmanie, pripravenosť na audit a súlad s právnymi požiadavkami. Táto politika zabezpečuje, aby všetky systémom generované udalosti boli riadne zaznamenané, uchovávané a korelované s presnosťou založenou na synchronizovanom čase.

Napokon Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy vysvetľuje, prečo je disciplína dôkazov dôležitá. Kapitola Objectives 3.4 vyžaduje, aby organizácia vytvárala dôkazy:

Vytvárať obhájiteľné dôkazy a auditnú stopu na podporu regulačných preverení, právnych konaní alebo požiadaviek zákazníkov na preukázanie súladu.

Keď sa NIS2, DORA, zákazník alebo ISO audítor opýta, čo ste vedeli, kedy ste to vedeli, kto rozhodol a čo sa zmenilo, táto dôkazová stopa je rozdielom medzi zrelým uistením a defenzívnou improvizáciou.

Vytvorte register spravodajstva o hrozbách

Zrelý register má dve vrstvy: správu zdrojov a evidenciu udalostí. Správa zdrojov definuje, čomu organizácia dôveruje, kto to vlastní, ako sa to validuje a aké opatrenie to môže spustiť.

Evidencia udalostí zachytáva, ako sa konkrétne upozornenie stalo dôkazom. Pri návrate k utorkovému rannému scenáru prenosu súborov má záznam v registri obsahovať dostatok informácií na podporu rozhodnutí o riziku, reakcii a súlade.

Toto nie je byrokracia. Je to faktický záznam, ktorý preukazuje, že vaša organizácia má definovaný proces príjmu, validácie, triedenia, eskalácie a uchovávania dôkazov.

Od upozornenia k auditnému dôkazu: praktický pracovný tok

Pracovný tok spravodajstva o hrozbách musí rýchlo odpovedať na šesť otázok: sme vystavení, aké je to závažné, čo sa musí zmeniť, kto je vlastníkom, musíme to oznámiť a aké dôkazy sa musia uchovať?

1. Validujte expozíciu a dopad na činnosť organizácie

Kapitoly ISO/IEC 27001:2022 4.1 až 4.4 vyžadujú, aby ISMS odrážal skutočný kontext, povinnosti a závislosti organizácie. Prvou úlohou nie je slepé záplatovanie. Prvou úlohou je validácia expozície.

Pýtajte sa:

• Používame dotknutú technológiu?
• Je prístupná z internetu?
• Používa ju kritická obchodná služba?
• Spracúva osobné údaje?
• Prevádzkuje ju dodávateľ alebo poskytovateľ riadených služieb?
• Je relevantná pre kritickú alebo dôležitú funkciu podľa DORA?
• Je relevantná pre služby v rozsahu NIS2?
• Existujú zmluvné oznamovacie povinnosti voči zákazníkom?
• Sú logy dostupné, úplné a časovo synchronizované?

Ak môžu byť dotknuté osobné údaje, do analýzy vstupuje aj preukázateľná zodpovednosť podľa GDPR. GDPR vyžaduje primeranú bezpečnosť spracúvania a preukázateľnú zodpovednosť vrátane schopnosti posúdiť, či došlo k porušeniu ochrany osobných údajov a či je potrebné oznámenie.

2. Aktualizujte register rizík

Risk Management Policy Risk Management Policy - SME poskytuje jednoduché pravidlo načasovania v kapitole Governance Requirements 5.1.3:

Riziká sa musia preskúmavať štvrťročne a aktualizovať pri výskyte významných udalostí.

Dôveryhodné upozornenie na aktívne zneužívanie je významná udalosť. Aktualizácia nemá čakať na ďalšie štvrťročné preskúmanie.

Toto priamo nadväzuje na kapitoly ISO/IEC 27001:2022 6.1.1-6.1.3. Organizácia identifikuje riziko, analyzuje pravdepodobnosť a dôsledky, prioritizuje ošetrenie, vyberá kontroly, udržiava vyhlásenie o uplatniteľnosti (SoA), vytvára plán ošetrenia rizík a získava schválenie reziduálneho rizika.

3. Prioritizujte ošetrenie zraniteľnosti pomocou spravodajských informácií o zneužívaní

Zenith Blueprint, fáza Controls in Action, Step 19, Technological Controls I, vysvetľuje, prečo je riadenie zraniteľností základom kybernetickej hygieny:

Riadenie zraniteľností je jednou z najkritickejších oblastí modernej kybernetickej hygieny. Hoci firewally a antivírusové nástroje poskytujú ochranu, môžu byť oslabené, ak zostanú vystavené nezaplátané systémy alebo chybne nakonfigurované služby. Na splnenie tejto kontroly by organizácie mali zaviesť štruktúrovaný a opakovateľný proces identifikácie, posudzovania a riešenia zraniteľností.

Samotné CVSS nestačí. Zraniteľnosť so stredným skóre, ktorá sa aktívne zneužíva na systéme prístupnom z internetu, môže byť naliehavejšia než zraniteľnosť s vysokým skóre ukrytá v segmentovanom laboratóriu.

Výsledkom je obhájiteľné rozhodnutie. Zároveň podporuje článok 21(2)(e) NIS2 pre riešenie zraniteľností, článok 21(2)(g) NIS2 pre kybernetickú hygienu a očakávania DORA v oblasti riadenia rizík IKT.

4. Premeňte spravodajské informácie na monitorovanie a detekciu

Spravodajstvo o hrozbách sa musí dostať do logovania a monitorovania. Logging and Monitoring Policy Logging and Monitoring Policy - SME v kapitole Policy Implementation Requirements 6.2.1 uvádza:

Bezpečnostné nástroje (napr. antivírusový softvér, firewally, VPN) musia byť nakonfigurované tak, aby generovali upozornenia pre definované scenáre hrozieb vrátane:

Úryvok jasne stanovuje zámer kontroly: definované scenáre hrozieb majú riadiť upozorňovanie.

Zenith Blueprint, fáza Controls in Action, Step 19, opisuje monitorovacie činnosti takto:

Ak je logovanie aktom zaznamenávania toho, čo sa deje vo vašom prostredí, monitorovanie je aktom sledovania, porozumenia a reakcie na tieto udalosti. Táto kontrola je o aktívnom pozorovaní sietí, systémov a aplikácií s cieľom detegovať nezvyčajnú aktivitu, nielen spätne, ale podľa možnosti v reálnom čase alebo takmer v reálnom čase.

V scenári prenosu súborov má SOC alebo poskytovateľ IT služieb:

• Pridať alebo validovať IOC z upozornenia CERT a odporúčania dodávateľa.
• Vyhľadať v logoch známe cesty zneužitia, podozrivé nahrávania, indikátory web shellu, nezvyčajné spustenia procesov a neočakávané odchádzajúce spojenia.
• Potvrdiť, že autentifikačné logy, aktivity administrátorov, prístup k súborom, API a sieťové logy sa uchovávajú.
• Vyladiť upozornenia SIEM pre vzor zneužitia.
• Vytvoriť poznámku k prípadu s vysvetlením, čo sa vyhľadávalo, čo sa zistilo a kto to preskúmal.
• Eskalovať na klasifikáciu incidentu, ak indikátory ukazujú kompromitáciu, sprístupnenie údajov alebo dopad na službu.

Tu sa nahlasovanie incidentov stáva praktickým. Článok 23 NIS2 vyžaduje fázované nahlasovanie významných incidentov vrátane včasného varovania do 24 hodín, oznámenia do 72 hodín, priebežných aktualizácií na požiadanie a záverečnej správy najneskôr do jedného mesiaca od oznámenia. DORA vyžaduje od finančných subjektov detegovať, riadiť, klasifikovať a oznamovať závažné incidenty súvisiace s IKT prostredníctvom fázovaného procesu definovaného nariadením a súvisiacimi technickými normami.

Spravodajstvo o hrozbách pomáha určiť, či je organizácia stále vo fáze reakcie na zraniteľnosť, posúdenia bezpečnostnej udalosti alebo regulovaného oznamovania incidentu.

Jeden pracovný tok, viaceré povinnosti súladu

Spravodajstvo o hrozbách je ideálny integrovaný pracovný tok súladu, pretože tie isté dôkazy podporujú viacero režimov.

NIST CSF 2.0 je obzvlášť užitočný pre komunikáciu s vrcholovým manažmentom. Jeho základné funkcie Govern, Identify, Protect, Detect, Respond a Recover menia technické spravodajské informácie na príbeh čitateľný pre predstavenstvo:

• Govern: zdroje spravodajstva o hrozbách, vlastníci a reportovacie línie sú definované.
• Identify: dotknuté aktíva, dodávatelia, obchodné služby a údaje sú zmapované.
• Protect: záplatovanie, bezpečnostné spevňovanie, segmentácia a signatúry koncových bodov sú aktualizované.
• Detect: pravidlá monitorovania, IOC a úlohy proaktívneho vyhľadávania hrozieb sú nasadené.
• Respond: postupy reakcie na incidenty, pravidlá triedenia a prahy oznamovania sú preskúmané.
• Recover: zálohy, priority obnovy a poučenia sú validované.

Tým sa surové spravodajské informácie o kybernetických hrozbách menia na riadenie rizík.

Pohľad audítora: čo si vyžiada

Silný proces spravodajstva o hrozbách má obstáť pri rôznych štýloch auditu. ISO audítor, posudzovateľ NIS2, orgán dohľadu podľa DORA, hodnotiteľ NIST CSF, audítor orientovaný na COBIT 2019, odborník ISACA alebo posudzovateľ ochrany súkromia môžu používať odlišný jazyk, ale všetci sa zbiehajú pri dôkazoch.

Zenith Controls poskytuje pre tieto diskusie výklad naprieč rámcami súladu. Pri kontrole 8.16, monitorovacie činnosti, sprievodca prepája monitorovanie s bezpečnosťou podľa GDPR a zodpovednosťou pri porušení ochrany údajov, s riešením a oznamovaním incidentov podľa NIS2 a s očakávaniami DORA v oblasti detekcie a reakcie. Pri kontrole 8.8, riadenie technických zraniteľností, prepája riešenie zraniteľností s bezpečnosťou spracúvania podľa GDPR, článkom 21(2)(e) NIS2 a proaktívnym riadením rizík IKT podľa DORA.

Toto je zbližovanie dôkazov, ktoré audítori chcú vidieť.

Výkazníctvo manažmentu: štvrťročný brífing o trendoch hrozieb

Register spravodajstva o hrozbách nemá skončiť v SOC. Zenith Blueprint odporúča krátky štvrťročný brífing o trendoch hrozieb pre kľúčové zainteresované strany. Clarysec odporúča jednostranový report pre manažment s piatimi časťami:

1. Tri najrelevantnejšie trendy hrozieb podľa dopadu na činnosť organizácie.
2. Najviac vystavené technológie alebo dodávatelia.
3. Kritické zraniteľnosti, ktoré boli zaplátané, zmiernené alebo akceptované.
4. Zlepšenia detekcie a reakcie.
5. Rozhodnutia vyžadované od manažmentu.

Silný brífing pre manažment neuvádza 400 CVE. Vysvetľuje pohyb rizika. Napríklad:

• Ransomvér zameraný na poskytovateľov riadených služieb zvýšil prioritu preskúmania dodávateľov.
• Zneužívanie platforiem na prenos súborov spustilo núdzové záplatovanie a kompenzačné pravidlo firewallu.
• Útoky na cloudové identity vyvolali preskúmanie výnimiek MFA a bezpečnostné spevnenie podmieneného prístupu.
• Spravodajské informácie sektorového ISAC viedli k novým phishingovým simuláciám pre finančné a podporné tímy.
• Mapovanie kritických funkcií podľa DORA odhalilo jednu medzeru v monitorovaní v pracovnom toku tretej strany.

Tento brífing podporuje zodpovednosť manažmentu podľa NIS2, správu a riadenie rizík IKT podľa DORA, preskúmanie manažmentom podľa ISO/IEC 27001:2022 a uistenie zákazníkov.

Bežné vzorce zlyhania

Programy spravodajstva o hrozbách často vyzerajú zrelo na slajdoch, ale pri audite sú slabé. Najčastejšie vzorce zlyhania sú:

• Príliš veľa informačných kanálov a žiadne kritériá validácie.
• Žiadna väzba medzi spravodajskými informáciami a inventárom aktív.
• Žiadna zdokumentovaná aktualizácia rizika po významných upozorneniach.
• Priorita záplat založená iba na závažnosti zo skenera.
• Upozornenia dodávateľov riešené mimo ISMS.
• Pravidlá SOC aktualizované bez záznamov o zmenách.
• Prahy incidentov nezosúladené s pracovnými tokmi oznamovania podľa NIS2 alebo DORA.
• Reportovanie predstavenstvu zamerané na objem upozornení namiesto rizika pre činnosť organizácie.
• Žiadny dôkaz, že poučenia zmenili kontroly.
• Žiadny vlastník udržiavania registra spravodajstva o hrozbách.

Riešením nie je kúpa ďalšieho informačného kanála. Riešením je integrácia kontrol.

10-bodový kontrolný zoznam pripravenosti na rok 2026

Použite tento zoznam ako praktické interné preskúmanie.

Ak je odpoveď na ktorúkoľvek z týchto otázok „nie“, organizácia nemá len problém so spravodajstvom o hrozbách. Má problém s integráciou ISMS.

Ako Clarysec pomáha premieňať spravodajstvo o hrozbách na dôkazy

Metóda Clarysec je navrhnutá pre organizácie, ktoré potrebujú praktickú bezpečnosť a dôveryhodný súlad zároveň.

Zenith Blueprint poskytuje 30-krokovú implementačnú cestu vrátane Step 22 pre register spravodajstva o hrozbách a Step 19 pre riadenie zraniteľností a monitorovacie činnosti. Podnikové politiky a politiky pre MSP od Clarysec premieňajú tieto očakávania na postupy podľa rolí pre riadenie rizík, riadenie zraniteľností, ochranu koncových bodov, logovanie, monitorovanie a auditné dôkazy. Zenith Controls následne poskytuje výklad naprieč rámcami súladu a ukazuje, ako sa kontroly ISO/IEC 27002:2022 prepájajú s NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 a auditnými dôkazmi.

Pre CISO z utorkového rána je odpoveď CFO jasná:

„Prijali sme upozornenie, validovali expozíciu, aktualizovali register rizík, prioritizovali záplatovanie podľa aktívneho zneužívania, vyladili monitorovanie, skontrolovali závislosť od dodávateľa, posúdili prahy oznamovania incidentov, informovali manažment a uchovali dôkazy. Nehádame. Postupujeme podľa nášho ISMS.“

Takto má v roku 2026 vyzerať spravodajstvo o hrozbách podľa ISO 27001 pre kybernetickú hygienu podľa NIS2 a dôkazy rizík IKT podľa DORA.

Ďalšie kroky

Ak vaša organizácia prijíma spravodajstvo o hrozbách, ale nevie preukázať, ako mení rozhodnutia o rizikách, kontroly, detekciu, reakciu na incidenty, riadenie dodávateľov a regulačné dôkazy, začnite tento týždeň tromi krokmi:

1. Vytvorte alebo aktualizujte register spravodajstva o hrozbách pomocou Zenith Blueprint, fáza Controls in Action, Step 22.
2. Zmapujte svoj aktuálny proces voči kontrolám ISO/IEC 27002:2022 5.7, 8.8, 8.15, 8.16, 8.7 a 5.25 pomocou Zenith Controls.
3. Zosúlaďte svoje politiky, najmä Risk Management Policy, Vulnerability and Patch Management Policy, Logging and Monitoring Policy a Audit and Compliance Monitoring Policy, aby sa každé upozornenie mohlo stať obhájiteľným dôkazom.

Clarysec vám pomôže premeniť informačné kanály o hrozbách, upozornenia, oznámenia dodávateľov, spravodajské informácie o zraniteľnostiach a detekčné signály na prevádzkový model zosúladený s ISO/IEC 27001:2022, pripravený na NIS2 a zohľadňujúci DORA.

Stiahnite si toolkity Clarysec, požiadajte o sprievodnú prezentáciu alebo si objednajte posúdenie pripravenosti a zistite, ako by váš aktuálny proces spravodajstva o hrozbách obstál pred ISO audítorom, posudzovateľom NIS2, orgánom dohľadu podľa DORA alebo pri požiadavke zákazníka na preukázanie súladu.