Zodpovednosť predstavenstva podľa NIS2: dôkazy podľa ISO 27001

E-mail pristál v Máriinej schránke v pondelok ráno o 08:15. Ako CISO rýchlo rastúceho európskeho poskytovateľa cloudových služieb bola zvyknutá na urgentné správy, no táto pôsobila inak.

CFO preposlal bezpečnostný dotazník zákazníka CEO, tajomníkovi predstavenstva a Márii. Predmet bol stručný: „Pred obnovením zmluvy požadujeme dôkazy o zodpovednosti riadiaceho orgánu podľa NIS2.“

Zákazník nežiadal ďalšiu správu z penetračného testovania. Chcel vedieť, či predstavenstvo schválilo opatrenia na riadenie kybernetických rizík, ako dohliadalo na ich implementáciu, či vrcholový manažment absolvoval školenie o kybernetických rizikách, ako sa eskalovali významné incidenty a ako sa dodávateľské riziká preskúmavali na úrovni manažmentu. CEO doplnil jednu vetu: „Mária, aká je naša expozícia a ako preukážeme náležitú starostlivosť? Predstavenstvo to potrebuje budúci týždeň.“

Presne vtedy sa NIS2 stáva realitou pre mnohých poskytovateľov SaaS, cloudových služieb, MSP, MSSP, dátové centrá, fintech spoločnosti a prevádzkovateľov digitálnej infraštruktúry. Smernica (EÚ) 2022/2555 nepovažuje kybernetickú bezpečnosť za problém technického oddelenia. Mení kybernetické riziko na otázku zodpovednosti riadiaceho orgánu.

NIS2 Article 20 vyžaduje, aby riadiace orgány základných a dôležitých subjektov schvaľovali opatrenia na riadenie kybernetických rizík, dohliadali na ich implementáciu a absolvovali školenia. Zároveň umožňuje členským štátom ustanoviť zodpovednosť za porušenia. Article 21 následne definuje praktickú základnú úroveň: analýzu rizík, bezpečnostné politiky, riešenie incidentov, kontinuitu činností, bezpečnosť dodávateľského reťazca, bezpečné obstarávanie a vývoj, posudzovanie účinnosti, kybernetickú hygienu, školenia, kryptografiu, bezpečnosť v oblasti ľudských zdrojov, riadenie prístupu, správu aktív a autentifikáciu.

Pre organizácie, ktoré už používajú ISO/IEC 27001:2022, je táto štruktúra známa. Rozdielom je publikum a dôkazné bremeno. Otázka už neznie len: „Máme bezpečnostné kontroly?“ Znie: „Vie predstavenstvo preukázať, že tieto kontroly schválilo, pochopilo, financovalo, preskúmalo, spochybnilo a zlepšilo?“

Práve tu sa ISO/IEC 27001:2022 stáva obhájiteľným systémom správy a riadenia. Prístup Clarysec spočíva v použití ISO/IEC 27001:2022 ako dôkazového rámca, Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint ako implementačnej trasy, politík Clarysec ako artefaktov pripravených pre predstavenstvo a Zenith Controls: sprievodca krížovým súladom Zenith Controls ako mapovacej príručky naprieč rámcami pre NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 a auditné očakávania.

Prečo zodpovednosť predstavenstva podľa NIS2 mení diskusiu o kybernetickej bezpečnosti

NIS2 nežiada od riaditeľov, aby sa stali firewallovými inžiniermi. Žiada od nich, aby riadili a vykonávali dohľad. Na tomto rozdiele záleží.

CISO môže ukázať správy o zraniteľnostiach, pokrytie MFA, dashboardy ochrany koncových bodov a skóre bezpečnostnej pozície cloudu. Sú to užitočné prevádzkové signály, no samy osebe automaticky nepreukazujú dohľad riadiaceho orgánu. Regulátor, podnikový zákazník, certifikačný audítor alebo posudzovateľ z finančného sektora bude hľadať reťazec dôkazov správy a riadenia:

1. Organizácia posúdila, či sa na ňu NIS2 vzťahuje, a zdokumentovala základ posúdenia.
2. Predstavenstvo alebo vrcholový manažment schválili rámec riadenia kybernetických rizík.
3. Boli definované apetít na riziko a prahové hodnoty tolerancie.
4. Vysoké kybernetické riziká boli eskalované a preskúmané.
5. Rozhodnutia o ošetrení rizík boli schválené vrátane akceptovaného zostatkového rizika.
6. Postupy nahlasovania incidentov zohľadňujú 24-hodinové, 72-hodinové a záverečné oznamovacie povinnosti tam, kde sú uplatniteľné.
7. Závislosti od dodávateľov a cloudové závislosti sú zmapované a riadené.
8. Preskúmanie manažmentom zahŕňa auditné zistenia, trendy incidentov, metriky a opatrenia na zlepšenie.
9. Vrcholový manažment absolvoval školenie primerané svojej zodpovednosti.
10. Rozhodnutia, výnimky a eskalácie sú sledovateľné.

Tu zlyháva mnoho starších bezpečnostných príručiek. Nákup nástroja „v súlade s NIS2“ nepreukazuje dohľad predstavenstva. Podpísanie politiky a jej uloženie do priečinka nepreukazuje implementáciu. Úplné delegovanie kybernetickej bezpečnosti na CISO nenapĺňa povinnosť dohľadu riadiaceho orgánu.

ISO/IEC 27001:2022 tento problém rieši, pretože rámcuje informačnú bezpečnosť ako strategický systém manažérstva založený na rizikách a integrovaný do procesov organizácie. Jeho kapitoly o kontexte, zainteresovaných stranách, zákonných povinnostiach, rozsahu, vedení, posúdení rizík, ošetrení rizík, prevádzkovom riadení, hodnotení výkonnosti, vnútornom audite, preskúmaní manažmentom a neustálom zlepšovaní vytvárajú štruktúru, ktorú predstavenstvo potrebuje na preukázanie náležitej starostlivosti.

Zenith Blueprint to prakticky uchopuje vo fáze ISMS Foundation & Leadership, krok 3:

„Clause 5.1 sa týka vedenia a záväzku. ISO 27001 vyžaduje, aby vrcholový manažment preukázal vedenie tým, že podporuje ISMS, poskytuje zdroje, podporuje povedomie, zabezpečuje priradenie rolí, integruje ISMS do obchodných procesov a podporuje neustále zlepšovanie.“

To je prevádzkový model pre NIS2 Article 20. Predstavenstvo nemusí schvaľovať každý technický ticket, musí však schváliť model správy a riadenia, rozumieť významným rizikám, zabezpečiť zdroje a dohliadať na implementáciu.

Dôkazný balík pre predstavenstvo, ktorý NIS2 skutočne vyžaduje

Častou chybou je pristupovať k dôkazom podľa NIS2 ako k právnemu stanovisku doplnenému priečinkom politík. To seriózneho posudzovateľa uspokojí len zriedka. Zodpovednosť predstavenstva potrebuje dôkaz aktívnej správy a riadenia, nie pasívnu dokumentáciu.

Silný dôkazný balík pre predstavenstvo podľa NIS2 má prepájať zákonné povinnosti s rozhodnutiami predstavenstva, kontrolami a cyklami preskúmania.

Silou tohto balíka je sledovateľnosť. Každý artefakt odpovedá na otázku správy a riadenia a odkazuje na mechanizmus ISO/IEC 27001:2022. CISO, CEO a predstavenstvu to dáva obhájiteľný príbeh: kybernetická bezpečnosť nie je súbor nástrojov, ale riadený systém.

Premena politík na zodpovednosť na úrovni predstavenstva

V úvodnom scenári môže mať Máriin CEO pokušenie odpovedať zákazníkovi certifikátom ISO a niekoľkými politikami. Na zodpovednosť riadiaceho orgánu podľa NIS2 to nestačí. Organizácia potrebuje dôkazy, že zodpovednosť je pridelená, rozhodnutia sú zaznamenané a riziká sa eskalujú objektívne.

Politiky Clarysec sú navrhnuté tak, aby túto sledovateľnosť vytvárali.

Pre menšie organizácie Information Security Policy-sme Politika informačnej bezpečnosti - SME, clause 4.1.1, uvádza, že vrcholový manažment:

„Zachováva celkovú zodpovednosť za informačnú bezpečnosť.“

Táto veta je dôležitá. Bráni častému anti-vzoru, pri ktorom zakladatelia, CEO alebo výkonné tímy neformálne delegujú celú zodpovednosť za bezpečnosť na IT bez toho, aby si ponechali zmysluplný dohľad.

Pre väčšie organizácie Risk Management Policy Politika riadenia rizík, clause 4.1.1, uvádza, že vedenie:

„Schvaľuje rámec riadenia rizík a definuje akceptovateľný apetít na riziko a prahové hodnoty tolerancie.“

To je dôkaz pripravený pre predstavenstvo pre NIS2 Article 20. Vyhlásenie o apetite na riziko, prahové hodnoty tolerancie a formálny model rizikových právomocí ukazujú, ako v praxi funguje schvaľovanie a eskalácia.

Clause 5.6 tej istej politiky dopĺňa:

„Risk Authority Matrix musí jasne definovať prahové hodnoty eskalácie na vrcholový manažment alebo predstavenstvo.“

Toto je jeden z najdôležitejších artefaktov pre správu a riadenie podľa NIS2. Bez prahových hodnôt eskalácie predstavenstvo vidí len to, čo sa niekto rozhodne eskalovať. S prahovými hodnotami sa vysoké zostatkové riziko, nevyriešené kritické zraniteľnosti, významná koncentrácia dodávateľov, závažné incidenty, auditné zistenia a výnimky nad toleranciou automaticky dostávajú pod dohľad vrcholového manažmentu.

Governance Roles and Responsibilities Policy Politika rolí a zodpovedností v oblasti správy a riadenia posilňuje dôkazný reťazec:

„Správa a riadenie musí podporovať integráciu s ostatnými disciplínami (napr. riziko, právne záležitosti, IT, HR) a rozhodnutia ISMS musia byť sledovateľné k svojmu zdroju (napr. auditné záznamy, logy preskúmania, zápisnice zo stretnutí).“

Pre SME Governance Roles and Responsibilities Policy-sme Politika rolí a zodpovedností v oblasti správy a riadenia - SME uvádza:

„Všetky významné bezpečnostné rozhodnutia, výnimky a eskalácie musia byť zaznamenané a sledovateľné.“

Tieto kapitoly premieňajú dohľad predstavenstva z rozhovoru na auditnú stopu.

Dôkazný reťazec ISO/IEC 27001:2022 pre NIS2 Article 20

Predstavenstvo môže operacionalizovať NIS2 Article 20 prostredníctvom jasného dôkazného reťazca podľa ISO/IEC 27001:2022.

Najprv stanovte kontext a rozsah. ISO/IEC 27001:2022 vyžaduje, aby organizácia určila interné a externé otázky, zainteresované strany, zákonné, regulačné a zmluvné požiadavky, hranice ISMS, rozhrania, závislosti a vzájomne pôsobiace procesy. Pre poskytovateľa SaaS alebo cloudových služieb by rozsah ISMS mal výslovne identifikovať služby v EÚ, cloudové prostredia, podporné činnosti, kritických dodávateľov, regulované zákaznícke segmenty a expozíciu voči NIS2.

Po druhé, preukážte vedenie. ISO/IEC 27001:2022 vyžaduje, aby vrcholový manažment zosúladil bezpečnostné ciele so strategickým smerovaním, integroval požiadavky ISMS do obchodných procesov, poskytoval zdroje, komunikoval dôležitosť, priraďoval zodpovednosti a podporoval neustále zlepšovanie. Pre NIS2 sa z toho stáva dôkaz, že riadiaci orgán schválil opatrenia na riadenie kybernetických rizík a dohliadal na ne.

Po tretie, vykonávajte opakovateľné posúdenie a ošetrenie rizík. ISO/IEC 27001:2022 vyžaduje kritériá rizík, identifikáciu rizík, vlastníkov rizík, analýzu pravdepodobnosti a následkov, možnosti ošetrenia, výber kontrol, porovnanie s Annex A, vyhlásenie o uplatniteľnosti, plán ošetrenia rizík a schválenie zostatkového rizika.

Zenith Blueprint, fáza Risk Management, krok 13, výslovne uvádza bod schválenia:

„Schválenie manažmentom: Rozhodnutia o ošetrení rizík a SoA majú byť preskúmané a schválené vrcholovým manažmentom. Manažment má byť informovaný o kľúčových rizikách a navrhovaných ošetreniach, rizikách navrhnutých na akceptáciu a kontrolách plánovaných na implementáciu.“

Pre NIS2 by tento brífing nemal byť jednorazový. Balík pre predstavenstvo má ukazovať aktuálne najvyššie riziká, trend, pokrok v ošetrení, akceptované zostatkové riziko, omeškané opatrenia, expozíciu voči kritickým dodávateľom, témy incidentov a kľúčové metriky účinnosti.

Po štvrté, prevádzkujte a uchovávajte dôkazy. ISO/IEC 27001:2022 clause 8.1 vyžaduje prevádzkové plánovanie a riadenie. Kontroly v Annex A podporujú bezpečnosť dodávateľov, správu a riadenie cloudu, reakciu na incidenty, kontinuitu činností, riadenie zraniteľností, zálohy, logovanie, monitorovanie, bezpečný vývoj, bezpečnosť aplikácií, architektúru, testovanie, outsourcing, oddelenie povinností a riadenie zmien.

Po piate, hodnotiť a zlepšovať. Vnútorný audit, meranie, preskúmanie manažmentom, nápravné opatrenia a neustále zlepšovanie menia katalóg kontrol na riadený systém.

Podniková Information Security Policy Politika informačnej bezpečnosti zakotvuje toto očakávanie preskúmania manažmentom:

„Činnosti preskúmania manažmentom (podľa ISO/IEC 27001 Clause 9.3) sa musia vykonávať aspoň raz ročne a musia zahŕňať:“

Hodnota nespočíva len v tom, že sa stretnutie uskutoční. Hodnota spočíva v tom, že preskúmanie vytvára dôkazy: vstupy, rozhodnutia, opatrenia, vlastníkov, lehoty plnenia a následné sledovanie.

Audit and Compliance Monitoring Policy-sme Politika monitorovania auditov a súladu - SME, clause 5.4.3, uzatvára spätnú väzbu:

„Auditné zistenia a aktualizácie stavu musia byť zahrnuté do procesu preskúmania ISMS manažmentom.“

To je rozdiel medzi „mali sme audit“ a „manažment preskúmal výsledky auditu a nariadil nápravné opatrenia“.

Mapovanie krížového súladu: NIS2, DORA, GDPR, NIST CSF 2.0 a COBIT 2019

NIS2 zriedka prichádza sama. Poskytovateľ cloudových služieb môže spracúvať osobné údaje podľa GDPR. Fintech zákazník môže ukladať požiadavky na dodávateľov odvodené od DORA. Podnikový zákazník z USA môže požadovať zosúladenie s NIST CSF 2.0. Výbor pre audit predstavenstva môže používať jazyk COBIT 2019.

Riešením nie je budovať samostatné priečinky súladu. Riešením je použiť ISO/IEC 27001:2022 ako centrálny dôkazový systém.

Zenith Controls pomáha tímom konsolidovať dôkazy mapovaním ISO/IEC 27002:2022 control 5.4, Management responsibilities, naprieč normami, predpismi a auditnými metódami.

V Zenith Controls záznam pre ISO/IEC 27002:2022 control 5.4 „Management responsibilities“ klasifikuje typ kontroly ako „Preventive“, prepája ho s dôvernosťou, integritou a dostupnosťou a zaraďuje ho pod prevádzkovú spôsobilosť zameranú na správu a riadenie.

Je to dôležité, pretože NIS2 Article 20 je preventívna správa a riadenie. Schválenie a dohľad zo strany vedenia znižujú pravdepodobnosť, že kybernetické riziko zostane neviditeľné, podfinancované alebo neriadené.

Zenith Controls zároveň prepája zodpovednosti manažmentu so súvisiacimi kontrolami ISO/IEC 27002:2022: 5.1 Policies for information security, 5.2 Information security roles and responsibilities, 5.35 Independent review of information security, 5.36 Compliance with policies, rules, and standards for information security a 5.8 Security in project management. Zodpovednosť predstavenstva nemôže stáť osamotene. Potrebuje politiky, roly, uistenie, monitorovanie súladu a integráciu na úrovni projektov.

Širšie krížové mapovanie je obzvlášť užitočné pre vykazovanie vrcholovému manažmentu.

DORA si zaslúži osobitnú pozornosť. NIS2 Article 4 uznáva, že odvetvovo špecifické právne akty EÚ môžu vytlačiť prekrývajúce sa ustanovenia NIS2 tam, kde sa uplatňujú rovnocenné opatrenia riadenia kybernetických rizík alebo oznamovania incidentov. DORA je kľúčovým príkladom pre finančné subjekty. Uplatňuje sa od 17. januára 2025 a vytvára jednotný rámec pre riadenie rizík IKT, nahlasovanie incidentov, testovanie odolnosti, riadenie rizík tretích strán a dohľad vo finančných službách.

Poskytovateľ SaaS alebo cloudových služieb nemusí byť priamo regulovaný ako banka, no DORA k nemu môže stále prísť prostredníctvom zákazníckych zmlúv. Finančné subjekty musia riadiť riziko externých poskytovateľov IKT, viesť registre zmlúv o IKT službách, vykonávať náležitú starostlivosť, posudzovať riziko koncentrácie, zahrnúť práva na audit a kontrolu, definovať práva na ukončenie a udržiavať stratégie ukončenia. To znamená, že poskytovatelia obsluhujúci finančných zákazníkov by mali očakávať požiadavky na dôkazy, ktoré sa veľmi podobajú otázkam správy a riadenia predstavenstva podľa NIS2.

GDPR pridáva zodpovednosť za osobné údaje. Article 5(2) vyžaduje, aby prevádzkovatelia boli zodpovední za súlad a vedeli ho preukázať. Article 32 vyžaduje bezpečnosť spracúvania vrátane pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení. Ak sú dotknuté osobné údaje, pracovné toky incidentov musia paralelne integrovať posúdenie porušenia ochrany osobných údajov podľa GDPR s eskaláciou významného incidentu podľa NIS2.

NIST CSF 2.0 pridáva jazyk vhodný pre vrcholový manažment prostredníctvom funkcie GOVERN. Zdôrazňuje kontext organizácie, stratégiu riadenia rizík, roly a zodpovednosti, politiku, dohľad a riadenie rizík dodávateľského reťazca. COBIT 2019 pridáva slovník správy a riadenia známy výborom pre audit, najmä prostredníctvom EDM03 pre optimalizáciu rizík a cieľov MEA pre monitorovanie a uistenie.

90-dňový dôkazný sprint predstavenstva podľa NIS2

Praktický dôkazný sprint môže organizáciám pomôcť postupovať rýchlo bez vytvárania paralelnej byrokracie.

Dni 1 až 30: Nastaviť zodpovednosť

Začnite registrom zodpovednosti podľa NIS2, ktorý zaznamenáva:

• Analýzu klasifikácie subjektu vrátane odôvodnenia, či ide o základný subjekt, dôležitý subjekt, nepriamu expozíciu alebo subjekt mimo rozsahu.
• Služby v rozsahu, napríklad SaaS, cloud, spravované služby, dátové centrum, DNS, dôveryhodné služby alebo služby súvisiace s komunikáciou.
• Členské štáty EÚ, v ktorých sa služby poskytujú.
• Dotknuté zákaznícke sektory, najmä finančné služby, zdravotníctvo, dopravu, energetiku, verejnú správu a digitálnu infraštruktúru.
• Uplatniteľné povinnosti vrátane NIS2 Article 20, Article 21 a Article 23.
• Súvisiace povinnosti z DORA, GDPR, zákazníckych zmlúv a kybernetického poistenia.
• Vlastníka na úrovni manažmentu a frekvenciu vykazovania predstavenstvu.

Pripojte to ku kontextu ISO/IEC 27001:2022, zainteresovaným stranám, registru povinností a rozsahu ISMS. Následne aktualizujte Risk Authority Matrix s využitím požiadavky Politiky riadenia rizík, aby boli prahové hodnoty eskalácie definované pre vrcholový manažment alebo predstavenstvo.

Užitočné spúšťače eskalácie zahŕňajú zostatkové riziko nad apetítom, neakceptované kritické zraniteľnosti po uplynutí SLA, riziko koncentrácie dodávateľov, nevyriešené závažné auditné zistenia, incidenty, ktoré môžu vyvolať nahlasovanie podľa NIS2, výnimky z požiadaviek na MFA, zálohovanie, logovanie, šifrovanie alebo reakciu na incidenty a významné zmeny cloudovej architektúry.

Dni 31 až 60: Schváliť ošetrenie rizík

Použite Zenith Blueprint krok 13 na prípravu rozhodovacieho balíka pre predstavenstvo k plánu ošetrenia rizík a vyhláseniu o uplatniteľnosti. Balík má obsahovať:

• Top 10 kybernetických rizík.
• Navrhovanú možnosť ošetrenia pre každé riziko.
• Vybrané skupiny kontrol.
• Zostatkové riziko po ošetrení.
• Riziká navrhnuté na akceptáciu.
• Požadované rozpočtové alebo zdrojové rozhodnutia.
• Závislosti od dodávateľov, právneho oddelenia, HR, produktového tímu a IT.
• Požadované rozhodnutie manažmentu.

Výstupom má byť podpísané schválenie alebo schválenie zachytené v zápisnici. Samotná prezentácia nestačí.

Zároveň zmapujte opatrenia NIS2 Article 21 na kapitoly ISO/IEC 27001:2022 a kontroly Annex A. Organizácia tak môže preukázať, že NIS2 rieši prostredníctvom ISMS, a nie oddeleného kontrolného zoznamu.

Dni 61 až 90: Otestovať nahlasovanie incidentov a preskúmať dôkazy

NIS2 Article 23 vyžaduje fázované nahlasovanie významných incidentov: včasné varovanie do 24 hodín, oznámenie incidentu do 72 hodín, priebežné aktualizácie tam, kde sú požadované alebo vyžiadané, a záverečnú správu najneskôr jeden mesiac po oznámení.

Vykonajte stolové cvičenie so sponzorom z predstavenstva, CEO, CISO, právnym oddelením, komunikáciou, customer success a prevádzkou. Použite realistický scenár, napríklad chybnú konfiguráciu cloudu, ktorá sprístupní metadáta zákazníkov, naruší dostupnosť služby a dotkne sa regulovaného zákazníka.

Otestujte, kto rozhoduje o tom, či incident môže byť významný, kto kontaktuje právneho zástupcu, kto oznamuje príslušným orgánom alebo CSIRT tam, kde je to požadované, kto schvaľuje komunikáciu so zákazníkmi, ako sa zachovávajú dôkazy, ako sa paralelne posudzujú povinnosti oznámenia porušenia ochrany osobných údajov podľa GDPR a ako je predstavenstvo informované počas prvých 24 hodín.

Potom uskutočnite formálne preskúmanie manažmentom. Zenith Blueprint, fáza Audit, Review & Improvement, krok 28, vysvetľuje prečo:

„Preskúmanie manažmentom nie je iba prezentácia; ide o prijímanie rozhodnutí.“

Toto preskúmanie má zahŕňať auditné zistenia, pokrok pri ošetrení rizík, pripravenosť na incidenty, riziká dodávateľov, metriky, rozhodnutia, priradené opatrenia a vlastníkov následných krokov.

Preskúmanie manažmentom, ktoré skutočne funguje

Mnohé preskúmania manažmentom zlyhávajú, pretože sú štruktúrované ako stavové aktualizácie. Preskúmanie manažmentom pripravené na NIS2 má byť rozhodovacím stretnutím.

Agenda má zahŕňať:

1. Zmeny v požiadavkách NIS2, DORA, GDPR, zmluvných a zákazníckych požiadavkách.
2. Zmeny v kontexte organizácie, službách, akvizíciách, dodávateľoch, cloudovej architektúre a regulovaných zákazníckych segmentoch.
3. Stav najvyšších rizík informačnej bezpečnosti a zostatkového rizika voči apetítu na riziko.
4. Pokrok plánu ošetrenia rizík a omeškané opatrenia.
5. Trendy incidentov, významné udalosti, takmer vzniknuté incidenty a pripravenosť na nahlasovanie.
6. Riziká dodávateľov a závislostí IKT vrátane koncentrácie a otázok ukončenia.
7. Výsledky vnútorných auditov, externých auditov, zákazníckych posúdení a penetračných testov.
8. Stav absolvovania školenia bezpečnostného povedomia a školenia vrcholového manažmentu.
9. Metriky pre riadenie prístupu, riadenie zraniteľností, zálohy, logovanie, monitorovanie, bezpečný vývoj a testy kontinuity.
10. Požadované rozhodnutia vrátane akceptácie rizika, rozpočtu, personálneho zabezpečenia, výnimiek z politík, nápravy u dodávateľov a zlepšení kontrol.

Školenie vrcholového manažmentu je obzvlášť dôležité. NIS2 Article 20 vyžaduje, aby členovia riadiaceho orgánu absolvovali školenie. Information Security Awareness and Training Policy Politika povedomia a školenia o informačnej bezpečnosti, clause 5.1.2.4, výslovne zahŕňa témy školenia pre vrcholový manažment:

„Vrcholový manažment (napr. správa a riadenie, akceptácia rizika, zákonné povinnosti)“

Školenie vrcholového manažmentu o kybernetických rizikách sa má zamerať na rozhodovacie právomoci, zodpovednosť, eskaláciu, apetít na riziko, krízové riadenie, nahlasovanie incidentov a regulačné povinnosti. Nemá sa obmedziť na povedomie o phishingu.

Ako budú audítori a zákazníci testovať dohľad predstavenstva

Rôzni posudzovatelia použijú odlišný jazyk, no budú testovať rovnakú základnú otázku: je kybernetická bezpečnosť riadená?

Zenith Controls je hodnotný, pretože zahŕňa mapovania auditnej metodiky. Pri zodpovednostiach manažmentu odkazuje na zásady a vykonávanie auditu podľa ISO/IEC 19011:2018, auditné praktiky ISMS podľa ISO/IEC 27007:2020, ISO/IEC 27001:2022 clause 5.1, COBIT 2019 EDM01 a EDM03, ISACA ITAF Section 1401 a NIST SP 800-53A PM-1 a PM-2. Pri nezávislom preskúmaní mapuje na ISO/IEC 27001:2022 clauses 9.2 and 9.3, plánovanie auditu a praktiky dôkazov podľa ISO/IEC 27007, ISACA ITAF Section 2400 a metódy posudzovania NIST. Pri súlade s politikami mapuje na ISO/IEC 27001:2022 clauses 9.1, 9.2 and 10.1, zber dôkazov podľa ISO/IEC 19011, COBIT 2019 MEA01 a posúdenie priebežného monitorovania podľa NIST.

Poučenie je jednoduché. Zodpovednosť predstavenstva sa nepreukazuje samotnou účasťou. Preukazuje sa informovanými rozhodnutiami, zdokumentovanými schváleniami, prioritizáciou na základe rizík, pridelením zdrojov a následným sledovaním.

Časté úskalia, ktoré prerušujú dôkazný reťazec

Organizácie, ktoré majú problém so zodpovednosťou riadiaceho orgánu podľa NIS2, zvyčajne spadajú do predvídateľných vzorcov.

Po prvé, zamieňajú prevádzku technických kontrol za správu a riadenie. Pokrytie MFA, upozornenia SIEM, nasadenie EDR a miera úspešnosti zálohovania sú dôležité, no predstavenstvo potrebuje kontext rizík, rozhodnutia o ošetrení a uistenie, že kontroly fungujú.

Po druhé, schvaľujú politiky, ale nie ošetrenie rizík. Podpísaná bezpečnostná politika nepreukazuje, že predstavenstvo schválilo primerané opatrenia kybernetickej bezpečnosti. Plán ošetrenia rizík a SoA sú silnejšie dôkazy, pretože prepájajú riziká, kontroly, zostatkové riziko a schválenie manažmentom.

Po tretie, chýbajú im prahové hodnoty eskalácie. Bez Risk Authority Matrix závisí eskalácia od osobností. Správa a riadenie podľa NIS2 potrebuje objektívne spúšťače.

Po štvrté, oddeľujú reakciu na incidenty od regulačného oznamovania. Pracovné toky nahlasovania podľa NIS2, DORA a GDPR musia byť integrované ešte pred krízou.

Po piate, ignorujú správu a riadenie dodávateľov. NIS2 Article 21 zahŕňa bezpečnosť dodávateľského reťazca a zohľadnenie zraniteľností dodávateľov. Zákazníci ovplyvnení DORA môžu očakávať hlbšiu správu a riadenie externých poskytovateľov IKT vrátane náležitej starostlivosti, práv na audit, rizika koncentrácie, práv na ukončenie a stratégií ukončenia.

Po šieste, neškolia vrcholový manažment. Školenie vrcholového manažmentu v oblasti kybernetických rizík nie je podľa NIS2 voliteľnou formalitou. Je súčasťou dôkazného reťazca správy a riadenia.

Ako vyzerá dobrý stav

Po 90 dňoch by dôveryhodný priečinok dôkazov predstavenstva podľa NIS2 mal obsahovať:

• Posúdenie uplatniteľnosti.
• Rozsah ISMS a register povinností.
• Vyhlásenie záväzku vedenia.
• Apetít na riziko a prahové hodnoty tolerancie.
• Risk Authority Matrix.
• Register kybernetických rizík.
• Plán ošetrenia rizík.
• Vyhlásenie o uplatniteľnosti.
• Zápisnice o schválení predstavenstvom.
• Záznamy o školení vrcholového manažmentu.
• Správu zo stolového cvičenia incidentu.
• Dashboard dodávateľských rizík.
• Správu z vnútorného auditu.
• Zápisnice z preskúmania manažmentom a sledovanie opatrení.

Tento priečinok odpovedá na zákaznícky dotazník, ktorý Mária dostala v pondelok ráno. Ešte dôležitejšie je, že pomáha predstavenstvu riadiť kybernetické riziko skôr, než organizáciu verejne preverí incident, audit alebo regulátor.

Premeňte zodpovednosť predstavenstva podľa NIS2 na správu a riadenie pripravené na audit

NIS2 zmenila diskusiu o kybernetickej bezpečnosti. Riadiace orgány musia schvaľovať opatrenia na riadenie kybernetických rizík, dohliadať na implementáciu a absolvovať školenia. Article 21 vyžaduje integrovaný súbor technických, prevádzkových a organizačných opatrení. Article 23 stláča nahlasovanie incidentov do fázovanej časovej osi, ktorá vyžaduje prípravu pred krízou.

ISO/IEC 27001:2022 vám poskytuje systém manažérstva. Clarysec vám poskytuje implementačnú trasu, jazyk politík, mapovania krížového súladu a model auditných dôkazov.

Ak sa vaše predstavenstvo pýta: „Čo musíme schváliť a ako preukážeme dohľad?“, začnite tromi krokmi:

1. Použite Zenith Blueprint krok 3, krok 13 a krok 28 na štruktúrovanie záväzku vedenia, schválenia ošetrenia rizík a preskúmania manažmentom.
2. Použite politiky Clarysec, ako sú Politika riadenia rizík, Politika rolí a zodpovedností v oblasti správy a riadenia, Politika informačnej bezpečnosti a ekvivalenty pre SME, na formalizáciu zodpovednosti a sledovateľnosti.
3. Použite Zenith Controls na zmapovanie dohľadu predstavenstva podľa NIS2 do ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 a očakávaní auditnej metodiky.

Clarysec vám môže pomôcť vybudovať balík pre predstavenstvo, aktualizovať dôkazný reťazec ISMS, pripraviť preskúmanie manažmentom a premeniť zodpovednosť podľa NIS2 na opakovateľný proces správy a riadenia kybernetických rizík, ktorému rozumejú audítori, zákazníci aj vrcholový manažment. Stiahnite si príslušné toolkity Clarysec alebo požiadajte o posúdenie, aby ste premenili zodpovednosť predstavenstva na dôkazy pripravené na audit.