Navigácia v búrke: ako NIS2 a DORA nanovo definujú európsky regulačný súlad

Smernica EÚ NIS2 a nariadenie DORA menia požiadavky na súlad v oblasti kybernetickej bezpečnosti a vyžadujú prísnejšie riadenie rizík, oznamovanie incidentov a digitálnu prevádzkovú odolnosť. Táto príručka vysvetľuje ich vplyv, ukazuje ich úzke zosúladenie s ISO 27001 a poskytuje praktickú krokovú cestu k pripravenosti pre CISO a vedúcich predstaviteľov organizácií.

Úvod

Európske prostredie regulačného súladu prechádza najvýznamnejšou transformáciou za poslednú generáciu. S termínom transpozície smernice NIS2 v októbri 2024 a plnou uplatniteľnosťou nariadenia DORA od januára 2025 sa definitívne končí obdobie, keď bola kybernetická bezpečnosť vnímaná ako podporná IT funkcia. Tieto dva právne akty predstavujú zmenu paradigmy: kybernetickú bezpečnosť a prevádzkovú odolnosť stavajú do centra podnikovej správy a riadenia a riadiace orgány robia priamo zodpovednými za zlyhania.

Pre CISO, manažérov súladu a vlastníkov organizácií nejde len o ďalší rámec, voči ktorému treba mapovať opatrenia. Ide o mandát na bezpečnostný stav riadený zhora, založený na riziku a preukázateľne odolný. NIS2 rozširuje rozsah svojej predchodkyne na veľký počet „základných“ a „dôležitých“ subjektov, zatiaľ čo DORA zavádza prísne a harmonizované pravidlá pre celý finančný sektor EÚ a jeho kritických poskytovateľov technológií. Stávky sú vyššie, požiadavky podrobnejšie a záväznejšie a sankcie za nesúlad prísne. Tento článok vás prevedie novým prostredím a využije rámec ISO 27001 ako praktický základ na dosiahnutie súladu s NIS2 aj DORA.

O čo ide

Dôsledky nesplnenia povinností podľa NIS2 a DORA výrazne presahujú symbolické upozornenie. Tieto predpisy zavádzajú významné finančné sankcie, osobnú zodpovednosť vedenia a riziko závažného prevádzkového narušenia. Pochopenie závažnosti týchto rizík je prvým krokom k vytvoreniu presvedčivého obchodného odôvodnenia investícií a organizačných zmien.

Najmä NIS2 výrazne zvyšuje finančné riziko. Ako objasňuje naša komplexná príručka Zenith Controls, sankcie sú navrhnuté tak, aby získali pozornosť na úrovni predstavenstva.

Pri základných subjektoch môžu pokuty dosiahnuť až 10 miliónov EUR alebo 2 % celkového celosvetového ročného obratu za predchádzajúci finančný rok, podľa toho, ktorá suma je vyššia. Pri dôležitých subjektoch je maximálna pokuta 7 miliónov EUR alebo 1,4 % celkového celosvetového ročného obratu.

Tieto sumy sú porovnateľné so sankciami na úrovni GDPR, čo signalizuje zámer EÚ dôsledne presadzovať normy kybernetickej bezpečnosti. Hoci sú harmonizované na úrovni EÚ, presné štruktúry sankcií sa môžu mierne líšiť podľa toho, ako jednotlivé členské štáty transponujú NIS2 do vnútroštátneho práva. Riziko však nie je iba finančné. NIS2 zavádza možnosť dočasného zákazu výkonu riadiacich funkcií pre osoby zodpovedné za porušenia, čím sa kybernetická bezpečnosť stáva otázkou osobnej zodpovednosti výkonných riaditeľov a členov predstavenstva.

DORA, hoci je zameraná na finančný sektor, prináša vlastný súbor tlakov. Jej primárnym cieľom je zabezpečiť kontinuitu kritických finančných služieb aj počas významného narušenia IKT. Riziko je v tomto prípade systémové. Zlyhanie jedného finančného subjektu alebo jedného z jeho kritických externých poskytovateľov IKT môže mať reťazový vplyv na celé európske hospodárstvo. Mandát DORA má tomu zabrániť uplatňovaním vysokej úrovne digitálnej prevádzkovej odolnosti. Náklady nesúladu nemusia znamenať len pokuty, ale aj stratu prevádzkových licencií a katastrofickú reputačnú ujmu v sektore postavenom na dôvere.

Rovnako náročný je aj prevádzkový vplyv. Oba predpisy stanovujú prísne lehoty na oznamovanie incidentov. NIS2 vyžaduje počiatočné oznámenie príslušným orgánom do 24 hodín od zistenia významného incidentu a podrobnejšiu správu do 72 hodín. Takto skrátený časový rámec vytvára značný tlak na tímy reakcie na incidenty a vyžaduje zrelé, precvičené procesy, ktoré mnohým organizáciám v súčasnosti chýbajú. Dôraz už nie je len na zamedzenie šírenia a obnovu, ale aj na rýchlu a transparentnú komunikáciu s regulátormi.

Ako vyzerá dobrý stav

V tejto novej ére zvýšenej kontroly už „dobrý stav“ neznamená mať politiky uložené v úložisku ani získať certifikáciu k jednému dátumu. Znamená udržiavať stav nepretržitej a preukázateľnej prevádzkovej odolnosti. Ide o posun od reaktívneho prístupu orientovaného na súlad k proaktívnej kultúre zohľadňujúcej riziká, v ktorej je kybernetická bezpečnosť začlenená do fungovania organizácie. Organizácia, ktorá sa úspešne orientuje v prostredí NIS2 a DORA, bude vykazovať niekoľko kľúčových charakteristík, z ktorých mnohé vychádzajú zo zásad dobre implementovaného systému manažérstva informačnej bezpečnosti (ISMS) založeného na ISO 27001.

Konečným cieľom je stav, v ktorom organizácia dokáže s istotou odolávať narušeniam IKT, reagovať na ne a obnoviť prevádzku, pričom chráni svoje kritické aktíva a služby. Vyžaduje si to hlboké pochopenie obchodných procesov a technológií, ktoré ich podporujú. Ako uvádza Zenith Controls, cieľom týchto predpisov je vytvoriť robustnú digitálnu infraštruktúru v celej EÚ.

Primárnym cieľom smernice NIS2 je dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti v celej Únii. Jej zámerom je zlepšiť odolnosť a kapacity reakcie na incidenty vo verejnom aj súkromnom sektore.

Dosiahnutie tejto „vysokej spoločnej úrovne“ znamená implementovať komplexný bezpečnostný program, ktorý pokrýva správu a riadenie, riadenie rizík, ochranu aktív, reakciu na incidenty a bezpečnosť dodávateľov. Zrelá organizácia bude mať jasnú väzbu od apetítu na riziko na úrovni predstavenstva až po konkrétne technické opatrenia. Vedenie nebude len schvaľovať rozpočet; bude sa aktívne zúčastňovať na rozhodnutiach o riadení rizík, ako to vyžadujú NIS2 (Article 20) aj DORA (Article 5).

Tento cieľový stav je definovaný proaktívnou bezpečnosťou riadenou spravodajskými informáciami. Namiesto samotnej reakcie na upozornenia organizácia aktívne zhromažďuje a analyzuje spravodajské informácie o hrozbách s cieľom predvídať a zmierňovať potenciálne útoky. To je priamo zosúladené s ISO/IEC 27002:2022 Control 5.7 (spravodajské informácie o hrozbách), pričom ide o prax, ktorá je dnes výslovným očakávaním podľa oboch nových predpisov.

Odolnosť sa navyše testuje, nepredpokladá sa. „Dobrý stav“ predstavuje organizácia, ktorá pravidelne vykonáva realistické testy svojich plánov reakcie na incidenty a plánov kontinuity činností. Pri určených finančných subjektoch podľa DORA sa to môže rozšíriť na pokročilé penetračné testovanie vedené hrozbami (Threat-Led Penetration Testing, TLPT), teda prísnu simuláciu realistických scenárov útoku. Nie každá organizácia bude patriť do rozsahu pôsobnosti, ale pre tie, ktoré doň patria, je TLPT záväznou požiadavkou. Táto kultúra testovania zabezpečuje, že plány nie sú len teoretické dokumenty, ale použiteľné playbooky fungujúce pod tlakom.

Väzba na tematické oblasti opatrení ISO 27001:2022

Opatrenia v prílohe A normy ISO 27001:2022, rozpracované v ISO/IEC 27002:2022, tvoria základ moderného ISMS. Ako zdôrazňuje príručka Zenith Controls: The Cross-Compliance Guide,

Opatrenia ako A.5.7 (spravodajské informácie o hrozbách), A.5.23 (informačná bezpečnosť pri používaní cloudových služieb) a A.5.29 (vzťahy s dodávateľmi) sú priamo uvádzané v implementačných usmerneniach k NIS2 aj DORA, čo podčiarkuje ich význam pre súlad naprieč regulačnými požiadavkami. Organizácie, ktoré tieto opatrenia plne implementujú a preukazujú ich dôkazmi, majú dobrú východiskovú pozíciu, stále však musia riešiť konkrétne požiadavky na oznamovanie, správu a riadenie a odolnosť zavedené novými predpismi.

Praktická cesta: krokové usmernenie

Dosiahnutie súladu s NIS2 a DORA sa môže zdať ako rozsiahla úloha, ale po rozdelení na kľúčové bezpečnostné oblasti je zvládnuteľná. Využitím štruktúrovaného prístupu ISMS zosúladeného s ISO 27001 môžu organizácie systematicky budovať potrebné schopnosti. Nasleduje praktická cesta založená na etablovaných politikách a osvedčených postupoch.

1. Zaviesť silnú správu, riadenie a preukázateľnú zodpovednosť

Oba predpisy kladú konečnú zodpovednosť na „riadiaci orgán“. To znamená, že kybernetickú bezpečnosť už nemožno delegovať výhradne na IT oddelenie. Predstavenstvo musí rozumieť rámcu riadenia rizík kybernetickej bezpečnosti, dohliadať naň a schvaľovať ho.

Prvým krokom je formálne upraviť túto štruktúru. Politiky organizácie musia odrážať tento prístup riadený zhora. Podľa P01S Politika informačnej bezpečnosti – MSP, základného dokumentu každého ISMS, samotný rámec politík vyžaduje výslovné schválenie vrcholovým vedením.

Politiky informačnej bezpečnosti musia byť schválené vedením, zverejnené a komunikované zamestnancom a relevantným externým stranám.

To znamená, že vedenie sa aktívne podieľa na určovaní smerovania. Tento prístup ďalej posilňuje definovanie jasných rolí. P02S Politika rolí a zodpovedností v oblasti správy a riadenia – MSP uvádza, že „zodpovednosti za informačnú bezpečnosť musia byť definované a pridelené“, čím sa odstraňuje nejasnosť v tom, kto vlastní jednotlivé časti bezpečnostného programu. Pri NIS2 a DORA to musí zahŕňať určenú osobu alebo výbor zodpovedný za priame podávanie správ o stave súladu riadiacemu orgánu.

Kľúčové kroky:

• Určiť sponzora kybernetickej bezpečnosti a odolnosti na úrovni predstavenstva.
• Naplánovať pravidelné preskúmania výkonnosti ISMS a regulačného súladu predstavenstvom.
• Dokumentovať rozhodnutia, prijaté opatrenia a dôkazy dohľadu.

2. Implementovať komplexný rámec riadenia rizík

Prehodnoťte a aktualizujte svoj proces posudzovania rizík. Ako uvádza Implementačná príručka k metodike posudzovania rizík, „NIS2 a DORA vyžadujú dynamické posúdenia rizík vedené hrozbami, ktoré presahujú statické ročné preskúmania. Organizácie musia integrovať spravodajské informácie o hrozbách (A.5.7) a zabezpečiť aktualizáciu posúdení rizík v reakcii na zmeny prostredia hrozieb alebo podnikateľského prostredia.“ Zenith Controls. NIS2 ide nad rámec všeobecného posúdenia rizík tým, že v Article 21 vyžaduje konkrétne opatrenia na riadenie rizík vrátane bezpečnosti dodávateľského reťazca, riešenia incidentov, kontinuity činností a používania kryptografie. Tieto požiadavky musia byť preukázateľne implementované a pravidelne preskúmavané, čo jasne ukazuje, že súlad nie je len o dokumentácii, ale o preukázateľných prevádzkových postupoch.

Kľúčové kroky:

• Zahrnúť spravodajské informácie o hrozbách v reálnom čase do posúdení rizík.
• Zabezpečiť, aby posúdenia rizík výslovne pokrývali dodávateľský reťazec a riziká externých poskytovateľov IKT (A.5.29).
• Zdokumentovať proces preskúmania a aktualizácie a podložiť ho dôkazmi.

Tento proces má byť nepretržitý a iteratívny, nie každoročná formálna aktivita. Zahŕňa všetko od bezpečnosti dodávateľského reťazca až po bezpečnostné povedomie zamestnancov.

3. Posilniť reakciu na incidenty a oznamovanie

Prísne lehoty na oznamovanie podľa NIS2 (počiatočné oznámenie do 24 hodín) a podrobná klasifikačná a oznamovacia schéma podľa DORA vyžadujú vysoko zrelú funkciu riadenia incidentov. Nestačí len SOC; potrebný je jasne definovaný a precvičený plán.

P30S Politika reakcie na incidenty – MSP poskytuje návrh tejto schopnosti. Zdôrazňuje, že „organizácia musí plánovať a pripraviť sa na riadenie incidentov informačnej bezpečnosti definovaním, zavedením a komunikovaním procesov, rolí a zodpovedností riadenia incidentov informačnej bezpečnosti.“ Reakcia na incidenty je kľúčovým bodom NIS2 aj DORA. Politika riadenia incidentov informačnej bezpečnosti (časť 4.2) uvádza:

Organizácie musia implementovať postupy na detekciu, oznamovanie a reakciu na incidenty v lehotách vyžadovaných príslušnými predpismi a viesť podrobné záznamy na účely auditu.

Kľúčové prvky implementácie zahŕňajú:

• Jasnú definíciu „významného incidentu“, ktorý spúšťa lehotu na oznamovanie podľa NIS2 a DORA.
• Vopred definované komunikačné kanály a šablóny na oznamovanie regulátorom, CSIRT a ďalším zainteresovaným stranám.
• Pravidelné cvičenia a stolové simulácie, aby tím reakcie dokázal plán účinne vykonať pod tlakom.
• Procesy preskúmania po incidente, ktoré umožnia poučiť sa z každej udalosti a priebežne zlepšovať schopnosť reakcie.

4. Posilniť riadenie rizík dodávateľského reťazca a tretích strán

Najmä DORA povyšuje riadenie rizík externých poskytovateľov IKT z činnosti due diligence na základnú disciplínu prevádzkovej odolnosti. Finančné subjekty sú teraz výslovne zodpovedné za odolnosť svojich kritických poskytovateľov IKT. NIS2 takisto vyžaduje, aby subjekty riešili riziká vyplývajúce z ich dodávateľov.

Politika bezpečnosti tretích strán a dodávateľov, časť 5.2 – MSP vyžaduje, aby:

Pred začatím spolupráce bol každý dodávateľ preskúmaný z hľadiska potenciálnych rizík.

Zároveň uvádza potrebné opatrenia: „požiadavky organizácie na informačnú bezpečnosť musia byť dohodnuté s dodávateľmi a zdokumentované.“ Pri DORA a NIS2 to ide ešte ďalej:

• Viesť register všetkých externých poskytovateľov IKT s jasným odlíšením tých, ktorí sa považujú za „kritických“.
• Zabezpečiť, aby zmluvy obsahovali konkrétne ustanovenia pokrývajúce bezpečnostné opatrenia, práva na audit a stratégie ukončenia. DORA je v tejto oblasti veľmi preskriptívna.
• Vykonávať pravidelné posúdenia rizík kritických dodávateľov, nielen pri ich zavedení, ale počas celého životného cyklu vzťahu.
• Vypracovať pohotovostné plány pre prípad zlyhania alebo ukončenia vzťahu s kritickým dodávateľom s cieľom zabezpečiť kontinuitu služieb.

5. Budovať a testovať odolnosť

Napokon, oba predpisy sú vo svojej podstate o odolnosti. Organizácia musí byť schopná zachovať kritické činnosti počas kybernetického incidentu aj po ňom. Vyžaduje si to komplexný program riadenia kontinuity činností (BCM).

Politika kontinuity činností a obnovy po havárii – MSP zdôrazňuje potrebu začleniť bezpečnosť do plánovania BCM. Uvádza: „organizácia musí určiť svoje požiadavky na informačnú bezpečnosť a kontinuitu riadenia informačnej bezpečnosti v nepriaznivých situáciách.“ To znamená, že plány BCM a obnovy po havárii (DR) musia byť navrhnuté s ohľadom na kybernetické útoky. Kľúčové kroky zahŕňajú:

• Vykonanie analýz vplyvu na podnikanie (BIA) s cieľom identifikovať kritické procesy a ich cieľové časy obnovy (RTO).
• Vypracovanie a zdokumentovanie plánov BCM a DR, ktoré sú jasné, vykonateľné a dostupné.
• Pravidelné testovanie týchto plánov prostredníctvom realistických scenárov vrátane simulácií kybernetických útokov. Požiadavka DORA na penetračné testovanie vedené hrozbami pre určené subjekty predstavuje vrchol tejto praxe.

Dodržaním týchto krokov a ich začlenením do ISMS zosúladeného s ISO 27001 môžu organizácie vybudovať obhájiteľný a účinný program súladu, ktorý spĺňa vysokú úroveň požiadaviek stanovenú NIS2 aj DORA.

Prepájanie súvislostí: poznatky k súladu naprieč požiadavkami

Jedným z najefektívnejších spôsobov, ako uchopiť NIS2 a DORA, je rozpoznať ich významný prienik s existujúcimi, globálne uznávanými normami, najmä s rámcom ISO/IEC 27001 a 27002. Pohľad na tieto nové predpisy cez optiku opatrení ISO umožňuje organizáciám využiť existujúce investície do ISMS a vyhnúť sa budovaniu všetkého odznova.

Zenith Controls poskytuje zásadné krížové odkazy, ktoré tieto väzby objasňujú a ukazujú, ako jedno opatrenie z ISO/IEC 27002:2022 môže pomôcť splniť požiadavky viacerých predpisov.

Správa a riadenie a politika (ISO/IEC 27002:2022 Control 5.1): Mandát na dohľad riadiaceho orgánu je základným pilierom NIS2 aj DORA. Je plne zosúladený s Control 5.1, ktorá sa zameriava na ustanovenie jasných politík informačnej bezpečnosti. Ako vysvetľuje Zenith Controls, toto opatrenie je základom na preukázanie záväzku vedenia.

Táto kontrola priamo podporuje NIS2 Article 20, ktorý robí riadiace orgány zodpovednými za dohľad nad implementáciou opatrení riadenia rizík kybernetickej bezpečnosti. Zároveň je zosúladená s DORA Article 5, ktorý vyžaduje, aby riadiaci orgán definoval, schvaľoval a dohliadal na rámec digitálnej prevádzkovej odolnosti.

Implementáciou robustného rámca politík schváleného a pravidelne preskúmavaného vedením vytvárate primárne dôkazy potrebné na splnenie týchto kľúčových článkov správy a riadenia.

Riadenie incidentov (ISO/IEC 27002:2022 Control 5.24): Náročné požiadavky oboch predpisov na oznamovanie incidentov sa priamo riešia zrelým plánom riadenia incidentov. Control 5.24 (plánovanie a príprava riadenia incidentov informačnej bezpečnosti) poskytuje štruktúru pre túto oblasť. Zosúladenie je výslovné:

Táto kontrola je nevyhnutná pre súlad s NIS2 Article 21(2), ktorý vyžaduje opatrenia na riešenie bezpečnostných incidentov, a Article 23, ktorý stanovuje prísne lehoty na oznamovanie incidentov. Zároveň sa mapuje na podrobný proces riadenia incidentov podľa DORA opísaný v Article 17, ktorý zahŕňa klasifikáciu a oznamovanie závažných incidentov súvisiacich s IKT.

Dobre zdokumentovaný a otestovaný plán reakcie na incidenty založený na tomto opatrení nie je len osvedčený postup; je to priama podmienka súladu s NIS2 a DORA.

Riziko externých poskytovateľov IKT (ISO/IEC 27002:2022 Control 5.19): Intenzívne zameranie DORA na dodávateľský reťazec je jednou z jej určujúcich charakteristík. Control 5.19 (informačná bezpečnosť vo vzťahoch s dodávateľmi) poskytuje rámec na riadenie týchto rizík. Zenith Controls zdôrazňuje túto kľúčovú väzbu:

Táto kontrola je zásadná pri riešení rozsiahlych požiadaviek kapitoly V DORA na riadenie rizika externých poskytovateľov IKT. Podporuje aj NIS2 Article 21(2)(d), ktorý vyžaduje, aby subjekty zabezpečili bezpečnosť svojich dodávateľských reťazcov vrátane vzťahov medzi každým subjektom a jeho priamymi dodávateľmi.

Implementácia procesov opísaných v Control 5.19, ako je preverovanie dodávateľov, zmluvné dohody a priebežné monitorovanie, buduje presne tie schopnosti, ktoré DORA a NIS2 vyžadujú.

Kontinuita činností (ISO/IEC 27002:2022 Control 5.30): V jadre DORA stojí odolnosť. Control 5.30 (pripravenosť IKT na kontinuitu činností) je ekvivalentom tejto zásady v rámci ISO. Väzba je priama a silná.

Táto kontrola je základným kameňom na splnenie hlavného cieľa DORA, ktorým je zabezpečiť kontinuitu činností a odolnosť systémov IKT. Priamo podporuje požiadavky uvedené v kapitole III DORA (testovanie digitálnej prevádzkovej odolnosti) a kapitole IV (riadenie rizika externých poskytovateľov IKT). Zároveň je zosúladená s NIS2 Article 21(2)(e), ktorý vyžaduje politiky kontinuity činností, napríklad správu záloh a obnovu po havárii.

Budovaním programu BCM okolo tohto opatrenia zároveň budujete základ pre súlad s DORA. To ukazuje, že ISO 27001 nie je paralelnou líniou, ale priamym nástrojom na splnenie nových európskych regulačných požiadaviek.

Rýchly prehľad: príloha A ISO 27001 vs NIS2 vs DORA

Toto zosúladenie ukazuje, ako môže jedno opatrenie ISO pomôcť splniť viaceré regulačné požiadavky, čím sa ISO 27001 stáva priamym nástrojom na dosiahnutie súladu s NIS2 a DORA.

Príprava na kontrolu: na čo sa budú audítori pýtať

Keď prídu regulátori alebo audítori, budú hľadať hmatateľné dôkazy o živom programe bezpečnosti a odolnosti, nie iba súbor dokumentov. Budú overovať, či sú politiky implementované, opatrenia účinné a plány otestované. Pochopenie ich zamerania vám umožní pripraviť správne dôkazy a zabezpečiť, aby tímy vedeli odpovedať na náročné otázky.

Usmernenie z Zenith Blueprint, audítorský plán, poskytuje cenný pohľad na to, čo možno očakávať. Audítori budú systematicky prechádzať kľúčové oblasti a na každú z nich musíte byť pripravení.

Nasleduje kontrolný zoznam toho, čo audítori budú požadovať a čo budú robiť podľa svojej metodiky:

1. Správa a riadenie a záväzok vedenia:

• Čo budú požadovať: zápisnice zo zasadnutí predstavenstva, štatúty rizikových výborov a schválené kópie hlavných politík informačnej bezpečnosti.
• Čo budú robiť: Ako je opísané v Zenith Blueprint, „fáza 1, krok 3: pochopenie rámca správy a riadenia“, audítori budú „overovať, že riadiaci orgán formálne schválil politiku ISMS a je pravidelne informovaný o rizikovom profile organizácie.“ Budú hľadať dôkazy aktívneho zapojenia, nie iba podpis na rok starom dokumente.

2. Riadenie rizík tretích strán:

• Čo budú požadovať: úplnú evidenciu dodávateľov IKT, zmluvy s kritickými poskytovateľmi, správy z posúdení rizík dodávateľov a dôkazy priebežného monitorovania.
• Čo budú robiť: Počas „fázy 4, kroku 22: posúdenie riadenia rizík tretích strán“ bude dôraz audítora na due diligence a zmluvnú dôslednosť. Zenith Blueprint uvádza kľúčové požadované dôkazy: „zmluvy, dohody o úrovni služieb (SLA) a auditné správy od dodávateľov.“ Audítori budú tieto dokumenty podrobne skúmať, aby overili, že obsahujú konkrétne ustanovenia vyžadované DORA, napríklad práva na audit a jasné bezpečnostné povinnosti.

3. Plány reakcie na incidenty a kontinuity činností:

• Čo budú požadovať: plán reakcie na incidenty, plán kontinuity činností, plán obnovy po havárii a predovšetkým výsledky najnovších testov, cvičení a simulácií.
• Čo budú robiť: Audítori nebudú plány iba čítať. Ako je uvedené v „fáze 3, kroku 15: preskúmanie plánov reakcie na incidenty a kontinuity činností“, ich dôraz bude na „testovanie a validáciu plánov.“ Budú požadovať správy po vykonaných stolových simuláciách, výsledky penetračného testovania (najmä správy TLPT pre DORA) a dôkazy, že zistenia z týchto testov boli sledované až po nápravu. Plán, ktorý nikdy nebol otestovaný, audítor považuje za plán, ktorý v praxi neexistuje.

4. Bezpečnostné povedomie a školenie:

• Čo budú požadovať: školiace materiály, záznamy o absolvovaní školení pre rôzne skupiny zamestnancov vrátane riadiaceho orgánu a výsledky phishingových simulácií.
• Čo budú robiť: V „fáze 2, kroku 10: hodnotenie bezpečnostného povedomia a školenia“ audítori „posúdia účinnosť školiaceho programu preskúmaním jeho obsahu, frekvencie a miery absolvovania.“ Budú chcieť vidieť, že školenie je prispôsobené konkrétnym rolám a že sa meria jeho účinnosť.

Pripravenosť s týmito dôkazmi vopred premení audit zo stresujúcej reaktívnej aktivity na plynulé preukázanie zrelosti organizácie a jej záväzku k odolnosti.

Časté úskalia

Hoci je cesta k súladu s NIS2 a DORA jasná, viaceré časté úskalia môžu zablokovať aj dobre mienené úsilie. Ich poznanie je prvým krokom k tomu, aby ste sa im vyhli.

1. Mentalita „iba IT“: Považovať NIS2 a DORA za problém výlučne pre IT alebo oddelenie kybernetickej bezpečnosti je najčastejšia chyba. Ide o predpisy na úrovni celej organizácie zamerané na prevádzkovú odolnosť. Bez podpory a aktívnej účasti riadiaceho orgánu a vedúcich organizačných jednotiek nebude žiadne úsilie o súlad schopné riešiť kľúčové požiadavky na správu a riadenie a vlastníctvo rizík.

2. Podcenenie dodávateľského reťazca: Mnohé organizácie majú slepé miesto, pokiaľ ide o skutočný rozsah ich závislosti od externých poskytovateľov IKT. Najmä DORA vyžaduje hlboké a úplné pochopenie tohto ekosystému. Samotné zaslanie bezpečnostného dotazníka už nestačí. Nesprávna identifikácia všetkých kritických dodávateľov a nezahrnutie robustných požiadaviek na bezpečnosť a odolnosť do zmlúv predstavuje významnú medzeru v súlade.

3. „Papierová“ odolnosť: Vytvorenie podrobných plánov reakcie na incidenty a kontinuity činností, ktoré vyzerajú dobre na papieri, ale nikdy neboli otestované v realistickom scenári. Audítori a regulátori to okamžite rozpoznajú. Odolnosť sa preukazuje konaním, nie dokumentáciou. Chýbajúce pravidelné a dôsledné testovanie je varovným signálom, že organizácia nie je pripravená na skutočnú krízu.

4. Ignorovanie spravodajských informácií o hrozbách: Samotná reakcia na hrozby je prehrávajúca stratégia. NIS2 aj DORA implicitne aj explicitne vyžadujú proaktívnejší bezpečnostný prístup vedený spravodajskými informáciami. Organizácie, ktoré nezavedú proces zhromažďovania, analýzy a využívania spravodajských informácií o hrozbách, budú mať problém preukázať účinné riadenie rizík a budú vždy o krok za útočníkmi.

5. Vnímanie súladu ako jednorazového projektu: NIS2 a DORA nie sú projekty s dátumom ukončenia. Zavádzajú priebežnú požiadavku na monitorovanie, oznamovanie a neustále zlepšovanie. Organizácie, ktoré to vnímajú ako preteky k termínu a následne znížia zdroje, rýchlo stratia súlad a ocitnú sa nepripravené na ďalší audit alebo, čo je horšie, na ďalší incident.

Ďalšie kroky

Cesta k súladu s NIS2 a DORA je maratón, nie šprint. Vyžaduje strategický a štruktúrovaný prístup založený na overených rámcoch. Najúčinnejším postupom je využiť komplexné opatrenia ISO 27001 ako základ.

1. Vykonajte analýzu medzier: Začnite posúdením svojho aktuálneho stavu voči požiadavkám NIS2, DORA a ISO 27001. Naša hlavná príručka Zenith Controls poskytuje podrobné mapovanie potrebné na pochopenie, kde vaše opatrenia požiadavky spĺňajú a kde existujú medzery.

2. Vybudujte svoj ISMS: Ak ho ešte nemáte, zaveďte formálny systém manažérstva informačnej bezpečnosti. Využite náš súbor šablón politík, napríklad Kompletný balík pre MSP alebo Kompletný podnikový balík, aby ste urýchlili rozvoj svojho rámca správy a riadenia.

3. Pripravte sa na audity: Od prvého dňa si osvojte pohľad audítora. Použite Zenith Blueprint, aby ste pochopili, ako bude váš program preskúmavaný, a aby ste vybudovali dôkazovú základňu potrebnú na sebavedomé preukázanie súladu.

Záver

Príchod smernice NIS2 a nariadenia DORA predstavuje kľúčový moment pre kybernetickú bezpečnosť a prevádzkovú odolnosť v Európe. Nejde len o postupné aktualizácie existujúcich pravidiel, ale o zásadné pretvorenie regulačných očakávaní, ktoré vyžaduje väčšiu zodpovednosť vedenia, hlbšiu kontrolu dodávateľského reťazca a hmatateľný záväzok k odolnosti.

Hoci je táto výzva významná, zároveň predstavuje príležitosť. Je to príležitosť posunúť sa za hranicu formálneho „odškrtávacieho“ súladu a vybudovať skutočne robustný bezpečnostný stav, ktorý nielen uspokojí regulátorov, ale aj chráni organizáciu pred neustále rastúcou hrozbou narušenia. Využitím štruktúrovaného prístupu ISO 27001 založeného na riziku môžu organizácie vybudovať jednotný program, ktorý efektívne a účinne rieši kľúčové požiadavky oboch predpisov. Ďalší postup si vyžaduje záväzok, investície a kultúrnu zmenu riadenú zhora; výsledkom však bude organizácia, ktorá nie je len v súlade, ale je skutočne odolná voči moderným digitálnym hrozbám.