Dôkazy k registrácii podľa NIS2 v ISO 27001:2022

E-mail pristál v Anninej schránke s tichým úderom, ktorý skôr pripomínal sirénu. Ako CISO spoločnosti CloudFlow, rýchlo rastúceho poskytovateľa B2B SaaS služieb pre zákazníkov v celej EÚ, bola zvyknutá na bezpečnostné dotazníky, audity v obstarávaní a dozorné audity ISO 27001. Táto správa však bola iná.

Predmet znel: „Žiadosť o informácie k národnej transpozícii smernice (EÚ) 2022/2555 (NIS2).“ Národný orgán kybernetickej bezpečnosti požadoval, aby CloudFlow potvrdil svoju klasifikáciu, pripravil registračné informácie o subjekte, identifikoval služby v rozsahu pôsobnosti a bol pripravený preukázať opatrenia na riadenie kybernetických rizík.

Anna mala na stene zarámovaný certifikát ISO 27001:2022. Obchodný tím ho používal pri enterprise zákazkách. Riadiaci orgán schválil politiku informačnej bezpečnosti. Interný audit nedávno uzavrel dve zistenia. Otázka pred ňou však bola presnejšia než samotný certifikačný status.

Dokáže CloudFlow rýchlo a obhájiteľne preukázať, že jeho ISMS podľa ISO 27001:2022 pokrýva povinnosti podľa NIS2?

Práve tu mnohé organizácie robia nesprávny krok. Registráciu subjektu podľa NIS2 považujú za administratívne podanie, podobné aktualizácii údajov v obchodnom registri alebo daňovom portáli. Nie je to tak. Registrácia je vstupným bodom do viditeľnosti voči orgánu dohľadu. Po prekročení tohto prahu môže príslušný orgán žiadať odôvodnenie rozsahu, záznamy o schválení riadiacim orgánom, postupy oznamovania incidentov, dôkazy o rizikách dodávateľov, kontaktné miesta, metriky účinnosti opatrení a dôkaz, že organizácia vie, ktoré služby sú kritické.

Pre poskytovateľov SaaS, cloudových služieb, riadených služieb, riadených bezpečnostných služieb, dátových centier, digitálnej infraštruktúry a vybraných poskytovateľov finančného sektora už skutočná otázka neznie: „Máme bezpečnostnú politiku?“ Znie: „Vieme preukázať dôkazný reťazec od právnej povinnosti cez rozsah ISMS, ošetrenie rizík a prevádzku opatrení až po dohľad manažmentu?“

Najsilnejší program pripravenosti na plnenie NIS2 nie je paralelná tabuľka. Je to sledovateľný model dôkazov v rámci ISO 27001:2022.

Registrácia podľa NIS2 je v skutočnosti problém dôkazov

NIS2 sa vo všeobecnosti vzťahuje na verejné alebo súkromné subjekty v sektoroch uvedených v prílohe I a prílohe II, ktoré dosahujú alebo prekračujú príslušný prah stredného podniku. Zahŕňa aj určité subjekty bez ohľadu na veľkosť, vrátane poskytovateľov verejných elektronických komunikačných sietí alebo služieb, poskytovateľov dôveryhodných služieb, registrov TLD, poskytovateľov služieb DNS, jediných poskytovateľov základných služieb a subjektov, ktorých narušenie by mohlo ovplyvniť verejnú bezpečnosť, zdravie, systémové riziko alebo národnú či regionálnu kritickosť.

Pre technologické spoločnosti sú osobitne dôležité digitálne kategórie. Príloha I zahŕňa digitálnu infraštruktúru, napríklad poskytovateľov cloudových výpočtových služieb, poskytovateľov služieb dátových centier, poskytovateľov sietí na doručovanie obsahu, poskytovateľov dôveryhodných služieb, poskytovateľov služieb DNS a poskytovateľov verejných elektronických komunikačných sietí alebo služieb. Príloha I zahŕňa aj riadenie služieb IKT pre služby business-to-business vrátane poskytovateľov riadených služieb a poskytovateľov riadených bezpečnostných služieb. Príloha II zahŕňa digitálnych poskytovateľov, ako sú online trhoviská, internetové vyhľadávače a platformy služieb sociálnych sietí.

To znamená, že organizácia sa môže dostať do rozsahu pôsobnosti NIS2 bez toho, aby sa sama považovala za „kritickú infraštruktúru“. B2B SaaS spoločnosť s funkcionalitou riadenej bezpečnosti, cloudová platforma podporujúca regulovaných zákazníkov alebo poskytovateľ nadväzujúci na fintech sektor môže zrazu potrebovať registračný spis, model kontaktu s príslušným orgánom a obhájiteľný príbeh o opatreniach.

NIS2 zároveň rozlišuje medzi základnými a dôležitými subjektmi. Základné subjekty spravidla podliehajú proaktívnejšiemu modelu dohľadu, zatiaľ čo dôležité subjekty sú zvyčajne kontrolované po preukázaní nesúladu alebo po incidentoch. Toto rozlíšenie je dôležité, ale neodstraňuje potrebu prípravy. Obe kategórie potrebujú riadenie a dohľad, riadenie rizík, oznamovanie incidentov, bezpečnosť dodávateľov a dôkazy.

Finančné subjekty musia zohľadniť aj DORA. NIS2 Article 4 uznáva, že ak odvetvovo špecifický právny akt Únie ukladá aspoň rovnocenné povinnosti riadenia kybernetických rizík a oznamovania incidentov, na príslušné oblasti sa uplatnia tieto odvetvovo špecifické pravidlá. DORA sa uplatňuje od 17. januára 2025 a zavádza riadenie rizík IKT, oznamovanie závažných incidentov súvisiacich s IKT, testovanie digitálnej prevádzkovej odolnosti, zdieľanie informácií, riadenie rizík tretích strán v oblasti IKT, zmluvné opatrenia a dohľad nad kritickými externými poskytovateľmi IKT. Pre pokryté finančné subjekty je DORA primárnym rámcom kybernetickej odolnosti pre prekrývajúce sa požiadavky, no rozhrania NIS2 a koordinácia s národnými orgánmi môžu byť naďalej významné.

Poučenie je jednoduché. Nečakajte na pole v portáli ani na e-mail od regulátora, kým začnete budovať dôkazy. Každá registračná odpoveď je budúcou auditnou otázkou.

Začnite rozsahom ISMS, nie portálovým formulárom

ISO 27001:2022 je užitočná, pretože núti organizáciu definovať kontext, zainteresované strany, regulačné povinnosti, rozsah, riziká, plány ošetrenia rizík, prevádzku opatrení, monitorovanie, interný audit, preskúmanie manažmentom a zlepšovanie.

Kapitoly 4.1 až 4.4 vyžadujú, aby organizácia určila interné a externé otázky, identifikovala zainteresované strany a ich požiadavky, rozhodla, ktoré požiadavky sa riešia prostredníctvom ISMS, definovala rozsah ISMS so zohľadnením rozhraní a závislostí, tento rozsah zdokumentovala a prevádzkovala procesy ISMS.

Pre NIS2 má tento rozsah odpovedať na praktické otázky:

• Ktoré služby v EÚ, právne subjekty, dcérske spoločnosti, platformy, komponenty infraštruktúry a obchodné jednotky sú relevantné?
• Ktorá kategória podľa prílohy I alebo prílohy II sa môže uplatniť?
• Je organizácia základným subjektom, dôležitým subjektom, subjektom pokrytým DORA, mimo rozsahu pôsobnosti alebo čaká na národnú klasifikáciu?
• Ktoré služby sú kritické pre zákazníkov, verejnú bezpečnosť, finančnú stabilitu, zdravotníctvo, digitálnu infraštruktúru alebo iné regulované sektory?
• Ktorí cloudoví poskytovatelia, MSP, MSSP, dátové centrá, subdodávatelia a ďalší dodávatelia podporujú tieto služby?
• Ktoré členské štáty, príslušné orgány, CSIRT, dozorné orgány podľa GDPR a finančné orgány dohľadu môžu byť relevantné?

Clarysec Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint zaraďuje túto prácu na začiatok, do kroku 2, potreby zainteresovaných strán a rozsah ISMS. Organizáciám ukladá identifikovať regulátorov a orgány, preskúmať právne a regulačné požiadavky, preskúmať zmluvy a dohody, vykonať rozhovory so zainteresovanými stranami a zohľadniť očakávané odvetvové štandardy.

Akčný bod 4.2: Zostavte zoznam všetkých významných zainteresovaných strán a zaznamenajte ich požiadavky týkajúce sa informačnej bezpečnosti. Buďte dôslední – myslite na každého, kto by sa sťažoval alebo čelil následkom, ak by vaša bezpečnosť zlyhala alebo by vám chýbalo určité opatrenie. Tento zoznam bude určovať, čo musíte prostredníctvom svojho ISMS dodržiavať alebo splniť, a vstúpi do posúdenia rizík a výberu opatrení.

To je správny východiskový bod pre registráciu podľa NIS2. Pred podaním vytvorte krátke memorandum o rozsahu NIS2, ktoré prepája obchodný model s kategóriami podľa prílohy I alebo prílohy II, dokumentuje predpoklady o veľkosti a službách, zaznamenáva výklad národného práva, identifikuje príslušné orgány a uvádza, či sa uplatňuje aj DORA, GDPR, zákaznícke zmluvy alebo odvetvové pravidlá.

Clarysec SME Politika právneho a regulačného súladu Politika právneho a regulačného súladu - SME definuje účel jasne:

„Táto politika definuje prístup organizácie k identifikácii, plneniu a preukazovaniu súladu s právnymi, regulačnými a zmluvnými povinnosťami.“

Pre väčšie programy je Clarysec Politika právneho a regulačného súladu Politika právneho a regulačného súladu ešte explicitnejšia:

„Všetky právne a regulačné povinnosti musia byť v rámci systému manažérstva informačnej bezpečnosti (ISMS) mapované na konkrétne politiky, opatrenia a vlastníkov.“

Táto veta je základom pripravenosti na preukazovanie plnenia požiadaviek. Ak sa regulátor opýta, ako boli identifikované povinnosti podľa NIS2, odpoveď nemá znieť „poradilo nám právne oddelenie“. Odpoveďou má byť zdokumentovaný register prepojený s rozsahom, rizikami, vlastníkmi opatrení, postupmi, uchovávanými dôkazmi a preskúmaním manažmentom.

Vybudujte dôkazný reťazec NIS2 v rámci ISO 27001:2022

NIS2 Article 21 vyžaduje, aby základné a dôležité subjekty zaviedli primerané a proporcionálne technické, prevádzkové a organizačné opatrenia na riadenie rizík pre sieťové a informačné systémy používané na prevádzku alebo poskytovanie služieb. Opatrenia musia zohľadňovať stav techniky, relevantné európske a medzinárodné normy, ak sú uplatniteľné, náklady, vystavenie riziku, veľkosť, pravdepodobnosť a závažnosť incidentov a spoločenský a hospodársky dopad.

Article 21(2) uvádza minimálne oblasti vrátane analýzy rizík a politík bezpečnosti informačných systémov, riešenia incidentov, kontinuity činností, záloh, obnovy po havárii, krízového riadenia, bezpečnosti dodávateľského reťazca, bezpečného obstarávania a vývoja, riešenia zraniteľností, posudzovania účinnosti, kybernetickej hygieny, školení, kryptografie, bezpečnosti ľudských zdrojov, riadenia prístupu, správy aktív, viacfaktorovej alebo priebežnej autentifikácie a bezpečnej komunikácie, ak je to vhodné.

ISO 27001:2022 sa na túto štruktúru prirodzene mapuje. Kapitoly 6.1.1 až 6.1.3 vyžadujú posúdenie rizík a ošetrenie rizík vrátane kritérií akceptácie rizika, vlastníkov rizík, analýzy pravdepodobnosti a následkov, plánu ošetrenia rizík, porovnania s opatreniami prílohy A a vyhlásenia o aplikovateľnosti. Kapitola 8 vyžaduje prevádzkové plánovanie a riadenie, dôkazy, že procesy fungovali podľa plánu, riadenie zmien, riadenie externe poskytovaných procesov, opakované posúdenia rizík a zdokumentované výsledky ošetrenia rizík. Kapitola 9.1 vyžaduje monitorovanie, meranie, analýzu a hodnotenie. Kapitola 9.2 vyžaduje interný audit. Kapitola 10.2 vyžaduje opatrenia pri nezhodách a nápravné opatrenia.

Clarysec Politika riadenia rizík Politika riadenia rizík - SME premieňa túto požiadavku na prevádzkové pravidlo:

„Všetky identifikované riziká musia byť zaznamenané v registri rizík.“

Enterprise Politika riadenia rizík Politika riadenia rizík prepája ošetrenie rizík s výberom opatrení podľa ISO 27001:2022:

„Rozhodnutia o opatreniach vyplývajúce z procesu ošetrenia rizík sa musia premietnuť do SoA.“

Je to dôležité, pretože dôkazy NIS2 musia byť sledovateľné. Ak sa orgán opýta, prečo existuje určité opatrenie, odkážte na povinnosť, riziko, rozhodnutie o ošetrení rizika, vlastníka opatrenia, položku SoA, postup a dôkaz. Ak sa orgán opýta, prečo opatrenie nebolo vybrané, odkážte na odôvodnenie v SoA, schválenú akceptáciu rizika a preskúmanie manažmentom.

Najlepší dôkazný reťazec je zámerne nudný. Každá povinnosť má vlastníka. Každý vlastník má opatrenie. Každé opatrenie má dôkaz. Každá výnimka má schválenie. Každé auditné zistenie má nápravné opatrenie.

Premietnite riadenie a dohľad podľa Article 20 do dôkazov riadiaceho orgánu

NIS2 Article 20 presúva kybernetickú bezpečnosť na úroveň riadiaceho orgánu. Riadiace orgány musia schvaľovať opatrenia na riadenie kybernetických rizík prijaté na účely Article 21, dohliadať na ich implementáciu a môžu niesť zodpovednosť za porušenia. Členovia riadiacich orgánov musia absolvovať školenie a subjekty sa povzbudzujú, aby zamestnancom poskytovali pravidelné školenia kybernetickej bezpečnosti.

Riadiaci orgán nemôže NIS2 jednoducho delegovať na IT. Dôkazy majú preukázať, že manažment porozumel analýze rozsahu NIS2, schválil prístup k riadeniu rizík, preskúmal významné riziká, pridelil zdroje, sledoval implementáciu, preskúmal incidenty a cvičenia a absolvoval školenie.

Kapitoly 5.1 až 5.3 ISO 27001:2022 podporujú tento model riadenia a dohľadu tým, že vyžadujú záväzok vrcholového vedenia, zosúladenie cieľov informačnej bezpečnosti so stratégiou organizácie, integráciu požiadaviek ISMS do obchodných procesov, zdroje, komunikáciu, priradenie zodpovedností a reportovanie výkonnosti ISMS vrcholovému manažmentu.

Clarysec Politika rolí a zodpovedností v oblasti správy a riadenia Politika rolí a zodpovedností v oblasti správy a riadenia definuje rolu bezpečnostného kontaktného pracovníka ako rolu, ktorá:

„Slúži ako hlavné kontaktné miesto pre audítorov, regulátorov a vrcholové vedenie v záležitostiach informačnej bezpečnosti.“

Táto rola má byť v dôkaznom balíku k registrácii podľa NIS2 výslovne uvedená. Nemá byť iba implicitná. Orgány, audítori a zákazníci chcú vedieť, kto koordinuje regulačný kontakt, kto vlastní oznamovanie incidentov, kto udržiava právny register, kto aktualizuje kontakty na orgány a kto reportuje riadiacemu orgánu.

Praktický súbor dôkazov o riadení a dohľade zahŕňa:

• Schválenie rámca riadenia kybernetických rizík riadiacim orgánom.
• Zápisnice z preskúmania manažmentom pokrývajúce rozsah NIS2, riziká, incidenty, dodávateľov a pripravenosť.
• Záznamy o školeniach členov riadiaceho orgánu a zamestnancov.
• Maticu RACI pre povinnosti NIS2, opatrenia ISO 27001:2022, oznamovanie incidentov, uistenie dodávateľov a regulačnú komunikáciu.
• Dôkazy, že povinnosti podľa NIS2 sú zahrnuté do interného auditu a monitorovania súladu.
• Sledovanie nápravných opatrení pre medzery, omeškané riziká, výnimky a neúspešné testy.

Article 32 a Article 33 zvyšujú význam kvality dôkazov tým, že medzi faktory závažného porušenia zaraďujú opakované porušenia, neoznámenie alebo neodstránenie významných incidentov, neriešenie nedostatkov po záväzných pokynoch, marenie auditov alebo monitorovania a nepravdivé alebo hrubo nepresné informácie. Slabé dôkazy sa môžu stať problémom pri presadzovaní požiadaviek aj vtedy, keď technické opatrenia existujú.

Pripravte kontakty na orgány a dôkazy o oznamovaní incidentov pred 02:00

Najbolestivejšie zlyhania oznamovania incidentov často začínajú základnou otázkou: „Koho máme informovať?“ Počas ransomvéru, zlyhania DNS, kompromitácie cloudu alebo sprístupnenia údajov tímy strácajú čas hľadaním správneho CSIRT, príslušného orgánu, dozorného orgánu podľa GDPR, finančného orgánu dohľadu, kanála orgánov činných v trestnom konaní, zákazníckej šablóny a interného schvaľovateľa.

NIS2 Article 23 vyžaduje oznámenie významných incidentov ovplyvňujúcich poskytovanie služieb bez zbytočného odkladu. Významný incident je taký, ktorý spôsobil alebo môže spôsobiť závažné prevádzkové narušenie alebo finančnú stratu, alebo ovplyvnil alebo môže ovplyvniť iné osoby tým, že spôsobí značnú majetkovú alebo nemajetkovú ujmu. Časový rámec je odstupňovaný: včasné varovanie do 24 hodín od zistenia, oznámenie incidentu do 72 hodín, priebežné aktualizácie na požiadanie a záverečná správa do jedného mesiaca po 72-hodinovom oznámení alebo po vyriešení incidentu pri prebiehajúcich incidentoch. Ak je to vhodné, príjemcovia služieb musia byť informovaní aj o významných incidentoch alebo významných kybernetických hrozbách a ochranných opatreniach.

Zenith Blueprint, fáza Opatrenia v praxi, krok 22, považuje kontakt s orgánmi za pripravenosť, nie paniku:

Princíp je jednoduchý: ak by sa vaša organizácia stala cieľom kybernetického útoku, bola zapojená do porušenia ochrany údajov alebo bola predmetom vyšetrovania, kto by kontaktoval orgány? Ako by vedel, čo povedať? Za akých podmienok by sa takýto kontakt inicioval? Tieto otázky musia byť zodpovedané vopred, nie až spätne.

Clarysec Zenith Controls: príručka krížového súladu Zenith Controls pokrýva kontrolu ISO/IEC 27002:2022 5.5, Kontakt s orgánmi. Klasifikuje ju ako preventívne a nápravné opatrenie, viazané na dôvernosť, integritu a dostupnosť a prepojené s konceptmi identifikovať, chrániť, reagovať a obnoviť. Zároveň prepája kontrolu 5.5 s kontrolami ISO/IEC 27002:2022 5.24 plánovanie a príprava riadenia incidentov informačnej bezpečnosti, 6.8 oznamovanie udalostí informačnej bezpečnosti, 5.7 spravodajstvo o hrozbách, 5.6 kontakt so záujmovými skupinami a 5.26 reakcia na incidenty informačnej bezpečnosti.

Z pohľadu krížového súladu Zenith Controls mapuje kontakt s orgánmi na NIS2 Article 23, oznámenie porušenia ochrany údajov podľa GDPR, oznamovanie incidentov podľa DORA, NIST SP 800-53 IR-6 Incident Reporting a postupy externej eskalácie podľa COBIT 2019. Jeden register kontaktov na orgány môže slúžiť viacerým povinnostiam, ak je správne navrhnutý.

Clarysec Politika reakcie na incidenty Politika reakcie na incidenty - SME výslovne uvádza právnu triáž:

„Ak ide o údaje zákazníkov, generálny manažér musí posúdiť právne oznamovacie povinnosti na základe uplatniteľnosti GDPR, NIS2 alebo DORA.“

Silný balík dôkazov o kontaktoch na orgány má obsahovať:

• Kontaktné údaje príslušných orgánov a CSIRT podľa členského štátu a služby.
• Kontakty na dozorné orgány pre oznámenie porušenia ochrany osobných údajov podľa GDPR.
• Kontakty finančných orgánov dohľadu, ak sa uplatňuje DORA.
• Kontaktné trasy na orgány činné v trestnom konaní a útvary kyberkriminality.
• Oprávnených interných komunikátorov a ich zástupcov.
• Prahové hodnoty incidentov pre NIS2, GDPR, DORA, zákaznícke zmluvy a kybernetické poistenie.
• Šablóny pre 24-hodinové, 72-hodinové, priebežné a mesačné záverečné oznámenia.
• Záznamy zo stolových cvičení testujúcich externé oznámenia.
• Záznamy o predchádzajúcich oznámeniach, rozhodnutiach neoznamovať a právnom odôvodnení.

Namapujte NIS2 Article 21 na opatrenia ISO 27001 a dôkazy politík

Samotný certifikát neodpovedá na otázku regulátora. Mapovanie opatrení áno. Nasledujúca tabuľka poskytuje bezpečnostným a compliance tímom praktický most medzi oblasťami NIS2 Article 21, kontrolami ISO/IEC 27002:2022, kotvami politík Clarysec a dôkazmi.

Clarysec Zenith Controls pokrýva aj kontrolu ISO/IEC 27002:2022 5.31, právne, zákonné, regulačné a zmluvné požiadavky, ako preventívne opatrenie s dopadom na dôvernosť, integritu a dostupnosť. Prepája 5.31 s ochranou súkromia a ochranou PII, uchovávaním záznamov, nezávislým preskúmaním a súladom s internými politikami. Mapuje tiež 5.31 na preukázateľnú zodpovednosť podľa GDPR, súlad dodávateľského reťazca podľa NIS2, riadenie rizík IKT podľa DORA, riadenie podľa NIST CSF, programové kontroly NIST SP 800-53 a dohľad nad externým súladom podľa COBIT 2019.

„Kontrola 5.31 zabezpečuje, že všetky relevantné právne, regulačné, zákonné a zmluvné požiadavky súvisiace s informačnou bezpečnosťou sú identifikované, zdokumentované a priebežne riadené.“

Presne to chce národný orgán vidieť po registrácii: nielen to, že NIS2 je uvedená v zozname, ale že organizácia má živý mechanizmus na identifikáciu, mapovanie, implementáciu, monitorovanie a aktualizáciu povinností.

Neoddeľujte NIS2 od DORA, GDPR, dodávateľov a cloudu

Dôkazy NIS2 zriedka existujú izolovane.

NIS2 Article 21(2)(d) vyžaduje bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov vzťahov s dodávateľmi a poskytovateľmi služieb. Article 21(3) vyžaduje, aby rozhodnutia o rizikách dodávateľov zohľadňovali zraniteľnosti, celkovú kvalitu produktu, praktiky kybernetickej bezpečnosti, postupy bezpečného vývoja a relevantné koordinované posúdenia rizík dodávateľského reťazca na úrovni EÚ.

Príloha A ISO 27001:2022 poskytuje prevádzkový most prostredníctvom A.5.19 až A.5.23. Pre SaaS a cloudové organizácie tieto opatrenia často rozhodujú o tom, či sú dôkazy k registrácii povrchné alebo obhájiteľné.

DORA sprísňuje obraz dodávateľov pre finančné subjekty. Article 28 až Article 30 vyžadujú riadenie rizík tretích strán v oblasti IKT, register zmlúv o službách IKT, rozlíšenie služieb podporujúcich kritické alebo dôležité funkcie, predzmluvné posúdenie rizík, due diligence, zmluvné bezpečnostné požiadavky, práva na audit a kontrolu, práva na ukončenie, otestované exit stratégie, posúdenie subdodávok, transparentnosť umiestnenia údajov, pomoc pri incidentoch, spoluprácu s orgánmi a prechodné opatrenia. Ak poskytovateľ SaaS obsluhuje zákazníkov regulovaných DORA, jeho zmluvy a balík uistenia môžu byť preskúmané aj vtedy, keď sám nie je finančným subjektom.

Clarysec Bezpečnostná politika pre tretie strany a dodávateľov - SME Bezpečnostná politika pre tretie strany a dodávateľov - SME má byť preto prepojená s balíkom dôkazov NIS2. Pripravenosť dodávateľov má zahŕňať:

• Inventár dodávateľov a klasifikáciu kritickosti.
• Due diligence dodávateľov a posúdenia rizík.
• Zmluvné ustanovenia o bezpečnosti, pomoci pri incidentoch, právach na audit, umiestnení údajov, subdodávkach a ukončení.
• Matice zdieľanej zodpovednosti v cloude.
• Záznamy o monitorovaní kritických poskytovateľov.
• Testovanie ukončenia a obnovy kritických služieb.
• Postupy oznámenia a eskalácie incidentov dodávateľov.

GDPR musí byť tiež integrované. Významný incident podľa NIS2 môže byť zároveň porušením ochrany osobných údajov, ak sú kompromitované údaje zákazníkov, zamestnancov alebo používateľov. GDPR vyžaduje, aby prevádzkovatelia preukázali zodpovednosť za konanie a, ak sú splnené prahové hodnoty oznamovania, oznámili dozornému orgánu porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedeli. Váš pracovný tok reakcie na incidenty musí paralelne posudzovať povinnosti podľa NIS2, GDPR, DORA, zmlúv a zákazníckych požiadaviek.

Zostavte týždňový balík dôkazov NIS2

Poskytovateľ SaaS, MSP, MSSP, cloudový poskytovateľ alebo spoločnosť digitálnej infraštruktúry môže dosiahnuť výrazný pokrok v jednom sústredenom týždni.

Deň 1, klasifikujte subjekt a služby. Použite vyhlásenie o rozsahu ISMS a register zainteresovaných strán. Pridajte memorandum o rozsahu NIS2, ktoré identifikuje kategórie podľa prílohy I alebo prílohy II, služby v EÚ, členské štáty, zákazníkov, závislosti, predpoklady o veľkosti a to, či sa uplatňuje DORA alebo odvetvové pravidlá. Ak právny výklad nie je finálny, zaznamenajte neistotu klasifikácie ako riziko.

Deň 2, aktualizujte register právnych a regulačných povinností. Pridajte NIS2 Article 20, Article 21 a Article 23, registračné požiadavky podľa národného práva, povinnosti pri porušení ochrany údajov podľa GDPR, relevantné povinnosti DORA a kľúčové zmluvné oznamovacie požiadavky. Namapujte každú povinnosť na politiku, vlastníka, opatrenie, zdroj dôkazov a frekvenciu preskúmania.

Deň 3, aktualizujte posúdenie rizík a ošetrenie rizík. Do kritérií rizík zahrňte právny, regulačný, prevádzkový, dodávateľský, finančný, reputačný a spoločenský dopad. Pridajte riziká ako nezaregistrovanie sa, nesprávna klasifikácia subjektu, zmeškané 24-hodinové včasné varovanie, nedostupné kontakty na orgány, výpadok dodávateľa ovplyvňujúci kritické služby, nedostatočný dohľad riadiaceho orgánu a neschopnosť preukázať účinnosť opatrení.

Deň 4, aktualizujte SoA. Potvrďte opatrenia relevantné pre NIS2 vrátane A.5.5 kontakt s orgánmi, A.5.19 až A.5.23 opatrenia pre dodávateľov a cloudové služby, A.5.24 až A.5.28 opatrenia pre incidenty, A.5.29 bezpečnosť počas narušenia, A.5.30 pripravenosť IKT na kontinuitu činností, A.5.31 právne požiadavky, A.5.34 ochrana súkromia, A.8.8 riadenie zraniteľností, A.8.13 zálohy, A.8.15 logovanie, A.8.16 monitorovacie aktivity, A.8.24 kryptografia a opatrenia bezpečného vývoja A.8.25 až A.8.32.

Deň 5, otestujte oznamovanie incidentov. Spustite stolové cvičenie: chybná konfigurácia cloudu sprístupní údaje zákazníkov a naruší službu v dvoch členských štátoch. Spustite čas. Dokáže tím klasifikovať udalosť, posúdiť prahové hodnoty GDPR, NIS2, DORA, zmluvné a zákaznícke požiadavky, pripraviť 24-hodinové včasné varovanie, vypracovať 72-hodinové oznámenie, uchovať dôkazy a priradiť analýzu koreňovej príčiny?

Deň 6, zhromaždite dôkazy. Vytvorte priečinok pripravený pre regulátora s memorandom o rozsahu, právnym registrom, registrom rizík, SoA, zoznamom kontaktov na orgány, playbookom incidentov, registrom dodávateľov, zápisnicami riadiaceho orgánu, záznamami o školeniach, logmi, monitorovacími správami, testmi záloh, správami o zraniteľnostiach, rozsahom interného auditu a registrom nápravných opatrení.

Deň 7, preskúmanie manažmentom. Predložte balík pripravenosti vedeniu. Zaznamenajte schválenia, reziduálne riziká, otvorené opatrenia, termíny, zdroje a zodpovednosť vlastníkov. Ak je registrácia splatná, priložte index dôkazov k záznamu o registračnom rozhodnutí.

Clarysec Politika monitorovania auditov a súladu pre MSP Politika monitorovania auditov a súladu-sme - SME túto potrebu predvída:

„Dôkazy musia byť zosúladené s povinnosťami NIS2, ak je organizácia určená ako dôležitý subjekt alebo inak spadá do rozsahu pôsobnosti národného práva.“

Enterprise Politika monitorovania auditov a súladu Politika monitorovania auditov a súladu uvádza cieľ:

„Vytvárať obhájiteľné dôkazy a auditnú stopu na podporu regulačných preverení, právnych konaní alebo požiadaviek zákazníkov na preukázanie súladu.“

To je cieľ: obhájiteľné dôkazy predtým, než príde požiadavka.

Pripravte sa na rôzne auditné pohľady

Certifikačný audítor, národný orgán, zákaznícky audítor, audítor ochrany súkromia a tím uistenia dodávateľov nebudú klásť identické otázky. Silný balík dôkazov NIS2 funguje naprieč nimi všetkými.

Pri kontrole ISO/IEC 27002:2022 5.5 audítori bežne očakávajú zdokumentované kontakty na orgány, priradené zodpovednosti, údržbu kontaktov, playbooky reakcie na incidenty a scenárovú jednoznačnosť. Jednoduchá auditná otázka môže odhaliť zrelosť: „Kto v prípade ransomvéru kontaktuje orgány činné v trestnom konaní alebo národný CSIRT?“ Ak odpoveď závisí od toho, že si niekto spomenie na meno, opatrenie nie je pripravené.

Clarysec Politika logovania a monitorovania Politika logovania a monitorovania - SME posilňuje očakávanie dôkazov:

„Logy musia byť na požiadanie dostupné a zrozumiteľné pre externých audítorov alebo regulátorov.“

Clarysec Politika informačnej bezpečnosti Politika informačnej bezpečnosti stanovuje širší podnikový štandard:

„Všetky implementované kontroly musia byť overiteľné, podporené zdokumentovanými postupmi a uchovávanými dôkazmi o prevádzke.“

To je auditný test v jednej vete. Ak opatrenie nemožno doložiť dôkazmi, nebude mať veľkú váhu, keď príslušný orgán požiada o dôkaz.

Záverečný kontrolný zoznam dôkazov k registrácii podľa NIS2

Použite tento kontrolný zoznam pred registráciou alebo pred odpoveďou na požiadavku národného orgánu.

• Zdokumentujte analýzu rozsahu NIS2 vrátane odôvodnenia podľa prílohy I alebo prílohy II, opisov služieb, predpokladov o veľkosti, pôsobnosti v členských štátoch a klasifikácie subjektu.
• Identifikujte, či sa DORA uplatňuje priamo alebo nepriamo prostredníctvom zákazníkov z finančného sektora a zmlúv o službách IKT.
• Aktualizujte rozsah ISMS tak, aby zahŕňal relevantné služby, závislosti, outsourcované procesy a regulačné rozhrania.
• Pridajte NIS2, GDPR, DORA, odvetvové pravidlá a zmluvné požiadavky do registra právnych a regulačných povinností.
• Namapujte každú povinnosť na politiky, opatrenia, vlastníkov, dôkazy, frekvenciu preskúmania a reportovanie manažmentu.
• Potvrďte schválenie a dohľad riadiaceho orgánu nad opatreniami riadenia kybernetických rizík.
• Udržiavajte záznamy o školeniach manažmentu a zamestnancov v oblasti kybernetickej bezpečnosti.
• Aktualizujte kritériá rizík tak, aby zahŕňali regulačný dopad, prerušenie služby, ujmu zákazníkov, cezhraničný dopad a závislosť od dodávateľov.
• Zaznamenajte riziká súvisiace s NIS2 do registra rizík a prepojte ich s plánmi ošetrenia rizík.
• Aktualizujte SoA o opatrenia prílohy A relevantné pre NIS2 a stav implementácie.
• Udržiavajte zoznamy kontaktov na orgány a notifikačné postupy pre CSIRT, príslušné orgány, dozorné orgány podľa GDPR, finančné orgány dohľadu a orgány činné v trestnom konaní.
• Otestujte pracovný tok 24-hodinového včasného varovania, 72-hodinového oznámenia, priebežnej aktualizácie a mesačnej záverečnej správy.
• Udržiavajte dôkazy o dodávateľoch a cloude vrátane due diligence, zmlúv, práv na audit, monitorovania, subdodávok a exit plánov.
• Preukazujte účinnosť opatrení prostredníctvom logov, metrík, auditov, dashboardov, výsledkov testov a nápravných opatrení.
• Pripravte index dôkazov, aby bolo možné rýchlo odpovedať na akúkoľvek požiadavku regulátora, zákazníka alebo audítora.

Ďalší krok s Clarysec

Registrácia subjektu podľa NIS2 nie je cieľová čiara. Je to okamih, keď sa vaša organizácia stáva viditeľnou pre národný dohľad nad kybernetickou bezpečnosťou. Správna otázka neznie: „Vieme sa zaregistrovať?“ Správna otázka znie: „Ak orgán po registrácii požiada o dôkazy, vieme v priebehu hodín, nie týždňov, predložiť ucelený príbeh ISO 27001:2022?“

Clarysec pomáha organizáciám vybudovať tento príbeh prostredníctvom Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls a praktických súborov politík ISO 27001:2022, ktoré prepájajú právne povinnosti, ošetrenie rizík, oznamovanie incidentov, bezpečnosť dodávateľov, logovanie, monitorovanie, auditné dôkazy a zodpovednosť manažmentu.

Vykonajte preskúmanie medzier v dôkazoch NIS2 voči svojmu aktuálnemu ISMS. Začnite memorandom o rozsahu, právnym registrom, registrom rizík, SoA, zoznamom kontaktov na orgány, pracovným tokom oznamovania incidentov, registrom dodávateľov a priečinkom auditných dôkazov. Ak sú tieto artefakty neúplné alebo neprepojené, Clarysec vám môže pomôcť premeniť ich na balík dôkazov pripravený pre regulátora skôr, než oň požiada váš národný orgán.