Poročanje o incidentih po DORA in kontrole ISO 27001 v letu 2026

Torek zjutraj leta 2026 je, ura je 08:17. Sarah, CISO evropskega finančnotehnološkega podjetja, na nadzorni plošči vidi oranžno, ne rdeče opozorilo. Kritična platforma za poravnavo plačil se upočasnjuje. Transakcije ne odpovedujejo v celoti, vendar trajajo trikrat dlje, kot dovoljuje sporazum o ravni storitev. SOC zazna nenavadne poskuse avtentikacije proti skrbniškemu računu. Ponudnik infrastrukture v oblaku poroča o poslabšanju izvajanja storitve v eni coni razpoložljivosti. Podpora strankam začne prejemati klice poslovnih strank, ki sprašujejo, zakaj plačilne datoteke zamujajo.

Nihče še ne ve, ali gre za kibernetski napad, motnjo operativne odpornosti, izpad dobavitelja, incident varstva osebnih podatkov ali vse navedeno hkrati.

Sarah se mora z zahtevami DORA ukvarjati, še preden so tehnična dejstva popolna. Ali je to večji incident, povezan z IKT? Ali vpliva na kritično ali pomembno funkcijo? Ali je presegel notranji prag resnosti? Koga je treba obvestiti, kdaj in s katerimi dokazili? Če so vključeni osebni podatki, ali je začel teči tudi rok za obveščanje po GDPR? Če je v verigo incidenta vključen tretji ponudnik storitev IKT, kdo je odgovoren za dejstva?

Tu finančni subjekti spoznajo razliko med tem, da imajo načrt odzivanja na incidente, in tem, da imajo preverljiv operativni model poročanja o incidentih po DORA.

Poročanje o incidentih po DORA v letu 2026 zahteva več kot hitro eskalacijo. Zahteva utemeljljivo verigo od zaznave do razvrstitve, od razvrstitve do poročanja pristojnemu organu, od poročanja do sanacije in od sanacije do pridobljenih izkušenj. ISO/IEC 27001:2022 zagotavlja strukturo sistema upravljanja. Kontrole iz Priloge A ISO/IEC 27001:2022 in smernice ISO/IEC 27002:2022 zagotavljajo praktična pričakovanja glede kontrol. Politike Clarysec, 30-koračni časovni načrt in vodnik za navzkrižno skladnost ta pričakovanja pretvorijo v implementacijo, podprto z dokazili.

Zakaj poročanje o incidentih po DORA odpove pod pritiskom

Večina neuspehov pri poročanju o incidentih po DORA se ne začne z malomarnostjo. Začne se z nejasnostjo.

Varnostni analitik vidi opozorilo, vendar ne ve, ali se to po DORA šteje za incident, povezan z IKT. Vodja IT storitev poslabšano zmogljivost obravnava kot tehnično težavo storitve, funkcija skladnosti pa kot regulativni dogodek. Pravna služba pred eskalacijo čaka na potrditev. Lastnik poslovnega procesa še ne more količinsko opredeliti vpliva na stranke. CISO želi dokazila, vendar so relevantni dnevniki razpršeni po storitvah v oblaku, končnih točkah, sistemih identitet, SIEM in platformah dobaviteljev.

Ko se organizacija dogovori o razvrstitvi, je rok za poročanje že pod pritiskom.

Členi DORA 17 do 21 določajo strukturirana pričakovanja za upravljanje incidentov, povezanih z IKT, razvrščanje, poročanje, vsebino poročanja in obravnavo s strani pristojnih organov. Za finančne subjekte je praktična zahteva jasna: incidente, povezane z IKT, je treba spremljati, upravljati, beležiti, razvrščati, o njih poročati, jih posodabljati in se iz njih učiti na način, ki ga je mogoče pozneje rekonstruirati.

Clarysecova Politika odzivanja na incidente [IRP] DORA neposredno vključuje v referenčni okvir:

EU DORA (2022/2554): člen 17: zahteve za poročanje finančnih institucij pristojnim organom o incidentih IKT.

Ista politika povezuje upravljanje incidentov s kontrolami ISO/IEC 27002:2022 5.25 do 5.27, ki zajemajo odgovornosti za oceno incidentov, odziv, komunikacijo in izboljševanje.

Za manjša finančnotehnološka podjetja in vitke regulirane subjekte Clarysecova Politika odzivanja na incidente - SME [IRP-SME] obveznost naredi izvedljivo, saj poudarja, da DORA od finančnih subjektov zahteva razvrščanje, poročanje in spremljanje incidentov ter motenj, povezanih z IKT.

Ta formulacija je pomembna. Skladnost z DORA ni le predloga za poročanje. Organizacija mora razvrščati, poročati in spremljati. To pomeni dokazila o začetnem dogodku, merilih odločanja, ravni resnosti, odločitvi o poročanju, komunikacijah, ukrepih obnovitve, vključenosti dobaviteljev in nadaljnjem spremljanju.

ISO/IEC 27001:2022 kot upravljavsko središče za incidente po DORA

Zrel sistem upravljanja informacijske varnosti po ISO/IEC 27001:2022 ne sme postati še en silos skladnosti poleg DORA. Postati mora upravljavsko središče za poročanje o incidentih po DORA.

ISMS že zahteva lastništvo tveganj, izbor kontrol, notranjo revizijo, vodstveni pregled, dokumentirane informacije, nenehno izboljševanje in dokazila o delovanju kontrol. DORA dodaja sektorsko specifičen pritisk poročanja, ISO/IEC 27001:2022 pa zagotavlja upravljavsko strukturo, ki omogoča ponovljiv proces.

Clarysecov Zenith Blueprint: 30-koračni časovni načrt revizorja [ZB] to integracijo krepi v koraku 13, načrtovanje obravnave tveganj in izjava o uporabnosti. Blueprint priporoča preslikavo kontrol na tveganja in klavzule zaradi sledljivosti, vključno z dodajanjem sklica na kontrolo iz Priloge A k tveganjem ter navedbo, kdaj kontrole podpirajo GDPR, NIS2 ali DORA.

Za Sarahin incident pri poravnavi plačil bi bil vnos v registru tveganj lahko:

»Motnja ali kompromitacija platforme za obdelavo plačil.«

Preslikane kontrole iz Priloge A ISO/IEC 27001:2022 bi vključevale 5.24, 5.25, 5.26, 5.27, 5.28, 6.8, 8.15 in 8.16, z opombo DORA za razvrstitev in poročanje o večjem incidentu, povezanem z IKT.

Clarysecov Zenith Controls: vodnik za navzkrižno skladnost [ZC] nato deluje kot kompas navzkrižne skladnosti. V Zenith Controls Clarysec preslika kontrole ISO/IEC 27002:2022 na druge kontrole ISO/IEC 27001:2022, povezane standarde, revizijska pričakovanja in predpise, kot so DORA, GDPR in NIS2. Ne ustvarja ločenih »kontrol Zenith«. Prikazuje, kako obstoječe kontrole ISO delujejo skupaj in kako se preverjajo.

Delovni tok poročanja po DORA je mogoče obravnavati kot verigo kontrol:

Ne morete poročati o nečem, česar niste zaznali. Ne morete razvrstiti nečesa, česar niste ocenili. Odločitve o poročanju ne morete utemeljiti brez zapisov. Brez pregleda po incidentu ne morete izboljševati.

Kontrola 6.8: ura DORA začne teči pri ljudeh

V Sarahinem scenariju prvi uporaben signal morda ne pride iz SOC. Lahko pride od skrbnika odnosov s strankami, ki sliši pritožbe strank, finančnega uporabnika, ki opazi neuspele poravnalne pakete, ali inženirja, ki opazi nenormalno zakasnitev.

Zato je kontrola 6.8 iz Priloge A ISO/IEC 27001:2022, poročanje o dogodkih informacijske varnosti, ključna za DORA. Poročanje določa kot odgovornost delovne sile, ne le kot funkcijo varnostnih operacij.

V Zenith Blueprint, korak 16, kontrole, povezane z ljudmi II, Clarysec navaja:

Učinkovit sistem odzivanja na incidente se ne začne z orodji, temveč z ljudmi.

Korak 16 priporoča jasne kanale za poročanje, usposabljanje za ozaveščanje, kulturo brez obtoževanja, triažo, zaupnost in periodične simulacije. Najbolj uporabno praktično sporočilo je preprosto:

»Če ste v dvomih, prijavite.«

To je kontrolno načelo DORA. Če zaposleni čakajo, dokler niso prepričani, organizacija izgublja čas. Če poročajo zgodaj, lahko organizacija oceni, razvrsti in odloči.

V Zenith Controls je 6.8 preslikana kot zaznavna kontrola, ki podpira zaupnost, celovitost in razpoložljivost. Povezana je s 5.24, ker morajo biti kanali za poročanje del načrta za incidente. Napaja 5.25, ker je dogodke mogoče oceniti le, če so prijavljeni. Sproži 5.26, ker se formalni odziv začne po oceni prijav.

Za DORA to podpira člena 17 in 18, kjer morajo finančni subjekti upravljati, razvrščati in poročati o večjih incidentih, povezanih z IKT, ter pomembnih kibernetskih grožnjah. Podpira tudi GDPR člen 33 in uvodno izjavo 85, ker notranje poročanje določa, kako hitro je kršitev varnosti osebnih podatkov prepoznana in eskalirana.

Praktična implementacija Clarysec je enostransko navodilo »Kako prijaviti incident IKT«. Vključevati mora:

• Kaj prijaviti, vključno z izpadi, sumljivimi e-poštnimi sporočili, izgubljenimi napravami, nenavadnim vedenjem sistema, domnevno kompromitacijo dobavitelja, nepooblaščenim dostopom, uhajanjem podatkov in poslabšanjem storitve, ki vpliva na stranke.
• Kako prijaviti, z uporabo spremljanega poštnega predala, kategorije zahtevka, telefonske številke za nujne primere, kanala v orodju za sodelovanje ali portala SOC.
• Kaj vključiti, na primer čas, sistem, uporabnika, poslovni proces, opaženi vpliv, posnetke zaslona, če je varno, in ali so lahko prizadete stranke ali osebni podatki.
• Česa ne storiti, vključno s tem, da se dnevniki ne brišejo, kritični sistemi se ne zaganjajo znova brez navodil, s strankami se ne komunicira navzven brez odobritve in preiskovanje se ne izvaja zunaj dodeljene vloge.
• Kaj se zgodi nato, vključno s triažo, razvrstitvijo, eskalacijo, odzivom, ohranitvijo dokazil in morebitno regulativno presojo.

Cilj ni, da bi vsak zaposleni postal preiskovalec. Cilj je, da vsak zaposleni postane zanesljiv vir signala.

Kontrola 5.25: odločitvena točka za razvrstitev po DORA

Poročanje o večjih incidentih, povezanih z IKT, po DORA temelji na razvrstitvi. Tu postane ključna kontrola 5.25 iz Priloge A ISO/IEC 27001:2022, ocena in odločitev glede dogodkov informacijske varnosti.

Zenith Blueprint, korak 23, pojasnjuje praktični izziv:

Vsaka anomalija ni nesreča. Vsako opozorilo ne pomeni kompromitacije.

Nato namen 5.25 opiše kot:

razlikovanje neškodljivega od škodljivega ter razumevanje, kaj zahteva eskalacijo.

Za DORA je to trenutek, ko se varnostni dogodek, poslabšanje storitve, izpad dobavitelja, izpostavljenost podatkov ali operativna motnja oceni glede na merila večjega incidenta. Organizacija mora upoštevati operativni vpliv, prizadete storitve, kritične ali pomembne funkcije, prizadete stranke in transakcije, trajanje, geografsko razširjenost, vpliv na podatke, posledice za ugled in ekonomski vpliv.

V Zenith Controls je 5.25 neposredno preslikana na DORA člen 18, razvrščanje večjih incidentov IKT. Gre za strukturiran proces vrednotenja za ugotavljanje, ali opaženi dogodek izpolnjuje pogoje za varnostni incident. Povezana je tudi z 8.16, dejavnosti spremljanja, ker je treba opozorila in podatke iz dnevnikov triažirati, ter s 5.26, ker razvrstitev sproži odziv.

Tu pri revizijah odpove veliko organizacij. Imajo zahtevke, nimajo pa zapisov o razvrstitvi. Imajo oznake resnosti, nimajo pa meril. Imajo regulativna poročila, nimajo pa revizijske sledi odločitve, ki dokazuje, zakaj je bil incident ali ni bil obravnavan kot večji.

Clarysec to obravnava z vključitvijo razvrščanja po DORA v model resnosti incidentov. V korporativni Politiki odzivanja na incidente klavzula 5.3.1 vključuje jasen primer ravni 1:

Raven 1: kritično (npr. potrjena kršitev podatkov, izbruh izsiljevalske programske opreme, kompromitacija produkcijskega sistema)

Za manjše organizacije Politika odzivanja na incidente - SME dodaja jasno operativno pričakovanje:

Generalni direktor mora ob podpori ponudnika IT vse incidente razvrstiti po resnosti v eni uri po prejemu obvestila.

Ta enourni cilj razvrstitve je učinkovit, ker zahteva disciplino upravljanja. Manjši regulirani subjekt morda nima SOC 24/7, vendar lahko še vedno določi, kdo razvršča, kdo svetuje in kako hitro mora biti odločitev sprejeta.

Zapis triaže incidenta za povezavo DORA in ISO

Da bo razvrstitev utemeljljiva, ustvarite zapis triaže incidenta DORA v svojem sistemu za upravljanje zahtevkov, GRC ali sistemu za upravljanje incidentov. Zapis je treba ustvariti za vsak potencialno pomemben dogodek IKT, tudi če je pozneje znižan.

Dodajte opombo o odločitvi:

»Na podlagi motnje plačilne storitve, ki vpliva na kritični poslovni proces, nerešenega temeljnega vzroka in potencialnega vpliva na stranke je dogodek eskaliran kot potencialni večji incident, povezan z IKT. Funkcija skladnosti in pravna služba ocenita zahteve za regulativno obveščanje. Ohranjanje dokazil je začeto.«

Ta enotni zapis podpira sledenje po DORA členu 17, razvrstitev po členu 18, odločitve o poročanju po členu 19, oceno po Prilogi A ISO/IEC 27001:2022 5.25, poročanje po 6.8, odziv po 5.26 in ravnanje z dokazili po 5.28.

Kontroli 5.24 in 5.26: načrtovanje, vloge in odziv

Ko pride do incidenta po DORA, mora načrt odziva že odgovoriti na neprijetna vprašanja.

Kdo ima pooblastilo za razvrstitev? Kdo stopi v stik s pristojnim organom? Kdo odobri začetno obvestilo? Kdo komunicira s strankami? Kdo kontaktira tretjega ponudnika storitev IKT? Kdo odloči, ali incident sproži tudi obveščanje po GDPR? Kdo ohranja dokazila? Kdo je lastnik končnega poročila?

Kontrola 5.24 iz Priloge A ISO/IEC 27001:2022, načrtovanje in priprava upravljanja incidentov informacijske varnosti, odgovori na ta vprašanja pred krizo. Kontrola 5.26, odziv na incidente informacijske varnosti, zagotavlja, da se načrt med incidentom pretvori v nadzorovano ukrepanje.

V Zenith Controls je 5.24 povezana s členi DORA 17 do 21, ker operacionalizira dokumentiran, testiran in pregledan odziv na incidente, vključno z notranjo eskalacijo, zunanjim regulativnim obveščanjem, komunikacijo z deležniki in pridobljenimi izkušnjami.

ISO/IEC 27035-1:2023 to podpira tako, da upravljanje incidentov razširi prek postopkov odzivanja na politike, načrtovanje, zmogljivosti, odnose, podporne mehanizme, ozaveščanje, usposabljanje in redno testiranje. ISO/IEC 27035-2:2023 dodatno podrobno opredeli proces upravljanja incidentov od priprave do pridobljenih izkušenj.

Zenith Blueprint, korak 23, daje neposredno navodilo za implementacijo:

Zagotovite, da imate posodobljen načrt odzivanja na incidente (5.24), ki zajema pripravo, eskalacijo, odziv in komunikacijo.

Načrt odzivanja na incidente, pripravljen za DORA, mora opredeliti:

• Skupino za odzivanje na incidente IKT in namestnike.
• Pooblastila za razvrščanje resnosti in eskalacijo poročanja po DORA.
• Odgovornosti pravne službe, funkcije skladnosti, zasebnosti, komuniciranja, IT, varnosti, dobaviteljev in lastnikov poslovnih procesov.
• Merila za razvrstitev večjih incidentov, povezanih z IKT.
• Postopke za začetno, vmesno in končno poročanje regulatorju.
• Presojo obveznosti obveščanja po GDPR, NIS2, pogodbah, kibernetskem zavarovanju in upravnem odboru.
• Korake zajezitve, odstranitve, obnovitve in preveritve.
• Zahteve za ohranjanje dokazil.
• Postopke eskalacije dobavitelju in dostopa do dnevnikov.
• Sledenje pridobljenim izkušnjam in korektivnim ukrepom.

Politika odzivanja na incidente - SME povezuje tudi časovnice odziva z zakonskimi zahtevami:

Časovnice odziva, vključno z obnovitvijo podatkov in obveznostmi obveščanja, morajo biti dokumentirane in usklajene z zakonskimi zahtevami, kot je 72-urna zahteva GDPR za obveščanje o kršitvi varnosti osebnih podatkov.

To je ključno, ker lahko en sam incident IKT postane večji incident po DORA, kršitev varnosti osebnih podatkov po GDPR, pomemben incident po NIS2, pogodbeni dogodek obveščanja strank in vprašanje upravljanja dobaviteljev. Načrt mora te plasti uskladiti, namesto da jih obravnava kot ločene svetove.

Kontroli 8.15 in 8.16: dnevniki omogočajo utemeljljivo poročilo

Poročanje o incidentih po DORA temelji na dejstvih. Dejstva temeljijo na beleženju in spremljanju.

V scenariju poravnave plačil mora Sarah vedeti, kdaj se je poslabšanje začelo, kateri sistemi so bili prizadeti, ali so bili uporabljeni privilegirani računi, ali so podatki zapustili okolje, ali se izpad ponudnika oblaka ujema z interno telemetrijo in kdaj je bila obnovitev zaključena.

Kontrola 8.15 iz Priloge A ISO/IEC 27001:2022, beleženje, in 8.16, dejavnosti spremljanja, podpirata to dokazno osnovo. V Zenith Controls sta obe povezani s 5.24, ker mora načrtovanje odziva na incidente vključevati uporabne podatke iz dnevnikov in zmogljivosti spremljanja. Kontrola 8.16 je povezana tudi s 5.25, ker je treba opozorila triažirati v odločitve.

Clarysecova Politika beleženja in spremljanja - SME [LMP-SME] vključuje praktično zahtevo za eskalacijo:

Opozorila z visoko prioriteto je treba v 24 urah eskalirati generalnemu direktorju in koordinatorju za zasebnost.

Za subjekte, regulirane z DORA, potencialno večji incidenti IKT običajno zahtevajo hitrejši model operativne eskalacije, zlasti kadar so prizadete kritične ali pomembne funkcije. Kljub temu je vzorec upravljanja pravilen: opozorila z visoko prioriteto ne smejo ostati znotraj IT. Doseči morajo poslovne, zasebnostne in vodstvene vloge.

Model beleženja, pripravljen za DORA, mora vključevati:

• Centralizirano beleženje za kritične sisteme, platforme identitet, končne točke, storitve v oblaku, orodja za varnost omrežja in poslovne aplikacije.
• Sinhronizacijo časa med sistemi, da so časovnice incidentov zanesljive.
• Kategorizacijo opozoril, usklajeno z resnostjo incidentov in razvrstitvijo po DORA.
• Hrambo dnevnikov, usklajeno z regulativnimi, pogodbenimi in forenzičnimi potrebami.
• Kontrole dostopa, ki ščitijo celovitost dnevnikov.
• Postopke za zajem posnetkov dnevnikov med večjimi incidenti.
• Zahteve za dostop do dnevnikov dobaviteljev za kritične storitve IKT.

Revizorji izjave »SIEM ima to« ne bodo sprejeli kot zadostno dokazilo. Vprašali bodo, ali so pravi dnevniki obstajali, ali so bila opozorila pregledana, ali se je eskalacija zgodila pravočasno in ali so bili dnevniki ohranjeni, ko je incident postal potencialno prijavljiv.

Kontrola 5.28: zbiranje dokazov in veriga skrbništva

Pri večjem incidentu, povezanem z IKT, dokazila služijo trem namenom: tehnični preiskavi, regulatorni odgovornosti in pravni utemeljljivosti.

Če so dokazila nepopolna, prepisana, spremenjena ali nedokumentirana, lahko organizacija težko dokaže, kaj se je zgodilo. Prav tako lahko težko utemelji svojo odločitev o razvrstitvi.

Clarysecova Politika zbiranja dokazov in forenzike [ECF] določa:

Dnevnik verige skrbništva mora spremljati vsa fizična ali digitalna dokazila od trenutka pridobitve do arhiviranja ali prenosa in mora dokumentirati:

Različica SME, Politika zbiranja dokazov in forenzike - SME [ECF-SME], zahtevo ohranja preprosto:

Vsak element digitalnega dokaza mora biti zabeležen z:

Operativna lekcija je neposredna. Ravnanje z dokazili se ne sme začeti šele, ko to zahteva pravna služba. Vgrajeno mora biti v odziv na incidente.

ISO/IEC 27006-1:2024 to revizijsko pričakovanje krepi s poudarkom na postopkih za prepoznavanje, zbiranje in ohranjanje dokazov iz incidentov informacijske varnosti. Za DORA lahko isti nabor dokazil podpira začetno obvestilo, vmesne posodobitve, končno poročilo, pregled po incidentu in vprašanja pristojnega organa.

Praktični kontrolni seznam dokazil za incidente, povezane z DORA, mora vključevati:

• Zapis o incidentu in zapiske triaže.
• Časovnico zaznave, eskalacije, razvrstitve, poročanja, zajezitve, obnovitve in zaključka.
• Opozorila SIEM in korelirane dnevnike.
• Artefakte končnih točk in strežnikov.
• Dnevnike identitet in privilegiranega dostopa.
• Povzetke omrežnega prometa.
• Stanje ponudnika oblaka in revizijske dnevnike.
• Komunikacijo z dobavitelji in izjave o incidentu.
• Zapise o vplivu na poslovanje, vključno s strankami, storitvami, transakcijami in izpadom.
• Osnutke in oddaje regulativnih obvestil.
• Vodstvene odločitve in odobritve.
• Analizo temeljnega vzroka.
• Pridobljene izkušnje in korektivne ukrepe.

Dokazila morajo prikazati tako tehnična dejstva kot odločitve upravljanja. Poročanje po DORA ni le vprašanje tega, kaj se je zgodilo sistemom. Gre tudi za to, kako je vodstvo incident prepoznalo, ocenilo, eskaliralo, obvladalo in iz njega izpeljalo izboljšave.

Kontrola 5.27: pridobljene izkušnje in nenehno izboljševanje

Incident po DORA ni zaključen, ko je oddano končno poročilo. Zaključen je, ko se je organizacija iz njega učila, dodelila korektivne ukrepe, posodobila kontrole in preverila izboljšave.

Kontrola 5.27 iz Priloge A ISO/IEC 27001:2022, učenje iz incidentov informacijske varnosti, povezuje poročanje po DORA s ciklom nenehnega izboljševanja ISO/IEC 27001:2022. V Zenith Controls je 5.24 povezana s 5.27, ker upravljanje incidentov ni popolno brez analize temeljnega vzroka, pridobljenih izkušenj in izboljšanja kontrol.

Zenith Blueprint, korak 23, organizacijam nalaga, da načrt posodobijo s pridobljenimi izkušnjami ter zagotovijo ciljno usposabljanje o odzivanju na incidente in ravnanju z dokazili. To je posebej pomembno za DORA, ker lahko ponavljajoče se zamude pri razvrstitvi, manjkajoča dokazila dobaviteljev, šibki dnevniki ali nejasna komunikacija postanejo predmet nadzornih pomislekov.

Predloga za pridobljene izkušnje mora zajeti:

• Kaj se je zgodilo in kdaj.
• Katere kritične ali pomembne funkcije so bile prizadete.
• Ali je bila razvrstitev pravočasna in točna.
• Ali so bile odločitve o poročanju po DORA sprejete z zadostnimi dokazili.
• Ali so bili ocenjeni sprožilci obveščanja po GDPR, NIS2, pogodbah ali obveščanja strank.
• Ali so se dobavitelji odzvali v dogovorjenih rokih.
• Ali so bili dnevniki in forenzični dokazi ohranjeni.
• Katere kontrole so odpovedale ali manjkale.
• Katere politike, odzivne priročnike, usposabljanja ali tehnične kontrole je treba izboljšati.
• Kdo je lastnik posameznega korektivnega ukrepa in do kdaj.

To se steka tudi v vodstveni pregled ISO/IEC 27001:2022. Trende incidentov mora pregledovati vodstvo; ne smejo ostati skriti v tehničnih pregledih po dogodkih.

Navzkrižna skladnost: DORA, GDPR, NIS2, NIST in COBIT 2019

DORA je osrednja tema za finančne subjekte, vendar poročanje o incidentih redko pripada samo enemu okviru.

En sam incident IKT lahko vključuje poročanje o večjem incidentu, povezanem z IKT, po DORA, obveščanje o kršitvi varnosti osebnih podatkov po GDPR, poročanje o pomembnem incidentu po NIS2, pogodbene obveznosti do strank, obvestilo kibernetskemu zavarovanju in poročanje upravnemu odboru.

Zenith Controls pomaga zmanjšati to kompleksnost s preslikavo kontrol ISO/IEC 27002:2022 med okviri. Na primer:

Z vidika NIST isti model podpira rezultate Detect, Respond in Recover. Z vidika COBIT 2019 in revizije ISACA je ključno vprašanje upravljanje: ali so upravljanje incidentov, neprekinjenost, tveganja, skladnost, odgovornosti dobaviteljev in spremljanje uspešnosti pod nadzorom.

Najbolj zrele organizacije ne ustvarjajo ločenih delovnih tokov za vsak okvir. Ustvarijo en proces upravljanja incidentov z regulativnimi plastmi. Zahtevek enkrat zajame ista temeljna dejstva, nato pa se po potrebi razveji v poročanje po DORA, GDPR, NIS2, pogodbah, zavarovanju ali sektorsko specifičnih zahtevah.

Kako bodo revizorji testirali vaš proces incidentov po DORA

Proces poročanja o incidentih, pripravljen za DORA, mora prestati različne revizijske poglede.

Revizor ISO/IEC 27001:2022 bo preveril, ali je ISMS izbral in implementiral relevantne kontrole iz Priloge A, ali izjava o uporabnosti podpira te kontrole, ali obstajajo zapisi o incidentih ter ali notranja revizija in vodstveni pregled vključujeta uspešnost upravljanja incidentov.

Zenith Controls za 5.24, 5.25 in 6.8 navaja revizijsko metodologijo ISO/IEC 19011:2018. Pri 5.24 revizorji pregledajo načrt odzivanja na incidente glede vrst incidentov, razvrstitev resnosti, dodeljenih vlog, seznamov kontaktov, eskalacijskih poti, navodil za poročanje regulatorju in komunikacijskih odgovornosti. Pri 5.25 preverijo, ali obstajajo dokumentirana merila razvrščanja, kot so matrike resnosti ali odločitvena drevesa na podlagi vpliva na sistem, občutljivosti podatkov in trajanja. Pri 6.8 ocenijo mehanizme poročanja, metrike časa do prijave in dokazila, da so prijavljeni dogodki zabeleženi, triažirani in rešeni.

Nadzorni pregled po DORA se bo osredotočil na to, ali so večji incidenti, povezani z IKT, zaznani, razvrščeni, prijavljeni, posodobljeni in zaključeni skladno z regulativnimi pričakovanji. Pregledovalec lahko zahteva vzorčni incident in mu sledi od prvega opozorila do končnega poročila.

Revizor zasebnosti se bo osredotočil na to, ali je bilo ocenjeno tveganje kršitve varnosti osebnih podatkov in ali so se sprožile obveznosti po GDPR členu 33 in členu 34. BS EN 17926:2023 je tukaj relevanten, ker dodaja odgovornosti za incidente zasebnosti, merila obveščanja, časovne roke in usklajenost s pričakovanji glede razkritij nadzornim organom.

Ista dokazila lahko zadovoljijo več revizijskih vprašanj, če so od začetka pravilno strukturirana.

Kontrolni seznam pripravljenosti poročanja o incidentih po DORA za leto 2026

Pred naslednjo namizno vajo, notranjo revizijo ali nadzornim pregledom preverite organizacijo glede na ta kontrolni seznam:

• Ali zaposleni vedo, kako prijaviti domnevne incidente IKT?
• Ali obstaja namenski kanal za poročanje o incidentih?
• Ali so varnostni dogodki dosledno zabeleženi in triažirani?
• Ali obstaja dokumentirana matrika resnosti in razvrščanja večjih incidentov po DORA?
• Ali je razvrstitev zahtevana v določenem času po obvestilu?
• Ali so kritične ali pomembne funkcije preslikane na sisteme in dobavitelje?
• Ali se sprožilci obveščanja po DORA, GDPR, NIS2, pogodbah, zavarovanju in obveščanja strank ocenijo v enem delovnem toku?
• Ali so vloge pri incidentih opredeljene med IT, varnostjo, pravno službo, funkcijo skladnosti, zasebnostjo, komuniciranjem in lastniki poslovnih procesov?
• Ali dnevniki zadoščajo za rekonstrukcijo časovnic incidentov?
• Ali so dokazila ohranjena z verigo skrbništva?
• Ali so obveznosti dobaviteljev glede incidentov in pravice dostopa do dnevnikov testirane?
• Ali se izvajajo namizne vaje z realističnimi scenariji DORA?
• Ali se pridobljene izkušnje sledijo do korektivnih ukrepov?
• Ali se metrike incidentov pregledajo v vodstvenem pregledu?
• Ali je izjava o uporabnosti preslikana na kontrole ISO/IEC 27001:2022, relevantne za DORA?

Če je odgovor na katero koli od teh vprašanj »delno«, težava ni samo skladnost. Gre za operativno odpornost.

Zgradite model poročanja o incidentih po DORA, podprt z dokazili

Poročanje o incidentih po DORA v letu 2026 je preizkus upravljanja pod pritiskom. Uspešne ne bodo organizacije z najdaljšimi dokumenti o odzivanju na incidente. Uspešne bodo tiste z jasnimi kanali za poročanje, hitro razvrstitvijo, zanesljivimi dnevniki, ohranjenimi dokazili, usposobljenimi ljudmi, testirano eskalacijo dobaviteljev in sledljivostjo med okviri.

Clarysec vam lahko pomaga zgraditi tak operativni model.

Začnite s preslikavo tveganj incidentov in izjave o uporabnosti z uporabo Zenith Blueprint: 30-koračni časovni načrt revizorja. Nato uskladite kontrole za incidente z Zenith Controls: vodnik za navzkrižno skladnost. Proces operacionalizirajte s Clarysecovo Politiko odzivanja na incidente, Politiko odzivanja na incidente - SME, Politiko beleženja in spremljanja - SME, Politiko zbiranja dokazov in forenzike in Politiko zbiranja dokazov in forenzike - SME.

Če želi vaša vodstvena ekipa zaupanje pred naslednjim resničnim incidentom, izvedite namizno vajo večjega incidenta, povezanega z IKT, po DORA z orodji Clarysec in pripravite paket dokazil, ki bi ga pričakoval revizor ali pristojni organ.