Dokazila o certifikaciji EUCS za storitve v oblaku za revizije v letu 2026
Sij projektorja v sejni sobi je osvetlil Ameliin obraz, ko je gledala diapozitiv z naslovom »Obzorje skladnosti 2026«. Kot direktorica informacijske varnosti (CISO) hitro rastočega fintech podjetja je imela na zaslonu tri kratice, za vsemi pa isti ponavljajoči se operativni problem: NIS2, DORA in GDPR so kazali nazaj na iste platforme v oblaku.
Revizor za DORA je zahteval dokazila o upravljanju IKT-tveganj tretjih oseb za storitve v oblaku, ki gostijo plačilne aplikacije. Pristojni organ za NIS2 je podjetje razvrstil kot pomembni subjekt in spraševal, kako je upravljana varnost dobavne verige. Pooblaščena oseba za varstvo podatkov je pripravljala pregled po GDPR, osredotočen na varnost obdelovalcev, lokacijo hrambe podatkov in pripravljenost na kršitve. Nabava je nato posredovala kratko e-poštno sporočilo ponudnika analitike v oblaku:
»Pripravljamo se na certifikacijo EUCS. Ali lahko to nadomesti vaš varnostni pregled dobavitelja?«
Za preobremenjenega CISO, vodjo skladnosti ali ustanovitelja je mamljiv odgovor pritrdilen. Evropska certifikacija kibernetske varnosti za storitve v oblaku zveni kot točno tisti dokazni artefakt, ki bi moral zmanjšati vprašalnike, pomiriti revizorje in zadovoljiti stranke.
Boljši odgovor je natančnejši: certifikacija EUCS za storitve v oblaku lahko postane močno dokazilo za zagotavljanje zaupanja v ponudnika storitev v oblaku, vendar le, če je preslikana v vašo lastno oceno tveganj po ISO/IEC 27001:2022, izjavo o uporabnosti, evidenco dobaviteljev, evidenco storitev v oblaku, pogodbene kontrole, postopkovnike za odzivanje na incidente in evidence odgovornosti po GDPR.
Ta razlika je pomembna. NIS2 varnost dobavne verige in odpornost digitalne infrastrukture postavlja med vprašanja nadzora. DORA določa, da finančni subjekti ostanejo odgovorni za IKT-tveganja tretjih oseb tudi, kadar so storitve v oblaku oddane v zunanje izvajanje. GDPR zahteva, da upravljavci in obdelovalci dokažejo odgovorno, zakonito in varno obdelavo. ISO/IEC 27001:2022 zahteva opredeljen, na tveganjih temelječ sistem upravljanja, ki upošteva pravne, regulativne in pogodbene zahteve ter odvisnosti od tretjih oseb.
EUCS teh obveznosti ne odpravi. Zagotovi strukturiran dokazni artefakt, ki ga lahko ocenite, normalizirate, izpodbijate in ponovno uporabite.
Pristop Clarysec je preprost: EUCS obravnavajte kot visokovreden vhodni podatek za zagotavljanje zaupanja v dobavitelja, ne kot bližnjico do skladnosti. V Zenith Controls: vodnik za navzkrižno skladnost se sklop zagotovil za oblak začne s kontrolo ISO/IEC 27002:2022 5.23, informacijska varnost pri uporabi storitev v oblaku, in se povezuje s 5.20, obravnava informacijske varnosti v pogodbah z dobavitelji, ter 5.22, spremljanje, pregledovanje in upravljanje sprememb storitev dobaviteljev. Te tri kontrole tvorijo hrbtenico zagovorljivega pregleda dokazil EUCS.
Zakaj se zagotavljanje zaupanja v oblak pri NIS2, DORA in GDPR zaplete
Do leta 2026 zagotavljanje zaupanja v oblak ni več zgolj delovni tok nabave. Je tema uprave, regulatorja in revizije.
Direktiva NIS2, Direktiva (EU) 2022/2555, razširja obveznosti kibernetske varnosti bistvenih in pomembnih subjektov. Njeno področje uporabe vključuje številne sektorje, ki se močno zanašajo na računalništvo v oblaku, njena krajina digitalne infrastrukture pa vključuje ponudnike računalništva v oblaku, ponudnike storitev podatkovnih centrov, omrežja za dostavo vsebin, ponudnike storitev zaupanja, ponudnike storitev DNS in registre domenskih imen najvišje ravni. V ospredju so tudi ponudniki upravljanih storitev in ponudniki upravljanih varnostnih storitev.
Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe, vključno z analizo tveganj, obravnavanjem incidentov, neprekinjenim poslovanjem, varnostjo dobavne verige, varno nabavo in razvojem, obravnavo ranljivosti, ocenjevanjem učinkovitosti, kibernetsko higieno, kriptografijo, nadzorom dostopa, upravljanjem sredstev in avtentikacijo. Article 23 določa pričakovanja glede postopnega poročanja o incidentih, vključno z zgodnjim opozorilom v 24 urah in obvestilom o incidentu v 72 urah, ob upoštevanju Direktive in nacionalne implementacije. Article 24 državam članicam v določenih okoliščinah omogoča, da zahtevajo uporabo IKT-produktov, storitev ali procesov, certificiranih v okviru evropskih shem certificiranja kibernetske varnosti. Article 25 spodbuja uporabo ustreznih evropskih in mednarodnih standardov.
DORA, Uredba (EU) 2022/2554, je za finančne subjekte še bolj neposredna. Od 17. januarja 2025 od finančnih organizacij zahteva upravljanje IKT-tveganj, poročanje o večjih incidentih, povezanih z IKT, testiranje digitalne operativne odpornosti in upravljanje IKT-tveganj tretjih oseb. Za subjekte v njenem področju uporabe DORA deluje kot sektorski pravni akt Unije za ustrezne obveznosti kibernetske varnosti, ki se prekrivajo z nacionalnimi pravili NIS2.
DORA ne dopušča prenosa odgovornosti z zunanjim izvajanjem. Articles 28 to 30 od finančnih subjektov zahtevajo izvedbo skrbnega pregleda, oceno tveganja koncentracije, vzdrževanje registrov pogodbenih ureditev, vključitev obveznih pogodbenih zaščitnih ukrepov, ohranitev pravic do revizije in dostopa, zagotovitev pomoči pri incidentih, sodelovanje s pristojnimi organi in vzdrževanje izhodnih strategij za IKT-storitve, ki podpirajo kritične ali pomembne funkcije.
GDPR, Uredba (EU) 2016/679, dodaja plast odgovornosti in varstva podatkov. Article 5 zahteva, da upravljavci upoštevajo načela varstva podatkov in so sposobni dokazati skladnost. Article 28 ureja razmerja z obdelovalci in zahteva zadostna jamstva obdelovalcev. Article 32 zahteva ustrezne tehnične in organizacijske ukrepe za zagotavljanje varnosti obdelave.
Rezultat je problem konvergence. Posamezen ponudnik storitev v oblaku je lahko kritična IKT-tretja oseba po DORA, neposreden dobavitelj v dobavni verigi NIS2 ter obdelovalec ali podobdelovalec po GDPR. Če se zagotavljanje zaupanja upravlja prek nepovezanih vprašalnikov, PDF-certifikatov in pogodbenih map, se vsaka revizija spremeni v rekonstrukcijo.
EUCS lahko ta kaos zmanjša, vendar le, če je vgrajen v upravljan model dokazil.
Kaj lahko EUCS dokaže in česa ne more
Shema EU za certificiranje kibernetske varnosti storitev v oblaku, običajno imenovana EUCS, je zasnovana kot evropski mehanizem zagotavljanja zaupanja v oblak v širšem okviru EU za certificiranje kibernetske varnosti. Njena praktična vrednost ni le oznaka. Vrednost je v dejanskem obsegu certifikata, ravni zagotovila, presojanih storitvah, regijah, pravnih subjektih, mejah presoje, obdobju veljavnosti in modelu nadzora.
Pravo vprašanje zagotavljanja zaupanja v oblak ni zgolj: »Ali ima ta ponudnik EUCS?« Vprašanje je:
- Katere točno storitve v oblaku so zajete?
- Katere regije, lokacije podatkov in pravni subjekti so zajeti?
- Katera raven zagotovila velja?
- Katera metoda presoje je bila uporabljena?
- Katere predpostavke deljene odgovornosti ostanejo pri stranki?
- Katera dokazila je mogoče razkriti strankam, regulatorjem in revizorjem?
- Kako certifikat vpliva na pravice do revizije, obveščanje o incidentih, preglednost podizvajalcev in načrtovanje izstopa?
Certifikat za storitve v oblaku redko zajema vašo konfiguracijo. Če organizacija onemogoči MFA, izpostavi shrambo, dodeli pretirane skrbniške pravice, ne beleži privilegiranega dostopa ali napačno konfigurira regije, certifikacija ponudnika ne bo rešila revizije.
Zato EUCS sodi v matriko dokazil, ne na piedestal. Podpre lahko zagotovila na strani ponudnika, vendar mora organizacija še vedno dokazati lastno upravljanje, konfiguracijo, pogodbene kontrole in kontrole spremljanja.
Zenith Blueprint: 30-koračni časovni načrt za revizorja to jasno opredeli v fazi upravljanja tveganj, korak 13, načrtovanje obravnave tveganj in izjava o uporabnosti:
SoA je dejansko povezovalni dokument: povezuje vašo oceno/obravnavo tveganj z dejanskimi kontrolami, ki jih imate. Z njegovo izpolnitvijo hkrati ponovno preverite, ali ste katero kontrolo spregledali.
To je pravilen miselni model za EUCS. Certifikat je dokazilo dobavitelja. Vaša izjava o uporabnosti pojasni, zakaj so povezane kontrole uporabne, kako je organizacija izvedla svoj del deljene odgovornosti, katera dokazila dobavitelja so bila sprejeta in katera preostala tveganja ostajajo.
Hrbtenica ISO 27001 za dokazila EUCS
ISO/IEC 27001:2022 daje EUCS mesto v sistemu. Njegove klavzule od organizacij zahtevajo razumevanje notranjih in zunanjih vprašanj, identifikacijo zainteresiranih strani in zahtev, opredelitev obsega ISMS, dodelitev odgovornosti vodstva, oceno tveganj, izbor kontrol, vzdrževanje izjave o uporabnosti in nenehno izboljševanje.
Za zagotavljanje zaupanja v oblak mora biti EUCS vključen najmanj v šest artefaktov ISMS.
| Artefakt ISMS | Kako uporabiti EUCS | Vprašanje revizorja |
|---|---|---|
| Obseg ISMS | Identificirati storitve v oblaku, regije, pravne subjekte, podatke strank in odvisnosti od zunanjega izvajanja | Ali ISMS vključuje bistvene odvisnosti od oblaka in zunanje izvajane storitve? |
| Register tveganj | Evidentirati tveganja odpovedi ponudnika, napačne konfiguracije, lokacije podatkov, podizvajalcev in poročanja o incidentih | Ali so tveganja v oblaku ocenjena glede na vpliv na poslovanje in deljeno odgovornost? |
| Skrbni pregled dobaviteljev | Uporabiti EUCS kot dokazilo, nato preveriti obseg, raven zagotovila, veljavnost in vrzeli | Ali certifikat zajema točno uporabljeno storitev? |
| Izjava o uporabnosti | Povezati kontrole za oblak, dobavitelje, dostop, beleženje, incidente in neprekinjenost s tveganji in predpisi | Ali je izbor kontrol utemeljen in sledljiv? |
| Evidenca storitev v oblaku | Evidentirati ponudnika, namen, vrste podatkov, lokacije, dostop in pogodbene podatke | Ali organizacija lahko identificira vse odobrene storitve v oblaku? |
| Pogodbena in revizijska mapa | Hraniti certifikacijo, dogovore, pravice do revizije, pogoje obveščanja, pogoje za podizvajalce in določila o izstopu | Ali organizacija lahko dokaže izvršljive obveznosti dobavitelja? |
Knjižnica politik Clarysec te zahteve pretvori v operativno disciplino.
Politika za SME Politika uporabe storitev v oblaku - SME, razdelek Zahteve upravljanja, klavzula 5.2, določa osnovno izhodišče za odobrene storitve v oblaku:
Odobrene storitve v oblaku morajo izpolnjevati naslednja osnovna merila: 5.2.1 Ponudnik ohranja močan ugled glede razpoložljivosti in varnosti 5.2.2 Večfaktorska avtentikacija (MFA) je podprta in jo je mogoče omogočiti 5.2.3 Lokacija hrambe podatkov in prakse zasebnosti so skladne z veljavnimi zakonskimi zahtevami (npr. GDPR) 5.2.4 Storitev zagotavlja varne kontrole dostopa, beleženje in zmogljivosti varstva podatkov
Certifikat EUCS lahko podpre 5.2.1 ter dele 5.2.3 in 5.2.4. Ne dokazuje pa, da ima vaš najemnik omogočen MFA, konfigurirano beleženje, uveljavljeno lokacijo hrambe podatkov ali pregledan skrbniški dostop.
Za večje organizacije Enterprise Politika uporabe storitev v oblaku, razdelek Zahteve upravljanja, klavzula 5.2, postavlja višji prag:
Vsa uporaba storitev v oblaku mora pred aktivacijo prestati skrbni pregled na podlagi tveganj, vključno s presojo ponudnika, potrditvijo pravne skladnosti in pregledi validacije kontrol.
Ta stavek je stališče politike, ki mu mora slediti vsak pregled EUCS: presoja ponudnika, potrditev pravne skladnosti in validacija kontrol, ne slepo sprejemanje.
Preslikava EUCS v ISO 27001, NIS2, DORA in GDPR
EUCS postane pripravljen na revizijo, ko so dejstva iz certifikata preslikana v obveznosti. CISO mora vzpostaviti matriko zagotavljanja zaupanja v oblak za navzkrižno skladnost, ki dokazila ponudnika prevede v ponovno uporabna dokazila o kontrolah.
| Postavka dokazil EUCS | Relevantnost za ISO 27001 in ISO 27002 | Relevantnost za NIS2 | Relevantnost za DORA | Relevantnost za GDPR |
|---|---|---|---|---|
| Obseg certifikata in zajete storitve | Podpira oceno tveganj dobaviteljev in kontrole 5.19, 5.20, 5.22 in 5.23 | Podpira varnost dobavne verige in dokazila o certificiranju | Podpira skrbni pregled ponudnika IKT in točnost registra | Podpira presojo obdelovalca in podobdelovalca |
| Raven zagotovila in metoda presoje | Podpira validacijo kontrol in utemeljitev SoA | Kaže sorazmernost s tveganjem in kritičnostjo storitve | Podpira oceno kritične ali pomembne funkcije | Podpira odgovornost za gostovane osebne podatke |
| Dokazila o lokaciji podatkov in jurisdikciji | Podpira preslikavo pravnih, regulativnih in pogodbenih zahtev | Podpira neprekinjeno izvajanje storitev in analizo tveganj dobavne verige | Podpira oceno tveganja koncentracije in podizvajanja | Podpira analizo tveganj glede lokacije hrambe podatkov in prenosov |
| Zaveze glede obveščanja o incidentih | Podpira načrtovanje incidentov in kontrole pogodb z dobavitelji | Podpira pripravljenost za poročanje o pomembnih incidentih | Podpira odvisnosti pri poročanju o večjih IKT-incidentih | Podpira pripravljenost na odziv ob kršitvi varnosti osebnih podatkov |
| Dokazila o podizvajalcih in dobavni verigi | Podpira spremljanje dobaviteljev in upravljanje sprememb | Podpira dobaviteljsko specifično oceno ranljivosti | Podpira analizo verige podizvajanja in tveganja koncentracije | Podpira odgovornost v verigi obdelovalcev |
| Dokazila o izstopu in vračilu podatkov | Podpira neprekinjenost, prenehanje in varno ravnanje s podatki | Podpira odpornost na vse vrste nevarnosti in neprekinjenost | Podpira preizkušene izhodne strategije za kritične IKT-storitve | Podpira dokazila o izbrisu, hrambi in omejitvi obdelave |
Ta tabela ni namenjena le dokumentiranju skladnosti. Je most med zagotovili ponudnika in odgovornostjo vaše organizacije.
NIS2 sprašuje, ali je subjekt sprejel ustrezne in sorazmerne ukrepe. DORA sprašuje, ali finančni subjekt upravlja IKT-tveganja tretjih oseb prek skrbnega pregleda, pogodb, spremljanja in načrtovanja izstopa. GDPR sprašuje, ali je obdelava osebnih podatkov zakonita, varna in dokazljiva. ISO/IEC 27001:2022 sprašuje, ali je vse to vključeno v sistem upravljanja, ki temelji na tveganjih.
Praktičen primer: pregled EUCS za ponudnika analitike v oblaku
Vrnimo se k Ameliinemu fintech podjetju Northstar Pay. Podjetje želi uvesti platformo za analitiko v oblaku za zaznavanje goljufij in poročanje o transakcijah. Ponudnik predloži certifikat EUCS in trdi, da bi moral zadostovati za varnostni pregled.
Clarysec bi pregled dokazil strukturiral v šest korakov.
Korak 1: posodobite evidenco storitev v oblaku
Politika uporabe storitev v oblaku - SME, razdelek Zahteve upravljanja, klavzula 5.3, zahteva evidenco, ki vsebuje ime storitve v oblaku, namen, odgovornega lastnika, vrste podatkov, državo ali regijo, dovoljenja za dostop, skrbniške račune, pogodbene podatke, datume podaljšanja in podporne kontakte.
Za organizacije Enterprise Politika uporabe storitev v oblaku, razdelek Zahteve upravljanja, klavzula 5.1, začne z lastništvom:
Organizacija mora vzdrževati centraliziran register storitev v oblaku, katerega lastnik je CISO, in ki vsebuje:
Northstar Pay evidentira storitev pred odobritvijo, ne po prehodu v produkcijo.
| Polje evidence | Primer vnosa |
|---|---|
| Storitev v oblaku | Analitična platforma ponudnika |
| Poslovni namen | Analitika goljufij in poročanje o trendih transakcij |
| Lastnik aplikacije | Vodja podatkovnih platform |
| Vrste podatkov | Identifikatorji strank, metapodatki transakcij, psevdonimizirani analitični dogodki |
| Lokacija podatkov | Samo regija EU, pogodbeno omejeno |
| Dostop | SSO, MFA, imenovani skrbniški računi, vloge po načelu najmanjših privilegijev |
| Dokazila | Certifikat EUCS, certifikat ISO 27001, varnostni whitepaper, pogodba o obdelavi osebnih podatkov, pogodba, seznam podobdelovalcev |
| Datum pregleda | Letni pregled in pregled ob bistveni spremembi storitve |
Korak 2: validirajte obseg certifikata
Ekipa preveri, ali certifikat EUCS zajema točno analitično storitev, model uvedbe, regijo in pravni subjekt, ki jih bo uporabljal Northstar Pay. Če certifikat zajema infrastrukturne storitve, izključuje pa analitični modul, je vrednost dokazila omejena.
Tu spodleti veliko revizij. Ponudnik reče »certificirano«, stranka pa ne more pokazati, da se certifikat nanaša na storitev, ki obdeluje regulirane podatke.
Korak 3: preslikajte EUCS v obravnavo tveganj in SoA
Z uporabo Zenith Blueprint, korak 13, Northstar Pay preslika certifikat v register tveganj in izjavo o uporabnosti.
| Scenarij tveganja | Vrednost dokazila EUCS | Kontrola na strani stranke, ki je še vedno potrebna |
|---|---|---|
| Nepooblaščen dostop do analitičnih podatkov | Podpira zagotovilo varnosti infrastrukture ponudnika | Uveljaviti SSO, MFA, RBAC, pregled skrbnikov in beleženje |
| Podatki, shranjeni zunaj odobrene regije | Lahko podpre kontrole lokacije pri ponudniku | Pogodbena hramba samo v EU, konfiguracija najemnika in periodično preverjanje |
| Zamuda ponudnika pri poročanju o incidentu | Lahko podpre zagotovilo o procesu incidentov | Pogodbeni roki obveščanja, eskalacijski kontakti in postopkovnik za odzivanje na incidente |
| Sprememba podobdelovalca vpliva na tveganje | Lahko podpre upravljanje dobavne verige | Pogodbene pravice odobritve, spremljanje podobdelovalcev in ponovna ocena |
| Izpad oblaka vpliva na poročanje | Lahko podpre kontrole razpoložljivosti | Načrt neprekinjenega poslovanja, analiza RTO in RPO, strategija varnostnega kopiranja ali izvoza |
SoA nato evidentira kontrole ISO/IEC 27002:2022 5.20, 5.22 in 5.23 kot uporabne, ker organizacija uporablja storitve v oblaku za regulirano obdelavo in pomembne analitične delovne tokove.
Korak 4: potrdite pogodbene klavzule in pravice do revizije
Politika za SME Politika varnosti tretjih oseb in dobaviteljev - SME, razdelek Zahteve upravljanja, klavzula 5.3, zahteva obvezne pogodbene klavzule:
Pogodbe morajo vključevati obvezne klavzule, ki zajemajo: 5.3.1 zaupnost in nerazkrivanje informacij 5.3.2 obveznosti informacijske varnosti 5.3.3 časovne roke obveščanja o kršitvi varnosti osebnih podatkov (npr. v 24–72 urah) 5.3.4 pravice do revizije ali razpoložljivost dokazil o skladnosti 5.3.5 omejitve nadaljnjega podizvajanja brez odobritve 5.3.6 pogoje prenehanja, vključno z varnim vračilom ali uničenjem podatkov
Dokazila EUCS in pogodbene pravice služijo različnim namenom. Certifikat podpira zagotovilo. Pogodba ustvarja izvršljivost.
Enterprise Politika varnosti tretjih oseb in dobaviteljev, razdelek Zahteve za izvajanje politike, klavzula 6.1.2.2, izrecno vključuje:
Pregled revizijskih poročil (npr. SOC 2, ISO 27001, ISAE 3402)
EUCS sodi v to družino dokazil, skupaj z drugimi poročili zagotovil. Ne sme nadomestiti pregleda pogodbe, pravic do revizije, pomoči pri incidentih ali klavzul o izhodni strategiji, ki jih zahteva DORA.
Korak 5: uveljavite lokacijo hrambe podatkov za regulirane podatke
Politika uporabe storitev v oblaku, razdelek Zahteve za izvajanje politike, klavzula 6.6.2, določa:
Zahteve glede lokacije hrambe podatkov morajo biti pogodbeno uveljavljene (npr. hramba samo v EU za podatke, regulirane z GDPR).
Za odgovornost po GDPR je certifikat, ki opisuje regionalne kontrole, koristen. Še vedno pa ne zadostuje. Northstar Pay potrebuje pogodbo o obdelavi osebnih podatkov, pogodbeno besedilo o hrambi samo v EU, dokazila o konfiguraciji najemnika in metodo za spremljanje sprememb.
Če analitična platforma skrbnikom omogoča izbiro regij, mora revizijska mapa vključevati posnetke zaslona konfiguracije, izvožene nastavitve ali druge zapise, ki izkazujejo odobreno regijo EU.
Korak 6: načrtujte letne preglede in preglede ob dogodkih
Politika varnosti tretjih oseb in dobaviteljev - SME, razdelek Zahteve za izvajanje politike, klavzula 6.3.1, zahteva letni pregled kritičnih ali visoko tveganih dobaviteljev za preverjanje varnih metod dostopa, veljavnih varnostnih certifikacij ali posodobljenih dokazil o kontrolah, zgodovine incidentov in pogodbene skladnosti.
Pregled se mora sprožiti tudi, ko ponudnik spremeni podobdelovalce, regije, storitve, arhitekturo identitet, model šifriranja, zgodovino incidentov ali status certifikata. Dokazila zagotovil se starajo, tveganje dobaviteljev pa ni statično.
Paket dokazil EUCS Clarysec
Zrel paket zagotovil EUCS vsebuje več kot PDF certifikata. Clarysec strukturira dokazila v sedem razdelkov.
| Razdelek dokazil | Vsebina | Zakaj je pomembno |
|---|---|---|
| 1. Odobritev oblaka | Poslovna utemeljitev, lastnik, ocena tveganja, odločitev o odobritvi | Kaže nadzorovano nabavo in uporabo storitev v oblaku |
| 2. Zagotovila ponudnika | Certifikat EUCS, druge certifikacije, varnostni pregled, model deljene odgovornosti | Kaže varnostna dokazila dobavitelja in obseg |
| 3. Pravo in zasebnost | Pogodba o obdelavi osebnih podatkov, pogoji lokacije hrambe podatkov, seznam podobdelovalcev, preslikava zakonite obdelave | Podpira odgovornost po GDPR in pogodbene zahteve |
| 4. Tehnična konfiguracija | MFA, SSO, RBAC, šifriranje, beleženje, varnostno kopiranje, omrežne omejitve | Dokazuje del odgovornosti stranke v modelu deljene odgovornosti |
| 5. Pogodba z dobaviteljem | Varnostne obveznosti, pravice do revizijskih dokazil, obveščanje o incidentih, podizvajanje, prenehanje | Podpira upravljanje dobaviteljev po ISO, NIS2 in DORA |
| 6. Incidenti in odpornost | Eskalacijska pot ponudnika, integracija postopkovnika za odzivanje, RTO in RPO, zapisi testiranja | Podpira poročanje po NIS2 in operativno odpornost po DORA |
| 7. Spremljanje in pregled | Letni pregled, veljavnost certifikata, incidenti, spremembe storitev, izjeme | Podpira stalno spremljanje dobaviteljev in nenehno izboljševanje |
Politika pravne in regulativne skladnosti, razdelek Zahteve za izvajanje politike, klavzula 6.2.1, povzema operativno načelo:
Vse pravne in regulativne obveznosti morajo biti preslikane v konkretne politike, kontrole in lastnike v sistemu upravljanja informacijske varnosti (ISMS).
To je razlika med zbiranjem certifikatov in vzpostavitvijo zagovorljivega operativnega modela skladnosti.
Dokazila o incidentih in odpornosti: kje EUCS ne zadostuje
NIS2 in DORA pripravljenost na incidente in odpornost postavljata med resne preizkuse upravljanja oblaka.
Certifikat EUCS ponudnika storitev v oblaku lahko pokaže, da ima ponudnik kontrole upravljanja incidentov. Vaša organizacija pa mora še vedno vedeti, kdo prejema obvestila, kako se opozorila triažirajo, kako se dokazila ohranijo, kako se oceni vpliv na osebne podatke in kdo komunicira z regulatorji, strankami in notranjim vodstvom.
Za NIS2 morajo pogoji obveščanja ponudnika podpirati obveznosti zgodnjega opozarjanja in obveščanja o incidentih. Za DORA se morajo incidenti v oblaku stekati v procese razvrščanja incidentov, povezanih z IKT, eskalacije, poročanja in komuniciranja s strankami. Za GDPR mora delovni tok ob kršitvi podpirati oceno, ali je prišlo do kršitve varnosti osebnih podatkov in ali je potrebno obvestilo nadzornemu organu ali prizadetim posameznikom.
NIST CSF 2.0 je tukaj uporaben kot integracijski jezik. Njegove funkcije GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND in RECOVER pomagajo organizacijam pravne obveznosti in tehnične kontrole prevesti v operativne rezultate. Rezultati za dobavno verigo zahtevajo, da so dobavitelji znani, prednostno razvrščeni, pogodbeno upravljani, spremljani, vključeni v načrtovanje incidentov in upravljani ob prenehanju. Rezultati odziva in obnovitve zajemajo triažo, eskalacijo, koordinacijo s tretjimi osebami, obveščanje zainteresiranih strani, izvedbo obnovitve in preverjanje obnovitve.
Certifikat sodi v mapo. Postopkovnik za odzivanje dokazuje pripravljenost.
Kako bodo revizorji preverjali dokazila EUCS
Različni revizorji zagotavljanje zaupanja v oblak obravnavajo z različnih zornih kotov. Model dokazil za navzkrižno skladnost preprečuje, da bi se ista dejstva za vsak pregled ponovno sestavljala.
| Revizijski pogled | Na kaj se bo revizor osredotočil | Pričakovana dokazila |
|---|---|---|
| Revizor ISO 27001 | Obseg ISMS, ocena tveganj, SoA, kontrole dobaviteljev, upravljanje oblaka, nenehno izboljševanje | Evidenca storitev v oblaku, register tveganj, SoA, presoja dobavitelja, pogodba, konfiguracijski zapisi, dokazila o pregledu |
| Nadzornik ali presojevalec NIS2 | Odobritev vodstva, ukrepi Article 21, varnost dobavne verige, pripravljenost na poročanje o incidentih | Poročanje upravi, analiza tveganj dobaviteljev, postopkovnik za odzivanje na incidente, dokazila o neprekinjenem poslovanju, delovni tok obveščanja |
| Revizor DORA | Register IKT-tretjih oseb, ocena kritične ali pomembne funkcije, pogodbe, pravice do revizije, izhodni načrti, testiranje odpornosti | Register IKT-pogodb, skrbni pregled, analiza tveganja koncentracije, pogodbene klavzule Article 30, zapisi testiranja, izhodna strategija |
| Pregledovalec GDPR | Odgovornost, namen obdelave, kategorije podatkov, lokacija podatkov, varnost, pripravljenost na kršitve | Vnosi RoPA, pogodba o obdelavi osebnih podatkov, pogoji lokacije hrambe podatkov, kontrole dostopa, delovni tok ocene kršitve, dokazila obdelovalca |
| Presojevalec NIST CSF | Trenutni in ciljni profili, upravljanje, upravljanje tveganj dobavne verige, spremljanje, odziv in obnovitev | Analiza vrzeli profilov, zapisi življenjskega cikla dobaviteljev, poročila o spremljanju, vaje incidentov, preverjanje obnovitve |
| Revizor COBIT 2019 ali ISACA | Cilji upravljanja, odgovornost vodstva, nadzor nad izvajalci storitev, optimizacija tveganj, spremljanje skladnosti | Zapisniki upravljanja, lastništvo kontrol, kazalniki uspešnosti, evidence nadzora tretjih oseb, nadzorna plošča skladnosti |
Zenith Blueprint, faza Kontrole v praksi, korak 23, opozarja, da so kontrole v oblaku pogosto podrobno pregledane:
Ta kontrola je pogosto predmet zelo podrobnega pregleda. Revizorji bodo vprašali:
✓ »Katere storitve v oblaku uporabljate?« ✓ »Kdo jih je odobril?« ✓ »Kako zagotavljate varstvo podatkov?«
Ta vprašanja so bistvo zagotovil EUCS. Certifikat lahko pomaga odgovoriti, kako je izkazana zaščita na strani ponudnika, ne more pa odgovoriti, katere storitve se uporabljajo ali kdo jih je odobril, če evidenca storitev v oblaku in odobritveni delovni tok nista ažurna.
Pogoste napake pri zagotavljanju zaupanja z EUCS, ki se jim je treba izogniti
Prva napaka je obravnava EUCS kot univerzalne prepustnice. Gre za dokazilo z opredeljenim obsegom. Če certifikat ne zajema kupljene storitve, regije, modela uvedbe ali pravnega subjekta, je njegova vrednost zagotovila lahko omejena.
Druga napaka je zamenjava kontrol ponudnika s kontrolami stranke. Certifikacija ponudnika ne dokazuje MFA pri najemniku, RBAC, beleženja, nastavitev šifriranja, varnostnih kopij, pregledov skrbniškega dostopa ali spremljanja.
Tretja napaka je spregled pogodbenih zahtev DORA. Finančni subjekti potrebujejo pisne pravice in obveznosti, vključno z opisi storitev, lokacijami podatkov, zahtevami informacijske varnosti, pravicami dostopa in revizije, ravnmi storitev, pomočjo pri incidentih, sodelovanjem z organi, pravicami prenehanja in izhodnimi strategijami za kritične ali pomembne funkcije.
Četrta napaka je ignoriranje dokazil po GDPR. Besedilo o lokaciji hrambe podatkov, preglednost podobdelovalcev, obravnava kršitev, zakonita obdelava in evidence odgovornosti ostajajo potrebni. EUCS lahko podpre varnostna dokazila po Article 32, ne določa pa vaše pravne podlage, namena obdelave ali pravil hrambe.
Peta napaka je opustitev spremljanja statusa certifikata. Če certifikacija poteče, se obseg spremeni, se pojavijo ugotovitve nadzora ali ponudnik spremeni arhitekturo, mora pregled tveganja dobavitelja zajeti spremembo.
Praktični kontrolni seznam za pregled EUCS v letu 2026
Ta kontrolni seznam uporabite pred sprejemom EUCS kot dokazila za zagotavljanje zaupanja v ponudnika storitev v oblaku:
- Potrdite certifikacijsko shemo, raven zagotovila, imetnika certifikata in obdobje veljavnosti.
- Potrdite točne storitve, regije, modele uvedbe in pravne subjekte v obsegu.
- Primerjajte obseg certifikata z vnosom v evidenci storitev v oblaku.
- Preslikajte dokazila v kontrole ISO/IEC 27002:2022 5.20, 5.22 in 5.23.
- Posodobite register tveganj in SoA z dokazili certifikata in preostalim tveganjem.
- Validirajte kontrole na strani stranke, zlasti identiteto, MFA, beleženje, šifriranje, varnostne kopije in skrbniški dostop.
- Potrdite klavzule o lokaciji hrambe podatkov, podobdelovalcih, obveščanju o kršitvah, revizijskih dokazilih in prenehanju.
- Povežite poti obveščanja o incidentih s časovnimi roki NIS2, DORA in GDPR.
- Preglejte tveganje koncentracije in izhodno strategijo za kritične ali pomembne storitve.
- Načrtujte letni pregled in ponovno oceno ob dogodkih.
Naj dokazila EUCS delujejo znotraj vašega ISMS
Certifikacija EUCS za storitve v oblaku lahko v letu 2026 bistveno izboljša zagotavljanje zaupanja v ponudnike storitev v oblaku. Zmanjša lahko utrujenost zaradi vprašalnikov, okrepi skrbni pregled dobaviteljev in podpre dokazila za ISO 27001, NIS2, DORA in GDPR. Vendar postane zagovorljiva šele, ko je preslikana v vaš sistem upravljanja.
Clarysec pomaga organizacijam pretvoriti dokazila certifikacije za oblak v operacije skladnosti, pripravljene na revizijo, prek Zenith Blueprint, Zenith Controls, Politika uporabe storitev v oblaku, Politika uporabe storitev v oblaku - SME, Politika varnosti tretjih oseb in dobaviteljev - SME, Politika varnosti tretjih oseb in dobaviteljev in Politika pravne in regulativne skladnosti.
Če vaš časovni načrt za leto 2026 vključuje EUCS, pripravljenost na NIS2, IKT-tveganja tretjih oseb po DORA, obdelavo v oblaku po GDPR ali certifikacijo ISO/IEC 27001:2022, začnite z enim praktičnim ukrepom: vzpostavite evidenco storitev v oblaku, priložite dokazila zagotovil ponudnika in vsako kritično storitev v oblaku preslikajte v tveganja, pogodbe, kontrole in lastnike. Tam zagotavljanje zaupanja v oblak postane zagovorljivo.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
