Notranja presoja ISO 27001 za NIS2 in DORA
To je prvi sestanek revizijske komisije v letu 2026. Sarah, CISO pri FinSecure, hitro rastočem ponudniku SaaS in FinTech, ima na dnevnem redu petnajst minut. Upravni odbor ima pet vprašanj.
Ali smo pripravljeni na našo nadzorno presojo ISO/IEC 27001:2022? Ali kot ponudnik upravljanih storitev spadamo na področje uporabe NIS2? Ali DORA vpliva na nas, ker podpiramo stranke iz finančnega sektorja? Ali lahko dokažemo, da poročanje o incidentih, skrbni pregled dobaviteljev in neprekinjeno poslovanje dejansko delujejo? In zakaj je pregled pravic dostopa v prejšnjem četrtletju še vedno odkril račune, ki bi morali biti odstranjeni?
Sarah ima dokazila, vendar so razpršena. Inženiring ima izvoze iz pregledov ranljivosti. Nabava ima varnostne vprašalnike dobaviteljev. Pravna služba ima pogodbene klavzule. Vodja skladnosti ima sledilnik GDPR. SOC ima zapise o incidentih. Nič od tega ni očitno napačno, vendar nič od tega ne oblikuje skladne zgodbe o zagotovilu.
To je trenutek, ko program notranjih presoj ISO 27001 bodisi postane strateški mehanizem za ustvarjanje dokazil bodisi ostane enkrat letno lovljenje dokazil v zadnjem trenutku.
Za organizacije, na katere vplivata NIS2 in DORA, notranja presoja ne more več biti ceremonialni kontrolni seznam. Postati mora sistem zagotovil na podlagi tveganj, ki potrjuje, ali je obseg ISMS ustrezen, ali kontrole delujejo v praksi, ali so regulativne zahteve preslikane, ali so ugotovitve dosledno razvrščene in ali korektivni ukrepi dosežejo pregled vodstva. Leta 2026 najmočnejši programi ne bodo spraševali samo: »Ali smo izvedli presojo?« Spraševali bodo: »Ali lahko iz meseca v mesec dokažemo, da upravljanje kibernetske varnosti, odpornost IKT, varnost dobaviteljev in pripravljenost na incidente delujejo?«
Tak pristop Clarysec vgrajuje v Zenith Blueprint: An Auditor’s 30-Step Roadmap, Zenith Controls: The Cross-Compliance Guide in zbirko politik Clarysec. Cilj ni ustvariti ločenih projektov za ISO, NIS2 in DORA. Cilj je nadgraditi ISMS tako, da en program presoj ustvarja dokazila, uporabna za več zahtev po zagotovilih.
Zakaj se morajo programi notranjih presoj v letu 2026 spremeniti
NIS2 in DORA sta razpravo o presoji premaknila z dokumentacije na upravljano odpornost.
NIS2 velja za številne srednje in velike organizacije v kritičnih in pomembnih sektorjih, vključno z digitalno infrastrukturo, ponudniki storitev računalništva v oblaku, ponudniki podatkovnih centrov, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, spletnimi tržnicami, spletnimi iskalniki in platformami družbenih omrežij. Države članice so nacionalne ukrepe začele uporabljati oktobra 2024, zato številne organizacije v letu 2026 delujejo v prvem polnem letu zrelih pričakovanj NIS2.
DORA se od 17. januarja 2025 uporablja za širok nabor finančnih subjektov, vključno s kreditnimi institucijami, plačilnimi institucijami, institucijami za izdajo elektronskega denarja, investicijskimi podjetji, ponudniki storitev v zvezi s kriptosredstvi, zavarovalnicami in pozavarovalnicami, ponudniki storitev množičnega financiranja ter relevantnimi tretjimi ponudniki storitev IKT. DORA je sektorsko specifičen režim digitalne operativne odpornosti za zajete finančne subjekte. Ponudniki IKT, ki izvajajo storitve za finančne subjekte, lahko vpliv DORA občutijo tudi prek pogodb, pravic do revizije, sodelovanja pri testiranju, podpore pri incidentih, kontrol podizvajanja in zahtev za izhod.
Oba predpisa povečujeta odgovornost. NIS2 Člen 20 zahteva, da organi upravljanja odobrijo in nadzirajo ukrepe za obvladovanje tveganj kibernetske varnosti ter prejmejo usposabljanje iz kibernetske varnosti. DORA Člen 5 določa končno odgovornost organa upravljanja za tveganje IKT, vključno z odobritvijo in nadzorom strategije digitalne operativne odpornosti, politik IKT, ureditev neprekinjenega poslovanja in tveganj tretjih oseb.
ISO 27001 je za to okolje zelo primeren, ker je sistem upravljanja. Od organizacije zahteva, da razume svoj kontekst, opredeli zainteresirane strani in zahteve, določi obseg ISMS, ocenjuje in obravnava tveganja, spremlja uspešnost, izvaja notranje presoje in spodbuja nenehno izboljševanje. Namen ni prisiliti NIS2 in DORA v okvir, oblikovan po ISO. Namen je uporabiti ISO 27001 kot operacijski sistem za ponovljivo zagotavljanje zagotovil.
Začnite z obsegom: presojajte sistem, na katerega se zanaša upravni odbor
Šibek program notranjih presoj se začne z nejasnim obsegom, kot je »informacijska varnost«. Močan program se začne s poslovno in regulativno mejo.
ISO 27001 zahteva, da obseg ISMS upošteva notranja in zunanja vprašanja, zahteve zainteresiranih strani ter vmesnike ali odvisnosti z drugimi organizacijami. To je pomembno, ker so obveznosti NIS2 in DORA pogosto na robovih organizacije: oblačne platforme, zunanji ponudniki SOC, upravljano zaznavanje in odzivanje, plačilni sistemi, vmesniki API v finančni tehnologiji, obdelava podatkov strank, storitve varnostnega kopiranja in partnerji za eskalacijo incidentov.
Clarysecova Audit and Compliance Monitoring Policy-sme določa osnovo upravljanja:
Generalni direktor (GM) mora odobriti letni načrt presoj.
Iz razdelka »Zahteve upravljanja«, klavzula politike 5.1.1.
Za večja okolja Clarysecova Politika spremljanja presoj in skladnosti zvišuje pričakovanje:
Načrt presoj na podlagi tveganj se pripravi in odobri letno, pri čemer se upoštevajo:
Iz razdelka »Zahteve upravljanja«, klavzula politike 5.2.
Obseg zato ni zgolj presojevalčeva izbira. Je zaveza glede zagotavljanja zagotovil, ki jo odobri vodstvo.
Program notranjih presoj ISO 27001 za leto 2026, ki podpira NIS2 in DORA, mora vključevati:
- Klavzule in procese ISMS, vključno s kontekstom, vodenjem, upravljanjem tveganj, cilji, podporo, operacijami, vrednotenjem uspešnosti in izboljševanjem.
- Ustrezna področja kontrol iz Priloge A ISO/IEC 27001:2022, vključno z odnosi z dobavitelji, upravljanjem incidentov, neprekinjenim poslovanjem, zakonskimi obveznostmi, zasebnostjo, beleženjem, spremljanjem, upravljanjem ranljivosti, nadzorom dostopa, kriptografijo, varnim razvojem, upravljanjem sprememb in upravljanjem storitev v oblaku.
- Regulativne sloje, vključno z NIS2 Členi 20, 21 in 23, DORA Členi 5, 6, 8 do 14, 17 do 19, 24 do 27 in 28 do 30 ter zahtevami GDPR glede varnosti in odgovornosti.
- Ključne storitve in poslovne procese, zlasti kritične ali pomembne funkcije, bistvene storitve, platforme, namenjene strankam, in sisteme, ki podpirajo regulirane stranke.
- Odvisnosti od tretjih oseb, vključno z dobavitelji IKT, ponudniki storitev v oblaku, zunanjim razvojem, SOC, MSSP, obdelovalci podatkov in kritičnimi podizvajalci.
- Procese, ki ustvarjajo dokazila, vključno z ocenami tveganja, pregledi pravic dostopa, odpravo ranljivosti, vajami za incidente, testi obnovitve varnostnih kopij, pregledi dobaviteljev, testi neprekinjenega poslovanja in pregledi vodstva.
Zenith Blueprint to potrjuje v fazi Audit, Review & Improvement, korak 25, Internal Audit Program:
Določite obseg svojega programa notranjih presoj. V letnem ciklu morate na koncu zajeti vse relevantne procese in kontrole ISMS.
Iz faze Audit, Review & Improvement, korak 25: Internal Audit Program.
Ni treba, da vsak mesec presojate vse. Vendar morate v letnem ciklu zajeti vse relevantne procese in kontrole ISMS, pri čemer področja z visokim tveganjem in regulirana področja obravnavate pogosteje.
Zgradite obseg presoje okoli kontrolnih tem NIS2 in DORA
NIS2 Člen 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe. Njegova osnovna raven vključuje analizo tveganj, varnostne politike, obravnavanje incidentov, neprekinjeno poslovanje, upravljanje varnostnih kopij, obnovitev po nesreči, krizno upravljanje, varnost dobavne verige, varno nabavo in razvoj, obravnavo ranljivosti, oceno učinkovitosti, kibernetsko higieno, usposabljanje, kriptografijo, kadrovsko varnost, nadzor dostopa, upravljanje sredstev, MFA ali neprekinjeno avtentikacijo, kadar je ustrezno, ter varne komunikacije.
DORA ima podoben operativni življenjski cikel. Od finančnih subjektov zahteva, da identificirajo in razvrstijo poslovne funkcije, podprte z IKT, informacijska sredstva, sredstva IKT, odvisnosti in medsebojne povezave s tretjimi osebami. Zahteva tudi zaščito, zaznavanje, razvrščanje incidentov, odziv, obnovitev, varnostno kopiranje, ponovno vzpostavitev, testiranje, učenje po incidentu, komuniciranje in upravljanje tveganj tretjih oseb na področju IKT.
Enoten obseg presoje prepreči pogosto napako, da se ISO 27001 presoja ločeno od NIS2 in DORA.
| Področje presoje | Sidrišče presoje ISO 27001 | Relevantnost za NIS2 in DORA | Tipična dokazila |
|---|---|---|---|
| Upravljanje in zakonske obveznosti | Kontekst, vodenje, obravnava tveganja, zakonske in pogodbene zahteve | Nadzor upravnega odbora po NIS2, odgovornost organa upravljanja po DORA, odgovornost po GDPR | Pravni register, register zainteresiranih strani, obseg ISMS, apetit po tveganju, zapisniki upravnega odbora, pregled vodstva |
| Ocena in obravnava tveganja | Ocena tveganja, izjava o uporabnosti (SoA), načrt obravnave tveganja | Ustrezni in sorazmerni ukrepi po NIS2, okvir upravljanja tveganj IKT po DORA | Register tveganj, merila tveganja, odobritve obravnave, sprejem preostalega tveganja |
| Evidenca sredstev in odvisnosti | Upravljanje sredstev, upravljanje storitev v oblaku, storitve dobaviteljev | Sredstva IKT in medsebojne povezave po DORA, sistemi za izvajanje storitev po NIS2 | CMDB, zemljevidi tokov podatkov, evidenca dobaviteljev, evidenca storitev v oblaku, razvrstitev kritičnosti |
| Nadzor dostopa in identiteta | Kadrovska varnost, upravljanje dostopa, MFA, privilegirani dostop | Nadzor dostopa in MFA po NIS2, načelo najmanjših privilegijev in močna avtentikacija po DORA | Zahtevki za novozaposlene, premeščene in odhajajoče zaposlene, pregledi pravic dostopa, poročila MFA, dnevniki privilegiranih računov |
| Beleženje, spremljanje in zaznavanje | Beleženje, spremljanje, ocena dogodkov | Zaznavanje anomalij in razvrščanje incidentov po DORA, pripravljenost na incidente po NIS2 | Opozorila SIEM, pravila zaznavanja, zapisi triaže incidentov, nadzorne plošče za spremljanje |
| Upravljanje incidentov | Načrtovanje za incidente, odziv, zbiranje dokazov, pridobljene izkušnje | Delovni tok poročanja po NIS2, življenjski cikel incidentov IKT po DORA | Dnevnik incidentov, matrika resnosti, predloge obvestil, poročila o temeljnem vzroku, zapisi vaj |
| Neprekinjeno poslovanje in obnovitev | Pripravljenost IKT, varnostne kopije, varnost ob motnjah | Varnostno kopiranje in krizno upravljanje po NIS2, neprekinjeno poslovanje in obnovitev po DORA | BIA, načrti neprekinjenega poslovanja, testi varnostnih kopij, zapisi RTO in RPO, test kriznega komuniciranja |
| Dobavitelji in tveganje tretjih oseb na področju IKT | Sporazumi z dobavitelji, dobavna veriga IKT, nabava storitev v oblaku in izhod | Varnost dobavne verige po NIS2, register tretjih ponudnikov IKT in pogodbene klavzule po DORA | Skrbni pregled dobaviteljev, pogodbe, pravice do revizije, izhodni načrti, analiza tveganja koncentracije |
| Varen razvoj in ranljivosti | Varna nabava, razvoj, spremembe, upravljanje ranljivosti | Obravnava ranljivosti po NIS2, nameščanje popravkov in testiranje po DORA | Pregledi ranljivosti, SLA za odpravo, zahtevki za spremembe, pregled izvorne kode, poročila o penetracijskem testiranju |
| Spremljanje skladnosti in korektivni ukrepi | Spremljanje, notranja presoja, neskladnost in korektivni ukrep | Korektivni ukrepi po NIS2, presoja in spremljanje odprave po DORA | Poročila o presoji, sledilnik CAPA, nadzorna plošča KPI, ukrepi pregleda vodstva |
Ta struktura vsako področje presoje spremeni v skupen predmet zagotavljanja zagotovil. Notranji presojevalec preveri zahtevo ISO 27001, nato pa zabeleži, ali ista dokazila podpirajo tudi pričakovanja NIS2, DORA, GDPR, NIST CSF in COBIT 2019.
Leto načrtujte okoli tveganj, ne dokumentacije
Zenith Blueprint ekipam daje praktično zaporedje za pretvorbo presoje v izboljšave:
- Korak 25, Internal Audit Program: načrtovanje obsega, pogostosti, neodvisnosti in prioritet na podlagi tveganj.
- Korak 26, Audit Execution: zbiranje objektivnih dokazil z intervjuji, pregledom dokumentacije, opazovanjem in vzorčenjem.
- Korak 27, Audit Findings, Analysis & Root Cause: razvrstitev ugotovitev in določitev temeljnega vzroka.
- Korak 28, Management Review: vključitev rezultatov presoje, incidentov, neskladnosti, ciljev, tveganj in potreb po virih v pregled vodstva.
- Korak 29, Continual Improvement: oblikovanje korektivnih ukrepov, ki odpravljajo vzroke, ne le simptomov.
Zenith Blueprint je glede neodvisnosti izrecen:
Idealno je, da notranji presojevalec ne presoja lastnega dela.
Iz faze Audit, Review & Improvement, korak 25: Internal Audit Program.
Za manjše podjetje SaaS ali fintech to lahko pomeni, da varnostne procese presoja vodja iz druge funkcije, da se rotirajo lastniki kontrol ali da se uporabi zunanji svetovalec. Ključno je dokumentirati usposobljenost in neodvisnost, zlasti kadar lahko dokazila za NIS2 in DORA pozneje pregledajo stranke, regulatorji, nadzorni organi ali zunanji presojevalci.
Audit and Compliance Monitoring Policy-sme opredeljuje tudi minimalno strukturo presoje:
Vsaka presoja mora vključevati opredeljen obseg, cilje, odgovorno osebje in zahtevana dokazila.
Iz razdelka »Zahteve upravljanja«, klavzula politike 5.2.3.
Praktična četrtletna struktura za hitro rastočega ponudnika SaaS ali IKT bi lahko bila:
| Četrtletje | Primarni fokus presoje | Regulativni poudarek | Glavni rezultati |
|---|---|---|---|
| Q1 | Upravljanje incidentov in poročanje | NIS2 Člen 23, DORA Členi 17 do 19 | Poročilo presoje incidentov, test delovnega toka obveščanja, pregled matrike resnosti |
| Q2 | Upravljanje tveganj tretjih oseb na področju IKT | NIS2 Člen 21, DORA Členi 28 do 30 | Vzorec dobaviteljev, pregled pogodb, dokazila skrbnega pregleda, pregled izhodnega načrtovanja |
| Q3 | Neprekinjeno poslovanje in testiranje odpornosti | NIS2 Člen 21, DORA Členi 11, 12, 24 do 27 | Dokazila obnovitve varnostnih kopij, vaja neprekinjenega poslovanja, odprava ugotovitev testiranja odpornosti |
| Q4 | Upravljanje, tveganja in skladnost | NIS2 Člen 20, DORA Členi 5 in 6, ISO 27001 Klavzule 5, 9 in 10 | Paket za pregled vodstva, status CAPA, odločitve o preostalem tveganju, načrt presoj za naslednje leto |
To ne nadomešča mesečnega zbiranja dokazil. Letu daje jasen ritem zagotavljanja zagotovil.
Vzorčenje: koliko dokazil je dovolj?
Vzorčenje je točka, kjer številne notranje presoje postanejo bodisi preveč površne bodisi predrage. V reguliranih okoljih IKT mora biti vzorčenje izvedeno na podlagi tveganj, razložljivo in dokumentirano.
Zenith Blueprint, korak 26, podaja praktično načelo:
Vzorčite in izvajajte naključne preglede: ne morete preveriti vsega, zato uporabite vzorčenje.
Iz faze Audit, Review & Improvement, korak 26: Audit Execution.
Clarysecova politika za večja podjetja to naredi preverljivo:
Dokumentacija strategije vzorčenja, obsega presoje in omejitev
Iz razdelka »Zahteve upravljanja«, klavzula politike 5.5.3.
Za NIS2 in DORA mora vzorčenje upoštevati kritičnost, tveganje, pomembnost dobavitelja, časovno obdobje, zgodovino incidentov, geografijo in to, ali vzorčeni proces podpira kritične ali pomembne funkcije.
| Področje kontrole | Populacija | Predlagani vzorec | Prilagoditev na podlagi tveganj |
|---|---|---|---|
| Dodeljevanje dostopa | Vsi novi uporabniški računi v četrtletju | 10 računov ali 10 odstotkov, kar je več | Vključite vse privilegirane račune in administratorje kritičnih aplikacij |
| Odstranitev dostopa ob odhodu | Vsi uporabniki, ki jim je v četrtletju prenehalo razmerje | 100 odstotkov za privilegirane uporabnike, 10 standardnih uporabnikov | Povečajte vzorec, če se je spremenila integracija HR ali IAM |
| Skrbni pregled dobaviteljev | Aktivni dobavitelji IKT | Vsi kritični dobavitelji, 5 dobaviteljev s srednjim tveganjem, 3 dobavitelji z nizkim tveganjem | Vključite dobavitelje, ki podpirajo finančne stranke ali bistvene storitve |
| Odprava ranljivosti | Kritične in visoke ugotovitve, zaprte v četrtletju | 15 zahtevkov prek sistemov | Vključite sisteme, izpostavljene internetu, in ponavljajoče se izjeme |
| Upravljanje incidentov | Vsi varnostni incidenti v četrtletju | Vsi večji incidenti, 5 manjših incidentov, 3 primeri triaže lažno pozitivnih zaznav | Vključite incidente z osebnimi podatki, vplivom na stranke ali čezmejno relevantnostjo |
| Obnovitev varnostnih kopij | Testi varnostnih kopij, izvedeni v četrtletju | Vsi testi kritičnih sistemov, 3 nekritični sistemi | Vključite sisteme, ki podpirajo kritične ali pomembne funkcije |
| Upravljanje sprememb | Produkcijske spremembe v četrtletju | 15 sprememb, vključno z nujnimi spremembami | Vključite spremembe, ki vplivajo na avtentikacijo, beleženje, šifriranje ali podatke strank |
| Varnostno usposabljanje | Zaposleni in pogodbeni izvajalci, aktivni v obdobju | 20 uporabnikov po oddelkih | Vključite člane organa upravljanja in privilegirane tehnične vloge |
Za okolja, na katera vpliva DORA, dokazila o testiranju zahtevajo posebno pozornost. DORA za finančne subjekte zahteva testiranje digitalne operativne odpornosti, za izbrane subjekte pa tudi naprednejše testiranje, kot je penetracijsko testiranje na podlagi obveščevalnih podatkov o grožnjah, najmanj vsaka tri leta. Vaš vzorec presoje mora vključevati ne samo poročila o testih, temveč tudi dokazila, da so bile ugotovitve prednostno obravnavane, odpravljene in ponovno testirane.
Praktični primer presoje: tveganje tretjih oseb na področju IKT
Varnost dobaviteljev je pogosto najhitrejši način za razkritje vrzeli med dokumentacijo in operativno resničnostjo. DORA Členi 28 do 30 zahtevajo upravljanje tveganj tretjih oseb na področju IKT, pogodbeno vsebino in registre informacij. NIS2 Člen 21 zahteva varnost dobavne verige, ki upošteva ranljivosti in prakse neposrednih dobaviteljev.
Za presojo v Q2 Sarah vzorči pet kritičnih dobaviteljev, tri nove dobavitelje, uvedene v zadnjih šestih mesecih, in dva dobavitelja z nedavno podaljšanimi pogodbami. Presojevalec opravi intervjuje z nabavo, pravno službo, lastniki storitev in lastniki varnostnih kontrol.
| Zahteva DORA ali NIS2 | Sidrišče kontrole ISO 27001:2022 | Presojevalno vprašanje | Dokazila za zbiranje |
|---|---|---|---|
| DORA Člen 28, register tretjih oseb IKT | A.5.19 Informacijska varnost v odnosih z dobavitelji | Ali obstaja popoln in ažuren register ureditev s tretjimi ponudniki IKT? | Aktivna evidenca dobaviteljev in vzorčeni zapisi kritičnih dobaviteljev |
| DORA Člen 28, predpogodbena ocena tveganja | A.5.19 Informacijska varnost v odnosih z dobavitelji | Ali je bil skrbni pregled izveden pred podpisom ali podaljšanjem pogodb z dobavitelji? | Poročila skrbnega pregleda, ocene tveganja in zapisi odobritev |
| DORA Člen 30, pogodbena vsebina | A.5.20 Obravnava informacijske varnosti v sporazumih z dobavitelji | Ali pogodbe vključujejo varnostne ukrepe, pravice do revizije, pomoč pri incidentih in podporo ob prenehanju, kadar je to zahtevano? | Pogodbe, dodatki, varnostni načrti in zapiski pravnega pregleda |
| NIS2 Člen 21, varnost dobavne verige | A.5.21 Upravljanje informacijske varnosti v dobavni verigi IKT | Ali so varnostne prakse dobaviteljev, podizvajanje in odvisnosti storitev razumljeni? | Varnostni vprašalniki dobaviteljev, razkritja podizvajalcev in zemljevidi odvisnosti |
| Stalno spremljanje dobaviteljev | A.5.22 Spremljanje, pregled in upravljanje sprememb storitev dobaviteljev | Ali se uspešnost in varnost dobaviteljev pregledujeta skozi čas? | Zapisniki QBR, poročila SLA, poročila o presojah in zapisi letnih pregledov |
Ta tabela ne usmerja le zbiranja dokazil. Dokazuje, da je organizacija regulativno besedilo prevedla v presojevalna merila, usklajena z ISO, in v konkretna dokazila.
Ugotovitve: napišite jih tako, da lahko vodstvo ukrepa
Ugotovitev presoje ne sme zveneti kot nejasna pritožba. Biti mora dovolj strukturirana, da vodstvo razume tveganje, dodeli odgovornost in odobri korektivni ukrep.
Audit and Compliance Monitoring Policy-sme določa:
Vse ugotovitve presoje morajo biti dokumentirane z ocenami tveganja in predlaganimi ukrepi.
Iz razdelka »Zahteve upravljanja«, klavzula politike 5.4.1.
Podjetniška Politika spremljanja presoj in skladnosti dodaja disciplino korektivnih ukrepov:
Vse ugotovitve morajo voditi v dokumentiran CAPA, ki vključuje:
Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.2.1.
V Zenith Blueprint korak 27 priporoča razvrščanje ugotovitev na večje neskladnosti, manjše neskladnosti ali opažanja, nato pa izvedbo analize temeljnega vzroka. Večja neskladnost pomeni resno vrzel ali sistemsko odpoved. Manjša neskladnost je osamljen odklon v sicer skladnem procesu. Opažanje je priložnost za izboljšavo.
Močna ugotovitev vključuje:
- Zahtevo ali pričakovanje kontrole.
- Opaženo stanje.
- Vzorčena dokazila.
- Tveganje in vpliv na poslovanje.
- Regulativno relevantnost.
- Razvrstitev in oceno tveganja.
- Temeljni vzrok.
- Lastnika korektivnega ukrepa in rok izvedbe.
Primer ugotovitve:
Ugotovitev NC-2026-07, manjša neskladnost, zamuda pri varnostnem pregledu dobaviteljev
Zahteva: Varnostni pregledi dobaviteljev za kritične ponudnike IKT morajo biti izvedeni najmanj letno, kar podpira kontrole dobaviteljev po ISO 27001, pričakovanja NIS2 glede dobavne verige in obveznosti DORA glede tveganj tretjih oseb na področju IKT.
Stanje: Dva od dvanajstih kritičnih dobaviteljev IKT do zahtevanega datuma nista imela zaključenih varnostnih pregledov za leto 2026.
Dokazila: Izvoz evidence dobaviteljev z dne 15. junija 2026, sledilnik pregledov dobaviteljev, intervju z vodjo nabave in dva manjkajoča zapisa pregleda.
Tveganje: Zamujen pregled dobavitelja lahko prepreči pravočasno identifikacijo ranljivosti, sprememb pri podizvajanju, vrzeli v podpori pri incidentih ali pogodbenih neskladnosti, ki vplivajo na kritične storitve.
Temeljni vzrok: Nabava ni bila samodejno obveščena ob približevanju datumov pregledov dobaviteljev, lastništvo dokazil za dobavitelje, povezanih z DORA, pa ni bilo dodeljeno.
Korektivni ukrep: Konfigurirati samodejne opomnike za preglede, dodeliti imenovane lastnike kontrol za vse kritične dobavitelje IKT, zaključiti zapadle preglede do 31. julija 2026 in izvajati četrtletne vzorčne preglede.
Za analizo temeljnega vzroka je uporabna tehnika »5 zakajev«. Če je bila predpogodbena ocena izpuščena, resnični vzrok morda ni posameznikova napaka. Lahko gre za to, da je nabavni delovni tok omogočal, da so pogodbe IKT nizke vrednosti obšle varnostni pregled, čeprav se pričakovanja DORA in NIS2 uporabljajo na podlagi tveganja in odvisnosti, ne zgolj na podlagi vrednosti porabe.
Koledar dokazil za leto 2026
Koledar dokazil za leto 2026 notranjo presojo spremeni v operativni ritem. Ustvarjanje dokazil porazdeli skozi leto in prepreči lovljenje dokazil ob koncu leta.
Clarysecova Politika informacijske varnosti pričakuje pregled upravljanja za:
Pregled ključnih kazalnikov uspešnosti (KPI) na področju varnosti, incidentov, ugotovitev presoje in statusa tveganj
Iz razdelka »Zahteve upravljanja«, klavzula politike 5.3.2.
Dokazila se ne zbirajo samo za presojevalce. Podpirajo odločitve o tveganjih, proračunu, virih, dobaviteljih, orodjih, usposabljanju in korektivnih ukrepih.
| Mesec | Fokus presoje in dokazil | Ključni rezultati dokazil |
|---|---|---|
| Januar | Potrditev regulativnega obsega, obsega ISMS in načrta presoj za 2026 | Odobren načrt presoj, pregled obsega ISMS, presoja uporabljivosti NIS2 in DORA, posodobitev pravnega registra |
| Februar | Upravljanje, apetit po tveganju in usposabljanje organa upravljanja | Zapisniki upravnega odbora, zapisi o usposabljanjih, merila tveganja, posodobljen register tveganj |
| Marec | Evidenca sredstev, podatkov in odvisnosti | Izvoz CMDB, zemljevidi tokov podatkov, seznam kritičnih storitev, zemljevid medsebojnih povezav dobaviteljev IKT |
| April | Presoja nadzora dostopa in MFA | Zapisi pregledov pravic dostopa, vzorec privilegiranega dostopa, poročilo o pokritosti MFA, testiranje odhodov |
| Maj | Ranljivosti, nameščanje popravkov in varno upravljanje sprememb | Metrike ranljivosti, dokazila odprave, vzorec zahtevkov za spremembe, odobritve izjem |
| Junij | Upravljanje dobaviteljev in storitev v oblaku | Vzorec skrbnega pregleda dobaviteljev, pregled pogodbenih klavzul, pravice do revizije, izhodni načrti, opombe o tveganju koncentracije |
| Julij | Vaja upravljanja incidentov in poročanja | Simulacija incidenta, razvrščanje resnosti, test delovnega toka poročanja po NIS2, test eskalacije incidenta po DORA |
| Avgust | Beleženje, spremljanje in zaznavanje | Primeri uporabe SIEM, uglaševanje opozoril, pokritost spremljanja, vzorec eskalacije |
| September | Varnostno kopiranje, obnovitev in neprekinjeno poslovanje | Zapisi testov varnostnih kopij, dokazila RTO in RPO, vaja neprekinjenega poslovanja, test kriznega komuniciranja |
| Oktober | Varen razvoj in varnost aplikacij | Dokazila SDLC, vzorec pregleda izvorne kode, rezultati varnostnega testiranja, pregled zunanjega razvoja |
| November | Celovita notranja presoja ISMS in pregled navzkrižne skladnosti | Poročilo notranje presoje, register ugotovitev, preslikava NIS2 in DORA, dokazila odgovornosti po GDPR |
| December | Pregled vodstva in zapiranje korektivnih ukrepov | Zapisnik pregleda vodstva, status CAPA, sprejem preostalega tveganja, vhodni podatki za načrt presoj 2027 |
Ta koledar revizijski komisiji daje vnaprej usmerjen načrt zagotavljanja zagotovil, lastnikom kontrol pa čas, da dokazila ustvarijo v okviru rednega delovanja.
Hrbtenica ISO 27002:2022: 5.31, 5.35 in 5.36
Zenith Controls je Clarysecov vodnik za navzkrižno skladnost. Področja kontrol ISO/IEC 27001:2022 in ISO/IEC 27002:2022 preslika na druge standarde, predpise, pričakovanja presoj in vzorce dokazil. Še posebej je uporaben za povezovanje notranjega pregleda, zakonskih obveznosti in upoštevanja politik.
Tri področja kontrol ISO/IEC 27002:2022 tvorijo hrbtenico enotnega programa notranjih presoj:
| Področje ISO 27002:2022, izpostavljeno v Zenith Controls | Presojevalno vprašanje | Vrednost za NIS2 in DORA |
|---|---|---|
| 5.31 Zakonske, statutarne, regulativne in pogodbene zahteve | Ali vemo, katere obveznosti veljajo, in ali smo jih preslikali na kontrole in dokazila? | Podpira uporabljivost NIS2, obveznosti IKT po DORA, pogodbe s strankami in odgovornost po GDPR |
| 5.35 Neodvisni pregled informacijske varnosti | Ali so pregledi objektivni, načrtovani, strokovni in ali se na podlagi njih ukrepa? | Podpira zagotovilo glede ukrepov kibernetske varnosti, testiranja odpornosti IKT in nadzora vodstva |
| 5.36 Skladnost s politikami, pravili in standardi za informacijsko varnost | Ali se notranja pravila v praksi upoštevajo in stalno spremljajo? | Podpira izvajanje politike, kibernetsko higieno, nadzor dostopa, pripravljenost na incidente in korektivne ukrepe |
Kontrola 5.35 je temelj zagotavljanja zagotovil, ker potrjuje, ali se ISMS neodvisno pregleduje. Kontrola 5.36 potrjuje, da politike niso zgolj odobrene, temveč se dejansko upoštevajo. Kontrola 5.31 povezuje ISMS z zakonskimi, regulativnimi in pogodbenimi obveznostmi, vključno z NIS2, DORA, GDPR in varnostnimi zahtevami strank.
Preslikava navzkrižne skladnosti: ena presoja, več vidikov zagotovila
Zrel delovni dokument notranje presoje mora izrecno pokazati, kako eno dokazilo podpira več pričakovanj glede zagotavljanja zagotovil.
| Dokazilo presoje | Zagotovilo ISO 27001 | Relevantnost za NIS2 | Relevantnost za DORA | Relevantnost za GDPR, NIST in COBIT |
|---|---|---|---|---|
| Pravni in regulativni register | Kontekst in obveznosti skladnosti | Obseg, status subjekta, sprožilci Člena 21 | Sektorsko specifične obveznosti odpornosti IKT | Odgovornost po GDPR, NIST CSF GOVERN, zunanja skladnost COBIT |
| Register tveganj in načrt obravnave | Ocena tveganja, obravnava, izjava o uporabnosti | Ustrezni in sorazmerni ukrepi | Okvir upravljanja tveganj IKT in toleranca | Upravljanje tveganj NIST, optimizacija tveganj COBIT |
| Poročilo namizne vaje incidenta | Pripravljenost na incidente in pridobljene izkušnje | Pripravljenost delovnega toka poročanja | Razvrstitev, eskalacija, poročanje in temeljni vzrok | Pripravljenost na kršitve po GDPR, NIST CSF RESPOND, upravljani incidenti COBIT |
| Datoteka skrbnega pregleda dobavitelja | Odnos z dobavitelji in dobavna veriga IKT | Ranljivosti in prakse dobaviteljev | Register tretjih oseb IKT, skrbni pregled, izhodno načrtovanje | NIST C-SCRM, upravljanje dobaviteljev COBIT |
| Test obnovitve varnostne kopije | Pripravljenost IKT in neprekinjeno poslovanje | Varnostno kopiranje, obnovitev po nesreči, krizno upravljanje | Cilji obnovitve, ponovno vzpostavljanje in preverjanja celovitosti | Razpoložljivost po GDPR, NIST CSF RECOVER, neprekinjeno poslovanje COBIT |
| Pregled pravic dostopa | Nadzor dostopa in kadrovska varnost | Pričakovanja glede nadzora dostopa in MFA | Načelo najmanjših privilegijev in močna avtentikacija | Celovitost in zaupnost po GDPR, NIST CSF PROTECT |
To CISO omogoča, da upravnemu odboru pove: »Naša julijska presoja incidentov je ustvarila dokazila za ISO 27001, NIS2, zagotovila strankam po DORA, pripravljenost na kršitve po GDPR, izide odzivanja po NIST CSF in upravljanje incidentov po COBIT.«
Pregled vodstva: kjer presoja postane odgovornost
Notranja presoja ima malo vrednosti, če ugotovitve ne dosežejo vodstva. Pregled vodstva po ISO 27001 zagotavlja mehanizem, NIS2 in DORA pa izrecno določata pričakovanje upravljanja.
Audit and Compliance Monitoring Policy-sme zahteva:
Ugotovitve presoje in posodobitve statusa morajo biti vključene v proces pregleda vodstva ISMS.
Iz razdelka »Zahteve upravljanja«, klavzula politike 5.4.3.
Prav tako določa:
GM mora odobriti načrt korektivnih ukrepov in spremljati njegovo izvedbo.
Iz razdelka »Zahteve upravljanja«, klavzula politike 5.4.2.
Pregled vodstva mora odgovoriti na naslednja vprašanja:
- Ali so obveznosti NIS2, DORA, GDPR in pogodbene obveznosti še vedno pravilno odražene v obsegu ISMS?
- Ali se kontrole z visokim tveganjem presojajo dovolj pogosto?
- Katere ugotovitve kažejo na sistemsko pomanjkljivost, ne na osamljeno napako?
- Ali so korektivni ukrepi zapadli?
- Ali lastniki tveganj zavestno sprejemajo preostalo tveganje?
- Ali so dobavitelji, poročanje o incidentih, neprekinjeno poslovanje in testiranje ustrezno podprti z viri?
- Ali trendi presoj kažejo na potrebo po spremembah politik, orodij, proračuna ali usposabljanja?
Če ti odgovori niso dokumentirani, ima organizacija morda dokazila o dejavnosti, ne pa dokazil o upravljanju.
Pogoste pasti, ki se jim je treba izogniti v letu 2026
Najpogostejša napaka je obravnavanje notranje presoje ISO 27001 ločeno od regulativnega zagotavljanja zagotovil. To ustvarja podvajanje in slepe pege.
Druge pasti vključujejo:
- Obseg izključuje kritične dobavitelje, oblačne platforme ali zunanje storitve SOC.
- Uporabljivost NIS2 ali DORA ni dokumentirana v pravnem registru.
- Načrt presoj ni odobren s strani vodstva.
- Vzorčenje se izvaja, vendar ni dokumentirano.
- Notranji presojevalci brez omilitvenih ukrepov pregledujejo lastno delo.
- Ugotovitve opisujejo simptome, ne temeljnih vzrokov.
- Korektivni ukrepi posodabljajo dokumente, vendar ne popravljajo procesov.
- Pregled vodstva prejme rezultate presoje, vendar ne sprejme odločitev.
- Vaje za incidente testirajo tehnični odziv, ne pa regulativnega obveščanja.
- Presoje dobaviteljev pregledujejo vprašalnike, ne pa pogodb, izhodnih načrtov ali tveganja koncentracije.
- Dokazila o varnostnem kopiranju kažejo uspešno izvedena opravila, ne pa celovitosti obnovitve.
- Pregledi pravic dostopa se izvajajo, vendar se izjeme ne spremljajo do zaprtja.
Vsaka past lahko postane manjša ali večja neskladnost, odvisno od resnosti in sistemskega vpliva. Še pomembneje, vsaka slabi zmožnost organizacije, da dokaže odpornost v okviru NIS2, DORA in pregleda strank.
Spremenite svoj načrt presoj za leto 2026 v mehanizem za ustvarjanje dokazil
Če je vaš program notranjih presoj še vedno en sam letni dogodek, je zdaj čas, da ga preoblikujete.
Začnite z načrtom presoj, ki ga odobri vodstvo. Opredelite obseg ISMS okoli dejanskih storitev, reguliranih obveznosti in odvisnosti od tretjih oseb. Zgradite obseg presoje na podlagi tveganj. Dokumentirajte vzorčenje. Dosledno razvrščajte ugotovitve. Uporabljajte analizo temeljnega vzroka. Spremljajte CAPA. Rezultate vključite v pregled vodstva. Vzdržujte mesečni koledar dokazil.
Clarysec vam lahko pomaga pospešiti delo z:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap za načrtovanje presoj, izvedbo, ugotovitve, pregled vodstva in nenehno izboljševanje.
- Zenith Controls: The Cross-Compliance Guide za preslikavo zagotovila ISO 27001 na pričakovanja NIS2, DORA, GDPR, NIST CSF in COBIT.
- Politiko spremljanja presoj in skladnosti in Audit and Compliance Monitoring Policy-sme za upravljavsko pripravljeno načrtovanje presoj in upravljanje ugotovitev.
- Politiko informacijske varnosti za pregled KPI, incidentov, ugotovitev presoje in statusa tveganj na ravni vodstva.
Izberite eno področje z visokim tveganjem, na primer poročanje o incidentih ali upravljanje dobaviteljev IKT, in izvedite usmerjeno notranjo presojo z uporabo Clarysecove strukture obsega, vzorčenja in ugotovitev. V enem ciklu boste vedeli, ali so vaša dokazila pripravljena za presojo, ali kontrole delujejo in ali ima vaš organ upravljanja informacije, ki jih potrebuje za upravljanje kibernetskega tveganja.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
