⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
SL EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SV
NIS2 DORA GDPR NIST COBIT 2019

Odgovornost organa upravljanja po NIS2: dokazila ISO 27001

Igor Petreski
14 min read
#Upravljanje tveganj #Presoja #ISMS #Odziv na incidente #Neprekinjeno poslovanje #Upravljanje dobaviteljev
Diagram odgovornosti organa upravljanja po NIS2 in dokazil upravljanja po ISO 27001

E-poštno sporočilo je v Marijin nabiralnik prispelo v ponedeljek ob 08:15. Kot vodja informacijske varnosti pri hitro rastočem evropskem ponudniku storitev v oblaku je bila navajena nujnih sporočil, vendar je bilo to drugačno.

Finančni direktor je vprašalnik stranke o informacijski varnosti posredoval generalnemu direktorju, sekretarju organa upravljanja in Mariji. Zadeva je bila kratka: »Pred podaljšanjem pogodbe so zahtevana dokazila o odgovornosti organa upravljanja po NIS2.«

Stranka ni zahtevala še enega poročila o penetracijskem testiranju. Želela je vedeti, ali je organ upravljanja odobril ukrepe za obvladovanje tveganj kibernetske varnosti, kako se nadzira njihovo izvajanje, ali je izvršno vodstvo opravilo usposabljanje o kibernetskih tveganjih, kako se eskalirajo pomembni incidenti in kako se tveganja dobaviteljev pregledujejo na ravni vodstva. Generalni direktor je dodal en stavek: »Maria, kakšna je naša izpostavljenost in kako dokažemo dolžno skrbnost? Organ upravljanja to potrebuje naslednji teden.«

To je trenutek, ko NIS2 za številne ponudnike SaaS, storitev v oblaku, ponudnike upravljanih storitev, ponudnike upravljanih varnostnih storitev, podatkovnih centrov, fintech storitev in digitalne infrastrukture postane resničnost. Direktiva (EU) 2022/2555 kibernetske varnosti ne obravnava kot težave tehničnega oddelka. Kibernetsko tveganje spremeni v vprašanje odgovornosti organa upravljanja.

NIS2 Article 20 od organov upravljanja bistvenih in pomembnih subjektov zahteva, da odobrijo ukrepe za obvladovanje tveganj kibernetske varnosti, nadzorujejo njihovo izvajanje in opravijo usposabljanje. Državam članicam omogoča tudi določitev odgovornosti za kršitve. Article 21 nato določa praktično izhodišče: analizo tveganj, varnostne politike, obravnavanje incidentov, neprekinjeno poslovanje, varnost dobavne verige, varno pridobivanje in razvoj, ocenjevanje učinkovitosti, kibernetsko higieno, usposabljanje, kriptografijo, kadrovsko varnost, nadzor dostopa, upravljanje sredstev in avtentikacijo.

Za organizacije, ki že uporabljajo ISO/IEC 27001:2022, je struktura znana. Razlika je v občinstvu in dokazilnem bremenu. Vprašanje ni več le: »Ali imamo varnostne kontrole?« Vprašanje je: »Ali lahko organ upravljanja dokaže, da je te kontrole odobril, razumel, financiral, pregledoval, preizpraševal in izboljševal?«

Tu ISO/IEC 27001:2022 postane zagovorljiv sistem upravljanja. Pristop Clarysec uporablja ISO/IEC 27001:2022 kot dokazilno ogrodje, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint kot izvedbeno pot, politike Clarysec kot artefakte, pripravljene za organ upravljanja, in Zenith Controls: The Cross-Compliance Guide Zenith Controls kot vodnik za preslikavo med okviri za NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 in revizijska pričakovanja.

Zakaj odgovornost organa upravljanja po NIS2 spreminja razpravo o kibernetski varnosti

NIS2 od direktorjev ne zahteva, da postanejo inženirji požarnih zidov. Zahteva, da upravljajo. Ta razlika je pomembna.

Vodja informacijske varnosti lahko pokaže poročila o ranljivostih, pokritost z MFA, nadzorne plošče zaščite končnih točk in ocene profila tveganja v oblaku. To so koristni operativni signali, vendar sami po sebi ne dokazujejo nadzora organa upravljanja. Regulator, korporativna stranka, certifikacijski presojevalec ali presojevalec iz finančnega sektorja bo iskal verigo dokazil upravljanja:

  1. Organizacija je ocenila, ali se NIS2 uporablja, in dokumentirala podlago.
  2. Organ upravljanja ali najvišje vodstvo je odobril okvir za obvladovanje tveganj kibernetske varnosti.
  3. Določeni so bili apetit po tveganju in tolerančni pragovi.
  4. Visoka kibernetska tveganja so bila eskalirana in pregledana.
  5. Odločitve o obravnavi tveganj so bile odobrene, vključno s sprejetim preostalim tveganjem.
  6. Postopki poročanja o incidentih odražajo 24-urne, 72-urne in končne poročevalske obveznosti, kadar se uporabljajo.
  7. Odvisnosti od dobaviteljev in oblaka so popisane in upravljane.
  8. Vodstveni pregled vključuje ugotovitve presoje, trende incidentov, kazalnike in ukrepe za izboljšanje.
  9. Izvršno vodstvo je opravilo usposabljanje, ustrezno njegovi odgovornosti.
  10. Odločitve, izjeme in eskalacije so sledljive.

Tu odpove veliko starih varnostnih priročnikov. Nakup orodja, ki je »skladno z NIS2«, ne dokazuje nadzora organa upravljanja. Podpis politike in njena vložitev v mapo ne dokazujeta izvajanja. Popoln prenos kibernetske varnosti na vodjo informacijske varnosti ne izpolnjuje nadzorne dolžnosti organa upravljanja.

ISO/IEC 27001:2022 to težavo rešuje, ker informacijsko varnost opredeli kot strateški, na tveganjih temelječ sistem upravljanja, vključen v organizacijske procese. Njegove točke o kontekstu, zainteresiranih straneh, zakonskih obveznostih, obsegu, voditeljstvu, oceni tveganj, obravnavi tveganj, operativnem nadzoru, vrednotenju uspešnosti, notranji presoji, vodstvenem pregledu in nenehnem izboljševanju ustvarijo strukturo, ki jo organ upravljanja potrebuje za dolžno skrbnost.

Zenith Blueprint to operacionalizira v fazi ISMS Foundation & Leadership, Step 3:

»Clause 5.1 v celoti obravnava voditeljstvo in zavezanost. ISO 27001 zahteva, da najvišje vodstvo izkazuje voditeljstvo s potrjevanjem ISMS, zagotavljanjem virov, spodbujanjem ozaveščenosti, zagotavljanjem dodelitve vlog, vključevanjem ISMS v poslovne procese in podporo nenehnemu izboljševanju.«

To je operativni model za NIS2 Article 20. Organu upravljanja ni treba odobriti vsakega tehničnega zahtevka, mora pa odobriti model upravljanja, razumeti pomembna tveganja, zagotoviti vire in nadzorovati izvajanje.

Paket dokazil za organ upravljanja, ki ga NIS2 dejansko zahteva

Pogosta napaka je, da se dokazila za NIS2 obravnavajo kot pravno mnenje in mapa politik. To resnega presojevalca redko zadovolji. Odgovornost organa upravljanja zahteva dokaz aktivnega upravljanja, ne pasivne dokumentacije.

Močan paket dokazil za organ upravljanja po NIS2 mora povezati zakonske obveznosti z odločitvami organa upravljanja, kontrolami in cikli pregledov.

Dokazilni artefaktVprašanje odgovornosti organa upravljanja, na katero odgovarjaSidrišče ISO/IEC 27001:2022Vir Clarysec
Ocena uporabljivosti NIS2Ali smo bistveni, pomembni, posredno izpostavljeni ali zunaj področja uporabe?Točke 4.1 do 4.4Zenith Blueprint, Step 1 in Step 2
Obseg ISMS in zemljevid odvisnostiKatere storitve, lokacije, dobavitelji, vmesniki in procesi so upravljani?Točke 4.1 do 4.4Zenith Blueprint, faza ISMS Foundation
Register kibernetskih tveganjKatera so naša največja kibernetska tveganja in kdo je njihov lastnik?Točki 6.1.1 in 6.1.2Risk Management Policy
Načrt obravnave tveganj in Izjava o uporabljivostiKatere kontrole so izbrane, zakaj in kdo je odobril preostalo tveganje?Točka 6.1.3Zenith Blueprint, Step 13
Zapisniki organa upravljanja in dnevnik odločitevAli je vodstvo ukrepe odobrilo, preizprašalo in nadzorovalo?Točke 5.1, 5.3, 9.3Governance Roles and Responsibilities Policy
Postopek eskalacije incidentov in poročanjaAli lahko izpolnimo fazne roke poročanja po NIS2?Točki 8.1, 9.1, incidentne kontrole iz Priloge AOrodja za odziv na incidente in vodstveni pregled
Nadzorna plošča tveganj dobaviteljevAli so kritični dobavitelji in odvisnosti od oblaka upravljani?Točka 8.1 in kontrole dobaviteljev iz Priloge AMedokvirna preslikava Zenith Controls
Evidenca usposabljanja izvršnega vodstvaAli so člani organa upravljanja opravili ustrezno usposabljanje?Točka 7.2 in kontrole ozaveščanjaInformation Security Awareness and Training Policy
Rezultati notranje presoje in vodstvenega pregledaAli je izvajanje neodvisno preverjeno in izboljševano?Točke 9.2, 9.3, 10.1Audit and Compliance Monitoring Policy - SME

Moč tega paketa je sledljivost. Vsak artefakt odgovori na vprašanje upravljanja in kaže na mehanizem ISO/IEC 27001:2022. To vodji informacijske varnosti, generalnemu direktorju in organu upravljanja daje zagovorljivo razlago: kibernetska varnost ni zbirka orodij, temveč upravljan sistem.

Pretvorba politik v odgovornost na ravni organa upravljanja

V uvodnem scenariju bo Marijin generalni direktor morda želel stranki odgovoriti s certifikatom ISO in nekaj politikami. To za odgovornost organa upravljanja po NIS2 ni dovolj. Organizacija potrebuje dokazila, da je odgovornost dodeljena, da so odločitve zapisane in da se tveganja eskalirajo objektivno.

Politike Clarysec so zasnovane tako, da ustvarijo to sledljivost.

Za manjše organizacije Information Security Policy-sme Information Security Policy - SME, točka 4.1.1, določa, da najvišje vodstvo:

»Ohranja celovito odgovornost za informacijsko varnost.«

Ta stavek je pomemben. Preprečuje pogost neustrezen vzorec, pri katerem ustanovitelji, generalni direktorji ali izvršne ekipe neformalno prenesejo vso odgovornost za varnost na IT, sami pa ne ohranijo vsebinskega nadzora.

Za večje organizacije Risk Management Policy Risk Management Policy, točka 4.1.1, določa, da vodstvo:

»Odobri okvir za obvladovanje tveganj ter določi sprejemljiv apetit po tveganju in tolerančne pragove.«

To je dokazilo, pripravljeno za organ upravljanja, za NIS2 Article 20. Izjava o apetitu po tveganju, tolerančni pragovi in formalni model pooblastil za tveganja pokažejo, kako odobritev in eskalacija delujeta v praksi.

Točka 5.6 iste politike dodaja:

»Risk Authority Matrix mora jasno določati pragove za eskalacijo na najvišje vodstvo ali organ upravljanja.«

To je eden najpomembnejših artefaktov za upravljanje po NIS2. Brez eskalacijskih pragov organ upravljanja vidi le tisto, kar se nekdo odloči eskalirati. S pragovi se visoko preostalo tveganje, nerešene kritične ranljivosti, pomembna koncentracija pri dobaviteljih, večji incidenti, ugotovitve presoje in izjeme nad toleranco samodejno vključijo v nadzor izvršnega vodstva.

Governance Roles and Responsibilities Policy Governance Roles and Responsibilities Policy krepi dokazilno verigo:

»Upravljanje mora podpirati integracijo z drugimi področji (npr. tveganja, pravo, IT, HR), odločitve ISMS pa morajo biti sledljive do svojega vira (npr. revizijski zapisi, dnevniki pregledov, zapisniki sestankov).«

Za manjša in srednje velika podjetja Governance Roles and Responsibilities Policy-sme Governance Roles and Responsibilities Policy - SME določa:

»Vse pomembne varnostne odločitve, izjeme in eskalacije morajo biti zabeležene in sledljive.«

Te točke nadzor organa upravljanja pretvorijo iz pogovora v revizijsko sled.

Dokazilna veriga ISO/IEC 27001:2022 za NIS2 Article 20

Organ upravljanja lahko NIS2 Article 20 operacionalizira z jasno dokazilno verigo ISO/IEC 27001:2022.

Prvič, določite kontekst in obseg. ISO/IEC 27001:2022 od organizacije zahteva, da določi notranja in zunanja vprašanja, zainteresirane strani, zakonske, regulativne in pogodbene zahteve, meje ISMS, vmesnike, odvisnosti in medsebojno delujoče procese. Za ponudnika SaaS ali storitev v oblaku mora obseg ISMS izrecno opredeliti storitve v EU, okolja v oblaku, podporne operacije, kritične dobavitelje, regulirane segmente strank in izpostavljenost NIS2.

Drugič, izkažite voditeljstvo. ISO/IEC 27001:2022 od najvišjega vodstva zahteva, da varnostne cilje uskladi s strateško usmeritvijo, zahteve ISMS vključi v poslovne procese, zagotovi vire, komunicira pomembnost, dodeli odgovornosti in spodbuja nenehno izboljševanje. Za NIS2 to postane dokazilo, da je organ upravljanja odobril ukrepe za obvladovanje tveganj kibernetske varnosti in nadzoroval njihovo izvajanje.

Tretjič, izvajajte ponovljivo oceno in obravnavo tveganj. ISO/IEC 27001:2022 zahteva merila tveganj, identifikacijo tveganj, lastnike tveganj, analizo verjetnosti in posledic, možnosti obravnave, izbiro kontrol, primerjavo s Prilogo A, Izjavo o uporabljivosti, načrt obravnave tveganj in odobritev preostalega tveganja.

Zenith Blueprint, faza Risk Management, Step 13, izrecno opredeli točko odobritve:

»Odobritev vodstva: odločitve o obravnavi tveganj in SoA mora pregledati in odobriti najvišje vodstvo. Vodstvo mora biti seznanjeno s ključnimi tveganji in predlaganimi obravnavami, tveganji, predlaganimi za sprejem, ter kontrolami, načrtovanimi za izvedbo.«

Za NIS2 ta seznanitev ne sme biti enkratna. Paket za organ upravljanja mora prikazovati aktualna najpomembnejša tveganja, trend, napredek obravnave, sprejeto preostalo tveganje, zapadle ukrepe, izpostavljenost kritičnim dobaviteljem, teme incidentov in ključne kazalnike učinkovitosti.

Četrtič, izvajajte operacije in hranite dokazila. Točka 8.1 ISO/IEC 27001:2022 zahteva operativno načrtovanje in nadzor. Kontrole iz Priloge A podpirajo varnost dobaviteljev, upravljanje oblaka, odziv na incidente, neprekinjeno poslovanje, upravljanje ranljivosti, varnostne kopije, beleženje, spremljanje, varen razvoj, varnost aplikacij, arhitekturo, testiranje, zunanje izvajanje, ločevanje in upravljanje sprememb.

Petič, vrednotite in izboljšujte. Notranja presoja, merjenje, vodstveni pregled, korektivni ukrepi in nenehno izboljševanje katalog kontrol pretvorijo v upravljan sistem.

Korporativna Information Security Policy Information Security Policy vgrajuje to pričakovanje glede vodstvenega pregleda:

»Dejavnosti vodstvenega pregleda (v skladu s točko 9.3 ISO/IEC 27001) se izvajajo najmanj letno in vključujejo:«

Vrednost ni le v tem, da se sestanek izvede. Vrednost je v tem, da pregled ustvari dokazila: vhodne informacije, odločitve, ukrepe, lastnike, roke in spremljanje izvedbe.

Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy - SME, točka 5.4.3, zapre zanko:

»Ugotovitve presoje in posodobitve statusa morajo biti vključene v proces vodstvenega pregleda ISMS.«

To je razlika med »imeli smo presojo« in »vodstvo je pregledalo rezultate presoje in usmerilo odpravo ugotovitev«.

Preslikava med okviri skladnosti: NIS2, DORA, GDPR, NIST CSF 2.0 in COBIT 2019

NIS2 redko pride sam. Ponudnik storitev v oblaku lahko obdeluje osebne podatke v skladu z GDPR. Fintech stranka lahko uveljavlja zahteve za dobavitelje, ki izhajajo iz DORA. Korporativna stranka iz ZDA lahko zahteva usklajenost z NIST CSF 2.0. Revizijski odbor organa upravljanja lahko uporablja jezik COBIT 2019.

Odgovor ni vzpostavitev ločenih map skladnosti. Odgovor je uporaba ISO/IEC 27001:2022 kot osrednjega sistema dokazil.

Zenith Controls ekipam pomaga pri konsolidaciji s preslikavo kontrole 5.4 ISO/IEC 27002:2022, odgovornosti vodstva, čez standarde, predpise in revizijske metode.

V Zenith Controls vnos za kontrolo 5.4 ISO/IEC 27002:2022 »odgovornosti vodstva« razvršča vrsto kontrole kot »preventivno«, jo povezuje z zaupnostjo, celovitostjo in razpoložljivostjo ter jo umešča v operativno zmogljivost, osredotočeno na upravljanje.

To je pomembno, ker je NIS2 Article 20 preventivno upravljanje. Odobritev in nadzor vodstva zmanjšujeta verjetnost, da kibernetsko tveganje postane nevidno, nezadostno financirano ali neupravljano.

Zenith Controls odgovornosti vodstva povezuje tudi s sorodnimi kontrolami ISO/IEC 27002:2022: 5.1 Politike informacijske varnosti, 5.2 Vloge in odgovornosti informacijske varnosti, 5.35 Neodvisni pregled informacijske varnosti, 5.36 Skladnost s politikami, pravili in standardi informacijske varnosti ter 5.8 Varnost pri vodenju projektov. Odgovornost organa upravljanja ne more obstajati samostojno. Potrebuje politike, vloge, zagotovilo, spremljanje skladnosti in integracijo na ravni projektov.

Širša primerjalna preslikava je posebej uporabna za poročanje izvršnemu vodstvu.

Tematska zahtevaNIS2DORAGDPRNIST CSF 2.0COBIT 2019Osredotočenost dokazil Clarysec
Odgovornost vodstvaArticle 20 odobritev, nadzor, usposabljanje, odgovornostArticles 5 in 6 odgovornost organa upravljanja in okvir upravljanja IKT-tveganjArticle 5(2) odgovornost in Article 24 odgovornostGOVERN, zlasti GV.RR, GV.RM in GV.OVEDM03 optimizacija tveganjZapisniki organa upravljanja, listine vlog, zapisi o usposabljanju
Ukrepi za obvladovanje tveganjArticle 21 tehnični, operativni in organizacijski ukrepiOkvir upravljanja IKT-tveganjArticle 32 varnost obdelaveGOVERN, IDENTIFY, PROTECTAPO13 upravljana varnostRegister tveganj, načrt obravnave, Izjava o uporabljivosti
Poročanje o incidentihArticle 23 zgodnje opozorilo, obvestilo o incidentu, končno poročiloArticles 17 do 20 poročanje o večjih incidentih, povezanih z IKTArticles 33 in 34 obvestilo o kršitvi varnosti osebnih podatkov, kadar se uporabljaRESPOND in RECOVERDSS02 upravljani zahtevki za storitve in incidentiMatrika eskalacije, odzivni priročniki, simulacije
Upravljanje dobaviteljevArticle 21(2)(d) varnost dobavne verigeArticles 28 do 30 IKT-tveganje tretjih osebObveznosti obdelovalca in varnostne obveznostiGV.SC upravljanje tveganj kibernetske varnosti v dobavni verigiAPO10 upravljani dobaviteljiEvidenca dobaviteljev, skrbni pregled, pogodbene kontrole
Učinkovitost in zagotoviloArticle 21(2)(f) politike in postopki za ocenjevanje učinkovitostiArticle 6 pregled okvira upravljanja IKT-tveganj in revizijska pričakovanjaArticle 32(1)(d) redno testiranje in vrednotenjeGV.OV nadzor, ID.RA ocena tveganja, DE.CM stalno spremljanjeMEA01 in MEA03 spremljanje in skladnostNotranja presoja, vodstveni pregled, korektivni ukrepi

DORA zahteva posebno pozornost. NIS2 Article 4 priznava, da lahko sektorski pravni akti EU nadomestijo prekrivajoče se določbe NIS2, kadar se uporabljajo enakovredni ukrepi za obvladovanje tveganj kibernetske varnosti ali obveščanje o incidentih. DORA je ključni primer za finančne subjekte. Uporablja se od 17. januarja 2025 in vzpostavlja enoten okvir za upravljanje IKT-tveganj, poročanje o incidentih, testiranje odpornosti, upravljanje tveganj tretjih oseb in nadzor v finančnih storitvah.

Ponudnik SaaS ali storitev v oblaku morda ni neposredno reguliran kot banka, vendar lahko zahteve DORA še vedno pridejo prek pogodb s strankami. Finančni subjekti morajo upravljati IKT-tveganja tretjih oseb, vzdrževati evidence pogodb o IKT-storitvah, izvajati skrbni pregled, ocenjevati tveganje koncentracije, vključiti pravice do presoje in pregleda, določiti pravice do odpovedi ter vzdrževati izstopne strategije. To pomeni, da morajo ponudniki, ki opravljajo storitve za finančne stranke, pričakovati zahteve za dokazila, ki so zelo podobne vprašanjem o upravljanju organa upravljanja po NIS2.

GDPR dodaja odgovornost za osebne podatke. Article 5(2) zahteva, da so upravljavci odgovorni in sposobni dokazati skladnost. Article 32 zahteva varnost obdelave, vključno z rednim testiranjem, ocenjevanjem in vrednotenjem učinkovitosti tehničnih in organizacijskih ukrepov. Kadar so prizadeti osebni podatki, morajo delovni tokovi incidentov vključiti presojo kršitve po GDPR vzporedno z eskalacijo pomembnega incidenta po NIS2.

NIST CSF 2.0 dodaja jezik, prijazen izvršnemu vodstvu, prek funkcije GOVERN. Poudarja organizacijski kontekst, strategijo upravljanja tveganj, vloge in odgovornosti, politiko, nadzor in upravljanje tveganj dobavne verige. COBIT 2019 dodaja besedišče upravljanja, ki je znano revizijskim odborom, zlasti prek EDM03 za optimizacijo tveganj in ciljev MEA za spremljanje in zagotovilo.

90-dnevni dokazilni sprint za organ upravljanja po NIS2

Praktičen dokazilni sprint lahko organizacijam pomaga hitro napredovati brez ustvarjanja vzporedne birokracije.

Dnevi 1 do 30: Vzpostavite odgovornost

Začnite z evidenco odgovornosti po NIS2, ki beleži:

  • Analizo razvrstitve subjekta, vključno z utemeljitvijo, ali je bistven, pomemben, posredno izpostavljen ali zunaj področja uporabe.
  • Storitve v obsegu, kot so SaaS, oblak, upravljane storitve, podatkovni center, DNS, storitve zaupanja ali komunikacijsko povezane storitve.
  • Države članice EU, v katerih se storitve zagotavljajo.
  • Prizadete sektorje strank, zlasti finančne storitve, zdravstvo, promet, energetiko, javno upravo in digitalno infrastrukturo.
  • Veljavne obveznosti, vključno z NIS2 Article 20, Article 21 in Article 23.
  • Povezane obveznosti iz DORA, GDPR, pogodb s strankami in kibernetskega zavarovanja.
  • Lastnika na ravni vodstva in pogostost poročanja organu upravljanja.

To povežite s kontekstom ISO/IEC 27001:2022, zainteresiranimi stranmi, evidenco obveznosti in obsegom ISMS. Nato posodobite Risk Authority Matrix z uporabo zahteve iz Risk Management Policy, da morajo biti eskalacijski pragovi določeni za najvišje vodstvo ali organ upravljanja.

Koristni sprožilci eskalacije vključujejo preostalo tveganje nad apetitom, nesprejete kritične ranljivosti po poteku SLA, tveganje koncentracije dobaviteljev, nerešene visoke ugotovitve presoje, incidente, ki lahko sprožijo poročanje po NIS2, izjeme od zahtev MFA, varnostnega kopiranja, beleženja, šifriranja ali odziva na incidente ter bistvene spremembe arhitekture v oblaku.

Dnevi 31 do 60: Odobrite obravnavo tveganj

Uporabite Zenith Blueprint Step 13 za pripravo paketa odločitev za organ upravljanja glede načrta obravnave tveganj in Izjave o uporabljivosti. Paket mora vključevati:

  • 10 najpomembnejših kibernetskih tveganj.
  • Predlagano možnost obravnave za vsako tveganje.
  • Izbrane skupine kontrol.
  • Preostalo tveganje po obravnavi.
  • Tveganja, predlagana za sprejem.
  • Potrebne proračunske ali kadrovske odločitve.
  • Odvisnosti od dobaviteljev, pravne službe, HR, produktnih ekip in IT.
  • Zahtevano odločitev vodstva.

Rezultat mora biti podpisana ali v zapisniku zabeležena odobritev. Samo predstavitev v diapozitivih ni dovolj.

Ukrepe iz NIS2 Article 21 preslikajte tudi na točke ISO/IEC 27001:2022 in kontrole Priloge A. Tako lahko organizacija pokaže, da se NIS2 obravnava prek ISMS in ne prek nepovezanega kontrolnega seznama.

Dnevi 61 do 90: Preizkusite poročanje o incidentih in preglejte dokazila

NIS2 Article 23 zahteva fazno poročanje o pomembnih incidentih: zgodnje opozorilo v 24 urah, obvestilo o incidentu v 72 urah, vmesne posodobitve, kadar so zahtevane ali zaprošene, in končno poročilo najpozneje en mesec po obvestilu.

Izvedite namizno vajo s sponzorjem organa upravljanja, generalnim direktorjem, vodjo informacijske varnosti, pravno službo, komunikacijami, ekipo za uspeh strank in operacijami. Uporabite realističen scenarij, na primer napačno konfiguracijo oblaka, ki razkrije metapodatke strank, povzroči motnjo razpoložljivosti storitve in vpliva na regulirano stranko.

Preizkusite, kdo odloči, ali je incident lahko pomemben, kdo stopi v stik s pravnim svetovalcem, kdo obvesti pristojne organe ali CSIRT, kadar je to potrebno, kdo odobri komunikacijo s strankami, kako se ohranijo dokazila, kako se vzporedno presodijo obveznosti glede kršitve po GDPR in kako se organ upravljanja obvešča v prvih 24 urah.

Nato izvedite formalni vodstveni pregled. Zenith Blueprint, faza Audit, Review & Improvement, Step 28, pojasni zakaj:

»Vodstveni pregled ni le predstavitev; gre za sprejemanje odločitev.«

Ta pregled mora vključevati ugotovitve presoje, napredek obravnave tveganj, pripravljenost na incidente, tveganja dobaviteljev, kazalnike, odločitve, dodeljene ukrepe in odgovorne osebe za spremljanje.

Vodstveni pregled, ki dejansko deluje

Številni vodstveni pregledi ne uspejo, ker so strukturirani kot posodobitve statusa. Vodstveni pregled, pripravljen na NIS2, mora biti sestanek za odločanje.

Dnevni red mora vključevati:

  1. Spremembe zahtev NIS2, DORA, GDPR, pogodbenih zahtev in zahtev strank.
  2. Spremembe poslovnega konteksta, storitev, prevzemov, dobaviteljev, arhitekture v oblaku in reguliranih segmentov strank.
  3. Status najpomembnejših tveganj informacijske varnosti in preostalo tveganje glede na apetit.
  4. Napredek načrta obravnave tveganj in zapadle ukrepe.
  5. Trende incidentov, pomembne dogodke, skorajšnje incidente in pripravljenost na poročanje.
  6. Tveganja odvisnosti od dobaviteljev in IKT, vključno s koncentracijo in vprašanji izstopa.
  7. Rezultate notranjih presoj, zunanjih presoj, ocen strank in penetracijskih testov.
  8. Varnostno ozaveščanje in dokončanje usposabljanja izvršnega vodstva.
  9. Kazalnike za nadzor dostopa, upravljanje ranljivosti, varnostne kopije, beleženje, spremljanje, varen razvoj in preizkuse neprekinjenega poslovanja.
  10. Zahtevane odločitve, vključno s sprejemom tveganja, proračunom, kadrovanjem, izjemami od politik, odpravo pomanjkljivosti pri dobaviteljih in izboljšavami kontrol.

Usposabljanje izvršnega vodstva je posebej pomembno. NIS2 Article 20 zahteva, da člani organa upravljanja opravijo usposabljanje. Information Security Awareness and Training Policy Information Security Awareness and Training Policy, točka 5.1.2.4, izrecno vključuje teme usposabljanja za izvršno vodstvo:

»Izvršno vodstvo (npr. upravljanje, sprejem tveganja, zakonske obveznosti)«

Usposabljanje izvršnega vodstva o kibernetskih tveganjih se mora osredotočiti na pravice odločanja, odgovornost, eskalacijo, apetit po tveganju, krizno upravljanje, poročanje o incidentih in regulativne obveznosti. Ne sme biti omejeno na ozaveščanje o lažnem predstavljanju.

Kako bodo presojevalci in stranke preverjali nadzor organa upravljanja

Različni presojevalci bodo uporabljali različen jezik, vendar bodo preverjali isto temeljno vprašanje: ali je kibernetska varnost upravljana?

Zenith Controls je dragocen, ker vključuje preslikave revizijskih metodologij. Pri odgovornostih vodstva se sklicuje na revizijska načela in izvedbo po ISO/IEC 19011:2018, prakse presoje ISMS po ISO/IEC 27007:2020, točko 5.1 ISO/IEC 27001:2022, COBIT 2019 EDM01 in EDM03, ISACA ITAF Section 1401 ter NIST SP 800-53A PM-1 in PM-2. Pri neodvisnem pregledu ga preslika na točki 9.2 in 9.3 ISO/IEC 27001:2022, načrtovanje presoj in prakse dokazovanja po ISO/IEC 27007, ISACA ITAF Section 2400 ter metode ocenjevanja NIST. Pri skladnosti s politikami ga preslika na točke 9.1, 9.2 in 10.1 ISO/IEC 27001:2022, zbiranje dokazov po ISO/IEC 19011, COBIT 2019 MEA01 in oceno stalnega spremljanja po NIST.

Pogled presojevalcaKaj bo vprašalPričakovana dokazilaPogosta pomanjkljivost
Presojevalec ISO/IEC 27001:2022Kako najvišje vodstvo izkazuje voditeljstvo, odobrava obravnavo tveganj in pregleduje uspešnost ISMS?Odobritve politik, register tveganj, odobritev Izjave o uporabljivosti, zapisniki vodstvenega pregleda, rezultati notranje presojeVodstveni pregled obstaja, vendar nima odločitev ali sledenja ukrepom
Presojevalec, osredotočen na NIS2Ali je organ upravljanja odobril ukrepe kibernetske varnosti in nadzoroval njihovo izvajanje?Zapisniki organa upravljanja, matrika eskalacije, zapisi o usposabljanju izvršnega vodstva, izhodiščna preslikava Article 21Varnostne ukrepe je odobril samo vodja informacijske varnosti, brez sledljivosti do organa upravljanja
Presojevalec NIST CSF 2.0Ali so rezultati upravljanja, apetit po tveganju, vloge, viri, nadzor in tveganja dobavne verige vključeni v korporativno upravljanje tveganj?Trenutni in ciljni profili, načrt vrzeli, poročanje vodstvu, kazalnikiNIST se uporablja kot kontrolni seznam brez lastništva upravljanja
Presojevalec COBIT 2019 ali ISACAAli upravljanje ocenjuje, usmerja in spremlja obvladovanje kibernetskih tveganj?Listine upravljanja, apetit po tveganju, poročanje vodstvu, rezultati zagotovilaOrgan upravljanja prejema tehnične kazalnike, ne pa konteksta za odločanje o tveganjih
Stranka DORA ali presojevalec iz finančnega sektorjaAli so IKT-tveganja, incidenti, odpornost in odvisnosti od tretjih oseb upravljani in dokumentirani?Zemljevid IKT-odvisnosti, evidenca dobaviteljev, skrbni pregled, pravice do presoje, življenjski cikel incidentovTveganje dobaviteljev temelji samo na vprašalnikih, brez analize koncentracije ali izstopa
Presojevalec GDPR ali zasebnostiAli lahko organizacija dokaže varnost in odgovornost pri obdelavi osebnih podatkov?Zemljevidi podatkov, model pravnih podlag, proces presoje kršitve, varnostne kontroleDokazila o zasebnosti in varnosti so ločena in nedosledna

Sporočilo je preprosto. Odgovornost organa upravljanja se ne dokazuje zgolj z udeležbo. Dokazuje se z informiranimi odločitvami, dokumentiranimi odobritvami, prednostnim razvrščanjem na podlagi tveganj, dodelitvijo virov in spremljanjem izvedbe.

Pogoste pasti, ki prekinejo dokazilno verigo

Organizacije, ki imajo težave z odgovornostjo organa upravljanja po NIS2, običajno zapadejo v predvidljive vzorce.

Prvič, zamenjujejo delovanje tehničnih kontrol z upravljanjem. Pokritost z MFA, opozorila SIEM, uvedba EDR in stopnje uspešnosti varnostnega kopiranja so pomembni, vendar organ upravljanja potrebuje kontekst tveganja, odločitve o obravnavi in zagotovilo, da kontrole delujejo.

Drugič, odobrijo politike, ne pa obravnave tveganj. Podpisana varnostna politika ne dokazuje, da je organ upravljanja odobril sorazmerne ukrepe kibernetske varnosti. Načrt obravnave tveganj in Izjava o uporabljivosti sta močnejši dokazili, ker povezujeta tveganja, kontrole, preostalo tveganje in odobritev vodstva.

Tretjič, nimajo eskalacijskih pragov. Brez Risk Authority Matrix je eskalacija odvisna od posameznikov. Upravljanje po NIS2 potrebuje objektivne sprožilce.

Četrtič, odziv na incidente ločujejo od regulativnega poročanja. Delovni tokovi poročanja po NIS2, DORA in GDPR morajo biti povezani pred krizo.

Petič, zanemarjajo upravljanje dobaviteljev. NIS2 Article 21 vključuje varnost dobavne verige in upoštevanje ranljivosti dobaviteljev. Stranke, ki zahteve uveljavljajo zaradi DORA, lahko pričakujejo poglobljeno upravljanje IKT-tveganj tretjih oseb, vključno s skrbnim pregledom, pravicami do presoje, tveganjem koncentracije, pravicami do odpovedi in izstopnimi strategijami.

Šestič, ne usposabljajo izvršnega vodstva. Usposabljanje izvršnega vodstva o kibernetskih tveganjih po NIS2 ni neobvezna formalnost. Je del dokazilne verige upravljanja.

Kako je videti dobro stanje

Po 90 dneh mora verodostojna mapa dokazil organa upravljanja za NIS2 vsebovati:

  • Oceno uporabljivosti.
  • Obseg ISMS in evidenco obveznosti.
  • Izjavo o zavezanosti vodstva.
  • Apetit po tveganju in tolerančne pragove.
  • Risk Authority Matrix.
  • Register kibernetskih tveganj.
  • Načrt obravnave tveganj.
  • Izjavo o uporabljivosti.
  • Zapisnike odobritev organa upravljanja.
  • Zapise o usposabljanju izvršnega vodstva.
  • Poročilo namizne vaje za incidente.
  • Nadzorno ploščo tveganj dobaviteljev.
  • Poročilo notranje presoje.
  • Zapisnike vodstvenega pregleda in sledilnik ukrepov.

Ta mapa odgovori na vprašalnik stranke, ki ga je Maria prejela v ponedeljek zjutraj. Še pomembneje pa je, da organu upravljanja pomaga upravljati kibernetsko tveganje, preden organizacijo javno preizkusijo incident, presoja ali regulator.

Odgovornost organa upravljanja po NIS2 pretvorite v upravljanje, pripravljeno na presojo

NIS2 je spremenila razpravo o kibernetski varnosti. Organi upravljanja morajo odobriti ukrepe za obvladovanje tveganj kibernetske varnosti, nadzorovati izvajanje in opraviti usposabljanje. Article 21 zahteva integriran nabor tehničnih, operativnih in organizacijskih ukrepov. Article 23 poročanje o incidentih postavlja v fazno časovnico, ki zahteva pripravo pred krizo.

ISO/IEC 27001:2022 zagotavlja sistem upravljanja. Clarysec zagotavlja izvedbeno pot, jezik politik, medokvirne preslikave skladnosti in model revizijskih dokazil.

Če se vaš organ upravljanja sprašuje: »Kaj moramo odobriti in kako dokažemo nadzor?«, začnite s tremi ukrepi:

  1. Uporabite Zenith Blueprint Step 3, Step 13 in Step 28 za strukturiranje zavezanosti vodstva, odobritve obravnave tveganj in vodstvenega pregleda.
  2. Uporabite politike Clarysec, kot so Risk Management Policy, Governance Roles and Responsibilities Policy, Information Security Policy in ustreznice za manjša in srednje velika podjetja, da formalizirate odgovornost in sledljivost.
  3. Uporabite Zenith Controls za preslikavo nadzora organa upravljanja po NIS2 v ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 in pričakovanja revizijskih metodologij.

Clarysec vam lahko pomaga pripraviti paket za organ upravljanja, posodobiti dokazilno verigo ISMS, pripraviti vodstveni pregled in odgovornost po NIS2 pretvoriti v ponovljiv proces upravljanja kibernetskih tveganj, ki ga razumejo presojevalci, stranke in izvršno vodstvo. Prenesite ustrezne komplete orodij Clarysec ali zahtevajte oceno, da odgovornost organa upravljanja pretvorite v dokazila, pripravljena na presojo.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Dokazila za DORA TLPT s kontrolami ISO 27001

Dokazila za DORA TLPT s kontrolami ISO 27001

Praktični vodnik za finančne subjekte, ki morajo DORA TLPT, preizkušanje odpornosti, kontrole ISO 27001, zagotovila dobaviteljev, dokazila o obnovitvi in poročanje organu upravljanja povezati v enotno dokazno verigo, pripravljeno za presojo.