Dokazila za registracijo po NIS2 v okviru ISO 27001:2022

E-poštno sporočilo je pristalo v Anninem nabiralniku s tihim udarcem, ki je zvenel bolj kot sirena. Kot CISO v CloudFlow, hitro rastočem ponudniku B2B SaaS za stranke po vsej EU, je bila vajena varnostnih vprašalnikov, nabavnih presoj in nadzornih obiskov ISO 27001. To sporočilo je bilo drugačno.

Zadeva se je glasila: »Zahteva za informacije glede nacionalnega izvajanja Direktive (EU) 2022/2555 (NIS2).« Nacionalni organ za kibernetsko varnost je od CloudFlow zahteval potrditev razvrstitve, pripravo podatkov za registracijo subjekta, opredelitev storitev v obsegu in pripravljenost za dokazovanje ukrepov za upravljanje kibernetskih tveganj.

Anna je imela certifikat ISO 27001:2022 uokvirjen na steni. Prodaja ga je uporabljala pri pogodbah z velikimi podjetji. Organ upravljanja je odobril politiko informacijske varnosti. Notranja presoja je pred kratkim zaprla dve ugotovitvi. Toda vprašanje pred njo je bilo ostrejše od samega statusa certifikacije.

Ali lahko CloudFlow hitro in utemeljeno dokaže, da njegov ISMS po ISO 27001:2022 pokriva obveznosti NIS2?

Prav tu številne organizacije naredijo napačen korak. Registracijo subjekta po NIS2 obravnavajo kot administrativno oddajo, podobno posodobitvi poslovnega registra ali davčnega portala. To ni pravilno. Registracija je vstopna točka v nadzorni vpogled. Po tem lahko pristojni organ zahteva utemeljitev obsega, zapise o odobritvah organov upravljanja, postopke poročanja o incidentih, dokazila o tveganjih dobaviteljev, kontaktne točke, kazalnike učinkovitosti kontrol in dokaz, da organizacija ve, katere storitve so kritične.

Za ponudnike SaaS, storitev v oblaku, upravljanih storitev, upravljanih varnostnih storitev, podatkovnih centrov, digitalne infrastrukture in nekatere ponudnike v finančnem sektorju pravo vprašanje ni več »Ali imamo varnostno politiko?« Temveč: »Ali lahko pokažemo verigo dokazil od pravne obveznosti do obsega ISMS, obravnave tveganj, delovanja kontrol in vodstvenega nadzora?«

Najmočnejši program pripravljenosti na nadzor in izvrševanje NIS2 ni vzporedna preglednica. Je sledljiv model dokazil znotraj ISO 27001:2022.

Registracija po NIS2 je v resnici vprašanje dokazil

NIS2 se široko uporablja za javne ali zasebne subjekte v sektorjih, navedenih v Prilogi I in Prilogi II, ki dosegajo ali presegajo ustrezen prag srednje velikega podjetja. Zajema tudi nekatere subjekte ne glede na velikost, vključno s ponudniki javnih elektronskih komunikacijskih omrežij ali storitev, ponudniki storitev zaupanja, registri TLD, ponudniki storitev DNS, edini ponudniki bistvenih storitev in subjekti, katerih motnja bi lahko vplivala na javno varnost, zdravje, sistemsko tveganje ali nacionalno oziroma regionalno kritičnost.

Za tehnološka podjetja so digitalne kategorije posebej pomembne. Priloga I vključuje digitalno infrastrukturo, kot so ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki omrežij za dostavo vsebin, ponudniki storitev zaupanja, ponudniki storitev DNS ter ponudniki javnih elektronskih komunikacijskih omrežij ali storitev. Priloga I vključuje tudi upravljanje storitev IKT za storitve med podjetji, vključno s ponudniki upravljanih storitev in ponudniki upravljanih varnostnih storitev. Priloga II vključuje digitalne ponudnike, kot so spletne tržnice, spletni iskalniki in platforme storitev družbenih omrežij.

To pomeni, da lahko organizacija preide v področje uporabe NIS2, ne da bi se sama razumela kot »kritična infrastruktura«. Podjetje B2B SaaS z upravljano varnostno funkcionalnostjo, platforma v oblaku, ki podpira regulirane stranke, ali ponudnik v fintech ekosistemu lahko nenadoma potrebuje registracijsko dokumentacijo, model kontaktov s pristojnim organom in utemeljeno zgodbo o kontrolah.

NIS2 razlikuje tudi med bistvenimi in pomembnimi subjekti. Za bistvene subjekte praviloma velja bolj proaktiven nadzorni model, pomembni subjekti pa so običajno nadzorovani po dokazih o neskladnosti ali incidentih. Razlika je pomembna, vendar ne odpravlja potrebe po pripravi. Obe kategoriji potrebujeta upravljanje, upravljanje tveganj, poročanje o incidentih, varnost dobaviteljev in dokazila.

Finančni subjekti morajo upoštevati tudi DORA. NIS2 Article 4 priznava, da se, kadar sektorsko specifični pravni akt Unije nalaga vsaj enakovredne obveznosti glede upravljanja kibernetskih tveganj in poročanja o incidentih, ta sektorska pravila uporabljajo za ustrezna področja. DORA se uporablja od 17. januarja 2025 in vzpostavlja upravljanje IKT-tveganj, poročanje o večjih incidentih, povezanih z IKT, testiranje digitalne operativne odpornosti, izmenjavo informacij, upravljanje tveganj tretjih oseb na področju IKT, pogodbene kontrole ter nadzor nad kritičnimi tretjimi ponudniki storitev IKT. Za zajete finančne subjekte je DORA primarni okvir kibernetske odpornosti za prekrivajoče se zahteve, vendar so lahko vmesniki NIS2 in usklajevanje z nacionalnimi organi še vedno pomembni.

Nauk je preprost. Ne čakajte na polje v portalu ali e-pošto regulatorja, preden začnete graditi dokazila. Vsak odgovor ob registraciji pomeni prihodnje presojevalsko vprašanje.

Začnite z obsegom ISMS, ne z obrazcem na portalu

ISO 27001:2022 je uporaben, ker organizacijo prisili, da opredeli kontekst, zainteresirane strani, regulativne obveznosti, obseg, tveganja, načrte obravnave tveganj, delovanje kontrol, spremljanje, notranjo presojo, vodstveni pregled in izboljševanje.

Točke 4.1 do 4.4 od organizacije zahtevajo, da določi notranja in zunanja vprašanja, identificira zainteresirane strani in njihove zahteve, odloči, katere zahteve obravnava prek ISMS, opredeli obseg ISMS ob upoštevanju vmesnikov in odvisnosti, ta obseg dokumentira ter izvaja procese ISMS.

Za NIS2 mora ta obseg odgovoriti na praktična vprašanja:

• Katere storitve v EU, pravne osebe, odvisne družbe, platforme, komponente infrastrukture in poslovne enote so relevantne?
• Katera kategorija iz Priloge I ali Priloge II se lahko uporablja?
• Ali je organizacija bistvena, pomembna, zajeta z DORA, zunaj obsega ali čaka na nacionalno razvrstitev?
• Katere storitve so kritične za stranke, javno varnost, finančno stabilnost, zdravstvo, digitalno infrastrukturo ali druge regulirane sektorje?
• Kateri ponudniki storitev v oblaku, ponudniki upravljanih storitev (MSP), ponudniki upravljanih varnostnih storitev (MSSP), podatkovni centri, podizvajalci in drugi dobavitelji podpirajo te storitve?
• Katere države članice, pristojni organi, CSIRT, nadzorni organi za varstvo podatkov in finančni nadzorniki so lahko relevantni?

Clarysecov Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint to delo umešča zgodaj, v korak 2, potrebe zainteresiranih strani in obseg ISMS. Organizacijam nalaga, naj identificirajo regulatorje in organe, pregledajo pravne in regulativne zahteve, pregledajo pogodbe in dogovore, izvedejo intervjuje z zainteresiranimi stranmi ter upoštevajo pričakovane industrijske standarde.

Akcijska točka 4.2: Pripravite seznam vseh pomembnih zainteresiranih strani in zabeležite njihove zahteve, povezane z informacijsko varnostjo. Bodite temeljiti – pomislite na vsakogar, ki bi se pritožil ali utrpel posledice, če bi vaša varnost odpovedala ali če ne bi imeli določene kontrole. Ta seznam bo usmerjal, kaj morate prek svojega ISMS upoštevati ali izpolniti, ter se bo uporabil pri oceni tveganja in izbiri kontrol.

To je pravo izhodišče za registracijo po NIS2. Pred oddajo pripravite kratek zapis o obsegu NIS2, ki poslovni model poveže s kategorijami iz Priloge I ali Priloge II, dokumentira predpostavke glede velikosti in storitev, zabeleži razlago nacionalne zakonodaje, identificira pristojne organe ter navede, ali se uporabljajo tudi DORA, GDPR, pogodbe s strankami ali sektorska pravila.

Clarysecova SME Legal and Regulatory Compliance Policy Legal and Regulatory Compliance Policy - SME namen opredeljuje jasno:

»Ta politika opredeljuje pristop organizacije k identifikaciji, izpolnjevanju in dokazovanju skladnosti s pravnimi, regulativnimi in pogodbenimi obveznostmi.«

Za večje programe je Clarysecova Legal and Regulatory Compliance Policy Legal and Regulatory Compliance Policy še bolj izrecna:

»Vse pravne in regulativne obveznosti morajo biti preslikane na konkretne politike, kontrole in lastnike znotraj sistema upravljanja informacijske varnosti (ISMS).«

Ta stavek je temelj pripravljenosti na nadzor in izvrševanje. Če regulator vpraša, kako so bile identificirane obveznosti NIS2, odgovor ne sme biti »svetovala nam je pravna služba«. Odgovor mora biti dokumentirana evidenca, povezana z obsegom, tveganji, lastniki kontrol, postopki, hranjenimi dokazili in vodstvenim pregledom.

Verigo dokazil NIS2 zgradite znotraj ISO 27001:2022

NIS2 Article 21 od bistvenih in pomembnih subjektov zahteva, da uvedejo ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za upravljanje tveganj za omrežne in informacijske sisteme, ki se uporabljajo za delovanje ali zagotavljanje storitev. Ukrepi morajo upoštevati stanje tehnike, relevantne evropske in mednarodne standarde, kjer je to primerno, stroške, izpostavljenost tveganju, velikost, verjetnost in resnost incidentov ter družbeni in gospodarski vpliv.

Article 21(2) navaja minimalna področja, vključno z analizo tveganja in politikami varnosti informacijskih sistemov, obravnavanjem incidentov, neprekinjenim poslovanjem, varnostnimi kopijami, obnovitvijo po nesreči, kriznim upravljanjem, varnostjo dobavne verige, varno nabavo in razvojem, obravnavo ranljivosti, oceno učinkovitosti, kibernetsko higieno, usposabljanjem, kriptografijo, varnostjo človeških virov, nadzorom dostopa, upravljanjem sredstev, večfaktorsko ali neprekinjeno avtentikacijo ter varnimi komunikacijami, kjer je to primerno.

ISO 27001:2022 se naravno preslika na to strukturo. Točke 6.1.1 do 6.1.3 zahtevajo oceno tveganja in obravnavo tveganja, vključno z merili za sprejem tveganja, lastniki tveganj, analizo verjetnosti in posledic, načrtom obravnave tveganja, primerjavo s kontrolami iz Priloge A ter izjavo o uporabnosti. Točka 8 zahteva operativno načrtovanje in nadzor, dokazila, da so procesi delovali po načrtu, nadzor sprememb, nadzor nad zunanje zagotavljanimi procesi, ponavljajoče se ocene tveganj in dokumentirane rezultate obravnave. Točka 9.1 zahteva spremljanje, merjenje, analizo in vrednotenje. Točka 9.2 zahteva notranjo presojo. Točka 10.2 zahteva ukrepanje pri neskladnostih in korektivne ukrepe.

Clarysecova Risk Management Policy Risk Management Policy - SME to pretvori v operativno pravilo:

»Vsa identificirana tveganja morajo biti zabeležena v register tveganj.«

Enterprise Risk Management Policy Risk Management Policy poveže obravnavo tveganj z izbiro kontrol po ISO 27001:2022:

»Odločitve o kontrolah, ki izhajajo iz procesa obravnave tveganj, se morajo odražati v SoA.«

To je pomembno, ker morajo biti dokazila NIS2 sledljiva. Če organ vpraša, zakaj kontrola obstaja, pokažite na obveznost, tveganje, odločitev o obravnavi, lastnika kontrole, vnos v SoA, postopek in dokazila. Če organ vpraša, zakaj kontrola ni bila izbrana, pokažite na utemeljitev v SoA, odobren sprejem tveganja in vodstveni pregled.

Najboljša veriga dokazil je dolgočasna na najboljši možen način. Vsaka obveznost ima lastnika. Vsak lastnik ima kontrolo. Vsaka kontrola ima dokazila. Vsaka izjema ima odobritev. Vsaka presojevalska ugotovitev ima korektivni ukrep.

Upravljanje iz Article 20 vključite v dokazila organov upravljanja

NIS2 Article 20 premika kibernetsko varnost v sejno sobo organov upravljanja. Organi upravljanja morajo odobriti ukrepe za upravljanje kibernetskih tveganj, sprejete za Article 21, nadzorovati implementacijo in so lahko odgovorni za kršitve. Člani organov upravljanja se morajo udeleževati usposabljanja, subjekti pa se spodbujajo, naj zaposlenim zagotavljajo redno usposabljanje iz kibernetske varnosti.

Organ upravljanja NIS2 ne more preprosto prenesti na IT. Dokazila morajo pokazati, da je vodstvo razumelo analizo obsega NIS2, odobrilo pristop upravljanja tveganj, pregledalo pomembna tveganja, dodelilo vire, spremljalo implementacijo, pregledalo incidente in vaje ter prejelo usposabljanje.

Točke ISO 27001:2022 5.1 do 5.3 podpirajo ta model upravljanja z zahtevami po zavezanosti najvišjega vodstva, uskladitvi ciljev informacijske varnosti s poslovno strategijo, vključitvi zahtev ISMS v poslovne procese, virih, komuniciranju, odgovornosti in poročanju o uspešnosti ISMS najvišjemu vodstvu.

Clarysecova Governance Roles and Responsibilities Policy Governance Roles and Responsibilities Policy vlogo varnostne povezave opredeljuje kot vlogo, ki:

»Deluje kot primarna povezava s presojevalci, regulatorji in višjim vodstvom glede zadev informacijske varnosti.«

Ta vloga mora biti navedena v paketu dokazil za registracijo po NIS2. Ne sme biti zgolj implicitna. Organi, presojevalci in stranke želijo vedeti, kdo usklajuje regulatorne stike, kdo je lastnik poročanja o incidentih, kdo vzdržuje pravno evidenco, kdo posodablja kontakte organov in kdo poroča organu upravljanja.

Praktičen nabor dokazil o upravljanju vključuje:

• Odobritev okvira upravljanja kibernetskih tveganj s strani organa upravljanja.
• Zapisnike vodstvenih pregledov, ki zajemajo obseg NIS2, tveganja, incidente, dobavitelje in pripravljenost.
• Zapise o usposabljanjih za člane organov upravljanja in zaposlene.
• Matriko RACI za obveznosti NIS2, kontrole ISO 27001:2022, poročanje o incidentih, zagotavljanje zaupanja dobaviteljev in regulativno komunikacijo.
• Dokazila, da so obveznosti NIS2 vključene v notranjo presojo in spremljanje skladnosti.
• Sledenje korektivnim ukrepom za vrzeli, zapadla tveganja, izjeme in neuspešne teste.

Articles 32 and 33 dodatno poudarjata pomen kakovosti dokazil, saj opredeljujeta dejavnike resnih kršitev, kot so ponavljajoče se kršitve, neobveščanje ali neodprava pomembnih incidentov, neodprava pomanjkljivosti po zavezujočih navodilih, oviranje presoj ali spremljanja ter navajanje napačnih ali hudo netočnih informacij. Šibka dokazila lahko postanejo problem izvrševanja tudi takrat, ko tehnične kontrole obstajajo.

Dokazila o kontaktih organov in poročanju o incidentih pripravite pred 02:00

Najbolj boleči neuspehi pri poročanju o incidentih se pogosto začnejo z osnovnim vprašanjem: »Koga obvestimo?« Med izsiljevalsko programsko opremo, odpovedjo DNS, kompromitacijo oblaka ali izpostavitvijo podatkov ekipe izgubljajo čas z iskanjem pravilnega CSIRT, pristojnega organa, nadzornega organa za varstvo podatkov, finančnega nadzornika, kanala organov pregona, predloge za stranke in notranjega odobritelja.

NIS2 Article 23 zahteva obveščanje brez nepotrebnega odlašanja o pomembnih incidentih, ki vplivajo na zagotavljanje storitev. Pomemben incident je incident, ki je povzročil ali bi lahko povzročil hudo operativno motnjo ali finančno izgubo, ali je vplival ali bi lahko vplival na druge tako, da povzroči znatno premoženjsko ali nepremoženjsko škodo. Časovnica je večstopenjska: zgodnje opozorilo v 24 urah od seznanitve, obvestilo o incidentu v 72 urah, vmesne posodobitve na zahtevo in končno poročilo v enem mesecu po 72-urnem obvestilu ali po obravnavi incidenta pri trajajočih incidentih. Kadar je primerno, morajo biti prejemniki storitev obveščeni tudi o pomembnih incidentih ali pomembnih kibernetskih grožnjah in zaščitnih ukrepih.

Zenith Blueprint v fazi izvajanja kontrol, korak 22, obravnava stik z organi kot pripravljenost, ne kot paniko:

Načelo je preprosto: če bi bila vaša organizacija tarča kibernetskega napada, vključena v kršitev varnosti osebnih podatkov ali predmet preiskave, kdo bi poklical organe? Kako bi vedel, kaj povedati? Pod katerimi pogoji bi se tak stik začel? Na ta vprašanja je treba odgovoriti vnaprej, ne naknadno.

Clarysecov Zenith Controls: The Cross-Compliance Guide Zenith Controls zajema ISO/IEC 27002:2022 kontrolo 5.5, stik z organi. Kontrolo razvršča kot preventivno in korektivno, povezano z zaupnostjo, celovitostjo in razpoložljivostjo ter s koncepti Identify, Protect, Respond in Recover. Kontrolo 5.5 povezuje tudi s kontrolami ISO/IEC 27002:2022 5.24 načrtovanje in priprava upravljanja incidentov informacijske varnosti, 6.8 poročanje o dogodkih informacijske varnosti, 5.7 obveščevalni podatki o grožnjah, 5.6 stik s posebnimi interesnimi skupinami in 5.26 odziv na incidente informacijske varnosti.

Z vidika navzkrižne skladnosti Zenith Controls preslika stik z organi na NIS2 Article 23, obveščanje o kršitvah po GDPR, poročanje o incidentih po DORA, NIST SP 800-53 IR-6 Incident Reporting in prakse zunanje eskalacije COBIT 2019. En register kontaktov organov lahko služi več obveznostim, če je pravilno zasnovan.

Clarysecova Incident Response Policy Incident Response Policy - SME izrecno določa pravno triažo:

»Kadar so vključeni podatki strank, mora generalni direktor oceniti pravne obveznosti obveščanja na podlagi uporabnosti GDPR, NIS2 ali DORA.«

Močan paket dokazil o kontaktih organov mora vključevati:

• Kontaktne podatke pristojnega organa in CSIRT po državi članici in storitvi.
• Kontakte nadzornih organov za varstvo podatkov za obveščanje o kršitvah varnosti osebnih podatkov po GDPR.
• Kontakte finančnih nadzornikov, če se uporablja DORA.
• Poti za stik z organi pregona in enotami za kibernetski kriminal.
• Pooblaščene notranje komunikatorje in njihove namestnike.
• Pragove incidentov za NIS2, GDPR, DORA, pogodbe s strankami in kibernetsko zavarovanje.
• Predloge za 24-urno, 72-urno, vmesno in enomesečno poročanje.
• Zapise namiznih vaj, ki testirajo zunanje obveščanje.
• Evidence preteklih obvestil, odločitev o neobveščanju in pravne utemeljitve.

Preslikajte NIS2 Article 21 na kontrole ISO 27001 in dokazila politik

Sam certifikat ne odgovori na vprašanje regulatorja. Preslikava kontrol pa. Naslednja tabela ekipam za varnost in skladnost zagotavlja praktičen most med področji NIS2 Article 21, kontrolami ISO/IEC 27002:2022, sidrišči politik Clarysec in dokazili.

Clarysecov Zenith Controls zajema tudi ISO/IEC 27002:2022 kontrolo 5.31, pravne, zakonske, regulativne in pogodbene zahteve, kot preventivno kontrolo z vplivom na zaupnost, celovitost in razpoložljivost. 5.31 povezuje z zasebnostjo in varstvom osebno določljivih podatkov, hrambo zapisov, neodvisnim pregledom in skladnostjo z internimi politikami. 5.31 preslika tudi na odgovornost po GDPR, skladnost dobavne verige po NIS2, upravljanje IKT-tveganj po DORA, upravljanje po NIST CSF, programske kontrole NIST SP 800-53 in zunanji nadzor skladnosti po COBIT 2019.

»Kontrola 5.31 zagotavlja, da so vse relevantne pravne, regulativne, zakonske in pogodbene zahteve, povezane z informacijsko varnostjo, identificirane, dokumentirane in stalno upravljane.«

Točno to želi nacionalni organ videti po registraciji: ne le, da je NIS2 naveden, temveč da ima organizacija živ mehanizem za identifikacijo, preslikavo, implementacijo, spremljanje in posodabljanje obveznosti.

NIS2 ne ločujte od DORA, GDPR, dobaviteljev in oblaka

Dokazila NIS2 redko obstajajo izolirano.

NIS2 Article 21(2)(d) zahteva varnost dobavne verige, vključno z varnostnimi vidiki odnosov z dobavitelji in izvajalci storitev. Article 21(3) zahteva, da odločitve o tveganjih dobaviteljev upoštevajo ranljivosti, splošno kakovost proizvodov, prakse kibernetske varnosti, postopke varnega razvoja in relevantne usklajene ocene tveganj dobavne verige na ravni EU.

Priloga A ISO 27001:2022 zagotavlja operativni most prek A.5.19 do A.5.23. Za organizacije SaaS in organizacije v oblaku te kontrole pogosto odločajo, ali so registracijska dokazila površinska ali utemeljena.

DORA za finančne subjekte dodatno izostri sliko dobaviteljev. Articles 28 to 30 zahtevajo upravljanje tveganj tretjih oseb na področju IKT, register pogodb o storitvah IKT, razlikovanje storitev, ki podpirajo kritične ali pomembne funkcije, predpogodbeno oceno tveganja, skrbni pregled, pogodbene varnostne zahteve, pravice do presoje in pregleda, pravice do odpovedi, testirane izstopne strategije, presojo podizvajanja, preglednost lokacije hrambe podatkov, pomoč pri incidentih, sodelovanje z organi in prehodne ureditve. Če ponudnik SaaS oskrbuje stranke, regulirane z DORA, so lahko njegove pogodbe in paket zagotavljanja zaupanja predmet pregleda, tudi če sam ni finančni subjekt.

Clarysecova Third-party and supplier security policy - SME Third-party and supplier security policy - SME mora biti zato povezana s paketom dokazil NIS2. Pripravljenost dobaviteljev mora vključevati:

• Popis dobaviteljev in razvrstitev kritičnosti.
• Skrbni pregled dobaviteljev in ocene tveganj.
• Pogodbene klavzule za varnost, pomoč pri incidentih, pravice do presoje, lokacijo hrambe podatkov, podizvajanje in izstop.
• Matrike deljene odgovornosti v oblaku.
• Zapise spremljanja kritičnih ponudnikov.
• Testiranje izstopa in obnovitve za kritične storitve.
• Postopke obveščanja in eskalacije pri incidentih dobaviteljev.

Vključiti je treba tudi GDPR. Pomemben incident po NIS2 je lahko tudi kršitev varnosti osebnih podatkov, če so kompromitirani podatki strank, zaposlenih ali uporabnikov. GDPR od upravljavcev zahteva dokazovanje odgovornosti in, kadar so doseženi pragovi za obveščanje, obvestilo nadzornemu organu v 72 urah po seznanitvi s kršitvijo varnosti osebnih podatkov. Vaš delovni tok odzivanja na incidente mora vzporedno oceniti obveznosti po NIS2, GDPR, DORA, pogodbah in do strank.

Sestavite enotedenski paket dokazil NIS2

Ponudnik SaaS, ponudnik upravljanih storitev (MSP), ponudnik upravljanih varnostnih storitev (MSSP), ponudnik oblaka ali podjetje digitalne infrastrukture lahko v enem osredotočenem tednu doseže znaten napredek.

1. dan, razvrstite subjekt in storitve. Uporabite izjavo o obsegu ISMS in evidenco zainteresiranih strani. Dodajte zapis o obsegu NIS2, ki identificira kategorije iz Priloge I ali Priloge II, storitve v EU, države članice, stranke, odvisnosti, predpostavke o velikosti in ali se uporabljajo DORA ali sektorska pravila. Negotovost razvrstitve zabeležite kot tveganje, če pravna razlaga še ni dokončna.

2. dan, posodobite evidenco pravnih in regulativnih obveznosti. Dodajte NIS2 Articles 20, 21, and 23, registracijske zahteve po nacionalni zakonodaji, obveznosti glede kršitev po GDPR, obveznosti DORA, kjer so relevantne, in ključne pogodbene zahteve glede obveščanja. Vsako obveznost preslikajte na politiko, lastnika, kontrolo, vir dokazil in pogostost pregleda.

3. dan, posodobite oceno tveganj in obravnavo tveganj. V merila tveganj vključite pravni, regulativni, operativni, dobaviteljski, finančni, ugledni in družbeni vpliv. Dodajte tveganja, kot so neuspešna registracija, napačna razvrstitev subjekta, zamujeno 24-urno zgodnje opozorilo, nedostopni kontakti organov, izpad dobavitelja, ki vpliva na kritične storitve, nezadosten nadzor organa upravljanja in nezmožnost dokazati učinkovitost kontrol.

4. dan, osvežite SoA. Potrdite kontrole, relevantne za NIS2, vključno z A.5.5 stik z organi, A.5.19 do A.5.23 kontrole dobaviteljev in oblaka, A.5.24 do A.5.28 kontrole incidentov, A.5.29 varnost med motnjo, A.5.30 pripravljenost IKT za neprekinjeno poslovanje, A.5.31 pravne zahteve, A.5.34 zasebnost, A.8.8 upravljanje ranljivosti, A.8.13 varnostne kopije, A.8.15 beleženje, A.8.16 dejavnosti spremljanja, A.8.24 kriptografija in kontrole varnega razvoja A.8.25 do A.8.32.

5. dan, testirajte poročanje o incidentih. Izvedite namizno vajo: napačna konfiguracija v oblaku izpostavi podatke strank in moti storitev v dveh državah članicah. Zaženite uro. Ali lahko ekipa razvrsti dogodek, oceni pragove GDPR, NIS2, DORA, pogodbenih obveznosti in obveznosti do strank, pripravi 24-urno zgodnje opozorilo, osnutek 72-urnega obvestila, ohrani dokazila in dodeli analizo temeljnega vzroka?

6. dan, zberite dokazila. Ustvarite mapo, pripravljeno za regulatorja, z zapisom o obsegu, pravno evidenco, registrom tveganj, SoA, seznamom kontaktov organov, priročnikom za odzivanje na incidente, evidenco dobaviteljev, zapisniki organa upravljanja, zapisi o usposabljanjih, dnevniki, poročili o spremljanju, testi varnostnih kopij, poročili o ranljivostih, obsegom notranje presoje in evidenco korektivnih ukrepov.

7. dan, izvedite vodstveni pregled. Paket pripravljenosti predstavite vodstvu. Zabeležite odobritve, preostala tveganja, odprte ukrepe, roke, vire in odgovornost lastnikov. Če je registracija zapadla, priložite indeks dokazil k zapisu o odločitvi glede registracije.

Clarysecova Audit and Compliance Monitoring Policy for SMEs Audit and Compliance Monitoring Policy-sme - SME predvideva to potrebo:

»Dokazila morajo biti usklajena z obveznostmi NIS2, kadar je organizacija določena kot pomemben subjekt ali drugače spada v področje uporabe nacionalne zakonodaje.«

Enterprise Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy navaja cilj:

»Ustvariti zagovorljiva dokazila in revizijsko sled v podporo regulativnim poizvedbam, pravnim postopkom ali zahtevam strank za zagotavljanje zaupanja.«

To je cilj: zagovorljiva dokazila, preden zahteva prispe.

Pripravite se na različne presojevalske poglede

Certifikacijski presojevalec, nacionalni organ, presojevalec stranke, presojevalec zasebnosti in ekipa za zagotavljanje zaupanja dobaviteljev ne bodo postavili enakih vprašanj. Močan paket dokazil NIS2 deluje za vse.

Za ISO/IEC 27002:2022 kontrolo 5.5 presojevalci običajno pričakujejo dokumentirane kontakte organov, dodeljene odgovornosti, vzdrževanje kontaktov, priročnike za odzivanje na incidente in scenarijsko jasnost. Preprosto presojevalsko vprašanje lahko razkrije zrelost: »Kdo v primeru izsiljevalske programske opreme stopi v stik z organi pregona ali nacionalnim CSIRT?« Če je odgovor odvisen od tega, da si nekdo zapomni ime, kontrola ni pripravljena.

Clarysecova Logging and Monitoring Policy Logging and Monitoring Policy - SME krepi pričakovanje glede dokazil:

»Dnevniki morajo biti na zahtevo dostopni in razumljivi zunanjim presojevalcem ali regulatorjem.«

Clarysecova Information Security Policy Information Security Policy določa širši standard za podjetje:

»Vse implementirane kontrole morajo biti preverljive, podprte z dokumentiranimi postopki in hranjenimi dokazili o delovanju.«

To je presojevalski test v enem stavku. Če kontrole ni mogoče podpreti z dokazili, ne bo imela velike teže, ko bo pristojni organ zahteval dokaz.

Končni kontrolni seznam dokazil za registracijo po NIS2

Ta kontrolni seznam uporabite pred registracijo ali pred odgovorom na zahtevo nacionalnega organa.

• Dokumentirajte analizo obsega NIS2, vključno z utemeljitvijo Priloge I ali Priloge II, opisi storitev, predpostavkami o velikosti, odtisom po državah članicah in razvrstitvijo subjekta.
• Identificirajte, ali se DORA uporablja neposredno ali posredno prek strank iz finančnega sektorja in pogodb o storitvah IKT.
• Posodobite obseg ISMS, da vključuje relevantne storitve, odvisnosti, zunanje izvajane procese in regulativne vmesnike.
• Dodajte NIS2, GDPR, DORA, sektorska pravila in pogodbene zahteve v evidenco pravnih in regulativnih obveznosti.
• Vsako obveznost preslikajte na politike, kontrole, lastnike, dokazila, pogostost pregleda in poročanje vodstvu.
• Potrdite odobritev in nadzor ukrepov za upravljanje kibernetskih tveganj s strani organa upravljanja.
• Vzdržujte zapise o usposabljanjih kibernetske varnosti za vodstvo in zaposlene.
• Posodobite merila tveganj, da vključujejo regulativni vpliv, motnje storitev, škodo strankam, čezmejni vpliv in odvisnost od dobaviteljev.
• Tveganja, povezana z NIS2, zabeležite v register tveganj in jih povežite z načrti obravnave tveganj.
• Posodobite SoA s kontrolami iz Priloge A, relevantnimi za NIS2, in statusom implementacije.
• Vzdržujte sezname kontaktov organov in postopke obveščanja za CSIRT, pristojne organe, nadzorne organe za varstvo podatkov, finančne nadzornike in organe pregona.
• Testirajte delovni tok 24-urnega zgodnjega opozorila, 72-urnega obvestila, vmesne posodobitve in enomesečnega končnega poročila.
• Vzdržujte dokazila o dobaviteljih in oblaku, vključno s skrbnim pregledom, pogodbami, pravicami do presoje, spremljanjem, podizvajanjem in načrti izstopa.
• Učinkovitost kontrol dokazujte z dnevniki, kazalniki, presojami, nadzornimi ploščami, rezultati testiranja in korektivnimi ukrepi.
• Pripravite indeks dokazil, da je mogoče hitro odgovoriti na vsako zahtevo regulatorja, stranke ali presojevalca.

Naslednji korak s Clarysec

Registracija subjekta po NIS2 ni ciljna črta. Je točka, na kateri vaša organizacija postane vidna nacionalnemu nadzoru kibernetske varnosti. Pravo vprašanje ni »Ali se lahko registriramo?« Pravo vprašanje je: »Če organ po registraciji zahteva dokazila, ali lahko v urah, ne tednih, pripravimo skladno zgodbo ISO 27001:2022?«

Clarysec pomaga organizacijam zgraditi to zgodbo prek Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls in praktičnih naborov politik ISO 27001:2022, ki povezujejo pravne obveznosti, obravnavo tveganj, poročanje o incidentih, varnost dobaviteljev, beleženje, spremljanje, revizijska dokazila in odgovornost vodstva.

Izvedite pregled vrzeli v dokazilih NIS2 glede na svoj trenutni ISMS. Začnite z zapisom o obsegu, pravno evidenco, registrom tveganj, SoA, seznamom kontaktov organov, delovnim tokom poročanja o incidentih, evidenco dobaviteljev in mapo revizijskih dokazil. Če so ti artefakti nepopolni ali nepovezani, vam Clarysec lahko pomaga, da jih pred zahtevo nacionalnega organa pretvorite v paket dokazil, pripravljen za regulatorja.