Cazurile în care ISO 27001, pe cont propriu, ar putea să nu fie suficient
ISO/IEC 27001:2022 este un standard internațional, nu o lege. Certificarea ISO 27001 nu garantează conformitatea cu NIS2. Trei domenii – securitatea lanțului de aprovizionare, responsabilitatea conducerii și obligația legală de a raporta incidentele de securitate – necesită, în general, măsuri și dovezi care depășesc ceea ce poate demonstra un certificat ISO 27001 în sine.
ISO 27001 este un standard internațional voluntar, în timp ce NIS2 este o lege europeană cu caracter obligatoriu. Prin urmare, certificarea nu înlocuiește automat conformitatea cu toate obligațiile NIS2, în special în ceea ce privește securitatea lanțului de aprovizionare, obligațiile de raportare și responsabilitatea conducerii.
Articolul 21 alineatul (2) din NIS2 definește zece categorii de măsuri de gestionare a riscurilor de securitate cibernetică pe care organizațiile vizate sunt obligate din punct de vedere legal să le pună în aplicare. Conținutul standardului ISO/IEC 27001:2022 și controalele enumerate în anexa A pot fi corelate cu majoritatea acestor categorii – deși fără a corespunde acestora în mod univoc ca cerințe legale:
Securitatea lanțului de aprovizionare
Directiva NIS2 impune organizațiilor să evalueze și să gestioneze riscurile de securitate cibernetică pe întregul lanț de aprovizionare – nu doar în cadrul propriilor limite corporative.
Incidentele recente de securitate cibernetică au demonstrat în repetate rânduri că atacatorii exploatează lanțul de aprovizionare pentru a obține acces neautorizat la rețelele mai mari ale clienților. La urma urmei, principiul eficienței – „obținerea unei acoperiri maxime cu efort minim!” – se aplică și aici.
În consecință, articolul 21 alineatul (2) litera (d) din NIS2 impune asigurarea securității lanțului de aprovizionare, ceea ce este în concordanță cu cerințele 5.19–5.23 din anexa A la ISO 27001:
- Securitatea informațiilor în relațiile cu furnizorii
- Abordarea securității informațiilor în acordurile cu furnizorii
- Gestionarea securității informațiilor în lanțul de aprovizionare TIC
- Monitorizarea, auditarea și gestionarea schimbărilor în serviciile furnizorilor
- Securitatea informațiilor în cazul utilizării serviciilor cloud
Responsabilitatea conducerii
Conform NIS2, securitatea cibernetică nu mai este considerată o chestiune pur tehnică care poate fi delegată departamentului IT.
Directiva prevede că organul de conducere al organizației trebuie să își asume responsabilitatea pentru aprobarea, monitorizarea și revizuirea periodică a punerii în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică. În practică, se așteaptă ca conducerea de vârf să:
- să înțeleagă riscurile cibernetice și să se implice activ în gestionarea acestora,
- să participe la activitățile de guvernanță și la procesele decizionale legate de securitatea cibernetică,
- să asigure resurse adecvate pentru măsurile de reziliență și
- Să monitorizeze gradul de pregătire pentru răspunsul la incidente și obligațiile de raportare.
În funcție de punerea în aplicare la nivel național a NIS2 și de reglementările relevante privind societățile comerciale și răspunderea, membrii organului de conducere se pot confrunta, de asemenea, cu consecințe personale dacă nu își îndeplinesc în mod adecvat obligațiile în materie de securitate cibernetică. Guvernanța în domeniul securității cibernetice devine astfel o responsabilitate cheie a conducerii – cu potențiale implicații de natură reglementară și financiară în cazul în care nu se demonstrează în mod convingător existența unei supravegheri suficiente.
Raportarea incidentelor
NIS2 introduce termene legale obligatorii: organizațiile trebuie să transmită autorității competente o notificare inițială de alertă timpurie în termen de 24 de ore de la constatarea unui incident semnificativ, urmată de un raport mai detaliat în termen de 72 de ore și de un raport final într-o etapă ulterioară, conform prevederilor legislației.
Multe organizații nu dispun în prezent de procesele documentate, de responsabilitățile clar atribuite și de procedurile testate necesare pentru a respecta aceste termene în mod fiabil. Cadrele existente de gestionare a incidentelor din cadrul unui ISMS necesită adesea ajustări specifice pentru a reflecta termenele reglementare și obligațiile de raportare externă introduse de NIS2.
În practică, acest lucru înseamnă, de obicei, remedierea a trei lacune specifice. În primul rând, definirea și documentarea unui factor declanșator clar care să indice momentul în care „constatarea” unui incident semnificativ pornește contorul de 24 de ore – majoritatea procedurilor ISMS se concentrează pe clasificarea internă a gravității, mai degrabă decât pe termenele reglementate. În al doilea rând, desemnarea unui rol specific responsabil de notificarea de alertă timpurie și de legătura directă cu CSIRT-ul național sau cu autoritatea competentă, separat de rolul care conduce răspunsul intern. În al treilea rând, stabilirea unei piste de dovezi verificabile – inclusiv jurnale cu marcaj temporal, copii ale notificărilor și justificarea din spatele evaluării inițiale a gravității – care poate fi prezentată în cazul în care o autoritate de supraveghere verifică ulterior modul în care au fost respectate termenele de 24 și 72 de ore prevăzute de NIS2.
Reziliența operațională
Autoritățile de reglementare și clienții se așteaptă din ce în ce mai mult la dovezi că măsurile de reziliență au fost testate — nu doar documentate pe hârtie.
Prin urmare, se așteaptă ca organizațiile să demonstreze că pot menține sau restabili rapid operațiunile critice în timpul evenimentelor perturbatoare, mai degrabă decât să prezinte doar planuri scrise. Acest lucru include, de obicei:
- Planificarea continuității activității și testarea periodică
- Exerciții de recuperare în caz de dezastru pentru sistemele și datele critice
- Simulări realiste de răspuns la incidente
- Proceduri de gestionare a crizelor bine definite și exersate
Împreună, aceste elemente arată dacă reziliența este cu adevărat integrată în operațiunile de zi cu zi.