ווער באַשליסט טאַקע צי אייער אוידיטאָר איז קוואַליפֿיצירט? פארוואס די כּללים זענען אַנדערש - און אייער אוידיט דורכגאַנג איז אָפּהענגיק פון זיי.
אויב איר פירט קאמפלייענס, די פראגע צי אייער יסאָ קסנומקס אדער צי NIS 2 אוידיטאר איז "קוואַליפֿיצירט" קען זיך פֿילן ווי אַ רעטעניש פֿאַרוויקלט אין ביוראַקראַטיע. די ווירקלעכקייט אויף דער ערד איז נישט ווי די שיינע טשעקליסטן וואָס פּראָדוקט מאַרקעטינג וואָלט אײַך געלאָזט גלויבן: אוידיטאָר בארעכטיקונג איז אַ פּאַטשוואָרק קווילט פֿון נאַציאָנאַלע, סעקטאָראַלע, און מאַנטשמאָל לאָקאַלע אויטאָריטעט באַשלוסןקיין צענטראַליזירטע ENISA "סופּער-אוידיטאָר" ליסטע עקזיסטירט נישט. אנשטאט, אויטאריטעטן פון בערלין ביז אמסטערדאם, אדער פאריז ביז פראג, פירן זייערע אייגענע רעגיסטערס, שטעלן באַזונדערע אריינגאנג באדינגונגען, צולייגן פאליטישע אינטערפּרעטאַציעס, און פארלאנגען פּעריִאָדישע באַנייַונג. וואָס עפֿנט די טיר פֿאַר אַן אוידיטאָר אין איין לאַנד קען זיי לאָזן פֿאַרשפּאַרט - אדער איגנאָרירט - אין אַן אַנדערן (נאָער).
א סערטיפיקאט וואס פארזיכערט צוטרוי מיט איין אויטאריטעט קען גארנישט מיינען פאר זיין שכן - ווען עס קומט צו אוידיט אקצעפטאנץ, ציילט זיך נאר די לאקאלע שפיל.
אויטאָריזאַציע ווערט טיפּיש קאָנטראָלירט דורך אַ קאָמבינאַציע פֿון נאַציאָנאַלע אַגענטורן, סעקטאָראַלע קאָמיסיעס, און, פֿאַר רעגולירטע אינדוסטריעס, אַן נאָך שיכט פֿון ווערטיקאַל-ספּעציפֿישע כּללים. זיך פֿאַרלאָזן בלויז אויף אַן אוידיטאָר'ס "ליד אוידיטאָר" סערטיפֿיקאַט פֿון ISO אָדער אַ גלאָבאַלע אָרגאַניזאַציע איז געוואָרן אַ ריזיקע - מאַנטשמאָל ווערט אַ קרעדענשאַל באַגריסט אין איין יוריסדיקציע, אָבער קען נישט טרעפֿן לעגאַלע קאָנטראָל אַנדערשוואו. די דײַטשע BSI, האָלענדישע NCSC, און פֿראַנצייזישע ANSSI אַרבעטן יעדער מיט זייערע אייגענע ליסטעס, אוידיטס, און וואַלידאַציע ציקלען. אויב אײַער אוידיטאָר פֿעלט אַ פּרעזענץ און באַווײַז אויף דעם ריכטיקן רעגיסטער, איז אײַער אוידיט רעזולטאַט אין ריזיקע, נישט קוקנדיק אויף זייער אינטערנאַציאָנאַלע רעפּוטאַציע אָדער סערטיפֿיקאַטן. פֿאַר צווייפֿאַכיקע קאַווערידזש אין ISO 27001 און NIS 2, מוזן אוידיטאָרן זיך איבער און איבער וואַלידירן אין יעדער געאָגראַפֿיע און סעקטאָר - אַ פּראָצעס וואָס איז אַזוי אָנגייענדיק ווי עס איז פּאָליטיש.
נאציאנאלע רעגיסטערס: מער ווי א פארמאליטעט
פילע אי־יו לענדער פירן אפיציעלע רעגיסטערס – באוואכט, אפדעיטירט, און רעגולירט. אין קריטישע סעקטאָרן (ענערגיע, טעלעקאָמוניקאַציע, געזונטהייט, באַנקינג), די ליסטעס זענען אָפט די לעצטע טויער-היטער: דיין אוידיטאָר'ס נאָמען מוז דערשייַנען, קרעדענצן מוזן זיין אַקטיוו, און סעקטאָר דערקענונג מוז זיין אַקטועל. פֿאַר מולטינאַציאָנאַלע אָרגאַניזאַציעס, דאָס שאַפט אַן עקסטרע שטערונג: וואָס אַרבעט פֿאַר איין לאַנד אָדער ווערטיקאַל גייט נישט אָן פרישע פּאַפּירן. אפילו אין אַ לאַנד, מיינען קראָס-סעקטאָראַל צעטיילונגען אַז אַן אוידיטאָר ליסטעד פֿאַר געזונטהייט קען נישט זיין אנגענומען אין די פינאַנציעל סעקטאָר סיידן באַזונדער רעגיסטרירט און עוואַלואַטעד.
צוויי-טריינד אוידיטארן: זעלטן, און קיינמאָל נישט דער פעליקייט
טראָץ וואַקסנדיקער נאָכפֿראַגע, זענען אוידיטאָרן וואָס האַלטן ביידע ISO 27001 און NIS 2 קוואַליפיקאַציעס - פּלוס אַן אַקטועלע בייַזייַן אויף יעדן סעקטאָר און נאַציאָנאַלן רעגיסטער וואָס איר דאַרפֿט - אין מאַנגל און באַקומען זעלטן סטאַטוס דורך צופֿאַל. זיין ליסטעד מיט איין אויטאָריטעט גאַראַנטירט קיינמאָל נישט אַקסעפּטאַנס אַנדערשוואו. איידער איר קאָנטראַקטירט אַן אוידיטאָר, ספּעציעל פֿאַר קראָס-גרענעץ אָדער קראָס-סעקטאָר פּראָיעקטן, פֿאָדערט אַ געשריבענע, אַקטועלע באַווייַז פֿאַר יעדן באַטייַטיקן רעגיסטער. די דיו דילידזשענס וועט טאָן מער פֿאַר דיין ליקעליהאָאָד פון דורכגיין אַן אוידיט ווי קיין סאָרט נאָמען אָדער זיך-באַשטעטיקטע יאָרצענדליקער דערפאַרונג.
ספר אַ דעמאָאיין אויספארשונג אדער צוויי? ווי אזוי צו פארמיידן איבעריקייט ווען פריימווערקס קאלידיזירן
ס'איז אַ פֿאַרשטענדלעכע פֿראַגע: "קענען מיר דערגרייכן ISO 27001 און NIS 2 קאָנפאָרמאַטי מיט אַן איינציקער אוידיט?" פֿאַר רובֿ אָרגאַניזאַציעס, איז די ערלעכע ענטפֿער "נאָר אויב איר פֿאָרזיכטיק צופּאַסט די דאָקומענטאַציע, און אייער אוידיטאָר איז באמת אנערקענט פֿאַר ביידע סטאַנדאַרדן דורך יעדער אויטאָריטעט וואָס ציילט." אָן צווייפֿאַכיקע קוואַליפיקאַציע און קאַרטירטע, מולטי-פֿרэйמווערק באַווײַזן, זענט איר אין ריזיקע פֿון דורכלויפֿן צוויי פֿאַרשידענע אוידיט ציקלען - יעדער מיט זײַנע אייגענע פּאַפּירן, אינטערוויוען און אינטערפּרעטאַציעס. אפילו ווען קאָנטראָלן און רעזולטאַטן איבערלאַפּן זיך, פֿאָדערט לאָקאַלע געזעצן אָדער סעקטאָראַלע גײַדליינז אָפֿט קלאָרע איבערגאַנגען, אינדעקס קאַרטירונג און צוגעפּאַסטע דאָסיעס פֿאַר יעדן רעזשים (NCSC UK).
איבערלאַפּנדיקע אויספֿאָרשונגען זענען נישט נאָר אַ פֿאַרלוסט פֿון צייט - זיי פֿאַרדאָפּלען קאָסטן און אויסשעפּן די טימז וואָס זענען מערסט נויטיק פֿאַר אָנגייענדיקע זיכערהייט.
פריע פּלאַנירונג: באַשטעטיקן, נישט אָננעמען
איידער איר קאנטראקטירט אן אוידיטאר, הייבט אן א דיאלאג מיט ביידע אייער ISO סערטיפיקאציע שותף און אייערע לאקאלע NIS 2 אויטאריטעטן. קלארט אויס וואו מען קען נוצן באווייזן, וואו דאקומענטאציע דארף ווערן מאַפּט אדער איבערגעזעצט, און - וויכטיג - ווי סעקטאראלע אנווייזונגען אינטערפרעטירן "אקצעפטירבארע" אוידיט קאווערידזש. אין קריטישער אינפראסטרוקטור, געזונטהייט, אדער באנקינג, ערווארט אז רעגולאטארן זאלן אינסיסטירן אויף סעקטאריזירטע, קאנטעקסט-ספעציפישע אוידיטס. דער שנעלסטער וועג צו דערריילן אן אוידיט? אננעמען אז איין סערטיפיקאט איז גענוג, נאר צו ווערן אפגעווארפן נאך וואכן פון צוגרייטונג. באקומט קלארע, געשריבענע הסכמה פאר אייער אוידיטאר אין אלע באטרעפנדע רעגיסטערס - זיי זאלן ערווארטן און באגריסן די אויפזיכט.
| פאַזע | דערוואַרטונג | פאַקט | וואָס אַרבעט |
|---|---|---|---|
| פאַר-באַטייליקונג | "איין אוידיט וועט דינען ביידע פריימווערקס." | קרעדענשאַלז/רעגיסטריעס זעלטן אויסגעשטעלט. | באַשטעטיקן די אייגענאַרטיקע רעקווירעמענץ פון ביידע סטאַנדאַרדן. |
| קאָנטראָלירן פּלאַנירונג | "אונדזער ISO 27001 באַווײַז וועט אָנגענומען ווערן." | סעקטאָראַלע כּללים און טעמפּלאַטן אָווועררייד. | זיכערע אנווייזונגען גלייך פון רעגולאַטאָרן. |
| באַשטעלונג | "טעמפּלאַטעס וועלן אונדז דורכפֿירן מיט גרינגקייט." | יוריסדיקציעס פארלאנגען קאַרטירטע פוסגייער איבערגאַנגען. | בויען און פּרובירן אייערע אייגענע קאָמפליאַנס אינדעקסן. |
פארוואס די פּאַטשוואָרק? לאָקאַלע כּללים געווינען.
ENISA גיט גיידליינז, פירט דורך איבערבליקן, און פארשפרייט בעסטע פראקטיקעס - אבער האט נישט קיין לעגאלע מאכט איבער נאציאנאלע אדער סעקטאר רעגיסטראציע. די דייטשע BSI, האלענדישע NCSC, און זייערע קאנקורענטן פירן זייערע אייגענע וואַלידאַציע פּראָצעסן, שטעלן זייערע אייגענע ציקלען פאר רעגיסטרי דערהייַנטיקונגען, פארלאנגען זייער אייגענע דאקומענטאציע, און רעזערווירן זיך דאס רעכט צו אפווארפן יעדן סערטיפיקאט וואס איז נישט ספעציפיש וואַלידירט אונטער זייער באַנער (ENISA). אפילו אין דער אי.יו., איז קעגנצייַטיקע דערקענונג זעלטן; קראָס-סעקטאָר טראַנספער כּמעט אומגעהערט. טימז וואָס האָפן צו פארשטארקן מוזן מאָניטאָרירן אַלע באַטייַטיק רעגיסטערס - און ריוואַלידירן קרעדענשאַלז ווערט אַ קעסיידערדיק געשעעניש.
בעל NIS 2 אָן ספּרעדשיט כאַאָס
צענטראַליזירן ריזיקע, אינצידענטן, סאַפּלייערז און באַווייַזן אין איין ריינער פּלאַטפאָרמע.
געכאפט צווישן די שורות: פארוואס דאקומענטאציע און קאנטראל רעקווייערמענטס זענען נישט סינקראניזירט
כאָטש ביידע NIS 2 און ISO 27001 פאָדערן קעסיידערדיקע פֿאַרבעסערונג, זאַמלונג פֿון באַווײַזן און שטאַרקע risk management, זייערע אימפלעמענטאציע וועגן זענען שטארק אנדערש ביים פונקט פון דורכפירונג. נאציאנאלע אויטאריטעטן קענען פארלאנגען באריכטן אין זייער אייגענעם פארמאט, ספעציפישע מוסטער אויסלייגן, אינצידענט מעלדונג אין לאַנד-אייגנאַרטיקע טערמינען, צי אפילו "לעבעדיקע" דעמאַנסטראַציעס. אין קריטישע סעקטאָרן, קאָנטראָלירן נאָך לעגיסלאַטור פֿאָרמען די צייַטיקייט און פאַרנעם, וואָס צווינגט קאָנפאָרמאַנס טימז צו פאַרוואַלטן צווייפאַכע לאָגיקס, קראָס-אינדעקסט באַווייַז, און סעקטאָר-ספּעציפֿיש וואָקאַבולאַר.
די שטערונגען וואָס פאַרהאַלטן אָדער בלאָקירן אויডিץ זענען געוויינטלעך נישט טעכניש - זיי זענען אומרעכטן אין ווי אַזוי אויטאָריטעטן דערוואַרטן אַז באַווייַזן, באַריכטן און קאָנטראָלן זאָלן זיין אָרגאַניזירט.
פארשפעטיגונגען, קריגערייען, און אפווארפן פון אוידיטס קומען אפט פון נישט-אויסגעפארשטע אנווייזונגען - ווי למשל אריינשיקן ISO 27001 באווייזן "ווי זיי זענען" צו א NIS 2 אוידיט, נאר צו אנטדעקן אז אייערע באווייזן שטימען נישט מיט די באריכטן אדער דאקומענטאציע גריד וואס אייער סעקטאר רעגולאטאר פארלאנגט. מולטי-לאנד טימס שטייען פאר נאך שאַרפערע אויספארדערונגען: די האלענדישע NCSC און דייטשלאנד'ס BSI זענען ביידע בארעכטיגט צו שטעלן אייגנארטיגע טעמפלעיטס און צייט-ליניעס. שוואכע מאַפּינג, נישט-דאקומענטירטע באווייז לינקס, אדער פעלנדיקע רעגיסטרי קרעדענשעלס זענען די מערסטע פארשפרייטע, פארמיידבארע קוועלער פון שאקס אין אוידיט-טאג. בויען קלארע מאַפּינג אינדעקסן, פירן אויס קערפולע באווייז לאגס, און פארבינדן יעדן באווייז ארטיפאקט צו זיין פארלאנגטן פריימווערק.
אַקרעדיטאַציע אין אַקציע: ENISA'ס עצה, לאָקאַלע אויטאָריטעטן'ס משפט
ENISA'ס אויפגאבע איז שטרענג ראטגעבנדיק: אנווייזונגען, טולקיטס, און רעסורסן צענטערס פאר בעסטע פראקטיק. עס פירט נישט קיין רעגיסטערס, גיט נישט ארויס קיין אוידיט באשטעטיגונגען, אדער פארמיטלט נישט קיין קרעדענשאַל דיספּיוץ. די מאַכט ליגט אויסשליסלעך ביי די טויער-היטער - נאציאנאלע און סעקטאראלע אויטאריטעטן. די קערפערשאפטן שטעלן זייערע אייגענע רעגיסטראציע כּללים, דערהייַנטיקונג ציקלען, און באַנייַונג פּראָצעדורן, און מען ערוואַרט פון אייך צו האַלטן דעם גאַנג (אפילו ווען ענדערונגען זענען אָפט אָדער אומקלאָר) (ENISA NIS 2 אנווייזונג).
דייטשלאנד קעגן האלאנד: רעגיסטראציע, באנייאונג, און רעאל-וועלט אויסווירקונגען
- דייטשלאנד (BSI): פירט א צענטראלן, צוויי-שטאנדארטן רעגיסטרי; גרענעץ-איבערשרייטנדע אדער אפילו סעקטאר-איבערשרייטנדע באשטעטיגונגען זענען נישט איבערטרעטבאר. אוידיטארן מוזן רוטינמעסיג איבער-וואלידירן און ווייזן אפ-טו-דייט וויסן פאר יעדן ווערטיקאל וואס זיי באדינען.
- האָלאַנד (NCSC): גיט ארויס סעקטאָר-ביי-סעקטאָר רעגיסטערס; פרעמדע האַסקאָמע (אפילו פון אי.יו. שכנים) ווערט נישט אויטאָמאַטיש אנגענומען. דאָקומענטאַציע מוז ווערן דערהייַנטיקט צו זייערע ספּעציפֿישע באדערפענישן, און די צייט-פּלענער פֿאַר באַנייַונג קענען זיין אַנדערש לויט סעקטאָר.
קרעדענשאַל טשעקס זענען געוואָרן אַזוי דינאַמיש ווי די סאַקאָנע לאַנדשאַפט אַליין: ליסטעס טוישן זיך, פּאָליטיק דערהייַנטיקונגען גייען דורך סעקטאָרן, און געשעפטן מוזן רוטינמעסיק איבערקוקן יעדע האַסקאָמע פארבונדן מיט אָדיט-גרייטקייט. איין אָפּוועזנדע רעגיסטרי איינטראַג קען שטעלן אַ האַלט צו דיין גאַנצן אָדיט פּראָצעס.
בלייבן אַקטועל: קאָנפאָרמאַנס ווי אַן אַקטיווע דיסציפּלין
קרעדענשאַל פאַרוואַלטונג איז איצט אַ לעבעדיקער פּראָצעס, נישט אַ "שטעלן און פאַרגעסן" אַרבעט. פירנדיקע אָרגאַניזאַציעס טראַקן רעגיסטרי דערהייַנטיקונגען, עקספּיראַציע דאַטעס און CPD לאָגס דורך דעדאַקייטאַד אָונערז אָדער אָטאַמייטיד פּלאַטפאָרמעס (KPMG). נישט טאָן דאָס איז אַ ימערדזשינג שורש גרונט פון דורכגעפאלענע אוידיטס און רעגולאטורישע שטראָפן. ווי די רעקווייערמענץ טוישן זיך - אָפט מיט קליינעם וואָרענונג - דאַרפן אינטערנע קאָמפליאַנס טימז באַהאַנדלען קרעדענשאַל וואַלידאַציע ווי אַ שטייענדיקן אַגענדאַ פּונקט. דיגיטאַלע באַווייַזן, דערמאָנונגען און באַווייַז פון באַנייַונג זאָלן זיין גרייט צו פאָרשטעלן ביי יעדער דורכקוק.
זייט NIS 2-גרייט פון טאג איינס
לאָנטש מיט אַ באַוויזן וואָרקספּייס און טעמפּלאַטן – נאָר צופּאַסן, צוטיילן, און גיין.
וואָס מאַכט אַן אוידיטאָר "פולשטענדיק קוואַליפֿיצירט"? עס איז מער ווי נאָר האָבן אַ סערטיפיקאַט
כּדי אַן אוידיטאָר זאָל זײַן "פולשטענדיק קוואַליפֿיצירט" צו באַדינען אײַערע NIS 2 און ISO 27001 באַדערפֿנישן, מוזן דרײַ זאַכן זײַן באַוויזן, אַקטועל, און צוגעפּאַסט צו אײַער סעקטאָר און לאַנד:
- א גילטיקע ISO 27001 ליד אוידיטאר סערטיפיקאט: פריש, נישט-אויסגעגאנגען, און ארויסגעגעבן דורך אן אנערקענטן קערפער.
- אַרויף-צו-דאַטע בייַזייַן אויף NIS 2 סעקטאָר רעגיסטריז: ליסטעד אין יעדער באַטייַטיק יוריסדיקציע און סעקטאָר אויטאָריטעט פֿאַר דיין געשעפט קאָנטעקסט.
- דאקומענטירטע, אנגייענדיקע CPD: אריינגערעכנט סצענאַר-באַזירטע טריינינג, יערלעכע רעקאָרד דערהייַנטיקונגען, און דירעקטע רעפֿערענצן וואָס קענען צוריקגעפֿירט ווערן צו ביידע סטאַנדאַרדן.
קערפערשאפטן ווי PECB אדער AENOR ווארענען אז "צווייפאכיגער" אדער "פולער" סטאטוס קען נישט פארלירן אין קאמפלייענס דורך דיפאלט; עס מוז באוואוסטזיניק אויפגעהאלטן ווערן און קען אפגערופן ווערן - אן א מעלדונג - דורך יעדער אויטאריטעט אויב לאגס, אנוועזנהייט, אדער באנייאונג פארשפעטיקט זיך.
זיין אויפן רעגיסטער איז א קאנטינעווירלעכע אקט. אויסלאפן, פארפעלטע CPD, אדער סעקטאר דריפט איז אלץ וואס דארף צו צוזאמענפאלן א פולשטענדיג קוואליפיצירטע סטאטוס.
קוואַליפיקאַציע אין אַקציע: טיש רעפֿערענצן
לעבנסציקל פון אוידיטאר קרעדענשאַל
| פאַסע | קריטישע באווייזן | קאָנטראָל רעפערענץ |
|---|---|---|
| אָנבאָאַרדינג | סערטיפיצירט ISO 27001 LA, NIS 2 רעגיסטרי | ISO 27001 אַנעקס A.7.2, NIS 2 אַרטיקל 20 |
| וישאַלט | פרישע CPD לאָגס, רעגיסטרי דערהייַנטיקונגען | ISO 27001 קלאָזן 7/9, NIS 2 אַרטיקל 21 |
| רינואַל | רעפֿערענצן, פֿוסגייער־איבערגאַנג מאַפּינגס, אויספֿאָרשונגען | ISO 27001 A.7.2, NIS 2 אַרט 20/21 |
טרעיסאַביליטי: "טויש-צו-באַווייַז" מיני-טאַבעלע
| צינגל | ריזיקע ענדערונג | קאָנטראָל/SoA לינק | באַווײַזן קאַפּטשערד |
|---|---|---|---|
| אויפנעמען אוידיטאר | קרעדענשאַלז/רעגיסטרי סקען | SoA A.7.2, NIS 2 אַרטיקל 21 | רעגיסטרי לינקס, CPD, רעפערענץ באווייז |
| יערלעכע איבערבליק | רעגיסטרי + CPD דערפריש | SoA A.7.2, NIS 2 אַרטיקל 21 | דערהייַנטיקטע דיגיטאַלע לאָגס און איינטראַגעס |
| רעגולאציע ענדערונג | סצענאַר/גלייַך סעסיע, דערהייַנטיקן | SoA A.7.2, NIS 2 אַרטיקל 24 | טרענירונג, CPD באווייזן, איבערבליק רעקארד |
באַווייַז איידער אוידיט: מאַכט קרעדענשאַל טשעקס אַ טעגלעכע דיסציפּלין, נישט אַ לעצטע-מינוט פּאַניק
פירער אין קאָנפאָרמאַנס שטעלן קרעדענשאַל וואַלידאַציע אין רעגולערן וואָרקפלאָו. איידער יעדער אוידיטאָר שטעלט אַ פֿוס אויף דער אָרט - אינטערנע אָדער עקסטערנע - זאַמלען:
- דיגיטאַל וועריפיצירבארע, אַקטיווע סערטיפיקאַטן פון אנערקענטע ISO 27001 הויפּט אוידיטאָר גופים.
- געשריבענע רעגיסטרי איינטראגעס פון יעדן באַטייַטיק לאַנד און סעקטאָר.
- צייט-געשטעמפּלטע לאָגס פון CPD און טריינינג געשעענישן (אַרייַנגערעכנט סימיאַליישאַן דרילס ווו מעגלעך).
- דאקומענטארער באווייז פון פרישע אוידיט פאָרשטעלונג אדער סצענאַר באַטייליקונג.
גלאבאלע און מולטי-סעקטאר טימז מיט פראאקטיוון קרעדענשאַל דיסציפּלין באריכטן כסדר ווייניקער איבערראשונגען און שנעלערע, ריינערע אוידיט רעזולטאטן (ICAEW). יעדע פארפעלטע קרעדענשאַל איז א מעגלעכע פארשפעטיגונג, אדער אין די ערגסטע פעלער, א גלייכע אפווארף.
אָרגאַניזאַציעס וואָס אויטאָמאַטיזירן קרעדענשאַל טראַקינג - ניצנדיק ISMS.online'ס מאָניטאָרינג און דאַשבאָרד מכשירים - זענען אין דער בעסטער פּאָזיציע צו עלימינירן לעצטע-מינוט פּאַניק און זיכערן שנעלע, איבערחזרנדיקע אָדיט פּאַסיז.
עלימינירן די לעצטע-מינוט ראַש
באַשטימען אַ קאָנפאָרמאַנס אייגנטימער פאַראַנטוואָרטלעך פֿאַר יעדן פריימווערק; ניצן דיגיטאַלע דערמאָנונגען און אויטאָמאַטישע וואַלידאַציע וווּ מעגלעך. קאָנסאָלידירן רעגיסטרי לינקס און עקספּיירי דאַטעס פֿאַר ביידע ISO 27001 און NIS 2 אין איין סיסטעם. פאָדערן באַווייַז וואָכן איידער קיין אָדיט געשעעניש, נישט בייַם אָנהייב ליניע. דאָס מאַכט קאָנפאָרמאַנס אין אַ ריפּיטיד דיסציפּלין, נישט אַ קאַמף.
אַלע אייערע NIS 2, אַלץ אין איין אָרט
פֿון אַרטיקלען 20–23 ביז אוידיט פּלענער – דורכפֿירן און באַווײַזן קאָנפֿאָרמאַנס, פֿון ענד צו ענד.
בויען ווידערשטאנדספעאיקע, צוויי-קאָמפּליאַנטע אוידיט טימז: פֿון סערטיפיקאַטן ביז קאָנטינויִערלעכע פּראַקטיק
היינט, ווערט א "אוידיט-גרייט" מאַנשאַפֿט אויפֿגעהאַלטן דורך קאָנטינויִערלעכע טרענירונג, רעקאָרד-האַלטונג, און סצענאַר-געטריבענע ווידערשטאַנדסקראַפט - נישט נאָר איין-מאָל פּאַפּיר. דער מערסטער נאָככאַלטיקער הצלחה קומט פֿון אײַנפֿירן קרעדענציעלע קאָנטראָלן אין ביידע אינערלעכע און אויסערלעכע אוידיטאָר פאַרוואַלטונג רוטינעס, ספּעציפֿיצירן צווייפֿאַכיקע סערטיפיקאַציע און רעגיסטרי סטאַטוס אין אַלע קאָנטראַקטן, און בויען פֿאַרבעסערונג פֿידבעק לופּס נאָך יעדער באַטייליקונג (AENOR).
טימז וואָס בלייבן גרייט פֿאַר אוידיט זענען די וואָס זענען פֿאַרפֿליכטעט צו אומאויפהערלעכער באַנייַונג, נישט צו אָפּטשעקן קעסטלעך.
אוידיט קאנטראקטן און אינערליכע קאנטראלן - פאר יעצט און מארגן
- פארלאנגען צווייפאכיגע, רעגיסטרי-ליסטעד אוידיטארן אין אלע אוידיט אפמאכן.
- בויען אריין סצענאַר-באזירט טריינינג און קרעדענשאַל אָפּשאַצונג קלאָזולעס אין קאָנטראַקטן.
- מאָניטאָרירן קרעדענשאַלז פֿאַר אינערלעכע און אויך עקסטערנע אָדיט טימז.
- דורכפירן רעטראָספּעקטיווע איבערבליקן נאָך יעדן אוידיט: אויספאָרשן גאַפּס אין קרעדענשאַליזאַציע, אַדרעסירן פּראָצעס דריפט, דאָקומענטירן דערהייַנטיקונגען פֿאַר די ווייַטער ציקל.
טרעיסאַביליטי: רענאַוויישאַן-געשעעניש רעפערענץ טיש
| באַנייַונג געשעעניש | פארלאנגטער שריט | דערווייַז דארף |
|---|---|---|
| רעגולאַטאָרישע דערהייַנטיקונג | גלייכגילטיקע/סעסיע טרענירונג | פרישע סערטיפיקאציע, CPD/געשעעניש לאגס |
| אוידיט באַנייַונג | רעגיסטרי/קאָנטראַקט סקען | אַרויף-צו-דאַטע רעגיסטרי, אָדיט געשיכטע |
| נייַער אוידיטאָר | איינטריט, איבערפירן | אָנבאָאַרדינג טשעקליסט, קרעדענשאַלז אַריבערפירן |
מאַכט זיך גרייט פֿאַר דואַל-קאַמפּליאַנס - איידער אייער ווייַטער אָדיט פֿענצטער שליסט זיך
אייער וועג צו איבערחזרנדיקער, גרינגער קאמפלייענס הייבט זיך אן מיט איינפירן קרעדענשאַל פאַרוואַלטונג אין אייער טעגלעכן לעבן. ISMS.online גיט אייך א צענטראלן, קענטיקן רעפאזיטארי פארן סטאטוס פון די רעגיסטרי פון אוידיט-פארטנערס, סערטיפיקאט מאניטארינג, און CPD לאגס. שטעלט אויף ראלע-באזירטע דעשבאָרדז, עקספּירי פלעגס, און באנייאונג דערמאָנונגען צו פארטרעטן לעצטע-מינוט דראַמע מיט רואיגע בטחון.
- פֿאַרבינדן ISO 27001 און NIS 2 פּאָליטיק, ריזיקאָ און קאָנטראָל רעקאָרדס אין פאַר-געבויטע פריימווערקס-באַווייַזנדיק קאָנטראָלירן גרייטקייַט פֿאַר יעדן לאַנד, סעקטאָר, אָדער סטאַנדאַרט.
- אויטאמאטיזירן דערמאָנונגען פֿאַר קרעדענשאַל עקספּיירי און פארלאנגטע באַנייַונג, סיי אינערלעך און סיי עקסטערנאַל.
- האַלט אַ שטענדיק-אויף-בליק פון רעגיסטרי איינטראַגעס ווען כּללים טוישן-דערהייַנטיקט איין מאָל, דערשייַנען אומעטום.
אויסצייכענונג פון אויספארשונג איז דער פּראָדוקט פון טעגלעכער קרעדענשאַלער דיסציפּלין, נישט העלדישקייט אונטער דרוק.
ווען איר שטעלט צוזאַמען מענטשן, פּראָצעסן און באַווייַזן, טראַנספאָרמירט איר קאָנפאָרמאַנס פֿון אַ מקור פֿון רייַבונג צו אַ קאָנקורענץ-פֿעיִקייט. דורך דעם וועט איר דערגרייכן ניט נאָר אַ דורכגאַנג, נאָר אַן אויטאָריזאַציע-ריזיליאַנס וואָס וואַקסט דורך יעדן ציקל און רעגולאַטאָרי טוישן-בלייבן צוגעגרייט, זיך פֿאַרבעסערן מיט יעדן שריט, און באַפֿרײַען אײַערע מאַנשאַפֿטן צו פֿירן דעם געשעפֿט פֿאָרווערטס.
אָפֿט געשטעלטע פֿראגן
ווער באַשטימט צי NIS 2 אוידיטאָרן מוזן האָבן ISO 27001 טריינינג, און צי ענדערט זיך די כלל לויט לאַנד?
יעדער אי.יו. מיטגליד שטאַט'ס נאציאנאלע סייבער-זיכערהייט אדער סעקטאראלע רעגולאטאר באשליסט דירעקט צי NIS 2 אוידיטאר בארעכטיגונג איז - אריינגערעכנט צי ISO 27001 קרעדענצן ווערן באטראכט ווי באַטייַטיק אדער גענוג. עס איז דא קיין איין אי־יו־ברייטע אדער ENISA־באשטעטיגטע באשטעטיגונגס־ליסטעאויטאריטעטן ווי דייטשלאנד'ס BSI, פראנקרייך'ס ANSSI, אדער די האלענדישע NCSC פירן יעדע זייערע אייגענע רעגיסטערס און דורכפירונג מאדעלן. אין עטלעכע לענדער, זענען ISO 27001 ליד אוידיטאר אדער אינטערנע אוידיטאר סערטיפיקאטן א פארלאנגטער אנפאנגספונקט - אבער שטענדיג באלאסט מיט ווייטערדיגע פארלאנגען ווי NIS 2-ספעציפישע טרענירונג, סעקטאר עקספיריענס, און לאקאלע רעגיסטרי ליסטינג. אן אוידיטאר וואס איז לייסענסט אין איין מיטגליד שטאט האט נישט קיין גאראנטיע פון אנערקענונג אין אן אנדערן; לעגאלע אנערקענונג "פארט" קיינמאל נישט אויטאמאטיש (ENISA, 2023).
בארעכטיגונג פאר אן אוידיטאר פאר NIS 2 ווערט קיינמאל נישט אימפליצירט דורך ISO 27001 סטאטוס אליין. קאנטראלירט שטענדיג מיט דער באטרעפנדיקער נאציאנאלער אדער סעקטאראלער אויטאריטעט איידער איר באשטעטיגט אוידיט אראנדזשירונגען.
ווי פאַרגלייכן זיך די סקילז וואָס זענען נויטיק פֿאַר NIS 2 און ISO 27001 אויספֿאָרשונגען, און וואו אַנדערשן זיך די רעקווייערמענץ?
די סקילז וואָס מען דאַרף פֿאַר NIS 2 און ISO 27001 אויספֿאָרשונגען איבערדעקן זיך באַדייטנד – ביידע פֿאָדערן באַקאַנטשאַפֿט מיט אינפֿאָרמאַציע זיכערהייט פריימווערקס, קאנטראלן, און קאנטינעווירלעכע פארבעסערונג. אבער, NIS 2 אוידיטס פארלאנגען איינציגארטיג נאַוויגאַציע פון שטאַט רעגולאַציעס, סעקטאָר-ספּעציפֿישע געזעצן, באַווייַזן פון אינצידענט סצענאַר רעפּעטיציעס, און דעמאַנסטראַציע פון גאַווערנאַנס אויף די באָרד מדרגה.ISO 27001 אוידיטארן קאנצענטרירן זיך אויף ISMS פלאן, אינערליכע קאנטראלן, דאקומענטאציע, און ריזיקא באהאנדלונג; NIS 2 אוידיטארן מוזן באווייזן פארשטענדעניש פון לאקאלע אימפלעמענטאציע געזעצן, סעקטאר איבערלאגעס (למשל, געזונט, ענערגיע, פינאנץ), און קענען זיך שטעלן פאר דירעקטע לעגאלע אחריות פאר אומרעכטע סטעיטמענטס. א באהאווענטער NIS 2 אוידיטאר האט עקספיריענס אין רעקארדירן באווייזן לויטן סטאנדארט פון סעקטאר אויטאריטעטן, באווייזן רעאל-וועלט נאטיפיקאציע פעאיקייט און סצענאר דריל רעזולטאטן - נישט פשוט איבערקוקן קאנטראל דאקומענטן (BSI גרופע, 2023).
אוידיטאָרן וואָס זענען צוויי מאָל קוואַליפֿיצירט אין ISO 27001 און סעקטאָר-רעגיסטרירט פֿאַר NIS 2 זענען אין גרויס נאָכפֿראַגע, ספּעציעל פֿאַר גרענעץ-איבערשרייטנדיקע אָדער קריטישע אינפֿראַסטרוקטור אַרבעט.
וואָסערע טיפּן סערטיפיקאַציעס, לאָגס, אָדער דאָקומענטאַציע זענען פארלאנגט פון אָדיטאָרס און אָרגאַניזאַציעס בעת NIS 2 און ISO 27001 אָדיטאָרס?
ביידע פריימווערקס ערוואַרטן אַז אָרגאַניזאַציעס און זייערע אוידיטאָרן זאָלן פאָרשטעלן:
- אַקטיווע פאַכמאַן סערטיפיקאַטן: ISO 27001 הויפּט/אינטערנער אוידיטאָר סטאַטוס, פּלוס נאַציאָנאַלע אָדער סעקטאָראַלע ליסטינג פֿאַר NIS 2 (דיגיטאַלע בעדזש אָדער אָפֿיציעלע רעגיסטרי אידענטיטעט).
- דאקומענטירטער רעגיסטרי סטאטוס: דירעקטע ציטאַט אָדער סקרעענשאָט פון אַרייַנגערעכנט אויף יעדן באַטייַטיק נאַציאָנאַלן/סעקטאָראַלן רעגיסטער.
- קאָנטינויִערלעכע פּראָפעסיאָנעלע אַנטוויקלונג (CPD) לאָגס: יערלעכע אדער פעריאדישע רעקארדס פון באשטעטיגטע טרענירונג, סצענאר וואַרקשאַפּס, און גלייַכגילטיקע רעצענזיע - פארשידענע לענדער דאַרפן מאַפּינג צו לאָקאַלע טעמפּלאַטעס.
- סעקטאָראַלע באַווייַזן און אָדיט געשיכטע: באַווייַז פון לעצטע באַטייַטיק סעקטאָר באַטייליקונגען (ספּעציעל פֿאַר CNI ענטיטיז).
פעלנדיקע אדער אויסגעלאפענע דאקומענטאציע, אדער נישטא קיין CPD לאגס, פארלענגערן אדער בלאקירן כסדר די פארענדיגונג פון אוידיט (PECB, 2024).
דאָקומענטאַציע סטאַנדאַרדן וואַקסן - נאַציאָנאַלע רעגיסטריז און CPD לאָגס זענען איצט אַזוי וויכטיק ווי סערטיפיקאַטן.
קען אַן ISO 27001 הויפּט אוידיטאָר דורכפירן אַ NIS 2 אוידיט אָן ווייטערדיקע רעגיסטראַציע אָדער סעקטאָר האַסקאָמע?
נישט-ISO 27001 ליד אוידיטאָר סטאַטוס אַליין גיט קיינמאָל נישט לעגאַלע אויטאָריטעט צו דורכפירן NIS 2 אוידאַץ. נאציאנאלע רעגולאציעס אין יעדן סעקטאר און מיטגליד שטאט דיקטירן ווייטערדיגע באדערפענישן, ווי למשל רעגיסטרי ליסטינג, סעקטאר-ספעציפישע עקזאמענס, און לאקאלע לעגאלע אקצעפטאנץ.
- דייטשלאנד: פארלאנגט BSI רעגיסטראציע און קען פארלאנגען סעקטאר עקזאמענס, אומאפהענגיק פון ISO קראדענצן.
- Netherlands: אוידיטאָרן מוזן זיין אויף דער NCSC רעגיסטרי; פריערדיקער ISO סטאַטוס איז נישט גענוג.
- פֿאַראייניקטע קעניגרייך (פֿון 2025): נאָר NCSC-באַשטעטיקטע פּראַקטיצירער קענען דורכפירן אפיציעלע NIS 2 אוידיט אַרבעט, אויסער יעדע ISO סערטיפיקאַטן.
שטענדיק באַשטעטיקן די אינקלוזיע אין דעם נאציאנאלן NIS 2 רעגיסטרי איידער איר באַשטימט אוידיט אַרבעט - און קיינמאָל נישט אָננעמען אַז אַ "סערטיפֿיקאַט" איז גענוג אָן לאָקאַלע האַסקאָמע און גילטיקע סעקטאָר רעגיסטראַציע.
איז עס מעגלעך צו קאָמבינירן NIS 2 און ISO 27001 אוידיטס אין איין אויפגאַבע, און וואָסערע דאָקומענטאַציע איז נייטיק פֿאַר אַקצעפּטאַנס?
קאָמבינירטע (אינטעגרירטע) אוידיטס קענען דורכגעפירט ווערן - אבער נאר ווען דער אוידיטאר איז פארמאל ליסטעד אין אַלע באַטייַטיקע נאַציאָנאַלע און סעקטאָראַלע רעגיסטריז, האַלט דערהייַנטיקט פֿוסגייער-איבערגאַנג מאַפּינג פון קאָנטראָלן און פֿאַרפֿליכטונגען, און קען פּראָדוצירן אַקסעפּטאַנס בריוו (אָדער עקוויוואַלענט) פֿון ביידע סעקטאָר רעגולאַטאָרן און ISO סערטיפיקאַציע גופים.
- אינטעגרירטע אוידיט באווייז מוז ארייננעמען:
- נאָמען/אידענטיפֿיקאַציע־אידענטיפֿיקאַציע איז פֿאַראַן אויף יעדן אַקטיוון רעגיסטרי פֿאַרבונדן מיטן פֿאַרנעם פֿון דער פֿאַרבינדונג;
- עקספּליציטע קראָס-רעפערענץ טאַבעלעס פון ISO 27001 און נאַציאָנאַלע/סעקטאָר NIS 2 אָוווערלייגס, מיט קאַרטירטע באַווייַזן פֿאַר יעדער;
- שריפטלעכע הסכמה אדער קארעספאנדענץ פון סעקטאָר רעגולאַטאָרן און די סערטיפיצירנדיקע ISO גוף וואָס ווייַזט קאָמבינירטע אוידיט אַקסעפּטאַנס (AENOR, 2023; ENISA, 2023).
אויב עס פעלט עפעס רעגיסטרי, פֿוסגייער איבערגאַנג, אדער אַקסעפּטאַנס באַווייז, קען מען דערוואַרטן אַז קאָמבינירטע אויספֿאָרשונגען וועלן ווערן אָפּגעוואָרפֿן אָדער צעבראָכן בײַ דער איבערבליק.
וואָס איז דער שטאַרקסטער צוגאַנג צו צוקונפֿט-זיכערן קאָנפאָרמאַנס און זיכער מאַכן אַז די אויডিץ זענען גרייט?
- צענטראליזירן קרעדענשאַלז, רעגיסטרי רעפערענצן, און CPD לאָגס: אין איין קאמפלייענס דעשבאָרד (ISMS.online איז דיזיינד פֿאַר דעם).
- רוטינמעסיג וואַלידירן רעגיסטרי איינטראַגעס און CPD רעקאָרדס: פֿאַר אַלע אינערלעכע און אויסערלעכע אוידיטאָרן - נישט נאָר די וואָס באַזוכן איין מאָל אַ יאָר.
- צוזאמענגעשטעלטע סטרוקטורירטע באווייזן איבער פריימווערקס און סעקטארן: זיכער מאַכן אַז מען קען טרעיסן יעדן אוידיט אָדער ווידער-סערטיפיקאַציע געשעעניש.
- פּלאַנירן קוואַרטאַל דאָקומענטאַציע און קרעדענשאַל באריכטן: מאכן אוידיט-גרייטקייט א שטייענדיקע גאַווערנאַנס טעטיקייט - נישט א געיעג פאר דעדליינז.
די אָרגאַניזאַציעס וואָס דורכגיין אַודיץ אָן קיין דרוק זענען די מיט לעבעדיגע טראַקינג, דיגיטאַליזירטע רעגיסטרי באַווייזן, און פּלאַנירטע איבערבליקן - נישט די וואָס באַהאַנדלען אַודיט ווי אַן איינמאָליקע געשעעניש.
ISMS.online ברענגט אלע סערטיפיקאטן, רעגיסטרי, און CPD באווייזן אין איין שטענדיג-צוטריטלעכן ארט - אזוי איר קענט ווייזן קאנטראל, ווידערשטאנד, און גרייטקייט, נישט קיין חילוק ווי די אוידיטאר רעקווייערמענטס אדער NIS 2 געזעץ עוואלוציאנירן.
ISO 27001 קעגן NIS 2 אוידיט רעקווייערמענץ טאבעלע
| פאָדערונג | ISO 27001 אוידיטאָר (גלאבאל) | NIS 2 אוידיטאר (סעקטאר/נאציאנאל) |
|---|---|---|
| באַווייַזן | יא (גלאבאלער סטאַנדאַרט) | יא (איינלענדיש, סעקטאָר-באשטעטיקט/באַנייַונג) |
| נאציאנאלע רעגיסטרי ליסטינג | ניין | יא (יערלעכע אדער סעקטאראלע ריסערטיפיקאציע) |
| סעקטאָראַלע דערפאַרונג | ניט פארלאנגט | אָפט נויטיק פֿאַר קריטישע סעקטאָרן |
| סצענאַר/אינצידענט געניטונג | מאל; נישט שטענדיק סעקטאָר-ספּעציפֿיש | פארלאנגט, מיט גלייַכגילטיק/אויטאריטעט איבערבליק |
| אינטערנאַציאָנאַלער רעקאָגניטיאָן | יא, אבער לאקאלע NIS 2 רעגיסטרי איבערשרייבט נאך אלץ | זעלטן; מוז אויסדריקליך אנגענומען ווערן |
| CPD/קאָנטינויִערלעכע טרענירונג | בעסטע פּראַקטיק; נישט שטענדיק אָפּגעטשעקט | פארלאנגט; מוז זיין דאקומענטירט און אקטועל |
טאַבעלע פֿאַר באַווײַזן־טרייסאַביליטי: דערהייַנטיקונגען פֿון אויספֿאָרשונג־קרעדענשאַלן
| אוידיט טריגער | ריזיקע אדער קאנטראל דערהייַנטיקונג | SoA/רעגיסטרי רעפערענץ | בייַשפּיל פון אויספאָרשונג באַווײַזן |
|---|---|---|---|
| ISO 27001 סערטיפיקאַט באַנייַען | אינערלעכע אויספארשונגען, מאַנשאַפֿט ענדערונגען | ISO 27001 פּונקט 9.2, 7.2: קאָמפּעטענץ | גילטיקע לאס אנדזשעלעס סערטיפיקאט, רעגיסטרי ליסטינג |
| NIS 2 רעגיסטרי דערהייַנטיקונג | רעגיסטרי ווידער-ליסטינג אדער באַזייַטיקונג | סעקטאָראַל/נאַציאָנאַלער NIS 2 רעגיסטרי, SoA | רעגיסטרי סקרעענשאָט, אפיציעלע אימעיל |
| CPD לאָג דערפרישונג | נייע ראָלע אָדער סעקטאָר אַסיינמאַנט | ISO 27001 7.2, NIS 2 CPD קאָדן | טרענירונג געשיכטע, גלייַכגילטיקע באריכטן לאָגס |
| סעקטאָראַל טיש-שפּיץ בויער | פּאָליטיק/פּראָצעס פֿאַרבעסערונג | ISO 27001 אַנעקס A (6), NIS 2 לאקאלע געזעץ | דריל באריכט, נאך-אקציע איבערבליק |
צו זען פּונקט ווי ISMS.online קען פֿאַרפּשוטערן קרעדענשאַל פאַרוואַלטונג, רעגיסטרי קאָנפאָרמאַנס דאָקומענטאַציע, און גרייטקייט פֿאַר ביידע ISO 27001 און NIS 2 אָדאַץ, בעט פֿאַר אַ פּראַקטישע טור. אייערע אָדאַץ (און אייער דירעקטאָרן-ראַט) וועלן אייך דאַנקען.
