מי באמת מחליט אם רואה החשבון שלך מוסמך? מדוע הכללים שונים - ואישור הביקורת שלך תלוי בהם
אם אתם מובילים את נושא הציות, השאלה האם שלכם ISO 27001 או שבדיקת "מוסמך" של רואה חשבון ב-2 שקלים יכולה להרגיש כמו חידה עטופה בבירוקרטיה. המציאות בשטח שונה מרשימות הבדיקה המסודרות ששיווק המוצר היה רוצה שתאמינו: זכאות רואה חשבון היא טלאים של טלאים לאומיים, החלטות מגזריות, ולעיתים גם רשות מקומיתלא קיימת רשימה מרכזית של "מבקרי-על" של ENISA. במקום זאת, רשויות מברלין ועד אמסטרדם, או מפריז ועד פראג, מנהלות רישומים משלהן, קובעות תנאי כניסה נפרדים, מיישמות פרשנויות פוליטיות ודורשות חידוש תקופתי. מה שפותח דלת עבור מבקר במדינה אחת יכול להשאיר אותו נעול בחוץ - או להתעלם ממנו - במדינה אחרת (נואר).
תעודה שמבטיחה אמון אצל רשות אחת עשויה להיות חסרת משמעות עבור שכנתה - כשמדובר באישור ביקורת, רק המשחק המקומי נחשב.
הרשאה נשלטת בדרך כלל על ידי שילוב של סוכנויות לאומיות, ועדות מגזריות, ועבור תעשיות מפוקחות, שכבה נוספת של כללים ספציפיים לענפים. הסתמכות אך ורק על תעודת "מבקר ראשי" של רואה חשבון מ-ISO או מגוף עולמי הפכה להימור - לפעמים אישור מתקבל בברכה בתחום שיפוט אחד, אך אינו עומד בבדיקה משפטית במקומות אחרים. ה-BSI הגרמני, ה-NCSC ההולנדי וה-ANSSI הצרפתי פועלים כל אחד עם רשימות, ביקורות ומחזורי אימות משלו. אם לרואה החשבון שלכם חסר נוכחות והוכחה במרשם הנכון, תוצאת הביקורת שלכם נמצאת בסיכון, ללא קשר למוניטין הבינלאומי או לתעודות שלו. עבור כיסוי כפול ב... ISO 27001 ו-NIS 2, רואי חשבון חייבים לאמת את עצמם שוב ושוב בכל אזור גיאוגרפי ומגזר - תהליך שהוא מתמשך כפוליטי כאחד.
רישומים לאומיים: יותר מסתם פורמליות
מדינות רבות באיחוד האירופי מפעילות רישומים רשמיים - תחת פיקוח, מעקב ופיקוח. מגזרים קריטיים (אנרגיה, תקשורת, בריאות, בנקאות)רשימות אלו הן לרוב שומרי הסף האולטימטיביים: שם המבקר חייב להופיע, ההסמכה חייבת להיות פעילה, וההכרה במגזר חייבת להיות עדכנית. עבור ארגונים רב-לאומיים, זה יוצר מכשול נוסף: מה שעובד עבור מדינה או אנכי אחד לא עובר ללא מסמכים חדשים. אפילו בתוך מדינה, פערים בין מגזרים פירושם שרואה חשבון רשום בתחום הבריאות עשוי לא להתקבל ב... מגזר פיננסי אלא אם כן נרשם ונבדק בנפרד.
אודיטורים בעלי הכשרה כפולה: נדירים, ולעולם לא ברירת מחדל
למרות הביקוש הגובר, מבקרים המחזיקים בהסמכות ISO 27001 ו-NIS 2 - בנוסף לנוכחות עדכנית בכל מגזר ומרשם לאומי שאתם צריכים - נמצאים במחסור ורק לעתים רחוקות צוברים מעמד במקרה. רישום אצל רשות אחת לעולם אינו מבטיח קבלה במקום אחר. לפני שאתם מתקשרים עם רואה חשבון, במיוחד עבור פרויקטים חוצי גבולות או מגזרים, דרשו הוכחה בכתב ועדכנית לכל מרשם רלוונטי. בדיקת נאותות זו תתרום יותר לסבירות שלכם לעבור ביקורת מכל מותג או עשרות שנות ניסיון מוכחות.
הזמן הדגמהביקורת אחת או שתיים? כיצד למנוע יתירות כאשר מסגרות עבודה מתנגשות
זוהי שאלה הגיונית: "האם נוכל להשיג תאימות לתקן ISO 27001 ו-NIS 2 באמצעות ביקורת אחת?" עבור רוב הארגונים, התשובה הכנה היא "רק אם תיישמו בקפידה את התיעוד, והמבקר שלכם מוכר באמת עבור שני התקנים על ידי כל רשות חשובה". ללא הסמכה כפולה וראיות ממופות מרובות מסגרות, אתם נמצאים בסיכון לעבור שני מחזורי ביקורת שונים - לכל אחד ניירת, ראיונות ופרשנויות משלו. גם כאשר בקרות ותפוקות חופפות, החוק המקומי או ההנחיות המגזריות דורשים לעתים קרובות מעברי חציה מפורשים, מיפוי אינדקסים ותיקים מותאמים אישית לכל משטר (NCSC UK).
ביקורות חופפות אינן רק גוזלות זמן - הן מכפילות עלויות ומתישות את הצוותים הדרושים ביותר לאבטחה שוטפת.
תכנון מוקדם: לאמת, לא להניח
לפני שאתם מתקשרים עם כל רואה חשבון, התחילו דיאלוג עם שותף ההסמכה ISO שלכם ועם רשויות NIS 2 המקומיות שלכם. הבהירו היכן ניתן למנף ראיות, היכן יש למפות או לתרגם תיעוד, וחשוב מכל - כיצד הנחיות מגזריות מפרשות כיסוי ביקורת "מקובל". בתשתיות קריטיות, שירותי בריאות או בנקאות, צפו מהרגולטורים להתעקש על ביקורות מגזריות ספציפיות להקשר. הדרך המהירה ביותר לסכל ביקורת? נניח שתעודה אחת מספיקה, רק כדי להיתקל בדחייה לאחר שבועות של הכנה. קבלו אישור מפורש ובכתב עבור רואה החשבון שלכם בכל המרשמים הרלוונטיים - עליהם לצפות ולקבל בברכה את הבדיקה.
| התמחות | תוֹחֶלֶת | מציאות | מה עובד |
|---|---|---|---|
| טרום-התקשרות | "ביקורת אחת תשרת את שתי המסגרות." | אישורים/רישומים כמעט ולא תואמים. | אימות הדרישות הייחודיות של שני התקנים. |
| תכנון ביקורת | "הראיות שלנו לתקן ISO 27001 יתקבלו." | כללים מגזריים ותבניות עוקפות. | הנחיות מאובטחות ישירות מהרגולטורים. |
| אירוסין | "תבניות יעזרו לנו לעבור את זה בקלות." | תחומי שיפוט דורשים מעברי חציה ממופים. | בנה ובחן את מדדי התאימות שלך. |
למה הטלאים? הכללים המקומיים מנצחים
ENISA מספקת הנחיות, עורכת ביקורות ומפיצה שיטות עבודה מומלצות - אך אין לה סמכות משפטית על רישום לאומי או מגזרי. ה-BSI הגרמני, ה-NCSC ההולנדית ועמיתיהן מנהלים תהליכי אימות משלהם, קובעים מחזורים משלהם לעדכוני רישום, דורשים תיעוד משלהם ושומרים לעצמם את הזכות לדחות כל תעודה שלא אומתה במפורש תחת דגלם (ENISA). אפילו בתוך האיחוד האירופי, הכרה הדדית היא נדירה; העברה בין מגזרים כמעט ואינה מתקבלת על הדעת. צוותים המקווים לייעל חייבים לנטר את כל הרישומים הרלוונטיים - ואימות מחדש של אישורים הופך לאירוע חוזר.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
לכודים בין השורות: מדוע דרישות התיעוד והבקרה אינן מסתנכרנות
בעוד שגם NIS 2 וגם ISO 27001 דורשים שיפור מתמיד, איסוף ראיות וביצועים חזקים ניהול סיכונים, דרכי היישום שלהן שונות בתכלית בנקודת האכיפה. רשויות לאומיות יכולות לדרוש דיווח בפורמט משלהן, פריסות תבניות ספציפיות, הודעה על אירוע בתוך מועדים ייחודיים למדינה, או אפילו הדגמות "חיות". במגזרים קריטיים, צורות חקיקה נוספות שולטות על בגרות והיקף, מאלצות צוותי ציות לנהל לוגיקה כפולה, ראיות ממוחשבות ואוצר מילים ספציפי למגזר.
המכשולים שמאטים או חוסמים ביקורות בדרך כלל אינם טכניים - הם פערים באופן שבו הרשויות מצפות לארגון ראיות, דיווחים ובקרות.
עיכובים, מחלוקות ודחיות ביקורות נובעים לעתים קרובות מהנחות שלא נבדקו - כגון הגשת ראיות ISO 27001 "כפי שהן" לביקורת NIS 2, רק כדי לגלות שההוכחות שלך אינן תואמות את רשת הדיווח או התיעוד שהרגולטור המגזר שלך דורש. צוותים רב-מדינתיים מתמודדים עם אתגרים חדים אף יותר: ה-NCSC ההולנדית וה-BSI הגרמנית מוסמכות לקבוע תבניות ולוחות זמנים ייחודיים. מיפוי חלש, קישורי ראיות לא מתועדים או אישורי רישום חסרים הם המקורות הנפוצים ביותר וניתנים למניעה של זעזועים ביום הביקורת. בנו מדדי מיפוי מפורשים, שמרו יומני ראיות קפדניים וקשרו כל ארטיפקט הוכחה למסגרת הנדרשת שלו.
הסמכה בפעולה: ייעוץ ENISA, שיקול דעת הרשויות המקומיות
תפקידה של ENISA הוא ייעוץ בלבד: הנחיות, ערכות כלים ומרכזי משאבים לשיטות עבודה מומלצות. היא אינה מנהלת רישום, מנפיקה אישורי ביקורת או מגשרת בסכסוכי אישורים. סמכות זו נתונה בלעדית לשומרי הסף - רשויות לאומיות וסקטוריאליות. גופים אלה קובעים את כללי הרישום, מחזורי העדכון ונהלי החידוש שלהם, ומצפים מכם לעמוד בקצב (גם כאשר השינויים תכופים או מעורפלים) (מדריך ENISA NIS 2).
גרמניה מול הולנד: רישום, חידוש והשפעות על העולם האמיתי
- גרמניה (BSI): מתחזק רישום מרכזי בעל שני סטנדרטים; אישורים חוצי גבולות או אפילו חוצי מגזרים אינם ניתנים להעברה. מבקרים חייבים באופן שוטף לאמת מחדש ולהוכיח ידע עדכני עבור כל תחום אנכי שהם משרתים.
- הולנד (NCSC): מנפיק רישומים לפי מגזר; אישורים מחו"ל (אפילו משכנים באיחוד האירופי) אינם מתקבלים אוטומטית. יש לעדכן את התיעוד בהתאם לדרישות הספציפיות שלהם, ולוחות הזמנים לחידוש יכולים להשתנות בהתאם למגזר.
בדיקות אישורים הפכו לדינמיות כמו נוף האיומים עצמו: רשימות משתנות, עדכוני מדיניות מתפשטים בין מגזרים, ועסקים חייבים לבחון מחדש באופן שגרתי כל אישור הקשור למוכנות לביקורת. ערך רישום אחד חסר יכול לעצור את כל תהליך הביקורת שלכם.
להישאר מעודכנים: ציות כתחום פעיל
ניהול אישורים הוא כעת תהליך חי, לא משימה של "הגדר ושכח". ארגונים מובילים עוקבים אחר עדכוני רישום, תאריכי תפוגה ויומני CPD באמצעות בעלים ייעודיים או פלטפורמות אוטומטיות (KPMG). אי ביצוע פעולה זו הוא תופעה מתפתחת. שורש של ביקורות כושלות ועונשים רגולטוריים. ככל שהדרישות משתנות - לעתים קרובות עם הודעה מוקדמת בלבד - צוותי תאימות פנימיים צריכים להתייחס לאימות אישורים כפריט קבוע על סדר היום. ראיות דיגיטליות, תזכורות והוכחות לחידוש צריכות להיות מוכנות להצגה בכל בדיקה.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
מה הופך רואה חשבון ל"מוסמך לחלוטין"? זה יותר מסתם תעודה
כדי שרואה חשבון יהיה "מוסמך לחלוטין" לשרת את צרכי ה-NIS 2 וה-ISO 27001 שלך, שלושה דברים חייבים להיות מוכחים, עדכניים ומותאמים למגזר ולמדינה שלך:
- תעודת מבקר ראשי בתוקף לפי ISO 27001: עדכני, לא פג תוקף, והונפק על ידי גוף מוכר.
- נוכחות עדכנית ברישומי מגזר NIS 2: רשום בכל תחום שיפוט ורשות מגזרית רלוונטיים להקשר העסקי שלך.
- המשך לימודי פיתוח מקצועי מתועדים: כולל הדרכה מבוססת תרחישים, עדכוני רשומות שנתיים והפניות ישירות הניתנות לידי עקיבה לשני הסטנדרטים.
גופים כמו PECB או AENOR מזהירים כי סטטוס "כפול" או "מלא" אינו יכול לפוג לעמוד בדרישות כברירת מחדל; יש לשמור עליו באופן מודע וניתן לבטלו - ללא הודעה מוקדמת - על ידי כל רשות אם יומני הרישום, הנוכחות או החידוש מתעכבים.
להיות רשום במרשם הוא פעולה מתמשכת. תפוגה, החמצת המשך לימודים או סטייה מהמגזר הם כל מה שצריך כדי לקרוס סטטוס של מוסמך במלואו.
הסמכה בפעולה: הפניות לטבלה
מחזור החיים של אישורי מבקר
| שלב | ראיות קריטיות | הפניה לבקרה |
|---|---|---|
| Onboarding | מוסמך ISO 27001 LA, רישום NIS 2 | ISO 27001 נספח A.7.2, NIS 2 סעיף 20 |
| תחזוקה | יומני CPD חדשים, עדכוני רישום | סעיפים 7/9 של ISO 27001, NIS 2 סעיף 21 |
| התחדשות | הפניות, מיפויי מעברי חציה, ביקורות | ISO 27001 A.7.2, NIS 2 סעיף 20/21 |
עקיבות: מיני-טבלה של "שינוי לראיות"
| הדק | שינוי סיכון | קישור בקרה/SoA | ראיות שנלכדו |
|---|---|---|---|
| קליטת מבקר | סריקת אישורים/רישום | סעיף 21 לחוק תנאי השימוש A.7.2, NIS 2 | קישורים לרישום, CPD, הוכחת הפניה |
| סקירה שנתית | רישום + CPD רענון | סעיף 21 לחוק תנאי השימוש A.7.2, NIS 2 | יומנים ורישומים דיגיטליים מעודכנים |
| שינוי תקנה | תרחיש/מפגש עמיתים, עדכון | סעיף 24 לחוק תנאי השימוש A.7.2, NIS 2 | הכשרה, ראיות להמשך פיתוח מקצועי, רישום סקירה |
הוכחה לפני ביקורת: הפכו את בדיקות האימות למשמעת יומיומית, לא לפאניקה של הרגע האחרון
מובילים בתחום תאימות מטמיעים אימות אישורים בתהליך העבודה הרגיל. לפני שכל מבקר נכנס לאתר - פנימי או חיצוני - אוספים:
- תעודות פעילות, ניתנות לאימות דיגיטלית, מגופי מבקרי ISO 27001 מוכרים.
- רישומי רישום כתובים מכל מדינה ומגזר רלוונטיים.
- יומנים עם חותמת זמן של אירועי CPD והדרכה (כולל תרגילי סימולציה במידת האפשר).
- הוכחה תיעודית לביצועי ביקורת או התקשרות בתרחישים אחרונים.
צוותים גלובליים ורב-מגזריים בעלי משמעת פרואקטיבית של הסמכות מדווחים באופן עקבי על פחות הפתעות ותוצאות ביקורת מהירות ונקיות יותר (ICAEW). כל הסמכה שהוחמצה מהווה עיכוב פוטנציאלי, או במקרים הגרועים ביותר, דחייה מוחלטת.
ארגונים שמאפשרים אוטומציה של מעקב אחר אישורים - באמצעות כלי הניטור ולוח המחוונים של ISMS.online - נמצאים בעמדה הטובה ביותר למנוע פאניקה של הרגע האחרון ולהבטיח מעבר ביקורת מהיר וחזרתי.
ביטול הבהלה של הרגע האחרון
הקצו בעל תאימות שאחראי לכל מסגרת עבודה; השתמשו בתזכורות דיגיטליות ובאימות אוטומטי במידת האפשר. איחוד קישורי רישום ותאריכי תפוגה עבור ISO 27001 ו-NIS 2 במערכת אחת. דרשו הוכחה שבועות לפני כל אירוע ביקורת, לא בנקודת ההתחלה. זה הופך את תאימות לתחום חוזר ונשנה, לא למאבק.
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
בניית צוותי ביקורת עמידים ועמידים בתקנים כפולים: מתעודות ועד לתרגול מתמשך
כיום, צוות "מוכן לביקורת" מתקיים על ידי הכשרה מתמשכת, שמירת רישומים וחוסן מבוסס תרחישים - ולא רק דוחות חד פעמיים. ההצלחה בת קיימא ביותר נובעת מהטמעת בדיקות אישורים בשגרת ניהול המבקרים הפנימית והחיצונית כאחד, ציון הסמכה כפולה ומעמד רישום בכל החוזים, ובניית לולאות משוב לשיפור לאחר כל התקשרות (AENOR).
צוותים שנשארים מוכנים לביקורת הם אלו המחויבים להתחדשות בלתי פוסקת, לא לסמן תיבות.
חוזי ביקורת ובקרות פנימיות - להווה ולמחר
- דרשו רואי חשבון כפולים הרשומים במרשם בכל הסכמי הביקורת.
- שלבו בחוזים סעיפים של הכשרה מבוססת תרחישים וסקירת תעודות.
- ניטור אישורים עבור צוותי ביקורת פנימיים וחיצוניים כאחד.
- ערכו ביקורות רטרוספקטיביות לאחר כל ביקורת: חקירת פערים בהסמכות, טיפול בסחיפות בתהליך, עדכוני תיעוד למחזור הבא.
עקיבות: טבלת ייחוס לאירועי חידוש
| אירוע חידוש | שלב נדרש | דרושה הוכחה |
|---|---|---|
| עדכון רגולטורי | הכשרה עמיתים/מפגשים | הסמכה חדשה, יומני אירועים/התמחות מקצועית |
| חידוש ביקורת | סריקת רישום/חוזה | רישום עדכני, היסטוריית ביקורת |
| רואה חשבון חדש | קליטה, העברה | רשימת בדיקה לקליטה, העברת אישורים |
התכוננו לתאימות כפולה - לפני סגירת חלון הביקורת הבא שלכם
הדרך שלך לתאימות רגולציה, ניתנת לחזרה וללא חיכוך, מתחילה בשילוב ניהול אישורים בשגרת היום-יום שלך. ISMS.online מספק לך מאגר מרכזי וגלוי למצב רישום שותפי ביקורת, ניטור אישורים ויומני CPD. הגדר לוחות מחוונים מבוססי תפקידים, דגלי תפוגה ותזכורות חידוש כדי להחליף דרמה של הרגע האחרון בביטחון שקט.
- קישור רישומי מדיניות, סיכונים ובקרה של ISO 27001 ו-NIS 2 במסגרות מוכנות מראש - הוכחה מוכנות לביקורת עבור כל מדינה, מגזר או תקן.
- אוטומציה של תזכורות לפקיעת תוקף של אישורים וחידוש נדרש, הן פנימיים והן חיצוניים.
- שמור על תצוגה תמידית של ערכי רישום כאשר הכללים משתנים ומתעדכנים פעם אחת, וצפים בכל מקום.
מצוינות בביקורת היא תוצר של משמעת יומיומית בהסמכה, לא של גבורה תחת לחץ.
כשאתם יוצרים יישור בין אנשים, תהליכים והוכחות, אתם הופכים את הציות ממקור חיכוך ליכולת תחרותית. בכך, תשיג לא רק הצלחה, אלא חוסן ביקורת שגדל לאורך כל מחזור. שינוי רגולטורי-להישאר מוכנים, להשתפר בכל שלב ולשחרר את הצוותים שלך לקדם את העסק.
שאלות נפוצות
מי קובע אם מבקרי NIS 2 חייבים לעבור הכשרה בתקן ISO 27001, והאם הכלל משתנה ממדינה למדינה?
כל רגולטור לאומי בתחום אבטחת הסייבר או הרגולטור הסקטוריאלי של מדינת האיחוד האירופי מחליט ישירות על זכאות מבקר NIS 2 - כולל האם אישורי ISO 27001 נחשבים רלוונטיים או מספיקים. אין רשימת אישורים אחת כלל-אירופית או שאושרה על ידי ENISAרשויות כמו BSI בגרמניה, ANSSI בצרפת או NCSC ההולנדיות, כל אחת מהן מתחזקת רישומים ומודלי אכיפה משלה. במדינות מסוימות, תעודות מבקר פנימי ראשי או מבקר פנימי בתקן ISO 27001 הן נקודת התחלה נדרשת - אך תמיד משולבות בדרישות נוספות כגון הכשרה ספציפית ל-NIS 2, ניסיון בענף ורישום במרשם מקומי. מבקר בעל רישיון במדינה חברה אחת אינו מובטח להכרה באחרת; הכרה משפטית לעולם אינה "נודדת" אוטומטית (ENISA, 2023).
זכאות מבקר לתקן NIS 2 לעולם אינה משתמעת ממעמד ISO 27001 בלבד. יש לבדוק תמיד עם הרשות הלאומית או הסקטוריאלית הרלוונטית לפני אישור הסדרי ביקורת.
כיצד משתווים המיומנויות הנדרשות לביקורות NIS 2 ו-ISO 27001, והיכן הדרישות שונות?
הכישורים הנדרשים עבור ביקורות NIS 2 ו-ISO 27001 חופפים באופן משמעותי - שניהם דורשים היכרות עם אבטחת מידע מסגרות, בקרות ושיפור מתמיד. עם זאת, ביקורות NIS 2 דורשות באופן ייחודי ניווט בתקנות המדינה, חוקים ספציפיים למגזר, ראיות לחזרות על תרחישי אירועים והדגמה של ממשל ברמת הדירקטוריון.מבקרי ISO 27001 מתמקדים בתכנון ISMS, בקרות פנימיות, תיעוד וטיפול בסיכונים; מבקרי NIS 2 חייבים להוכיח הבנה של חוקי היישום המקומיים, חפיפות מגזרים (למשל, בריאות, אנרגיה, פיננסים), ועשויים לעמוד בפני אחריות משפטית ישירה בגין הצהרות שגויות. מבקר NIS 2 מיומן בעל ניסיון ברישום ראיות בסטנדרט של רשויות המגזר, הוכחת יכולת דיווח מהעולם האמיתי ותוצאות תרגילי תרחישים - ולא רק סקירת מסמכי בקרה (BSI Group, 2023).
רואי חשבון בעלי הסמכה כפולה בתקן ISO 27001 ורישומים מגזריים בתקן NIS 2 מבוקשים מאוד, במיוחד עבור עבודות חוצות גבולות או בתחום התשתיות הקריטיות.
אילו סוגי אישורים, יומנים או תיעוד נדרשים ממבקרים וארגונים במהלך ביקורות NIS 2 ו-ISO 27001?
שתי המסגרות מצפות מארגונים וממבקריהם להציג:
- תעודות מקצועיות פעילות: מעמד של מבקר פנימי/ראשי בתקן ISO 27001, בתוספת רישום לאומי או מגזרי עבור 2 ₪ (תג דיגיטלי או מזהה רישום רשמי).
- סטטוס רישום מתועד: ציטוט ישיר או צילום מסך של הכללה בכל רישום לאומי/מגזרי רלוונטי.
- יומני פיתוח מקצועי מתמשך (CPD): רישומים שנתיים או תקופתיים של הכשרות שאושרו, סדנאות תרחישים וביקורת עמיתים - מדינות שונות דורשות מיפוי לתבניות מקומיות.
- ראיות מגזריות והיסטוריית ביקורת: הוכחת התקשרויות רלוונטיות אחרונות במגזר (במיוחד עבור ישויות CNI).
תיעוד חסר או פג תוקפו, או היעדר יומני CPD, מעכבים או חוסמים באופן שגרתי את השלמת הביקורת (PECB, 2024).
תקני התיעוד הולכים וגדלים - רישומים לאומיים ויומני CPD חשובים כיום לא פחות מתעודות.
האם מבקר ראשי של ISO 27001 יכול לבצע ביקורת NIS 2 ללא רישום נוסף או אישור מגזר?
מעמד של מבקר ראשי ללא תקן ISO 27001 לעולם אינו מקנה סמכות חוקית לבדו לבצע ביקורות NIS 2. תקנות לאומיות בכל מגזר ומדינה חברה מכתיבות דרישות נוספות, כגון רישום במרשם, בחינות ספציפיות למגזר וקבלה משפטית מקומית.
- גֶרמָנִיָה: דורש רישום BSI ועשוי לדרוש בחינות מגזריות, ללא קשר לתעודות ISO.
- הולנד: על רואי החשבון להיכלל במרשם ה-NCSC; מעמד קודם של ISO אינו מספיק.
- בריטניה (החל משנת 2025): רק מטפלים שאושרו על ידי NCSC יכולים לבצע עבודת ביקורת רשמית של NIS 2, בנוסף לכל תעודת ISO.
יש לוודא תמיד את הכללתו במרשם NIS 2 הלאומי לפני הקצאת עבודת ביקורת - ולעולם אל תניחו ש"תעודה" מספיקה ללא אישור מקומי ורישום מגזר תקף.
האם ניתן לשלב ביקורות NIS 2 ו-ISO 27001 לביצוע משימה אחת, ואיזה תיעוד נדרש לקבלה?
ניתן לבצע ביקורות משולבות (משולבות) - אך רק כאשר רואה החשבון רשום רשמית ב את כל רישומים לאומיים וסקטוריאליים רלוונטיים, מחזיק במפות מעודכנות של מעברי חציה של בקרות וחובות, ויכול להפיק מכתבי קבלה (או שווה ערך) הן מרגולטורים ענפיים והן מגופי הסמכה של ISO.
- הוכחת ביקורת משולבת חייבת לכלול:
- שם/תעודת זהות המופיעים בכל רישום פעיל הקשור להיקף ההתקשרות;
- טבלאות הצטלבות מפורשות של תקן ISO 27001 ושל שכבות NIS 2 לאומיות/מגזריות, עם ראיות ממופות עבור כל אחת מהן;
- אישור בכתב או התכתבות מהרגולטורים בתחום ומגוף ה-ISO המאשר, המציג קבלה משולבת של הביקורת (AENOR, 2023; ENISA, 2023).
אם חסרה ראיה כלשהי מרישום, מעבר חציה או קבלה, צפו שביקורות משולבות יידחו או יפורקו בבדיקה.
מהי הגישה החזקה ביותר להבטחת תאימות לעתיד ולהבטחת מוכנות לביקורת?
- ריכוז אישורים, הפניות רישום ויומני CPD: בתוך לוח מחוונים יחיד של תאימות (ISMS.online מיועד לכך).
- אימות שוטף של ערכי רישום ורישומי CPD: לכל המבקרים הפנימיים והחיצוניים - לא רק לאלו המבקרים פעם בשנה.
- איסוף ראיות מובנות מצטברות על פני מסגרות ומגזרים: הבטחת עקיבות עבור כל אירוע ביקורת או הסמכה מחדש.
- לתזמן ביקורות רבעוניות של תיעוד והסמכה: הפיכת מוכנות לביקורת לפעילות ממשל קבועה - ולא מרוץ אחר מועדים אחרונים.
הארגונים שעוברים ביקורות ללא דאגות הם אלו עם מעקב בזמן אמת, ראיות רישום דיגיטליות וסקירות מתוזמנות - לא אלו שמתייחסים לביקורת כאל אירוע חד פעמי.
ISMS.online מאגד את כל האישורים, הרישום וראיות ה-CPD במקום אחד זמין תמיד - כך שתוכלו להדגים שליטה, חוסן ומוכנות, לא משנה כיצד דרישות המבקרים או חוק NIS 2 מתפתחות.
טבלת דרישות ביקורת ISO 27001 לעומת NIS 2
| דרישה | מבקר ISO 27001 (גלובלי) | מבקר 2 שקלים (מגזר/ארצי) |
|---|---|---|
| תעודה | כן (תקן עולמי) | כן (מקומי, מאושר על ידי המגזר/חידוש) |
| רישום במרשם הלאומי | לא | כן (הסמכה מחדש שנתית או מגזרית) |
| ניסיון מגזרי | לא דרוש | נדרש לעתים קרובות עבור מגזרים קריטיים |
| תרגיל תרחיש/אירוע | לפעמים; לא תמיד ספציפי למגזר | נדרש, עם ביקורת עמיתים/רשויות |
| הכרה הבינלאומית | כן, אבל הרישום המקומי של 2 שקלים עדיין עוקף | נדיר; יש לקבלו במפורש |
| הכשרה מתמשכת/הכשרה מתמשכת | נוהג מומלץ; לא תמיד נבדק | נדרש; חייב להיות מתועד ועדכני |
טבלת עקיבות ראיות: עדכוני אישורי ביקורת
| טריגר ביקורת | עדכון סיכונים או בקרה | הפניה ל-SoA/רישום | דוגמה לראיות ביקורת |
|---|---|---|---|
| חידוש תעודת ISO 27001 | ביקורות פנימיות, שינויים בצוות | סעיף 9.2, 7.2 בתקן ISO 27001: כשירות | תעודת LA בתוקף, רישום ברישום |
| עדכון רישום 2 שקלים חדשים | רישום מחדש או הסרה של הרישום | רישום NIS 2 מגזרי/לאומי, SoA | צילום מסך של הרישום, כתובת דוא"ל רשמית |
| רענון יומן CPD | תפקיד או ייצוג חדש במגזר | קודי CPD של ISO 27001 7.2, NIS 2 | היסטוריית הדרכה, יומני ביקורת עמיתים |
| מקדחה שולחנית סקטוריאלית | שיפור מדיניות/תהליכים | ISO 27001 נספח א' (6), חוק מקומי NIS 2 | דוח קידוח, סקירה לאחר פעולה |
כדי לראות בדיוק כיצד ISMS.online יכול לייעל את ניהול האישורים, תיעוד תאימות הרישום והמוכנות לביקורות ISO 27001 ו-NIS 2, בקשו סיור מעשי. הביקורות שלכם (והדירקטוריון שלכם) יודו לכם.
