Evidence pack CyFun — cum arată un dosar de dovezi „audit-ready”
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
La un control DNSC, nu contează ce ai făcut, ci ce poți dovedi. Un evidence pack bine structurat leagă fiecare cerință de dovada ei. Iată cum arată un dosar pe care un auditor îl citește rapid.
Ce poți dovedi, nu ce ai făcut
Autoritatea poate iniția controale și audituri pe entitățile clasificate. În fața unui auditor, distincția crucială nu e între „am făcut” și „n-am făcut”, ci între „pot dovedi” și „nu pot dovedi”. O măsură implementată impecabil, dar fără dovadă, arată la fel ca una inexistentă.
Evidence pack-ul este dosarul care transformă munca ta în conformitate demonstrabilă. Autoevaluarea CyFun cere, pentru fiecare cerință, justificare scrisă — evidence pack-ul este locul unde acele justificări trăiesc, organizate.
Principiul de bază: maparea cerință → dovadă
Structura care funcționează pornește de la cadrul CyFun în sine: cele 6 funcții (Guvernare, Identificare, Protecție, Detectare, Răspuns, Recuperare) și cerințele lor. Pentru fiecare cerință, dosarul indică exact ce dovadă o susține — o politică, un screenshot de configurare, un jurnal, un proces-verbal, un raport.
Un auditor care poate merge de la o cerință direct la dovada ei parcurge dosarul în minute. Unul care trebuie să caute dovada prin foldere își pierde încrederea în tot ansamblul.
Ce intră într-un dosar bun
Tipic: politicile aprobate de conducere, inventarele (active, riscuri, furnizori, incidente, vulnerabilități), procedurile operaționale, dovezile de configurare (MFA activat, backup testat, monitorizare activă), înregistrările de formare, procesele-verbale ale ședințelor de conducere și rapoartele (ENIRE, CyFun, plan de remediere).
Măsurile-cheie obligatorii merită o atenție separată — sunt neexceptabile și un auditor le va căuta întâi. Dovada pentru ele nu poate lipsi.
Convenții care fac diferența
Detaliile plictisitoare sunt cele care conving: denumiri de fișiere consecvente, versionare clară, date și semnături, capturi de ecran valide (nu tăiate sau ilizibile). Un dosar coerent semnalează o organizație care operează securitatea, nu una care a produs hârtii pentru control.
Anti-pattern-uri comune: dovezi generice fără legătură cu cerința, screenshot-uri fără dată, politici nesemnate, versiuni contradictorii ale aceluiași document.
Construiește dosarul din mers
Cel mai bun evidence pack nu se asamblează în noaptea de dinaintea auditului — se construiește pe măsură ce implementezi. Fiecare cerință acoperită își depune dovada în dosar, la momentul potrivit. Așa, audit-readiness devine o stare, nu o cursă.
Dacă vrei să știi ce cerințe (și deci ce dovezi) îți revin la nivelul tău, cel mai simplu punct de plecare este o verificare a încadrării și a nivelului de risc.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

