Ultimativni vodič za usklađivanje s NIS2 direktivom za 2025. godinu

Ključne točke o NIS2 usklađenosti

• Širi opseg i vremenski rok: NIS2, najopsežniji zakon EU o kibernetičkoj sigurnosti dosad, stupio je na snagu u siječnju 2023., a države članice ga moraju implementirati do 17. listopada 2024. Dijeli organizacije na "Ključne" i "Važne" subjekte s različitim razinama nadzora.

• Koga se tiče: Srednje tvrtke (više od 50 zaposlenih/promet preko 10 milijuna €) i velike organizacije (više od 250 zaposlenih/promet preko 50 milijuna €) obično spadaju pod ovu regulativu. Tvrtke izvan EU također moraju voditi računa o NIS2 kad posluju s EU tvrtkama zbog zahtjeva u lancu nabave.

• Osnovni zahtjevi: Organizacije moraju uvesti deset obveznih sigurnosnih mjera koje pokrivaju analizu rizika, upravljanje incidentima, neprekidnost poslovanja, sigurnost dobavljačkog lanca i višefaktorsku autentifikaciju. Uprava sad izravno odgovara za sigurnosne propuste.

• Stroge obveze izvještavanja: O značajnim incidentima mora se obavijestiti nadležna tijela unutar 24 sata, dati procjena stanja unutar 72 sata i dostaviti cjelovito izvješće unutar mjesec dana.

• Oštre kazne: Neusklađenost može dovesti do kazni do 10 milijuna €/2% godišnjeg prometa za Ključne subjekte (7 milijuna €/1,4% za Važne subjekte), ograničenja poslovanja, zabrane obavljanja upravljačkih funkcija i narušenog ugleda.

• Strategija uvođenja: Za uspjeh treba napraviti analizu nedostataka, osigurati podršku uprave, razviti sveobuhvatan okvir upravljanja rizicima, uspostaviti učinkovite procese reagiranja na incidente i iskoristiti postojeće standarde poput ISO 27001 kako bi se izbjeglo dvostruko obavljanje istog posla.

NIS2 direktiva: Osnove i opseg

Hajdemo razjasniti što je zapravo NIS2 direktiva koju je EU usvojila u prosincu 2022. Na snagu je stupila u siječnju 2023., a sve države članice moraju je ugraditi u svoje zakone do 17. listopada 2024. Ova direktiva nije tek još jedan propis – to je zapravo najtemeljitiji zakon EU o kibernetičkoj sigurnosti do sada.

Što želi postići? U osnovi, NIS2 nastoji pojačati sigurnosne zahtjeve, riješiti ranjivosti u lancu opskrbe, pojednostaviti proces izvještavanja, uvesti jači nadzor i stvoriti ujednačene kazne na području cijele EU.

Nova direktiva značajno proširuje izvornu verziju iz 2016. Jedna od glavnih promjena je način kategorizacije organizacija. Umjesto prijašnjih Operatora ključnih usluga i Pružatelja digitalnih usluga, sada imamo "Ključne subjekte" i "Važne subjekte", s različitim razinama nadzora. Ovaj zaokret odražava sve veće kibernetičke prijetnje koje dolaze s našim sve digitalnijim svijetom.

NIS2 postavlja minimalna pravila za regulatorni okvir i pomaže državama članicama da učinkovitije surađuju. Zamislite to kao stvaranje ravnopravnijih uvjeta na tržištu EU usklađivanjem sigurnosnih zahtjeva, načina izvještavanja o incidentima i mjera za provođenje.

Posebno je važno što NIS2 po prvi put adresira sigurnost ICT lanca opskrbe i uvodi odgovornost uprave – što znači da su direktori i voditelji sada izravno odgovorni kad sigurnosne mjere zakažu. Ovo predstavlja značajan preokret u tome kako se raspoređuje odgovornost.

Spada li vaša organizacija pod NIS2 regulativu?

Vjerojatno se pitate odnosi li se NIS2 na vašu organizaciju. Direktiva dijeli obuhvaćene subjekte u dvije kategorije: Ključne subjekte i Važne subjekte.

Ključni subjekti uključuju organizacije u sektorima poput energetike, prometa, bankarstva, zdravstva, vodoprivrede, digitalne infrastrukture, ICT upravljanja uslugama, javne uprave i svemira. Važni subjekti pak pokrivaju područja poput poštanskih usluga, gospodarenja otpadom, kemijske industrije, proizvodnje hrane, proizvodnje općenito, digitalnih pružatelja usluga i istraživačkih organizacija.

Veličina tvrtke obično određuje jeste li obuhvaćeni. Općenito, srednje organizacije (s više od 50 zaposlenih ili prometom većim od 10 milijuna €) i velike organizacije (s više od 250 zaposlenih ili prometom većim od 50 milijuna €) ulaze u opseg. Međutim, postoje i iznimke koje dovode subjekte u opseg bez obzira na veličinu – primjerice, ako ste jedini pružatelj usluge u svom području, ako vaše poslovanje može utjecati na javnu sigurnost ili ako ste označeni kao kritični.

Neki sektori su izuzeti, uključujući obranu, nacionalnu sigurnost, javnu sigurnost, tijela za provedbu zakona i pravosuđe.

Važno je naglasiti – čak i ako vaša tvrtka nije smještena u EU, i dalje morate voditi računa o NIS2 kad poslujete s EU tvrtkama zbog zahtjeva u lancu nabave. EU organizacije će pomno pregledavati svoje dobavljače izvan EU i možda će od vas tražiti ugovorne sigurnosne obveze. I ovo nije samo europski trend – slični zakoni o kibernetičkoj sigurnosti pojavljuju se diljem svijeta, stvarajući paralelne zahtjeve za usklađenost s kojima ćete se morati nositi.

Ključni zahtjevi NIS2 i obveze usklađenosti

10 obveznih mjera upravljanja rizicima kibernetičke sigurnosti

NIS2 zahtijeva da organizacije provedu deset specifičnih mjera upravljanja rizicima kibernetičke sigurnosti. Krenimo redom.

Prvo, trebate smjernice za analizu rizika i sigurnost informacijskih sustava, što uključuje smjernice za vaše osoblje o sigurnosnoj praksi u IT-u. Također trebate postupke za upravljanje incidentima koji pokrivaju kako spriječiti, otkriti i reagirati na sigurnosne incidente.

Neprekidnost poslovanja je još jedno ključno područje – trebat ćete mjere za upravljanje sigurnosnim kopijama i oporavak od katastrofe kako bi vaše poslovanje nastavilo funkcionirati kad stvari krenu po zlu. Sigurnost dobavljačkog lanca jednako je važna, zahtijevajući protokole koji rješavaju vaše odnose s dobavljačima i pružateljima usluga.

Trebate sigurnosne mjere koje pokrivaju kako nabavljate, razvijate i održavate svoje mrežne i informacijske sustave. Da biste bili sigurni da sve funkcionira ispravno, trebat ćete smjernice i postupke za testiranje i reviziju učinkovitosti vaših mjera upravljanja rizicima.

Ostali zahtjevi uključuju provođenje osnovnih praksi kibernetičke higijene i obuku o kibernetičkoj sigurnosti za sve vaše zaposlenike, smjernice za korištenje kriptografije i enkripcije gdje je to prikladno, te sigurnost ljudskih resursa, smjernice kontrole pristupa i protokole upravljanja imovinom.

Na kraju, trebate implementirati višefaktorsku autentifikaciju (ili rješenja za kontinuiranu autentifikaciju) i sigurne komunikacije za zaštitu pristupa vašim sustavima.

Zahtjevi za upravljanje i odgovornost uprave

Jedna od najvećih promjena u NIS2 je fokus na odgovornost vodstva. Vaš upravljački tim sada mora odobriti mjere upravljanja rizicima kibernetičke sigurnosti koje provodi vaša organizacija. Direktori moraju aktivno nadzirati provedbu sigurnosnih mjera – i oni su odgovorni ako se ne uspije postići usklađenost.

To znači da vaši najviši menadžeri trebaju redovitu obuku o kibernetičkoj sigurnosti kako bi stekli dovoljno znanja za pravilno procjenjivanje rizika. Nije više riječ samo o odgovornosti tvrtke – upravna tijela snose osobnu odgovornost za propuste u kibernetičkoj sigurnosti.

Viši rukovoditelji ne mogu više samo delegirati kibernetičku sigurnost tehničkim timovima – moraju preuzeti aktivne uloge u upravljanju kibernetičkom sigurnošću. Uključenost na razini uprave postaje obvezna umjesto izborna, s redovitim ažuriranjima i pregledima kibernetičke sigurnosti koji se prezentiraju upravljačkim tijelima.

U suštini, kibernetička sigurnost je sada čvrsto odgovornost vodstva, a ne samo tehnički problem. Vaš upravljački tim treba uspostaviti jasne strukture upravljanja s dodijeljenim odgovornostima za održavanje stalne usklađenosti.

Obveze i postupci izvještavanja o incidentima

NIS2 uvodi stroge rokove za izvještavanje o incidentima. Ako dođe do značajnog incidenta, morate poslati početnu obavijest relevantnim tijelima unutar 24 sata od trenutka kad ste saznali za incident. Morate naznačiti sumnjate li da je incident uzrokovan nezakonitim ili zlonamjernim djelovanjem.

Unutar 72 sata morate dostaviti naknadnu obavijest koja uključuje početnu procjenu ozbiljnosti i utjecaja. Ako ih imate, trebali biste uključiti i pokazatelje kompromitiranosti u obavijesti nakon 72 sata.

Mjesec dana nakon vašeg početnog izvješća, morate predati konačno sveobuhvatno izvješće koje uključuje detaljan opis incidenta, vrstu prijetnje ili glavni uzrok i koje mjere ublažavanja ste primijenili.

Za incidente koji još traju, trebate izvješće o napretku na mjesečnoj bazi i konačno izvješće nakon rješavanja. Možda ćete također morati dati privremena ažuriranja ako to zatraže nadležna tijela ili tim za odgovor na računalno-sigurnosne incidente (CSIRT).

Ne zaboravite da morate obavijestiti i korisnike vaših usluga ako će incident vjerojatno negativno utjecati na pružanje vaših usluga.

Procjena i upravljanje sigurnošću dobavljačkog lanca

Sigurnost dobavljačkog lanca je glavni fokus u NIS2. Morate procijeniti ukupnu kvalitetu i otpornost proizvoda i usluga kroz vaš lanac opskrbe, uključujući procjenu mjera upravljanja kibernetičkom sigurnošću ugrađenih u proizvode i usluge vaših dobavljača.

Odvojite vrijeme za pregled postupaka sigurnog razvoja i praksi kibernetičke sigurnosti vaših dobavljača. Morate ugraditi mjere upravljanja kibernetičkim sigurnosnim rizicima u svoje ugovorne odnose s izravnim dobavljačima.

Gledajte dalje od svojih izravnih dobavljača – razmotrite rizike koji mogu doći od drugih razina dobavljača i pružatelja usluga dalje u lancu. Posebnu pozornost posvetite procjeni pružatelja usluga upravljane sigurnosti koji se bave kritičnim funkcijama poput odgovora na incidente ili testiranja proboja.

Redoviti pregledi i revizije pomoći će osigurati da prakse kibernetičke sigurnosti vaših dobavljača budu usklađene s vašim sigurnosnim smjernicama. Razmislite o uvođenju programa upravljanja rizicima dobavljača za sustavno procjenjivanje sigurnosnih smjernica i praksi trećih strana.

Na kraju, koordinirajte procjene rizika kritičnih ICT usluga, sustava ili proizvoda, proučavajući relevantne prijetnje i ranjivosti koje bi mogle utjecati na vaše poslovanje.

Posljedice neusklađenosti s NIS2

Ulozi su visoki kad je riječ o neusklađenosti s NIS2. Za Ključne subjekte, financijske kazne mogu doseći do 10 milijuna € ili najmanje 2% ukupnog godišnjeg prometa (što god je veće) za kršenja obveza upravljanja rizicima i izvještavanja. Važni subjekti suočavaju se s kaznama do 7 milijuna € ili najmanje 1,4% ukupnog godišnjeg prometa.

Vrijedi naglasiti da direktiva uspostavlja minimalne, a ne maksimalne kazne, tako da stvarne novčane kazne potencijalno mogu biti i veće, ovisno o provedbi u pojedinim državama članicama.

Osim financijskih kazni, nadzorna tijela mogu nametnuti ograničenja poslovanja. To može uključivati privremenu suspenziju certifikata ili ovlaštenja, provođenje obveznih revizija ili čak imenovanje nadzornika za nadzor vašeg poslovanja.

Aspekt osobne odgovornosti posebno je važan – upravna tijela suočavaju se s mogućim privremenim zabranama obavljanja upravljačkih funkcija. Na primjer, osobe na pozicijama direktora ili zakonskih zastupnika za koje se utvrdi da su odgovorni za neusklađenost mogli bi biti uklonjeni s tih pozicija.

Postoje i zahtjevi za javno objavljivanje gdje tijela mogu prisiliti vašu organizaciju da objavi informacije o aspektima neusklađenosti. Takva vrsta javne izloženosti može uzrokovati značajnu štetu ugledu koja može trajati dugo nakon što ste riješili probleme usklađenosti.

Neusklađenost također može dovesti do gubitka poslovnih prilika kada partneri prekidaju odnose s neusklađenim subjektima kako bi smanjili vlastite rizike dobavljačkog lanca prema NIS2.

Dugoročne poslovne posljedice neodgovarajućih mjera kibernetičke sigurnosti nadilaze regulatorne kazne. Prekid rada sustava, primjerice, košta otprilike 9.000 € po minuti za velika poduzeća, dok povrede podataka u prosjeku iznose oko 4,35 milijuna € globalno.

Imajte na umu da države članice mogu nadopuniti kazne propisane od strane EU dodatnim nacionalnim sankcijama i provedbenim mjerama. Regulatori mogu čak izdati javne izjave koje imenuju određene osobe odgovorne za kršenja, stvarajući osobne i profesionalne posljedice izvan formalnih kazni.

Izgradnja strategije usklađenosti s NIS2: Korak po korak

Provođenje temeljite analize nedostataka

Prvi korak na vašem putu usklađenosti trebala bi biti detaljna analiza nedostataka. Počnite sastavljanjem popisa sve vaše digitalne imovine, sustava i usluga koje spadaju pod NIS2. Dokumentirajte postojeće sigurnosne smjernice, postupke i tehničke kontrole u cijeloj organizaciji.

Usporedite svoj trenutni sigurnosni pristup s 10 obveznih mjera upravljanja rizicima o kojima smo ranije govorili. Gdje vidite praznine u upravljanju rizicima, odgovoru na incidente ili sposobnostima izvještavanja?

Pomno pregledajte sigurnost vašeg dobavljačkog lanca i procese upravljanja dobavljačima. Kako se uspoređuju sa zahtjevima NIS2? Slično tome, procijenite zrelost vaših kontrola pristupa i mehanizama autentifikacije.

Pregledajte svoje planove neprekidnosti poslovanja i oporavka od katastrofe kako biste vidjeli jesu li dovoljno učinkoviti. Provjerite je li vaša postojeća dokumentacija usklađena sa zahtjevima izvještavanja NIS2.

Kad ste identificirali sve nedostatke, odredite prioritete na temelju razine rizika i utjecaja na usklađenost. To će vam pomoći usmjeriti napore za poboljšanje tamo gdje su najpotrebniji.

Osiguravanje podrške uprave i podizanje svijesti među vodstvom

Dobivanje podrške vašeg vodstvenog tima ključno je za uspješnu usklađenost s NIS2. Počnite educiranjem vaših najviših menadžera o kaznama i odredbama o osobnoj odgovornosti u NIS2. Pomozite im razumjeti financijske posljedice neusklađenosti, uključujući moguće novčane kazne.

Ne fokusirajte se samo na negativno – istaknite konkurentske prednosti koje dolaze s jakom pozicijom u kibernetičkoj sigurnosti. Pokažite kako usklađenost s NIS2 podupire vaše šire poslovne ciljeve i strategije upravljanja rizicima.

Razvijte jasan prijedlog budžeta koji opisuje potrebna ulaganja i očekivani povrat. Razmislite o predstavljanju faznog pristupa implementaciji s jasnim prekretnicama kako bi proces bio lakše upravljiv.

NIS2 zahtijeva obuku o kibernetičkoj sigurnosti na razini uprave, stoga organizirajte ove sesije za vaš vodstveni tim. Stvorite strukturu upravljanja koja jasno definira izvršne uloge i odgovornosti za kibernetičku sigurnost.

Za informiranje svih, uspostavite redovite mehanizme izvještavanja koji ažuriraju vodstvo o vašem napretku u usklađivanju.

Razvoj okvira upravljanja rizicima kibernetičke sigurnosti

S podrškom uprave, vrijeme je za razvoj čvrstog okvira upravljanja rizicima. Primijenite pristup temeljen na riziku koji daje prednost vašim najosjetljivijim sustavima i podacima. Definirajte jasne uloge i odgovornosti za kibernetičku sigurnost u cijeloj organizaciji.

Stvorite sveobuhvatan skup sigurnosnih smjernica koje se usklađuju s 10 mjera upravljanja rizicima iz NIS2. Razvijte postupke za provođenje redovitih procjena rizika i učinkovito upravljanje ranjivostima.

Za mjerenje napretka, uspostavite pokazatelje uspješnosti za sigurnosnu učinkovitost. Gdje je moguće, uskladite svoj okvir upravljanja rizicima s postojećim standardima poput ISO 27001 kako biste izbjegli dvostruki posao.

Uvedite sigurnosne kontrole koje su proporcionalne identificiranim rizicima za svaki sustav ili uslugu. Dokumentirajte svoju sigurnosnu arhitekturu, osiguravajući da pokriva sposobnosti zaštite, otkrivanja i odgovora.

Na kraju, uspostavite procese upravljanja za redovite preglede i ažuriranje vašeg okvira rizika kako se vaša organizacija i okruženje prijetnji mijenjaju.

Uspostavljanje procesa odgovora na incidente i izvještavanja

S obzirom na stroge zahtjeve izvještavanja NIS2, trebat ćete snažnu sposobnost odgovora na incidente. Izradite formalan plan odgovora na incidente koji jasno definira uloge, odgovornosti i postupke. Uvedite sustave za otkrivanje i praćenje koji mogu rano prepoznati potencijalne sigurnosne incidente.

Definirajte kriterije klasifikacije incidenata i pragove izvještavanja koji se usklađuju sa zahtjevima NIS2. Uspostavite komunikacijske kanale s relevantnim tijelima i CSIRT-ovima tako da točno znate koga kontaktirati kad dođe do incidenta.

Izradite predloške za zahtijevana izvješća o incidentima (24 sata, 72 sata i mjesec dana) kako biste ubrzali svoj odgovor tijekom stvarnog incidenta. Razvijte postupke za prikupljanje i očuvanje dokaza tijekom istraga incidenata.

Testirajte svoje postupke odgovora na incidente kroz redovite vježbe i simulacije. Nakon svake vježbe (i nakon stvarnih incidenata), provedite analize naučenih lekcija kako biste stalno poboljšavali svoje sposobnosti odgovora.

Osigurajte da imate tehničke sposobnosti za prepoznavanje pokazatelja kompromitiranosti za potrebe izvještavanja, jer su ti detalji potrebni u vašim obavijestima.

Uvođenje potrebnih mjera kibernetičke sigurnosti

Smjernice analize rizika i sigurnosti informacijskih sustava

Razgovarajmo o primjeni učinkovitog upravljanja rizicima u praksi. Umjesto da odmah prijeđete na rješenja, započnite s promišljenim pristupom u prepoznavanju, procjeni i određivanju prioriteta vaših rizika kibernetičke sigurnosti.

Zamislite svoje sigurnosne smjernice kao sigurnosni ustav vaše organizacije - trebaju biti dovoljno široke da pokriju sve osnove, ali dovoljno jasne da ih ljudi mogu stvarno slijediti. Bit je učiniti ih praktičnima, a ne tek teoretskim dokumentima koji skupljaju prašinu na digitalnoj polici.

Kad je riječ o procjenama rizika, redovitost je važnija od savršenstva. Postavite ritam za provjeru svojih kritičnih sustava i aplikacija koji odgovara vašem poslovnom tempu. Za upravljanje ranjivostima, trebat će vam više od samih alata za skeniranje - trebate proces koji vam pomaže odrediti koje ranjivosti najprije riješiti na temelju vašeg konkretnog poslovnog konteksta.

Upravljanje imovinom možda zvuči dosadno, ali ne možete zaštititi ono za što ne znate da imate. Dobar popis sustava i podataka je poput karte - pokazuje vam s čime radite i gdje se nalaze vaši osjetljivi podaci. Klasifikacija podataka ne mora biti složena - čak i jednostavne oznake poput "javno", "interno" ili "povjerljivo" mogu značajno utjecati na način kako ljudi postupaju s informacijama.

Ne zaboravite na dobavljače - oni često imaju pristup vašem digitalnom carstvu. Razvijte načine za procjenu njihovih sigurnosnih praksi prije nego što im date pristup. I kad god gradite ili kupujete nove sustave, uključite preglede sigurnosne arhitekture od samog početka, a ne kao naknadnu misao.

Planiranje neprekidnosti poslovanja i upravljanje krizama

Svi znamo za Murphyjev zakon - što može poći po zlu, poći će po zlu. Zato čvrsti planovi neprekidnosti poslovanja nisu luksuz - već nužnost. Usredotočite se na održavanje najbitnijih poslovnih funkcija kad dođe do poremećaja.

Zamislite postupke izrade sigurnosnih kopija kao osiguranje - nadate se da ih nikad nećete trebati, ali ste stvarno zahvalni kad su tu kad zatrebate. I ne samo da napravite sigurnosnu kopiju podataka - redovito testirajte obnavljanje kako biste bili sigurni da vaša sigurnosna mreža stvarno radi.

Kad nastupi kriza, svi trebaju znati svoju ulogu. Stvorite timove za upravljanje krizama gdje svi točno znaju za što su odgovorni. Jasni komunikacijski kanali također su ključni - i za informiranje vašeg tima i za pravodobno ažuriranje vanjskih dionika.

Analize poslovnog utjecaja pomažu vam shvatiti što je najvažnije - koji procesi i sustavi bi stvorili najveće probleme ako bi prestali raditi? Kad to znate, možete sukladno odrediti prioritete u oporavku.

Vježba vodi do savršenstva, zato redovito provodite simulacije i vježbe. Ne moraju biti složene - čak i jednostavni scenariji mogu otkriti nedostatke u vašim planovima. I imajte plan B za fizičke lokacije - ako vaš glavni ured postane neuporabljiv, gdje će ključno osoblje raditi?

Uvođenje višefaktorske autentifikacije i kontrole pristupa

Same lozinke više nisu dovoljne. Dodavanje višefaktorske autentifikacije je poput dodavanja dodatne brave na vrata - značajno otežava posao napadačima. Za sustave koji sadrže vaše najvrednije podatke, razmislite o rješenjima koja stalno provjeravaju identitet tijekom cijele sesije, ne samo pri prijavi.

Načelo najmanjih povlastica je jednostavno ali moćno: dajte ljudima samo pristup koji im treba za obavljanje posla, ništa više. To je poput različitih ključeva za različite prostorije u zgradi - ne treba svatko pristup svugdje. I baš kao što biste promijenili brave kad se stanari isele, redovito pregledavajte prava pristupa korisnika kako biste spriječili gomilanje nepotrebnih prava pristupa tijekom vremena.

Rad na daljinu promijenio je pravila igre za sigurnost pristupa. Osigurajte da vaša rješenja za daljinski pristup uključuju odgovarajuće sigurnosne mjere autentifikacije. Posebnu pozornost obratite na povlaštene račune - oni su poput glavnih ključeva, pa trebaju dodatnu zaštitu i nadzor.

Za posebno osjetljive funkcije, razmislite o uvođenju razdvajanja dužnosti - zahtijevanjem da više od jedne osobe izvršava kritične procese. To je digitalni ekvivalent traženju dva ključa za lansiranje rakete. I pazite na neuobičajene obrasce prijave - ako se netko obično prijavljuje iz Zagreba tijekom radnog vremena, prijava u 3 ujutro iz inozemstva trebala bi upaliti alarm.

Pravilnici enkripcije i kriptografije

Zamislite enkripciju kao diplomatsku pošiljku digitalnog svijeta - osigurava da poruke i podaci ne mogu biti izmijenjeni ili pročitani od krivih ljudi. Trebate jaku enkripciju i za pohranjene podatke i za informacije koje putuju mrežama.

Transport Layer Security (TLS) postao je osnovni standard za mrežne komunikacije - to je temelj, ne dodatak. Ali enkripcija vrijedi onoliko koliko je dobro vaše upravljanje ključevima. Ključevi trebaju biti sigurno generirani, pažljivo distribuirani i redovito mijenjani - baš kao što biste promijenili brave ako previše kopija fizičkog ključa kruži uokolo.

Vaši kriptografski ključevi zaslužuju zaštitu na razini bankovnog trezora. Uostalom, ako netko dobije vaše ključeve, vaša enkripcija praktički ne postoji. Kad birate metode enkripcije, uskladite snagu sa osjetljivošću - vjerojatno koristite različite brave za vrtnu kućicu i za sef u banci.

Prije unošenja proizvoda trećih strana u vaše okruženje, odvojite vrijeme za procjenu njihovih kriptografskih rješenja. Nije sva enkripcija jednako dobra, a ranjivosti u načinu implementacije mogu potkopati inače jaku sigurnost. Ne zaboravite na mobilne uređaje i prijenosne medije - često sadrže osjetljive informacije, a mogu se lako izgubiti ili ukrasti.

Kad podaci dođu do kraja korisnog vijeka, trebate sigurne postupke za njihovo trajno uklanjanje. Jednostavno brisanje obično nije dovoljno - to je više kao bacanje pisma bez prethodnog kidanja na komadiće.

Programi podizanja svijesti i edukacije o kibernetičkoj sigurnosti

Vaša tehnologija može biti tvrđava, ali ako netko ostavi vrata otvorena, ta obrana ne znači puno. Zato je sveobuhvatna obuka o sigurnosti toliko važna za svakoga u vašoj organizaciji. Ljudi se ne rađaju sa znanjem dobrih sigurnosnih praksi - moraju ih naučiti.

Osoblje koje rukuje osjetljivim sustavima ili podacima treba posebnu obuku iznad osnovne razine. Zamislite to kao napredni tečaj vožnje za one koji upravljaju teškim strojevima - ulozi su veći, pa i obuka mora biti temeljitija.

IT administratori i programeri trebaju obuku prilagođenu njihovim ulogama, s fokusom na jedinstvene sigurnosne izazove s kojima se susreću. Redovite vježbe prepoznavanja phishinga pomažu svima da ostanu na oprezu - to su poput vježbi evakuacije za vašu elektroničku poštu.

Koristite različite kanale za svoje kampanje podizanja sigurnosne svijesti - plakate, biltene, timske sastanke, članke na intranetu. Ljudi uče na različite načine, pa raznolikost pomaže u prenošenju poruke. Uvođenje novih zaposlenika je savršena prilika za stvaranje dobrih sigurnosnih navika od samog početka, prije nego se razviju loše navike.

Pratite učinkovitost svojih programa obuke - mijenjaju li ljudi stvarno svoje ponašanje ili samo prolaze kroz prezentacije? Ne zaboravite eksterne suradnike i treće strane koje pristupaju vašim sustavima - i oni moraju poštovati vaša sigurnosna pravila.

Konačno, osigurajte da vaši direktori dobiju primjerenu obuku o kibernetičkoj sigurnosti. NIS2 to zahtijeva, ali što je još važnije, sigurnosna kultura kreće s vrha. Kad vodstvo razumije i daje prednost sigurnosti, obično svi ostali slijede njihov primjer.

Pojednostavljivanje izvještavanja o incidentima prema NIS2

Izrada plana odgovora na incidente

Zamislite svoj plan odgovora na incidente kao krizni priručnik za kibernetičku sigurnost - kad nastane problem, nećete imati vremena osmišljavati sve ispočetka. Oni strogi rokovi izvještavanja u NIS2 znače da morate imati spreman akcijski plan.

Vaš plan treba ocrtati put od prvog uočavanja problema sve do njegovog rješavanja. To je poput izrade popisa hitnih kontakata za vaš dom - svi moraju točno znati tko što radi kad stvari krenu po zlu. Tko obavlja pozive? Tko istražuje? Tko odlučuje kad eskalirati? Sve to jasno navedite.

Različite vrste sigurnosnih incidenata zahtijevaju različite odgovore. Napad ucjenjivačkim softverom traži drugačiji pristup od curenja podataka ili napada uskraćivanjem usluge. Vaš plan treba biti poput knjige s različitim scenarijima i jasnim smjernicama za svaki mogući događaj.

Donošenje odluka može biti zbunjujuće tijekom krize, zato unaprijed odredite jasne linije eskalacije. To je slično trijaži u bolnici - morate znati tko ima ovlast donositi ključne odluke kad je svaka minuta važna. I baš kao na mjestu zločina, trebat će vam postupci za očuvanje digitalnih dokaza bez njihovog mijenjanja.

Uštedite dragocjeno vrijeme izradom gotovih obrazaca za dokumentiranje incidenata. Nakon što se situacija smiri, osigurajte vrijeme za analizu "naučenih lekcija" - što je funkcioniralo, što nije i što ćete sljedeći put napraviti drugačije.

Zapamtite da incidenti često aktiviraju i vaš plan odgovora i plan neprekidnosti poslovanja. Osigurajte da ta dva plana međusobno funkcioniraju - zamislite ih kao dvije hitne službe koje moraju surađivati na mjestu nesreće.

Razumijevanje pragova i vremenskih rokova za izvještavanje

NIS2 ne traži da prijavite svaki mali problem - samo "značajne incidente". Ali što se računa kao značajno? Tu morate zasukati rukave i definirati što "ozbiljan prekid rada" znači za vaše specifično poslovanje. Je li to kad vaši sustavi za korisnike prestanu raditi? Kad su određeni podaci kompromitirani? Kad su pogođene operacije na više lokacija?

Također morate postaviti pragove za "značajnu materijalnu ili nematerijalnu štetu". Materijalna šteta može uključivati financijske gubitke, dok nematerijalna može uključivati narušavanje ugleda ili povjerenja klijenata. To je poput podešavanja osjetljivosti detektora dima u kući - preosjetljiv i stalno reagira na zagorjeli tost, premalo osjetljiv i možda propusti stvarni požar.

Odbrojavanje počinje čim saznate za značajan incident. Unutar 24 sata morate poslati početnu obavijest. Zamislite to kao hitni poziv na 112 - obavještavate nadležne da se nešto događa, čak i ako još nemate sve detalje.

Do oznake od 72 sata, morate dati detaljniju obavijest koja uključuje vašu početnu procjenu štete i, ako ih imate, tehničke indikatore koji bi mogli pomoći drugima prepoznati slične napade. Vaše mjesečno izvješće je detaljna analiza - što se dogodilo, zašto i što ste poduzeli.

Za incidente koji još traju, trebat će vam izvješće o napretku nakon mjesec dana i konačno izvješće nakon rješavanja. To je slično medicinskim ažuriranjima tijekom dugog liječenja - redovite kontrole dok pacijent ne ozdravi.

Ne zaboravite razmotriti kako ćete odrediti ima li incident prekogranični učinak koji zahtijeva obavještavanje više tijela. I sjetite se svoje obveze da obavijestite korisnike kad bi incident mogao utjecati na njih - nitko ne voli saznati za probleme iz vijesti umjesto izravno od vas.

Identifikacija odgovarajućih nadležnih tijela

Kad se dogodi incident, nećete imati vremena istraživati koga kontaktirati. To je poput imanja spremnog broja liječnika prije nego se razbolite - obavite pripremu unaprijed. Identificirajte nacionalne timove za odgovor na računalne sigurnosne incidente (CSIRT) u svakoj državi članici gdje poslujete i držite njihove kontakte pri ruci.

Izgradite odnose s jedinstvenim kontaktnim točkama (SPOC) u svakoj državi članici prije nego dođe do problema. Uvijek je lakše zvati nekoga koga već poznajete nego se predstavljati usred krize. Za prekogranične incidente, trebate jasne smjernice o tome koja tijela kontaktirati i kada - nitko ne želi igrati igru "telefonskog glušanja" tijekom izvanrednog stanja.

Upoznajte se s organizacijama poput EU mreže za vezu u kibernetičkim krizama (EU-CyCLONe) koje koordiniraju odgovore na velike incidente. Zamislite ih kao kibernetički ekvivalent kriznog stožera tijekom prirodnih katastrofa - pomažu koordinirati napore preko granica.

Neki sektori imaju posebna sektorska tijela kojima također morate prijavljivati. Ako se to odnosi na vaše poslovanje, uvrstite i te kontakte u svoj krizni adresar.

Odredite svoje komunikacijske kanale s tijelima prije nego ih zatrebate. Hoćete li prijavljivati putem e-maila, portala, telefona? Tko u vašem timu ima te podatke? Osigurajte da više od jedne osobe zna postupke - što ako je osoba zadužena za izvještavanje na godišnjem odmoru kad se incident dogodi?

Pomozite svom timu za odgovor na incidente razumjeti širi regulatorni okvir, uključujući NIS Grupu za suradnju koja radi na ujednačenoj provedbi u svim državama članicama. Ne zanemarite ENISA-u (Europska agencija za kibernetičku sigurnost) - oni daju vrijedne smjernice koje vam mogu pomoći bolje se pripremiti i odgovoriti na incidente.

Upravljanje ranjivostima i sigurnosno testiranje

Učinkovito upravljanje ranjivostima započinje formalnom Analizom otkrivanja ranjivosti koja prati međunarodne standarde poput ISO/IEC 29147 i ISO/IEC 30111. To uspostavlja jasne procese za primanje i rješavanje prijava ranjivosti od trećih strana poput sigurnosnih istraživača.

Jednostavan ali učinkovit korak je postavljanje datoteke security.txt na lokaciji /.well-known/ na vašim web stranicama. To daje jasne kontakt podatke za sigurnosne istraživače koji žele prijaviti ranjivosti koje su otkrili.

Vaš program sigurnosnog testiranja trebao bi uključivati kombinaciju pristupa – redovite procjene ranjivosti, penetracijska testiranja i vježbe crvenog tima, svaki s jasno definiranim opsegom i metodologijom. Ne čekajte da sustavi budu u produkciji da razmišljate o sigurnosti – ugradite sigurne razvojne prakse kroz cijeli životni ciklus razvoja softvera, uključujući modeliranje prijetnji, standarde sigurnog kodiranja i redovite sigurnosne preglede koda.

Učinite sigurnosno testiranje sastavnim dijelom vašeg razvojnog procesa integrirajući ga u CI/CD procese s automatiziranim sigurnosnim skeniranjem. To omogućuje rano otkrivanje ranjivosti prije nego kod dođe u produkciju.

Kad se otkriju ranjivosti, imajte jasne procese za njihovu trijažu prema ozbiljnosti i utjecaju. Odredite rokove za otklanjanje na temelju razina rizika kako biste osigurali da se najkritičniji problemi riješe brzo.

Redovite sigurnosne revizije pomažu provjeriti jesu li vaše kontrole stvarno učinkovite. Uspostavite formalne procese za rješavanje i praćenje uočenih nedostataka dok ne budu riješeni.

Razmislite o provođenju pregleda sigurnosne arhitekture tijekom faze dizajna novih sustava i aplikacija. To pomaže otkriti sigurnosne probleme prije implementacije, kad ih je obično jeftinije popraviti.

Rukujte informacijama o ranjivostima pažljivo, s kontroliranim procesima dijeljenja koji uravnotežuju sigurnosne potrebe s odgovarajućim dijeljenjem informacija. Razmislite o pridruživanju programima koordiniranog otkrivanja ranjivosti i suradnji sa zajednicom sigurnosnih istraživača – ti odnosi mogu znatno ojačati vašu sigurnosnu poziciju tijekom vremena.

Korištenje standarda i okvira za usklađenost s NIS2

Nema potrebe izmišljati toplu vodu za usklađenost s NIS2. ISO 27001, primjerice, pruža sveobuhvatan temelj za uspostavljanje sustava upravljanja informacijskom sigurnošću koji pokriva oko 70% zahtjeva NIS2. Možete iskoristiti ciklus Planiraj-Učini-Provjeri-Djeluj iz ISO 27001 za kontinuirano poboljšanje sigurnosti, uključujući redovite interne revizije i preglede uprave.

Europska agencija za kibernetičku sigurnost (ENISA) trenutno razvija certifikacijske sheme na razini EU koje će s vremenom postati ključne za dokazivanje usklađenosti s NIS2. Zapravo, prema članku 24(3), Europska komisija eventualno može zahtijevati od Ključnih subjekata da dobiju certifikaciju prema specifičnim europskim certifikacijskim shemama za kibernetičku sigurnost.

Ako ste već implementirali industrijske standarde i okvire poput NIST okvira za kibernetičku sigurnost ili CIS kontrola, možete ih mapirati prema zahtjevima NIS2 kako biste iskoristili prethodni rad na usklađenosti. Ovo mapiranje može uštedjeti značajno vrijeme i resurse.

Razmislite o podršci svoje NIS2 implementacije platformama za upravljanje, rizike i usklađenost (GRC). Ovi alati mogu pomoći centralizirati upravljanje smjernicama, praćenje kontrola i izvještavanje o usklađenosti, dajući vam bolji pregled cijele organizacije.

Automatizirano praćenje usklađenosti korištenjem sustava za upravljanje sigurnosnim informacijama i događajima (SIEM) i alata za kontinuirano praćenje kontrola daje uvid u stvarnom vremenu u vašu sigurnosnu poziciju. Slično tome, platforme za orkestraciju sigurnosti, automatizaciju i odgovor (SOAR) mogu pojednostaviti otkrivanje incidenata, analizu i izvještavanje kako bi se ispunili strogi rokovi izvještavanja prema NIS2.

Korištenje prepoznatih okvira pomaže dokazati dužnu pažnju regulatorima i može pojednostaviti provjeru usklađenosti tijekom revizija i regulatornih procjena. Pratite razvoj europskog okvira certifikacije kibernetičke sigurnosti i nacionalnih certifikacijskih shema kako biste predvidjeli buduće zahtjeve koji bi mogli utjecati na vašu organizaciju.

Iznad usklađenosti: Izgradnja snažne kulture kibernetičke sigurnosti

Dok je usklađenost nužna, izgradnja snažne sigurnosne kulture stvara dugoročnu zaštitu za vašu organizaciju. Počnite uspostavljanjem kibernetičke sigurnosti kao temeljne vrijednosti organizacije, s jasnim porukama od direktora i vidljivom predanošću vodstva na svim razinama.

Razmotrite razvoj programa sigurnosnih ambasadora za promicanje svijesti kroz odjele. Ovi predstavnici, raspoređeni po cijeloj organizaciji, pomažu prevesti sigurnosne zahtjeve u jezik koji ima smisla za različite dijelove poslovanja.

Radite na stvaranju okruženja bez okrivljavanja za prijavljivanje sigurnosnih problema i incidenata. Kad se ljudi osjećaju sigurno prijaviti probleme bez straha od kazne, otkrit ćete i riješiti više problema prije nego postanu ozbiljni incidenti.

Umjesto tretiranja sigurnosti kao zasebne funkcije, ugradite kibernetičku sigurnost u organizacijske procese odlučivanja od strateškog planiranja do svakodnevnih operacija. Ovaj pristup pomaže sigurnosti podržati poslovne ciljeve umjesto da izgleda kao prepreka.

Za mjerenje napretka, uvedite definirani model sigurnosne zrelosti s redovitim procjenama i planovima poboljšanja. Vaši pokazatelji učinka trebali bi pratiti i sigurnosnu učinkovitost i poslovni utjecaj, mjereći napredak prema ciljevima smanjenja rizika tijekom vremena.

Jačajte sigurnosnu svijest kroz različite kanale – obuku, simulacije, internu komunikaciju i programe priznanja koji slave dobre sigurnosne prakse. Primjenjujte pristup temeljen na riziku za sigurnosna ulaganja, usmjeravajući resurse na zaštitu vaše najvažnije imovine i procesa.

Najvažnije, pozicionirajte sigurnost kao pokretača digitalne transformacije i inovacija, a ne prepreku. Kad se pravilno provodi, dobra sigurnost podržava poslovni rast uz odgovarajuće upravljanje rizicima. Donosite sigurnosne odluke zajednički, uključujući i sigurnosne timove i poslovne dionike kako biste osigurali da su zaštitne mjere i učinkovite i praktične u vašem konkretnom poslovnom okruženju.

Spremni za bezbrižno usklađivanje s NIS2?

Zahtjevi za implementaciju NIS2 sad su na snazi, a posljedice neusklađenosti su ozbiljne - do 10 milijuna € kazne, ograničenja poslovanja i moguće zabrane upravljanja.

Ne suočavajte se sami s ovim složenim izazovom kibernetičke sigurnosti.

U Gaussu smo specijalizirani za razvoj prilagođenih IT rješenja koja čine usklađivanje s NIS2 jednostavnim i upravljivim. Naši stručnjaci za kibernetičku sigurnost mogu vam pomoći:

• Provesti temeljitu analizu nedostataka za prepoznavanje vaših specifičnih potreba usklađenosti

• Uvesti 10 obveznih mjera kibernetičke sigurnosti koje zahtijeva NIS2

• Razviti snažne protokole za odgovor na incidente koji zadovoljavaju stroge rokove izvještavanja

• Osigurati vaš dobavljački lanac učinkovitim strategijama upravljanja dobavljačima

• Izgraditi održiv okvir kibernetičke sigurnosti koji štiti vašu organizaciju

Pretvorimo usklađenost s NIS2 iz regulatornog tereta u konkurentsku prednost za vaše poslovanje.

Kontaktirajte Gauss danas →