Добавка NIS2

Пакетът политики NIS2 Addon консолидира четири стриктно разработени корпоративни политики, структурирани да максимизират организационното съответствие с развиващите се изисквания на Директивата NIS2 на Европейския съюз. Всяка политика функционира като целева област на контролите за сигурност, позволявайки системно внедряване на най-добри практики за управление на риска, тестване на сигурността, разкриване на уязвимости и сигурна автентикация в различни бизнес и технологични звена. P41 – Политика за управление на риска от зависимости от доставчици предоставя устойчиви механизми за идентифициране и смекчаване на системни рискове във веригата на доставки. Тя описва как организациите трябва да поддържат регистър на зависимостите от доставчици, да провеждат регулярни оценки на риска и да прилагат лимити за риска от концентрация, включително стратегии за диверсификация и планиране на непрекъсваемостта за критични доставчици. Политиката изисква годишни прегледи и свързва риска във веригата на доставки директно с планирането за непрекъсваемост на бизнеса и аварийно възстановяване. Рамките за управление изискват докладване към компетентните органи и ескалация при сценарии с високорискова зависимост или несъответствие на трета страна, изпълнявайки както регулаторни, така и практични нужди за управление на риска. P40 – Политика за тестване на сигурността и red-teaming структурира всеобхватна програма за технологично валидиране за мрежи, приложения и инфраструктура. Тя предписва периодични сканирания за уязвимости, тестове за проникване и упражнения на red team, обхващащи както кибер, така и физически домейни, когато е приложимо. Политиката гарантира, че всички тестове са правилно определени по обхват, оторизирани и документирани и че плановете за действия за отстраняване на идентифицираните уязвимости се проследяват и валидират. Констатациите от тестовете се включват директно в третирането на риска, цикли за постоянно подобряване и се преглеждат в процесите по преглед от ръководството и одит – подпомагайки регулаторните изисквания за измерване на ефективността и технологично уверение. P39 – Политика за координирано разкриване на уязвимости определя ясен процес за приемане, преглед, отстраняване и разкриване на уязвимости. Тя специфицира правила за safe harbor за външни докладващи (включително изследователи, партньори и клиенти), налага бърза реакция чрез специализиран екип за реагиране при уязвимости и управлява вътрешните и външните комуникации за бюлетини. Политиката е съгласувана с NIS2 и насоките на ENISA, като гарантира налични публични канали за разкриване, правна защита за докладващи добросъвестно и че сроковете за отстраняване и практиките за разкриване съответстват на международните стандарти. Показателите и прегледите след инцидент са интегрални за непрекъснато подобряване на процеса. P38 – Политика за сигурни комуникации и многофакторно удостоверяване (MFA) (тип SME) е проектирана да бъде внедряема от организации с опростени структури за сигурност и без външно възложен център за операции по сигурността (SOC). Тя изисква многофакторно удостоверяване (MFA) за всички точки за достъп и привилегировани акаунти и изисква криптирани канали за всички вътрешни и аварийни комуникации. Политиката включва конкретни отговорности за потребители, ИТ администратори и Висше ръководство и допуска документирани изключения с компенсиращи контролни мерки, когато съществуват технически ограничения. Непрекъснатият одит и регулярното обучение укрепват внедряването, а управлението осигурява бързи актуализации в съответствие с регулаторните промени и промените в средата на заплахите. Заедно тези политики създават силна, защитима основа за съответствие с NIS2, плътно съотнесена към правните, техническите и изискванията за докладване на ЕС, и предоставят детайлни оперативни наръчници за екипите по ИТ, риск, съответствие, набавяне, управление на доставчици и роли във Висше ръководство.