Doplněk NIS2

Balíček politik NIS2 Addon konsoliduje čtyři důsledně vypracované podnikové politiky, strukturované tak, aby maximalizovaly soulad organizace s vyvíjejícími se požadavky směrnice NIS2 Evropské unie. Každá politika funguje jako cílená doména bezpečnostních kontrol a umožňuje celosystémové zavedení osvědčených postupů pro řízení rizik, bezpečnostní testování, zveřejňování zranitelností a bezpečnou autentizaci napříč různými obchodními a technologickými útvary. P41 – Politika řízení rizik závislosti na dodavatelích poskytuje robustní mechanismy pro identifikaci a zmírňování systémových rizik dodavatelského řetězce. Popisuje, jak musí organizace udržovat registr závislostí na dodavatelích, provádět pravidelná posouzení rizik a vynucovat limity rizika koncentrace, včetně strategií diverzifikace a plánování pro případ mimořádných událostí u kritických dodavatelů. Politika nařizuje každoroční přezkumy a přímo propojuje rizika dodavatelského řetězce s plánováním kontinuity podnikání a obnovy po havárii. Rámce správy a řízení vyžadují vykazování orgánům a eskalaci při scénářích vysoce rizikové závislosti nebo při nesouladu dodavatele, čímž naplňují regulační i praktické potřeby řízení rizik. P40 – Politika bezpečnostního testování a red-teamingu strukturuje komplexní program technické validace pro sítě, aplikace a infrastrukturu. Předepisuje pravidelné skenování zranitelností, penetrační testování a red team cvičení, v relevantních případech pokrývající jak kybernetické, tak fyzické domény. Politika zajišťuje, že všechny testy jsou řádně vymezené, autorizované a zaznamenané a že plány nápravných opatření pro identifikované zranitelnosti jsou sledovány a ověřovány. Zjištění z testů se přímo promítají do ošetření rizik, cyklů neustálého zlepšování a jsou přezkoumávána v procesech přezkoumání vedením a auditu – čímž podporují regulační požadavky na měření účinnosti a technické zajištění. P39 – Politika koordinovaného zveřejňování zranitelností stanovuje jasný proces pro přijímání, přezkum, nápravu a zveřejňování zranitelností. Specifikuje pravidla safe harbor pro externí oznamovatele (včetně výzkumníků, partnerů a zákazníků), vynucuje rychlou reakci prostřednictvím vyhrazeného týmu pro reakci na zranitelnosti a řídí interní i externí komunikaci pro bezpečnostní upozornění. Politika je sladěna s NIS2 a pokyny ENISA, zajišťuje dostupnost veřejných kanálů pro zveřejnění, právní ochranu pro oznamovatele jednající v dobré víře a to, že lhůty nápravy a postupy zveřejňování odpovídají mezinárodním standardům. Metriky a přezkumy po události jsou nedílnou součástí průběžného zlepšování procesu. P38 – Politika zabezpečené komunikace a vícefaktorové autentizace (MFA) (typ SME) je navržena tak, aby byla nasaditelná organizacemi se zjednodušenými bezpečnostními strukturami a bez vyhrazených bezpečnostních operačních center (SOC). Nařizuje vícefaktorovou autentizaci (MFA) pro všechny přístupové body a privilegované účty a vyžaduje šifrované komunikační kanály pro veškerou interní a nouzovou komunikaci. Politika zahrnuje konkrétní odpovědnosti uživatelů, správců IT a vrcholového vedení a umožňuje dokumentované výjimky s kompenzačními opatřeními tam, kde existují technická omezení. Průběžné audity a pravidelná školení posilují zavedení, zatímco správa a řízení zajišťují rychlé aktualizace v souladu s regulačními změnami a vývojem hrozeb. Společně tyto politiky vytvářejí silný a obhajitelný základ souladu s NIS2, úzce mapovaný na právní, technické a oznamovací požadavky EU, a poskytují detailní provozní postupy pro týmy v rolích IT, rizik, compliance, pořizování, řízení dodavatelů a vrcholového vedení.