Dodatak za NIS2

Paket politika NIS2 Addon objedinjuje četiri rigorozno razvijene korporativne politike, strukturirane kako bi maksimalno povećale usklađenost organizacije s promjenjivim zahtjevima Direktive NIS2 Europske unije. Svaka politika funkcionira kao ciljana domena kontrola, omogućujući sustavno usvajanje najboljih industrijskih praksi za upravljanje rizicima, sigurnosno testiranje, otkrivanje ranjivosti i sigurnu autentifikaciju u različitim poslovnim i tehnološkim jedinicama. P41 – Politika upravljanja rizikom ovisnosti o dobavljačima pruža snažne mehanizme za identifikaciju i ublažavanje sistemskih rizika opskrbnog lanca. Detaljno opisuje kako organizacije moraju održavati registar ovisnosti o dobavljačima, provoditi redovite procjene rizika te provoditi ograničenja rizika koncentracije, uključujući strategije diversifikacije i planiranje nepredviđenih situacija za kritične dobavljače. Politika propisuje godišnje preglede i izravno povezuje rizik opskrbnog lanca s planiranjem kontinuiteta poslovanja i okruženjem za oporavak od katastrofe. Okviri upravljanja zahtijevaju izvješćivanje nadležnim tijelima i eskalaciju kada nastupe scenariji ovisnosti visokog rizika ili nesukladnost trećih strana, čime se ispunjavaju regulatorne i praktične potrebe upravljanja rizicima. P40 – Politika sigurnosnog testiranja i red-teaminga strukturira sveobuhvatan program tehnološke validacije za mreže, aplikacije i infrastrukturu. Propisuje periodično skeniranje ranjivosti, penetracijsko testiranje i red team vježbe, obuhvaćajući i kibernetičke i fizičke domene gdje je primjenjivo. Politika osigurava da su sva testiranja pravilno definirana po opsegu, odobrena i evidentirana te da se planovi korektivne radnje za identificirane ranjivosti prate i verificiraju. Nalazi testiranja izravno se ugrađuju u obradu rizika, cikluse kontinuiranog poboljšanja te se preispituju u procesima preispitivanja od strane uprave i revizije – podržavajući regulatorne obveze mjerenja djelotvornosti i tehničkog osiguranja. P39 – Politika koordiniranog otkrivanja ranjivosti postavlja jasan postupak za prihvat, pregled, otklanjanje i objavu ranjivosti. Definira pravila sigurnog okruženja (safe harbor) za vanjske prijavitelje (uključujući istraživače, partnere i kupce), provodi brzi odgovor putem namjenskog tima za odgovor na ranjivosti te upravlja internim i vanjskim komunikacijama za sigurnosne obavijesti. Politika je usklađena s NIS2 i smjernicama ENISA-e, osiguravajući dostupnost javnih kanala za otkrivanje, pravnu zaštitu za prijavitelje koji postupaju u dobroj vjeri te da rokovi otklanjanja i prakse objave odgovaraju međunarodnim standardima. Metrike i naknadni pregledi (post-mortem) sastavni su dio kontinuiranog poboljšanja procesa. P38 – Politika sigurnih komunikacija i višefaktorske autentifikacije (MFA) (SME tip) osmišljena je tako da bude primjenjiva u organizacijama s pojednostavljenim sigurnosnim strukturama i bez centra za sigurnosne operacije (SOC). Propisuje višefaktorsku autentifikaciju (MFA) za sve točke pristupa i povlaštene račune te zahtijeva šifrirane kanale za sve interne i hitne komunikacije. Politika uključuje specifične odgovornosti korisnika, IT administratora i višeg rukovodstva te dopušta dokumentirane iznimke s kompenzacijskim kontrolama kada postoje tehnička ograničenja. Kontinuirane sigurnosne revizije i redovita obuka jačaju usvajanje, dok upravljanje osigurava brza ažuriranja u skladu s regulatornim promjenama i promjenama u okruženju prijetnji. Zajedno, ove politike stvaraju snažnu i obranjivu osnovu usklađenosti s NIS2, uz čvrsto mapiranje na EU pravne, tehničke i obveze izvješćivanja, te nude detaljne operativne priručnike za timove u IT-u, riziku, usklađenosti, nabavi, upravljanju dobavljačima i izvršnim ulogama.