NIS2 priedas

NIS2 Addon politikų rinkinys apjungia keturias griežtai parengtas įmonės politikas, struktūruotas taip, kad maksimaliai padidintų organizacijos atitiktį besikeičiantiems Europos Sąjungos NIS2 direktyvos reikalavimams. Kiekviena politika veikia kaip tikslinė saugos kontrolės sritis, leidžianti visos sistemos mastu taikyti geriausiąją praktiką rizikos valdymui, saugumo testavimui, pažeidžiamumų atskleidimui ir saugiam autentifikavimui įvairiuose verslo ir technologijų vienetuose. P41 – Tiekėjų priklausomybės rizikos valdymo politika pateikia tvirtus mechanizmus sisteminėms tiekimo grandinės rizikoms identifikuoti ir mažinti. Joje aprašoma, kaip organizacijos turi palaikyti tiekėjų priklausomybės registrą, atlikti reguliarius rizikos vertinimus ir taikyti koncentracijos rizikos limitus, įskaitant diversifikavimo strategijas ir atsarginių planų rengimą kritiniams tiekėjams. Politika nustato kasmetines peržiūras ir tiesiogiai susieja tiekimo grandinės riziką su verslo tęstinumo ir atkūrimo po katastrofos planavimu. Valdysenos sistemos reikalauja ataskaitų teikimo institucijoms ir eskalavimo, kai atsiranda didelės rizikos priklausomybės scenarijai arba trečiųjų šalių neatitiktis, taip įgyvendinant tiek reglamentavimo, tiek praktinius rizikos valdymo poreikius. P40 – Saugumo testavimo ir red-teaming politika struktūruoja išsamią technologinę validavimo programą tinklams, taikomosioms programoms ir infrastruktūrai. Ji nustato periodinį pažeidžiamumų skenavimą, įsiskverbimo testavimą ir red team pratybas, apimančias tiek kibernetines, tiek fizines sritis, kai tai aktualu. Politika užtikrina, kad visi testai būtų tinkamai apibrėžti, autorizuoti ir užregistruoti, o nustatytų pažeidžiamumų taisomieji planai būtų sekami ir patvirtinami. Testų išvados tiesiogiai įtraukiamos į rizikos tvarkymo ir nuolatinio tobulinimo ciklus ir peržiūrimos vadovybės bei audito procesuose – taip palaikant reglamentavimo reikalavimus dėl veiksmingumo matavimo ir technologinio užtikrinimo. P39 – Koordinuoto pažeidžiamumų atskleidimo politika nustato aiškų procesą pažeidžiamumams priimti, peržiūrėti, šalinti ir atskleisti. Ji apibrėžia saugaus uosto taisykles išoriniams pranešėjams (įskaitant tyrėjus, partnerius ir klientus), užtikrina greitą reagavimą per specialią pažeidžiamumų reagavimo komandą ir valdo vidinę bei išorinę komunikaciją dėl pranešimų. Politika suderinta su NIS2 ir ENISA gairėmis, užtikrinant viešus atskleidimo kanalus, teisinę apsaugą sąžiningai veikiantiems pranešėjams ir tai, kad šalinimo terminai bei atskleidimo praktikos atitiktų tarptautinius standartus. Rodikliai ir po įvykio peržiūros yra integruotos nuolatiniam proceso tobulinimui. P38 – Saugios komunikacijos ir kelių veiksnių autentifikavimo (MFA) politika (SVV tipas) sukurta taip, kad ją galėtų įdiegti organizacijos su supaprastintomis saugumo struktūromis ir be saugumo operacijų centro (SOC). Ji nustato privalomą kelių veiksnių autentifikavimą (MFA) visiems prieigos taškams ir privilegijuotoms paskyroms, taip pat reikalauja šifruotų kanalų visoms vidinėms ir skubioms komunikacijoms. Politika apima konkrečias naudotojų, IT administratorių ir aukščiausiosios vadovybės atsakomybes ir leidžia dokumentuotas išimtis su kompensacinėmis kontrolės priemonėmis, kai egzistuoja techniniai apribojimai. Nuolatinis auditas ir reguliarūs mokymai sustiprina taikymą, o valdysena užtikrina greitus atnaujinimus pagal reglamentavimo ir grėsmių aplinkos pokyčius. Kartu šios politikos sukuria tvirtą, ginamą NIS2 atitikties pagrindą, glaudžiai susietą su ES teisiniais, techniniais ir ataskaitų teikimo reikalavimais, ir pateikia detalius operacinius įgyvendinimo vadovus IT, rizikos, atitikties, pirkimų, tiekėjų valdymo ir vykdomosios vadovybės vaidmenims.