NIS2 papildinājums

NIS2 papildinājuma politiku komplekts apvieno četras stingri izstrādātas uzņēmuma politikas, kas strukturētas, lai maksimāli palielinātu organizācijas atbilstību Eiropas Savienības NIS2 direktīvas mainīgajām prasībām. Katra politika darbojas kā mērķēta drošības kontroles joma, nodrošinot sistēmas mēroga nozares labākās prakses ieviešanu risku pārvaldībai, drošības testēšanai, ievainojamību izpaušanai un drošai autentifikācijai dažādās biznesa un tehnoloģiju struktūrvienībās. P41 – Piegādātāju atkarības riska pārvaldības politika nodrošina stabilus mehānismus sistēmisku piegādes ķēdes risku identificēšanai un mazināšanai. Tā apraksta, kā organizācijām jāuztur piegādātāju atkarības reģistrs, jāveic regulāra riska novērtēšana un jāievieš koncentrācijas riska ierobežojumi, tostarp diversifikācijas stratēģijas un ārkārtas plānošana kritiskajiem piegādātājiem. Politika nosaka ikgadējas pārskatīšanas un tieši sasaista piegādes ķēdes risku ar biznesa nepārtrauktības un avārijas atjaunošanas plānošanu. Pārvaldības ietvari prasa ziņošanu iestādēm un eskalāciju, ja rodas augsta riska atkarības scenāriji vai trešo pušu neatbilstība, izpildot gan regulatīvās, gan praktiskās risku pārvaldības vajadzības. P40 – Drošības testēšanas un red-teaming politika strukturē visaptverošu tehnisko validācijas programmu tīkliem, lietojumprogrammām un infrastruktūrai. Tā nosaka periodisku ievainojamību skenēšanu, penetrācijas testēšanu un red team vingrinājumus, aptverot gan kiberdrošības, gan fiziskās jomas, ja tas ir attiecināms. Politika nodrošina, ka visi testi ir pienācīgi definēti tvērumā, autorizēti un reģistrēti, un ka identificēto ievainojamību trūkumu novēršanas pasākumi tiek izsekoti un verificēti. Testēšanas konstatējumi tieši tiek ievadīti riska apstrādē, nepārtrauktas uzlabošanas ciklos un tiek pārskatīti vadības un audita procesos, atbalstot regulatīvās prasības efektivitātes mērīšanai un tehniskajam apliecinājumam. P39 – Koordinētas ievainojamību izpaušanas politika nosaka skaidru procesu ievainojamību pieņemšanai, pārskatīšanai, novēršanai un izpaušanai. Tā definē drošā patvēruma noteikumus ārējiem ziņotājiem (tostarp pētniekiem, partneriem un klientiem), nodrošina ātru reaģēšanu, izmantojot specializētu ievainojamību reaģēšanas komandu, un pārvalda gan iekšējo, gan ārējo saziņu par paziņojumiem. Politika ir saskaņota ar NIS2 un ENISA vadlīnijām, nodrošinot publiskus izpaušanas kanālus, tiesisko aizsardzību labā ticībā ziņojošajiem un to, ka novēršanas termiņi un izpaušanas prakses atbilst starptautiskajiem standartiem. Metrikas un pēcnāves izvērtējumi ir neatņemama nepārtrauktas procesu uzlabošanas sastāvdaļa. P38 – Drošas saziņas un daudzfaktoru autentifikācijas (MFA) politika (SME tips) ir izstrādāta ieviešanai organizācijās ar vienkāršotām drošības struktūrām un bez drošības operāciju centra (SOC). Tā nosaka MFA visiem piekļuves punktiem un priviliģētajiem kontiem, kā arī prasa šifrētus kanālus visai iekšējai un ārkārtas saziņai. Politika ietver konkrētus lietotāju, IT administratoru un augstākās vadības pienākumus un pieļauj dokumentētus izņēmumus ar kompensējošām kontrolēm, ja pastāv tehniski ierobežojumi. Nepārtraukta audita veikšana un regulāra apmācība nostiprina ieviešanu, savukārt pārvaldība nodrošina ātrus atjauninājumus saskaņā ar regulatīvajām izmaiņām un draudu ainavas attīstību. Kopā šīs politikas veido spēcīgu, aizstāvamu NIS2 atbilstības pamatu, cieši sasaistītu ar ES juridiskajām, tehniskajām un ziņošanas prasībām, un piedāvā detalizētas operacionālās rokasgrāmatas IT, riska, atbilstības, iepirkuma, piegādātāju pārvaldības un izpildu vadības lomām.