Doplnok NIS2

Balík politík Doplnok NIS2 konsoliduje štyri prísne vypracované podnikové politiky, štruktúrované tak, aby maximalizovali súlad organizácie s vyvíjajúcimi sa požiadavkami smernice NIS2 Európskej únie. Každá politika funguje ako cielená oblasť bezpečnostných opatrení, ktorá umožňuje celosystémové prijatie odvetvových osvedčených postupov pre riadenie rizík, bezpečnostné testovanie, zverejňovanie zraniteľností a bezpečnú autentifikáciu naprieč rôznymi obchodnými a technologickými jednotkami. P41 – Politika riadenia rizík závislosti od dodávateľov poskytuje robustné mechanizmy na identifikáciu a zmierňovanie systémových rizík dodávateľského reťazca. Podrobne opisuje, ako musia organizácie udržiavať register závislosti od dodávateľov, vykonávať pravidelné posúdenie rizík a vynucovať limity rizika koncentrácie vrátane stratégií diverzifikácie a plánovania kontinuity pre kritických dodávateľov. Politika nariaďuje ročné preskúmania a priamo prepája riziko dodávateľského reťazca s plánovaním kontinuity podnikania a prostredím obnovy po havárii. Rámce správy vyžadujú oznamovanie orgánom a eskaláciu, keď nastanú scenáre vysoko rizikovej závislosti alebo nesúlad tretej strany, čím sa napĺňajú regulačné aj praktické potreby riadenia rizík. P40 – Politika bezpečnostného testovania a red-teamingu štruktúruje komplexný program technickej validácie pre siete, aplikácie a infraštruktúru. Predpisuje pravidelné skenovanie zraniteľností, penetračné testovanie a cvičenia red team, pričom podľa relevantnosti pokrýva kybernetické aj fyzické oblasti. Politika zabezpečuje, že všetky testy sú riadne vymedzené, autorizované a zaznamenané a že plány nápravných opatrení pre identifikované zraniteľnosti sú sledované a overované. Zistenia z testov sa priamo premietajú do ošetrenia rizík, cyklov neustáleho zlepšovania a sú preskúmavané v procesoch preskúmania manažmentom a auditu – čím podporujú regulačné požiadavky na meranie účinnosti a technické uistenie. P39 – Politika koordinovaného zverejňovania zraniteľností stanovuje jasný proces prijímania, preskúmania, nápravy a zverejňovania zraniteľností. Špecifikuje pravidlá safe harbor pre externých oznamovateľov (vrátane výskumníkov, partnerov a zákazníkov), vynucuje rýchlu reakciu prostredníctvom vyhradeného tímu pre reakciu na zraniteľnosti a riadi internú aj externú komunikáciu pre bezpečnostné oznámenia. Politika je zosúladená s NIS2 a usmerneniami ENISA, zabezpečuje dostupnosť verejných kanálov na zverejňovanie, právnu ochranu pre oznamovateľov konajúcich v dobrej viere a to, aby lehoty nápravy a postupy zverejňovania zodpovedali medzinárodným normám. Metriky a post-mortem preskúmania sú integrálnou súčasťou neustáleho zlepšovania procesu. P38 – Politika bezpečnej komunikácie a viacfaktorovej autentifikácie (MFA) (typ SME) je navrhnutá tak, aby bola nasaditeľná organizáciami so zjednodušenými bezpečnostnými štruktúrami a bez centra bezpečnostných operácií (SOC). Nariaďuje viacfaktorovú autentifikáciu (MFA) pre všetky prístupové body a privilegované účty a vyžaduje šifrované komunikačné kanály pre všetku internú a núdzovú komunikáciu. Politika obsahuje konkrétne zodpovednosti používateľov, IT administrátorov a vrcholového vedenia a umožňuje zdokumentované výnimky s kompenzačnými kontrolami tam, kde existujú technické obmedzenia. Nepretržité monitorovanie súladu a pravidelné školenia posilňujú zavedenie, zatiaľ čo správa zabezpečuje rýchle aktualizácie v súlade so zmenami regulačných požiadaviek a vývojom hrozieb. Spoločne tieto politiky vytvárajú silný, obhájiteľný základ súladu s NIS2, úzko mapovaný na právne, technické a oznamovacie požiadavky EÚ, a poskytujú detailné prevádzkové playbooky pre tímy v rolách IT, riziko, súlad, obstarávanie, riadenie dodávateľov a vrcholové vedenie.