Dodatek NIS2

Paket politik Dodatek NIS2 združuje štiri strogo razvite politike za podjetja, strukturirane za maksimalno skladnost organizacije z razvijajočimi se zahtevami Direktive NIS2 Evropske unije. Vsaka politika deluje kot ciljno področje varnostnih kontrol, kar omogoča sistemsko uvedbo najboljših praks za obvladovanje tveganj, varnostno testiranje, razkritje ranljivosti in varno avtentikacijo v različnih poslovnih in tehnoloških enotah. P41 – Politika upravljanja tveganj odvisnosti od dobaviteljev zagotavlja robustne mehanizme za identifikacijo in zmanjševanje sistemskih tveganj dobavne verige. Podrobno opisuje, kako morajo organizacije vzdrževati register odvisnosti od dobaviteljev, izvajati redne ocene tveganja in uveljavljati omejitve tveganja koncentracije, vključno s strategijami diverzifikacije in načrtovanjem nepredvidenih dogodkov za kritične dobavitelje. Politika zahteva letne preglede in neposredno povezuje tveganja dobavne verige z načrtovanjem neprekinjenega poslovanja in okoljem za obnovitev po nesreči. Okviri upravljanja zahtevajo poročanje organom in eskalacijo, kadar nastopijo scenariji visoko tveganih odvisnosti ali neskladnost tretjih oseb, s čimer izpolnjuje tako regulativne kot praktične potrebe obvladovanja tveganj. P40 – Politika varnostnega testiranja in red-teaminga strukturira celovit program tehnološke validacije za omrežja, aplikacije in infrastrukturo. Predpisuje periodično skeniranje ranljivosti, penetracijsko testiranje in red team vaje, kjer je relevantno, tako na kibernetskem kot fizičnem področju. Politika zagotavlja, da so vsi testi ustrezno opredeljeni po obsegu, odobreni in zabeleženi ter da se načrti sanacijskih ukrepov za identificirane ranljivosti sledijo in preverjajo. Ugotovitve testiranja se neposredno vključujejo v obravnavo tveganja, cikle nenehnega izboljševanja ter se pregledujejo v vodstvenih pregledih in procesih presoje – s čimer podpirajo regulativne zahteve glede merjenja učinkovitosti in tehnološkega zagotovila. P39 – Politika usklajenega razkritja ranljivosti določa jasen postopek za sprejem, pregled, odpravo in razkritje ranljivosti. Opredeljuje pravila varnega pristana za zunanje prijavitelje (vključno z raziskovalci, partnerji in strankami), uveljavlja hiter odziv prek namenske ekipe za odziv na ranljivosti ter upravlja notranje in zunanje komunikacije za varnostna obvestila. Politika je usklajena z NIS2 in smernicami ENISA, zagotavlja javne kanale za razkritje, pravno zaščito za prijavitelje v dobri veri ter da se časovni roki odprave in prakse razkritja ujemajo z mednarodnimi standardi. Kazalniki in pregledi po dogodku so sestavni del nenehnega izboljševanja procesa. P38 – Politika varnih komunikacij in večfaktorske avtentikacije (MFA) (tip SME) je zasnovana tako, da jo lahko uvedejo organizacije s poenostavljenimi varnostnimi strukturami in brez centra za varnostne operacije (SOC). Zahteva MFA za vse točke dostopa in privilegirane račune ter šifrirane kanale za vse notranje in nujne komunikacije. Politika vključuje specifične odgovornosti uporabnikov, IT administratorjev in najvišjega vodstva ter omogoča dokumentirane izjeme z nadomestnimi kontrolami, kjer obstajajo tehnične omejitve. Stalno spremljanje skladnosti in redno usposabljanje krepita uvedbo, upravljanje pa zagotavlja hitre posodobitve v skladu z regulativnimi spremembami in spremembami krajine groženj. Skupaj te politike ustvarjajo močno in utemeljeno osnovo skladnosti z NIS2, tesno preslikano na pravne, tehnološke in poročevalske zahteve EU, ter ponujajo podrobne operativne priročnike za ekipe v vlogah IT, tveganj, skladnosti, nabave, upravljanja dobaviteljev in izvršnega vodstva.