8 мер по обеспечению соответствия требованиям NIS 2

Не тратьте время на реализацию директивы NIS2.
8 мер по обеспечению соответствия требованиям NIS 2

15.03.2024

Гостевая статья Тима Бергоффа

4 мин. Время чтения

Провайдеры по теме

Европейская директива NIS2 распространяет кибербезопасность на многие МСП. По оценкам, с этой проблемой сталкиваются около 30 000 компаний в Германии. Чтобы обеспечить соответствие требованиям NIS2 и уложиться в сроки, ответственные стороны должны предпринять восемь действий.

Мера 1: Создайте проект

Первым шагом является создание проекта по теме НИС-2. Группа участников проектной группы состоит из руководства, ИТ-менеджеров, менеджеров по ИТ-безопасности и всех других соответствующих людей. Требования НИС-2 очень высоки и требуют наличия специальной организационной структуры. Компании должны выделить много времени и бюджета на реализацию. Особенно, если раньше компании уделяли мало внимания ИТ-безопасности.

Во-первых, проектная группа должна пройти обучение по кибербезопасности, чтобы получить общее базовое понимание ИТ-безопасности. Группы, у которых уже есть это понимание, могут сразу перейти ко второму шагу.

Мера 2: Организационные меры

НИС-2 возлагает ответственность на совет директоров и руководство. Они должны следить за выполнением мер и нести личную ответственность за нарушения. Делегирование полномочий внутри совета невозможно, поскольку все члены исполнительного руководства имеют равные обязанности. Кстати: согласно действующему немецкому законопроекту, соглашения об отказе от прав недействительны. Страхование директоров и должностных лиц по-прежнему возможно – при условии, что оно платит.

Мера 3: Внедрение системы управления информационной безопасностью (СУИБ)

Целью является документирование внутренних ИТ-структур и необходимости дополнительных закупок и услуг. шекелей2-Определить контекст. В принципе, все затронутые компании должны ИСО Внедрить 27001. Многим компаниям приходится прибегать к внешним консультациям, чтобы получить ясность в отношении того, что необходимо сделать. Ответственные лица получают четкие и точные рекомендации, основанные на обоснованном анализе.

Мера 4: Проверка цепочек поставок

Сложным вопросом является безопасность в Цепочка поставок. NIS2 требует, чтобы вся цепочка поставок была защищена в отношении сетевых и информационных систем, а также физической среды этих систем. Чтобы обезопасить цепочку поставок, необходимо разобраться в ней и получить комплексное представление о ее структуре. В этом может помочь отдел закупок, поскольку он обрабатывает счета для всех поставок. Сертификаты поставщика — один из нескольких вариантов, но, безусловно, удобный выбор. Важно, чтобы ответственные лица регулярно проверяли этот статус.

Однако следует также учитывать, что не на все товары имеются накладные, например: Открытый источник-Продукты. И ответственные лица должны разъяснить, насколько критично использование Программное обеспечение является. Если во всех бухгалтерских операциях используется программное обеспечение с открытым исходным кодом, риск, безусловно, выше, чем если бы открытый исходный код использовался только для обработки текста.

Действие 5: Сертификация кибербезопасности

Первый вопрос здесь заключается в том, актуальны ли эти сертификаты для компаний-поставщиков или покупателей. Важно проверить, производит ли компания продукцию, которая должна быть сертифицирована по безопасности. В будущем покупателей могут обязать покупать только продукцию, сертифицированную соответствующим образом. Вполне возможно, что законодательные требования требуют от компаний приобретать сертифицированную продукцию только из определенной категории. Если у вас нет собственных сертификатов, вам может даже грозить остановка продаж. Однако соответствующие правовые нормы до сих пор отсутствуют. Поэтому неясно, какие продукты будут затронуты. При закупках обязательно следует подготовиться к этому, и компаниям необходимо заранее продумать шаги для получения необходимой сертификации безопасности своей продукции.

В настоящее время схема сертификации является ЭНИСА наиболее продвинутый с точки зрения общих критериев. Поэтому компаниям следует проводить сертификацию в этой области. Кроме того, рекомендуется ознакомиться с Киберустойчивость Действуйте и ознакомьтесь с категоризацией там. Следует ожидать, что многие компании зависят от внешней поддержки и должны запланировать ее в своем бюджете, поскольку это требует финансовых усилий.

Мера 6: Определить процессы отчетности

Согласно регламенту NIS2, компания обязана проинформировать орган, сообщающий о возможном инциденте кибербезопасности, в течение 24 часов, как минимум по электронной почте, и в течение 72 часов. Оценка инцидента. Полный отчет должен быть подготовлен через месяц. Эти сроки отчетности очень сжаты. Поэтому ответственные лица должны обеспечить быстрое предоставление обоснованной информации. Менеджеры проектов должны обсудить с ответственным за защиту данных процесс отчетности. Это идеальный пример передового опыта, который проектная группа может использовать в качестве руководства.

Мера 7: Подготовка к регулярному обмену

NIS2 предоставляет формат обмена, в котором компании могут обмениваться информацией по кибербезопасности. Эта платформа управляется Федеральное управление безопасности в Информационные технологии (BSI) организовано. Чтобы поделиться собственным опытом и передать информацию от этой группы, ответственным лицам необходимо уточнить, кто принимает участие в формате.

По состоянию на 30 октября 2020 г.

Само собой разумеется, что мы ответственно относимся к вашим личным данным. Если мы собираем от вас персональные данные, мы обрабатываем их в соответствии с применимыми правилами защиты данных. Подробную информацию можно найти в нашем Защита данных.

Согласие на использование данных в рекламных целях

Я согласен с тем, что компания Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, включая все аффилированные с ней компании по смыслу раздела 15 и далее AktG (далее: Vogel Communications Group), используется мой адрес электронной почты рассылать редакционные бюллетени. Списки ассоциированных компаний можно найти здесь быть восстановлены.

Содержание информационного бюллетеня охватывает продукты и услуги всех упомянутых выше компаний, включая, например, специализированные журналы и специализированные книги, мероприятия и ярмарки, а также продукты и услуги, связанные с событиями, предложения и услуги печатных и цифровых СМИ, такие как другие (редакционные) информационные бюллетени, конкурсы, ведущие кампании, исследования рынка в онлайн- и офлайн-областях, тематические веб-порталы и предложения электронного обучения. Если мой личный номер телефона также будет собран, он может быть использован для предложения вышеупомянутых продуктов и услуг от вышеупомянутых компаний, а также для исследования рынка.

Если я получаю доступ к защищенному контенту в Интернете на порталах Vogel Communications Group, включая ее дочерние компании по смыслу разделов 15 и далее AktG, я должен зарегистрироваться, указав дополнительные данные, чтобы получить доступ к этому контенту. В обмен на бесплатный доступ к редакционному контенту мои данные могут быть использованы для целей, указанных здесь, в соответствии с настоящим согласием.

Право на отзыв

Я осознаю, что могу отозвать это согласие в любое время в будущем. Мой отзыв не повлияет на законность обработки, осуществляемой на основании моего согласия до момента отзыва. Чтобы объявить о своем отзыве, я могу сделать это в соответствии с https://support.vogel.de Используйте доступную контактную форму. Если я больше не хочу получать отдельные информационные бюллетени, на которые я подписался, я также могу нажать на ссылку отказа от подписки, расположенную в конце информационного бюллетеня. Дополнительную информацию о моем праве на отказ и его реализации, а также о последствиях моего отказа можно найти в Защита данныхРаздел Редакционные бюллетени.

Read more:  Высшая школа менеджмента Оуэна Университета Вандербильта открывает кампус в Уэст-Палм-Бич

Мера 8: Регистрация в BSI

Пострадавшие компании должны зарегистрироваться в BSI как важный или жизненно важный бизнес. Прежде чем отчитываться, крайне важно проверить, подпадает ли компания под действие NIS2. Однако BSI еще предстоит определить кадровые и организационные требования для отчетного офиса к октябрю 2024 года.

Даже если в середине марта 2024 года все еще останутся без ответа вопросы о NIS2, затронутым компаниям не следует терять времени и внимательно изучить требования. Любой, кто начнет действовать сейчас, укрепит ИТ-безопасность своей компании и инвестирует в ее будущую жизнеспособность. Киберпреступники не спи. Они используют любую возможность, чтобы напасть на компанию.

Об авторе: Тим Бергхофф Безопасность Евангелист в G DATA Киберзащита.

(ID:49964500)