NIS2 direktiva: Minimalni sigurnosni zahtjevi i precizni vremenski okviri za izvještavanje

Minimalni sigurnosni zahtjevi
 

NIS2 uvodi sveobuhvatne sigurnosne zahtjeve koji se temelje na četiri glavna stupa:

1.     Upravljanje rizicima

o   Organizacije moraju implementirati tehničke, operativne i organizacijske mjere za ublažavanje kibernetičkih rizika.
o   Ovo uključuje postupke upravljanja incidentima, sigurnost lanca opskrbe, kontrolu pristupa i enkripciju.

2.     Korporativno upravljanje

o   Upravljačka tijela odgovorna su za nadzor i odobravanje protokola upravljanja kibernetičkim rizicima.
o   Obavezna je obuka članova upravljačkih tijela, a potiče se i obuka svih zaposlenika.

3.     Prijavljivanje incidenata

o   Uspostava postupaka za brzo prijavljivanje značajnih sigurnosnih incidenata. 
o   "Značajan" incident definira se kao onaj koji uzrokuje ozbiljne operativne poremećaje ili potencijalnu štetu drugim subjektima.

4.     Kontinuitet poslovanja

o   Organizacije moraju razviti strategije za brz oporavak nakon napada. 
o   Naglasak je na usvajanju rješenja za sigurnosnu kopiju u oblaku.

Detaljni sigurnosni zahtjevi
 

Članak 21. NIS2 direktive propisuje niz specifičnih mjera koje organizacije moraju implementirati:

·       Politike analize rizika i sigurnosti informacijskih sustava

·       Upravljanje incidentima

·       Kontinuitet poslovanja (upravljanje backup-om, oporavak od katastrofe)

·       Sigurnost lanca opskrbe

·       Sigurnost u nabavi, razvoju i održavanju IT sustava

·       Procjena učinkovitosti mjera upravljanja rizicima

·       Osnovne prakse kibernetičke higijene i obuka

·       Uporaba kriptografije i enkripcije

·       Sigurnost ljudskih resursa i kontrola pristupa

·       Višefaktorska autentifikacija

·       Sigurni sustavi komunikacije u hitnim slučajevima
 

Vremenski okviri za izvještavanje
 

NIS2 uvodi precizan i višestupanjski proces izvještavanja o incidentima:

1.     Rano upozorenje (24 sata)

o   Početno izvješće mora se podnijeti unutar 24 sata od saznanja o incidentu.
o   Cilj je brzo upozorenje na potencijalne prekogranične prijetnje.

2.     Naknadna obavijest (72 sata)

o   Detaljnije izvješće mora se dostaviti unutar 72 sata.
o   Uključuje procjenu ozbiljnosti, utjecaja i pokazatelje kompromitiranosti.

3.     Završno izvješće (1 mjesec)

o   Sveobuhvatno izvješće mora se podnijeti unutar mjesec dana.
o   Sadrži detaljan opis incidenta, ozbiljnost, posljedice, vrstu prijetnje i primijenjene mjere ublažavanja.

Dodatne obveze izvještavanja
 

·       Organizacije moraju prijaviti i značajne kibernetičke prijetnje koje bi mogle rezultirati incidentom.

·       Incident se smatra značajnim ako uzrokuje materijalne operativne poremećaje, financijske gubitke ili potencijalnu štetu drugim subjektima.

Kako Alfatec može pomoći?
 

NIS2 direktiva postavlja visoke standarde kibernetičke sigurnosti za organizacije u EU. Uvođenjem detaljnih minimalnih sigurnosnih zahtjeva i preciznih vremenskih okvira za izvještavanje, direktiva ima za cilj stvoriti robustan okvir za prevenciju, detekciju i odgovor na kibernetičke prijetnje.

Organizacije obuhvaćene direktivom moraju značajno unaprijediti svoje sigurnosne prakse, procese upravljanja incidentima i mehanizme izvještavanja. Ovo nije samo regulatorna obveza, već i prilika za jačanje ukupne kibernetičke otpornosti. Alfatec ovdje može pomoći kao značajan partner s vendorima poput Thalesa, Entrusta, Qualysa, Forcepointa i drugim velikim značajnim imenima IT security industrije. 

Dok se približava rok za potpunu implementaciju NIS2, organizacije bi trebale hitno preispitati svoje trenutne sigurnosne prakse i sustave izvještavanja te poduzeti potrebne korake za usklađivanje s novim zahtjevima. U sve povezanijem digitalnom ekosustavu, ove mjere nisu samo zaštita pojedinačnih organizacija, već i doprinos kolektivnoj kibernetičkoj sigurnosti cijele Europske unije.

Javite nam se i doznajte više na azur.saciragic(at)alfatec.ai or dario.selimagic(at)alfatec.ai .