מה לא בסדר בתאימות לתקן NISS 2, ואיך לתקן את זה באנר

מה לא בסדר בתאימות לתקן NIS 2, ואיך לתקן את זה

גישה של "פעולה אחת וסיום" אינה מתאימה לעמידה בתקנות - להיפך. רוב התקנות הגלובליות דורשות שיפור מתמיד, ניטור, ביקורות והערכות שוטפות. הנחיית NIS 2 של האיחוד האירופי אינה שונה.

זו הסיבה שרבים ממנהלי מערכות מידע ומנהלי ציות ימצאו את הדו"ח האחרון של סוכנות הביטחון של האיחוד האירופי (ENISA) כקריאה מעניינת. ENISA NIS360 2024 מתאר שישה מגזרים המתקשים בתאימות ומצביע על הסיבה לכך, תוך הדגשת האופן שבו ארגונים בוגרים יותר מובילים את הדרך. החדשות הטובות הן שארגונים שכבר קיבלו הסמכה ל-ISO 27001 יגלו שסגירת הפערים לתאימות ל-NIS 2 היא פשוטה יחסית.

מה חדש ב-2 שקלים?

חוק NIS 2 הוא ניסיון של האיחוד האירופי לעדכן את חוק הדגל שלו בנושא חוסן דיגיטלי לעידן המודרני. מיקוד המאמצים ב:

  • הרחבת מספר המגזרים המכוסים על ידי ההנחיה
  • הצגת דרישות בסיסיות קונקרטיות יותר בתחום אבטחת הסייבר
  • צמצום חוסר עקביות ברמות החוסן בין מגזרים שונים
  • שיפור שיתוף מידע, תגובה לאירועים וניהול סיכונים בשרשרת האספקה
  • להטיל אחריות על ההנהלה הבכירה על כל כשלים חמורים

ארגונים בבריטניה יקבלו גרסה מעודכנת משלהם של הנחיית מערכות רשת ומידע (NIS) המקורית כאשר הצעת חוק אבטחת סייבר וחוסן סוף סוף נכנס לחוק. עם זאת, רבים מספקים שירותים לאזרחים אירופאים ו/או פועלים ביבשת, כלומר הם נופלים תחת תחום האחריות של 2 ש"ח. עבור ארגונים אלה, 360 ש"ח עשוי להיות קריאה מועילה.

אילו מגזרים מתקשים?

מתוך 22 המגזרים ותת-המגזרים שנחקרו בדוח, שישה נחשבים ל"אזור הסיכון" מבחינת עמידה בתקנות - כלומר, בגרות תנוחת הסיכון שלהם אינה עומדת בקצב קריטיותם. הם:

ניהול שירותי טכנולוגיית מידע ותקשורת: למרות שהיא תומכת בארגונים באופן דומה לתשתיות דיגיטליות אחרות, בגרות המגזר נמוכה יותר. ENISA מציינת את "היעדר תהליכים סטנדרטיים, עקביות ומשאבים" כדי להישאר מעודכנים בפעולות הדיגיטליות המורכבות יותר ויותר שעליה לתמוך בהן. שיתוף פעולה לקוי בין שחקנים חוצי גבולות מחריף את הבעיה, וכך גם "חוסר ההיכרות" של הרשויות המוסמכות עם המגזר.

ENISA קוראת, בין היתר, לשיתוף פעולה הדוק יותר בין רשויות רשות מקומית ולפיקוח חוצה גבולות הרמוני.

מֶרחָב: המגזר מקבל חשיבות גוברת בקידום מגוון שירותים, כולל גישה לטלפון ולאינטרנט, שידורי טלוויזיה ורדיו בלוויין, ניטור משאבי קרקע ומים, חקלאות מדייקת, חישה מרחוק, ניהול תשתיות מרוחקות ומעקב אחר חבילות לוגיסטיות. עם זאת, כמגזר מוסדר לאחרונה, הדו"ח מציין כי הוא עדיין נמצא בשלבים המוקדמים של התאמה לדרישות NIS 2. הסתמכות רבה על מוצרים מסחריים מוכנים מראש (COTS), השקעה מוגבלת באבטחת סייבר וגישה יחסית לא בשלה של שיתוף מידע מוסיפים לאתגרים.

ENISA קוראת להתמקד יותר בהעלאת המודעות לאבטחה, שיפור ההנחיות לבדיקת רכיבי COTS לפני פריסה, וקידום שיתוף פעולה בתוך המגזר ועם ענפים אנכיים אחרים כמו תקשורת.

מינהלים ציבוריים: זהו אחד המגזרים הפחות בוגרים, למרות תפקידו החיוני במתן שירותים ציבוריים. על פי ENISA, אין הבנה אמיתית של סיכוני הסייבר והאיומים העומדים בפניו, או אפילו מהו היקף הפיתוח של NIS 2. עם זאת, הוא נותר מטרה מרכזית עבור האקרים וגורמים המבוססים על איום הנתמך על ידי המדינה.

ENISA ממליצה על מודל שירות משותף עם גופים ציבוריים אחרים כדי לייעל את המשאבים ולשפר את יכולות האבטחה. כמו כן, היא מעודדת מנהלים ציבוריים לחדש מערכות מדור קודם, להשקיע בהכשרה ולהשתמש בחוק הסולידריות הקיברנטית של האיחוד האירופי כדי לקבל תמיכה כספית לשיפור הגילוי, התגובה והתיקון.

יַמִי: המגזר, חיוני לכלכלה (מנהל 68% מהמטענים) ותלוי במידה רבה בטכנולוגיה, מתמודד עם אתגרים של טכנולוגיה מיושנת, במיוחד OT.

ENISA טוענת כי היא עשויה להפיק תועלת מהנחיות מותאמות אישית ליישום בקרות ניהול סיכוני סייבר חזקות - מתן עדיפות לעקרונות "אבטחה מכוח עיצוב" וניהול פגיעויות פרואקטיבי ב-OT ימי. היא קוראת לתרגיל אבטחת סייבר ברמת האיחוד האירופי כדי לשפר את תגובת המשברים הרב-מודאלית.

בריאות: המגזר חיוני, והוא מהווה 7% מהעסקים ו-8% מהתעסוקה באיחוד האירופי. רגישות נתוני המטופלים וההשפעה הפוטנציאלית הקטלנית של איומי סייבר מחייבת תגובה לאירועים היא קריטית. עם זאת, המגוון הרחב של ארגונים, מכשירים וטכנולוגיות בתוך המגזר, פערים במשאבים ושיטות עבודה מיושנות מחייבים ספקים רבים להתקשות להתעלות מעבר לאבטחה בסיסית. שרשראות אספקה ​​מורכבות ומערכות IT/OT מדור קודם מחמירות את הבעיה.

ENISA רוצה לראות הנחיות נוספות בנוגע לרכש מאובטח ושיטות עבודה מומלצות לאבטחה, תוכניות להכשרת צוותים ולהגברת המודעות, ומעורבות במסגרות שיתוף פעולה לבניית גילוי ותגובה לאיומים.

גז: המגזר פגיע להתקפות הודות להסתמכותו על מערכות IT לצורך בקרה וחיבור עם תעשיות אחרות כמו חשמל וייצור. ENISA טוענת כי המוכנות והתגובה לאירועים ירודים במיוחד, במיוחד בהשוואה למקבילים במגזר החשמל.

על המגזר לפתח תוכניות תגובה חזקות ונבדקות באופן קבוע, ולשפר את שיתוף הפעולה עם מגזרי החשמל והייצור בנושא הגנה קיברנטית מתואמת, שיתוף שיטות עבודה מומלצות ותרגילים משותפים.

מה המנהיגים עושים נכון?

על פי ENISA, המגזרים בעלי רמות הבשלות הגבוהות ביותר בולטים מכמה סיבות:

  • הנחיות אבטחת סייבר נרחבות יותר, הכוללות חקיקה או תקנים ספציפיים למגזר
  • פיקוח ותמיכה חזקים יותר מצד רשויות האיחוד האירופי המכירות את המגזר ואתגריו
  • הבנה מעמיקה יותר של סיכונים וניהול סיכונים יעיל יותר
  • שיתוף פעולה חזק יותר ושיתוף מידע בין גופים ורשויות ברמה הלאומית והאירופית
  • מוכנות מבצעית בוגרת יותר באמצעות תוכניות שנבדקו היטב

איך להצליח בתאימות לתקן NIS 2

יש לזכור שאין שני ארגונים זהים במגזר מסוים. עם זאת, ממצאי הדו"ח מלמדים. ובעוד שחלק מהנטל לשיפור הציות נופל על כתפי רשויות האישור - לשפר את הפיקוח, ההדרכה והתמיכה - חלק גדול מזה עוסק בנקיטת גישה מבוססת סיכונים לסייבר. כאן נכנסים לתמונה תקנים כמו ISO 27001, ומוסיפים פרטים שאולי חסרים ב-NIS 2, לדברי ג'יימי בוט, יועץ אבטחת תוכנה שותף בכיר ב-. ברווז שחור:

"תקן 2 של שקלים חדשים נכתב ברמה גבוהה משום שהוא היה צריך לחול על מגוון רחב של חברות ותעשיות, וככזה, לא יכול היה לכלול הנחיות מותאמות ומחייבות מעבר ליידע את החברות לגבי מה שהן צריכות לעמוד בו", הוא מסביר ל-ISMS.online.

"בעוד ש-NIS 2 אומר לחברות שעליהן להיות בעלות 'טיפול באירועים' או 'נהלים בסיסיים להיגיינת סייבר והכשרה בסייבר', הוא אינו אומר להן כיצד לבנות את התוכניות הללו, לכתוב את המדיניות, להכשיר כוח אדם ולספק כלים מתאימים. הכנסת מסגרות המפרטות כיצד לבצע טיפול באירועים או אבטחת שרשרת האספקה ​​​​היא מועילה ביותר בעת פירוק הצהרות המדיניות הללו לכל האלמנטים המרכיבים את האנשים, התהליכים והטכנולוגיה של תוכנית אבטחת סייבר."

כריס הנדרסון, מנהל בכיר לפעילות איומים ב-Huntress, מסכים שיש חפיפה משמעותית בין NIS 2 ל-ISO 27001.

"ISO27001 מכסה רבות מאותן חובות ניהול, ניהול סיכונים ודיווח הנדרשות במסגרת תקן NIS 2. אם ארגון כבר השיג את תקן ISO 27001 שלו, הוא ממוצב היטב לכסות גם את בקרות NIS2", הוא אומר ל-ISMS.online. "תחום אחד שהם יצטרכו לשפר הוא ניהול משברים, מכיוון שאין בקרת ISO 27001 מקבילה. לחובות הדיווח עבור NIS 2 יש גם דרישות ספציפיות שלא ייענו באופן מיידי באמצעות יישום ISO 27001."

הוא מפציר בארגונים להתחיל בבדיקת רכיבי מדיניות מחייבים מ-NIS 2 ומיפוים לבקרות של המסגרת/תקן שבחרו (למשל ISO 27001).

"חשוב גם להבין פערים במסגרת עצמה, משום שלא כל מסגרת עשויה לספק כיסוי מלא של תקנה, ואם נותרו הצהרות רגולטוריות שלא ממופו, ייתכן שיהיה צורך להוסיף מסגרת נוספת", הוא מוסיף.

עם זאת, ציות לתקנות יכול להיות משימה משמעותית.

"מסגרות תאימות כמו NIS 2 ו-ISO 27001 הן גדולות ודורשות כמות משמעותית של עבודה כדי להשיגן", אומר הנדרסון. "אם אתם בונים תוכנית אבטחה מהיסוד, קל לסבול משיתוק אנליטי כשמנסים להבין מאיפה להתחיל."

כאן נמצאים פתרונות צד שלישי, שכבר ביצעו את עבודת המיפוי כדי לייצר מדריך תאימות מוכן ל-NIS 2, יכול לעזור.

מורטן מיילס, מנכ"ל גרין רייבן בע"מ, מעריך כי תאימות לתקן ISO 27001 תוביל ארגונים לכ-75% מהדרך להתיישרות עם דרישות NIS 2.

"ציות לתקנות הוא מאבק מתמשך מול ענק (הרגולטור) שלעולם לא מתעייף, לעולם לא מוותר ולעולם לא נכנע", הוא אומר ל-ISMS.online. "זו הסיבה שחברות גדולות יותר מקדישות מחלקות שלמות להבטחת ציות לתקנות באופן גורף. אם החברה שלכם לא נמצאת במצב הזה, כדאי להתייעץ עם אחד כזה".

צפו בוובינר הזה כדי ללמוד עוד על האופן שבו ISO 27001 יכול לסייע באופן מעשי בתאימות לתקן NIS 2.

מְחַבֵּר

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.

צפה בכל הפוסטים של פיל מונקאסטר

פוסטים קשורים

SOC 2 כבר כאן! חזקו את האבטחה שלכם ובנו את אמון הלקוחות עם פתרון התאימות החזק שלנו היום!