מדוע סעיף 38 חשוב? מדוע "פעולות שהועברו" הן הפעימה החדשה של חוסן הסייבר של האיחוד האירופי
הובלת הציות של ימינו לא רק יורשת כללים - כעת, אתם מתכוננים לכללים שעדיין לא הגיעו. סעיף 38 של תקנת יישום האיחוד האירופי 2024-2690 משגרת את האיחוד האירופי לעידן חדש של ממשל סייבר גמיש, ומעניקה לו סמכויות מועברות לנציבות האירופית באמצעות פעולות שהועברו לפתח סטנדרטים ללא המאמץ התעשייתי של מחזורי חקיקה מלאים. מדובר פחות בתיקונים טכניים ויותר בחוזה חי ונושם עם נוף האיומים של העולם האמיתי - ארכיטקטורה שנועדה לשמור על הבקרות שלך רלוונטיות תמידית, לא רק "במקום" באופן רשמי.
ציות אינו עוד ריקוד איטי עם כללים סטטיים - זהו רפלקס שמתאים את עצמו מהר כמו האיום.
בעוד שתכנון ביקורת בעבר התמקד בלוחות זמנים ידועים וקבועים, פעולות המואצלות של סעיף 38 משמעותן שמסגרת בקרת ה-ISMS שלכם חייבת להתבסס על ציפייה ובדיקה מתמשכת. לפרלמנט האירופי ולמועצה האירופי יש את הווטו החיוני - ואת הסמכות לבטל לחלוטין את האצלת הסמכויות - מה שנותן לכם מעקות בטיחות מוסדיים מפני חריגה רגולטורית מבלי לשתק את הקצב הדרוש לטיפול בגורמים עוינים או באירועים גלובליים.
התוצאה? מנהיגי אבטחה ותאימות חייבים כעת להפעיל סריקת אופקים כסטנדרט, ולא כפלטפורמות מותרות המוכנות לשינוי, מסלולי ביקורת, ותקשורת עם בעלי עניין כמעט בזמן אמת. פעולות שהועברו לרשויות הן "פעימת הלב" החדשה שלך בתחום הציות - כך שהתהליכים שלך חייבים להתפתח מחובות סטטיות להרגלי חיים.
כיצד כתוב ספר החוקים? בתוך התייעצות ופיקוח על כל חוק שהופקד על ידי האצלה
אם סעיף 38 נותן למוסדות את המנוע שלהם, התייעצות היא ההגה. התהליך של פעולות שהועברו למערכת מבקש באופן פעיל קלט, לא רק מהרגולטורים הלאומיים ורשויות המגזר, אלא גם מקולות המגזר הפרטי - במיוחד אלו המנהלים שרשראות אספקה מורכבות או חוצות גבולות (כולל עסקים קטנים ובינוניים).
אם אינך נראה לעין במהלך הייעוץ, אתה מסתכן בהפתעה מדרישות שנועדו לפעולות של מישהו אחר.
עבור צוותי ציות, המתנה להכרזה בכתב העת הרשמי היא כמו המתנה לאזעקת אש לפני רכישת ביטוח: מאוחר מדי, תגובתי מדי. ארגונים חכמים ממנים קציני ציות כדי לעקוב אחר פניות ENISA למשוב, להתחבר לקונסורציומים מקומיים בתעשייה ולפתח קשרים מוקדמים עם הרשויות המוסמכות שלהם. זוהי הדרך המעשית הן להתרעה מוקדמת והן להשפעה ישירה - קריטית אם הספק המהימן של החברה שלך, זרימת עבודה לאימות או ספציפי למגזר. רישום סיכונים סביר להניח שיוזכר בחוק עתידי.
עם חוקים שהועברו לחוק, פרסום הוא רק ההתחלה: צוות הציות שלך חייב לפענח לא רק את החוק הראשי, אלא גם את ההפניות לנספחים הנסתרים ואת התקנות הסקטוריאליות המוטלות ברמה הלאומית. כאן, נראות אינה מוכנות - ערנות היא כן.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
מהו ציר הזמן מבריסל ועד לחדר הישיבות? מיפוי מחזור הציות לצורך מוכנות מעשית
חיזוי השלבים משלב הטיוטה ועד לאכיפת החוק מהווה כיום יתרון תחרותי. תאימות לסעיף 38 אינה מושגת על ידי מי שקורא את הכתב העת הרשמי הראשון - היא מובטחת על ידי מי שהפעילו כל שלב כתהליך עבודה, ולא רק כהערת מדיניות.
רוב החברות מתקשות כאשר לוח הזמנים מצומצם; מנהיגים מתכננים את המוכנות הרבה לפני תחילת השעון.
מסע בן שישה שלבים של חוק מאציל:
| התמחות | פעולת הניטור שלך | פלט/טריגר | כלים / ראיות |
|---|---|---|---|
| חוק ועדת הטיוטה | הפעלת התראות דוא"ל של ENISA/הנציבות | אות תאימות מוקדם (ניתן למעקב) | הזנה רגולטורית, יומן התראות פנימי |
| התייעצות עם מומחים ממדינות החברות | השתתפות/מעקב אחר קבוצות מגזריות | חלון ייעוץ הערה, עמדת הכנה | פרוטוקול, סדר יום של ישיבה |
| פרסום בכתב העת הרשמי | חותמת זמן, עדכון בעלי עניין | ספירת האספקה לציות מתחילה | הוֹדָעָה, ISMS.online יומן שינויים |
| חלון התנגדויות (2-4 חודשים) | עקוב אחר חלון הווטו, הורה להקפאה במידת הצורך | הוצאה מותנית לעדכון | לוח שנה, שינוי לוח זמנים |
| כניסה לתוקף | הפעלת זרימת עבודה, הקצאת משימות שינוי | עדכון מדיניות/בקרה, הכשרת צוות, ביקורת | תוכנית פרויקט, ניהול גרסאות מדיניות |
| ביטול או תפוגה | ניטור באמצעות תקשורת הנציבות האירופית/ENISA/הפרלמנט | היפוך מדיניות/ארכיון, ביטול שליטה | מדף מדיניות, יומן חזרה לגרסה |
קחו לדוגמה ספק ענן אשר, בהתאם לחוק שהוקצה לו הדורש קריפטוגרפיה משופרת, השתמש בזרימת העבודה של ISMS.online כדי להשהות באופן מיידי שינויים רגישים בפרויקט, לסנכרן את... רישום סיכונים, ולנתב משימות ראיות בין צוותים מבוזרים. זה העביר את החברה מכאוס תגובתי לביצוע חלק וניתן לביקורת.
עד כמה עיכוב מסוכן? הסיכונים האמיתיים של החמצת חלון הציות
פעולות שהועברו לחוק אינן היפותטיות. החמצת תאריך ותסתכן בכישלון ביקורת, דוח מקרה, הפרות שרשרת אספקה וקנסות ציבוריים. ככל שמהירויות שעון הרגולציה עולות - דבר המשתקף במסגרות כמו DORA לשירותים פיננסיים - אפילו עיכוב קצר בהתאמת בקרות או ראיות יכול לשבור חוזים מסחריים רווחיים (KPMG).
כאשר ציות הוא מרוץ, סיום מאוחר אינו שונה מאי סיום כלל.
טבלת סיכונים: גורמים מפעילים של חוק שהוקצה ומה יש לתעד
| אירוע טריגר | עדכון סיכונים | קישור בקרה/SoA | ראיות שנרשמו |
|---|---|---|---|
| פעולה מואצלת שפורסמה | סיכון אי ציות | עדכון מדיניות/בקרה של ISMS | תאריך גרסה, אישור הבעלים |
| התנגדות שהועלתה בחלון | עדכון בהמתנה | השהיית יישום | רישום הערות, יומן התראות |
| פעולה שהואצלה בוטלה/פגה תוקפה | נדרשת פעולה לביטול | שחזור קודמים של SoA/פקדים | יומן חזרה למצב קודם, הוכחת ביקורת |
דוגמה לכך: חברת תחבורה התמודדה עם קנסות כאשר עדכון אבטחה של שרשרת האספקה הוחמץ עקב עיכוב בבדיקה משפטית. לאחר ההפרה, הם הטמיעו מיפוי אוטומטי של כל פעולה כדי... יומני שינויים ובעלי משימות, צמצום עבודות חוזרות ושיקום אמון הרגולטורים.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
מי מחזיק את הבלם? הבנת הפיקוח שמגן עליך מפני צליפת שוט רגולטורית
סעיף 38 לא רק מאיץ שינוי; הוא גם מקדם בלימות חירום. גם הפרלמנט האירופי וגם המועצה יכולים לחסום או לבטל באופן מיידי סמכויות שהועברו, ולהשעות את האכיפה באופן מיידי. עבור אדריכלי תאימות, משמעות הדבר היא שניהול שינויים דורש לא רק פעולה אלא גם ביטול - ומדף ניתן לביקורת עבור בקרות "בהשהיה" או שבוטלו.
מנהיגים לא רק עוקבים אחר שינויים; הם מדדים היפוכים ומוכיחים פיקוח מתמשך.
אמץ א מדף שינויארכיון אינדקס של בקרות רדומות או הפוכות, עם חותמות זמן ויומני ראיות. הושהית עקב אתגר משפטי? שחזר את תנאי המדיניות והבקרות הקודמים שלך תוך שניות. פעולה בוטלה? הוכח באופן מיידי את דפוס ההחזרה למצב הבטוח או השמירה הבטוחה של המדיניות שלך עבור לקוחות ומבקרים. זה הופך היפוכי ציות מפאניקה למומנטום עסקי של הגנה על הוכחות, גם כאשר הרוחות המשפטיות משתנות.
ISMS.online ופלטפורמות דומות הופכות זאת כעת לאוטומטי, תוך שמירה על סנכרון בין בקרות, תיעוד והדרכה, הן קדימה והן אחורה.
האם יכולה להיות "אירופה אחת"? מדוע מיפוי כפול הוא המציאות לשליטה רב-לאומית
מודל הפעולה המואצלת שואף לאחידות; בפועל, הוא יוצר ספקטרום, החל מהרמוניזציה ועד טלאים על טלאים. תרגומים לאומיים, חפיפות חקיקה, לוחות זמנים מגזריים - אלה מסבכים את חלום "פלטפורמה אחת, עדכון אחד", במיוחד עבור חברות רב-לאומיות הפועלות בסביבות רגולטוריות שונות.
טבלה: תאימות הרמונית לעומת תאימות טלאים בפועל
| אלמנט התאימות | הרמוני (אידיאלי) | טלאים (מציאות) |
|---|---|---|
| עדכון מדיניות | פריסה אחת ברחבי האיחוד האירופי | התאמות ספציפיות למדינה |
| ניהול ספקים | דרישות אחידות | נדרשת התאמה אישית מקומית |
| מסלול ביקורת | רישום ראיות אחד | יומני ריבוי, מקושרים צולבים |
| טיפול באירועים | תוכנית מאוחדת | פיצול לאורך מגזר, שיפוט |
היכונו ל"מיפוי כפול": שמרו גם את הגרסה הראשית של הנציבות האירופית וגם את כל הגירסאות המקומיות. משמעות הדבר היא מדיניות מקבילה, ממופות של מדיניות משפטית (SoAs) ומעקב אחר ראיות על פני מטריצת תחומי שיפוט. מעורבות מוקדמת בהתייעצויות ברמה המקומית ובבריסל יכולה למנוע חלק ניכר מהמורכבות הזו, ולאפשר איחוד גם בנוף מקוטע.
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
כיצד סעיף 38 הופך את החוק לשליטה חיה? המכניקה של הטמעת שינוי
בתאימות מודרנית, "חוק" לא אומר כלום אלא אם כן הוא ממופה היטב לזרימות עבודה של הפלטפורמה, לבעלים אחראיים ול... ראיות חיות יומנים.
פעולה שהוקצתה לניהול פעולות שלא תגיע למערכת ה-ISMS שלכם תוך 7 ימים כבר מהווה סיכון בביקורת הבאה שלכם.
שרשרת שינויים אוטומטית:
- הפעל זרימת עבודה עם טריגר פעולה של EC, הקצאת בעלים ברורה, שינוי חותמת זמן.
- עדכון הצהרת תחולה (SoA), המספק נימוק לסעיף והפניה צולבת לפעולה.
- צרף ראיות: מיילים, יומני הדרכה, הסכמי ספקים, עדכוני מדיניות, הכל עבר הפניות צולבות וגרסאות לביקורת.
- השתמשו בלוחות מחוונים של הפלטפורמה כך שכל בעלי העניין (IT, משפט, רכש) יפעלו באופן מסונכרן - ושום דבר לא יוחסר עקב תקשורת מבודדת.
ISMS.online מאפשר התאמה בזמן אמת: חוק שהוקצה לו ייצא ביום שישי, הודעות ועדכוני טיוטה מופעלים ביום שני, ויומני ראיות קושרים פעולה למועד האחרון - ומניבים נתיב ביקורת שהוא גם כמעט בזמן אמת וגם ברמת רגולטור (ISMS.online Audit DB).
מה עכשיו? הצעדים הבאים לבניית מערכת תגובה עמידה לפעולות שהועברו
את מרוץ הציות לא מנצחים אלו שקוראים את החוק הכי מהר, אלא אלו שסוגרים את הפער בין שינוי ל ראיות מוכנות לביקורת עם בהירות ואוטומציה.
פעולות מסקנה:
- הקצה ניטור של פעולות שהואצלו לתפקיד בלוח שנה - יומי או שבועי, לא שנתי.
- מפו כל שינוי למדיניות, תהליך, בקרה ויומן סעיפי SoA ספציפיים - מי פועל ומתי.
- הטמעו התחייבויות הודעה בחוזים של ספקים/ספקים; ודאו שגם עמידת השותפים שלכם ניתנת לאימות.
- בחרו מערכת ניהול מידע (ISMS) שמאפשרת אוטומציה של התראות, בקרת גרסאות, איסוף ראיות וסנכרון בין צוותים - כך שלא תחמיצו פעולה, השהיה או ביטול.
מובילי הציות של ימינו נמדדים לא רק במהירות העדכונים, אלא גם בבהירות ובאמינות של העקבות שהם משאירים. בעידן החוק החי הזה, נתיב הביקורת שלכם צריך לעקוף את לוח הזמנים המשפטי, והפלטפורמה שלכם צריכה להפוך פעולות שהועברו מסיכון לנקודת הוכחה תחרותית.
עתיד תאימות הסייבר האירופית אינו קבוע מראש ושכחו את הבקרות - מדובר בצוותים עמידים, שינויים ניתנים לביקורת והוכחות להסתגלות בכל שלב.
שאלות נפוצות
מי בסופו של דבר מפעיל, מפקח ויכול לבטל סמכויות שהועברו לפי סעיף 38 לחוק 2?
סעיף 38 לחוק NIS 2 מעניק לנציבות האירופית את הסמכות לאמץ פעולות שהועברו לסמכויות, אך מעביר סמכות זו פיקוח ישיר ומתמשך של הפרלמנט האירופי והמועצה כאחד. תפקידה של הנציבות הוא להוציא חוק שהועברו לסמכויות המאפשרות התאמה מהירה של פרטים טכניים של דרישות אבטחה כמו הדירקטיבה או הבהרות ספציפיות למגזר. עם זאת, הנציבות אינה יכולה לפעול באופן חד צדדי. כל טיוטה חייבת לעבור התייעצות רשמית עם מומחים טכניים מכל המדינות החברות באיחוד האירופי, בדרך כלל בתיאום באמצעות ENISA או קבוצות מומחים מגזריות, תוך הקפדה על התחשבות בסדרי העדיפויות הלאומיים והמציאות הטכנית.
לאחר אימוץ חוק מואצל, גם הפרלמנט וגם המועצה מקבלים הודעה מיידית. כל אחד מהמוסדות - לא רק מוסד אחד - יכול להתנגד, ובכך למנוע מהחוק להיכנס לתוקף משפטי. בנוסף, שניהם יכולים לבטל את סמכותה של הנציבות להוציא חוק מואצל בכל עת, וייכנסו לתוקף יום לאחר הודעת החלטתם. "ווטו כפול" זה מבטיח שגמישות טכנית לעולם לא תפגע בביקורת הדמוקרטית.
טבלת פיקוח על סמכויות שהוענקו
| שלב | תפקיד הנציבות | פיקוח של הפרלמנט/המועצה | משוב מומחים דרך ENISA/סקטורל |
|---|---|---|---|
| טיוטת פעולה שהוקצתה | טיוטה/אימוץ | הודעה מיידית | משוב טכני חובה |
| לאחר אימוץ | חלון התנגדויות של חודשיים (+2) | ||
| ביטול סמכות שהוענקה | בכל עת, משפיע באופן מיידי |
הפניות:
אילו לוחות זמנים והודעות נוקשים חלים על מימוש או ביטול של סמכויות שהועברו לפי סעיף 38?
סמכויות שהועברו לפי סעיף 38 פועלות במחזור קבוע של חמש שנים, עם חידוש אוטומטי אלא אם כן הפרלמנט או המועצה מתערבים. כאשר הנציבות האירופית מאמצת חוק מופקד, עליה להודיע באופן מיידי הן לפרלמנט והן למועצה, מה שיפתח חלון התנגדויות של חודשיים (ניתן להארכה בחודשיים נוספים אם תתבקש רשמית). חוק מופקד לא ייכנס לתוקף אלא אם כן שני המוסדות יאפשרו לחלון להיסגר ללא התנגדות. ביטול סמכויות הנציבות - אם הפרלמנט או המועצה שופטים אותן כשימוש לרעה - נכנס לתוקף יום לאחר ההודעה לציבור אלא אם כן צוין אחרת.
תשעה חודשים לפני סיום מחזור חמש השנים, על הנציבות לדווח על השימוש בסמכויות שהוענקו לה, תוך מתן זמן מספק לפרלמנט ולמועצה לבחון, להתנגד או לאפשר חידוש אוטומטי. חוקים שכבר בתוקף בזמן הביטול נשארים בדרך כלל בתוקף אלא אם כן הם מבוטלים במפורש.
מבט מהיר על ציר הזמן של סעיף 38
| אירוע מפתח | ציר זמן/חלון | בעל עניין אחראי |
|---|---|---|
| סמכויות שהוענקו | חמש שנים (מינואר 2023) | הנציבות, הפרלמנט, המועצה |
| הודעה על חוק חדש שאומץ | מִיָדִי | ועדה לשני המוסדות |
| חלון התנגדויות סטנדרטי | חודשיים (+2) | הפרלמנט או המועצה |
| דווח לפני חידוש | 9 חודשים לפני מועד התפוגה | עמלה |
| פעולת ביטול | בכל עת; למחרת | הפרלמנט או המועצה |
הפניות:
כיצד משנה משטר הסמכויות המואצלות של סעיף 38 את ניהול הציות היומיומי עבור ארגונים מפוקחים?
סעיף 38 מעביר את הציות מתרגילי תיוג אפיזודיים לערנות רגולטורית בזמן אמת. כל התחייבות טכנית שהועברות יכולה כעת להשתנות - עם הודעה מראש של חודשיים עד ארבעה חודשים בלבד - אם הנציבות מוציאה חוק חדש. עבור ארגונים, הדבר יוצר גם גמישות וגם סיכון. מנהלי תאימות (או בעלי פלטפורמת ISMS) חייבים:
- מעקב אחר פעולות שהועברו לסמכויות חדשות (כתב העת הרשמי, הודעות ENISA, הודעות לעיתונות של הנציבות האירופית)
- עדכון רישומי סיכונים ובקרה באופן מיידי כאשר פעולה שהוקצתה לתוקף נכנסת לתוקף - או כאשר התנגדות חוסמת או מבטלת שינוי
- להודיע לצוותים הרלוונטיים ולשותפי שרשרת האספקה על שינויים או ביטולים, במיוחד כאשר פעולה מבוטלת או מתנגדת לה לאחר תחילת היישום המקומי.
- ראיות ביקורת עקבות ביקורת לעיתים קרובות, משום שבקרות חסרות או מיושנות הקשורות לפעולה שהוענקה לאחרונה (או שבוטלה) חושפות את הארגון לפערים בביקורת, סיכון חוזי או אפילו פעולה רגולטורית.
תאימות מודרנית נמדדת לא על ידי הכרה בחוק, אלא על ידי המהירות והביטחון שבהם הצוות שלך עובר משינוי מדיניות לראיות מוכנות לביקורת.
ארגונים המשתמשים באוטומציה פלטפורמות תאימות בעזרת תכונות מעקב (כגון ISMS.online) יכולים לרכז מיפוי של פעולות שהועברו אליהם, למזער פיקוח ידני ולהדגים למבקרים שהם סוגרים פערים רגולטוריים במהירות.
הפניות:
- AuditBoard: מעקב אחר תאימות NIS2
- ISMS.online: מיפוי פעולות שהועברו
אילו התייעצויות ונהלים חייבים להתקיים לפני שנציבות אימצה פעולה שהואצלת?
לפני סיום תהליך של חקיקה מואצלת, נדרשת התייעצות טכנית עם מומחה. הנציבות מתייעצת עם מומחים מועמדים מכל מדינה חברה, בדרך כלל באמצעות קבוצות מומחים המאורגנות על ידי ENISA או גופים ספציפיים למגזר. התייעצויות אלו מעמיקות את הדיוק הטכני ומבטיחות שהסדרי העדיפויות של המדינות החברות משתקפים. מעורבות רחבה יותר עם התעשייה, החברה האזרחית או קולות של גופי פיקוח אינה נדרשת על פי חוק, אך מבוקשת יותר ויותר - ארגונים המחפשים משוב יכולים לעתים קרובות להגיע למקבלי החלטות דרך ENISA או קבוצות עבודה לאומיות. לאחר הבדיקה הטכנית, הטיוטה מתפרסמת, והפרלמנט והמועצה מקבלים הודעה על פתיחת חלון ההתנגדויות של חודשיים (+2).
טבלת אימוץ חוק שהוגש
| שלב | ראש תיאום | ייעוץ נדרש |
|---|---|---|
| טיוטה | עמלה | נציגים טכניים של ENISA + מדינות חברות |
| סקירת מומחה | מועמדים של מדינות החברות | פרוטוקולים נשמרים; התוצאות לרוב פומביות |
| קלט שאינו מומחה | אופציונלי (תעשייה/ארגון לא ממשלתי) | לא חובה, אבל מומלץ |
| הודעה | עמלה | הפרלמנט, המועצה, כתב העת הרשמי |
הפניות:
- מרכז הקואליציה למדיניות אבטחת סייבר
אילו פרוטוקולים על ארגונים להפעיל אם הפרלמנט או המועצה חוסמים או מבטלים חוק שהוקצה להם או את סמכויות הנציבות?
אם מוגש התנגדות, ארגונים חייבים להפסיק, ובמידת הצורך, לבטל את פעילויות הציות הקשורות לפעולה המוגשת התנגדות. משמעות הדבר היא הקפאת יישום, עדכון רישומי ביקורת ורישומי ספקים, ותיעוד הסיבה לשינויים בכל יומני הראיות והבקרה ("התנגדות שהוגשה" או "בוטלה האצלת סמכויות"). אם הפרלמנט או המועצה מבטלים את סמכויות הנציבות במלואן, לא ניתן להוציא חוקים שהועברו לוועדה חדשים, אך חוקים קיימים בדרך כלל נשארים בתוקף אלא אם כן יבוטלו רשמית. צוותי ציות בוגרים "מקפיאים" בקרות במצבן התקף האחרון, שומרים על תקשורת הדוקה עם שותפים פנימיים וחיצוניים, ומכינים שרשרת ראיות גלויה לביקורת או סקירה משפטית מאוחרת יותר.
מנהיגי ציות מצליחים מתייחסים לכל התנגדות רגולטורית לא ככאוס, אלא כשגרה - מבחן למוכנותם, לא לרפלקס ההתחמקות שלהם.
טבלת תגובות תאימות
| אירוע טריגר | פעולה ארגונית | נדרש תיעוד |
|---|---|---|
| התנגדות הפרלמנט/המועצה | השהה/הפוך בקרות; יידוע צוות/ספקים | תיעוד ביומני ראיות/ביקורת |
| שלילת כוח כוללת | תפסיקו להתכונן למעשים חדשים | עדכון רישום/יומן; צוותי התראה |
| החוק הקיים נשאר | בדוק אם יש תיקונים; שמור על יישור | שמור יומני בקרה, שים לב לסטטוס |
הפניות:
- בוני פינסנט – יישום חוק NIS2
במה שונות סמכויות שהוענקו לפי סעיף 38 מסמכויות שהועברו לחוק DORA או לתקנת ה-GDPR, ומה על ארגונים המופעלים תחת רגולציה צולבת לעשות?
סעיף 38 לחוק 2 של שקלים חדשים נוקט בגישה רחבה ומהירה ייחודית, כאשר הן הפרלמנט והן המועצה יכולים לחסום או לבטל, ומנדט ברור להתייעצות טכנית. דורה (מגזר פיננסי) ולתקנת ה-GDPR (פרטיות) יש תהליכים צרים יותר: DORA מגבילה את ההתנגדויות לפרלמנט, כופה התייעצויות ציבוריות וסוגרת את חלון ההתנגדויות מוקדם יותר; יישום ה-GDPR משתנה בין מדינות חברות ולפעמים פחות שקוף או איטי יותר.
ארגונים בעלי רגולציה צולבת חייבים:
- מעקב אחר חלונות התנגדויות מרובים (2 ש"ח = 2+2 חודשים, DORA = 1-2 חודשים, GDPR = משתנה מאוד)
- שמור מפות/יומני תאימות ברורים ונפרדים עבור כל פעולה שהוקצתה למשטר, מעקב אחר חפיפות ותגובה לביטולים בכל מערכת באופן עצמאי.
- הישאר ערני לסתירות הנובעות מ"הטמעת זהב" לאומית, שבה תקנות מקומיות חורגות או שונות מקו הבסיס של האיחוד האירופי.
- לוודא שצוותי הציות/משפט מצוידים לסריקת אופק מתמשכת וחוצת מסגרות - מבלי להסתמך על "לוח שנה ציות" יחיד לכל דבר.
תקנות האיחוד האירופי מבטיחות הרמוניזציה, אך ציות בעולם האמיתי הוא טלאי על טלאים; ארגונים שורדים לא על ידי חיזוי כל פעולה, אלא על ידי מעקב אחר כל שינוי שחשוב להם.
סמכויות שהועברו: השוואה בין משטרי האיחוד האירופי
| משטר | מי יכול לחסום | סוג הייעוץ | התנגדות/ציר זמן | השפעה עסקית |
|---|---|---|---|---|
| 2 שקלים | הפרלמנט/מועצה | מומחי ENISA + MS | חודשיים (+2) | התחייבויות כלל-מגזריות, רחבות |
| דורה | פרלמנט | ציבורי, חלון קצר יותר | 1 + חודשים | מגזר פיננסי בלבד, טכני |
| GDPR | הפרלמנט (ראשי) | משתנה, בעיקר מקומי | מִשְׁתַנֶה | מקוטע לפי מדינה חברה |
הפניות:
- המדריך הרשמי של ENISA NIS2 (PDF)
- תדרוך הפרלמנט הבריטי: DORA/GDPR
