מדוע ביטל האיחוד האירופי את מס הכנסה NIS 1 - ומהם השינויים עבור הארגון שלך כעת?
ביטול ההנחיה הראשונה לאבטחת רשתות ומידע (NIS 1) מסמן הרבה יותר מאשר ניקוי אדמיניסטרטיבי - זהו האות הברור ביותר עד כה לכך שהאיחוד האירופי עובר מטלאי של כללי סייבר לאומיים למסגרת אחת וקפדנית שנבנתה לחוסן ובקרה קפדנית. עבור ארגונים שבעבר יכלו "לעשות את המינימום" או להצביע על כללי מדינה לא עקביים, עידן זה הסתיים סופית.
ביטול חוקי הסייבר של אתמול מפנה מקום לחוסן של מחר - ציות לחוקי הסייבר הוא כעת פרואקטיבי, לא פסיבי.
למה עכשיו? חסרונותיו של שקל 1 ומה ש-2 שקל דורש
1 מדינת ניו זילנד סבלה מגבולות מעורפלים, אכיפה משתנה ופערים קריטיים בהיקף. כל מדינה יכלה (ואכן הגדירה) מי בפנים ומי בחוץ. ארגונים רבים פשוט לא התגלו או יכלו לסמן את התנאים הנדרשים באמצעות אמצעים שטחיים. מבקרים התקשו להשוות בין בגרות ביטחונית או לתאם פתרונות מעבר לגבולות. ספקי שירותים שאינם תושבי האיחוד האירופי התחמקו לחלוטין מפיקוח. בינתיים, איומי סייבר - תוכנות כופר, פרצות בשרשרת האספקה, שיבוש מערכות קריטיות - הואצו והפכו לא רק לבעיות IT, אלא לאיומי עסקיים ואף ביטחון לאומי אמיתי.
NIS 2 הוא תגובה מהונדסת. היקפה המורחב משתרע על פני מגזרים ש-NIS 1 מתעלמים מהם: ספקי SaaS, ספקי שירותים מנוהלים (MSPs), תשתית דיגיטלית, וזנב ארוך יותר של ישויות "חשובות" - ללא קשר למיקום או לבעלות. זה נועל בקרות מינימליות על פי חוק, דורש ראיות ניתנות לביקורת לכל טענה, ובאופן ביקורתי - מטיל את האחריות לכשלים לא רק על ישויות תאגידיות, אלא באופן אישי על דירקטורים ומנהליםציות לתקנות כבר אינו עניין של הימנעות מקנסות - מדובר ברכישת אמון באמצעות חוסן מוכח ומתועד ברמת הדירקטוריון (ENISA 2023).
| **תוֹחֶלֶת** | **תרגול של שקל אחד** | **תפעול של 2 שקלים** | **ISO 27001 / NIS2 Ref** |
|---|---|---|---|
| היקף ותחולה | הגדרות מקוטעות | ספים מדויקים של מגזרים/גודל, השפעה כלל-אירופית | סעיפים 2-3 ב-NIS2; ISO 27001 סעיף 4.3 |
| כיסוי שרשרת האספקה | גרוע, ישיר בלבד | מלא: כולל ספקי שירותי ניהול שירות (MSP), SaaS, ענן | NIS2 סעיף 21, 23; ISO 27001 A.5.19–21 |
| דיווח ומעכבing | לא ברור, איטי | התרעה מוקדמת של 24 שעות, גילוי תוך 72 שעות | סעיף 23 לתקן NIS2; ISO 27035 |
| אחריות הדירקטוריון | תאגידי בלבד | אישי, עם הכשרה מתועדת | NIS2 סעיף 20; ISO 27001 5.1, 7.2 |
| אכיפה | משתנה, לא עקבי | קנסות כפולים, בדיקות שקופות | NIS2 סעיפים 33–36; ISO 27001 10.1–2 |
בקצרה: מה שהספיק תחת חוק 1 של מדינות חדשות האיחוד האירופי כבר אינו בתוקף. התקדמות פירושה יישור מחדש של מערכות, מדיניות, ראיות ומנהיגות כך שיעמדו בביקורת שאינה תלויה במגזר - ברחבי האיחוד האירופי כולו.
סעיף 44 בפעולה: תאריך המעבר המשפטי והשלכותיו
18 באוקטובר 2024 אינו סתם עוד מועד אחרון לציות - זהו היום שבו 1 שקל ייעלם מכל ספר חוקים בכל מדינות האיחוד האירופי, ויפנה את מקומו ליישום מלא וללא הגבלה של 2 שקלים (EUR-Lex 2024). אין "הכנסה הדרגתית", אין הפרשות מגזריות, ואין "המתנה ונראה" - כל ארגון שנמצא כעת תחת הכותרת חייב להתאים את עצמו, ללא קשר למגזר, לגודל או לגיאוגרפיה.
בתאריך המעבר, עמידה בדרישות הופכת לבלתי ניתנת למשא ומתן - כל ארגון נע בקצב אחיד, או מסתכן להישאר מאחור.
מציאויות מפתח במעבר
- בלי חצאי אמצעים: החל מ-18 באוקטובר, תאימות חלקית, "מספיק טובה", בוטלה. כל הגופים שכוסו בעבר על ידי תקן 1 NIS חייבים לעמוד בדרישות דרישות 2 שקלים-בנוסף לכל הארגונים החדשים שכוסו.
- "זיכוי" עבור בקרות מדור קודם: ארגונים המתאימים את האבטחה שלהם ל-NIS 1 יכולים למפות את האמצעים הקיימים ל-NIS 2 היכן שישנם קווי דמיון, אך יש למלא כל פער, וכל הדרישות החדשות - במיוחד סביב שרשרת האספקה ומעורבות הדירקטוריון - הן חובה.
- אכיפה מאוחדת: בדיקת רגולציה, דיווח וקנסות כעת הרמוניים. חברות רב-לאומיות יימלטו סוף סוף מכללים מקומיים סותרים, אך רק אם כל ישות משפטית תוכל להציג עמידה אמיתית ומתועדת בתקנות (חוק CMS).
- סיכון מיידי: התעלמות משינויים אלה אינה טקטיקת עיכוב - זוהי אירוע סיכון מעשה ידי אדם. הרגולטורים מונחים לתעדף בדיקות ולקנסות על אלו הממהרים לפעול (ENISA 2024).
ערכת הישרדות למעבר
- מינו מנהיג מעבר רב-תחומי - "אלוף 2 ₪" שלכם.
- בצע ביקורת על הבקרות הנוכחיות שלך מול כל סעיף NIS 2 במסמך - מה ממופה, מה לא ומה דורש תשומת לב.
- הכינו תקשורת ברורה למנהלים, לספקים ולצוות בנוגע לשינויים המתוכננים והציפיות החדשות.
- הקימו "חדר מלחמה" טרום-מעבר עם כל בעלי העניין המרכזיים ותיקון פערים בין הספקים הוא ספורט קבוצתי כעת.
- התייחסו להגירה כאל אירוע קריטי; חזרות וניסויים הם הדרך להימנע מלהיתפס באוקטובר.
רשימת תיוג לציות לדרישות לא אומרת כלום אלא אם כן תוכלו להראות את יומני העבודה, האישורים וההוכחות שלכם - כולם נחשבים.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
השפעה ארגונית: גישור על בקרות ישנות לעידן NIS 2
אמנם אין לזרוק אמצעי בקרה ומדיניות מדור קודם, אך הם כבר אינם מספיקים. הדרישה של NIS 2 לאבטחה ניתנת לביקורת ומגובה בראיות פירושה גישות היסטוריות של "תיבת סימון" - הצהרות מדיניות מינימליות, הערכות סיכונים סטטיות, ספרי הדרכה גנריים - מסתכנות כעת להיות דגלים אדומים בבדיקות אמיתיות (Fieldfisher). כל הצהרת תחולה (SoA) ובקרה הופכות לאפקט פעיל וחי, הנבדק ומתעדכן ככל שהסיכון משתנה.
תאימות שלא מתועדת היא תאימות שנשכחה - אם אי אפשר להוכיח אותה, היא לא קיימת.
שדרוגי שליטה ותרגול חיוניים תמורת 2 שקלים חדשים
- דיווח: השעון מתחיל לתקתק ברגע שמזוהה אירוע. אזהרות מוקדמות חייבות להגיע ל-24 שעות, עם גילוי מלא תוך 72 שעות - ללא הארכות, ללא חסד מקומי (DLA Piper).
- סיכון שרשרת האספקה: ספקים, ספקי ניהול שירותים ואפילו יועצים נופלים כעת תחת אחריותכם. חוזים ובדיקות שוטפות חייבים להוכיח שקידה, לא רק אמון (K&L Gates).
- מעורבות דירקטוריון: אי אפשר להפקיד מדיניות אך ורק בידי אנשי טכנולוגיה. סקירה, הדרכה ויומני החלטות ברמת הדירקטוריון הם חיוניים (TechNative).
- היקף רחב יותר: אם הישות, שרשרת האספקה או טביעת הרגל הדיגיטלית שלכם השתנו מאז הביקורת האחרונה שלכם, הגיע הזמן לבדוק את תנאי השימוש שלכם (SoA) כדי לוודא שהם מכוסים (Twilio).
| **לְהַפְעִיל** | **עדכון סיכונים** | **קישור שליטה / SoA** | **ראיות שנרשמו** |
|---|---|---|---|
| מועדי דיווח חדשים | הסלמה באירוע תהליך | ISO 27035 / NIS2 סעיף 23 | יומן אירועים, ספר משחקים |
| ספקים נוספים ב | תנאי סיכון ספקים, בדיקת נאותות | ISO 27001 A.5.21 / NIS2 סעיף 21 | חוזי ספקים, הערכות |
| אחריות הדירקטוריון מורחבת | מדיניות סייבר של הדירקטוריון, פרוטוקול | ISO 27001 5.1, 7.2 / NIS2 סעיף 20 | פרוטוקול הדירקטוריון, אימונים |
| סיווג מחדש של שירות | עדכון SoA (גודל/היקף) | ISO 27001 4.3 / NIS2 סעיף 2-3 | תנאי שימוש מתוקנים, יומן ביקורת |
פעולות מיידיות: מיפוי כל מדיניות ובקרה מדור קודם מול NIS 2 ותעד את כל הראיות וההחלטות. השתמש במיפוי זה כדי להנחות תדרוכים של הדירקטוריון ופרויקטים של תיקון - הכנה היא כעת הדרך להוכיח ביטחון.
מה דירקטוריונים ומנהלים חייבים להוכיח במסגרת חוק 2 שקלים חדשים
חלפו הימים שבהם אבטחת סייבר "הועברה למיקור חוץ" ל-IT או ל-infosec - מנהלים ומנהלים בכירים נושאים כעת באחריות. אחריות אישית לחוסן סייבר. רגולטורים מצפים למעורבות מתועדת ואישור מועצת המנהלים לכל סיכון משמעותי, תגובה לאירוע תוכנית וכיוון ביטחוני אסטרטגי (ווייט וקייס).
סיכוני סייבר הם כעת רישומי מועצת הסיכונים של דירקטורים, הכשרה ופיקוח אישי הם הוכחת הציות.
הגדרת אחריות הדירקטוריון
- סקירות סיכוני סייבר שנתיות (או תכופות יותר) - אישור הדירקטוריון ונרשם בפרוטוקול:
- הכשרה מתמשכת חובה, ספציפית לתפקיד - רשומה מלאה ומוכחת.
- יומני הסלמה של אירועים - המציגים את שרשרת הפיקוד, ההחלטות שהתקבלו והפעולות שבוצעו.
- בדיקות תרחישים וסקירות לאחר אירוע - מוטמעות במחזורי הדירקטוריון וההנהלה.
| **פעולת הבמאי** | **נדרשות ראיות** |
|---|---|
| סקירה/אישור של סיכוני סייבר | פרוטוקול ישיבת הדירקטוריון, תאריך תפוגה חתום |
| הדרכה ומודעות | יומני נוכחות/תעודות |
| פיקוח על ניהול אירועים | יומן אירועים, רישום הסלמה |
| פעולות לאחר האירוע | סקירת הנהלה, יומני תיקון |
בדיקה מהירה: האם הדירקטוריון שלך יכול להוכיח מעורבות ב-12 החודשים האחרונים - עם אישורים, יומני אירועים, ותוצאות מבחן תרחישים כדי להוכיח זאת? אם לא, אתה חשוף.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
הרמוניזציה עם GDPR, DORA וחוקי מגזר: מסגרת אחת לחוק
ביטול שקל אחד הוא באותה מידה הַרמוֹנִיזַצִיָה מכיוון שמדובר בהעלאת הרף. בפועל, משמעות הדבר היא ש-2 שקלים כעת "מעוגנים" לפרטיות (GDPR), חוסן פיננסי (DORA), ו כללים מגזרייםכך שדוחות, תהליכי סיכונים ורישומי דירקטוריון נכנסים לכל מסגרת ציות בה אתם נוגעים (IAPP; דלויט).
אתם רוצים אמת אחת בכל הנוגע לציות - לא שלושה טעמים של אותו סיכון.
| **הֶקשֵׁר** | **גשר של 2 שקלים** | **חוק כיסוי** | **התמקדות בסיכונים** | **הַפנָיָה** |
|---|---|---|---|---|
| פרטיות מידע | דיווח על אירועים | GDPR | תאימות להודעות | סעיף 23 לתקנות NIS2 / סעיף 33 לתקנות ה-GDPR |
| מגזר פיננסי | קו בסיס של חוסן | דורה | סיכון תפעולי + ביקורת ספקים | דורה / NIS2 אמנות 4 |
| ביטחון כללי | בקרות מינימליות | ISO 27001/NIST | ניהול סיכונים וביקורת | ISO 27001, NIST CSF |
תפקידה של ENISA: ENISA תגדיר נורמות ביקורת, סימולציות משברים ושיטות עבודה מומלצות ספציפיות למגזר. ארגונים צריכים לעקוב אחר ייעוץ ENISA בנוגע לעדכוני מדיניות, ערכות כלים וביקורת עמיתים (ENISA).
אכיפה ופיקוח: מה מביא 2 שקלים ששקל אחד לא הביא
העונשים כעת הרמוניים וחמורים יותר: קנסות של עד 10 מיליון אירו או 2% מהמחזור העולמי, עם דיווח ציבורי על הפרות משמעותיות ופעולות אכיפה (נורטון רוז פולברייט). הבדיקות יתמקדו בראיות אמיתיות ולא בניירת: יומני אירועים חיים, רישומי הכשרה של הדירקטוריון, ביקורת שרשרת האספקהs.
שקיפות היא מטבע הציות החדש - להיות מוכן לאכיפה זה להיות מוכן לביקורת שוק.
טריגרים נפוצים לאכיפה
- החמצת מועדי דיווח על אירועים.
- דירקטורים לא מיומנים.
- פרצות שרשרת אספקה ללא רישומי בדיקת נחרצות.
- אי ציות חוזר מתקופת 1 שקל.
| **אירוע טריגר** | **עונש/הסלמה פוטנציאלית** | **ראיות להצגה** |
|---|---|---|
| דוח אירוע איטי | קנסות, הודעה לציבור | יומן אירועים 24/72 שעות, נתיב הסלמה |
| ההנהלה החמיצה אימון | חקירה ממוקדת, בדיקה של משרד עורכי דין וארגונים | יומני הדרכה, תעודות, דפי כניסה |
| הפרת ספק | ביקורת, סנקציה אפשרית | חוזים עם צד שלישי, בדיקות נאותות |
| אי ציות קודם | תדירות בדיקה גבוהה יותר | רישומי תיקון, תוכניות פעולה |
קביעת בדיקות פנימיות רבעוניות הודעות על אירוע, לסקור תיעוד של שרשרת האספקה, ולתרגל אירועי מעורבות עם הדירקטוריון לפני שהם נדרשים. את הארגונים הטובים ביותר באבחון עצמי תמיד יהיה הכי קשה להפתיע.
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
הפכו את ביטול 1 שקלים ליתרון ברמת הדירקטוריון שלכם
תאימות לתקנות אבטחת סייבר יוצרת כיום יתרון תחרותי, לא רק שקט נפשי. משקיעים, דירוגי ESG, שותפים עסקיים ורגולטורים מקשרים חוסן מתועד לקבלת החלטות (Accenture). דירקטוריונים שהופכים את 2 ש"ח לחלק ממערכות ההפעלה שלהם - ולא רק סקירות שנתיות - בונים "הון חוסן" וזוכים באמון מעבר לתאימות.
הזן החדש של מנהיגים מתייחס לציות לא כאל עלות - אלא כאל עדות לשליטה, אמינות וזריזות.
מנופים ליצירת יתרון
- MTTR (זמן תגובה ממוצע): ספרי עבודה מתועדים, יומני רישום בזמן אמת ותוכניות שנבדקו מראש, כלומר אין צורך בביקורות מהירות באמצע משבר.
- מהירות סגירת ביקורת: ראיות מהירות וניתנות לביקורת מעניקות ביטחון לחברות ביטוח, רגולטורים וקונים.
- שדרוג מיומנויות והכרה בצוות: חוסן הוא עניין של צוותים, לא של כלים. תרגילי תרחישים קבועים, הכרה בביצועים ותקשורת שקופה יוצרים תרבות שמעבר לבדיקת קופסאות.
להיות מוכן הצגת תאימות בדירוגים ובסקירות ESGולמנף את המשמעת התפעולית שלך כהוכחה לערך עבור בעלי העניין.
ייעול המעבר שלך: קצה פלטפורמת ISMS.online
ביטול סעיף 44 אינו רק רמז לעדכון הניירת - הוא דורש מערכת ציות חיה. ISMS.online נועד לסייע לארגונים למפות בקרות ישנות לדרישות חדשות, לתעד כל שלב ולפעול עם ראיות שתמיד מוכנות לבדיקה או לסקירת הדירקטוריון.
כל בקרה שנבנתה במסגרת NIS 1 היא אבן דרך, לא עוגן. חוסן נובע מהוכחת מוכנות - ולא מהטענה.
תפקידה של ISMS.online בקפיצה מ-1 שקל ל-2 שקל
- מיפוי מסגרת אוטומטי: מיפוי בקרות מדור קודם ל-NIS 2, סימון פערים באופן מיידי ומניעת בזבוז השקעה.
- שילוב חבילת מדיניות: שחרור בקרות מתואמות ISO, ערכת כלים לספקי שרשרת האספקה, ו תגובה לאירוע ספרי משחק מיד להתחייבויות חדשות.
- ראיות ורישום לוחות מחוונים: לוחות מחוונים בזמן אמת, דוחות מוכנים לייצוא וגישה מבוססת תפקידים מאפשרים למנהלים, מבקרים ודירקטוריונים לראות את התאימות תוך כדי תנועה.
- מעקב אחר SOA: כל מדיניות/בקרה מקושרת ל-NIS 2 ול-ISO 27001 - עבור כל פער, מיקום הראיות וסטטוס התיקון גלויים.
- תמיכה מתמשכת: גישה לשירותי מומחים, קהילות עמיתים ועדכוני רגולציה אחרונים ברגע שהם מגיעים - בלי לחכות לביקורת של השנה הבאה.
סקירת מועצת המנהלים בקרוב? הפכו את ביטול מס ה-1 שקלים חדשים לנקודת הזינוק שלכם, לא למכשול. הובילו את הארגון שלכם לרמה הבאה של חוסן ואמון - בעזרת מערכות, ראיות ומנהיגות שמוכיחות זאת.
כל ביקורת, כל דוח דירקטוריון, כל יומן אירוע הוא כעת איתות - לשוק, למשקיעים ולרגולטורים - שאתם בשליטה. התחילו את המעבר שלכם בביטחון. ISMS.online יכול לעזור לכם לקחת אחריות על נרטיב הציות הבא שלכם - עוד היום.
שאלות נפוצות
מהי ההשפעה בעולם האמיתי של סעיף 44 לחוק NIS 2 על ארגונים שבעבר "עמדו" בחוק NIS 1?
סעיף 44 של תקנה EU 2024-2690 לא רק מסדר כללים ישנים - הוא מבטל רשמית את 1 שקל וכפה איפוס מלא באופן שבו תאימות מוגדרת, נמדדת ואוכפת עבור ארגונים דיגיטליים ברחבי האיחוד האירופי. אם הארגון שלכם בנה את רמת האבטחה, הביקורות או החוזים שלו סביב 1 שקל, אתם אחראים כעת בסטנדרט גבוה יותר, רחב יותר ונאכף בצורה אגרסיבית יותר. תג "תאימות של 1 שקל" הישן אינו מיושן כעת: כל דירקטוריון, DPO, ראש IT וראש תאימות חייבים... להוכיח מוכנות תחת 2 שקלים חדשים מיום כניסתו לתוקף של סעיף 44.
בעוד ש-NIS 1 התמקד במפעילים חיוניים והותיר פערים בהיקף ובאחריותיות, NIS 2 מרחיב את הכיסוי הגורף כמעט לכל הארגונים הדיגיטליים הבינוניים-גדולים, מזריק אחריות ברמת הלוח הקשיח, ומאחד ישירות את הקנסות ואת נהלי הביקורת ברחבי האיחוד האירופי (הנחיות ENISA NIS2, 2023). במקום ביקורות תקופתיות עם סימון, צפו לבדיקה מתמשכת ולהוכחת תאימות בזמן אמת-"ביקורת כנורמה החדשה." יש לעצב מחדש את הערכות העצמיות, תרגילי האירועים ורישומי הסיכונים הקודמים שלכם בספר ההוראות והטרמינולוגיה של NIS 2, עם תיאורים חדשים. חתימה של הדירקטוריון ומיפוי ספקים.
ציות לתקנות אינו ניירת של אתמול - כעת זהו חוזה חי עם הרגולטורים ועם הדירקטוריון שלכם.
1 ש"ח לעומת 2 ש"ח: טבלת איפוס תאימות
| היקף | 1 שקל (בוטל) | 2 שקלים (כעת בתוקף) |
|---|---|---|
| ישויות מכוסות | מוגבל, מגזרית | כמעט כל הארגונים הדיגיטליים |
| אחריות הדירקטוריון | חלש, עקיף | מפורש, אישי, ישיר |
| אכיפה | מקוטע, לאומי | קנסות גדולים יותר ומאוד מתואמים |
| חובות שרשרת האספקה | מרומז, ספציפי למגזר | מפורש, מרכזי לתאימות |
| דיווח על אירועים | 72 שעות, גנרי | הודעה ראשונית של 24 שעות, פירוט מדויק |
| בסיס הביקורת | מינימלי, תקופתי | רציף, ניתן לייצוא, ניתן למעקב |
כיצד סוף NIS 1 משנה את הציות, מחזורי הביקורת ואחריות הסיכונים?
עם תוקפו של סעיף 44, כל תוכניות התאימות מדור קודם מושבתות בן לילה"ה"סבא" מת. רשויות פיקוח, רואי חשבון ואפילו חברות ביטוח מודדים כיום כל בקרה, מדיניות והחלטה מול השפה וההתחייבויות החיות של 2 ליש"ט. ראיות שכיסו אתכם בשנה שעברה עשויות כעת להוות נטל אם אינן ממופות באופן עקבי לדרישות החדשות. יש לעדכן פרוטוקולים של ישיבות דירקטוריון, הצהרות תחולה (SoA) ומפות סיכונים מבחינת מהות ופורמט; רישומי אירועים ויומני שרשרת אספקה צריכים להיות מוכנים ל-2 ליש"ט לשאילה מיידית.
אף ארגון לא יכול להסתמך על מחזורי ביקורת מדור קודם - "חלונות תאימות סטטיים" סגורים. במקום זאת, הצוותים שלכם יצטרכו לפעול תחת פיקוח מתמשך, דיווח מפורט לאחר אירוע ואישור ברמת הדירקטוריון על כל דבר, החל מחזרות על אירוע ועד מתודולוגיית סיכונים (הנחיות מעבר של האיחוד האירופי, 2024).
נרטיב הציות שלכם אינו שנתי. הוא תמיד פעיל; הגנה היא ברירת המחדל הבטוחה היחידה שלכם.
טבלת מעקב אחר תאימות: לאחר סעיף 44
| טריגר/אירוע | סיכון או תהליך עודכנו | פריט/ים של 2 שקלים | ראיות לרישום |
|---|---|---|---|
| ביטול סכום של 1 שקל הוכר | ניתוח פערים, סקירת מועצת המנהלים | סעיפים 20, 21, 23 | עדכון מועצת המנהלים, רישום סיכונים |
| סקירה שנתית מתוכננת | תנאי שימוש מתוקנים, בדיקת בקרות | סעיפים 21, 23; ISO A.15 | תנאי שימוש מתוקנים, יומני שרשרת אספקה |
| סימולציית אירוע נערכה | תוכנית ודיווח על אירועים | סעיף 23, ISO A.17 | ספר תרגילים, יומני תרגילים, תחקיר |
| מיפוי שרשרת האספקה | הסכמי רמת שירות של הספקים עודכנו | סעיפים 21, 23; ISO A.15 | נספחים לחוזה, ראיות הודעה |
אילו סיכונים משפטיים, תפעוליים וסייבר חדשים יתמודדו כעת ארגונים תחת NIS 2?
לאחר סעיף 44, "מאגר השאננות" נעלם. כל עיכוב או פרשנות שגויה יוצרים כעת סיכונים משפטיים הניתנים לאכיפה עבור הארגון ואחריות ישירה של ההנהלה הבכירה והדירקטוריוןלמעלה ממחצית החברות שהיו בעבר מחוץ למשטר נמצאות כעת תחת הכותרת, על פי DLA Piper's אכיפה של 2 שקלים חדשים בקצרה, 2024. מטריצת האיומים מתרחבת:
- אחריות אישית: דירקטורים ונושאי משרה נמצאים תחת אחריות לפיקוח ולמתן דין וחשבון בזמן אמת. קנסות מגיעים עד ל-10 מיליון אירו או 2% מהמחזור העולמי.
- חשיפה לשרשרת האספקה: ספקים, קבלנים וצדדים שלישיים יוצרים כעת סיכון משני - אם הם לא עומדים בדרישות, הארגון שלך חשוף.
- סכסוכי ביטוח: חברות ביטוח של אחריות D&O וחבות סייבר רשאיות לדחות תביעות אם לא יוצגו ראיות לתקני NIS 2 (Marsh D&O Insights, 2023).
- השפעות תפעוליות ותדמיתיות: אי עדכון ראיות עלול לעצור חוזים או להוביל לקנסות רגולטוריים והודעות על הפרות חוק לציבור.
מגן הביקורת מכסה כעת רק את אלה הפרואקטיביים - כל דירקטוריון, ראש מחלקת ה-IT וראש מחלקת הציות חייבים לעבור מניהול עבודות ניירת להפחתת סיכונים אקטיבית וחי.
מהלכים מרכזיים בתגובת סיכון:
- יש לבצע בדחיפות דירוג מחדש של נוף הסיכונים עבור היקף NIS 2 - במיוחד חשיפות בשרשרת האספקה, הדירקטוריון והמשכיות עסקית.
- בחנו מחדש את תנאי הביטוח והחוזה: ודאו שהם תואמים במפורש את ההגדרות המשפטיות החדשות.
- מנע תביעות עתידיות על ידי תיעוד בקרות והדרכות חדשות בכל רמה.
אילו צעדים קונקרטיים צריכים צוותי ציות, IT ומשפט לנקוט כדי להתאים את הבקרות והחוזים ל-NIS 2?
כל קבוצה חייבת להתחיל ב מיפוי מחדש של בקרות, חוזים וראיות קיימים לסעיפים, נספחים וטרמינולוגיה חדשה של NIS 2 - במיוחד אלו הקשורים לסיכון, תקריות, שרשרת אספקה וממשל. ניתן להשיג זאת בצורה הטובה ביותר על ידי אימוץ ספריות סעיפים, לוחות זמנים של חוזים וכלי זרימת עבודה הממופים לכל דרישה חוקיתבפועל, זה אומר:
- מערכות מידע ואבטחת מידע: הטמעת תהליכי עבודה חדשים לדיווח על אירועים (חלונות התראה של 24 שעות), עדכון SoA ו- רישום סיכוניםעם הפניות של 2 NIS, ולהרחיב את ניטור הספקים לשירותי ענן ודיגיטל.
- תאימות ומשפט: חייבים לנסח או לתקן חוזים כדי לחייב תאימות של ספקים ושותפים לתקן NIS 2 (כולל הודעות על הפרות), להבטיח ייצוא ראיות מבוסס תפקידים, ולשמור על מדדים "חיים" לצורך ביקורות.
- רֶכֶשׁ: ממסדיר את אימות הספקים, הגורמים המפעילים והעונשים בגין הודעה מאוחרת או אי-ציות לסיכון.
ENISA, בהערכה הסקטוריאלית שלה לשנת 2024, מציינת כי ארגונים הממנפים פלטפורמות ISMS עם בקרות ביקורת בזמן אמת, ניהול גרסאות אוטומטי והוכחות הניתנות לייצוא הם... 80% יותר סיכוי לעבור ביקורת NIS 2 במחזור הראשון (ENISA, 2024).
טבלת גישור יישום ISO 27001/NIS 2
| ציפיית תאימות | שליטה לדוגמה, תרגול | 2 שקלים חדשים/ISO Ref |
|---|---|---|
| עמידה בדרישות 2 שקלים של הספק | נספח חוזה (הפרה תוך 24 שעות, ביקורת) | סעיפים 21, 23 לתקנות 2015-2016; ISO A.15 |
| תגובה לאירועי אבטחה | התראה אוטומטית 24/72 שעות, יומני אימונים | סעיף 23 לתקן 2 NIS; ISO A.17 |
| פיקוח הדירקטוריון | סקירת ISMS שנתית, פרוטוקולים, סיכום D&O | סעיפים 20, 21; ISO 5.2 |
| ראיות הניתנות לייצוא | יומני תפקיד/גירסה, SoA לפי תאריך/בקרה | 2 שקלים, ISMS.online |
מהן ההשלכות המשפטיות, הרגולטוריות והביטוחיות של אי-פעולה על פי סעיף 44?
אי ציות לאחר ביטול חוק 1 של שקל חדש גורם לחשיפה בשלושה חזיתות:
- פעולת הרגולטור: ברחבי האיחוד האירופי, לרשויות יש כעת סמכות לתאם חקירות, לדרוש גילויים פומביים ולהטיל קנסות כבדים או איסורים זמניים על ספקים.
- אי זכאות לביטוח: גם ביטוח D&O וגם ביטוח סייבר עלולים להיפגע אם ארגונים אינם יכולים לספק ראיות חיות, התואמות ל-NIS 2, לצורך ניהול אירועים ופיקוח על תאימות.
- נזק תדמיתי/תפעולי: דיווח חסר או חלקי עלול לגרום לביטול חוזים עם ספקים/לקוחות ולתנאים לפעולות של משקיעים או בעלי מניות.
להיות "כמעט תואם" הוא החוליה החלשה החדשה - ביקורת רגולטורית וביטוח דורשת כעת הוכחות הגנתיות, לא רק מתועדות.
טבלת ביקורת פיקוח על הדירקטוריון וההנהלה
| טריגר ממשל | ראיות לייצר | ייחוס (2 שקלים חדשים/ISO) | תדר |
|---|---|---|---|
| סקירת ISMS של הדירקטוריון | דקות, כניסה, עדכון SoA | ISO 27001 9.3, 2 שקלים Art.20–21 | שנתי / רבעון שלישי |
| בדיקת אירוע (תרגיל אש) | ספר משחקים, תגובות, יומן תחקירים | סעיף 23 לסעיף 2, ועדת ביקורת | רבעון |
| תדרוך אחריות D&O | יומן נוכחות, עדכון SoA | מסמכי חבילת/חידוש לוח | שנתי |
| סימולציית שרשרת האספקה | ניתוח סיכונים של ספקים, חוזים | סעיפים 21, 23 / ISO A.15 | חצי שנתי |
כיצד יכולים דירקטוריונים ומנהיגים בתחום הסייבר להוכיח פיקוח וחוסן תחת NIS 2?
רגולטורים, רואי חשבון וחברות ביטוח מצפים כעת לא רק ל"מעורבות", אלא מעורבות מתועדת בדירקטוריוןכל סקירת ISMS, סימולציית אירוע, ו ניהול סיכונים יש לתעד רשמית את הדיון, לחתום עליו חותמת זמן וניתן לייצוא. ועדות ביקורת וניהול צריכות לתזמן ולתעד את אירועי הממשל הללו - תוך הדגשת "מנהיגות מלפנים" ולא האצלת סמכויות.
לוח שנה לביקורת "מאושר מראש" הוא רשת הביטחון שלכם: תכננו ורישום סקירות ניהול, בדיקות אירועים ופגישות D&O לשנה הקרובה (ראו הנחיות מועצת EcoDa, 2024).
| סוג אירוע | דוגמה לראיות ביקורת | תקן 2 מאמר / מק"ט ISO | תזמון |
|---|---|---|---|
| סקירת ISMS (מועצת המנהלים, CISO) | פרוטוקול, הודעה על נסיבות, נוכחות | ISO 27001 9.3; NIS 2 סעיף 20 | מדי שנה |
| סימולציית אירוע | דוח בדיקה, יומן תגובות | סעיף 23 לסעיף 2 שקלים חדשים | רבעון |
| סקירה/תדרוך של ביטוח D&O | נוכחות, עדכון SoA | מסמכי הלוח | מדי שנה |
| מבחן סיכון בשרשרת האספקה | יומן ספקים, חוזים | סעיפים 21, 23 לסעיף 2 שקלים חדשים | חצי שנתי |
דירקטוריונים אשר רושמים באופן יזום את מעורבותם נוטים סטטיסטית יותר לעבור ביקורות במחזור הראשון ולשמור על כיסוי אחריות.
אילו צעדים מעשיים כל ארגון צריך לנקוט ב-90 הימים הראשונים למעבר מ-1 שקל ל-2 שקל - ללא נקודות עיוורות של ביקורת או תפעוליות?
- הפעלת ספרינט "פער" של תאימות: להכיר ברגע המשפטי - סעיף 44 - כגורם מפעיל לאכיפה.
- מיפוי מחדש של בעלי עניין ובקרות: עדכון רישומי תפקידים, מפות סיכונים ויומני ראיות עבור ההיקף המורחב.
- ניסוח מחדש של הצהרת הישימות (SoA): יש לוודא שניהול גרסאות, אישור הדירקטוריון והפניות לסיכונים מצביעים על סעיפים ב-NIS 2.
- הפעל תרגילי שרשרת אספקה ותקריות שולחניות: תיעוד ריצות ניסוי ומיפוי ראיות להתחייבויות מעודכנות.
- אוטומציה של תהליכי עבודה של ראיות: מינוף או פריסה של ISMS או פלטפורמת תאימות המצוידת בניהול גרסאות, אישורים בין-מחלקתיים, דיווח בזמן אמת וייצוא מוכן לדירקטוריון.
- לתזמן ולתעד הדרכות, סקירות וסימולציות ברמת הדירקטוריון: כל התקשרות צריכה שביל ביקורת.
מעבר אינו מעבר חד פעמי של פרויקט למוכנות ביקורת וודאות תפעולית מתמדת.
רשימת בדיקה לדוגמה מוכנה לביקורת תוך 90 יום
- בעלי עניין ו רישום נכסיםעודכן עבור 2 שקלים
- תנאי שימוש חדשים אושרו על ידי הדירקטוריון
- כל החוזים רעננו עבור סעיפים של 2 שקלים
- יומני שרשרת אספקה / גיבוי / הדרכה המתייחסים ל-NIS 2
- סימולציית אירוע מתועדת ולקחים רשומים
- ניהול גרסאות של ראיות מופעל עבור כל אירוע של מדיניות, בקרה ואירוע של לוח
כיצד ISMS.online ופלטפורמות תאימות דומות יכולות להאיץ ולהקשח את המעבר ל-NIS 2 ואת הביקורות המתמשכות?
פלטפורמות מובילות כמו ISMS.online הופכות את הציות מ"אימה שנתית" למוכנות מתמשכת. הן אוטומציות מיפוי בקרות למאמרי NIS 2, יוצרות ייצוא של SoA/רישום סיכונים לפי דרישה, ומקשרות חוזים, אירועים וביקורות ספקים למדדי KPI של הדירקטוריון והרגולטורים. לוחות מחוונים מבוססי תפקידים, תזכורות אוטומטיות ויומנים הניתנים למעקב מצמצמים את ה-"MTTR" - זמן המוכנות הממוצע - לכל ביקורת, חקירה או פנייה לדירקטוריון ((https://iw.isms.online/nis2-transition-kit/)).
תכונות שהוכחו כמפחיתות כאבי מעבר:
- גרסאות וייצוא אוטומטיים של ראיות עבור כל אובייקט (סיכון, חוזה, סקירת דירקטוריון, יומן אירועים)
- לוחות מחוונים ומדדי KPI ספציפיים לתפקידים עבור בעלי עניין, מהמקצוע ועד לדירקטוריון
- סעיפי חוזה ותבניות SOA מוכנים מראש של NIS 2
- קישור יומני שרשרת אספקה ומסמכי ביקורת ישירות לנקודות תאימות
- נתיב ביקורת לכל הדרכה, אירוע ופעילות
תקן הזהב הוא חוסן מבצעי - ראיות תמיד מוכנות, לעולם לא במחשבה שלאחר מעשה.
טבלת פעולות פלטפורמת ISMS.online
| פער/מטרה במעבר | תכונה/פעולה בפלטפורמה | תוצאות הביקורת שהושגו |
|---|---|---|
| סגירת פער תאימות לתקנות מדור קודם/2 ₪ | ערכת מעבר מוכנה מראש, לוח מחוונים | אבני דרך ותפקידים מופו/יוצאו |
| הוכחת בקרות בביקורת | יומני רישום לייצוא, SoA, סיכון | הגנת ביקורת בשעות |
| נראות תאימות הדירקטוריון | חבילת לוח, לוח מחוונים מבוסס תפקידים | דקות/מדדי ביצוע עקבו אחר תאימות |
| מוכנות שרשרת האספקה | אימות ספק משובץ | הודעות על הפרות, ממופה של ספקים |
| מוכנות הצוות | שילוב מודול הדרכה | נוכחות, השלמה, מוכן לביקורת |
היכן ארגונים יכולים למצוא מדריכים אמינים וישימים, תבניות משפטיות וספרי הדרכה מומלצים עבור 2 ₪?
תעדפו מקורות עם תובנות רגולטוריות ישירות ותובנות מוכחות מקרים:
- ENISA – ארגז כלים ומדריכים למגזר להנחיית NIS2
- הנציבות האירופית - הנחיות רשמיות בנושא 2 ש"ח
- DLA Piper – תדרוכי אכיפת חוק
- ISMS.online – ערכת מעבר NIS2, דוגמאות לעמיתים והדגמה
- מארש - מגמות סיכוני אחריות סייבר וניהול פעולות משפטיות
- הקונפדרציה האירופית של איגודי הדירקטורים (EcoDa): הנחיות לפיקוח על הדירקטוריון
חיבור למשאבים אלה יעניק לכם תבניות משפטיות מוכנות לשימוש, רשימות ביקורת וספרי הדרכה תפעוליים שיובילו אתכם מכוונות רגולטוריות ועד לראיות מהיום הראשון, מהר יותר ועם ודאות רבה יותר.
עשו את הצעד הראשון לקראת 2 שקלים חדשים: הפכו את הציות מהשלמת פער לאמון תפעולי. בעידן שלאחר 1 שקלים חדשים, אלו שמוכיחים, ולא רק טוענים, מוכנות קובעים את הסטנדרט לנורמלי הדיגיטלי החדש.
