האם הארגון שלך נמצא במסגרת NIS 2 - ולמה זה חשוב עכשיו?
עבור ארגונים רבים, אופק הסיכון הרגולטורי השתנה זה עתה - ובדממה, ייתכן שהנחיית NIS 2 הפכה את העסק היומיומי שלכם לכזה הכפוף לכמה מדרישות אבטחת הסייבר המחמירות ביותר באירופה. חוק זה אינו רק עדכון: זוהי הגדרה מחדש של מי נושא באחריות משפטית, תפעולית וברמת הדירקטוריון לאבטחת מידע. הנוחות הישנה של להיות "מחוץ לתחום" הפכה כעת לנטל.
אתם מזהים את פער הציות שלכם רק כאשר הדחיפות לא מותירה זמן לתקן אותו.
השאלה הראשונה והאסטרטגית ביותר פשוטה באופן מטעה: האם אתם נמצאים במסגרת? זו אינה תשובה חד פעמית של כן או לא. NIS 2 מותחת הגדרות, ומקפלת בתוכה שרשראות אספקה דיגיטליות, שירותים קריטיים, פלטפורמות SaaS ומגוון רחב של תעשיות שבעבר התעלמו מהן על ידי משטר ה- NIS הראשון. אם הארגון שלכם הוא ספק ישיר, מתווך דיגיטלי, או אפילו ספק במעלה הזרם ללקוחות מוסדרים, פרופיל הסיכון השתנה.
התחילו בתרגיל מיפוי מקיף. עיינו ברשימות הרשמיות של מגזרי NIS 2 (נספחים I ו-II) ועקוב אחר התראות הרגולטורים הלאומיים - אל תניחו שהחרגות ישנות עדיין תקפות. עדכונים אחרונים נותנים כעת עדיפות להכללה על פני אי הכללה, והנטל להצדיק אם אתם סבורים שאתם מחוץ לתחום. אי תיעוד רציונל זה עלול להוביל לעסקאות כושלות, אובדן אמון או תרגילי חירום דחופים (ויקרים) כאשר תשומת הלב הרגולטורית מגיעה.
דירקטוריונים נמצאים כעת בחזית: תחת NIS 2, דירקטורים אחראים באופן אישי על ציות, לא רק מבחינה ארגונית. הציפייה עברה מפיקוח טכני למנהיגות ברמת הדירקטוריון וממשל ממשלתי ניתן לביקורת. אם בעבר הגנתם על מקבלי החלטות תחת שיקול דעת IT או תפעולי, הגנה זו נעלמה. כל מערכת ניהול מידע (ISMS) חייבת כעת לכלול תיעוד של מעורבות דירקטוריון וקווי אימות ברורים.
אם הסתמכתם על פטורים מדור קודם, עכשיו זה הזמן לבדיקת מציאות. סקרו את כל החוזים - במיוחד אלה הכוללים לקוחות מפוקחים - מכיוון שזרימה חוזית לאחור עלולה ליצור "ציות באמצעות שיוך". נקודת מבט של רואה חשבון: אם אתם מתבקשים למסור ראיות, נניח שאתם מטופלים כאילו אתם נמצאים בהיקף.
אילו מגזרים, ישויות ואזורים גיאוגרפיים מגדירים את טביעת הרגל שלך ב-2 שקלים חדשים?
מיפוי "טביעת הרגל" של הארגון שלכם ב-NIS 2 הוא הבסיס לתאימות, אך צוותים רבים מועדים עקב סיווג שגוי של גבולות מגזרים או תחומי אחריות גיאוגרפיים. כאן נקבע ההבדל בין הסמכה יעילה לבין שנה של עבודה מחדש.
סיווג את המגזר שלך בצורה שגויה היום, ותבלה חודשים בביטול למידה של בקרות פגומות מחר.
התחילו בהתאמת שירותי הליבה שלכם לרשימות המגזר הרשמיות של 2 שקלים:
- עגנו את כל קווי העסקים העיקריים ישירות לנספח I (אנרגיה, בנקאות, בריאות, תשתית דיגיטלית) או לנספח II (פסולת, מזון, ייצור). חברות שרשרת אספקה, שווקים דיגיטליים ופלטפורמות תשתית נמצאות לעתים קרובות ברשת, גם אם לא מופיעות בשמן במפורש.
- זיהוי חפיפה: רוב העסקים מקיימים תחומים דיגיטליים ופיזיים. אם אתם פועלים במספר מגזרים (למשל, אירוח ענן וייצור), בצעו מיפוי תאימות כפול ושמרו על ביקורות מגזריות נפרדות במידת הצורך כדי לתעד בקרות ספציפיות לכל תחום.
- עקוב אחר הגיאוגרפיה התפעולית שלך: כל תחום שיפוט מביא את הטעם הייחודי שלו ליישום NIS 2. אם אתה מציע שירותים מעבר לגבולות האיחוד האירופי או מנהל חברות בנות בחו"ל, עליך להתאים תיעוד, רישומי ישויות ופרוטוקולי תאימות עבור כל ישות משפטית מקומית. התחיל עם רישום מפורט - מה נשלט מהמטה, ומה מועבר לארגון?
- סקירת מבני קבוצות: מבנה של חברת אם, חברת בת או סניף? תאימות לעולם לא יכולה להיעצר בגבול של תרשים - היא חייבת לזרום לכל פעילות, מעבר לגבולות והחוצה לשרשרת האספקה.
- הקצאת ניטור מתמשך: רגולטורים לאומיים יכולים (ואכן מרחיבים) את רשימת המגזרים או הישויות לאורך זמן. ממשל גופים חייב לכלול תפקיד ניטור חי במחלקות הציות, ה-IT או המשפט.
המהלך הטקטי: בנו ועדכנו באופן קבוע "טבלת נימוקים של היקף", המפרטת החלטות מיפוי מגזרים, חוקים רלוונטיים והמסמכים/ראיות התומכים בכל בחירה. ראו בטבלה זו חלק מרישומי מערכות ה-ISMS שלכם - אף רואה חשבון, חבר דירקטוריון או רגולטור לא יקבלו את הטענה "לא היינו בטוחים" כהגנה.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
האם גודלך או תפקידך מפעילים תאימות ישירה לתקן NIS 2?
גודל כבר אינו מעבר חופשי. בעוד שספי ברירת המחדל הם 50+ עובדים או מחזור של 10 מיליון אירו, 2 ש"ח מעניקים לרגולטורים מרחב תמרון לתייג אפילו עסקים קטנים יותר כ"חשובים מערכתית". קשרים חוזיים יכולים גם הם להוביל לחובת ציות בלתי צפויה, נפוצה במיוחד עבור ספקי SaaS וספקים קריטיים.
להניח שאתה פטור זו הדרך המהירה ביותר להיתפס לא מוכן.
לבצע סקירה רבעונית קפדנית:
- ספירת עובדים: הקצו אחריות ברורה לניטור מספר העובדים מול סף 50 משרות מלאות. אם יש לכם עובדים עונתיים או שאתם חוצים סף זה, אפילו באופן זמני, תעדו הן את האירוע והן את תגובת הבקרה שלכם.
- מחזור: מתנדנד סביב 10 מיליון אירו? עקבו אחר ההכנסות מדי חודש ותעדו את הגישה - ניטור פרואקטיבי גובר על ערבול רטרואקטיבי.
- עקיפות מגזריות: חלק מהתחומים (בעיקר ענן, בנקאות, טלקום, בריאות) אוכפים התחייבויות החל מהעובד הראשון או מהכנסות אפס. הכירו את הכללים המגזריים שלכם עבור כל סניף, לא רק עבור המטה הראשי שלכם.
- מפל ספקים: חוזים עם גופים מפוקחים (בתוך התחום) עשויים לחול על התחייבויות תאימות ללא קשר לגודל שלכם - במיוחד עבור ספקי IT וספקים דיגיטליים.
- תיעוד: כל החרגה או תביעה מיוחדת צריכה להיבדק על ידי המועצה ולרשום אותה כנימוק רשמי. פטור חזק רק כמו החתימה האחרונה והראיות התומכות.
| הדק | עדכון סיכונים | קישור בקרה / SoA | ראיות שנרשמו |
|---|---|---|---|
| חציית סף 50+ FTE | מעבר ל"חשוב/חיוני" | הקצאת RACI, עדכון פיקוח הדירקטוריון | יומני עובדים, פרוטוקולי דירקטוריון |
| סווג מחדש של המגזר | הגדרה מחדש של היקף התפעולי | מיפוי מחדש של מדיניות, התאמת כיסוי הבקרה | הודעת דוא"ל, עדכון מיפוי |
| הכנסות משתנות | בחינה חוזרת של הכללה מדי רבעון | מוכנות לביקורת, הודעה לרשות | יומני רישום פיננסיים, התראות |
| פטור נתבע | הצדקה שנבדקה על ידי הדירקטוריון | שמור יומן פטורים, עדכון רישום סיכונים | הצהרת פטור חתומה |
מדי רבעון, יש להקצות בעל תאימות (לרוב במחלקת הכספים או ב-GRC) ולבצע סקירה רשמית עבור גורמים מעוררים אלה, תוך עדכון הרישום, המדיניות ויומן הראיות בהתאם.
האם נעלתם את תיק הראיות שלכם לצורך ביקורת ובחינה של הדירקטוריון?
עבור בעלי עניין פנימיים וחיצוניים כאחד, ראיות - ולא הצהרות - הן השפה החדשה של תאימות. חפצים דיגיטליים, עם חותמת זמן ומאומתים על ידי הדירקטוריון, הם התשובה שלכם לכל רואה חשבון, רגולטור או לקוח הדורשים הוכחות לפי דרישה.
מה שאתם מתעדים עבור הרגולטור של מחר מתעצם בחדר הישיבות של היום.
מערכת ראיות מוכנה לביקורת צריכה לכלול:
- מרשם ראיות עולמי: לא רק מדריך, אלא מערכת תיוק דינמית שעוקבת אחר כל הכללה, פטור או מדיניות מוחלת. אישורים של לוח חותמות זמן ואישורים ברמה של ניהול.
- אימות לוח: אף מסמך תאימות אינו שלם ללא חתימה גלויה של הדירקטור או ההנהלה. פרוטוקולים קבועים של הדירקטוריון ואישורים דיגיטליים צריכים להיות זמינים באופן מרכזי וממופים לכל אירוע תאימות מרכזי.
- שכבות של חפצים: תיוק כל גרסה של מסמכים מרכזיים, רישומי פגישות, תזכירי נימוקים ויומני שינויים. תקשורת פנימית המציגה שסיכון צוין, טופל ונסגר היא קריטית לא פחות מהמדיניות המעודכנת.
- לוח שנה לביקורת עצמית: ביצוע ביקורות דמה תקופתיות או בדיקות נקודתיות עצמאיות על תיק הראיות שלכם חיוניות, כדי לאתר פערים לפני שבעל עניין חיצוני מוצא אותם. כל ממצא הופך לזרז לשיפור איטרטיבי.
ISMS.online תומך באופן טבעי ברמה זו של ניהול חפצים. בעזרת רישום הראיות הדיגיטלי, אישורים מקושרים ומסלולי ביקורת, הוא הופך את עמדת התאימות שלכם לשקופה לדירקטוריונים ולמבקרים כפי שהיא שקופה לצוות שלכם.
כל פער שנמצא בביקורת מדומה הוא ניצחון - עדיף שהצוות שלך יתפוס אותו מאשר הרגולטור.
קבע בדיקות דופק של הראיות שלך כל שישה חודשים - ראה בכך בדיקת תקינות תפעולית של מערכות ה-ISMS שלך.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
האם רישום NIS 2 שלך תויק, ניתן למעקב ומוכן לעדכונים בזמן אמת?
רישום 2 שקלים אינו רק פורמליות המונעת על ידי מועד אחרון; זוהי הוכחה חיה לבגרות תאימות. הגשה מוקדמת יוצרת אמצעי הגנה לתיקון ומאותתת למבקרים וללקוחות על תרבות המוכנות שלכם.
- הגשה מוקדמת ומאומתת: שמרו תיעוד (צילומי מסך, אימיילים) של הגשות דיגיטליות או ידניות וקבלות אישור. שמרו אותם כעיוותים משפטיים - בקשות לאימות חוזר על ידי רגולטורים הולכות וגדלות.
- בעלות גלויה: מינו בעלים שמוכן לפיקוח על הרישום, הגשת שינויים ואישורי עדכונים. מיפוי זה לתרשים RACI שלכם והפוך אותו לגלוי הן לצוות והן לדירקטוריון.
- שילוב תהליכי שינוי: כאשר הישות שלכם מתמזגת, מבצעת ארגון מחדש או עוברת שינוי עסקי מהותי, יש להגיש מיד עדכוני רישום ולשמור עקבות ראיות לצורך נימוק ואישור הרגולטור.
- חיבור דו-כיווני של וסת: שמרו על דיאלוג עקבי ומתועד עם הרשות הלאומית או הרגולטור הענפי שלכם. שמרו כל בקשה, הבהרה ועדכון במערכת ה-ISMS שלכם.
- קישור ISMS.online: השתמשו בתכונות הפלטפורמה כדי לקשר ראיות מרישום, שרשראות שינוי ואישור, ולעדכן לוחות זמנים - נגישים באופן מיידי וניתנים לייצוא לצורך ביקורת.
אימות ביקורת של נתיב הרישום שלך - ודא שראיות, עדכונים ותקשורת יהיו תמיד נגישים לבדיקה.
פרואקטיביות כאן לא רק מונעת קנסות; היא מוכיחה את תרבות הציות שלכם.
למי שייך מה? אחריות הדירקטוריון, ההנהלה והצוות תחת 2 ש"ח
אחריות היא גם עמוד השדרה וגם עקב אכילס של 2 ₪. לכל דירקטוריון, מנהל וחבר צוות קריטי חייבים להיות תפקידי ציות מפורשים ומתועדים. נתיב בעלות חסר שוחק את הגנת הביקורת שלך מהר יותר מכל מדיניות חסרה.
בהירות פנימית לגבי מי עושה מה היא הדבר הראשון שרגולטור בודק והדבר האחרון שרוצים שיוחסר במהלך ביקורת.
רשימת בדיקה חיונית לבעלות אחראית:
- חתימה של הדירקטוריון: שום רישום ל-NIS 2, עדכון מדיניות או שינוי תאימות משמעותי אינם תקפים ללא אישור רשמי של הדירקטוריון או של גורם מנהל מוסמך. יש לשמור יומני אישור דיגיטליים ופרוטוקולים של ישיבות מאוחדים במערכת אחת.
- מיפוי RACI: שמרו על מטריצת RACI חיה - כל תחום תאימות ממופה לאיש צוות ייעודי. עדכנו מיד כאשר צוות משתנה, בעלות מוקצית מחדש, או לאחר ארגון מחדש או שינויים אסטרטגיים. שמרו על גרסאות של רשומות אלו.
- פרוטוקולי ירושה: אל תאפשר נקודת כשל אחת. יש להקים פרוטוקולי העברה, האצלה וגיבוי, ויש להציגם כראיות בכל פעם שמקצים מחדש תפקידים.
- אימוני מנהיגות: יש להרכיב רישום הדרכות והכרות לכל חבר דירקטוריון, בעל תאימות ומנהל תפעולי. יש לתארך את התעודות והקבלות ולמפות אותן למערכת ה-ISMS.
| תפקיד/תחום | פעולה צפויה | ראיות/חפץ | בקרת ISO/SoA |
|---|---|---|---|
| דירקטוריון החברה | אישור/רישום תאימות | פרוטוקולים חתומים, יומני אישור | א.5.2 (תפקידים) |
| CISO/ראש תחום תאימות | מיפוי/ניטור פעולות NIS2 | מטריצת RACI, הגשת רישום, לוח זמנים לבדיקה | A.5.4, A.5.36 (סקירת ניהול) |
| תפעול IT/אבטחה | עדכון בקרות טכניות | יומני אירועים, רישומי שינויים, יומני הדרכה | א.5.7, א.8.7 |
| כל הצוות | הכשרה מלאה בתאימות | רישומי הדרכה, קבלות אישור | A.6.3 (מודעות) |
ISMS.online תומך במיפוי חפצים זה מהיום הראשון - כל אדם, כל פעולה, כל חפץ, תמיד מעודכן.
תיעוד תחומי אחריות מבטיח כעת מהירות ובהירות בהמשך, כאשר יש לחץ.
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
האם קצב הביקורת שלך מונע הפתעות של ביקורת "במייל האחרון"?
רמת הציות החזקה ביותר עלולה להיפגע על ידי סקירה אחת שהוחמצה או עדכון מונע שינוי. קצב התפעול של NIS 2 פירושו שסקירות סטטיות ושנתיות אינן מספיקות.
הרגל קבוע של ביקורת היא ההגנה החזקה ביותר שלך מפני ביקורת והסימן המועדף על הרגולטור לאמינות.
יישם לוח זמנים לסקירת חיים:
- בדיקה שנתית מלאה: יש לבצע ביקורת על מגזרים, גודל ישות, בקרות ורישומי בעלות לפחות פעם בשנה. יש לתעד כל סקירה, גם אם לא השתנה דבר.
- התראות מונעות שינוי: בנה ויישם מדיניות המפעילה בדיקה מיידית כאשר תנאים קריטיים (צמיחה של החברה, מיזוג, שיתופי עובדים) משנים את פרופיל התאימות שלך.
- יומני רישום חיים: יש להשתמש ביומני ביקורת בזמן אמת, הנגישים לכל עובדי הציות, ה-IT והדירקטוריון. יומני ביקורת צריכים להיות ניתנים לייצוא מיידי עבור בקשות של פקחים או לקוחות.
- מינוי מפקחים משפטיים/מגזריים: הקצאת משאבים ייעודיים או תפקידים מתחלפים לסריקת עדכונים משפטיים וסקטוריאלים. שימוש בעדכוני רשות לאומיים, קבוצות סקטוריאליות וכלי העדכון של ISMS.online.
- השוואת ביצועים עמיתים: השוו אבני דרך רגולטוריות מרכזיות ותוצאות ביקורת עם מדדי ביצועים בתעשייה כדי לצפות ציפיות ולזהות נקודות מתות פוטנציאליות.
מערכת המתזמן, קישור הפריטים הדיגיטליים ומערכת ההתראות של ISMS.online הופכים את קצב הסקירה לאוטומטי, מה שהופך את "החמצת סקירה" לדבר מהעבר.
רואי חשבון סומכים על מה שהם יכולים לעקוב אחריו; כך גם אתם צריכים.
טבלת עקיבות NIS 2 בת עמוד אחד: ציפיות, פעולות וראיות מוכנות לביקורת
מיפוי שקוף ובר-מעקב של כל טריגר, ציפייה ופלט אינו רק ההגנה הטובה ביותר מפני ביקורת - הוא הבסיס ליעילות ואמון בתאימות.
| ציפייה / טריגר | שלב תפעולי | הפניה לתקן SOA / ISO 27001 | ראיות מוכנות לביקורת |
|---|---|---|---|
| מפה של מגזר (נספח I/II) | הקצאת מגזר רישום | 4.3/SoA | רשימת מגזרים, צילום מסך של רישום |
| גבול הגודל חוצה (50+ עובדים מלאים) | עדכון רישום, לוח הודעות | 5.2 (תפקידים) | יומני משאבי אנוש, אישור הדירקטוריון |
| תביעת פטור | נימוק הקובץ ומסמכים תומכים | 6.1.3, תקן תקן | מדיניות פטור, אישור הדירקטוריון |
| חתימה של הדירקטוריון | אישור תאימות מדי שנה | 5.3/9.3 | פרוטוקול חתום, אישור בדוא"ל |
| ההרשמה הוגשה | מעקב/אימות קבלת אישור | 7.5.3, תקן תקן | אישור הגשה, יומן קבלה |
| עדכון RACI (שינוי צוות) | RACI תיקן/הודיע על המתמחה. | א.5.2, 9.3 | מטריצת RACI, תזכיר/יומן צוות |
| ראיות שנשמרו | יומנים/סקירות דיגיטליות שוטפות | 7.5.3, תקן תקן, 9.1 | יומן פעיל, רשומת סקירה, נתיב ביקורת |
| בקרות שיושמו (נספח א') | מיפוי למגזר/גודל; מסמך | בקרות נספח א' | רישומי יישום בקרה |
| דיווח על אירועים הופעל | מדיניות, תהליך דיווח | א.5.24, א.8.15 | נוהל, דוח אירוע |
שמרו על טבלה זו כמסמך חי. הקצו בעל תאימות או אבטחה והטמיעו ראיות או עדכונים חדשים ככל שהפעילות מתפתחת. ISMS.online מאפשר עריכה שיתופית בזמן אמת והורדה מיידית עבור ביקורות או סקירות רגולטוריות.
טבלת תאימות מתוחזקת היטב היא הוכחה לבקרה, לא רק לזיכרון.
צעדו לצעד הבא: ISMS.online עוד היום
תאימות לתקן NIS 2 אינה עוסקת בגיליונות עבודה או בתיבות סימון - אלא בביטחון תפעולי, ראיות שעומדות בלחץ, ומנהיגות שיכולה להוכיח, ולא רק לטעון, פיקוח ואמינות. כל אובייקט שהוחמצ, נתיב בעלות לא מתועד או עיכוב בבדיקה הוא סיכון שמחכה להתממש.
ביטחון עצמי נבנה, לא נטען - המערכת הנכונה היא קיצור הדרך שלך.
ISMS.online משנה את המסע של NIS 2. על ידי מתן פלטפורמה מאוחדת לראיות, אישורים, מיפוי בזמן אמת וקצב ביקורות, היא מספקת חוסן רגולטורי ומוכנות לביקורת ללא פיצול. אתם מקבלים פיקוח מרכזי, תבניות הנתמכות על ידי עמיתים, לוחות מחוונים חיים ואינטגרציה מלאה של ISMS - מגובה בהנחיות עדכניות ותמיכה מהירה.
בנו את תאימותכם להיום - ולגלי הרגולציה של פרטיות, שרשרת אספקה ובינה מלאכותית שנמצאים ממש מעבר לאופק. הקצו תפקידים, אוטומצו ביקורות, חסמו ראיות והראו לרגולטורים, ללקוחות ולדירקטוריון שלכם שכל רגע מתחת ל-2 שקלים הוא רגע שלכם.
שאלות נפוצות
מי מחליט אם החברה שלך "חיונית" או "חשובה" במסגרת 2 ₪, ומהו הצעד הראשון שניתן לפעול עליו?
נקודת המוצא עבור היקף NIS 2 היא תמיד המיפוי השיטתי של החברה שלך - אף רגולטור לא עושה זאת עבורך. אתה אחראי לבחון כל מוצר, שירות וישות מול המגזרים המפורטים בנספח I ("ישויות חיוניות" כמו אנרגיה, תחבורה, בריאות ותשתיות דיגיטליות) ובנספח II ("ישויות חשובות" כמו ייצור, מזון, טכנולוגיית מידע ותקשורת ומחקר) של הנחיית NIS 2, בתוספת ספים או תוספות לאומיות של מדינתך. בדוק היטב אם אתה חורג מ-50 עובדים או מחזור/מאזן של 10 מיליון אירו - אם כי כמה מגזרים בסיכון גבוה (כמו ענן, DNS או מינהל ציבורי) כלולים ללא קשר לגודלם, לכן התעלם ממיתוסים נפוצים לגבי פטורים. תעד את ההיגיון של המיפוי שלך, שים לב למקרי קצה וחברות בנות, והגש את הסטטוס שלך (עם נימוק) לרשות NIS 2 הלאומית שלך או לרגולטור המוסמך; הקביעה הסופית, וכל שאלה, תגיע מהם. חשוב מאוד, בקר מחדש את המיפוי שלך לאחר כל רכישה, שינוי מבני או עדכון רגולטורי; סטטוס ללא שינוי יכול לגרום לאי-ציות אם ההיקף מתפתח בשקט.
ודאו שכל החלטה בנוגע למיפוי תהיה שקופה, נבדקת על ידי הדירקטוריון ומוכנה לבדיקה - רישום הוא ביטחון, לא ניחושים.
לרשימות תיוג ועדכונים בשלבים, עיינו בהנחיות NIS 2 של ENISA או ברשות הלאומית שלכם.
אילו מסמכים תומכים עליך להכין?
- שירותי ליבה ממופים לכל מגזר NIS 2 (נספחים I/II ורשימות לאומיות)
- דיאגרמות מבנה משפטי, כולל חברות בנות בחו"ל
- ספירת כוח אדם וראיות פיננסיות עבור ספים
- נימוק המיפוי שעבר ביקורת הדירקטוריון (פרוטוקולים, מצגות)
- יומן שינויים המתעד מחזורי סקירה או שינויים ארגוניים
אילו ראיות תיעודיות, רשומות ואישורים נדרשים לצורך עמידה בתקן NIS 2 (ואיך נראית ההגדרה של "מוכנות לביקורת")?
תאימות אמיתית לתקן NIS 2 מתבטאת ברישום חי: לא רק מדיניות, אלא יומנים עם חותמת זמן שנבדקו על ידי הדירקטוריון, אשר עוקבים אחר היקף החברה, המבנה שלה וכל החלטות התאימות. תצטרכו:
- יומני מיפוי מגזרים: שמציגים את ההיגיון שלכם לסיווג, מקרי קצה וחפיפות מגזרים לאומיות, עם אישור רשמי של הדירקטוריון
- שכר ודוחות כספיים: כדי להצדיק את הגודל וכל תביעה לפטור, אשר ייבחן כאשר העסק שלך משתנה
- פרוטוקול חתום של הדירקטוריון/הנהלה: להוכיח אישור לכל החלטות ההיקף, הפטור והרישום המרכזיות
- אישורי רישום דיגיטליים: מרשויות מוסמכות, כולל כל התכתבות, משוב או כתבי איסוף
- מטריצת RACI (תפקידים ואחריות): , מעודכן עבור כל שינוי בתפקידי ציות, תפקידי צוות או הסדרי מיקור חוץ
- רישום שינויים המנוהל באופן מרכזי: , תיעוד כל אירוע חשוב - מיזוגים, צמיחה, כניסה חדשה לשוק, שינויים בקבוצות - שיכולים להשפיע על היקף הפעילות, עם נתיב ביקורת ברור של מי קיבל כל החלטה ומתי
מוכנות לביקורת פירושה הפקת כל האמור לעיל תוך דקות, לא ימים, עבור כל בקרה, רציונל או פטור - באופן אידיאלי מפלטפורמת ISMS אחת. אם אינך יכול להוכיח מדוע אתה נמצא במסגרת או מחוץ לתחום, עם מי אישר ומתי, אינך עומד בדרישות NIS 2.
הפניות:,,
כיצד חלה תאימות לתקן NIS 2 על קבוצות, שרשראות אספקה וחברות הפועלות מעבר לגבולות?
התחייבויות של 2 ש"ח עוברות לכל ישות משפטית מכוסה, ללא קשר למורכבות הקבוצה או שרשרת האספקה. אם לעסק שלך יש חברות בנות, סניפים או פעילות חוזית במספר מדינות באיחוד האירופי - במיוחד במגזרי 2 ש"ח שונים - בצעו מיפוי היקף ומיפוי רגולטור-ID עבור כל אחת מהן, ולא רק עבור קבוצת האם. חלק ממדינות האיחוד האירופי דורשות כיסוי מחמיר או רחב יותר ("gold-plating"), לכן יש ליישם תמיד את הסטנדרט המחמיר ביותר בשווקים שלכם לשם ודאות. כל ישות עשויה להזדקק ליומני ראיות עצמאיים, אישור דירקטוריון ומעורבות ישירה עם אותה רשות לאומית.
תאימות כלל-קבוצתית או מרכזית אינה פתרון קסם: ודאו שהמיפוי שלכם עוקב אחר ניואנסים מקומיים, אחריות הדירקטוריון ורישום עבור כל ישות (לא רק המטה). עבור ספקים מרכזיים או ספקים דיגיטליים, שמרו על מטריצה מעודכנת של הסטטוס הרגולטורי שלהם - אם הספק הקריטי שלכם לא נפגע על ידי 2 שקלים אך חושף את העסק שלכם לשיבושים, צפו שהרגולטורים יבחנו את בדיקת הנאותות והתכנון החוסן שלכם כחלק מהרישום שלכם.
תאימות קורסת כאשר שרשראות אספקה או מבני קבוצות מסתירים ישות מהותית ממיפוי או ראיות - אל תתנו לפיקוח להפוך לחשיפה.
הפניות:,
מהן השגיאות הנפוצות ביותר במיפוי ובראיות של NIS 2 - ואילו מערכות מונעות אותן?
נקודות הכשל המובילות הן:
- הסתמכות על מיפויי מגזרים מיושנים או לא שלמים, במיוחד לאחר עדכונים של הנחיות או עדכונים לאומיים
- הגשת תביעה לפטור ללא דוחות גודל/פיננסיים חדשים או אישור דירקטוריון חדש (לאחר צמיחה, ארגון מחדש או פיטורים)
- אישורי דירקטוריון חסרים, לא חתומים או מעורפלים להחלטות היקף/פטור
- שמירה על פיצול ראיות על פני גיליונות אלקטרוניים, תיקיות SharePoint שאינן נתמכות או תיבות דואר נכנס של הצוות במקום רישום מרכזי
- אי עדכון רישומים ומטריצת RACI לאחר מיזוגים, מוצרים חדשים או שינויים מהירים בצוות
מנעו זאת באמצעות ממשל מחזורי חזק:
- לתזמן ביקורות תאימות רבעוניות ועדכונים המופעלים על ידי אירועים עבור כל רישום ליבה (מגזר, גודל, שרשרת אספקה, RACI)
- השתמשו בחתימות דיגיטליות ולכידת נימוקים עבור כל חריג, פטור או שינוי סטטוס - לכל שלב חייב להיות שם וחותמת זמן.
- הקצאת מנהל תאימות לניטור שינויים רגולטוריים, עדכון יומן הראיות, דיווח לדירקטוריון וביצוע סקירות ברמת הקבוצה או הישות מיד לאחר כל שינוי.
- אחסן כל מיפוי, פטור ואישור מועצה בפלטפורמת ISMS מרכזית ומבוקרת עם בקרת גרסאות קפדנית.
הזנחת ראיות בזמן אמת או עקבות אחריות הופכת פליטת דירקטוריון לחבות משפטית ופותחת את הדלת לקנסות ולאובדן תדמית.
הפניות:,,
מי אחראי על ניטור, תחזוקה ובקרה של תאימות לתקן NIS 2 ככל שהעסק שלך והחוק מתפתחים?
NIS 2 הופך את הציות לחובה ברמת הדירקטוריון, ולא למחשבה שנייה של ה-IT:
- דירקטוריון/הנהלה: נושא באחריות הסופית על החלטות היקף, הגשות רישום, אישור פטור, ועליו לבדוק/לאשר שינויים מהותיים, באופן רשמי, מדי שנה ולאחר כל גורם עסקי מעורר
- ראש תאימות/CISO: מבצע את המיפוי המעשי, מתחזק יומני רישום, רישום עדכונים נדרשים, ועוקב אחר שינויים משפטיים/מגזריים, תוך דיווח כלפי מעלה על מחזורים שגרתיים ואירועים כאחד.
- תפעול IT/אבטחה: מנהל בקרות טכניות, תגובות לאירועים ויומני שינויים המזינים ראיות ומתריעים על שינויים המשפיעים על סיכון/חשיפה
- משפט/משאבי אנוש: מעדכן את מדיניות הקבוצה, עוקב אחר מיזוגים, ארגון מחדש, שינויים בתפקידי הצוות, ומוודא שכל הרישומים תואמים לחוק ולמבנה הארגוני הנוכחיים.
כל צד אחראי חייב להיכלל בשמו ב-RACI, עם טריגרים לסקירה המבוססים על לוח שנה ומונעי שינוי. המדיניות חייבת להתאים לפיקוח אמיתי - אם הדירקטוריון מופתע מהרישום, או שה-RACI מיושן, אתם בסיכון. הרגל ה"מוכנות לביקורת" הוא פשוט: שמרו על אישורים, נימוקים וראיות רעננים, נגישים וממופים בבירור לכל תוצאת תאימות.
מקורות:, ווייט אנד קייס,
מה כוללת טבלת ראיות ומעקב מלאה של NIS 2, וכיצד ISMS.online יכול להפוך זאת ללולאת בקרה חיה?
טבלת ראיות מוכנה לתקן NIS 2 מקשרת כל טריגר עסקי או רגולטורי לפעולות תאימות ספציפיות, בקרות ורשומות מתועדות, ומבטיחה שאף שלב לא יאבד בין חדר הישיבות לקובץ הביקורת. הנה תבנית תפעולית תמציתית:
| טריגר/אירוע | פעולת תאימות / בעלים | ISO 27001/SoA מק"ט | ראיות (לוח/יומן) |
|---|---|---|---|
| שירות/מגזר ממופה | רישום ישות, מיפוי יומן | 4.3 / תנאי שימוש | יומן מיפוי, אישור הרשאות |
| סף גודל חוצה/פטור | עדכון רישום, אישור מועצת המנהלים | 5.2, 6.1.3 | שכר, נימוק חתום |
| ארגון מחדש/רכישה משמעותיים | עדכון מיפוי, הודעה מחדש | 4.3, 9.3 | פרוטוקולי דירקטוריון, יומן שינויים |
| סקירה שנתית או סקירה מפעילה | סקירת מועצת המנהלים, עדכון RACI | 5.3, 9.3 | RACI, אישור הדירקטוריון |
| החלפת ספק | עדכון RACI, סקירת שרשרת האספקה | א.5.2, א.5.19 | RACI/יומן, קובץ בדיקת נאותות |
ISMS.online משלבת את אלה בפלטפורמה בזמן אמת המונעת על ידי זרימת עבודה: כל מיפוי, פטור, חתימת צוות/דירקטוריון וגרסה נשלטים, מוטבעים בחותמת זמן וניתנים לייצוא על ידי הדירקטוריון עבור כל סקירה או שאילתה של הרגולטור. בניגוד למסמכים או גיליונות אלקטרוניים סטטיים, זה הופך את הראיות ל"חיות": אתם רואים הכל משתנה ככל שהעסק שלכם מתפתח, ותמיד יש לכם נתיב ביקורת. מוכנות אמיתית לביקורת מתרחשת מדי יום, לא פעם בשנה.
הוכחת התאימות שלך אינה מה שאתה אומר בביקורת, אלא מה שהרישומים שלך יכולים להראות - באופן מיידי - לפי דרישה.
מקורות: (https://iw.isms.online),
