למי באמת יש את הסמכות לאכוף את 2 שקלים בבלגיה?
מבנה האכיפה של בלגיה עבור הוראה 2 שקלים ייתכן שדברים אלה עשויים להיראות כמו טלאים, אך ההיגיון הבסיסי שלהם ברור: כל אירוע משמעותי ונתיב הסלמה מובילים למרכז לאבטחת סייבר בבלגיה (CCB), שהוא הסמכות העליונה של המדינה בנושא 2 ש"ח. בעוד שרגולטורים מגזריים - FSMA והבנק הלאומי (BNB) למימון, FANC ו-CREG לאנרגיה וגרעין, BIPT לטלקום, ו-FOD BOSA למנהל הציבורי - מטפלים בתאימות השוטפת, ה-CCB שומר על סמכויות אכיפה עיקריות. כאשר אירוע חוצה גבולות מגזריים, מעורר עניין לאומי, או גורם להפרה משמעותית של דרישות החוק, סמכותה של ה-CCB נכנסת לתוקף באופן מיידי.
אחריות היא מטריצה: עליכם לדעת מהי נקודת הקשר הראשונה שלכם ואת נקודת הגיבוי שלכם, אחרת תסתכנו בהחמצת התחייבויות.
מטריצת רגולטורית זו פירושה שמנהיגי ציות חייבים למפות לא רק את הרגולטור המגזר שלהם, אלא גם היכן ההסלמה עוברת לפיקוח לאומי. אם אתם עסק היברידי, משרתים חוזים ציבוריים, או משולבים בשרשרת אספקה עם השפעה חוצת מגזרים, אתם צפויים לציין את ה-CCB כגיבוי במסמכי הממשל שלכם. כל הגופים המכוסים - חיוניים, חשובים או ציבוריים - חייבים להגיש את... דוח מקרה, הסלמות ותגובות ביקורת דרך ה בטוח ברשת@עבודה פורטל, המופעל על ידי ה-CCB. אין עוד תרחיש שבו פיקוח מגזרי "מספיק"; ה-CCB תמיד מחזיק בידית האכיפה הסופית (ccb.belgium.be; enisa.europa.eu).
| מגזר | ווסת(י) עופרת | נתיב הסלמה | פלטפורמת דיווח |
|---|---|---|---|
| פיננסים (בנקים) | FSMA, BNB | CCB (לאומי) | בטוח ברשת@עבודה |
| אנרגיה גרעינית/אנרגיה | פאנק, קרג | CCB | בטוח ברשת@עבודה |
| מנהל ציבורי | FOD BOSA, CCB | CCB (אוכף סופי) | בטוח ברשת@עבודה |
| טלקום | BIPT | CCB | בטוח ברשת@עבודה |
| בריאות, מים וכו'. | CCB (הובלה ישירה) | - | בטוח ברשת@עבודה |
עבור כל הישויות ההיברידיות או הרב-מגזריות: תמיד יש לתעד הן את הרגולטור המגזרי והן את ה-CCB כחלק ממטריצת ההסלמה שלכם. כל האירועים וההודעות עוברים דרך Safeonweb@work.
שלב של תרגול מומלץ: הבהירו במפורש ב-ISMS שלכם איזה רגולטור הוא הרגולטור העיקרי שלכם עבור כל תחום עסקי, מי הוא הגיבוי שלכם, ומהו חלון הדיווח הרשמי. כשלים בביקורת בבלגיה נובעים יותר ויותר מתיעוד לא ברור של הסלמה או מהנחות שגויות - לכן מפו את מבוך הרגולציה שלכם לפני שאתם מתמודדים עם תקרית אמיתית.
ניהול מקושר הוא הציות היחיד. ציות מגזרי לבדו מהווה כעת סיכון ביקורת מתועד.
מה השתנה בפיקוח על 2 שקלים בבלגיה בשנת 2024?
נכון לשנת 2024, בלגיה סיימה את עידן "קניות הפורומים" הסקטוריאליות והעמימות הרגולטורית. כל גוף הנכלל בסעיף 2 של NIS - ציבורי, פרטי, חיוני או חשוב - נדרש לרכז את דיווחי האירועים והציות דרך Safeonweb@work, ובכך למחוק את הבלבול הקודם לגבי היכן להסלים. גם כאשר גופים סקטוריאליים מקיימים פיקוח טכני ותפעולי על ציות, הסמכות הסופית, סמכות הענישה וחלון הדיווח הלאומי נמצאים כעת בלעדית בידי ה-CCB.
אל תניחו שעמידה טכנית ברשות מגזרית מבטיחה עמידה בדרישות של 2 שקלים ב-CCB. תעדו את חובותיכם הכפולות - ובדקו את שרשרת הדיווח שלכם לפני אירוע.
עבור גופים במגזר הציבורי, FOD BOSA משמש כנקודת הקשר העיקרית שלכם, אך זה אינו מחליף או עוקף את דיווח ה-CCB. אירועים, כמעט תאונות, ביקורות, ובעיקר כל אירוע בעל פוטנציאל לאומי או חוצה מגזרים חייבים לזרום דרך ה-CCB. אם אתם מספקים אספקה למספר תעשיות או עובדים עם הממשלה, מערכות ה-ISMS שלכם צריכות... תעד את קווי האינטראקציה שלך הן במגזר והן ב-CCB.
רשויות מגזריות הן בעלות ערך מקדיםהכנת ביקורת והבהרות טכניות, אך לא ניתן לסגור את הלולאה הרגולטורית לבדה. מודל 2024 של בלגיה שם את ה-CCB במושב הנהג בכל הודעה, אירוע גדול והסלמת תאימות. משמעות הדבר היא שהראיות, החלטות המדיניות ועקבות האירועים שלך חייבים להיות תמיד תואמים ל-CCB, ולא רק תואמים למגזר.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
כיצד רשת התגובה לאירועים של בלגיה מסתנכרנת - CSIRT.be, מגזרים, ENISA
כאשר מתרחש אירוע סייבר משמעותי, מערכת התגובה הבלגית פועלת בשכבות הסלמה קונצנטריות. רוב המגזרים המוסדרים (אנרגיה, פיננסים, תקשורת) מפעילים CSIRT משלהם, אך כאשר אירוע הוא מעבר לשגרה - חוצה מגזרים, מזיק או בעל השלכות כלל-אירופיות - הוא מועבר ישירות ל... CSIRT.be, הלאומי של בלגיה תגובה לאירוע צוות תחת שליטה של CCB.
שרשרת הפיקוד של CSIRT צריכה להיות מפורשת בספרי ההפעלה שלכם. כל האירועים הקריטיים עוברים ל-CSIRT.be ול-CCB - גם אם התגלו או נבדקו על ידי CSIRT ספציפי למגזר.
דמיינו את תהליך העבודה שלכם בהסלמה:
גילוי פנימי → CSIRT מגזרית (אם קיימת) → CSIRT.be (לאומית) → ENISA/CyFun (האיחוד האירופי)
כל אירוע - או אפילו חשד לכמעט תאונה - חייב להישלח כלפי מעלה תוך 24 שעות; ראיות מפורטות לסגירת האירוע צפויות תוך 30 יום. בלגיה מחייבת שכל האירועים "המהותיים" חוצי גבולות או חוצי-מגזרים ישותפו עם רשתות האיחוד האירופי (ENISA, CyFun) בהתאם לשרשרת הארצית. אם היקף או החוזים של הגוף שלכם משתרעים מעבר לבלגיה, ודאו שמערכת ה-ISMS שלכם כוללת ספרי הדרכה המשקפים את היגיון ההסלמה הזה והוכחת השתתפות בתרגילים לאומיים ושל האיחוד האירופי.
| אירוע טריגר | קו הסלמה | נדרשת הוכחה |
|---|---|---|
| בעיה טכנית שגרתית | CSIRT של המגזר | יומן אירועים, תקשורת IT |
| כלל-מגזר או חוצה גבולות | CSIRT.be (CCB) | ציר זמן, השפעה, תקשורת, שורש |
| השפעה חשודה על האיחוד האירופי | CSIRT.be → ENISA/CyFun | מעקב אחר התראות, מסמכי העברה לאיחוד האירופי |
הסלמה מתועדת ובזמן היא מדד ביקורת מרכזי - ואי הוכחת השתתפות בתרגילי ENISA/בלגיה עלולה כשלעצמה להוביל לממצאי תאימות.
אילו מגזרים בלגיים מכוסים על ידי 2 שקלים, ומה השתנה?
יישום NIS 2 בבלגיה מרחיב באופן חד משמעי את מי ש"נכנס" ומי לא יכול לבחור שלא. בליבתו נמצאים אנרגיה, מים, בריאות, פיננסים, תקשורת, תשתית דיגיטלית, תחבורה וכל רמות המנהל הציבורי. אך כעת היקף הפעילות כולל מגזרים שבעבר לא היו תחת התחום: מזון, מחקר מדעי, שירותים דיגיטליים, ייצור, מפעילי דואר/משלוחי שליחויות גדולים, ואולי רובם משבשים - ספקים גדולים שפגיעותם עלולה להשפיע על שירותים חיוניים (ccb.belgium.be; nortonrosefulbright.com).
ניתן להכניס עסקים קטנים ובינוניים בשרשרת האספקה לתחום בכל עת אם הם יוצרים סיכון מערכתי - אפילו עסקים הנמצאים תחת סף "ישות חשובה" צריכים לבדוק באופן שגרתי אם יש עדכוני ייעוד או בקשות ישירות מ-CCB.
מקרא: כל רשות ציבורית, בכל רמת ממשל, מכוסה כעת כברירת מחדל ב-2 שקלים. סקירות ספקים רבעוניות (או מחמירות יותר) הן כיום נוהג סטנדרטי לשמירה על תאימות.
| ישות/מגזר | סטטוס ברירת מחדל | מווסת/נקודת כניסה של עופרת | נתיב הסלמה | הערות |
|---|---|---|---|---|
| אנרגיה, מים, בריאות, פיננסים | חִיוּנִי | CCB + רגולטור מגזר | CCB, Safeonweb@work | לתעד את שני אנשי הקשר ב-ISMS |
| תשתיות דיגיטליות, תחבורה | חִיוּנִי | CCB | CCB ישיר | |
| כל המינהל הציבורי | חִיוּנִי | FOD BOSA + CCB | FOD BOSA → CCB | חובה חדשה במסגרת 2 שקלים חדשים |
| מדעי, מזון, שירותים דיגיטליים, דואר, ייצור | חָשׁוּב | CCB | CCB ישיר | חלים כללי "ישות חשובה" |
| ספקים/עסקים קטנים ובינוניים (סיכון שרשרת אספקה) | מִשְׁתַנֶה | CCB | CCB (שיקול דעת) | חוזה מסלול, סיכון, ייעוד |
אם ספק יחיד או חברת בת יוצרים סיכון מערכתי, CCB יכול לגרור אותם לתחום. זה רלוונטי במיוחד עבור חברות SaaS ושותפים בשרשרת האספקה המטפלים בנתונים או שירותים של תשתית קריטית.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
פתרון המסתורין של שרשרת דיווח האירועים הבלגית - מלכודות נפוצות בביקורת
מודל דיווח האירועים של בלגיה מתאפיין בלוחות הזמנים שלו ואינו סלחן לגבי טעויות. כל אירוע שזוהה (או "כמעט תקרית" עם פוטנציאל מערכתי) חייב להיות מועבר ל-CSIRT של המגזר שלך או ישירות ל-CCB/CSIRT.be תוך 24 שעות. עדכון מקיף חייב להתקבל תוך 72 שעות, ותיעוד סגירת האירוע צפוי תוך 30 יום (ccb.belgium.be; simontbraun.eu).
רוב הארגונים נכשלים בביקורות לא בגלל חולשה טכנית, אלא בגלל דיווח איטי, חבילות ראיות לא שלמות, או דיווח חסר של "כמעט והחמצה" (כשלים שלא החריפו אך עדיין דרשו גילוי).
ברור מפת התהליך-זיהוי אירועים, דיווח ראשון תוך 24 שעות, עדכון תוך 72 שעות, סגירה תוך 30 יום - הוא עמוד השדרה של מוכנות לביקורת.
| אירוע טריגר | שלב הדיווח | בקרת ISMS נספח א' | דרושה הוכחה |
|---|---|---|---|
| זוהה "כמעט תאונה" | דוח 24 שעות (CSIRT/CCB) | א.5.25, 5.26 | יומני רישום, תקשורת IT, התראות ספקים |
| אירוע מאושר | עדכון של 72 שעות (CCB) | A.5.25 | ציר זמן, תקשורת מועצת המנהלים, זיהוי פלילי/שורש הבעיה |
| הסלמה בשרשרת האספקה | במעלה השרשרת, הודע ל-CCB | A.5.19, ספק | תקשורת ספקים, שביל ביקורתראיות להסכם צד"ל |
| סגירת אירוע | צ'ק-אין לסגירה של 30 יום | A.5.27 | לקחים שהופק, עדכון מדיניות לאחר התקרית |
טיפ: הפיצו את שרשרת הדיווח הזו בין מנהלי האבטחה, ה-IT ומנהלי הסיכונים שלכם - צוותי ביקורת רגולטוריים יתייחסו אליה לעתים קרובות כהוכחה ליישור תהליכים. דיווח חסר על כמעט החטאות או אירועי שרשרת אספקה החמצה נותר נקודת הכשל העיקשת ביותר בביקורת.
כיצד בלגיה אוכפת את מס הכנסה 2: קנסות, ביקורות וסיכון בחדרי הישיבות
בלגיה היא בין גורמי האכיפה המחמירים ביותר של 2 שקל באיחוד האירופי, ומשלבת קנסות כספיים גבוהים (עד 10 מיליון אירו או 2% מהמחזור העולמי) עם אחריות ברמת הדירקטוריוןביקורות מתוזמנות וביקורות המופעלות על ידי אירועים התגברו, ומקובל לדרוש ערכות ראיות, אישורי מדיניות ויומני הדרכה עם אזהרה מינימלית. באופן קריטי, אחריות אישית חלה כעת על חברי דירקטוריון בגין כישלונות בניהול, תיעוד והסלמה יזומים של אירועי סייבר.
שאננות היא יקרה. אישור מדיניות ויומני סקירה של ההנהלה אינם מספיקים - הרגולטורים רוצים ראיות שוטפות וחיות לכך שהנהלת הארגון מנוהלת ועוקבת באופן פעיל אחר הציות.
אישור על ידי הדירקטוריון חסר משמעות ללא מדיניות ראיות חיות וחתומות בזמן אינה מהווה הוכחה אלא אם כן היא משולבת עם יומנים פעילים, רישומי הכשרת צוות ותיקי סגירת אירועים.
שרשרת ראיות עובדת - כולל מדיניות, פרוטוקול הדירקטוריון, יומני אירועים, אישורי הכשרת צוות ואירועי סגירת אירועים - חייבים להיות מעודכנים, מרכזיים וניתנים למעקב. כישלון בהודעה בודדת, בקשת ביקורת או יומן עלול להוביל לביקורות תהליכים נוספות, ובמקרים חמורים, לסנקציות אישיות. אין מקום לציות פסיבי; הראיות חייבות להיות חיות ונראות לעין.
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
חיבור תאימות בלגית ל-Mesh-CyFun, ENISA וסיכון ספקים של האיחוד האירופי
NIS 2 אינו משטר בלגי טהור אלא רשת תאימות כלל-אירופית. התחייבויות רב-לאומיות מחייבות ארגונים המפוקחים בבלגיה להראות הוכחת השתתפות ב- תרגילי רשת ENISA CSIRT ותרגילי CyFun EU; כל התקריות הגדולות ואירועי הספקים בסיכון מועברים ל-ENISA בנוסף ל-CCB. SBOMs, יומני סיכוני שרשרת אספקה וראיות מתרגילי CyFun אינם עוד תיעוד אופציונלי ב-ISMS שלכם ו- רישום סיכוניםs.
אכיפה היא כעת עניין כלל-אירופי. עיכובים, ראיות לא תואמות או דיווח איטי על אירועים משותפים מעלים את הסיכון למעורבות רגולטורית רחבה יותר של האיחוד האירופי.
עבור גופים עם שרשראות אספקה מורחבות באיחוד האירופי או ברחבי העולם, הדבר יוצר היקף נרחב. יומני התקשרות עם ספקים, מפות סיכונים חוזיים והשתתפות באירועי CyFun חייבים להיות מעודכנים באופן קבוע במערכת ה-ISMS שלכם ולהיות נגישים לפי דרישה.
הפעולות המיידיות שלך לצורך תאימות לתקן NIS 2 בבלגיה - כיצד ISMS.online ממקם אותך
הימנעות מהקנסות הבלגיים ומהפערים בראיות מחייבת כעת פעולה מיידית, מונעת פלטפורמה. ה-CCB, רגולטורים בתחום ומבקרים מצפים יותר ויותר למערכת תיעוד חיה, ולא לרשימות תיוג ידניות או גיליונות אלקטרוניים.
בהירות ושליטה מהיום הראשון - אל תחכו לאירוע רגולטורי או למכתב ביקורת כדי להתחיל את המסע שלכם עם NIS 2.
רשימת בדיקה לציות מיידי לתקן NIS 2 בלגי
- הירשמו ל-Safeonweb@work (CCB) והשלימו את קליטת הישות כמגזר מכוסה או ישות חשובה.
- מפו ותעדו את הרגולטורים הסקטוריאליים ואת גיבוי ה-CCB של כל מחלקה בתוך מערכת ה-ISMS שלכם; שמרו על רישום זה מעודכן באופן שוטף.
- סקור ועדכן באופן קבוע את שלך הסלמת אירוע ספרי עבודה - יש לוודא שדרישות הראיות לדיווח 24/72/30 יום ברורות ושהתפקידים מוקצים.
- על הסיפון ISMS.online מודולים: מינוף תבניות SoA מוכנות מראש, אוטומציות של זרימת עבודה עבור סיכוני אירועים וספקים, עוקבי תרגילי CyFun וחבילות ראיות עבור לוגיקה רגולטורית ספציפית לבלגיה.
- קבעו סקירות רבעוניות עבור כל חוזי הספקים והישויות ההיברידיות; עדכנו את רישום סיכונים עם כל שינוי מהותי.
- שמור יומני ראיות עבור כל המדיניות, אירועי התקריות, הודעות הספקים וסקירות ההנהלה - תוך הבטחת מעקב אחר כל לולאת התאימות.
למה ISMS.online?
ISMS.online מאחדת זרימות תאימות בלגיות וכלל-אירופיות - התומכות ב-Safeonweb@work, תרגילי CyFun/EU, שילוב רגולטורים מגזריים, מטריצות ראיות מוכנות מראש ויומני מעורבות עם ספקים בפלטפורמה אחת. זה מאפשר תגובה מהירה ובטוחה לביקורת; אינך צריך להיות מומחה רגולטורי כדי להשיג ולהוכיח תאימות ל-NIS 2 עבור בלגיה.
עוצמת הציות שלך משתקפת בראיות שלך, במוכנות שלך לדיווח, ובמידה שבה כל נתיב ממופה לפני התרחשות האירוע הבא.
שאלות נפוצות
מי אוכף את דרישות 2 שקלים בבלגיה, ומה הקשר בין רשויות מגזריות לאומיות?
בלגיה אוכפת את 2 שקלים באמצעות מערכת כפולהרגולטורים במגזר מספקים פיקוח טכני ופיקוח יומיומי על תאימות, בעוד ש- המרכז לאבטחת סייבר בבלגיה (CCB) שומרת על סמכות המשפטית והאכיפה העליונה כרגולטור הלאומי. לכל מגזר - בתחומי הפיננסים (FSMA), הטלקום (BIPT), הגרעין (FANC), הבריאות, האנרגיה והמינהל הציבורי (FOD BOSA) - יש רשות ייעודית האחראית על ביקורות, בקרות והנחיות קו ראשון ספציפיות למגזר. עם זאת, בכל פעם שמתרחש אירוע משמעותי, מתגלה אי ציות קריטי או מתגלים סיכונים מערכתיים, הסלמה ל-CCB היא חובה ומיידית. ה-CCB מפעילה גם את CSIRT.be, הרשות הלאומית של בלגיה. תגובה לאירוע מרכז, המתאם לא רק ברמה הלאומית אלא גם ברמה האיחוד האירופי (ENISA, CyFun).
בבלגיה, כל שיבוש בשרשרת האספקה או אירוע ביטחוני בסופו של דבר נוחת כאשר הבדיקות המגזריות של ה-CCB הן רק קו ההתחלה.
תפקידים מעשיים:
- מפקח מגזר: מטפל בפניות טכניות יומיומיות, מדיניות מגזרית וסקירות פנימיות; ממליץ על שיפורים.
- קרן ביטוח לאומית: מוביל את אכיפת החוק, מטיל קנסות, מנהל דיווחים לאומיים/אירופאיים (כולל קישור ל-ENISA/CyFun) ומבטיח הרמוניזציה בין-מגזרית.
- CSIRT.be: מעגן את תגובת בלגיה לאירועים לאומיים; מרכזי להסלמות ולתרגילי האיחוד האירופי.
נקודת תאימות מרכזית:
ללא קשר לרגולטור העיקרי של המגזר, מערכת ה-ISMS ומסלול הראיות שלך חייבים תמיד לשקף מיפוי כפול: רשות המגזר וה-CCB. פערים בביקורת וסיכון רגולטורי מתעוררים לעתים קרובות כאשר רק קו פיקוח אחד ממופה או מתעדכן.
כיצד פועלת מערכת התגובה וההסלמה של בלגיה במסגרת NIS 2?
תגובת בלגיה לאירועים נועדה כ... רשת רב שכבתיתכל מגזר מקיים CSIRT משלו (למשל, עבור בנקים, בריאות, טלקום) המטפל במיון ובתגובה ראשונה לאירועים ספציפיים למגזר. כל האירועים בעלי ההשפעה הגבוהה או חוצי-מגזרים נקבעים. התגבר תוך 24 שעות ל-CSIRT.be (תחת ה-CCB). CSIRT.be הופך למרכז התפעולי לאירועים קריטיים, ארגון תיאום ברמה הלאומית, דיווחים של האיחוד האירופי (ENISA) ותרגילי סימולציה של CyFun.
כל גוף מוסדר (חיוני או חשוב) חייב:
- להודיע לשניהם: CSIRT של המגזר *ו* CSIRT.be/CCB תוך 24 שעות מאירוע משמעותי, גם אם נראה שהפריצה מוגבלת למגזר.
- השתמשו ב-Safeonweb@work לקבלת הודעות רשמיות ולכידת מעקב ביקורת.
- להשתתף ב-ENISA/CyFun (סימולציות משבר כלל-איחוד אירופי) ולתעד תרגילים אלה ב-ISMS.
כשלים נפוצים בביקורת כוללים דיווח לא תקין של אירועים רק ל-CSIRTs מגזרים, השמטת הסלמה לאומית, או היעדר ראיות להשתתפות בתרגילים. מעורבות פרואקטיבית - שבה קווי הסלמה מתורגלים, ולא רק כתובים - מבדילה בין ארגונים בוגרים לבין ארגונים מפגרים בביקורת.
שלבי הסלמה אופייניים:
- מתעוררת תקרית: יש להודיע ל-CSIRT של המגזר + CSIRT.be/CCB תוך פחות מ-24 שעות.
- השפעה חוצת מגזרים או מערכתית: להסלים באופן מיידי לרמה הלאומית/האיחוד האירופי.
- אירועי תרגיל/בדיקה: תיעוד ב-ISMS, כולל לקחים שנלמדו ועדכוני רישום.
אילו ארגונים מכוסים על ידי מס 2 NIS בבלגיה, וכיצד מנוהל הרישום?
משטר 2 שקלים חדשים של בלגיה חל כעת על גופים חיוניים וחשובים על פני מגוון רחב של ספקטרום: אנרגיה, פיננסים, תחבורה, בריאות, אספקת מים, תשתיות דיגיטליות, דואר/משלוחי שליחויות, מזון, מינהל ציבורי, מחקר מדעי וספקים לעסקים קטנים ובינוניים בעלי תפקידים מערכתיים. יש לציין, CCB יכול להגדיר כל עסק כנמצא במסגרת אם הוא מהווה סיכון לשרשרת האספקה, סיכון מערכתי או סיכון לאומי - גם אם מדובר בעסק קטן או בגורם לא מסורתי.
ההרשמה הושלמה באמצעות בטוח ברשת@עבודה, ללא קשר לתאימות המגזר. ארגונים קיימים וארגונים חדשים כאחד חייבים לשמור על רישום מעודכן, המקשר אותם הן לפיקוח המגזר שלהם והן ל-CCB. אם אתם מרחיבים את שרשרת האספקה שלכם, מוסיפים שירותים קריטיים או שהסטטוס הרגולטורי שלכם משתנה, אתם אחראים לעדכן את הפרופיל שלכם ללא דיחוי.
| סוג הארגון | הרשמה (Safeonweb@work) | מֶחדָל | ישויות לדוגמה |
|---|---|---|---|
| בנקים, אנרגיה, בריאות | יש | מגזר + CCB | בנק, בית חולים, רשת |
| דיגיטלי, מחקר | יש | מגזר + CCB | ספק ענן, אוניברסיטה |
| הציבור או הספקים | יש | FOD BOSA או מגזר + CCB | משרד, ספק לוגיסטיקה |
| ספק קריטי | יש | CCB (ישירות, בכל עת) | SaaS, שרשרת לוגיסטיקה |
הערה: ה-CCB יכול "לסווג מחדש" עסקים כחיוניים/חשובים על סמך סיכון לאומי או מגזרי חדש, ולכן התיעוד ומיפוי ISMS חייבים להיות דינמיים.
מהם מועדי הדיווח של בלגיה על אירועים ונקודות הכשל הנפוצות בביקורת עבור NIS 2?
מנדטים בלגיים כמה מלוחות הזמנים הקצרים ביותר לדיווח באיחוד האירופי:
- תוך 24 שעות: הודעה על אירוע הן ל-CSIRT של המגזר והן ל-CSIRT.be/CCB, על פי חוק.
- תוך 72 שעות: דוח טכני מפורט ודו"ח שורש הבעיה, כולל רישומי ראיות ותקשורת.
- תוך 30 יום: תיק סגירה, נתיחה שלאחר המוות והוכחת תיקון, לקחים שנלמדו והוכחות למעורבות הדירקטוריון.
| שלב | מועד אחרון | למי יש להודיע | ראיות/פעולות צפויות |
|---|---|---|---|
| אירוע מוקדם | <24 שעות | CSIRT.be + CSIRT של המגזר | התראות, יומני ציר זמן, השפעה על נכסים |
| דו"ח מפורט | <72 שעות | שניהם למעלה | סיבה עיקרית, החלטות, יומני ספקים |
| סגירה | <30 ימים | שניהם למעלה | יומן שיעורים, חתימה של הדירקטוריון, תוצאות בדיקה |
מלכודות ביקורת:
- דיווח ל-CSIRT של המגזר בלבד, לא ל-CSIRT הארצי.
- חותמות זמן וראיות יומן חסרות או נוצרו לאחר מעשה.
- ראיות סטטיות או מתות, לא רישומי ISMS "חיים".
- פתקי אישור של ספק/דירקטוריון לא שלמים, איחורים או חסרים.
- היעדר יומני תרגילים רשמיים של CyFun/ENISA ותיעוד של מעורבות שרשרת האספקה.
ההבדל בין לעבור לכישלון: ביקורות NIS 2 בלגיות מצפות מכם להוכיח עמידה בדרישות בזמן אמת, לא רק באמצעות מדיניות לאחר מעשה.
מהם העונשים, סוגי הביקורת והאחריות ברמת הדירקטוריון עבור 2 ש"ח בבלגיה?
ה-CCB, בגיבוי רשויות התחום, יכול להטיל קנסות של עד 10 מיליון אירו או 2% מהמחזור העולמי לכל אירוע - רמה התואמת את הסטנדרטים המחמירים ביותר של האיחוד האירופי (חוק בלגי, 2024). ניתן להחזיק דירקטורים וחברי דירקטוריון אחריות אישית-במיוחד במקרה של כשלים בהסלמה, דיווח לא שלם או ראיות חיות לא מספקות לשליטה.
ביקורות עשויות להיות מתוכנן או מפתיע, וכעת דורשים הדרכות "חיות": הרגולטורים מצפים ליומנים עם חותמת זמן, שבילי פעולות ותיעוד רשמי של סקירות הדירקטוריון וההנהלה - המופקים לפני הפעלת הביקורת, ולא בתגובה. תאימות פסיבית - עצם קיום קבצי PDF או מדיניות - היא עילה ל בדיקה רגולטורית.
| סיכון ביקורת | טריגר רגולטורי | חשיפת הדירקטוריון |
|---|---|---|
| דוח מאוחר/לא שלם | ביקורת פתע | אחריות אישית, כישלון כניסה |
| ראיות מתות | ביקורת מתוזמנת | ספקות לגבי בדיקת נאותות |
| אין CyFun/ENISA | ביקורת נושאית/איחוד אירופי | חקירה ברמת האיחוד האירופי |
בפועל: שגרה, עמידה בתקנות - יומני ראיות, תיעוד של ספקים ודירקטוריון וחזרות על אירועים - הם הסטנדרטים המינימליים, לא גורמים מבדילים.
כיצד חברות בלגיות משתלבות ברשת הסייבר של האיחוד האירופי: ENISA, רשת CSIRT, CyFun?
ה-CCB של בלגיה (דרך CSIRT.be) הוא צומת ליבה ב"רשת" הסייבר של האיחוד האירופי. כל הגופים הבלגיים החיוניים והחשובים חייבים למפות ולבחון באופן פעיל הודעות חוצות גבולות, לשמור רישומי סיכונים של ספקים ושותפים (כולל תלויות בין CyFun ל-ENISA), ולתרגל תרחישי הסלמה אנכיים ואופקיים כאחד (למשל, תרגילי CyFun של ENISA). יש לתעד ולהוכיח את השתתפות CyFun לצורך ביקורות.
אי ציות לתקנות מעמיד ארגונים בסיכון לסנקציות בלגיות ואיחוד האירופי כאחד - ואובדן זכאות לחוזים חוצי גבולות מרכזיים.
שלבי תאימות בין-אירופית:
- מיפוי ותרגול של הסלמה לנקודות ברמת בלגיה וברמת האיחוד האירופי (ENISA).
- שמור יומן רשמי של השתתפות ותוצאות בתרגילי CyFun/ENISA.
- עדכן את ערכת הראיות של ISMS לאחר כל תרגיל או שינוי רגולטורי.
מהם הצעדים המיידיים להשגת תאימות לתקן NIS 2 הבלגי, וכיצד ISMS.online יכול לתמוך?
- הירשמו ללא דיחוי ב-Safeonweb@work; הקצאת אנשי קשר ושרשראות שותפים למסמכים.
- מיפוי כל תפקיד בנכס, ספק ותקרית הן לפיקוח המגזר והן לפיקוח של ה-CCB; תרגלו ותעדו את מסלולי ההסלמה שלכם.
- שמרו על ראיות ISMS "חיות": יומני אירועים, רישומי ספקים ופעילות CyFun/ENISA, כאשר אישורים של הדירקטוריון/הנהלה מתועדים באופן רציף.
- תזמנו וסימולצו את שרשראות התגובה לאירועים ודיווחים כל 3-6 חודשים, תוך רישום התוצאות כחלק רשמי מחבילת הראיות שלכם.
- האצת תפוקת הביקורת עם ISMS.online: אוטומציה של לכידת ראיות, רישום כפול של הסלמה, תיעוד תרגילי CyFun/ENISA, ומפחיתה שגיאות ידניות בדרישות בלגיה והאיחוד האירופי.
| תוֹחֶלֶת | איך לבצע תפעול | תקן ISO 27001/נספח א' |
|---|---|---|
| תאימות כפולה מיפוי | מיפוי נכסים/בקרה של ISMS, תפקידים | סעיף 6.1, A.5.2 |
| ראיות חיות | יומני מעקב עם חותמת זמן, תרגילי CyFun, ביקורות לוח | א.5.24, א.5.27, א.7.3 |
| הוכחת שרשרת אספקה | יומן ספק, ניהול נתונים, אישור ביקורת | א.5.19, א.5.21, א.7.10 |
| מוכנות CyFun/ENISA | רישומי תרגילי ISMS, מיפוי ספקים | א.5.27, א.5.28, א.7.3 |
ראיות חיות ואקטיביות הן ההגנה הטובה ביותר שלכם - משטר ה-NIS 2 החדש של בלגיה מצפה לכך מחדר הישיבות ועד ל-ISMS, משרשרת האספקה ועד לרשת האיחוד האירופי. פתרונות כמו ISMS.online מאפשרים לכם להתמקד בחוסן אמיתי במקום לחרוג ממועדי הביקורת.
ISMS.online מאחדת את משטר NIS 2 של בלגיה עם דרישות מגזריות ולאומיות - ומעצימה צוותי ציות לעבור ביקורות מהר יותר, להפחית עבודות חוזרות ולהוביל עם ראיות לפני שהמשבר הבא יפגע.
