האם החברה שלך יכולה להיות במסגרת? בדיקת המציאות החדשה של 2 שקלים חדשים
רוב הארגונים עדיין מניחים של האיחוד האירופי הוראה 2 שקלים (2022/2555) - רפורמת אבטחת הסייבר המשמעותית ביותר ביבשת מזה שנים - חלה רק על חברות שירות, בנקים או "ענקים" אחרים הנמצאים תחת אור הזרקורים הלאומי. שאננות זו מסתכנת כעת בלקחים קשים. כיום, רשת 2 השקלים נפרשת רחבה הרבה יותר: אם העסק שלכם - ספק SaaS או ענן, מפעיל שרשרת לוגיסטיקה, סטארט-אפ בתחום הבריאות, MSP אזורי - מספק אמון דיגיטלי או המשכיות שירות ללקוח, שותף או ישות מגזר ציבורי, תוכלו לשבת ישירות בהיקף, ללא קשר לגודל החברה או לתגיות הקלאסיות של "מגזר קריטי". מה שקובע הכללה אינו תווית המגזר הישנה שלכם - אלא הסיכון והתלות בפועל שבעלי העניין שלכם מטילים עליכם.
רוב הנקודות העיוורות של ציות צצות לראשונה בעסקה מתעכבת או בשאלון דחוף, ולא באזהרה רשמית מהרגולטור.
הסתמכות על פטורים מהעבר או על מוניטין של המגזר לא תגן עליכם. רישומים לאומיים משתנים מדי חודש; קשרי שרשרת אספקה גורמים לחשיפה בלתי צפויה; לקוחות ארגוניים מבקשים כעת ראיות כחלק מבדיקת נאותות. ברחבי אירופה, העולם האמיתי אכיפת 2 שקלים פחות עוסק בספים מופשטים ויותר במה שקורה כאשר הפעילות הרגילה של השירותים שלך מהווה בסיס לחוסן של ארגון אחר. אם אתה מחזיק במפתחות להמשכיות, אמון או נתוני לקוחות, משטר NIS 2 מחשיב אותך יותר ויותר כחלק ממערכת האקולוגית של האבטחה.
כיצד לדעת במהירות אם 2 שקלים חלים עליך
תובנה מתחילה בהערכה עצמית כנה לחלוטין - בלי לחכות להודעה ציבורית ברישום. "ההכללה" של NIS 2 היא דינמית, ומשתנה ברגע שהפעילות, טביעת הרגל החוזית או מספר העובדים שלכם חוצים גבולות חדשים. הנה האותות האמינים ביותר - רשימת בדיקה שהארגון שלכם צריך לחזור עליה באופן קבוע:
- האם אתם מספקים שירותים דיגיטליים, SaaS או מנוהלים בתוך האיחוד האירופי - אפילו עבור לקוח בודד?
- האם אתה קבלן המשנה היחיד או הקריטי עבור מגזר חיוני (תשתיות, בריאות, תחבורה)?
- האם החברה שלך מעסיקה 50 עובדים או יותר, או מדווחת על מחזור של מעל 10 מיליון אירו?
- האם נרשמת או הוזכרת כספק בבדיקת רכש כלשהי של לקוחות, מרשם או ממשלה?
תשובה "כן" לכל אחת מהתשובות מחייבת סקירה מלאה ומיידית על ידי מנהל הציות שלכם - זו אינה משימה לביקורת של השנה הבאה. רגולטורים באיחוד האירופי ובמדינות ממליצים בחום על בדיקות רבעוניות, או בכל פעם שאתם סוגרים חוזה משמעותי, מגדילים את הצוות, משנים את מבנה החברה או עוברים תהליך קליטה עם לקוח מוסדר. מכיוון שהיקף NIS 2 החדש אינו סטטי, החובות המשפטיות והתפעוליות שלכם יכולות לעבור מ"החוצה" ל"פנימה" באירוע עסקי יחיד.
| שאלת היקף מרכזית | סקירת טריגרים? | ראיות/הפניות |
|---|---|---|
| לשרת את המגזר החיוני (נספח I/II)? | ✔ | מפת מגזר ENISA, לקוחות עיקריים |
| ספק יחיד/אסטרטגי לארגון מוסדר? | ✔ | רישום ספקים, מסמכי קליטה |
| ≥ 50 עובדים או תחלופה של 10 מיליון אירו? | ✔ | רישומי משאבי אנוש ופיננסים |
| נקרא ברכש, במרשם, בביקורת? | ✔ | תקשורת חוזית, רישום |
משאבים עיקריים:
- ENISA 2 ₪ תרשים זרימה מגזרי
- הנחיות למרשם הלאומי של CCB בלגי
- שאלות נפוצות בנושא ILR בלוקסמבורג
חברה שאינה תחת תחום פעילותה כיום יכולה להיות בטווח ראייה של הרגולטור עם לקוח חדש אחד או חתימה על חוזה. (ILR לוקסמבורג)
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
מהם הגורמים המשפיעים בפועל על בדיקה עצמית עבור 2 שקלים? (ומה לעשות הלאה)
הסיכון האמיתי הוא להיות מופתעים - לגלות שהיית בטווח כבר חודשים רק כאשר צינור המכירות נתקע, או לקוח מוסדר מבקש ראיות שמעולם לא בניית. NIS 2 משכתב את ההיגיון: "חכה ותראה" הוא מה שמוביל לקנסות, סיכון חוזי או נזק תדמיתי. במקום זאת, צוותי תאימות צופים פני עתיד מתייחסים לטווח כאל קטגוריה חיה - כזו שאתה עוקב, רושמת ומעדכן יחד עם כל חוזה או ערך רישום משמעותי.
שלב אחר שלב: תגובה לגורמים פוטנציאליים לפגיעה בהיקף
-
זהה את הטריגר
חוזה גדול חדש, הכפלת כוח האדם, הכללה במרשם הספקים של הלקוח, בקשה למסירת ראיות בטופס קליטה - כל אחד מהם מהווה טריגר חי לבדיקת היקף הפרויקט. -
התחל סקירה מקיפה
עיינו ברשימת התיוג הנוכחית שלכם לתחומי הישימות של NIS 2, השוו אותה לרשימות המגזרים של נספח I/II, וסרוק את זרימות הלקוחות ושרשרת האספקה הפעילים שלכם. -
עדכון רישום הישויות
ודא שאתה מתעד את גודל הישות, המעמד המשפטי, המגזר התפעולי וכל שינוי בלקוחות מרכזיים או במצב שרשרת האספקה. -
מיפוי וקישור קשרים
כל קשר חדש עם לקוח, שותף או ספק צריך להיות ממופה במפורש לקריטריונים של מגזר NIS 2 ולמצב הרישום. -
רשום את הראיות
שמור את כל החוזים, מסמכי קליטת הספקים, כתובות הדוא"ל של הלקוחות המתייחסות ל-NIS 2, הודעות משאבי אנוש על גידול בכוח אדם וכל תקשורת מהמרשם הלאומי. -
הודע למנהל/ת הציות/המשפטי/ה שלך
אם מתגלה שינוי, יש להפעיל את תוכנית ההסלמה: יש לשלב את ראש הציות/IT שמונה, ובמידת הצורך, יש להתחיל בדיווח לרשויות הרגולטוריות או הלאומיות. -
עדכון הצהרת הישימות (SoA)
בדקו היטב שהבקרות והסיכונים הממופים שלכם משקפים את ההיקף והמצב העדכניים ביותר ברישום.
דוגמה למעקב: "הכללה שקטה" בפעולה
| הדק | עדכון סיכונים | בקרה/SoA | ראיות שנרשמו |
|---|---|---|---|
| לקוח שירות חדש | הספק רשום | A.5.19/A.5.20 | קליטה + רישום |
| מספר הצוות עולה על 50 | סף ישות | סעיפים 4.1, 5.2 | קובץ משאבי אנוש, פרוטוקול |
| רישום רישום | עדכון היקף | 4.3, A.5.19 | ייצוא רישום |
סטטוס NIS 2 הוא מעקב גמיש ותיעוד שינויים תוך כדי תיעוד, אחרת מסתכנים באיחור בטבלת התאימות.
במה שונה "חיוני" מ"חשוב"? (קטגוריית ישות, ביקורת, אכיפה)
סעיף 2 של NIS מבחין באופן חד: ישויות "חיוניות" (נספח I) לעומת ישויות "חשובות" (נספח II). שתי הקטגוריות חייבות לעמוד בדרישות אבטחת סייבר מחמירות, דוח מקרהותקני ממשל תאגידי. אך המינוי שלך משפיע על תדירות הביקורת שלך, חובות דיווח על אירועים, נראות הרישום וסכמי קנסות מקסימליים.
חיוני לעומת חשוב: הבדלים מרכזיים
| גורם | חיוני (נספח א') | חשוב (נספח II) |
|---|---|---|
| דוגמאות למגזרים | אנרגיה, מים, תחבורה | תשתית דיגיטלית, SaaS, ייצור |
| רישום | רשום אוטומטית | נוסף לכל סף/אירוע |
| ביקורת | מתוכנן, מונחה על ידי הרגולטור | הופעל על ידי אירוע/בקשה |
| דווח | 24–72 שעות, דד-ליינים נוקשים | 72 שעות, לאחר האירוע |
| גילוי | חובה להצהיר על סטטוס של 2 שקלים חדשים | לפי בקשה, על בסיס חוזה |
| עונשים | עד 10 מיליון אירו או 2% מהמחזור | עד 7 מיליון אירו או 1.4% מהמחזור |
מציאות סטטיסטית: בבלגיה, למעלה מ-2,000 ישויות חדשות נוספו למרשם המפוקח בשנה הראשונה של 2 ש"ח - עלייה של כ-40%+ בהיקף לעומת הציפיות מדור קודם (CCB בלגי, 2024).
עבור רבים, סטטוס "חיוני" מתגלה לא בהערכה עצמית, אלא כאשר הלקוח מוצא את המודעה שלכם במהלך הרכש. (ה-CCB הבלגי)
פעולה: אם יש לך ספק, ודא את הסטטוס מול הרישום הלאומי שלך או הרשות המוסמכת - ואל תחכה להודעה רשמית.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
כיצד משפיעות הבדלים בין מדינות החברות על סטטוס NIS 2 שלך?
למרות ההתכנסות ברמת האיחוד האירופי, כל מדינה שומרת על פרשנות משלה להנחיה - לא רק לגבי מגזר וספים, אלא גם לגבי אופן ההטמעה במרשם, מעמד הספק ומשטרי הביקורת. הסטטוס "מחוץ לתחום" שלך באירלנד עשוי להתהפך על ידי לקוח חדש אחד בגרמניה, או עדכון מרשם בספרד.
גבולות הציות משתנים כעת בהתאם לנוכחות התפעולית שלכם, לא רק עם המטה שלכם. (הנחיות ענף ENISA)
התאמה להיקף רב-שיפוטי
- בדיקות שגרתיות במרשם הלאומי: רישומים אלה מתעדכנים באופן קבוע, לרוב מדי חודש, כאשר רשויות מגזריות מוסיפות גופים, ספקים ולקוחות חדשים וככל ששרשראות האספקה מתפתחות.
- סיכוני הכללה עקיפים: אפילו ללא חוזים ישירים עם לקוחות, ייתכן שתצברו מעמד של קבלן משנה קריטי - או באמצעות משמרת של שותף.
- "הגירה בהיקף חוזי": ספקי SaaS חוצי גבולות ושרשראות אספקה בינלאומיות חייבים לנטר בקפדנות עסקאות ואחסון נתוני לקוחות.
- מעקב תאימות מרכזי ואוטומטי: השתמשו בפלטפורמת ה-ISMS או התאימות שלכם כדי ליישר קו בין אירועי הרישום, הרכש ושרשרת האספקה - מעקב אחר אירועי שרשרת האספקה הוא כעת מטבע עניינים.
| אירוע/שינוי | תגובה/פעולה | עדות ביקורת |
|---|---|---|
| הכללה חדשה במרשם (מדינה) | התראה + סקירת היקף | ייצוא רישום, הערת זרימת עבודה |
| חוזה חוצה גבולות גדול | הערכת היקף מחדש | חוזה + בדיקה משפטית |
| הלקוח דורש הוכחה | צור מסמך תאימות | מסמך רישום + הקלטה |
להישאר צעד אחד קדימה בחשיפה פירושו להתייחס לתאימות כאל תהליך חי - לא כאל קופסה שמתאפסת רק מדי שנה או לאחר ביקורי מבקרים.
אילו ראיות רוצים רגולטורים ולקוחות - וכיצד מכינים אותן?
משטר 2 ליש"ט נועד למטרות ראיות, לא להצהרות. רשויות וקונים עסקיים מצפים למידע מיידי, ניתן לאימות ובר-השגה. רשומות ניתנות לביקורת-לא נרטיבים או קבצי PDF סטטיים. פערים ייחשבו כאי-ציות, עם קנסות, עיכובים או השלכות של חסימת עסקה.
כאשר עמידה בדרישות תלויה בראיות, אמון ללא תיעוד לא יעבור את הביקורת.
סוגי ראיות מרכזיות עבור 2 שקלים חדשים
- היסטוריית הערכה עצמית: יומני רישום רבעוניים (או מופעלי אירועים) לפי תבניות ENISA/לאומיות; שינויים בבסיס הלקוחות, במגזר, בצוות או ברישומי הרישום.
- מיפוי נתוני ישות ובקרה: רישומי משאבי אנוש ופיננסים, יומני תנאי שימוש, תוספות לרישום ספקים, פרוטוקולי ניהול.
- עדכוני חוזים ורישום: ארכיון דיגיטלי של כל אירוע בחוזה/רישום שיכול להשפיע על היקף החוזה.
- מעקב אחר תנאי שימוש/בקרה: כל עלייה בהיקף נרשמה עם ראיות ממופות - ללא חוליות חסרות.
מיני-טבלת עקיבות מאירוע לראיות
| אירוע עסקי | עדכון סיכונים/היקף | מיפוי/SoA | עדות ביקורת |
|---|---|---|---|
| חוזה ספק חדש (האיחוד האירופי) | מיפוי ספקים | א.5.19, א.5.20 | חוזה, קבצי קליטה |
| צוות חוצה 50 | קטגוריית ישות למעלה | סעיפים 4.1, 5.2 | תיק משאבי אנוש, רישום סטטוס |
| עדכון רישום רגולטורי | סקירת הרישום | סעיף 4.3, A.5.19 | ייצוא רישום, יומן לוח |
עם כל שורה, אתם יוצרים "מפת דרכים לביקורת" - אף אירוע לא נותר בלתי שלם לאורך שרשרת התאימות.
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
מדוע תאימות "בזמן אמת" ושקיפות בשרשרת האספקה חיוניים
עם 2 שקלים, ביקורות פעם בשנה ועוד עדכוני מדיניות שמתעכבים - זה כבר לא מספיק. מסע הציות שלכם גלוי הן למבקרים והן לקונים מדי יום. המבדיל האמיתי הוא המהירות והבהירות שבה אתם מספקים רישומים חיים, יומני תנאי שימוש הניתנים למעקב ואישורי תאימות בשרשרת האספקה - בשפה פשוטה ומוכנים להגשה, לפני שהשאלה מגיעה.
המהירות שבה אתם מספקים ראיות אמינות לתאימות מעצבת כעת הן את האמון והן את סגירת העסקה.
פעולות ליבה לצורך תאימות מתמשכת
- מרכז מסמכים ורשמים: פלטפורמה דיגיטלית אחת לחוזים, רישום, SoA, רישומי HR1 ואישורי פוליסה.
- אוטומציה של התראות שינויים: כל שינוי מהותי בעסק או בשרשרת האספקה מפעיל תהליך עבודה של תאימות ותיעוד.
- הפעלת לוחות מחוונים לפי דרישה: דיווח בזמן אמת עבור שאילתות בנושאי תאימות, משפט, ביקורת או רכש - ללא צורך בטלטולים.
- ראיות חיות לבדיקת לחץ: הרצו בדיקות עצמיות, הציעו בדיקות יבשות של ביקורת פנימית, וודאו שהרישומים שלכם מוכנים לבדיקה חיצונית בכל עת.
| טריגר תאימות | תפקיד / צוות | פעולה | מפתח ראיות |
|---|---|---|---|
| לקוח מוסדר הצטרף | תאימות, IT, מכירות | עדכון רישום/SoA | אישור לקוח, יומן |
| סף הצוות הגיע | משאבי אנוש, ציות, דירקטוריון | עדכון סטטוס, סקירת סיכונים | פרוטוקול משאבי אנוש, חתימה |
| שדרוג רישום | דירקטוריון, ציות, דירקטורים | הערכה עצמית מהירה | ייצוא, הערת מועצת המנהלים |
| שאילתת הרגולטור | תאימות, מכירות, משפט | ייצוא מיידי של מסמכים/דוחות | צרור ראיות, אישור |
כיצד לשלב בצורה חלקה את ISO 27001 ופרטיות (GDPR/ISO 27701) בתוכנית NIS 2 שלכם
פיצול עבודת האבטחה, הפרטיות ושרשרת האספקה הוא מקור מוביל לסיכון נסתר ומאמץ כפול. NIS 2 נבנה על עמוד השדרה של ה- ISO 27001מודל /27701 - מה שהופך את איחוד בקרות, ראיות וניהול תהליכים בפלטפורמה אחת או ISMS לפרקטי.
ISO 27001 × NIS 2: שולחן גשר מעשי
| תוֹחֶלֶת | מסלול יישום | ISO 27001 / נספח |
|---|---|---|
| סקירת סיכונים שוטפת | מיפוי ראיות רבעוני | 6.1.2, 8.2, 9.1, A.5.7 |
| ראיות חיות | תנאי שימוש דיגיטליים ויומן רישום | 7.5, A.5.1, A.5.10, 4.4 |
| חוסן שרשרת הספקים | תהליך קליטה אוטומטי | א.5.19–א.5.22 |
| שילוב פרטיות | יומן SAR, GDPR מיפוי, מפת זרימת נתונים | ISO 27701, סעיף 30 בתקנת ה-GDPR, A.5.34 |
התוצאה: מערכת ה-ISMS שלכם כבר אינה פריט תקופתי - זוהי סביבת ההפעלה שלכם לכל דרישות NIS 2 והרגולציה, המחולקת בצורה חכמה לכל מסגרת או התחייבות, כך שתוכלו לענות על כל שאלה בלחיצה אחת.
מנהיגות בתאימות: תמיד פעיל, תמיד מוכן לביקורת
המדד האמיתי של מוביל בתחום הציות כיום אינו רק להיות "נטול קנסות" או להישאר מחוץ לרדאר של הרגולטור. מדובר בבניית יכולת להוכחה מיידית ותיעודית - הבטחה שביקורות, בקשות לקוחות או פניות של הרגולטור הן פשוט שגרתיות, ולא משברים.
מנהיגות פירושה סגירת הפער בין שאלות רגולטוריות לתשובות באיכות של דירקטוריון - לפני שהעולם החיצון בכלל מודד אותך.
ספר הדרכה למנהיגות (סיכום קצר)
- הערכה עצמית אמיתית, תוך כדי תנועה: כל גורם מפעיל מהותי (חוזה, עובדים, סמכות שיפוט) דורש סקירה ועדכון מתועד.
- אוטומציה של תקשורת שקופה: עם כל בעלי העניין: צוות, ספקים, לקוחות והדירקטוריון.
- שמרו על רישום יחיד וחי: איחוד ראיות, חוזים, תנאי שימוש ויומני קליטה - ניתנים להגנה ונגישים.
- בניית מסלולי ביקורת בזמן אמת: הכנה אינה מאבק שנתי; היא משולבת בתהליכים שגרתיים ובמעורבות בעלי עניין.
- לגשר על כל המסגרות: NIS 2, ISO 27001/27701 וחובות שרשרת האספקה, כולם נשענים על אותם בקרות ליבה, רישומים ומדדים מעודכנים.
- עמדה ליתרון אסטרטגי: כאשר השוק דורש הוכחות, אינכם מסבירים או מתעכבים - אתם מדגימים, בביטחון ובמהירות של מוביל בתחום הציות הדיגיטלי.
ISMS.online מאחדת ביקורת, אבטחת שרשרת אספקה ומוכנות לתאימות לפלטפורמה חיה והופכת את תאימות NIS 2 ממקור סיכון למנוף לאמון עסקי ומנהיגות תפעולית.
הזמן הדגמהשאלות נפוצות
מי באמת זכאי ל-2 שקלים, ולמה הכיסוי ממשיך לתפוס עוד ועוד חברות?
אתם נכנסים תחת 2 שקלים אם לחברה שלכם יש 50 עובדים או יותר או מחזור של 10 מיליון אירו והיא פועלת במגזר "חיוני" או "חשוב" המופיע בנספח I או II להנחיה - המכסה רשת רחבה, החל מאנרגיה, מים, פיננסים, בריאות ו... תשתית דיגיטלית לספקי מזון, ייצור, דואר ודיגיטל. אבל הכללים מגיעים רחוק יותר: גם אם לא תגיעו לספי גודל אלה, אתם עשויים להיכלל במסגרת המדיניות אם אתם ספק יחיד או אסטרטגי לישות קריטית, ציר מרכזי בשרשרת אספקה מוסדרת, או שאתם מקבלים שם ספציפי על ידי הרשות הלאומית שלכם. הקו יכול להשתנות פתאום - חוזה, לקוח, הסכם אספקה או מכרז חדשים עלולים להפוך אתכם לרגולטוריים בן לילה, ללא קשר למצב "מחוץ לתחום" של השנה שעברה.
המלכודת האמיתית היא להאמין שמה שהשאיר אותך פטור ברבעון האחרון עדיין יחול גם לאחר העסקה או הארגון מחדש הבא שלך.
כדי לקבוע אם אתם מכוסים, בדקו תחילה את הגודל והמגזר שלכם עבור כל קו עסקי, סניף או חברת בת - כללים לאומיים עלולים ליצור הפתעות. תעדו תמיד חוזים קריטיים, שכר וקשרי לקוחות ככל שאתם גדלים.
מפעילי היקף NIS 2 ומה לתעד
| טריגר/אירוע | עדויות תיעודיות |
|---|---|
| ≥50 עובדים או מחזור של 10 מיליון אירו | שכר, משאבי אנוש, דוחות שנתיים |
| מבצע מגזר נספח I/II | קוד עסקי, רשימת לקוחות |
| אספקה יחידה/קריטית לארגון מוסדר | חוזה לקוח, קליטה |
| רשום ברכש של לקוח/ספק | מסמכי מכרז, רישום |
שמרו על "מדף ראיות" פעיל לכל שינוי מהותי - הרבה יותר קל להוכיח את הסטטוס שלכם (או הפטור) בזמן אמת, כפי שקונים, רואי חשבון ורשויות מבקשים.
מה ההבדל בין ישויות "חיוניות" ל"חשובות" - ולמה זה משנה?
2. שקלים חדשים משרטטים קו ברור: גופים "חיוניים" (נספח I) הם עמוד השדרה של התשתיות הלאומיות - אנרגיה, בריאות, פיננסים, דיגיטלי, מנהל מרכזי, חלל. חברות אלו רואות פיקוח פרואקטיבי ושגרתי של הרגולטור, רישום חובה, וצפויים לקנסות הגבוהים ביותר (עד 10 מיליון אירו או 2% מההכנסה השנתית). ביקורות ודיווחים מתרחשים באופן רציף עם מעט אזהרה; כשל ציותמושכים פעולה מהירה ובעלת פרופיל גבוה.
ישויות "חשובות" (נספח II) כוללות יצרנים, שירותים דיגיטליים (ענן, SaaS, חיפוש), לוגיסטיקה, כימיקלים, מזון, דואר ומחקר. אלה חולקים את אותה קו בסיס. ניהול סיכונים וחובות דיווח, אך האכיפה שונה: ביקורות וקנסות נובעים בעיקר מאירועים, תלונות או ביקורות ממוקדות. הערכה עצמית ומוכנות חשובות כאן, אך הנטל פחות בלתי פוסק.
שתי הקטגוריות חייבות להוכיח ניהול סיכונים וספקים בזמן אמת, אבל מה שמשתנה הוא המיידיות: חיוני פירושו שאתם תמיד על הרדאר של הרגולטור.
טבלה: ישויות חיוניות לעומת ישויות חשובות (סקירת השפעה)
| סוג ישות | גישת הביקורת | רישום | אכיפה | דוגמה |
|---|---|---|---|---|
| חִיוּנִי | פרואקטיבי, שגרתי | דרוש | חמור | רשת חשמל, בנק מרכזי, חברת תקשורת |
| חָשׁוּב | מונע אירועים | דרוש | חמור | SaaS, יצרן, מפעל מזון |
תייגו את עצמכם בצורה שגויה ותסתכנו הן בביקורות בלתי צפויות והן בהחמצת התחייבויות - עשו זאת נכון בהתחלה, לא תחת לחץ.
האם ניתן לחפש כיסוי של 2 שקלים במאגר נתונים ציבורי - או שהכל דורש הערכה עצמית?
לא, אין (וגם לא יהיה) רישום NIS 2 פתוח ברחבי האיחוד האירופי עבור חברות, לקוחות או קונים. כל מדינה חברה שומרת רשימה סודית משלה; רק רגולטורים ומבקרים רשאים לגשת אליה. חלקן (כמו לוקסמבורג או הולנד) מזמינות או דורשות מחברות להירשם בעצמן, אך רובן מסתמכות עליכם לבצע הערכה עצמית, לאסוף ראיות ולאשר את הסטטוס שלכם כשתתבקשו - בעיקר במהלך ביקורות, מכרזים של ארגונים או קליטת שרשרת אספקה.
אם אתם צריכים להוכיח כיסוי (או פטור), היו מוכנים עם:
- יומני הערכה עצמית של מגזר/גודל (נספחים I/II, משאבי אנוש, כספים)
- רישומי עסק ושכר (המציגים מתי נכנסת/יצאת מהתחום)
- תיעוד לקוחות, מכרזים וספקים (עבור טריגרים של שרשרת האספקה)
- כל התקשורת מקונים, רואי חשבון או רשויות לאומיות
עמידה בתקן NIS 2 אינה תעודה נקודתית בזמן - זוהי שרשרת של ראיות חיות וניתנות לאימות שתוכלו להציג כאשר כל קונה או רואה חשבון יבקש זאת.
מבט חטוף על ראיות סטטוס של 2 שקלים חדשים
- ביצוע הערכה בסיסית (ותיעוד לוגיקה)
- עדכון לאחר כל חוזה משמעותי או שינוי כוח אדם
- אחסן יומני תמיכה ותקשורת תוך כדי שהם מתרחשים
- הכינו נימוק בשפה פשוטה כדי לענות על שאלות בדיקת נאותות
התייחסו לכל פנייה של לקוח ארגוני או דירקטוריון כאל פנייה של מיני-רגולטור - תגובה חלקה לבדיקה משתלמת כעת בעת חידוש חוזה או ביקורת.
כיצד שכבות על מדינה וסקטור משנות את היקף NIS 2 עבור העסק שלי?
תקן 2 לחוק ניירות ערך קובע דרישות מינימום, אך רשויות לאומיות תוספות ויוצאות דופן לעיתים קרובות. פרופיל הסיכון הספציפי שלך עשוי להשתנות בהתאם ל:
- הגדרות מחדש של מגזרים (למשל, דנמרק מפצלת תת-מגזרי תקשורת)
- החרגות (גרמניה פוטרת פעילויות "זניחות")
- ספי הכללה נמוכים או גבוהים יותר (ספירת עובדים, הכנסות)
- כללי קריטיות (מתן שם ל"אסטרטגיים" ליותר/פחות מגזרים)
פועלים ביותר ממדינה אחת או מגזר עסקי אחד? עליכם לבצע הערכה עצמית של כל ישות או סניף בנפרד. נוכחות מחוץ לתחום במטה החברה אינה אומרת שחברת הבת שלכם בבריטניה או בגרמניה פטורה; בסיס הלקוחות או כוח העבודה שלכם במדינה עלולים לגרור אתכם לתחום. כל התקשרות משמעותית עם ספק מעבר לגבולות יכולה להשפיע על ההתחייבויות.
טבלה: גרסאות היקף לאומיות - מה לעקוב
| מדינה/הקשר | שונות מפתח | ראיות לאיסוף |
|---|---|---|
| גרמניה | פוטר פעילות "זניחה" | יומן פטורים, חוזים |
| דנמרק | מספר תת-מגזרי תקשורת | מסמכי תיק עבודות שירות |
| קבוצה רב-לאומית | כל סניף/ישות ייחודי | היקף לפי מדינה |
פלטפורמת תאימות כמו ISMS.online עוזר לך לשמור על סטטוס וראיות מעודכנים עבור כל ישות פעילה, תוך הימנעות מהנחות מסוכנות ודיווחים מקומיים שהוחמצו.
אילו שגרות ורישומים שוטפים חיוניים כדי לשרוד ביקורת NIS 2?
ההצלחה טמונה ב ראיות פרואקטיביות עם חותמת זמן- לא סתם מדיניות או טענות ריקות. שיטות הישרדות גבוהות כוללות:
- הערכה רבעונית או מבוססת אירועים: כל חוזה מפתח חדש, שינוי צוות או אירוע בשרשרת האספקה מחייב הערכה חדשה וחתומה.
- מדף מסמכים מתעדכן באופן שוטף: שכר, משאבי אנוש, תנאי שימוש (SoA), קליטת ספקים, שינויים בחוזים - הכל מתועד מיד כשהוא מתרחש ונשמר במקום אחד.
- הצהרת תחולה (SoA): יש לחזור על הפרויקט בכל פעם שמתרחש אירוע היקף או אירוע חוזה משמעותי - ולקשר כל הקצאת בקרה ישירות לישות או לתהליך המושפעים.
- רישום זרימת עבודה: כל סקירה, עדכון או תקשורת עם רישום מקבלים ערך עם חותמת זמן.
- ניהול סיכוני ספקים משולב: הטמעה, ציון סיכונים ומעקב אחר כל ספק קריטי, עם ראיות מוכנות לכל בדיקת נאותות או ביקורת.
פתרונות ISMS מודרניים (כמו ISMS.online) הופכים את השגרה הזו לאוטומטית, כך שלעולם לא תצטרכו לחפש קבלות או לאבד מעקב אחר שינויים מהותיים שעלולים להפעיל אכיפה.
טבלת גישור: ציפיות NIS 2 והקבלות ISO 27001
| דרישת 2 שקלים | סעיף ISO 27001/27701 | ראיות מבצעיות |
|---|---|---|
| סקירת היקף קבועה | סעיף 4.1, A.5.19/.20/.21 | יומן משאבי אנוש, SoA, קבצי ספקים |
| ניהול סיכונים וזרימת עבודה | בקרות נספח א' | יומני רישום, מסמכי הקלטה, זרימות עבודה |
| ניהול ראיות/נתונים | סעיף 7.5, SoA, לוח מחוונים | קבצים עם גרסאות, ייצוא ביקורת |
| חובות פרטיות | ISO 27701, סעיף 30 לתקנות ה-GDPR | יומן SAR, רישום פרטיות |
רישום חי הופך את תנוחת הביקורת שלכם מכיבוי שריפות למוכנות - ומקל הרבה יותר על הוכחת אמון הלקוחות.
אם אינך בטוח לגבי סטטוס 2 שקלים, מהו הצעד החכם ביותר?
התחילו עם סקירת פערים בסיסיים וראיות כעת - לעולם אל תחכו עד שרגולטור או לקוח מפתח יבקשו זאת. הורידו את גליון העבודה של המגזר/גודל, מפו את כל קווי המוצרים, המותגים ושרשראות האספקה לנספחים העדכניים ביותר של NIS 2, ותעדו כל שינוי משמעותי בחוזה או בכוח אדם. אסוף חוזים, שכר, קליטת ספקים וכל תקשורת רשמית בתיקיית ראיות שמתעדכנת באופן שוטף ונגיש.
פלטפורמות כמו ISMS.online מאפשרות אוטומציה של סקירות רבעוניות ועדכונים מבוססי אירועים, שומרות גישה מיידית ל-SoA שלכם ומרכזות ראיות לביקורת וחוזים. זה מבטיח שתמיד תהיו מוכנים לענות לשותפים, למבקרים או לרגולטורים בביטחון, מבלי שתתחילו לחפש קבצים חסרים או הערכות שנשכחו.
כל יום ללא בהירות מכפיל את הסיכון שלכם ומערער את אמון הדירקטוריון והלקוחות. בנו את מדף הציות שלכם - כי החברות עם הוכחות בהישג יד תמיד יובילו את כלכלת האמון החדשה.
אמון ניתן למדידה: הארגונים שיכולים לייצר את נתיב הביקורת שלהם לפי דרישה אינם רק עומדים בתקנות - הם השותפים הבטוחים ביותר של כולם.
טבלת עקיבות - דוגמה מאירוע לראיה
| אירוע טריגר | תגובה לסיכון | הפניה לתקן ISO/נספח | ראיות/תמונה מהירה |
|---|---|---|---|
| לקוח אסטרטגי חדש | סקירת היקף, SoA | ISO 27001 4.1, SoA | חוזה, שכר, משאבי אנוש/הערה לדירקטוריון |
| תקרית ספק | ביקורת/עדכון ספקים | אן. א.5.21 | אֶלֶקטרוֹנִי, שביל ביקורת, רישום |
| עלייה במספר העובדים | עדכון יומן היקף, SoA | SoA, אן. א. | שכר, עדכון SoA, יומן משאבי אנוש |
במקרה של ספק, פעלו: בדקו את הסטטוס שלכם, רשמו ראיות ואמצו מערכות ששומרים אתכם תמיד מוכנים לבדיקה מיידית.
