האם מיזמים משותפים זמניים או קונסורציומים מפעילים 2 שקלים חדשים - ומתי כדאי שיהיה לך אכפת?
הקמת מיזם משותף, קונסורציום או שותפות זמנית מכניסה את הארגון שלכם ישירות לתחום ה... הוראה 2 שקלים ברגע שאתם מספקים שירותים או תשתית מוסדרים. עמדת הרגולטור האירופית אינה מותירה מקום לפרשנות מוטעית: לא משנה אם שיתוף הפעולה שלכם הוא "זמני", בלתי פורמלי או חסר ישות משפטית נפרדת - אם השירותים או הפעילויות של הקבוצה עומדים בספי 2 ₪, החובות מתחילות באופן מיידי (osborneclarke.com; cyberwatching.eu; lathamwatkins.com).
זמני בשם, קבוע בציות: התחייבויות של מיזם משותף נובעות בעת ההקמה, לא בעת היציאה.
תאימות היא על ה- מציאות מבצעית-לא אורך תוכנית הפרויקט שלכם או התווית שאתם מצמידים למבנה. אם המיזם המשותף או הקונסורציום שלכם מנהלים תשתית מוסדרת או שירותים דיגיטליים המפורטים בנספח המגזרי של NIS 2 (כגון אנרגיה, בריאות, תחבורה, פיננסים או תשתית דיגיטלית), חובתך לציית לדרישות נובעת מיום תחילת הפעילות. הרגולטורים יעקבו אחר בקרה, לא רק אחר חוזים. אם שיתוף הפעולה שלך מסדיר או משפיע על מערכת מכוסה, הקדימו את תכנון התאימות שלך: פערים מוסיפים סיכון מהיום הראשון.
כל לקוח היוצר שותפות זמנית - בין אם לבניית תשתית קריטית, פרויקט טכנולוגיית בריאות או חוזה טרנספורמציה דיגיטלית - צריך לעצור ולהבהיר את חשיפתו התפעולית לפני שהוא מניח שמעמד של "טווח קצר" מקנה חסינות.
| תווית חוזה | מציאות תפעולית | טריגר של 2 שקלים? |
|---|---|---|
| מיזם משותף זמני | שולט בתשתיות קריטיות | יש |
| קונסורציום | מספקת שירותי בריאות דיגיטליים | יש |
| פרויקט אד-הוק | אין פעילות מוסדרת | לא* |
*הוראות מגזריות או לאומיות עדיין עשויות לחול - יש לוודא תמיד פעילויות, לא הנחות.
איפוס אמונה:
הסתמכות על "סוף הפרויקט" כדרך מילוט לחשיפה של 2 שקלים היא טעות נפוצה ויקרה. בין אם המאמץ המשותף שלכם מתפרק בסוף הרבעון או נמשך שנים, אתם עלולים לצבור בשקט חובות רגולטוריות מלאות כבר מתחילת הפרויקט.
אילו גופים משותפים או קונסורציום הופכים ל"גופים של 2 ₪" - ומדוע?
סטטוס של 2 שקלים נובע ישירות מ פעילות ובקרה תפעולית - לא ממבנה פורמלי או מתווית משתתףכל הסדר משותף - בין אם משולב ובין אם לאו - המנהל, מפעיל או משפיע באופן משמעותי על מערכות המפורטות תחת סעיף 2 של חברות ציבוריות (NIS) יכול להיחשב כישות "חיונית" או "חשובה". זה נכון גם לגבי שותפויות בעלות מבנה רופף, בהן לשותף מיעוט יש שליטה מהותית, או כאשר הסטטוס המפוקח של הישות המובילה "גולש" לתוך המיזם המשותף (thinkbrg.com; eurofound.europa.eu).
מתי הרגולציה משפיעה?
- אם תפקיד מוסדר של שותף יחיד (כגון תפקיד בתחום ה-IT, פלטפורמת SCADA או רשת) מוטמע במיזם המשותף או בקונסורציום, משטר NIS 2 יכול לחול על כל הקבוצה - ללא קשר לזכויות הצבעה, חלוקות ברווחים או לוח הזמנים של הפרויקט.
- תפקידי ניהול או תפקידי מובילה לפי סעיף 26 פירושם שהגורם התפעולי הדומיננטי (לאו דווקא בעל המניות או המממן הגדול ביותר) יהיה אחראי כ"מוסד העיקרי" או נציג משפטי שבסיסו באיחוד האירופי.
- שליטה עובדתית: מכריע: הנהלה תפעולית (מנהלים ממונים, מנהלי פרויקטים) יכולה לקבוע 2 ₪ סטטוס ישות, מביא אחריות אישית עבור תאימות.
| מַצָב | תוֹצָאָה | ייעוד רגולטורי |
|---|---|---|
| מיזם משותף מפעיל נכס/שירות במסגרת הפרויקט | כל המשתתפים בהיקף | חיוני/חשוב |
| שותף מיעוט שולט בתחום הסיכון המרכזי | מיזם משותף הנכלל בהיקף | אחריות משותפת |
| אין פעילות דיגיטלית קריטית או מוסדרת | ייתכן פטור* | מגזר/חוזה בלבד |
*ציות לתקנות מגזריות או התחייבויות חוזיות עדיין עלולות לגרום לחשיפה עקיפה.
חברת מיזם משותף פטורה רק במידה שהשותף הפחות מפוקח שלה מאפשר זאת.
תובנה מרכזית:
אל תתנו לדיאגרמות ממשל להרדים אתכם בתחושת ביטחון כוזבת; השפעה תפעולית ממשית מפעילה 2 שקלים, ולא נייר המכתבים של הדירקטוריון או תווית של תפקיד מיעוט.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
כיצד חוק 2 של חברות (NIS) מקצה אחריות וחשבון בחברות משותפות או בקונסורציומים?
מתחת ל-2 שקלים, אחריות היא גם קולקטיבית וגם אישית-דירקטורים, נושאי משרה וארגוני חברים נושאים באחריות על פערי ציותשפה חוזית, התחייבויות "למאמצים מיטביים" או ניסיונות לגדר אחריות לעיתים רחוקות מחזיקים מעמד אם המהות התפעולית חושפת שליטה משותפת או חוסר מעש (cyberwiser.eu; twobirds.com).
כאשר חבר אחד מחליק, כל הקבוצה מרגישה את החום הרגולטורי.
גורמים מעוררי אחריות
- הפסקות בן/בת זוג אישיים: שלא נענו דוח מקרהבדיקות ספקים, עיכובים, או פגיעות שלא טופלה אצל שותף אחד חושפת את כל החותמים על המיזם המשותף. אי אכיפת פיקוח כלל-קבוצתי מפעילה אחריות קולקטיבית.
- סיכון דירקטור/נושאי משרה: סעיף 20 מעניק לרגולטורים סמכות לתבוע דירקטורים ונושאי משרה שמונו - להטיל סנקציות אישיות או קנסות בגין בדיקת נאותות לקויה.
- פערים בשרשרת האספקה או בספקים: כשלים של קבלנים או ספקי משנה חוזרים למיזם המשותף, במיוחד במקרים בהם חוזים חסרים סעיפי "זרימה כלפי מטה" הניתנים לאכיפה. במקרה של הפרה או חוסר שליטה, האחריות העיקרית מוטלת על גוף המיזם המשותף הראשי ועל מנהליו.
| הדק | עדכון סיכונים | קישור תנאי שימוש / חוזה | ראיות שנרשמו |
|---|---|---|---|
| אי-דיווח של שותפים | הסלמה כלל-קבוצתית | סעיף הודעה על הפרה | תאריך יומני אירועים, דוא"ל בין-מפלגתי |
| כשל בשרשרת האספקה | עדכון סיכונים כלל-מיזם משותף | סעיף אספקה/שיפוי | קובץ חוזה, סיכון ממופה |
| מנהל/נושא משרה חדש | דגל אחריות דירקטורים | רישומי ניהול, תפקידים | מאושר פרוטוקול הדירקטוריון, טפסים חתומים |
פרספקטיבה מעשית:
אף מיזם משותף או קונסורציום לא צריכים להתעלם מהסיכון הנשקף על ידי חבר יחיד שאינו מפוקח או ספק שירות חיצוני -בדיקה רגולטורית הוא עניין קבוצתי, וכך גם כאב האכיפה.
אילו צעדי בדיקת נאותות מינימליים חייבים חברות משותפות או קונסורציומים לנקוט במסגרת 2 ₪?
עבור חברות משותפות וקונסורציומים מתחת ל-2 ₪, בדיקת נאותות מתועדת וחוצת צדדים אינה ניתנת למשא ומתן מתחילת הפרויקט (dlapiper.com; iclg.com).
מה המשמעות של בדיקת נאותות בפועל
- קליטה אמינה: כל חבר חייב להגיש את פרופיל הבשלות הבסיסי שלו ב-ISMS ואת פרופיל סיכוני הסייבר שלו לפני הקמת הקבוצה המבצעית. הראיות כוללות בקרות אבטחה, מדיניות וקריטריונים מפורשים לסבילות או קבלת סיכונים.
- רישום בקרה מאוחד: אסוף את כל הבקרות מכל צד למערכת אחת ומעודכנת רישום סיכונים- גילוי פערים, חפיפות או נקודות עיוורות על פני השטח.
- ניהול רישומים דינמי: רישום שינויים - בין אם מדובר בספקים חדשים, עובדים או ארגונים חברים - באופן מיידי בתוך האירוע/רישום סיכוניםלא רק בסקירה השנתית.
- עדות מוכנה לביקורת: יש לשמור על יומני אישור, פרוטוקולי אישור הדירקטוריון, דירוגי סיכונים של ספקים ורישומי סיכונים מעודכנים ונגישים. כל תהליך צריך ליצור מסלול מתועד ובר-הגנה עבור כל צד במיזם משותף.
| תוֹחֶלֶת | תרגול משותף/קונסורציום | ISO 27001 / נספח הפניה |
|---|---|---|
| ביסוס בגרות ISMS | קליטה אחידה, סקירות בסיסיות | סעיף 6.1, נספח A.5.1, A.5.7 |
| אוגרי בקרה/סיכונים | מיפוי מאוחד של נכסים/סיכונים | סעיף 8.2, נספח A.5.12, A.5.19 |
| רישום ראיות | פרוטוקולים חתומים, יומני סקירה, רישום | סעיפים 9.2, 9.3, A.9.2, A.5.35 |
| הערכת שרשרת האספקה | סקירת סיכוני קליטת ספקים | נספחים A.5.20, A.5.21, A.8.8 |
בדיקת נאותות חזקה רק כמו החתימה החלשה ביותר בשרשרת הראיות שלך.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
היכן נתפסים רוב המיזמים המשותף/קונסורציומים - הסבר על תקלות בשרשרת האספקה ובקבלני המשנה
עבור שיתופי פעולה זמניים או אד-הוק רבים, המשוכה האחרונה היא תאימות שרשרת האספקה מקצה לקצהבעיות צצות כאשר חוזים אינם מכילים תנאים הניתנים לאכיפה הודעה על אירוע או "זרימה כלפי מטה" של תאימות, או כאשר התחייבויות רגולטוריות המתמקדות באיחוד האירופי מוזנחות על ידי ספקים שאינם חברי האיחוד האירופי (cyberpulse.info; rsm.global).
פערים בתאימות של צד שלישי מתפשטים רחוק יותר ומהר יותר בשותפויות זמניות.
נקודות תורפה אופייניות
- היעדר סעיפי "זרימה מטה": חוזים דורשים דרישות מפורשות לעמידה בתקן NIS 2 (כולל ביקורת והודעה) עבור כל הספקים, לא רק תום לב או מאמצים מיטביים *(Eversheds Sutherland eversheds-sutherland.com)*.
- נקודות עיוורות של ספקים מחוץ לאיחוד האירופי: חובות רגולטוריות חלות על ספקים המשפיעים על שירותים מוסדרים על ידי האיחוד האירופי, גם אם הם ממוקמים במקום אחר. פערים לעיתים קרובות נעלמים מעיניהם עד שאירוע חושף אחריות כלל-אירופית.
- פיגור בדיווח: ניתן לנהל תקריות אצל ספק רק אם החוזים מחייבים הודעה מיידית - אחרת, כל המיזם המשותף נושא בחשיפה.
| אירוע אספקה | עדכון סיכוני מיזם משותף/קונסורציום | קישור בקרה/SoA | ראיות שנרשמו |
|---|---|---|---|
| ספק חדש על המסלול | בדיקת נאותות של ספקים, סקירת חוזה | נספח א.5.20 | קובץ הערכת ספקים |
| תקרית ספק | הודעה על אירוע לכל החברים | נספח א.5.25 | דוח אירוע, יומן |
| בקשה רגולטורית | דוחות לידים, ביקורות, מעקב אחר ספקים | סעיף 4.4, A.5.35 | התכתבות, יומן ביקורת |
רגולטורים מפורשים כעת: "תאימות שרשרת אספקה מקצה לקצה היא מוקד ביקורת מרכזי עבור חברות משותפות וקונסורציומים מוסדרים." (RSM Global 2023 rsm.global)
לַחֲזוֹת:
האם תוכלו לעקוב אחר אירוע סייבר דרך ספק מדרגה שלישית, לסמן את הסיכון במרשם המיזם המשותף שלכם, להודיע לכל שותף, להפנות לחוזה השליטה ולהציג מסמך מלא? שביל ביקורת ברמת הדירקטוריון - באופן מיידי?
מה חייבת חברה משותפת או קונסורציום לכלול בחוזים - סעיפים חיוניים ומינוף ביקורת
יש ליישם את תאימות NIS 2 מהחוזה ומעלה. (rsm.global; simmons-simmons.com; eversheds-sutherland.com). ימי ניסוח ה"מוגדרים מראש" הם ספציפיים מדי, ודרישות ממופות תפקידים הן המפתח לביקורת וליכולת הגנה.
דרישות חוזה ליבה של NIS 2
- הודעה על אירוע: הגדירו מרווחי דיווח קצרים וחובה (למשל, 24-72 שעות) ותהליכים סטנדרטיים לתקשורת כלל-קבוצתית (ראו סעיפים 23-26).
- זכויות ביקורת: להעניק הן לשותפי מיזם משותף והן לרגולטורים את הזכות לדרוש, לגשת ולבדוק ראיות תאימות - באופן מתוזמן ולפי דרישה.
- אכיפת שרשרת האספקה: כל ספק - ישיר ועקיף - חייב להיות מחויב חוזית לחובות של 2 ₪ ולבדיקות תקופתיות; זה כולל זכויות ביקורת/הודעה.
- שיפוי/תיקון: יש להגדיר בבירור את הסנקציות והאחריות בגין אי ציות, כולל דרישות להפחתת הסיכון, נאמנות וסגירה חוזית.
- שימוש בפלטפורמת ראיות: אשר רישום ומעקב אחר ראיות מרכזיות ודיגיטליות - באופן אידיאלי באמצעות פלטפורמה (כגון ISMS.online) שמבטיח שהראיות לא יוכלו להתפצל.
| סעיף | פְּגִיעָה | ביקורת/ראיות |
|---|---|---|
| הודעה | מבטיח תגובה קבוצתית בזמן | יומני התראות, הערות שיחות |
| זכויות ביקורת | מאפשר אימות, תיקון | לוח שנה של ביקורת, יומן ממצאים |
| הארכת אספקה | כל הספקים "על הוו" | אישורי ספקים, בדיקות |
| תיקון | מקצה אחריות, מחייב פעולה | תוכניות חתומות, מסמכי יציאה |
נתיב תאימות ניתן לביקורת מתחיל בחוזה; כל סעיף חייב להיות מקושר לראיות רשומות וניתנות להגנה. (סימונס וסימונס 2024 simmons-simmons.com)
עדשת חדר ישיבות:
בדקו האם הפלטפורמה שלכם יכולה לקשר כל סעיף בחוזה, בזמן אמת, לארכיטקט ראיות ממשי - על פני כל המיזם המשותף או הקונסורציום.
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
אילו חריגים ספציפיים למגזר או למדינה צריכים להיות במיזם המשותף/קונסורציום שלי?
תקן מינימלי של 2 שקלים חדשים - תקנות מגזריות וחוקים לאומיים לעתים קרובות להטיל חובות נוספות, בדרך כלל סביב פיקוח ברמת הדירקטוריון, אישור דירקטורים או דיווח על אירועים (energyfacts.eu; lawpilots.com). במיזמים משותפים רב-מדינות בעולם האמיתי, צפו לשונות שיכולה להעלות את הרף עוד יותר.
הבדלים אזוריים וסקטוריאליים מרכזיים
- שכבת-על מגזרית: במגזרים כמו אנרגיה, בריאות או בנקאות, תגובה לאירוע ייתכן שיידרשו הודעות בזמן אמת או כמעט מיידית, אמצעים טכניים נוספים או רישום רציף - מעל ערך ברירת המחדל של 2 NIS.
- אחריות דירקטוריון/דירקטור: תחומי שיפוט מסוימים (למשל, צרפת, גרמניה) דורשים כעת קבלת יומני רישום *אישיים* - חברי הדירקטוריון חייבים לחתום על פרוטוקולים מתועדים המאשרים מודעות לתאימות, וביקורות בודקות באופן קבוע את הרישומים הללו.
- עמימות בתחום השיפוט: כאשר חברות משותפות או קונסורציומים אינם מציינים בבירור "מוסד עיקרי", הם מסתכנים בחשיפה לאכיפה חוצת גבולות סותרת או כפילית.
- הרמוניזציה סטנדרטית: מצופה מלוחות להוכיח מיפוי על פני 2 שקלים חדשים, GDPR, DORA, ותקני מגזר - לא להתייחס אליהם כאל ממגורות.
| הדק | פעולת הדירקטוריון/הדירקטור | ראיות נוספות |
|---|---|---|
| מגזר: התראות בזמן אמת | ניטור, הסלמת בדיקות | יומן אירועיםסקירת מועצת המנהלים |
| צרפת: אחריות אישית | קבלה/רישום תפקיד תאימות | פרוטוקול חתום, חוות דעת משפטית |
| אירוע רב-סטנדרטים | מיפוי מסמכים, הודעה למומחה הראשי | דוח/יומן בין-סטנדרטיים |
הסיכון הגדול ביותר של דירקטוריון הוא להאמין שהאחריות נעצרת בגבול. לרגולטורים אכפת מי חתם, מי רשם ומי יכול להוכיח זאת - בכל המשטרים הרלוונטיים.
לקחים מביקורת מהעולם האמיתי: כיצד חברות משותפות וקונסורציומים עוברות או נכשלות ב-NIS 2?
הצלחת ביקורת נובעת תמיד מתאימות בזמן אמת, ראיות משותפות ומעקב חלק אחר אחריות מנקודת הקצה ועד לחדר הישיבות. כישלון נובע לרוב מתיעוד פסיבי או העברות לא ברורות. ### מה מראים ביקורות וסקירות דירקטוריון
- קצה פלטפורמת הראיות: ביקורות של חברות משותפות (JV) בעלות ביצועים גבוהים מסתמכות על מערכת תאימות חיה ומובנית (כגון ISMS.online). זה מאפשר לשותפים ולמבקרים לבחון את ההתראות, התגובה ומעורבות הדירקטוריון בזמן אמת.
- סכנות בכניסה וביציאה מהחברה: רואי חשבון בוחנים את שרשרת הראיות לכניסה ויציאה של שותפים - רוב הממצאים נובעים מתיעוד קליטה/יציאה שהוחמצ, לא מעודכן או לא שלם.
- בהירות רב-תחומית: חברות משותפות שמתעדות לאיזו רשות להודיע (היכן, מתי ועל ידי מי) מקבלות תוצאות ביקורת טובות יותר - קווי דיווח לא ברורים מובילים לעתים קרובות לממצאים חוזרים.
- מעורבות מתמשכת: כלים התומכים ברשימות מטלות בזמן אמת, תזכורות ו... ראיות בזמן אמת עדכונים מניבים ביצועים טובים יותר בהשוואה לבדיקות מדיניות שנתיות.
דמיינו אירוע אצל ספק שמוביל באופן מיידי לעדכון רישום של מיזם משותף, הודעות מדורגות לכל חבר קבוצה, סקירה פעילה של הדירקטוריון, ראיות עם חותמת זמן ביומני ביקורת ואישור סופי על סגירת אירוע. אם אינכם יכולים לשרטט את הגבול הזה ללא עמימות, עקבות התאימות שלכם נמצאים בסיכון.
הנחיה להיפוך אמונה:
רבים מניחים שברגע שמוגשות מסמכי מדיניות, הביקורות מנצחות. סטטוס ההצלחה/הנכשל בפועל תלוי בשרשרת חיה - מערכת, חוזה, אירוע, דירקטוריון. אם חוליה כלשהי חסרה, החשיפה של המיזם המשותף מוגברת.
התחל את סקירת הסיכונים של המיזם המשותף או הקונסורציום שלך - בנה ביטחון NIS 2 עם ISMS.online
שותפויות זמניות ומיזמים משותפים חייבים כעת לעמוד בסטנדרטים של הרגולטור: התאימות מתחילה בתחילת הפרויקט וחייבת להישאר נגישה, ניתנת לשיתוף וניתנת לביקורת על ידי כל חבר, ספק ודירקטור עד לפירוקו.תוכניות סטטיות, רישומים אד-הוק ואחריות לא מסומנת מגדילים את הסיכון - לא את השליטה. ISMS.online מעצים צוותי JV וקונסורציום ליישם את חובות NIS 2: קליטה מאוחדת, רישום בזמן אמת ו... ניהול ראיות, בקרת ספקים, מעקב רב-מדינתי וברמת הדירקטוריון - הכל ממופה מתוכנית הפרויקט ועד לסגירה, ביקורת ועוד.
ההבדל בין ציות למנהיגות ציות? האחרונה מחזיקה בשרשרת הראיות - מוכנה להוכיח, לא רק להבטיח, בכל פעם שנשאלת שאלה.
מוכנים להתגבר על ניחושים? התחילו את סקירת הסיכונים של NIS 2 במיזם משותף או בקונסורציום שלכם עם ISMS.online. גלו כיצד מערכת דינמית ותפעולית לתאימות, המותאמת לכל חוזה, ספק והחלטה של דירקטוריון, יכולה להפוך את הצוות שלכם משותפים זמניים לשותפים מהימנים ומוכנים לביקורת, ברמתם הגבוהה ביותר, כמו המפעילים הקבועים הגדולים ביותר.
שאלות נפוצות
מי קובע את היקף 2 ₪ עבור מיזמים משותפים וקונסורציומים - ולמה אי אפשר פשוט לומר "אנחנו זמניים"?
רגולטורים לאומיים בתחום הסייבר ורשויות מגזריות מחליטים האם המיזם המשותף או הקונסורציום שלכם נכללים במסגרת תוכנית 2 ₪, אך המבחן האמיתי הוא מהות על פני צורה: כל פרויקט, חולף או לא פורמלי ככל שיהיה, הכולל ישות "חיונית" או "חשובה" (לפי ספי מגזר/גודל) ייחשב ככל הנראה כחלק מההיקף. המעטפת המשפטית של הקבוצה, משכה ומיתוגה הם משניים - נוכחותו של סיכון מוסדר, ולא רק סוג החברה, מפעילה התחייבויות. צרפת, גרמניה ואיטליה מבהירות זאת במיוחד: אם ישות מכוסה בתחומי האנרגיה, הפיננסים, שירותי הבריאות או ישות דיגיטלית גדולה משתתפת, המיזם המשותף או הקונסורציום חייבים לזהות באופן יזום ישות מובילה להודעות, אך כל שותף נושא באחריות ישירה. נניח שההסדר שלך מכוסה אלא אם כן קיבלת אישור בכתב מהרגולטור הסותר זאת, שכן אכיפה בעולם האמיתי מתעלמת יותר ויותר ממעמד "מבוסס פרויקט" או "זמני" לטובת סיכון תפעולי.
בריתות זמניות נמדדות לפי סיכון, לא לפי צורה - מניחים היקף עד שהרגולטור שלכם יסכים אחרת.
טבלה: מפעילי היקף של 2 שקלים חדשים עבור חברות משותפות/קונסורציומים
| קריטריונים | דוגמה | האם חלים 2 שקלים? |
|---|---|---|
| בן/בת זוג חיוני/חשוב נוכח/ת | חברת אנרגיה מצטרפת לקבוצת הדיגיטציה של הרכבות | כן - כל השותפים |
| מיזם משותף/קונסורציום מגיע לסף גודל/מגזר | שלושה בנקים לאומיים מקימים סטארט-אפ פינטק | כן - מלא תפקידים |
| אין גופים מפוקחים, מקומיים בלבד | שתי עסקים קטנים ובינוניים בונים תשתית משרדית אחת | לא סביר, אימות |
כיצד מתבצעת שיתוף, ניהול או "תקיעת" האחריות בין שותפים במיזם משותף או בקונסורציום במסגרת תוכנית 2 ליש"ט?
האחריות במסגרת סעיף 2 של NIS חלה על כל משתתף הנושא באחריות תפעולית או ביטחונית - ללא קשר לתביעות "שותף מוביל" או תביעות חוזיות. האצלת סמכויות או תפקיד של דיווח ראשי אינם מגנים עליך: סעיפים 20, 21 ו-26 של חוק 2 לאכיפת אחריות משותפת ולחוד עבור כל השותפים במסגרת התחומים שלהם. בעוד שדו"ח ראשי ייעודי רשאי לתאם הודעות על אירוע או לנהל את מערכת ה-ISMS, כל שותף נשאר אחראי באופן אישי על מעשיו, על מעבדי המשנה שלו ועל הממשל ברמת הדירקטוריון.- ואכיפה גרמנית וצרפתית אחרונה מבהירה זאת. דירקטורים עשויים להיות אחראים באופן אישי לפערים בממשל. פיצויים חוזיים או העברת אשמה בין שותפים נכשלים לעתים קרובות אם יומני רישום, בקרות או פיקוח חסרים או מקוטעים.
אחריות של 2 שקלים היא נושא דביק - האשמה נעה מעלה והצידה עד שהבקרות של כולם עוברות בדיקה מקיפה.
מבט מהיר: אחריות שותפים בחברות משותפות/קונסורציומים
- כל שותף אחראי על תאימות למה שהוא "שולט" (תפעולי, אבטחה, ספק או סיכון).
- ישות "מובילה" מסייעת בתיאום, אך לא מבודד אחרים.
- מעורבות ברמת הדירקטוריון ואישור הדירקטוריון צפויים יותר ויותר.
מה חייב לעשות חוזה של מיזם משותף או קונסורציום כדי לספק בפועל הבטחה של 2 ₪ (לא רק סימון בתיבות)?
חוזים חייבים הטמעת NIS 2 באופן אופרטיבי: הפיכת התחייבויות משפטיות לפעולות ויומנים ספציפיים וניתנים למעקב. ההסכמים הטובים ביותר משובצים:
- דרישות הודעה: הודעה ראשונית של 24 שעות, מעקב של 72 שעות הממופה לרישומי אירועים.
- ביקורת ושיתוף פעולה הדדי: כל שותף יכול להפעיל או להשתתף בביקורות, לדרוש ראיות ולסקור רישומים.
- "זרימה כלפי מטה" בשרשרת האספקה: כל הספקים הישירים והעקיפים (גם מחוץ לאיחוד האירופי) חייבים להיות מחויבים חוזית לאותם סטנדרטים של דיווח וטכניקה, עם הוכחת קליטה.
- סעיפי תיקון, שיפוי ופרישה: יומנים ספציפיים לכל הפרה, כשל או אירוע הפרדה, עם רישומים ברורים שרשראות ראיות.
- מדיניות וממשל סיכונים: אישור הדירקטוריון, אישור ומעקב אחר חריגים לסבילות סיכון, שינויים משמעותיים במדיניות או קליטת/יציאת ספקים.
רואי חשבון ורשויות לאומיות בוחנים כעת לא רק את מה שכתוב בחוזה, אלא גם האם תנאים אלה מאומתים - באמצעות יומני מדיניות, רישום ופרוטוקולים של הדירקטוריון - בכל שינוי משמעותי.
חוזים טובים רק כפי שהם תקפים - הציגו את הרישום שלכם, אחרת הסעיף לא יעמוד בתוקף.
דוגמאות למיפוי חוזה-לפי-תאימות
| סעיף | מאמר של 2 שקלים חדשים | נדרשת הוכחה |
|---|---|---|
| "להודיע על אירועים תוך 24 שעות" | אומנות. 23 | לוח בקרה של אירועים, יומני התראות |
| "כל השותפים רשאים לבצע ביקורת בכל עת" | אומנות. 29 | רישומי השתתפות בביקורת, יומני רישום |
| "כל הספקים זורמים 2 שקלים" | סעיפים 21, 25, 27 | רישום ספקים, הוכחת קליטה |
| "תיקון/יציאה במקרה של אי ציות" | אמנויות 32–36 | יומן שיפוי/יציאה, פרוטוקול דירקטוריון |
| "הדירקטוריון חייב לאשר שינויים קריטיים" | אומנות. 20 | אישורים חתומים, ביקורות הנהלה |
כיצד נראות ראיות חיים, יומיומיות, ובדיקת נאותות עבור חברות משותפות בשווי 2 ש"ח?
ראיות חיות כעת הוא סטנדרטי: כל שותף חייב לשמור רישומים ויומני רישום בזמן אמת לאורך מחזור החיים המלא של המיזם המשותף/קונסורציום. זה אומר:
- קליטה מראש: הגדרות תפקידים מפורשות, פרופילי סיכונים, סטטוס ספק, בגרות ISMS, רשומות חתומות.
- רישום רציף: כל החלפת שותף, שינוי ספק, תקרית או עדכון מדיניות משמעותי מפעילים עדכון וממופים ישירות לבקרות ולסיכונים (עם ראיות ניתנות לייחוס).
- פיקוח דירקטוריון במרווחים: סקירות שוטפות של ניהול, סיכונים ומדיניות - המתבססות על פרוטוקולים ויומני פעולות, לא רק על דוחות שנתיים.
- תאימות אוטומטית: ISMS.online ופלטפורמות דומות רושמות כל אירוע, החל משינויים בשותפים ועד לתקריות בספקים, כאשר הראיות זמינות באופן מיידי לביקורת או לבדיקה של הרגולטור.
כשלים בקליטה, שינויים בשרשרת האספקה או מסירת עדכוני מדיניות נותרו המקורות הנפוצים ביותר לממצאי ביקורת ולגורמים המניעים את האכיפה. ENISA, SANS ורגולטורים לאומיים דורשים במפורש עקיבות המקשרת בין אירועים, סיכונים, בקרה וראיות ("אל תציגו רק את החוזה שלכם - הציגו את 3 תופעות הלוואי האחרונות שלכם ואת יומן הסיכונים בזמן אמת").
עוצמת ביקורת אמיתית מגיעה מרישום שתואם לכל שינוי - עקבות ניירות לא יספיקו כשצריך להוכיח זאת בזמן אמת.
טבלת מיפוי עקיבות
| טריגר/אירוע | עדכון רישום הסיכונים | קישור בקרה/SoA | ראיות שנרשמו |
|---|---|---|---|
| שותף חדש על המסלול | תפקיד/סיכון רשום | גישה/הפרדה | רישום חתום, מסמך קליטה |
| הספק הוחלף | סקירת סיכוני שרשרת האספקה | זרימה מטה אומתת | חוזה מעודכן, רישום ביקורת |
| עדכון מדיניות מרכזי | סיכון גבוה, סקירת דירקטוריון | אישור ההנהלה | פרוטוקול, רשומה חתומה |
כיצד מטפלים בסיכוני שרשרת האספקה והספקים בקונסורציומים ובחברות משותפות במסגרת תוכנית NIS 2?
הספק החלש ביותר שלך הוא משטח התקיפה החי שלך - וכעת מהווה סיכון תאימות ישיר עבור כל מי שנמצא בשרשרת. 2 שקלים הופכים את הסיכון בשרשרת האספקה לחובה משותפת ומתמשכת:
- כל הספקים (ישירים ועקיפים) מחויבים חוזית לתקני דיווח וביקורת של NIS 2, עם סעיפי זרימה כלפי מטה חזקים וראיות קליטה אמיתיות.
- בדיקות תאימות שוטפות: לוחות מחוונים ורישום חושפים סטטוס בזמן אמת, התראות על אירועים ופערי בקרה עבור כל הספקים והשותפים - לא רק בשלב הקליטה, אלא לכל אורך הדרך.
- הסלמה באירועכל תקרית עם ספק מפעילה הודעה מיידית ברחבי המיזם המשותף, עדכון יומן אוטומטי ושרשרת ראיות - ללא המתנה ל"מסירת דוא"ל".
- ביקורות תפקידים מפורשות: תמיד יש לתעד איזה שותף מנהל איזה ספק בכל עת.
ENISA ורשויות לאומיות מענישות על קליטת אספקה במסגרת "הגדר ושכח"; עדכונים דינמיים ותגובה מהירה מנצחים ביקורות ומפחיתים קנסות.
זרימת עבודה בשרשרת האספקה
- אירוע מופעל על ידי הספק → לוח המחוונים מודיע לכל השותפים הנמצאים במסגרת.
- אירוע ותגובה נרשמו עם חותמות זמן/נתונים; ראיות עודכנו.
- פיקוח הדירקטוריון/הנהלה מוכח באופן מיידי עבור הרגולטור או רואה החשבון.
- אוגרי מידע מסונכרנים לבדיקה מיידית.
האם כללים מגזריים ולאומיים יכולים לעקוף או להחריף את 2 ש"ח עבור חברות משותפות וקונסורציומים?
חפיפות מגזרית (כמו אנרגיה, בריאות, תשתיות דיגיטליות) וכללים לאומיים קובעים לעתים קרובות סטנדרטים מחמירים יותר, הסלמה מהירה יותר או נטל ממשל נוסף.
- שכבות של מגזרים: הסלמת אירועים בזמן אמת, בקרות טכניות חובה, תרגילים תכופים ואישור ברמת הדירקטוריון (למשל, שירותי בריאות, אנרגיה).
- שכבות לאומיות (צרפת, גרמניה, איטליה): חברי דירקטוריון או דירקטורים עשויים להיות אחראים באופן אישי (נדרש פרוטוקול דירקטוריון), עם גישה רחבה יותר היקף הישות.
- הרמוניה בין-משטרית: במקרים בהם DORA, GDPR או מסגרות אחרות חופפות, ראיות מדיניות וסקירות דירקטוריון חייבות לעמוד בסטנדרטים הגבוהים ביותר הקיימים.
רואי חשבון מצפים שרישומי מיזמים משותפים/קונסורציומים יוכיחו את הדרישה המחמירה ביותר בכל השכבות הרלוונטיות, ופרוטוקולי דירקטוריון או רישומים משפטיים צריכים להיות מוכנים לבדיקה.
טבלת שכבת-על רגולטורית
| שִׁכבָה | דוגמה | דרישה נוספת | ראיות צפויות |
|---|---|---|---|
| קו בסיס של 2 שקלים באיחוד האירופי | הודעה על מיזם משותף כלל-אירופי | התראות 24/72 שעות ביממה | יומן אירועים מרכזי, הודעות |
| מגזר הבריאות/אנרגיה | מיזם משותף של צרפת/איטליה | הסלמה בזמן אמת, תרגילים | יומן קידוח, רישומי אישור מועצת המנהלים |
| שכבת-על לאומית | צרפת/גרמניה/איטליה | פרוטוקולי דירקטוריון, חתימות | רישום משפטי, מסמכי דירקטוריון חתומים |
| GDPR, שכבת-על של DORA | מיזם משותף טכנולוגי | מיפוי בין-משטרי | חבילת מדיניות, יומן SoA, לוח מחוונים משותף |
מה מגדיר את הצלחת ביקורת של מיזם משותף/קונסורציום - והיכן רובם נכשלים תחת NIS 2?
ביקורות מוצלחות: רישום, בקרות, מדיניות וחוזים מעודכנים, כל השינויים נרשמים, והראיות זמינות באופן מיידי, אינן קבורות בניירת שנתית. סקירות הדירקטוריון וההנהלה מתועדות, נחתמות וממופות ללוחות מחוונים חיים. הפרות של ספקים או שינויים בשותפים מתועדים ומוכחים בזמן אמת, עם מחזורי הודעה מיידיים.
כשלים: רישומים מיושנים או חסרים לאחר הקליטה, מיפוי אחריות לא ברור, ראיות חסרות לשינוי מדיניות או מעבר לספק, וסעיפי שרשרת אספקה המציינים עמידה אך חסרים הוכחת אספקה. אפילו החוזה או המדיניות המנוסחים בצורה הטובה ביותר אינם נכשלים ללא ראיות חיות להתאים.
ביקורות מודרניות מתגמלות חיים, רישום משותף ויומני החלטות - ניירת שנתית לבדה משאירה את המיזם המשותף שלכם חשוף.
כיצד יכול מיזם משותף או קונסורציום להיות תמיד מוכן לביקורת תחת תקן NIS 2?
העבירו את סביבת התאימות שלכם לפלטפורמה כמו ISMS.online: ניהול קליטה, תפקידי שותפים/ספקים, חוזים גדולים ו... אירועי סיכוןוכל מחזורי האירועים/ההודעות במרשם חי אחד. רישום ראיות אוטומטי, פיקוח מבוסס לוח מחוונים וניהול משותף של שותפים/ספקים מבטיחים מוכנות "הראה לי עכשיו" בכל עת. גישה זו שומרת על כל משתתף, ספק ודירקטור מיושרים, גמישים וניתנים להוכחה לרגולטורים, משקיעים או דירקטוריונים - יום אחר יום, לא רק פעם בשנה.
מוכנות לביקורת אינה עניין של ניירת נוספת - מדובר במתן אמון אמיתי להנהגה ולרגולטורים במיזם המשותף או בקונסורציום שלכם מדי יום.
