מה הופך את תפקידי הדירקטוריון של NIS 2 לשינוי פרדיגמה עבור מנהיגות בתחום הציות?
אחריות הדירקטוריון תחת NIS 2 היא יותר ממילת אופנה - זוהי מהפכת ממשל. דירקטורים לא רק מסמנים תיבות; הם נרשמים לפיקוח מתמשך וחי, המגובה בהוכחות עם חותמת זמן, חשיפה משפטית אישית ובדיקה רגולטורית ללא פילטר. לראשונה, רשויות אירופה דורשות ראיות לא ל"נוכחות" או לאישור לאחר מעשה, אלא למעורבות אמיתית ואיטרטיבית: מי ערעור, אילו החלטות עוררו ויכוח, מתי נבדקו אירועים וסיכונים, וכיצד נפתרה מחלוקת (eur-lex.europa.eu; cms.law). אם הפרוטוקולים שלכם חתומים בחותמת גומי או יומני הדירקטוריון ריקים, האחריות עוברת ישירות לדירקטורים בודדים - אין צורך להסתתר מאחורי "הדירקטוריון" או לבצע ביקורות לא תכופות.
אחריות הדירקטוריון אינה טקס לוח שנה. כעת זהו סרט תיעודי חי, כאשר טביעות האצבעות של כל דירקטור נראות בכל נקודת החלטה.
מצורה לתפקוד - השתתפות מודרנית בדירקטוריון
עבור דירקטוריונים שהיו נהנים היסטורית מסקירות שנתיות, המצב השתנה. אישורים חייבים להיות חיים, אתגרים חייבים להיות מוחשיים, ופיקוח חייב להיות ברור - ללא קשר ל"גודל" הישות או להתמחות הענף. להיות נוכחות בחדר אינה מספיקה. רגולטורים רוצים לראות מעורבות ברמת הדירקטורים בכל פנייה - אתגר, חילוקי דעות, הקצאת סיכונים והשלמת הדרכה - עם יומני רישום חיים המשחזרים את כל מצב הציות.
חשיפה אישית במסגרת קולקטיבית
אחריות דירקטורים תחת סעיף 2 לחוק לא מתפוגגת ברעש של ועדה. כל חוליה חלשה - אתגר מנותק, שקט או נעדר - מגבירה את החשיפה האישית והארגונית. בשולחן הדירקטוריון, לא התייעצו איתי או שהדברים שטופלו על ידי מערכות המידע כבר לא מהווים מגן. המעורבות של כולם נמצאת תחת זכוכית.
מפת חום של פיקוח על חדר ישיבות
דמיינו לוח מחוונים המאיר כל ריבוע עבור הדרכות, סקירות אירועים ואישורי מדיניות, כשהצבע משתנה בהתאם לזמן מאז האתגר האחרון. במבט חטוף, תוכלו לראות אילו דירקטורים פעילים, אילו סקירות מתקררות, והיכן פעולות באיחור מסכנות את הציות. זהו הסמל החדש של פיקוח תפעולי תחת NIS 2.
היכן נכשלות ההגנות המודרניות בדירקטוריונים: הפערים הנסתרים של ציות לקוי?
בקרות מקוטעות מפעילות לוחות מנהלים עם סיכון. אם יומני הסייבר, הפרטיות, האירועים, שרשרת האספקה והרכש שלכם קיימים באיים נפרדים, הרגולטורים רואים ניתוק - לא הגנה. NIS 2 מתייחס לכל פער ראיות כווקטור פרצה, לא רק כשל בניירת. לוחות מנהלים שמסתמכים על עדכונים תקופתיים "מידע בלבד" או תיעוד מדור קודם נחשפים.
כל פער בשרשרת הראיות הוא פער במגן האחריות של הדירקטוריון שלך.
מדוע אישורי דירקטוריון לא נדירים או פסיביים אינם מגנים עוד
אישורים רבעוניים - או גרוע מכך, שנתיים - לא יעברו את הליך הגיוס. רגולטורים מחפשים נקודות מגע ואתגרים חיים; פרוטוקולים גורפים כמו "אושר" או "ציינו" הם דגלים אדומים. "נכחו" או "הודענו" לא מספיקים. הקצאה, אתגר ומעקב - הקשורים לשמות הדירקטורים ולחותמות הזמן - הן הצורות היחידות הניתנות להגנה.
זיהוי והימנעות ממלכודת "תאימות הנייר"
רישומים לאחר מעשה - פרוטוקולים שנכתבו חודשים לאחר מכן, תיקיות מדיניות שנחתמו בדיעבד, או יומני רישום גנריים - מזמינים בדיקה והסלמת עונשים. רגולטורים מצפים יותר ויותר למסלולי ביקורת אוטומטיים בזמן אמת, אשר לוכדים כל פעולה משמעותית והתנגדות באופן מיידי, ולא לאחר מעשה. זו לא רק היגיינת ציות - זו הישרדות.
נתיב ביקורת חי: תקרית לתגובת הדירקטוריון
שרטטו ציר זמן אופקי משמאל (זוהה אירוע) לימין (סגירת דירקטוריון). בכל אבן דרך: יומן יצירת אירוע, חותמת זמן של הסלמה, כניסה לסדר היום של הדירקטוריון, שאלת דירקטור או התנגדות (עם ראשי תיבות), הקצאת פעולה וייצוא פרוטוקול אחרון. השרשרת הדוקה - ללא חוליות מתות, ללא פערים. כל צומת הוא נקודת הוכחה עבור מבקרים ורגולטורים כאחד.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
אילו סעיפים בנספח 2 לחוק NIS 2 וסעיפים בנספח 3 מגדירים את פעולות הדירקטוריון בעולם האמיתי?
תפקידי הדירקטוריון מתגבשים לשלושה נושאים שאינם ניתנים למשא ומתן: אישור פעיל של מסגרת סיכונים/אבטחה, הכשרה מתועדת בתחום אבטחת הסייבר ופיקוח בזמן אמת על אירועים במסגרות זמן רגולטוריות מחמירות (enisa.europa.eu; ssi.gouv.fr).
הכרזה על אישור המסגרת: לא עוד מנהיגות "תיבת סימון"
דירקטוריונים חייבים להיות מסוגלים להדגים מעורבות חיה - שאלות, חילוקי דעות והתאמות אמיתיות של בקרות - במסגרת הצהרת הישימות (SoA) או מקבילה. כל ישיבה צריכה לסגור את המעגל בין בקרות שנבדקו, אירועים שנדונו והפעולות שהוקצו. זהו רבעון (מינימום), לא סריקה בסוף השנה. הגיבוי של "סקירה שנתית" יצא רשמית.
יישום אישור המסגרת - פעולות מפתח
- סקירת בקרות רבעונית: עדכון, ערעור ותיעוד כל בקרת SoA תוך 90 יום.
- פרוטוקול כראיה: תעדו כל שאלה או דעה מהותית של הדירקטוריון - לא רק מי היה נוכח.
- קישור סקירות עם אירועים: כל סדר יום של פגישה מקשר סקירת בקרה עם סעיף סיכון או אירוע פעיל.
ביסוס הדרכה ותגובה לאירועים כתפקידי הדירקטוריון
יומני הדרכה משקפים כעת לא רק נוכחות, אלא גם רלוונטיות לתפקיד וכשירות מוכחת. יומני תגובה לאירועים דורשים רשומות עם חותמת זמן עבור כל מעורבות בדירקטוריון - באופן אידיאלי, אוטומטיות מלוחות מחוונים של הפלטפורמה. אם מתרחשת פרצה ולא ניתן להראות מעורבות של הדירקטור תוך 24-72 שעות ממועד ההסלמה, התהליך נכשל.
מה בעצם משנה נספח ג'? חדר הישיבות עובר ממדיניות סטטית לראיות חיות
נספח III יוצר מסגרת דינמית ומותאמת למגזר, לאחריותיות של הדירקטוריון. על הדירקטורים להסתגל לייעוץ המתפתח של המגזר, להתראות רגולטוריות ולמידע בשרשרת האספקה - על מנת להבטיח שכל מדיניות לא רק קיימת, אלא גם מגיבה (enisa.europa.eu; nis2-compliance.info). מדיניות שאינה ממפה אירועים בזמן אמת במגזר לבקרות ולפרוטוקולים של הדירקטוריון הופכת לנטל.
רגולטורים מצפים שפרוטוקולים של הדירקטוריון יתייחסו, יתאימו ויפעלו על פי אירועים ספציפיים למגזר תוך ימים - ולא מחזורים.
כיצד ראיות אדפטיביות קובעות כעת את הסטנדרט
אם ENISA (או רשות דומה) מפרסמת התראה מגזרית בנוגע לספק או וקטור, הנוהג הטוב ביותר הוא להתייחס אליה בחבילת הלוח הבאה, להקצות בעלים, לעדכן את בקרות ולקשר את גרסת ה-SoA לפרוטוקול. כל עיבוד הופך לראיה ניתנת לייצוא. "מיפוי חי" זה הוא עמוד השדרה של תאימות מודרנית לתשתיות דיגיטליות, SaaS, שירותי בריאות ועוד.
נספח III, ISO 27001, ומיפוי NIST - למה זה חשוב
עבור כל דרישה, רגולטורים ומבקרים מצפים למפה: מנספח III → פרוטוקול הדירקטוריון → ערך מדיניות/SoA → פעולת מנהל עם חותמת זמן. טבלת המיפוי, המיוצאת או המוטמעת בכל קובץ ביקורת, הופכת להגנה מהירה מפני "תאימות לדרישות הנייר".
דוגמה לטבלת מיפוי מוכנה לביקורת ISO/NIS 2
| 2 שקלים חדשים / נספח ג' ציפייה | אופרציונליזציה | ISO 27001 / נספח א' |
|---|---|---|
| הדירקטוריון מאשר בקרות בזמן אמת | פרוטוקול חתום, אתגרים בדבר תנאי השימוש | 5.2, A.5.1, A.5.4, A.5.36 |
| דיווח על אירוע תוך 24/72 שעות | יומן התראות הלוח | A.5.24, A.5.25, A.5.26, A.5.27 |
| הכשרה מועצתית מאושרת | יומן השלמה מתוארך/מאומת | A.6.3 |
| ביקורות יעילות | סקירת קישור צולב של SoA/אירוע | 6.1, 8.2, A.5.7, A.5.19, A.5.20 |
| המדיניות מתאימה את עצמה להתראות המגזר | פרוטוקול הדירקטוריון, עדכון SoA | A.5.21, A.8.8, A.8.29, A.8.13 |
| מפות SoA ללוח, אירועים | תנאי שימוש חיים, פרוטוקולי דירקטוריון | א.5.36, 9.2, 9.3 |
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
האם המוכנות לביקורת התפתחה מטקס שנתי להוכחה חיה?
מוכנות לביקורת אינה מדידה לפי לוח זמנים. זוהי היכולת לייצא, בכל רגע נתון, תיעוד המיוחס למנהל של בקרות שנבדקו, אירועים שניהלו, מדיניות שעודכנה והדרכות שהושלמו (isms.online; enisa.europa.eu). התרחיש של הרגולטור הוא כעת "הראו לי בשידור חי, היום" - לא ברבעון הבא.
מוכנות לביקורת היא מצב תמידי - תמיד פעיל, תמיד ניתן לייחס אותו, תמיד ניתן להגנה.
איך נראית בפועל רישום רציף?
פלטפורמות מאפשרות כעת סקירות מחזוריות חודשיות או אפילו שבועיות. לוח מחוונים חי מציב בחזית סיכונים פתוחים, אירועים שלא נפתרו ו-SoA שעברו את מועד הביצוע, ומייצא כל אתגר או יומן עם שמות מנהלים, תאריכים ובקרות ממופות. אוטומציה הופכת זאת לניתן להרחבה; עידן הפאניקה של סוף השנה וארכיון PDF הולך ודועך.
פעולות מוכנות לביקורת שוטפות
- תזמון חודשי של סקירות תנאי שימוש + אירועים: השתמש בלוחות מחוונים למיפוי פערים של חום.
- קשרו את פעולות הלוח לכל אירוע פעיל: ראשי תיבות של מנהל דרישה, חותמת זמן ועדכון בקרה רספונסיבי לכל אירוע.
- אוטומציה של ייצוא יומני ראיות: כל אתגר בדירקטוריון, עדכון סיכונים והקצאה הופכים ניתנים לייצוא עבור הרגולטורים.
יומן ביקורת חי לדוגמה
5 במרץ 2024: הדירקטוריון סוקר את הודעת הפרת הספק; מנהל מערכות מידע (CISO) מדווח על ערך במרשם הסיכונים (A.5.21); מנהל הכספים מערער על תוכנית ההתאוששות (A.8.13); פעולות וראיות נרשמות, הוקצו, חתומות בזמן ויוצאו.
כיצד מגדירה עקיבות שרשראות ראיות מודרניות של לוחות 2 בניירות ערך?
עקיבות - נרטיב של סיכון או אירוע ועד להחלטה לסגירה - היא ההוכחה היחידה הניתנת להגנה. אם עולה אירוע או סיכון, הראיות חייבות להראות את הופעתם בסדר היום של הדירקטוריון, דירקטור שמערער על ההקלות או מקבל אותן, והמשימה נסגרת או מתוקנת כתוצאה מכך.
| הדק | עדכון סיכונים | קישור בקרה / SoA | ראיות שנרשמו |
|---|---|---|---|
| זוהתה פרצת ספק | רישום סיכונים עודכן, הפחתה חדשה | א.5.21, א.8.8 | דוח תקרית, הודעת ספק, הקצאת סיכונים |
| הודעה מוקדמת (<24 שעות) | אירוע רשום ביומן הלוח, פעולה שהוקצתה | 5.2, A.5.1, A.5.36 | פרוטוקול, אתגר מועצת המנהלים, ראשי התיבות של הנמען |
| הבקרה עודכנה | חוקי בעל השליטה, תנאי חוק מתוקנים | א.8.29, א.5.13 | עדכון תנאי שימוש חדשים, בעלים/תאריך |
| סקירה לאחר האירוע | ביקורות מועצה, לקחים שנרשמו, ראיות שיוצאו | 9.2, 9.3, A.5.27 | יומן שיעורים, חבילת ביקורת, סגירה |
שלב אחר שלב: עקיבות מהפרצה ועד ללוח
- עדכון רישום סיכונים - כולל פרטים, זמן הסלמה, בעלים.
- הודע על אתגר ביומן הלוח, שאלות, הקצאת פעולות תוך דקות.
- רענן את תנאי הפתרון (SoA) עם קישור בקרה חדש או מותאם ליומן אירועים/פגישות.
- השלם את הביקורת לאחר האירוע ורישום התוצאות, ייצוא קובץ עבור הרגולטור.
מדוע זה חשוב:
רגולטורים רוצים כעת את ה"סיפור" לא פחות מאשר את הנתונים: כיצד נצפתה הסבירות לסיכון, מי התמודד איתו, מה השתנה, ואילו ראיות מצביעות על סגירה?
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
מהן ראיות מועצה "הוכחת NIS2", וכיצד בונים אותן?
ראיות מועצתיות הוכחת NIS2 הן חיות, חלקות ומוכנות לפי דרישה. זוהי שרשרת של אישורים, אתגרים, תגובות לאירועים ועדכוני מדיניות - מיוחסות למנהלים, עם חותמת זמן, ממופות לבקרות חיות והתראות מגזריות, ניתנות לייצוא בהתראה רגעית. כל רשומה קשורה לנספח ISO 27001 ולחובת סעיף/נספח III של NIS 2.
קריטריונים להוכחת NIS2-Proof Board:
- כל אישור/פעולה הממופה לבקרה, מדיניות, סיכון או אירוע.
- כל ערעור, שאלה או התנגדות של במאי ניתנים להקלטה, לא רק פרוטוקולים פסיביים.
- השתתפות מנהלים עם חותמת זמן בכל מחזורי ההדרכות, הסיכונים והאירועים.
- SoA חי היוצר את האינדקס הראשי - תמיד קליק אחד מאתגר הלוח ועד לייצוא ראיות.
- התראות על מגזרים, שרשרת אספקה והתראות על אירועים משתקפות בחבילות הלוח תוך ימים.
- מבנה הייצוא מאפשר ביקורת קלה ומותאמת לתפקיד בכל עת.
הפיכת פיקוח חי וניתן להגנה להרגל בחדרי ישיבות – יתרון ISMS.online
ההזדמנות עבור דירקטוריונים אינה רק לעבור בדיקות, אלא לנהל פיקוח תפעולי ארגוני, מוכוון טוב יותר ואמין יותר, איחוד החלטות בזמן אמת ואוטומציה של ראיות באמצעות שילובי זרימת עבודה ופלטפורמות. קבעו סימולציה בזמן אמת לפני הביקורת הבאה שלכם, עקבו אחר אירוע מהתראת מערכת, דרך אתגר דירקטוריון ועד לעדכון בקרה, וראו עד כמה ראיות ביקורת בזמן אמת יכולות להיות חלקות (pwc.com; isms.online).
הרגולטור של המחר רוצה לראות את ההחלטות של היום, מאוחדות וניתנות לייחוס - לפני חלון ההפרה, המשא ומתן או הביקורת הבא.
מנהיגות פירושה מעבר מפרוטוקולים סטטיים שלאחר מעשה, לפיקוח פרואקטיבי חי, המיוחס למנהלים. אם ראיות ניתנות להגנה הן מחשבה שלאחר מעשה, כך גם חוסן. עכשיו זה הזמן ליישם פיקוח חי - לקשר כל מדיניות, הכשרה, אירוע ואתגר, ולמצב את הדירקטוריון שלכם לעמידה בטוחה וניתנת לחזרה תחת NIS 2 ומעבר.
שאלות נפוצות
אילו חובות אישיות חדשות מטיל חוק 2 שקלים על דירקטוריונים - וכיצד משתנה אחריות הדירקטורים?
NIS 2 מחולל מהפכה באחריות הדירקטוריון בכך שהוא דורש מכל דירקטור - לא רק היושב ראש או מקדם האבטחה - לקחת פיקוח מעשי, רציף ומתועד באופן אינדיבידואלי של ניהול אבטחת סייבר. שינוי זה אומר שאתם לא רק אחראים כקבוצה: כל דירקטור חייב באופן פעיל לאשר, לערער ולתעד מחזור ניהול הסיכונים, עם ראיות הקשורות לשמך ולפעולותיך.
חוסן בסייבר הוא כיום חובה של חדרי ישיבות הנמדדת בשמות, חותמות זמן ואתגרים - לא בפורמליות או חתימות בהיעדרם.
חובות הנהלת המפתחות כוללות:
- לאשר ולפקח: את תוכנית אבטחת הסייבר של הישות במרווחי זמן קבועים (לא רק מדי שנה) וכתגובה לאירועים או איומים במגזר (סעיפים 20, 21 בסעיף 2).
- עדות אישית למעורבות: יש לתעד את נוכחותו, שאלותיו, אישוריו והתנגדויותיו של כל דירקטור בפרוטוקולים, ביומני פעולות וברישומי ערעור של תנאי השימוש. מי ערער? מי חתם? הוכחה בכתב זו היא כעת חובה לציות לתקנות.
- אימון רציף: כל דירקטור חייב להשלים הכשרה רלוונטית בתחום אבטחת הסייבר, עם תאריכים ורישומים עבור כל אדם באופן אישי (לא אישור קולקטיבי).
- פיקוח על אירוע: יש להעלות תקריות משמעותיות לדירקטוריון ולסגור אותן, עם אישור המציג מי סקר, עקב ואישר את שלבי הבדיקה שלאחר המוות - לא עוד האצלת סמכויות גרידא לצוותי IT או ביקורת.
- ראיות חיות הניתנות לייצוא: יומני ISMS צריכים לעקוב אחר אישורים בזמן אמת, אתגרים, השלמות הדרכות וסקירות אירועים, שניתן לייצא אותם לפי דרישת הרגולטור.
אי ביצוע חובות אלה כבר אינו רק חשיפה תאגידית. 2 שקלים מביאים קנסות אישיים (עד 10 מיליון אירו / 2% מחזור או 7 מיליון אירו / 1.4% עבור גופים חשובים), איסורים על דירקטורים וביקורת על גורמי רגולטור ציבורייםשמך יופיע ביומן הציות - וברישום הסנקציות אם הפיקוח ייכשל. (EUR-Lex סעיפים 20-21).
טבלת תפקידי ועדות
| סעיף 2 שקלים חדשים | חובת דירקטוריון | ראיות אישיות |
|---|---|---|
| 20 | אישור/פיקוח על תוכנית סיכונים | פרוטוקול חתום של הדירקטוריון, יומן SoA |
| 21 | פיקוח על החלטות בקרת סיכונים | רשימות בדיקה לפעולות ייחוסיות |
| 21 (5) | הכשרה מתמשכת של מנהלים | רישומי הכשרה מתוארכים |
| 23 | הסלמה וסגירה של אירועים | יומן אירועים/סגירות, חתימה |
כיצד נספח III של NIS 2 מכייל מחדש את ציות הדירקטוריון לאיומים ספציפיים למגזר?
נספח ג' שובר את המסורת של מדיניות גנרית ופשטנית. במקום זאת, הוא מחייב כל דירקטוריון להוכיח הסתגלות חיה לסביבת האיום של המגזר הספציפי שלהם, עם ראיות ברורות ומתוזמנות לאתגר ועדכון.
מה השתנה?
- פיקוח דינמי.: דירקטוריונים חייבים לפעול על סמך הנחיות מגזריות או לאומיות - כגון אזהרות של NCSC, EMA או ECB. לאחר הפרת תרופות או התראה על מגזר פיננסי, הפרוטוקול חייב להראות מי בדק, מה נדון ואילו בקרות שונו.
- עדכונים רבעוניים ועדכונים המופעלים על ידי אירועים: יש להראות כי מעורבות הדירקטוריון מתרחשת בכל רבעון *ו* בכל פעם שמתעוררים אירועים או הנחיות מהותיים במגזר - ולא רק במחזור לוח שנה.
- יומני תגובה מותאמים אישית: כל אירוע תאימות מקשר ייעוץ מגזרי (כמו הודעת הרבעון הראשון של EMA) לסקירה ספציפית של הדירקטוריון (למשל, "פרוטוקול 14 במרץ: ד"ר טיילור דן ותיקן את שורת ה-SoA..."), חתומה על ידי המנהל האחראי.
- שיא אתגר: מפקחים מחפשים ראיות לחילוקי דעות, תהיות או אתגר בחדר הישיבות, דבר המצביע על ממשל פעיל - לא על חותמת גומי.
סמכות הדירקטוריון מוכחת כעת לא על ידי נוכחות במדיניות, אלא על ידי הסתגלות מונחית אירועים - חוזק הציות שלך הוא נתיב הביקורת שלך.
רישום סיכונים "מידה אחת מתאימה לכולם" או רישום סיכונים שפג תוקפו מסומן בדגל אדום על ידי פקחי 2 שקלים, בעוד שיומנים פעילים וספציפיים למגזר מסמנים את הלוח שלך כמוכן לביקורת.
דוגמה: מעקב אחר תאימות מגזרית
| ייעוץ/אירוע | יומן מועצת המנהלים (תאריך/דיון) | שורת SoA עודכנה | במאי (תפקיד) |
|---|---|---|---|
| התראת פרצת EMA | 14 במרץ: דיון ותוקן | כן (A.5.24) | ד"ר טיילור (CRO) |
| אזהרת אינפרא-אדום של NCSC | 22 באפריל: פעולות הפחתה | כן (A.5.25) | גב' לי (יו"ר) |
מה נחשב כראיה הגנה בדירקטוריון עבור רגולטורים ורואי חשבון של NIS 2?
ציות בר הגנה דורש רציף, ראיות הניתנות לייצוא, המיוחסות לבמאי עבור כל פעילות NIS 2 סטטוטורית, ניתן לעקוב אחר פרוטוקולים, יומנים וייצוא ISMS - אין עוד חסימה עם "אישור קבוצתי" או תיאורי תהליכים.
על הדירקטוריונים להרכיב:
- פרוטוקול חתום ומתוארך: עם הערות הקושרות החלטות, חילוקי דעות ואישור ישירות לדירקטורים שמונו.
- יומני אירועי טריגר: כל ייעוץ, אירוע או פגיעות מפעילים עדכון SoA/בקרה שניתן להוכחה, תוך קביעת שם החבר הבודק/מאשר.
- היסטוריית הכשרה ברמת מנהל: יומני רישום לכל חבר, עם אישורים או תאריכי סיום (לא רק הדרכות כלל-חבריות).
- יומני ISMS אוטומטיים: כל עדכון של בקרה, סיכון או אירוע נרשם עם חותמת זמן, פעולה, מנהל סוקר ומוכנות לייצוא.
- מעקב אחר אירועים: עבור כל סגירה, השרשרת "אירוע ← רישום סיכונים ← עדכון תשובה לשאלה → סקירת/סגירה של מנהל" חייבת להיות גלויה.
צפו שהפקחים ישאלו: 'מי ערער על עדכון ה-SoA האחרון שלכם? מתי שולבה ההנחיה האחרונה שלכם בתחום? הציגו את ההוכחות, לא רק את המדיניות.'
, (https://iw.isms.online)))
דוגמה לשרשרת ראיות
| אירוע טריגר | רישום סיכונים | שורה של SoA | תאריך סקירת הדירקטוריון | חתימת הבמאי |
|---|---|---|---|---|
| התראת כופרה | רגולציית סיכונים לרבעון הראשון | A.5.24 | 7 פבואר 2024 | מ. אנדרסון |
כיצד כללי הדיווח על הפרות וסגירת מערכות NIS 2 משנים את תהליכי העבודה של הדירקטוריון וההנהלה?
2 שקלים מטילים שעוני תגובה מדויקים לאירועים- אילוץ דירקטוריונים לפעול ולרשום מעורבות תוך 24 ו-72 שעות במקרה של הפרות חמורות. ציפיות אלו מאפסות את שגרת הדירקטוריון מפיקוח איטי ורטרוספקטיבי לניהול משברים בזמן אמת.
- חלון של 24 שעות: יש להודיע לדירקטוריון ולתעד את התקשרותו תוך יום אחד מכל הפרה מהותית. אין הסלמה איטית: הרישומים חייבים להראות מתי כל דירקטור הובא לתפקיד ומי הוביל או ערער על החלטות התגובה.
- סקירה של 72 שעות: על הדירקטוריון לעיין (ולחתום) על דוח השפעה/סגירה של האירוע, כולל עדכונים בנוגע לבלימת האירוע ופעולות נוספות בנוגע לסיכונים.
- הודעה כפולה אם מעורב אדם פרטי: אם כלולים נתונים אישיים, יש לתעד שלבי הודעה כפולים (NIS 2 ו-GDPR) - תוך הקצאת מנהלי אבטחה ופרטיות כאחד, עם הוכחת פעולה ותזמון.
- נתיחה שלאחר המוות בהובלת המנהל: אירועי סגירה, סקירות לקחים שנלמדו ובקרות חדשות חייבים להיות חתומים במפורש על ידי חברי הדירקטוריון, ולא רק על ידי צוות ה-IT.
כל אירוע הוא רצף ביקורת חי. סגירת האירוע אינה אמיתית עד שהדירקטוריון משאיר את טביעת האצבע המתועדת שלו, עם לקחים ועדכונים שניתן לייחס לכל חשבון.
,
טבלת מעקב אחר אירועים
| תאריך / זמן | הודעה לדירקטוריון (24 שעות) | דוח 72 שעות חתום | עדכון תנאי השימוש/ביקורת | מבקר במאי |
|---|---|---|---|---|
| 11 ביוני, 12:00 | כן (גב' פ. ברג) | יש | כן (A.5.x) | י. אילייב |
מהם הסיכונים האישיים - קנסות, איסורים ופרסום שמות בפומבי - אם דירקטוריון נכשל בניהול של 2 ₪?
אוכפים 2 שקלים חשיפה של דירקטורים בודדים בגין אי ציות. דירקטורים מסתכנים בקנסות אישיים, איסורים ו(בתחומי שיפוט רבים) פרסום שמות ציבוריים או ביקורת על תדמית, מעבר לעונשים תאגידיים.
- ישויות חיוניות: עד ל 10 מיליון יורו or 2% מהמחזור העולמי (הגבוה מביניהם), בתוספת איסורים או השעיה של דירקטורים. שמות מלאים ב-DACH (גרמניה/אוסטריה/שוויץ), ים התיכון (איטליה/ספרד/יוון).
- ישויות חשובות: עד ל 7 מיליון יורו or 1.4% של תחלופה. יומני ערעור ואישור של הדירקטוריון הם תופעות ביקורת מרכזיות.
- כל הגופים (בכל רחבי אירופה): דירקטורים עומדים בפני הדחה, ביקורת ציבורית ואף העמדה לדין במקרים בהם ניכרת הזנחה חמורה.
- נקודות הוכחה: פעולות שנעשו לאחרונה על ידי רשויות באזורים שונים כללו השעיית דירקטורים, פרסום שמות בהודעות אכיפה והרחבת היקף החקירה מהחברה לחדרי הדירקטוריון.
האנונימיות מתה עם פיקוח פסיבי. הדירקטורים של היום חייבים להקדיש את שמם, הכשרתם ואתגרם לרשומות - או להסתכן בהצטרפות לרשימת המנהיגים שאושרו.
,
טבלת אכיפה
| סוג ישות | גבול קנס | איסור מועצה | שיום | ראיות מרכזיות |
|---|---|---|---|---|
| חִיוּנִי | 10 מיליון אירו / 2% מהממוצע להשקעה | יש | כן (DACH/MED) | יומנים חתומים, פרוטוקולי מנהל |
| חָשׁוּב | 7 מיליון אירו / 1.4% מהממוצע להשקעה | אפשרי | משתנה | ביקורות SoA, יומני אתגרים |
| הכל | חסימה/הסרה | יש | כן (בחלק מהמדינות) | יומני הכשרה של מנהלים |
כיצד יכולים דירקטוריונים להשתמש בתקן ISO 27001, SoA ונספח A כדי להוכיח עמידה בתקן NIS 2 בזמן אמת?
ISO 27001, ובמיוחד שלו הצהרת תחולה (SoA) ובקרות נספח א', מספק מנגנון ראיות חי. כאשר משתמשים בהם בצד הדירקטוריון, אלה מאפשרים לדירקטורים להדגים בעלות מפורטת, לערער ולהוכיח כל חובה של 2 ₪.
איך ליישם את זה באופן אופרטיבי:
- מיפוי צולב של חובות NIS 2 לבקרות ספציפיות של ISO 27001: כל סקירת סיכונים, סגירת אירוע והערכת שרשרת אספקה תואמים לשורת תנאי השימוש ולהפניה לנספח A.
- השתמש ביומן SoA חי: בכל סקירה של הדירקטוריון והוועדה, דרשו רישום של "מי עשה מה, מתי" עבור שינויי מדיניות, תגובות לאירועים, אתגרי סיכונים ופעולות בשרשרת האספקה.
- דרוש מ"בעלי חובות" של המנהל: הקצאת מנהיגים לנושאי אירועים, סיכונים ושרשרת אספקה; ודא שכל פעולה נרשמת עם שם, זמן ותוצאה.
- אוטומציה של שרשרת הראיות: פלטפורמות ISMS מודרניות (כמו ISMS.online) יכולות לייצא SoA וראיות פעולה לכל מנהל, לפי דרישה, הקשורות לכל צומת סטטוטורי של NIS 2.
טבלת גשר לוח ISO 27001 ↔ NIS 2
| 2 ₪ חובת דירקטוריון | יומן ראיות (לוח) | תקן ISO 27001 / נספח א' |
|---|---|---|
| סקירת סיכונים | עדכון פרוטוקול הדירקטוריון/נוהל תנאי השימוש | 6.1, A.5.1 |
| סגירת אירוע | חתימה/יומן של המנהל | א.5.24, א.5.25 |
| הכשרת מנהלים | יומן/תעודת נוכחות | A.6.3 |
| סקירת ספק | סקירת חוזה/תנאי שימוש | א.5.19–א.5.22 |
אילו שדרוגים תפעוליים חייבים הדירקטוריונים וה-GRC/המחלקה המשפטית להוביל על מנת להבטיח חוסן מתמשך של NIS 2?
צעדים מיידיים:
מועצת
- הפעלת סקירות סייבר רבעוניות (או בתדירות גבוהה יותר) עם פרוטוקול. רישום כל סיכון, SoA ופעולה של אירוע על ידי מנהל שמונה עם חותמת זמן.
- הטמעת ISMS עם יומני רישום אוטומטיים המיוחסים למנהל. הגהות ידניות בגיליונות אלקטרוניים או מבוססות דוא"ל ייכשלו תחת לחץ ביקורת.
- הכשרת מנהלים ספציפית למגזר מחייבת: כאשר השלמתם נבדקת בנפרד לפני כל אסיפה כללית או מועד אחרון סטטוטורי.
- הקצאת "בעלי תפקידים" ברמת הניהול: לדוגמה, ליד שרשרת אספקה, ליד תגובה לאירועים - רישום זה ביומני SoA.
GRC/משפטי:
- מיפוי צולב של כל סעיף סקטור לערך SoA גלוי בלוח. היכונו על ידי סימולציית ייצוא מהיר עבור ביקורת או דרישות רגולטוריות.
- ריצות יבשות של "מעקב ביקורת" בשלבים: בדקו את המערכת באופן קבוע על ידי אתגר הצוות "להראות את שרשרת הראיות" עבור אירועים, ייעוץ או אירועי הדרכה.
- עקוב אחר ניואנסים אזוריים: היו מוכנים לחקירה ישירה ולסקירת יומן אישי במשטרי DACH, MED, ובמשטרים נבחרים של מדינות בנלוקס/נורדיות.
אוניברסלי: אימוץ כלי פלטפורמה המספקים ראיות ניתנות למעקב כשידור חי, ולא כחבילה שנתית נדחתה.
מדד החוסן הוא נראות של דירקטורים - הנמדדת בדקות, יומני פעולות, חתימות וייצוא ביקורת - המסופקת באופן רציף, לא רק בשבועות שלפני ביקורת.
כיצד יכולים דירקטוריונים לנעול עמידה וחוסן מתמשכים, "מוגנים מפני 2 ₪" - מעבר לביקורות שנתיות?
הבטחה מתמשכת מושגת כאשר הדירקטוריון דורש זאת ראיות חיות, הניתנות למעקב, המיוחסות באופן אינדיבידואלי בכל פגישה והחלטה מרכזית בנוגע לשליטה - לא רק במאבק של פעם בשנה.
שיטות עבודה מומלצות:
- הפוך רישום פעולות/SoA לפריט קבוע בסדר היום. כל החלטה בנוגע לסיכון, סקירת אירוע או השלמת הדרכה נרשמת ומוקצתת למנהל.
- תזמון ייצוא ביקורת מדומה: בכל רבעון - האם תוכל לייצר את ה"מי, מה, מתי" עבור כל נושאי הראיות המרכזיים?
- אוטומציה, לעולם לא ידנית. פלטפורמת ISMS מודרנית צריכה לספק יומני רישום לפי דרישה הניתנים לייצוא, הקושרים כל בקרה, אתגר והחלטה לחבר דירקטוריון.
- אימות מעורבות הדירקטוריון בכל ישיבה: -מי נקרא, מי מאתגר, מה השתנה, וכיצד הראיות מתעדכנות בזמן אמת?
- קשרו כל פעולת ISMS לתקני NIS 2, ISO 27001, GDPR ותאימות שרשרת האספקה - ויוצרים "חלונית אחת" חיה עבור דירקטורים ורואי חשבון כאחד.
דירקטוריונים שבונים לולאת ראיות וממשל רציפה זו, המעוגנת על ידי הדירקטורים, זוכים לאמון רגולטורי, עוקפים את המהומה של ביקורת ומובילים כמודלים לחיקוי לחוסן ארגוני מתמשך ולמוניטין ביטחוני.
