כיצד NIS 2 מגדיר מחדש את הסיכון והאחריות עבור מפעילי שירותי שפכים?
מפעילי שירותי שפכים ברחבי אירופה עומדים בפני שינוי משטר תחת הוראה 2 שקליםחלפו הימים שבהם תאימות הייתה עניין של נייר ואבטחת סייבר הייתה "בעיה של ה-IT". תחת NIS 2, סיכון הופך ל... אחריות דינמית ומשותפת שמגיע מחדר הבקרה לחדר הישיבות - מסגור מחדש ניהול סיכונים לא כמדיניות סטטית, אלא כמערכת חיה ומעוגנת במועצה של ראיות והסתגלות.
כל תקנה היא מראה: היא משקפת את מה שהתוקפים כבר יודעים על החוליה החלשה ביותר שלך.
מה השתנה? תחת NIS 2, האחריות המשפטית שלך מתחילה באופן שבו הישות שלך מסווגת ("חיונית" או "חשובה") - החלטה שקובעת את הקצב עבור בדיקה רגולטורית, מעורבות הדירקטוריון, וכמה פעמים עליכם לבחון מחדש ולהוכיח את סטטוס הציות שלכם. לא משנה גודל הפעילות שלכם, הציפייה זהה: פיקוח פעיל ותפעולי, לא סימון תיבות. אישור ביקורת דורש לא רק ראיות, אלא ראיות עדכניות, ממופות ונבדקות לפי תפקידים.
ציר האחריות המרכזי הוא הרחבת ניהול הסיכונים לכל פלטפורמות הטכנולוגיה - מערכות IT, טכנולוגיה תפעולית (OT), ובעיקר, לכל שרשרת האספקה שלך. NIS 2 דורש ש מלאי הנכסים והספקים תמיד מעודכןפרוטוקולי אירועים נבדקים ומתוקנים באופן שגרתי; ו ביקורות סיכונים מופעלות לא רק בלוח שנה, אלא גם על ידי אירועים עסקיים, איומי סייבר או שינויים משמעותיים בתשתית שלכם. אם הארגון שלכם גדל, מתמזג או מבצע ארגון מחדש, אתם צפויים לעדכן את הסטטוס שלכם ואת הוכחות התאימות. כל אירוע, חידוש חוזה או שינוי בתשתית הופך לאירוע סיכון עם נתיב מתועד וניתן לבדיקה.
אילו יסודות תפעוליים מאחדים את NIS 2, ISO 27001 ו-ENISA לצורך עמידה בתקנים מרובים?
אינטגרציה אינה מילת באזז - זוהי ההגנה היחידה מפני עייפות ביקורת ושוטף רגולטורי.
פילוסופיית תאימות סייבר חדשה מתחילה להשתרש: רגולציה באמצעות הוכחה, לא רגולציה באמצעות נרטיב. 2 שקלים חדשים. ISO 27001, ו-ENISA כולם מתכנסים על שקיפות תפעולית, שילוב ראיות ומחזורי סקירה מהירים. זה אומר:
- רשת ראיות אחת - מרכזית, מאושרת ועדכנית תמיד - היכן נתוני סיכונים, אירועים ו... רישום נכסיםחיים זה לצד זה, כשיש בהם הפניה בכל ביקורת וסקירה.
- תזכורות אוטומטיות ו שביל ביקורתלהבטיח ביקורות, אישורים ו דוח מקרהמבוססי תפקידים, עם חותמת זמן וניתנים למעקב אחר כל סקירה של הדירקטוריון והרגולטור.
- לוחות מחוונים וערוצי דיווח מאחדים את מה שהיה בעבר מקוטע: רשימות ספקים, רשימות אירועים ו יומני שינויים, ממופה ישירות לבקרות ומוכן לבדיקה.
חיבור ידני של ראיות וחיפוש מסמכים ברגע האחרון אינם רק לא יעילים - הם מלכודות ביקורת שמחכות לאור היום.
האכיפה נמשכת כעת. ביקורות חוזרות - לעתים קרובות רבעוניות, לפעמים לפי אירוע - גורמות לכך שגיליונות אקסל מיושנים ומסמכים מבודדים מהווים נטל. גישה שגרתית מבוססת תפקידים ושילוב זרימות עבודה בזמן אמת נדרשים, לא רק מומלצים.
תקן ISO 27001: מיפוי ציפיות
| תוֹחֶלֶת | תרגול מבצעי | תקן ISO 27001/נספח א' |
|---|---|---|
| בקרות מאוחדות וגלויות | לוחות מחוונים לתאימות המקושרים לסטטוס בזמן אמת | סעיפים 8.1, A.5.6, A.8.1 |
| חפצי ראיות מרכזיים | מאגרים בעלי הרשאות תפקיד, גישה בזמן אמת | נספח A.5.37, A.5.31 |
| סיכונים ואירועים מאוחדים | רישום סיכונים עדכונים אוטומטיים מנתוני אירועים | סעיפים 6.1.2-3, A.5.24 |
| שילוב ENISA/ISO | כל הנחיה ממופה לרישומי הוכחה תפעולית | סעיף 9.2, A.8.34 |
דמיין את זה: רשת תאימות בזמן אמת - מערכת חיה שבה נכסים, פרטי ספקים ואירועים מעדכנים את לוח המחוונים של הביקורת, וכל שינוי מפעיל התראה ופעולה.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
באילו דרכים צריכים דירקטוריונים, ראשי אבטחה ומנהלי נכסים להתאים את שגרות ניהול הסיכונים של NIS 2?
אישור מועצת המנהלים פירושו דין וחשבון בעמוד הראשון, לא רק פרוטוקולים קבורים.
NIS 2 סוגרת פרצות סביב ניהול "אחראי אך לא פעיל". צוותי ניהול מחויבים להשתתף ישירות בניהול סיכונים לצד מנהלי אבטחה ובעלי נכסים. שגרות הסתגלות מרכזיות כוללות:
- כל נכס וספק שהוקצה להם סטטוס פעיל של בעל סיכון נבדקים לפחות פעם בשנה, וכל אירוע משמעותי (הפרה, שינוי חוזה, רכישת נכס) מפעיל הערכת סיכונים מחודשת.
- ראשי אבטחה חייבים לשמור על רישום סיכונים מתגלגל אשר מתעד כל אירוע ותיקון, עם קישורים ישירים לבקרות ופיקוח מתועד של הדירקטוריון. ללא אישורים עקיפים.
- דירקטוריונים עוברים מפיקוח *עקרוני* לסקירה, אישור וחתימה רשמית ניתנת למעקב של כל מחזור סיכונים בלוח המחוונים בזמן אמת.
דמיינו את התהליך:
איום כופר פוגע בצד ה-OT. רישום אירועים מיידי, התראות מועצת המנהלים, אימות מחדש של נכסים/ספקים ועדכון רישום סיכונים בזמן אמת - כל אלה מתרחשים בתוך פלטפורמת התאימות. תיקון, בדיקת נאותות של ספקים, ואמצעי השיפור נרשמים, מוקצים ומעקבם עם ראיות בהמשך הדרך לקראת פגישת הסקירה הבאה.
טבלת עקיבות מיניאטורית: מאירוע סיכון לראיות
| הדק | עדכון סיכונים | קישור בקרה / SoA | ראיות שנרשמו |
|---|---|---|---|
| תוכנות כופר ב-OT | שנתי רישום סיכונים + סקירת תיקונים | A.8.7 (תוכנות זדוניות), A.8.8 | יומן אירועיםעדכון סטטוס בקרה |
| שינוי חוזה ספק (נוספה תמיכה מרחוק) | הערכת סיכונים של ספקים, חוזה חדש | א.5.20, א.5.21 | רשימת ספקים, תזכיר סקירה |
| חתימה של הדירקטוריון בסקירה רבעונית | רישום פיקוח של הדירקטוריון, אימות תפקידים | א.5.4, א.5.36 | פרוטוקול, רישום פיקוח |
| התראת סייבר של הרגולטור | סימולציה/בדיקה של אירוע מתוכנן | א.5.29, א.5.30 | תוכנית בדיקה, אישור התראה |
מלכודות בסיכון גבוה:
- אי הפעלת סקירות של כל הסיכונים לאחר האירוע.
- נכסים שלא הוקצו או שלא מפופו ברישומי סיכונים/ספקים.
- אישור הדירקטוריון על הסיכון ללא סקירה ישירה של התיקון.
כיצד NIS 2 משנה את ציפיות דיווח האירועים, שמירת היומנים וציפיות עקבות הביקורת עבור שירותים?
אתה לא שולט באירוע - אתה שולט בראיות כיצד למדת ממנו.
NIS 2 מחולל מהפכה בדיווח על אירועים עם לוחות זמנים צפופים וציפיות גבוהות:
- התרעה מוקדמת של 24 שעות: של אירועים משמעותיים.
- הודעה ראשונית רשמית תוך 72 שעות: .
- עדכונים חודשיים שוטפים: עד לסגירת האירוע.
ניהול אירועים תחת NIS 2 אינו עוסק רק בבלימתם, אלא נחשב כקרקע ניסויית לתהליך התאימות שלכם:
- כל אירוע חייב להתחיל נתיב ביקורת מקושר: -מגילוי ועד אמצעים מתקנים, כולל סטטוס נכסים/ספקים וסקירות דירקטוריון.
יומני רישום ו מסלולי ביקורת חייב להיות:
- עם חותמת זמן, ייחוס לתפקיד, ממופה לסיכון ולנכסים.
- פעולות תיקון, המקושרות למשמעות הלמידה, נרשמות, הושלמו, ובעיקר, מוצגות לדירקטוריון לסקירה או הסלמה.
עבור חברות שירות חוצות גבולות, הסלמה ומוכנות לתקשורת אינן נתונות למשא ומתן. כעת צפויים בדיקות של סימולציית אירועים והסלמה ("SPoC") להיות מתועדות, נבדקות וסומנות.
דמיינו את זה:
פרצה מפעילה חוט אדום לאורך לוח המחוונים של האירועים. כל שלב - זיהוי, ניתוח, התראות לוח, תיקון ויומן למידה - מקבל חותמת זמן. כל שלב שהוחמצ או לא הושלם הוא ממצא סביר של ביקורת.
מלכודות עיקריות בדיווח:
- ייחוס תפקידים חלש ומעורפל ("מי עשה מה, מתי?").
- פערים בין יומני רישום ועדכוני רישום סיכונים/אירועים.
- עצי הסלמה שלא נבדקו; חוסר ראיות לתקשורת קריטית או מעורבות דירקטוריון.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
מהן הדרישות החדשות של שרשרת האספקה ושל צד שלישי, ואיך נראות ראיות "חסינות ביקורת"?
הזנחת השרשרת, וסיכון נשבר - תוקפים חיצוניים תמיד בודקים תחילה את הספק החלש ביותר.
2 שקלים דוחף את הסיכון של הספקים לאור הזרקורים של הביקורתלא מספיק עוד להגיש חוזים או לספקים בשם יחיד. כעת על המפעילים להציג:
- סקירות סיכונים חוזרות ועצמאיות עבור כל ספק - עם חותמת זמן, ניתנות למעקב על לוח המעקב וקשורות לרישומי השינויים שלו.
- חוזים ממופים לבקרות, עם יומני רישום פעילים של אירועים, הסלמות וצעדי ניטור של צד שלישי.
- יומנים שאושרו על ידי הדירקטוריון של כל אירוע, הסלמה או סיכון שלא תוקן.
- נתיבי תיקון במעקב מפתיחה לסגירה, כאשר עיכובים או כשלים מנותבים אוטומטית לסקירה הבאה.
כשלים נפוצים בשרשרת האספקה:
- אי ביצוע או תיעוד של סקירות סיכונים שנתיות/בלתי תלויות של ספקים.
- תקריות עם ספקים לא הוסלמו או תועדו בזמן.
- "תיקון הושלם" סומן ללא עדכון הלוח או רישום הפעולה.
האם תוכנית ההמשכיות העסקית והתאוששות מאסון שלכם חזקה מספיק עבור רואי חשבון של 2 ליש"ט?
גיבוי שלא נבדק הוא גיבוי שאינו מהימן.
NIS 2 מביא את ההמשכיות העסקית והתאוששות מאסון (BCDR) לרמת פיקוח רגולטורי ישיר. מה שאינו נתון למשא ומתן:
- גיבויים מחוץ לאתר שנבדקו וניתנים לשחזור; תרגילים חייבים לדמות איומים מציאותיים.
- תרגילים שנתיים מבוססי תרחישים - תוצאות נרשמות ויופעלו, כולל הצלחות וכשלונות.
- כל תרחיש הותאם לסיכונים ספציפיים במגזר (מכוון לתשתיות מים, לא לרשימות אסונות גנריות).
- פערים, כשלים ו לקחים עליך לעדכן את רישומי הסיכונים שלך ואת תיעוד BCP/DRP באופן מיידי.
תאר לעצמכם:
תרגיל ה-DR שלך נכשל. כישלון זה גורם לסעיף בסדר היום של הדירקטוריון, עדכון של פעולות מתקנות ומעקב חדש במרשם הסיכונים החיים. אין עדכון? זוהי ממצא תאימות - לא רק בעיה תפעולית.
סכנות קריטיות של BCDR:
- דילוג על בדיקות גיבוי או אי תיעוד תוצאות.
- תקני מדיניות נקודתיים גנריים לא עודכנו עבור סיכונים ספציפיים למגזר או סיכונים מתעוררים.
- פערים ב-BCP/DR אינם נכללים בסקירות סיכונים או בהחלטות הדירקטוריון.
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
אילו תיעודים ו"נקודות הוכחה" ממקסמים הן את הבטחת הביקורת והן את הבטחת הדירקטוריון במגזר השפכים?
רגולטורים ומבקרים מחפשים יותר ויותר ראיות עדכני, ניתן למעקב, ונבדק על ידי הדירקטוריוןתיעוד סטטי הוא התחייבות - 2 ש"ח דורש גישת "נספח חי":
- שמרו ערכות מדיניות והנחיות בזמן אמת, כולן מקושרות ליומנים, ביקורות ספקים וראיות לניהול שינויים.
- תחזקו "לוח מחוונים חי" שבו עדכונים חדשים בנוגע לרגולציה, למגזר או לסיכונים ממופים באופן מיידי לבקרות וליומני ראיות.
- תיעוד כל תיקון בקרה, פתרון תקריות והערכת סיכונים של ספקים עם חתימות והיסטוריית תיקונים. פרוטוקולי ישיבות ופעולות הדירקטוריון מטופלים כאל ארטיפקטים חיים.
אמון ביקורת צומח משקיפות - חוסן אמיתי ניכר בכל יומן, לא רק בכל ניצחון.
מלכודות שניתן להימנע מהן:
- יומני רישום סטטיים ללא נתיב עדכון.
- חסרה אישור הדירקטוריון על פעולות הפחתה או חוסן מעודכנות.
- אירועי ניהול שינויים שאינם ממופים ישירות לרישומי סיכונים או בקרה.
בשורה תחתונה: שקיפות באמצעות רשומות מקושרות ומעורבות ישירה של הדירקטוריון הופכת את הציות מחשיפה לאחד ממגני הביקורת החזקים ביותר שלך.
הזמינו את סקירת הזהות שלכם ל"מוכנות לביקורת" עם ISMS.online עוד היום
מפעילת השירותים החזותית מתייחסת יחד לתקנים NIS 2, ISO 27001 ו-ENISA - על ידי אימוץ רשת תאימות חיה וגלויה על ידי הדירקטוריון, ולא ערימת דוחות סטטיים. ISMS.online מציע "מוכנות לביקורת"סקירת זהות אשר משווה את הסיכונים, הבקרות ומסלול הראיות שלך אל מול סטנדרטים רגולטוריים ומגזריים (isms.online).
אנו ממפים את הנכסים, התרגילים, בדיקות ההתאוששות, האירועים וסקירות הספקים שלכם - בזמן אמת, על גבי לוח מחוונים אליו ניתן לגשת הן למבקרים והן לדירקטוריון. כל שיפור, כישלון, לקח שנלמד וסיכון חדש מתועדים לצורך אבטחה מתמשכת.
התחילו בהורדת רשימת בדיקה לבדיקה עצמית, או הזמינו סיור; ראו ממקור ראשון כיצד יומני ראיות, מיפוי אירועים ולוחות מחוונים מוכנים לדירקטוריון מניעים חוסן אמיתי עבור שירותים. הפכו כל שלב במסע הציות שלכם לניתן לביקורת, וכל סקירת דירקטוריון למקור לאמון מתמשך.
תאימות כבר אינה דבר מוסתר - תנו לשקיפות להפוך לנקודת החוזק המגדירה שלכם לפני הסקירה הרגולטורית הבאה.
שאלות נפוצות
כיצד משנה תקן NIS 2 את ציפיות הציות היומיות עבור שירותי שפכים בשנת 2025?
NIS 2 משנה את חברת החשמל שלכם משמירה פסיבית של מדיניות להוכחת חוסן אקטיבית, בכל יום. על פי ההנחיה, כל מפעל - ללא קשר לגודלו או לתשתית מדור קודם - חייב להוכיח ראיות חיות ומבוקרות לכך שכל הסיכונים, הנכסים, האירועים וההחלטות המרכזיים עוקבים, מנוהלים ונבדקים ברמת הדירקטוריון (הנחיית NIS2 - סעיפים 3, 23, 20).
המחזור הישן של סקירות סיכונים שנתיות מוחלף במיפוי מתמשך: כל חלק במערכת ה-OT/IT (משאבות ועד בקרים מבוקרים וחיישנים מרוחקים) חייב להיות רשום, מוקצה לבעלים ומעודכן לאחר כל אירוע משמעותי. תקריות - בין אם קלות או גדולות - חייבות להירשם, להיחקר ולסגור תחת פיקוח הדירקטוריון, לא רק לתעד ולשכוח אותן.
שירותים של המחר מוגדרים על ידי חוסן חיים, לא על ידי שלמות ניירת.
כל המפעילים - כולל מיקרו-תשתיות ומפעלים מבוזרים - מסווגים מחדש כ"ישויות חיוניות". משמעות הדבר היא שאישורי הדירקטוריון על סיכונים ומדיניות הם בעלי סגולות משפטיות אמיתיות, וראיות שהוחמצו או איחורים. הודעות על אירוע עלול להוביל לקנסות. פעילות יומיומית דורשת כעת מעקב בזמן אמת אחר מלאי נכסים וספקים, פיקוח על שרשרת האספקה וגישה מיידית ליומנים ולסקירות מדיניות עבור מבקרים או רגולטורים. צפו לביקורות ולהתערבויות של הרגולטורים המחמירות והתכופות יותר; מדיניות סטטית וספרי יומן מאוחסנים כבר אינם מספיקים.
אילו מסגרות על ספקי שירותי שפכים לשלוט בהן כדי להשיג תאימות לתקן NIS 2 בפועל?
NIS 2 מאחד כללים אזוריים מקוטעים תחת משטר כלל-אירופי יחיד, וקובע את תקן ISO 27001 כעמוד השדרה, את תקן CEN/TS 18026 להמשכיות, ואת הנחיות המגזר של ENISA כתוכניות תפעוליות (ENISA, 2023). תאימות סטטוטורית מוגדרת כעת על ידי ראיות דיגיטליות מקושרות:
- רישומי נכסים,
- סיכון ו יומני אירועים,
- תיעוד ספק,
- ביקורות מדיניות בזמן אמת.
כל רישום או בקרה חייבים להיות מקושרים ישירות למסגרת ייחוס (ISO/IEC 27001, הנחיות ENISA, או CEN/TS 18026). המערכות חייבות להיות מאוחדות ו"חיות" - לא עוד סילואים, קלסרים או השלמות תקופתיות. רישום, אירועים, בקרות וסיכוני שרשרת אספקה חייבים להיות מסונכרנים בין צוותים, ומתעדכנים ככל שהמצב משתנה. פערים, סטיות או גיליונות אלקטרוניים מבודדים מעמידים את הארגון שלכם באופן מיידי בסיכון ביקורת.
מיפוי ייחוס מסגרת (דוגמה)
| דרישה תפעולית | מסגרת/ות | סוג ראיות/קישור |
|---|---|---|
| רישום סיכונים, סקירת בעלים | ISO 27001 A6.1, A8.2 | לוח מחוונים, חתימה על הדירקטוריון, יומן רבעוני |
| רישום אירועים | ENISA, ISO 27001 A5.25–A5.26 | הסלמה עם חותמת זמן, נתיב סגירה |
| הערכת שרשרת האספקה | ISO 27001 A5.19–A5.21, אספקת ENISA | יומני ביקורת חוזים, ראיות ספקים |
| המשכיות עסקית/תרגילים | CEN/TS 18026, ISO 27001 A5.29–A5.30 | שנתי יומני בדיקה, רישומי תרחישים |
כיצד משתנים הממשל הדירקטוריוני וניהול הסיכונים של שירותי מים תחת כללי NIS 2?
מעורבות בדירקטוריון היא כעת דרישה חיה, לא פורמליות ניירת. אם אתם מתייחסים לניהול סיכונים כאירוע לוח שנה, אתם כבר לא עומדים בדרישות. ההנהלה חייבת לסקור ולחתום באופן פעיל על "רישומים חיים" של סיכונים, בעלות על נכסים, בקרות ופעולות מתקנות - רבעוני הוא הנורמה, אך הקשרים בעלי סיכון גבוה יותר עשויים לדרוש סקירות חודשיות (ENISA, 2024). כל כניסה, שינוי וסגירה במרשם סיכונים חייבים להיות מסומנים בחותמת זמן וממופים להחלטות, הקצאות או קבלת מדיניות ברמת הדירקטוריון.
שתיקת הוועד המנהל היא כשל ציות- נתיב הביקורת חייב להראות סקירה, אתגר וסגירה ברורים ומתועדים של סיכונים, פערים באספקה ואירועים. "חותמות גומי" ואישורים מאוחרים לא יספקו את הרגולטורים. אי הקצאת בעלים, סגירת ממצאים או פעולות ניהול יומנים הם עדות לסיכון מערכתי.
חוסן ניכר במהירות שבה עדכוני סיכונים נרשמים ומטופלים - לא רק בזמן הביקורת, אלא בכל יום שאתם מנהלים את הפעילות שלכם.
אילו כללי דיווח, רישום ומעקב ביקורת של אירועים מטיל NIS 2 על ספקי שירותי מים?
סעיף 2 קובע כללים מדויקים ומוגבלי זמן לאירועים משמעותיים:
- תוך 24 שעות: יש להנפיק התרעה מוקדמת ל-CSIRT/ENISA הלאומי שלך.
- תוך 72 שעות: הודעה מפורטת הכוללת את ההשפעה, הסטטוס והצעדים הבאים.
- חודשי (או לפי הצורך): עדכוני התקדמות, שוטפים עד לתיקון הסיכון.
כל שלב - זיהוי, הודעה, סגירה - חייב להיות בעל חותמת זמן, ממופה לרישומי נכסים וסיכונים, ורישום מפורט. יומנים מושהים או לא שלמים אינם רק ממצאי ביקורת - הם נקודות טריגר לקנסות או להתערבות הרגולטור. כל אירוע חייב לעורר סקירת סיכונים חדשה, ובמידת הצורך, תוכנית תיקון לשורש הבעיה.
יש לדווח על אירועים החוצים גבולות או ספקים גם במעלה השרשרת, כך שסיכונים חוצי מדינות מנוהלים ונרשמים.
טבלת מעקב אחר אירועים (דוגמה חיה)
| הדק | סיכון מעודכן | בקרה מקושרת | ראיות שנרשמו |
|---|---|---|---|
| פריצת SCADA של משאבה | בעלים הוקצה, הסטטוס עודכן | A8.8, A5.25 | יומן סגירה, שלט ניהול |
| כשל באספקה | סיכון הספק תוקן | A5.21, A8.30 | תוצאות חוזה/בדיקה |
| שיטפון | רישום תרגילי BCP | A5.29, CEN/TS | יומן קידוח, בדיקת תרחישים |
מהן חובות הציות של הספקים, אנשי OT/לא-IT וצדדים שלישיים במסגרת NIS 2?
NIS 2 מרחיב את שטח התאימות שלך לכל ספק וספק שאינו ספק IT. סיכון הספק הוא עכשיו הסיכון שלך. כל החוזים חייבים לכלול סעיפי NIS 2, דרישות ראיות ואחריות לדיווח על אירועים ופעולות מתקנות (ENISA, אבטחת שרשרת האספקה).
כל ספק - כימיקלים, מהנדסי שטח, אינטגרטורי SCADA - חייב להיות בעל הערכת סיכונים מעודכנת, ראיות חוזיות, יומן ביקורת וסקירת ביצועים. תוכניות מגירה ברמת הדירקטוריון עבור ספקים בסיכון גבוה, והסלמה מיידית עבור כל תקלה, אינן ניתנות למשא ומתן. פערים ביומני הספקים או בראיות חוזיות מהווים דגלים אדומים עבור מבקרים.
סקירות שנתיות (או תכופות יותר) של כל החוזים, התוצאות וביצועי הסיכונים הן כעת הציפייה המינימלית.
כיצד המשכיות עסקית, התאוששות מאסון וחוסן מגדירים מחדש על ידי NIS 2?
תוכניות BCP/DR עם חותמת "פוליסה במגירה" מיושנות. שירותים חייבים לפעול. תרגילי תרחישים שנתיים, לקשר אותם לסכנות אמיתיות, לתקן פערים ולשמור יומנים מפורטים, סקירות דירקטוריון ותוצאות בדיקות חתומות. אימות גיבוי, אחסון מחוץ לאתר וקישור ישיר בין תוצאות BCP/DR לבין אירועים חיים הם דרישות מוסדרות.
כל יומני הבדיקות, תוצאות הקידוחים ועדכוני ה-BC חייבים להיות נגישים לביקורת, תוך הצגתם של למידה ארגונית, שיפור תוכניות ופעולות מתקנות. שילוב עם מסגרות כגון ISO 27001 ו-CEN/TS 18026 חיוני כדי לעמוד בדרישות הרגולטוריות והתפעוליות כאחד.
טבלת גישור לתיעוד מוכן לביקורת של ISO 27001
| תוֹחֶלֶת | מה שאתם מראים לרואי חשבון | התייחסות |
|---|---|---|
| סקירת סיכונים חיים | לוח מחוונים, אישור רבעוני | A6.1, A8.2 |
| BCP/DR מעודכן | יומני קידוח, אישור מועצת המנהלים | A5.29, A5.30 |
| סקירת ספק | תיקי ביקורת, תוכנית מגירה | A5.19, A8.30 |
| סגירת אירועים | יומן, דוח, ראיות סגירה | A5.25, A5.26 |
כיצד ISMS.online מעניק לחברות המים יתרון תפעולי תחת 2 ₪?
ISMS.online מציידת את שירותי המים בפלטפורמה דיגיטלית מאוחדת - לא עוד גיליונות אלקטרוניים, ממגורות או כאוס של השלמת פערים בקלסרים ((https://isms.online/)).
כל הנכסים, הספקים, הבקרות, רישומי הסיכונים והאירועים ממופים, מוקצים ומנוטרים בזמן אמת, עם יומני רישום אוטומטיים ואישור מוכנים על ידי הדירקטוריון. לוחות מחוונים עוקבים אחר כל בקרה, בעלים, בדיקה ועדכון, מה שמאפשר אחזור ביקורת מיידי, איסוף ראיות בקלות ותהליכי עבודה חלקים של התראות והסלמה.
חוסן הוא הראיות שאתם מייצרים מדי יום - לא רק מה שאתם מבטיחים במהלך ביקורת.
שירותים הממנפים את דוח ISMS.online הכנת ביקורת מופחת בחצי, ו"אפס ביקורות אי-התאמה" בפחות משלושה חודשים.
עברו מחרדת ציות לביטחון תפעולי: מפו את הסיכונים והנכסים שלכם, הקצו בעלים, השתמשו בחבילות מדיניות ובמשימות בזמן אמת, והציגו לדירקטוריון ולרגולטורים שלכם הוכחה יומית לחוסן.
הגדירו את הפעילות שלכם לפי מה שאתם יכולים להראות - לא רק לפי מה שאתם אומרים.
