מדוע שרשרת האספקה של 2 שקלים וסיכון צד שלישי נמצאים כעת בראש סדר העדיפויות של הדירקטוריון?
עבור ארגונים המפוקחים תחת חוק NIS 2, סיכוני שרשרת האספקה וסיכוני צד שלישי עברו מרשימת בדיקה של המשרד האחורי לדיסציפלינה ברמת הדירקטוריון. לא מספיק להתייחס לספקים או לקבלנים כאל קשרים לחיוב בלבד - כל שותף, מספק הענן הגדול ביותר ועד לשירות הניקיון הקטן ביותר, תופס כעת טביעת רגל מדודה של סיכון בתוך הארגון שלך. אירועים מתוקשרים - SolarWinds, Kaseya, התקפות על ספקים קריטיים - מדגימים מדוע. תוקפים מנצלים את החוליה החלשה ביותר, והרגולטורים הולכים כעת בעקבותיהם: טעות הספק הראשונה יכולה להשפיע על הפעילות העסקית, ערך החוזה, אמון הרגולטורים ואחריות הדירקטורים (ENISA; אסטרטגיית הדיגיטל של האיחוד האירופי).
שרשרת חזקה רק כמו בן זוגה הכי פחות גלוי - 2 שקלים הופכים את העיקרון הזה לחוק.
סיכון שרשרת האספקה אינו מוגבל עוד למחלקות IT. כעת, דירקטוריונים וצוותים ניהוליים - על פי תכנון רגולטורי - חייבים לקחת בעלות ישירה על המדיניות, התהליכים והראיות המדגימים שליטה על יחסים עם ספקים וצדדים שלישיים.
הרחבת הגבולות הרגולטוריים: מדוע ספקים לא ברורים מאליהם חשובים כעת
תחת חוק NIS 2, "צד חיצוני" הוא כל אדם - קטן או עקיף ככל שיהיה - המסוגל לשבש שירות קריטי: לוגיסטיקה, שכר, קבלני תיקונים, מעבדי נתונים וקבלני הקבלנים. כל חוליה מטופלת כווקטור תקיפה פוטנציאלי וחשיפה רגולטורית. ENISA ממחישה כיצד שיבושים נובעים משותפים שזוכרים וכיצד כעת מצופה מהדירקטוריונים לבצע "בדיקות לחץ" על מערכות אקולוגיות של ספקים, ולא רק על ספקי IT (הנחיות שרשרת האספקה של ENISA).
השפעה מיידית: עסקים קטנים ובינוניים, ארגונים וכל מי שביניהם
אם אתם רשומים בנספח I או II של תקנות NIS 2 (החל מתשתיות לאומיות ובריאות ועד מזון, ייצור, לוגיסטיקה ומינהל ציבורי), אתם אחראים כעת לכל חוזה אסטרטגי ותפעולי של הארגון שלכם. אפילו עסקים קטנים ובינוניים המספקים אספקת חשמל למגזרים אלה חייבים להיות מסוגלים להוכיח את שקיפותם בשרשרת האספקה. חובה זו משלבת את עולמות המשפט, ה-IT, הרכש והתפעול לזרם תאימות משולב אחד (חוק CMS).
כתוצאה מכך, לא ניתן עוד להאציל או להסתיר את סיכוני שרשרת האספקה בצל הסדרי מיקור חוץ. האחריות היא אישית, ובמקרים רבים ניתן לאכיפה באמצעות קנסות או פעולות מתקנות ברמת הדירקטוריון.
הזמן הדגמהמה משתנה הכי הרבה עבור דירקטוריונים וצוותי הנהלה?
סעיף 20 לחוק 2 מסמן נקודת מפנה ברורה: ביצועית ו אחריות הדירקטוריון כעת מפורש לגבי סיכון שרשרת האספקה וסיכון צד שלישי. "הגוף המנהל" (דירקטוריון, מנכ"ל או מבנה מנהיגות מקביל) נושא באחריות ניתנת לאכיפה, לא רק לאישור גישות ברמה גבוהה, אלא גם להבטחת המחזור המלא של סינון ספקים, קליטה, ניטור ויציאה מתועד, חי ומוכן לביקורת (קליפורד צ'אנס).
תשומת הלב של חדר הישיבות חייבת כעת להתאים לחשיפה של חדר הישיבות לסיכון ספקים שכבר אינה אדמיניסטרטיבית.
כיצד נראית אחריות הדירקטוריון בפועל?
- סקירות שנתיות וסקירות המבוססות על אירועים: לא רק שעל ההנהלה הבכירה לאשר מדיניות סיכונים של צד שלישי, אלא שעליה להדגים ביקורות סדירות וניתנות למעקב של יעילות המדיניות, אירועים וחריגים.
- ראיות להתקשרות: רואי חשבון ורגולטורים מצפים לרישום מאומת של החלטות בנוגע לסיכונים מצד ספקים, אישורים והנימוקים לחריגים או סיום חוזים.
- ניטור והסלמה בזמן אמת: חלפו ימי ה"הגדר ושכח". יש לתזמן ביקורות, לעקוב אחר מעקבים ולוודא שיהיו יומני הסלמה זמינים - רצוי בלוחות מחוונים דיגיטליים ולא בקבצים סטטיים.
- בעלות חוצת תפקידים: צוותים מיחידות המשפט, ה-IT, התפעול, הרכש והעסקיות חייבים להשתתף ב... ביקורות סיכוניםסיכון שמתחיל בספק יכול להפוך במהירות לכשל רגולטורי כאשר קווי האחריות מטושטשים.
- אחריות דירקטור: קנסות או השעיות רגולטוריות עשויות להיות מיושמות אם דירקטורים או דירקטוריונים אינם יכולים להראות השתתפות פרואקטיבית בניהול סיכוני שרשרת האספקה (Proofpoint).
דירקטוריונים חייבים להצטייד בלוחות מחוונים, לא רק בהצהרות.
דירקטורים: ימי הציות של "תייק ושכח" חלפו. יש לתזמן ולהדגים את נושא הסיכונים של הספקים, ולא רק "להיות בספרים".
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
כיצד משיגים תאימות מינימלית של 2 שקלים לשרשרת אספקה וסיכון צד שלישי?
עמידה בהתחייבויות המינימליות במסגרת NIS 2 דורשת פיקוח מובנה בזמן אמת מצד צד שלישי. ההנחיות של ENISA ברורות: כל ספק בעל השפעה על פונקציות קריטיות דורש בקרות ממופות וחי - עם הערכה, קליטה, ניטור ויציאה מתועדים (ENISA). רף הציות עומד על קו בסיס חדש: הגנה מעמיקה אינה עוד אופציונלית, וסטטית. רישום סיכוניםs כבר לא מספיקים.
צעדים מינימליים: תוכנית אב לציות
- מיפוי ספקים מקיף: התחילו בקטלוג של כל ספק וצד שלישי - לא רק IT. כללו את ניקיון, תחזוקה, שכר, לוגיסטיקה וכל צד שיש לו גישה לסביבת השירות הקריטית שלכם.
- סיווג סיכוני ספק: הקצו לכל ספק פרופיל סיכונים המבוסס על רלוונטיות השירות, קריטיותו והשפעתו. אוטומציה של תזכורות לבדיקה והסלמה שוטפות.
- שילוב חוזים: הטמע סעיפי אבטחה, ניהול אירועים וסיום חוזה בכל חוזה עם ספקים וצדדים שלישיים. חוזי תבנית אינם מספיקים; סעיפים חייבים להיות ספציפיים, ניתנים לאכיפה ומתעדכנים באופן קבוע.
- יומני קליטה וסקירה: רשמו לא רק מי הצטרף, אלא גם כיצד הם הוערכו, על ידי מי, מתי ואילו ממצאים נקבעו. הדביקו חותמות זמן דיגיטליות על הרשומות.
- ניטור ודיווח בזמן אמת: סקירות מכון בשידור חי (לפחות שנתיות), ניטור רציף עבור ספקים בסיכון גבוה, ונהלי הסלמה ברורים הקשורים לבעלים ספציפיים.
- תגובת אירוע: מיפוי קווי דיווח כך שכל תקרית הנגרמת על ידי ספק תפעיל דוח ראשוני תוך 24 שעות והערכה מפורטת תוך 72 שעות, במעקב מקצה לקצה.
- שרשרת ראיות ביקורת: היכונו לביקורת על ידי הבטחת רישום של כל מדיניות, משימה, אישור, חריג ושינוי חוזה. לא ניתן להצדיק פער על ידי "קובץ חסר" או "פעולה שלא הוקצתה".
חמש מלכודות נפוצות שכדאי להימנע מהן
- בהנחה ששאלוני תבנית יחליפו הערכות ספציפיות למגזר.
- מתן רישומי ספקים וחוזים להשאירם מיושנים או לא נבדקים.
- כשלון בקישור בין אחריות IT, משפטית ורכש.
- התעלמות מספקים "בלתי נראים" שנמצאים מחוץ לרדאר של מערכות המידע.
- רישום פעולות "עיקריות" בלבד, תוך השארת סקירות קליטה וביצועים רגילות ללא תיעוד.
פערים רגולטוריים נמצאים לעיתים רחוקות במקום שמחפשים - אי מיפוי ומעקב אחר קשרים "קטנים" הוא הדרך המהירה ביותר לבעיות בביקורת.
ISO 27001 נספח A ו-NIS 2: השגת מיפוי בקרה מוכן לביקורת
הדרך המהירה ביותר ליישום התחייבויות שרשרת האספקה של NIS 2 היא מיפוי כל דרישה לבקרות ISO 27001 נספח A - שילוב פיקוח של צד שלישי במערכת ה-ISMS שלכם וקישור כל אירוע, חוזה וסקירה של ספקים לראיות מרכזיות ב-ISMS/נספח A.ISMS.onlineקבוצת BSI).
בקרות מפתח לתקן ISO 27001 נספח A לניהול שרשרת אספקה
- A.5.19 אבטחה ביחסי ספקים: הגדירו, הקצו, אשרו ובדקו באופן קבוע תהליכי סיכון של ספקים. שמרו רישום חי, לא סטטי.
- A.5.20 אבטחה בחוזי ספקים: שלב ועדכן סעיפי אבטחה בהסכמי ספקים. ודא שעיצוב משותף של חוזים משפטיים וחוקי IT יכלול הודעה, אכיפת SLA וסיום תהליכים.
- A.5.21 ניהול שרשרת אספקה של טכנולוגיות מידע ותקשורת (ICT): מיפוי, ניהול ורישום סיכוני ספקים, שינויים בחוזים וסקירות ביצועים לאורך מחזור החיים, לא רק בשלב הקליטה.
- A.5.22 ניטור שירות ספקים וניהול שינויים: תזמון, רישום והסלמה של פעולות ניטור ספקים. ודא שכל סקירה מסומנת בזמן ומקושרת לבעלים.
טבלת מיפוי מעשית מחברת את הנקודות בין ציפיות 2 שקלים לבין ISO 27001 פקדים:
| ציפייה של 2 שקלים | תפעול | בקרת ISO 27001 |
|---|---|---|
| סיווג סיכוני ספק | רישום ספקים, קריטיות, ביקורות | A.5.19 |
| אכיפת אבטחה חוזית | סעיפי אבטחה, לוח זמנים לבדיקה | A.5.20 |
| ניטור ביצועי הספקים | יומן סקירות, לוח בקרה, תזכורות | א.5.21, א.5.22 |
| מהיר הסלמת אירוע | דיווח 24/72 שעות, שרשרת יומנים | A.5.22 |
| אישורים והוכחות | קישורי SoA, יומני אישור, לוחות מחוונים | A.5.22 |
ISMS.online מקשר כל אירוע של ספק להוכחת תאימות חיה ל-ISMS המובנית בפעילות היומיומית, ולא בתרגילי אש תקופתיים.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
אילו ראיות מתועדות ויכולת מעקב דורשים רואי חשבון?
לצורך עמידה בתקן NIS 2, המבחן פשוט: כאשר המבקר או הרגולטור מגיעים - מחר, לא ברבעון הבא - האם תוכלו לייצר באופן מיידי ראיות דיגיטליות לכל אירוע סיכון של צד שלישי, אישור, הסלמה ושינוי מאז הסקירה האחרונה שלכם (GRC-COA)?
ערכת הראיות: מסמכים, יומני הוכחות ומסלולי ביקורת דיגיטליים
- רישומי ספקים: נוכחי, בשימוש, ממופה מול קריטיות, בעלים ומצב חוזה.
- העלאות חוזים: כל חוזה חתום, עם גרסה, יומני שינויים וסקירות ניתנים למעקב - תמיד מקושרים למדיניות ובקרות רלוונטיות.
- יומני ניטור: מי, מתי ואילו פעולות או ביקורות בוצעו; תזכורות ומעקבים תועדו.
- צירי זמן של אירועים: רישום מקצה לקצה של התראות, דוחות, הודעות ופעולות עם חותמות זמן ואנשים אחראים.
- חשבונות: כל פעולה מוקצית במפורש - ללא חורים שחורים או תירוצים לאחריות משותפת.
מוכנות לביקורת פירושה היכולת להצביע על הוכחות, לא רק על כוונה.
תמונות מעקב: מיפוי אטומי מאירוע לראיות
טבלה מקשרת פעילות בזמן אמת להוכחת תאימות:
| הדק | פעולה | בקרה / הפניה ל-SoA | עדות ביקורת |
|---|---|---|---|
| ספק חדש הצטרף | בדיקת סיכונים/חוזה | א.5.19, א.5.20 | הרשמה, חוזה |
| סקירה רבעונית | יומן ביצועים | א.5.21, א.5.22 | יומן סקירה |
| התקרית הסלימה | דוח 24/72 שעות | A.5.22 | יומן אירועים |
| עדכון/סיום | עדכון בקרה | א.5.20, א.5.22 | חוזה מעודכן, יומן |
שרשרת מעקב אוטומטית מאפשרת לך לעבור מאירוע להוכחת תאימות בלחיצה אחת.
כיצד ניטור רציף ואוטומציה מעלים את הרף?
ביקורות ידניות ושנתיות של "המפץ הגדול" הן כעת שריד לתאימות תחת תקן NIS 2. הסטנדרט החדש הוא ניטור רציף - לוחות מחוונים חיים, תזכורות אוטומטיות, עדכונים בזמן אמת ויומני רישום דיגיטליים, המאפשרים לכל חלקי הארגון (לא רק IT) להשתתף בפיקוח של צד שלישי (3rdRisk; FortifyData).
טכנולוגיות ליבה לאבטחת איכות
- פלטפורמות ניהול קשרי ספקים (SRM): אוטומציה של ניקוד קריטיות, תזכורות לחוזים, הסלמה של ביקורות שעברו מועד ומעקב אחר סטטוס.
- לוחות מחוונים משולבים: התריעו לצוותים ולמנהיגים על סקירות, אירועים ופעולות שמועדן איחור.
- זרימות עבודה אוטומטיות: הקצאת פעולות, אישורים ואיסוף ראיות, עם העברות ניתנות למעקב בין פונקציות.
- גישה ויציאה מבוססות תפקידים: ודא שהאנשים הנכונים מאשרים את הפעולות הנכונות - בכל פעם.
- סנכרון רגולטורי: קשר את התחייבויות NIS 2 לתקן ISO 27001 ולמסגרות המגזר כדי למנוע כפילויות.
אוטומציה לא מחליפה אחריות - היא מעצימה אותה. פיקוח ניהולי מתוזמן (חודשי, רבעוני) מבטיח שספקים בסיכון גבוה, חריגים שסומנו והתראות רגולטוריות יטופלו בצורה מושכלת.
למה אוטומציה לבדה אינה מספיקה
טכנולוגיה היא הבסיס ליעילות, אך פיקוח אנושי אינו נתון למשא ומתן. סקירות מתוזמנות, השתתפות בין-תחומית וחסות הנהלה חייבים להופיע ביומנים - המערכת אינה יכולה "לאשר" את התוצאות במקום אנשים אחראים.
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
מה נדרש כדי להיות תמיד מוכן לביקורת עם 2 שקלים?
מוכנות לביקורת פירושה עקיבות גלויה, עדכנית וניתנת להגנה בכל רגע. רחוק מלהיות עבודה של IT בלבד, כיום מדובר בקצב תפעולי - כל פעולה של ספק קשורה לציר זמן, שם אחראי, בקרה וראיות דיגיטליות (ENISA).
מטריצת עקיבות: לחיות את שרשרת הביקורת
שרשרת ראיות חיה נבנית על ידי מיפוי כל אירוע למדיניות, בקרה, בעלים ויומן עם חותמת זמן:
| אירוע / שינוי | עדכון סיכונים | הפניה למדיניות / בקרה | יומן ראיות |
|---|---|---|---|
| חוזה חדש | סקירת סיכונים | A.5.20 | חוזה, רישום |
| ביקורת שסומנה | הסלמה של בעלי סיכונים | A.5.22 | לוח מחוונים, יומן סקירה |
| תקרית | הופעלה הסלמה | A.5.22 | יומן אירועים |
| יציאה מהארון | רשימת יציאה | מדיניות יציאה של ספקים | הרשמה, רשימת בדיקה |
יש לדווח על אירועים בשני שלבים: ראשוני בתוך שעות 24-עם מי/מתי/מה שנרשם - ופירוט מקיף בפנים שעות 72שרשרת ביקורת הדוקה זו נבחנת על ידי רואי חשבון ורוכשים כאחד; פערים בראיות או אישורים מעורפלים מהווים דגלים אדומים מיידיים (PwC).
כאשר ניתן לעקוב אחר כל חוליה, הופכים את הביקורת מפאניקה לשגרה.
שרשרת ביקורת כנכס מכירות
ארגונים מהשורה הראשונה משתמשים מוכנות לביקורת לוחות מחוונים לא רק כדי לעמוד בדרישות, אלא גם כדי לחזק את אמון הקונים. לקוחות פוטנציאליים מבקשים יותר ויותר לוחות מחוונים לסיכונים בזמן אמת, הוכחות לביקורת ומדיניות כדי לאמת את החשיפה שלהם. מוכנות לביקורת היא כיום גורם מבדיל מסחרי.
הגדלת שרשרת האספקה: גישות לעסקים קטנים ובינוניים וארגונים
NIS 2 מעביר את נטל הציות לארגונים מכל הגדלים המשרתים את המגזרים הנכללים בנספח I/II, ולא רק למפעילים הגדולים ביותר. עסקים קטנים ובינוניים, שלעתים קרובות בעלי משאבים מוגבלים, חייבים לעמוד באותם סטנדרטים של פיקוח - אם כי עם תהליכים פשוטים יותר.
מדריך לעסקים קטנים ובינוניים
- לאשר במידת האפשר: השתמשו בתקני המגזר (תו האיכות NIS2, יסודות סייבר, ענן מהימן) כדי להשוות ולפשט.
- השתמשו בתבניות ובמדריכים: הורידו את כלי ההערכה הספציפיים למגזר של ENISA לצורך הקלטה וסקירות.
- סדר עדיפויות לפי השפעה עסקית: לא כל ספק זקוק לבדיקה מלאה; התמקדו באלו המשפיעים על שירותים קריטיים.
- מינוף לוחות מחוונים פשוטים: מעקב אחר ראיות, ביקורות ופעולות באיחור - אפילו כלי SRM בסיסיים עולים על יומני רישום ידניים.
ספר נהלים לארגונים ולקבוצות
- פיקוח חוצה גבולות: פרוס פלטפורמות (כמו ISMS.online) עם תמיכה מרובת מדינות ורב-לשונות עבור ראיות לסיכונים, חוזים ואירועים.
- אוטומציה של מחזורי סקירה: קבע סקירות חוזרות ורוחביות, הקצה והסלים משימות באופן אוטומטי.
- סינדיקציה של אותות סיכון: התראות מצרפיות על איומי סייבר והתראות רגולטוריות, הפצה לקחים בצוותים גלובליים או אזוריים.
תאימות שיתופית - פנימית ועמיתים בין מגזרים - מספקת חוסן, לא רק תיבות סימון.
בין אם מדובר בחברות קטנות ובינוניות או בקבוצה בקנה מידה של FTSE, היתרון התחרותי טמון במוכנות בזמן אמת, בסקירה שיתופית ובפעולה המקושרת לראיות.
הפוך לגיבור הציות עם ISMS.online – תמיד מוכן, מועצת המנהלים סומכת עליו
דמיינו מעבר ממאבק בציות לטובת יתרונות אסטרטגיים - מיפוי סיכונים לספקים, מעקב אחר סעיפי חוזה, ראיות ביקורת תמיד מוכן. ISMS.online זוכה לאמון מצד דירקטוריונים, צוותי אבטחה ומנהלי ביקורת כדי להפחית את זמן הניהול, למנוע את קשיי הציות ולעבור ביקורת של הרגולטורים. צוותים מקצצים בחצי את הזמן המושקע בניהול, מאיצים ביקורות ועוברים מניירת של "אינדיקטור פיגור" לאבטחה "תמיד פעילה".
הפכו את סיכון שרשרת האספקה מנטל לזרז אמון - הובילו את העסק שלכם לתאימות מתמדת, והפכו את פאניקת הביקורת לדבר מן העבר.
תאימות בטוחה מתחילה כאשר ניתן לעקוב אחר כל החלטה, כל ספק וכל פעולה עד לראיה חיה. הובילו את הצוות שלכם, זכו באמון הדירקטוריון והפכו את שרשרת האספקה שלכם למגן החזק ביותר של הארגון שלכם.
שאלות נפוצות
מי נושא באחריות על תאימות שרשרת האספקה של NIS 2, ומה מגדיר ספק או צד שלישי "בתחומו"?
האחריות על תאימות שרשרת האספקה של NIS 2 נופלת ישירות על הדירקטוריון ועל הגוף המנהל הרשמי שלך, אחריות אישית חל כאשר כשל של ספק עלול להשפיע על השירותים החיוניים או החשובים של הארגון שלך. סעיף 2 לחוק ניהול מתקנים מגדיר "צד שלישי" או "ספק" באופן כללי: ספקי IT/ענן, ספקי תהליכים עסקיים במיקור חוץ, שותפי לוגיסטיקה, תחזוקת מתקנים וכל צד אחר (דיגיטלי או פיזי) שמוצריו או שירותיו עומדים בבסיס הפעילות במגזרים מוסדרים. יש לכסות תלות טכנית ולא טכנית כאחד; גיאוגרפיה וגודל אינם רלוונטיים. אם מעורבות של ספק עלולה לסכן את ההמשכיות או האיכות, הם נכנסים לתוקף (ראה נספחים I ו-II לחוק ניהול מתקנים 2).
אתם יכולים להוציא שירותים למיקור חוץ, אבל לא לקחת את הסיכון שלכם - כל שותף קריטי מכניס את התאימות שלכם למסלולו.
טבלת ייחוס להיקף הספק
| סוג הספק | במסגרת 2 שקלים חדשים? | סיבה / הפניה |
|---|---|---|
| ספק פלטפורמת ענן | יש | שירותי IT קריטיים (תשתית דיגיטלית) |
| שליח ארצי | יש | שרשרת אספקה/תלות פיזית |
| מעבד שכר מקומי | יש | תהליך עסקי/זרימת נתונים |
| סוכנות גיוס משאבי אנוש | לִפְעָמִים | רק אם זה קריטי להמשכיות |
| חברת ניקיון | לא | לא חיוני לפעילות הליבה |
פעולה: דירקטוריונים חייבים לאשרר, לבדוק ולפקח באופן פעיל ניהול סיכונים עבור כל השותפים בעלי השפעה תפעולית אפשרית - לא רק ספקי IT.
אילו חובות אבטחה מינימליות בשרשרת האספקה נקבעו על ידי NIS 2 לארגונים חיוניים וחשובים?
תקן 2 קובע חובות אחידות אך מכוילות סיכון סביב ניהול ספקים, הנבדלות בעיקר לפי קריטיות המגזר:
שני סוגי הישויות חייבים:
- סיווג דינמי של סיכון הספק: עדכון שוטף של רישומים הממפים את תפקידי הספקים, חשיפה לסיכונים ומצב חוזי.
- בקרות חוזיות מחייבות: כלול סעיפים מוכנים לביקורת לצורך אבטחה, הודעה על אירוע, זכויות פיטורים ותגובה להפרה בכל ההסכמים.
- יצירת ביקורות חוזרות באופן פורמלי: שיטתיות של הערכות ספקים בעת הקליטה ובכל פעם שסיכון, תפקוד או אירועים משתנים.
- שמור על נתיבי ביקורת חיים: רישום כל ביקורות הספקים, ההחלטות, התקריות ועדכוני הסיכונים עם ייחוס לצד האחראי.
| מימד הציות | ישויות חיוניות (למשל אנרגיה, בריאות) | ישויות חשובות (למשל דיגיטליות, ייצור) |
|---|---|---|
| פיקוח הדירקטוריון | מתמשך, פרואקטיבי | מתמשך, באירועים מרכזיים |
| תדירות הביקורת | מתוזמן ומבוסס טריגרים | מונע אירועים |
| אכיפת חוזים | חובה, מאומת באופן קבוע | חובה, נבדק באופן נקודתי |
| קנסות/עונשים | עד 10 מיליון אירו או 2% מההכנסה הגלובלית | עד 7 מיליון אירו או 1.4% מחזור עולמי |
| שמירת ביקורת | ≥ 5 שנים | ≥ 3 שנים |
גופים חיוניים מתמודדים עם ביקורות שגרתיות של פיקוח פרואקטיבי, קנסות גבוהים יותר ואחריות אישית מורחבת של דירקטורים.
אילו תיעוד ומעקב ארגונים חייבים להציג כדי להוכיח עמידה בתקן NIS 2 בשרשרת האספקה?
רואי חשבון ורגולטורים מצפים כיום ל"מערכת חיה" של אבטחת ספקים - ולא לניירת קליטה סטטית. כדי לעמוד בביקורת, ארגונים צריכים לשמור על:
- רישום סיכוני ספקים דינמי: מוקצה לתפקידים, מוגדר בגירסאות ובחותמת זמן, ממפה כל ספק וסקירה.
- מאגר חוזים: כל ההסכמים אוחסנו, נחתמו ומעודכנים עם סעיפי אבטחה והודעה; חידוש ותוקף תוקפם נרשמים.
- מסלול ביקורת: אישורי דירקטוריון ומנהלים, קליטת/הוצאת ספקים, שינויי חוזים, הסלמת אירועים - חותמת זמן וניתנים לייצוא.
- יומני אירועים: דוחות עבור כל תקרית של הספק, עם הוכחת הסלמה בתוך מועדי הגעה של 24-72 שעות.
- ראיות לסקירה מתוזמנת: תיעוד של הוכחות הן של ביקורות שגרתיות והן של ביקורות מופעלות, לא חתימות "נקודתיות בזמן".
פלטפורמות כמו ISMS.online הופכות חלק ניכר מזה לאוטומטי, ומייצרות רשומות הניתנות לייצוא עבור ביקורות ודיווחי דירקטוריון, אבל פיקוח על שם וביקורת אנושית נותרו חיוניים.
טבלת מיפוי בקרות ISO 27001 / NIS 2
| ציפייה (2 ₪/ISO 27001) | אופרציונליזציה | דוגמה לראיות |
|---|---|---|
| סיווג ספקים | רישום סיכוניםפיקוח מועצת המנהלים | ייצוא ביקורת, רישום גרסאות |
| שליטה על סעיפים חוזיים | תבניות/תזכורות תפוגה | חוזים חתומים, יומני תיקונים |
| ביקורות ברמת הדירקטוריון | סקירות ניהול מתוזמנות | פרוטוקולי פגישות, דוחות מנויים |
| הסלמה באירוע | פרוטוקול התראות/הסלמה אוטומטיים | רשומות יומן, זרימת עבודה של התראות |
טיפ: הראיות חייבות להראות בבירור פיקוח פעיל וחוזר - מי עשה מה ומתי, לא רק שזה "ברשימת התיקים".
אילו עונשים או צעדי אכיפה חלים על אי עמידה בדרישות שרשרת האספקה של NIS 2?
NIS 2 מספק אכיפה חזקה ומשנה עסקים עבור תקלות:
- קנסות כבדים: עד 10 מיליון אירו או 2% מההכנסות הגלובליות (חיוניות), 7 מיליון אירו או 1.4% (חשובות).
- ביקורות באתר, ללא הודעה מוקדמת: בדיקת יומני ספקים, תיקוני חוזים, סקירת נוכחות ולוחות זמנים של הסלמה.
- פעולה מתקנת חובה: לאכוף עדכוני תהליכים/חוזים באופן מיידי, בדיקות חוזרות או הסרת ספקים.
- סנקציות ברמת הדירקטוריון והדירקטוריון: אחריות אישית, פסילה, ופרסום פומבי של כישלונות.
- השפעה על המוניטין: אי ציות לתקנות הוא דבר שחייב דיווח עליו - הוא מסכן מכרזים ומפעיל לחץ על שותפויות מסחריות.
עדכוני ספקים חסרים וסקירות שלא נרשמות הם גורמים נפוצים לפעולות אכיפה ציבוריות - במיוחד אם הם קשורים לאירוע.
כאן, "עונת הציות" נמשכת: ליקויים חושפים עסקים לא רק לפעולה רגולטורית, אלא גם לנטישת לקוחות ולאובדן גישה לשוק.
כיצד אוטומציה תומכת בתאימות שרשרת האספקה לתקן NIS 2 - היכן נדרשת פיקוח אנושי?
פלטפורמות אוטומציה כמו ISMS.online חיוניות לעמידה בת קיימא בתקני NIS 2 ככל שמורכבות העסקים עולה:
- מעקב אוטומטי אחר בקשות ובדיקות: תזכורות מתוזמנות לסיווג סיכונים, עדכון או הטמעה/הוצאה של ספקים.
- אוטומציה של מחזור חיי החוזה: אזהרות חידוש, אכיפת תבניות סעיפים, אחסון חוזים מרכזי.
- הסלמה משולבת: אירועים מנותבים על פי ציר זמן, תוך יצירת עדכוני סיכונים וחוזים.
- לוחות מחוונים: תובנות מעשיות - מפות חום של סיכונים, תצוגות תלות קריטיות של ספקים.
עם זאת, ראיות לפלטפורמה לבדן לא יספקו את הרגולטורים. רואי החשבון מחפשים ניהול פעיל:
- כל פעולה (למשל, סיווג מחדש של סיכוני ספק) חייבת להציג אישור בשם.
- יש לתעד את מעורבות הדירקטוריון - סקירת פרוטוקולים, חתימות וחלוקת אחריות.
- יש לעקוב אחר עדכוני מדיניות וחוזים מהאירוע ועד לראיות.
תאימות בת קיימא = שילוב של יעילות אוטומטית ושיקול דעת גלוי ומוקצה לתפקידים.
כיצד עסקים קטנים ובינוניים יכולים לעמוד בדרישות שרשרת האספקה של 2 ₪ ללא עלויות אדמיניסטרטיביות או הוצאות כבדות מדי?
עסקים קטנים ובינוניים אינם פטורים - רבים מהם הם חוליות חיוניות בשרשרת האספקה. המפתח הוא מיקוד מבוסס סיכון:
- מתן עדיפות ל-10-20% מספקים קריטיים: רכזו את הבקרות במקומות שבהם פרצה או כשל פוגעים ביותר (תשתיות, נתונים רגישים, לקוחות מרכזיים).
- השתמשו בתבניות סטנדרטיות ובתגי מגזר: אימוץ מסגרות מוכחות (למשל, Cyber Essentials, NIS2 Quality Mark) המוכרות על ידי קונים גדולים יותר ורשויות.
- שתפו משאבים עם עמיתים: הצטרפו לקבוצות מגזריות כדי לממן במשותף תבניות מדיניות, הכשרה ותהליכי אבטחה.
- יש ליישם ביקורות פרגמטיות על ספקים בעלי השפעה נמוכה: בדיקות שנתיות שמורות, שמירה על ניהול קל.
- תמיכה במימון הקש: מדינות חברות רבות באיחוד האירופי מציעות מענקים לקיזוז שדרוגי תאימות, במיוחד עבור אבטחת סייבר והגנה על שרשרת האספקה הדיגיטלית.
פלטפורמות מפחיתות את הנטל על ידי אוטומציה של תזכורות, ביקורות וניהול חוזים - מה שמאפשר אפילו לצוותים קטנים להגדיל את רמת הביצועים.
אילו שגיאות נפוצות מחבלות בביקורות שרשרת אספקה של 2 שקלים - וכיצד ניתן למנוע אותן?
- רישומי ספקים סטטיים (מיושנים): רואי חשבון רוצים הוכחה לניהול סיכונים בזמן אמת - לא "גיליונות אלקטרוניים שנתיים".
- שכחה של ספקים שאינם ספקי IT: לוגיסטיקה, ניהול מנהלים או שותפי אינטגרציה לרוב מתעלמים מהם, מה שמוביל לממצאי ביקורת.
- קישור גרוע: שדרוגי סיכון אינם משתקפים בשינויים בחוזה או בהחלטות יציאה מהחברה.
- אוטומציה ללא אישור אנושי: יומני מערכת מבוטלים כאשר אף מנהל או תפקיד בדירקטוריון אינם אחראים באופן רשום.
- עיכובים בדיווח על אירועים: דיווח מחוץ לחלון של 24/72 שעות כמעט תמיד מפעיל אכיפה מחמירה יותר.
הימנעו ממלכודות אלו על ידי:
- מחזורי עבודה (אוטומציה של תזכורות, רישום ראיות, דרישה לאישור אנושי).
- להבטיח שמדיניות ונהלים מתפתחים עם כל עדכון רגולטורי.
- תיעוד כל ספק חדש, שהשתנה או יצא לאורך כל מחזור החיים -מסלולי ביקורת קישור טריגר → עדכון סיכון → סקירת דירקטוריון.
טבלת מעקב אחר דוגמה למחזור חיי הספק
| הדק | עדכן פעולה | בקרה (קישור SoA) | ראיות שנרשמו |
|---|---|---|---|
| אירוע בסיכון גבוה | סיווג מחדש של סיכונים | ניהול סיכונים בשרשרת האספקה | יומן חתימה של מנהל |
| חידוש חוזה | עדכון סעיף | שליטה חוזית (A.5.20) | חוזה גרסאי |
| ספק חדש הצטרף | סקירה ראשונית | סינון ספקים (A.5.19) | רישום רישום ביקורת |
כיצד ארגונים משדרגים את עמידתם בתקנות NIS 2 מ"בהלת ביקורת" ליתרון אסטרטגי עבור דירקטוריונים ולקוחות?
תאימות לתקן NIS 2, כאשר מנוהלת באופן פעיל, עוברת מתרגיל אש שנתי לבסיס של אמון תפעולי ושווי שוק. לוחות מחוונים בזמן אמת, תלות ספקים ממופה, אישורים מבוססי ראיות ומחזורי סקירה משולבים נותנים לדירקטוריונים את הנתונים לפעול, לא רק להגיב, ומעניקים ללקוחות ולשותפים ביטחון שאתם מתייחסים ברצינות לאמון וחוסן.
בהלת הביקורת נעלמת כאשר הדירקטוריון יכול לענות: מי אחראי? מה השתנה, מדוע ומתי? מי חתם על הביקורת האחרונה?
עבור מנהיגים שמוכנים להחליף את משיכת הציות לתקנות במניע של אמון והתחדשות, אבטחת ספקים מודרנית - החל מתבניות קליטה ועד ללוחות מחוונים בזמן אמת - הופכת את עונת הביקורת ליתרון. גלו הערכה עצמית מקוונת של ISMS כדי לראות כיצד תיראה עתיד הציות.
