האם אתם מוכנים ל-NIS 2? כיצד חוזי שרשרת האספקה הפכו לשדה הקרב החדש של סיכוני סייבר
ככל שאוקטובר 2024 מתקרב, 2 מערכות מידע לא רק מזיזות את עמודי המטרה בתחום אבטחת הסייבר - הן משרטטות מחדש את המגרש. מה שבעבר הרגיש כסיכון של ספקים מרוחקים הפך כעת לחוזק אסטרטגי או לעצב חשוף עבור כל הארגון שלכם. שרשרת האספקה, שנשארה זמן רב בשולי הדיון ההנהלה, הפכה לפתע ליעד ישיר לביקורת -והאיכות וההוכחות של חוזי הספקים שלכם הן בחזית ובמרכז.
אפילו ישיבת הדירקטוריון הבטוחה ביותר עלולה להתפורר כאשר רואה חשבון ממפה סעיף אחר סעיף את הסיכון התפעולי.
ימי "תום לב" או "מאמץ מיטבי" חלפו. תחת חוק 2 שקלים חדשים, רואי חשבון, רגולטורים ושותפיכם העסקיים לא יסבלו עוד שפה צרה של חוזים או עמידה בתקנות על נייר בלבד. במקום זאת, הם ידרשו הוכחה חיה שכל התחייבות - בין אם היא... הודעה על אירוע, זכויות ביקורת, או פילוח ספקים - לא רק תועדו, אלא גם הוטמעו ויושמו ברחבי המערכת האקולוגית שלכם (ENISA, 2024). כל חוזה ספק הוא כעת מסמך סיכון חי, והחלון לאסטרטגיות של "המתן ותראה" נסגר במהירות.
הצוות שלכם כבר לא נשפט על פי מה שכתוב, אלא על פי מה שנרשם, ממופה ומתורגל - כל יום. התעלמו מהמגמות האלה, ותסתכנו בכותרות של מחר מכל הסיבות הלא נכונות.
מה הופך סעיף שרשרת אספקה תואם NIS 2? למה "משפט" כבר לא מספיק
לא מספיק שיהיו חוזים קיימים. בעידן של 2 שקלים חדשים, רגולטורים ומבקרים רוצים התחייבויות ברזל עם תפקידים מוגדרים, מסגרות זמן מחמירות ותהליכי עבודה שניתן להוכיח בפועל, ולא רק מובטחים בארון תיוק (Skadden, 2024). "הלימות" מקובלת עוברת כעת מהמשרד האחורי ללוח המחוונים של הביקורת שלכם - נוכחות אינה מספיקה; תפעול ומעקב מתמשך הם בעלי חשיבות עליונה.
חוזה לא חתום ולא נבדק מעורר יותר שאלות מצד רואה החשבון מאשר תשובות.
חמשת הסעיפים המפרידים בין מנהיגים לפגרים
חוזה ספק מוכן לביקורת ועומד בתקן NIS 2 מכסה יותר מאשר כלליות. מבקרים מצפים כעת לראות:
- אבטחת אבטחהראיות שנתיות, לא רק הבטחות - יומני ודוחות שממפים בקרות לסיכונים נוכחיים.
- זכות הביקורתהיכולת שלך ושל הספקים שלך לבצע ביקורות מתוזמנות/בלתי צפויות, עם ראיות למימוש זכויות.
- הודעה על תקריתלוחות זמנים קבועים (24 שעות מוקדם, 72 שעות מלא), תפקידי התראה בעלי שם, ללא עמימות או פרצות של "מאמץ סביר".
- שיתוף פעולה בנושא פגיעויותהתחייבויות הדדיות לגילוי מהיר ולתגובה משותפת לפגיעויות - פערים כאן מצביעים על כך ששתיקה היא סיכון.
- סיום והשמדת נתוניםיומני רישום מוכחים, לא רק מוצהרים, המציגים מחיקה, החזרה וחתימה, שממופים חזרה לפלטפורמות, לא לאימיילים ישנים.
כאשר אפילו סעיף אחד חסר, כללי או "ממתין לבדיקה", זרקור הביקורת מוצא אותך - והרגולטורים מצפים כעת לרישום של בדיקות תקופתיות ו... ראיות חיות מקדחות (ENISA, 2024).
אל תעצרו בספקים ברמה 1: ביקורת על השרשרת כולה
התחייבויות "זורמות מטה" לכל קבלני המשנה. NIS 2 מרחיק את המיקוד שלכם מעבר לספקים המיידיים; מבקרים ורגולטורים בודקים את העניינים שרשראות ראיות שמכסות כל שכבה, לא רק את אלו ששולחים חשבוניות (IAPP, 2024). אם הפרה מקורה בספק מהשכבה הרביעית, ראיות החוזה שלך יישאו בחלק מהאשמה.
חוזים כזרימות עבודה חיות וניתנות לביקורת
צוותים משפטיים כבר לא יכולים "לקבוע ולשכוח" חוזים. עליהם לשתף פעולה עם חברות הרכש ואבטחת המידע כדי למפות, לתעד ולתרגל כל התחייבות. פלטפורמות ISMS מודרניות הופכות למקור יחיד של אמת - כל KPI של שירות, הודעה על אירוע וקליטת שירות ממופים לסעיף מסוים ומתקדמים (Third Party Risk Institute, 2023).
חוזה שצובר אבק הוא נטל. חוזה תפעולי הוא מגן.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
כיצד נראה סעיף שרשרת אספקה מוכן לביקורת? דגלים אדומים ודוגמאות הטובות מסוגן
הדרך המהירה ביותר להפסיד בביקורת היא באמצעות אזורים אפורים - סעיפי "בהקדם האפשרי" או "למיטב ידיעתם". NIS 2 מעלה את רף הראיות: לוחות זמנים, זרימות תהליכים, מקבלי הודעות ופילוח מבוסס רמות סיכון (אנליטיקה קוונטית של סייבר, 2024).
סעיפי דיוק: מדוע "בתוך 24 שעות" כעת חובה
דיווח על אירועים הוא כעת תהליך עבודה, לא רק מדיניות. גם "ההתראה המוקדמת" תוך 24 שעות וגם הדוח המלא תוך 72 שעות חייבים להיכלל בכל סעיף קריטי בחוזה. עמימות כאן היא סימן ביקורת מיידי - מבקרים מצפים לראות לא רק את הסעיף, אלא גם חותמות זמן רשומות עבור הודעות (ואפילו תרגילי ניסוי) (Lexology, 2024).
חוזים שלא מפרטים כיצד, מתי ומי מטפחים סיכון בלתי נראה.
החזרת/השמדת נתונים: אל תעצרו ב"מחיקה" - הוכחו זאת
התחייבויות חוזיות לטיפול בנתונים כוללות כעת לא רק את הפעולה אלא גם את קבצי יומן הראיות, אישורי המחיקה, שרשרת המשמורת, אישורי הבקשה והשלמת הנתונים (פרטש ביסוואס, 2023). "החזרה לפי בקשה" אינה מספיקה. הוכח שאתה יכול למחוק ובדוק לצורך אימות.
סמכות שיפוט, קביעת סיכונים והתאמה אישית
תבניות משפטיות העתקה-הדבקה או סעיפים שאינם קשורים לתחום שיפוט לעיתים קרובות נכשלים בביקורות. NIS 2 מצפה מחוזים המותאמים להקשר-רמת הסיכון, גיאוגרפיה, תהליכים עסקיים. לא כל הספקים נוצרו שווים; הימנעו מחשיפה של "מידה אחת מתאימה לכלום".
כיצד דיווח על אירועים ותגובה לפגיעויות זורמים בפועל דרך החוזים שלכם
חוזה אינו רק עניין של קליטה. זוהי התוכנית שלך עבור ניהול משברים ואבטחת ביטחון מתמשכתתחת NIS 2, חוזים חייבים לתמוך בזרימות עבודה בזמן אמת, ולא רק בניירת לאחר מעשה.
כיצד נראות ראיות ביקורת חיות
רואי חשבון דורשים כעת:
- יומני היסטוריה אמיתיים (או מדומים) הודעות על אירוע-עם חותמת זמן, מוגדר על ידי הנמען ומקושר לחוזה (ENISA, 2023).
- יומני תרגילים המציגים חזרות (תרחישי התראה תוך 24/72 שעות).
- מיפוי פעולות מבוסס תפקידים: כאשר אדם משנה מקום עבודה, יומני ביקורת מציגים מטלות חדשות.
- קצב התראות ברירת מחדל (אפילו רישום של "ללא אירועים") להוכחת פעולה רציפה.
- ראיות זרימת עבודה בזמן אמת (לא רק "שלחנו את הפוליסה") ממופות להפניות לחוזים.
אם אינך יכול להציג יומן לכך, הנח שהמבקר לא יספור זאת.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
סעיף, בקרה, ראיות: עקיבות שמצליחה או מכבידה את הביקורת שלך
הציות שלך לא נמדד לפי מדיניות - הוא נמדד לפי הוכחות. לולאת הביקורת פועלת כעת מסעיף חוזה → בקרת פלטפורמת ISMS → ראיות שנרשמו, לֹא רק שרשראות דוא"ל או גלריות SharePoint (EY, 2024).
טבלת מיני של סעיפים-בקרה-ראיות
כל סעיף אבטחת שרשרת האספקה חייב להיות מיושם על ידי בקרות ממופות וראיות תומכות. כך עשויה להיראות מפת עקיבות לדוגמה:
| ציפייה לסעיף | בקרה/תהליך ISO 27001 | דוגמה לראיות |
|---|---|---|
| הודעה על אירוע | א.5.24, א.5.25, א.5.26 | יומני רישום 24/72 שעות, אישורי התראות |
| זכות הביקורת | א.5.19, א.5.20 | לוח זמנים, נוהל ואישור ביקורת |
| השמדת נתונים | א.8.10, א.5.21 | אישור מחיקה, עדכוני רישום |
| ניהול פגיעויות | A.8.8 | דוחות קידוח, יומני סריקה |
| סיום | א.5.21, א.5.20 | פרוטוקול יציאה מהחברה, הוכחת יציאה |
מיני-מפה של טריגר-סיכון-ראיות
| הדק | עדכון סיכונים | בקרת ISO 27001 | ראיות שנרשמו |
|---|---|---|---|
| תקרית סייבר של ספקים | רישום סיכונים עדכון | A.8.8 | יומני אירועים, התראות |
| מעבד משנה חדש הצטרף | יומן בדיקת נאותות | א.5.19, א.5.20 | יומני חוזה, בקרה |
| חוזה מתוקן | עדכון חוזה/סיכון | A.5.19 | יומני אישור |
| ביקורת הספקים הושלמה | יומן סיכונים עודכן | א.5.19, א.5.20 | דוח ביקורת |
זכרו: הלוגים שלכם הם הגנת הביקורת שלכם. במקרה של ספק, הפכו את הלכידה והמיפוי לאוטומטיים בתוך פלטפורמת ISMS בענן.
בניית סעיפי חוזה העולים מעל קו הביקורת: מיפוי, אחריות, אוטומציה
חוזה מוכן ל-NIS 2 מקצה בבירור משימות - לפי שחקן, תפקיד ואירוע - בעוד שפלטפורמת ISMS רושמת אישורים, שינויים ודרכי הסלמה. עדויות לאחריות מפולחת ואישורים ברמת הדירקטוריון מדגימות בגרות תפעולית אמיתית.
מיפוי מבוסס תפקידים ואירועים (סגמנטציה)
חוזים חייבים למפות:
- כל אירוע קריטי (קליטה, תקרית, סיום) לתפקידים ספציפיים, לא ל"נקודות קשר" גנריות.
- ספקים בסיכון גבוה תחת צעדי ניטור והסלמה מחמירים יותר.
- מחזורי העברת תפקידים ובדיקה - לעולם לא סטטיים או "לשרוף ושכח".
מבקרים מאמתים את המיפויים הללו באמצעות בדיקות אקראיות; כשלים נובעים בדרך כלל מתפקידים שלא הוקצו או שאינם מעודכנים.
אוטומציה ושרידות ביקורת
מעקב ידני כבר אינו בר-קיימא. פלטפורמות שמאפשרות אוטומציה של רישום, העלאת ראיות והודעות יוצרות יכולת הגנה יומיומית - ומאפשרות לך להגדיל את הציות ללא טרחה מתמדת, אפילו כאשר המסגרות מתפתחות (Pinsent Masons, 2024).
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
סגירת לולאת הביקורת: הקצאת בעלות, אוטומציה של ראיות, אחריות על תוצאות
מי אחראי על סעיפי חוזה, איסוף ראיות ואוטומציה של זרימת עבודה? NIS 2 דורש בעלים פנימיים בעלי שם - לעולם לא רק יועצים חיצוניים או "אנשי קשר גנריים בתחום התאימות". הקצאה ורישום:
- CISO/ראש מחלקת אבטחה: יומני אירועים ופגיעויות, ביקורות ספקים, הסלמת פרצות.
- מנהל/ת פרטיות: זרימת נתונים, בקרות של מעבדי משנה, ביקורות פרטיות.
- מנהל ספק: קליטה, עדכוני חוזים, יומני סיום עבודות.
- ראש רכש: מעקב אחר אישורים, פילוח ספקים, הודעות תאימות.
- דירקטוריון/ועדת סיכונים: אישור אסטרטגי, פיקוח ספקים ברמה גבוהה, בקרות מחזור ביקורת.
ראיות חזקות רק כמו בעליהן - הפוך את המשימות לגלויות ושמור עליהן בחיים.
שיטות עבודה מומלצות: השתמשו בפלטפורמת ה-ISMS שלכם כדי להפוך את התהליכים לאוטומטיים, לנטר ולתעד. החליפו סקירות קצב שנתיות בעדכון מתמיד ותרגילים מתוזמנים. תאימות מתמשכת היא לא רק ניתנת להגנה, אלא באמת בת קיימא.
ניווט במקרים מיוחדים: סעיפי קוד פתוח, ענן וספקים שאינם מהאיחוד האירופי
אבטחת שרשרת האספקה תחת NIS 2 כוללת מורכבויות הרבה מעבר לספקים סטנדרטיים. קוד קוד פתוח, אירוח ענן ושותפים שאינם מהאיחוד האירופי דורשים כל אחד מהם אנטומיה חוזית משלו.
קוד פתוח
תחזוקת רשימת חומרים מעודכנת של תוכנה (SBOM), דרישה של יומני תיקוני פגיעויות ותרגולת של קבלת סקירת קוד.
ספקי ענן ומיקום נתונים
סעיפים חייבים לציין:
- מיקום/י נתונים מדויקים
- זכויות ביקורת ופיקוח
- תגובה לאירוע תהליכים (כולל הודעות המגשרות על גבולות שיפוט)
- נהלי יציאה/יציאה ברורים
ספקים שאינם מהאיחוד האירופי
להוכיח שקילות לתקני האיחוד האירופי, למפות את זרימת הנתונים במפורש, ולכלול סעיפי בחירת חוק התואמים לדרישות הלקוחות של האיחוד האירופי (Skadden, 2024).
שרשראות אספקה מורכבות דורשות סעיפים מותאמים אישית - תבנית מהשנה שעברה לא תכסה וקטורי סיכון חדשים.
מדוע בדיקות תקינות חוזים פרואקטיביות ואוטומציה של ISMS מגדירות את המובילות ב-NIS 2
ההגנה החזקה ביותר אינה נמצאת במדיניות - היא מובנית בפעולה יומיומית וניתנת למעקב. מרכזו את ניהול חוזי הספקים שלכם, הפכו אישורים ותרגילים לאוטומטיים, ושמרו על נתיב הראיות שלכם מוכן לביקורת. מאבק של הרגע האחרון כבר לא ניתן לשרוד; מנהיגות פירושה כעת לקחת אחריות על הביקורת עוד לפני שתקופת הביקורת מתחילה.
אם זה לא ביומנים, זה לא קיים - הוכח את תאימותך כל יום, לא רק במהלך ביקורות.
עם ISMS.online, הפלטפורמה שלכם הופכת למרכז בקרת החוזים שלכם - כל בעל עניין מקבל תצוגה אחת, כל סעיף ניתן למפות לזרימת עבודה, וכל אירוע הופך לעוד נקודת הוכחה במסע הביקורת שלכם (ENISA, 2024; ISMS.online).
התחילו בהרצת בדיקת תקינות חוזה - מיפוי בעלי הפרויקט לכל סעיף, תרגלו הודעות ורישום כל אישור. אוטומציה של מה שאתם יכולים, ודא מה לא ניתן לאוטומציה, והתייחסו לתאימות כנכס מתמשך ולא למאבק שנתי. הצטרפו לאלה שמובילים את המעבר ל-NIS 2, ותנו לראיות שלכם - ולא רק לשאפתנות שלכם - לדבר.
שאלות נפוצות
אילו סעיפי חוזה חדשים חייבים להכיל בהסכמי ספקים כדי לעמוד בתקן NIS 2?
כדי לעמוד בתקן 2, חוזי הספקים חייבים להתקדם הרבה מעבר להבטחות מעורפלות - כל תנאי חייב להיות ניתן לאכיפה, ניתן לביקורת וממופה ישירות הן לסיכון והן לתקני רגולציה. החוזים שלכם צריכים לדרוש:
- שוויון אבטחה וזכויות ביקורת: חייבו ספקים להתאים את עצמם באופן מלא לבקרות האבטחה שלכם, או לחרוג מהן. כללו זכויות מפורשות לביקורות מתוזמנות ופתע, החלות על כל מעבד משנה ושותף בהמשך השרשרת.
- דיווח על אירועים ופגיעויות 24/72 שעות ביממה: לדרוש מכל הספקים למסור הודעה ראשונית על אירועי סייבר בעלי השפעה או פגיעויות אמינות תוך 24 שעות ממועד הגילוי, ולאחר מכן להגיש דוח מלא תוך 72 שעות. החוזים חייבים לפרט אנשי קשר ייעודיים ופרוטוקולי דיווח.
- שיתוף פעולה מתקנת כפוי: לחייב ספקים לשתף פעולה בפתרון תקריות - תכנון פעולה משותף ותיקון נדרשים על פי חוזים, לא רק הודעה.
- החזרת נתונים, מחיקתם ואישורם: בסיום החוזה או ביציאה מהחברה, הספקים חייבים למחוק או להחזיר את הנתונים שלכם, תוך מתן אישורי השמדה רשמיים או יומני רישום כהוכחה.
- מחזורי סקירה ושיפור מתוכננים: חוזים חייבים להוביל לבדיקות שנתיות לפחות, ועדכונים אד-הוק בכל פעם שיש שינויים רגולטוריים, איומים או שינויים משמעותיים בספקים - עם אישורים מתועדים המעידים על פיקוח פעיל.
- זרימה כלפי מטה חובה: כל התחייבויות NIS 2 חייבות להיות מדורגות באופן חוזי לכל קבלן משנה (כולל ענן, SaaS, OSS), עם ראיות ניתנות לאכיפה ומעקב עבור כל שכבה.
- רשומות חיות וניתנות לביקורת: ראיות בזמן אמתיש לייצר - מסלולי אישור, יומני גרסאות, סימולציות התראות - ולא רק קבצי PDF המאוחסנים בכונן.
חוזה שאינו יכול לייצר ראיות ניתנות לביקורת בזמן אמת מתעלם על ידי 2 ש"ח - הרגולטורים מבקשים כעת הוכחות חיות, לא הבטחות.
טבלה: מיפוי סעיפים-בקרה-ראיות
| סעיף | ISO 27001/נספח א' | ראיות ביקורת אופייניות |
|---|---|---|
| התראה 24/72 שעות | א.5.24, א.5.26 | יומני התראות, שבילי התראות |
| זכויות ביקורת וזרימה כלפי מטה | א.5.19, א.5.20, א.5.21 | יומני ביקורת, מסמכי קבלני משנה |
| מחיקת נתונים בעת יציאה מהארון | A.8.10 | אישורי מחיקה, יומני השמדה |
| סקירה/שיפור מתוכננים | A.5.36 | יומני סקירה, רישומי אישור |
כיצד דרישות דיווח על אירועים ופגיעויות ב-NIS 2 מגדירות מחדש את לוחות הזמנים עבור ספקים?
סעיף 2 של NIS מבטל את דיווח הדו-משמעי, "במאמץ הטוב ביותר" - ספקים חייבים למסור הודעה דו-שלבית על כל אירוע או פגיעות משמעותיים:
- התראה ראשונית תוך 24 שעות: לך (כלקוח), ל-CSIRT הלאומי, או לרשות הרלוונטית, כולל עובדות ראשוניות בתוספת השפעה סבירה;
- מעקב מלא תוך 72 שעות: עם ממצאים מפורטים, שורש, צעדים מתקנים, סיכונים מתמשכים, ומי עשה מה.
חוזים לבדם אינם מספיקים - מבקרים יבחנו את המציאות התפעולית. ספקים חייבים להוכיח, באמצעות ראיות, שהצוותים מכירים את התהליך (יומני הדרכה), יכולים להפעיל התראות (סימולציות תרגילים) ועומדים בלוחות הזמנים (קבצי יומן עם חותמת זמן).
אם הודעה איחרה, לא שלמה או "אבדה", רגולטורים או שמאי נזקים לא יקבלו תירוצים. רשומות ניתנות לביקורת-מקרה אמיתי או מקרה מבחן - חייב להראות חוזים שתואמים פעולה, לא רק כוונות.
עידן ה"בקרוב" הבלתי מוגבל הסתיים; אם אינך יכול להראות שחלון ההודעות של 24/72 הושג או נבדק, ערך החוזה הוא אפס.
אילו ראיות תפעוליות ספציפיות חייבות להיות מוכנות עבור ביקורות חוזי ספקים של NIS 2?
רגולטורים ומבקרים חיצוניים לא יקבלו עוד הצהרות בעל פה או אישורים סטטיים כהוכחה. במקום זאת, עליכם לספק:
- חוזים חתומים, מבוקרי גרסה, המציגים סעיפים ממופים: כל מונח צריך להצביע על המניע הרגולטורי שלו ועל הבקרות הנדרשות.
- יומני שינוי, אישור וחידוש: -עם חותמת זמן, נשלט על ידי ההנהלה או הדירקטוריון, לא רק על ידי החוק.
- הודעות על אירועים/פגיעויות אמיתיות ומדומה: -יומני רישום והיסטוריית תהליכי עבודה המציגים התראות שהגיעו לחלונות 24/72 שעות, נבדקים לפחות פעם בשנה.
- רישומי אימון: - קליטה והדרכות תקופתיות לצוות ולכל הספקים, עם תיעוד המציג השלמה והבנה.
- הסמכות צד שלישי: - הוכחת כיסוי תפעולי, הממופה ל-ISMS ולסעיפי החוזה שלכם (לא תביעות "מאושרות" גנריות).
- רישום מעקב אחר ספקים/מעבדי משנה: מיפוי השרשרת המלאה; הצגת תאריכים, ירושה של פסוקיות וראיות לכל חוליה בשרשרת.
טבלת עקיבות: טריגר לראיות
| הדק | עדכון רישום הסיכונים | ISO/נספח A הפניה | עדות ביקורת |
|---|---|---|---|
| תקרית ספק | סיכון הספק עודכן | A.8.8 | יומן התראות, הזנת סיכונים |
| חידוש חוזה | אישור הדירקטוריון נרשם | A.5.36 | יומן שינויים, רשומת חתימה |
| תרגיל התראות | צוות התגובה יומן אירוע | א.5.24, א.5.26 | תוצאת הסימולציה, משוב צוותי |
כיצד צריכים להסתגל חוזים לספקי ענן, קוד פתוח וספקים שאינם מהאיחוד האירופי במסגרת חוק NIS 2?
בעד ספקי ענןחוזים חייבים לאתר במדויק היכן נמצאים הנתונים (בתחום השיפוט), לתעד את כל זכויות הביקורת, לכפות את כל מועדי ההודעה (24/72 שעות) על ספק הענן ועל המנויים שלו, ולדרוש הוכחה למיפוי זרימה כלפי מטה. שותפי ענן חייבים לספק יומני רישום חיים וראיות אם מתבקשים.
בעד ספקי או רכיבים בקוד פתוח (OSS), חוזים צריכים לדרוש רשימת חומרים של תוכנה (SBOM), לוחות זמנים לתיקונים/תיקונים והרשאות ביקורת קוד. אם סיכון OSS הוא מהותי, יש להציג גם ראיות לתרגילי פגיעויות ולסקירות רישיונות.
ספקים שאינם מהאיחוד האירופי חייב להיות מחויב חוזית לדרישות ההודעה והנתונים הסטנדרטיות של האיחוד האירופי, גם אם הנוהג המקומי שונה. החוזה חייב לציין את חוקי האיחוד האירופי כחוק החל, ועליך להשיג אישורים ויומני רישום מפויים מהספק ומכל קבלני המשנה - גם אם בחו"ל.
טבלה: מטריצת התאמת ספקים
| סוג הספק | סעיף חוזה מרכזי | דוגמה לראיות |
|---|---|---|
| ענן | סמכות שיפוט, ביקורת, זרימה כלפי מטה | הוכחת מיקום, זרימת עבודה של ביקורת, יומני רישום |
| קוד פתוח | SBOM, הסכם רמת שירות של תיקון, זכויות ביקורת | קובץ SBOM, כרטיסי תיקון, ביקורת קוד |
| ללא האיחוד האירופי | חוק האיחוד האירופי, תקן 24/72 שעות, מעקב | הצהרה חתומה, יומני רישום ממופים |
היכן רוב החברות נכשלות בביקורות חוזי ספקים של 2 שקלים? מהן המכשולים המרכזיים?
טעויות נפוצות ויקרות הגורמות לממצאי ביקורת או לכשלים מוחלטים כוללות:
- שפה מעורפלת או חלשה: מונחים כמו "הודעה סבירה" או "נהלים מומלצים בתעשייה" אינם עומדים בדרישות החוק ולא בדרישות רואה החשבון - NIS 2 זקוק להתחייבויות מפורשות ובעלות יישום.
- זרימה לא שלמה כלפי מטה: אם התחייבויות אינן מתבצעות בחוזה דרך כל ספק משנה, ספק ענן וספק OSS, השרשרת נקרעת. זרימה כלפי מטה חסרה = סיכון מערכתי.
- פיצול ראיות: כאשר יומני רישום, מיילים, שבילי אישורים והודעות מפוזרים על פני תיבות דואר נכנס אישיות וגליונות אלקטרוניים, שלמות הראיות מוטלת בספק באופן מיידי.
- אין משמעת לבדיקת חוזה: הסכמים ישנים - ללא סקירה רשמית, ללא אישור דירקטוריון או אישור משפטי - מהווים פער ידוע בתאימות.
- חוזים שמתאימים לכולם: אי התאמת הסכמי ספקים לפי קטגוריות סיכון - למשל, התייחסות לשותפי SaaS או אירוח נתונים כמו לשירותי ניקיון - מזניחה את פילוח הסיכונים הרגולטוריים.
- סעיפים שלא ממופים לבקרות ISMS: אם אינך יכול להראות באופן מיידי היכן נמצא סעיף חוזה במערכת ה-ISMS/סיכון/SoA שלך, ולהציג ראיות חיות, סביר להניח שהוא לא יעבור את הביקורת.
רוב הארגונים נכשלים לא בגלל חוסר בניירת, אלא בגלל חוסר בחוט אחד נקי וחי, מהחוזה ועד לבקרה ועד לראיות.
כיצד ISMS.online יכול להפוך את עמידת החוזים של ספקי NIS 2 לאוטומטית ולרכזת?
ISMS.online הופך את הכאב של פיקוח ובדיקה של חוזים למערכת תיעוד דיגיטלית רציפה. באמצעות פלטפורמה משולבת אחת, הצוות שלך יכול:
- אחסון מרכזי של כל חוזה ספק ומיפוי כל סעיף של 2 שקלים לרלוונטיים ISO 27001 בקרות, סיכונים וראיות נדרשות בהקשר חי.
- אוטומציה ותיעוד של כל סקירות שינויי החוזים, אישורי הדירקטוריון והודעות האירועים - כל אחד עם חותמת זמן ותפקיד מוקצה. שביל ביקורת.
- הפעל או רישום מיידי של תרגילי הודעה על אירועים, והבטח עמידה בלוחות הזמנים של 24/72 שעות ומוכחים עבור כל ספק ורמת סיכון.
- מעקב אחר קטגוריות ספקים (ענן, OSS, מחוץ לאיחוד האירופי) וכפיית מיפוי ראיות של זרימה כלפי מטה לשותפים, קבלני משנה או ספקים שאינם בשליטתכם המיידית.
- חשפו פערים - חידושים ממתינים, אישורים חסרים או יומני רישום חסרים - בלוח מחוונים תפעולי אחד; אין עוד סינון בגיליונות אלקטרוניים לפני ביקורת.
- לאחד תפקידים משפטיים, רכש וטכניים סביב אותם חברי דירקטוריון, לקוחות ורגולטורים נוכחיים, המבטיחים את דעת הקהל של הספקים.
טבלת גישור נספח א' – קישורים מרכזיים לראיות חוזיות
| תוֹחֶלֶת | אופרציונליזציה | ISO Ref |
|---|---|---|
| הודעה על אירוע 24/72 שעות | התראות ויומני רישום אוטומטיים | א.5.24, א.5.26 |
| ביקורת ימינה, זרימה מטה ממופה | זרימת עבודה של ביקורת/חידוש, ראיות משנה | א.5.19–א.5.21 |
| החזרה/השמדה של נתונים ביציאה | ראיות למחיקה, רשומות חתומות | A.8.10 |
| סקירת חוזה ואישורו | יומני תפקידים/מתוארכים, חתימה של הדירקטוריון | A.5.36 |
מיני-טבלה למעקב
| הדק | עדכון/פעולה בנוגע לסיכונים | קישור בקרה/SoA | ראיות שנרשמו |
|---|---|---|---|
| תקרית ענן | הרשמה/הודעה | א.5.21, א.8.8 | אירוע, אישור, סקירה |
| חוזה שדרוג | השקת זרימת עבודה לאישור | א.5.19, א.5.36 | חתימה דיגיטלית, יומן גרסאות |
כדי לעמוד בדרישות 2 ליש"ט, הפסיקו להתייחס לחוזי ספקים כקבצים סטטיים. הפכו את מחזור חיי החוזה שלכם לאוטומטי, מיפו כל סעיף לבקרות תפעוליות, וודאו שהראיות היומיות מוכנות - כך שהביקורת הבאה שלכם תוגדר על ידי ביטחון, לא על ידי ערבוב.
