top of page
    • Sep 24, 2023

Sigurnosne mjere upravljanja rizikom prema NIS2


Izvođači prijetnji tzv. threat actors brzo uče i inoviraju, što se vidi po sve sofisticiranijim i češćim kibernetičkim napadima. Regulatori i zakonodavci također su u pokretu, pa će se tvrtke suočiti sa sve većim regulatornim teretom.


U tom kontekstu, nadolazeća EU direktiva NIS2 (puno ime "Direktiva o mjerama za visoku zajedničku razinu kibernetičke sigurnosti u Uniji") možda je najrelevantnija: sada se implementira u državama članicama EU-a i očekuje se da će se krenuti provoditi najkasnije od listopada 2024. Elementi direktive također će utjecati na zakonodavstvo u susjednim zemljama koje možda nisu u EU (još).


NIS2 više od trostruko povećava broj sektora i vrsta subjekata koji su pogođeni u usporedbi s trenutnim NIS režimom, uključujući veliki dio nacionalnog gospodarstva. Također uvodi korporativnu odgovornost, obveze izvješćivanja i, što je najvažnije, mjere upravljanja rizikom i procjene. NIS2 je eksplicitan u pogledu ovih mjera ima širi obuhvat u usporedbi sa starom direktivom. Iako će se tijekom sljedećih mjeseci pojaviti više pojašnjenja o tim mjerama, korisno je imati ih na umu:


  1. Upravljanje rizikom: definirajte interna pravila i politike za analizu rizika i sigurnost informacijskog sustava. Ovo uključuje definiranje procesa upravljanja incidentima i okvir za upravljanje rizikom. Definirajte uloge, odgovornosti i postupke za identifikaciju, procjenu i ublažavanje rizika.

  2. Rukovanje incidentima - Ojačajte svoje obrane: učinkovito rukovanje incidentima ključno je u današnjem svijetu kibernetičkih prijetnji. NIS2 naglašava potrebu za robusnim planovima za odgovor na incidente kako bi se minimalizirala šteta i osigurala brza obnova.

  3. Kontinuitet poslovanja - Pripremite se za neočekivano: implementirajte pouzdana rješenja za sigurnosno kopiranje i oporavak od katastrofe. Osigurajte da se vaši ključni podaci zaštite i mogu povratiti u slučaju incidenta. Također uključuje plan za rukovanje sigurnosnim incidentima i upravljanje krizom.

  4. Pažljiva provjera opskrbnog lanca: kontinuirano dokumentirajte svoje IT dobavljače i pružatelje IT usluga. Procijenite ih putem dilligence-a, usluga za ocjenu sigurnosti, sigurnosnih certifikata, sigurnosnih revizija i drugih tehnika za smanjenje rizika. Ispravite svoje ugovorne, operativne ili tehničke ranjivosti.

  5. Sigurnost na prvom mjestu prilikom nabave: prilikom nabave, razvoja ili održavanja IT sustava, uvijek imajte na umu sigurnost. Posebno se usredotočite na proces obrade ranjivosti i otkrivanja.

  6. Pregled učinkovitosti: redovito procjenjujte učinkovitost mjera upravljanja rizikom u kibernetičkoj sigurnosti. Definirajte proces i politiku kako ćete procijeniti nove rizike i koliko su postojeće mjere učinkovite.

  7. Obuka iz kibernetičke sigurnosti: implementirajte osnovne prakse higijene na mreži i obuke o sigurnosti. Informirana radna snaga prva je linija obrane protiv kibernetičkih prijetnji. Opremite svoje zaposlenike znanjem i vještinama za prepoznavanje i reagiranje na potencijalne sigurnosne rizike na učinkovit način.

  8. Korištenje enkripcije: definirajte politike i postupke u vezi s korištenjem kriptografije i enkripcije. Posvetite pažnju enkripciji podataka tijekom prijenosa i u data-at-rest situacijama u kombinaciji s kontrolama pristupa. Štite li ovi elementi vaše podatke i imovinu u slučaju povrede?

  9. Upravljanje pristupom i upravljanje imovinom: kontroliranje pristupa vašim ključnim sustavima i imovini od suštinskog je značaja za sprečavanje neovlaštenog pristupa i povrede podataka. NIS2 ističe potrebu za robusnim mehanizmima kontrole pristupa u kombinaciji s opsežnim praksama upravljanja imovinom.

  10. Sigurna autentifikacija i komunikacija: koristite višefaktorsku autentifikaciju (MFA) u najvećoj mogućoj mjeri. Osigurajte sigurnu glasovnu, video i tekstualnu komunikaciju i sigurne sustave za hitnu komunikaciju unutar organizacije.

Latest news

bottom of page