top of page
    • Sep 24, 2023

Mere upravljanja rizikom u okviru NIS2

A

kteri pretnji brzo uče i inoviraju, što se vidi kroz sve sofisticiranije i češće sajber napade. Regulatori i zakonodavci takođe su aktivni, tako da će se kompanije suočiti sa sve većim teretom regulative.


U ovom kontekstu, nadolazeća EU direktiva NIS2 (puno ime "Direktiva o merama za visok zajednički nivo kibernetičke sigurnosti u Uniji") možda je najrelevantnija: sada se primenjuje u državama članicama EU-a i očekuje se da će biti obavezna najkasnije do oktobra 2024. godine. Elementi ove direktive takođe će uticati na zakonodavstvo u susednim zemljama koje možda nisu deo EU (još).


NIS2 više od trostruko povećava broj sektora i vrsta subjekata koji su pogođeni u poređenju s trenutnim NIS režimom, uključujući veliki deo nacionalne ekonomije. Takođe uvodi korporativnu odgovornost, obaveze izveštavanja i, najvažnije, mere i procene upravljanja rizikom. NIS2 je eksplicitan što se tiče ovih mera i proširuje obuhvat u poređenju s starom direktivom. Iako će se u narednim mesecima pojaviti više pojašnjenja u vezi s tim merama, korisno je imati ih na umu:


  1. Upravljanje rizicima: definišite interna pravila i politike za analizu rizika i bezbednosti informacionih sistema. To uključuje proces upravljanja incidentima i okvir za upravljanje rizikom. Definišite uloge, odgovornosti i procedure za identifikaciju, procenu i umanjivanje rizika.

  2. Rukovanje incidentima - Ojačajte svoju odbranu: efikasno rukovanje incidentima je ključno u današnjem sajber pretnjama. NIS2 naglašava potrebu za snažnim planovima odgovora na incidente kako bi se minimizirala šteta i obezbedio brz oporavak.

  3. Kontinuitet poslovanja - Pripremite se za neočekivano: implementirajte pouzdane rezerve i rešenja za oporavak od katastrofe. Obezbedite da se vaši kritični podaci čuvaju i mogu povratiti u slučaju incidenta. Ovo takođe uključuje plan za rukovanje sigurnosnim incidentima i upravljanje krizom.

  4. Diligencija u opskrbnom lancu - kontinuirano dokumentujte svoje IT dobavljače i pružatelje IT usluga. Procenjujte ih putem skrbne pažnje, usluga ocenjivanja sigurnosti, sertifikacija sigurnosti, revizija sigurnosti i drugih tehnika umanjenja rizika. Otklanjajte svoje ugovorne, operativne ili tehničke ranjivosti.

  5. Sigurnost na prvom mestu prilikom nabavke: prilikom nabavke, razvoja ili održavanja IT sistema, uvek imajte na umu njegovu sigurnost. Poseban fokus na postupak rukovanja ranjivošću i u slučaju otkrivanja.

  6. Provera efikasnosti: redovno procenjujte efikasnost mera upravljanja rizikom u vezi sa sajber sigurnošću. Definišite proces i politiku o tome kako procenjujete nove rizike i koliko su efikasne postojeće mere.

  7. Obuka iz kibernetičke sigurnosti: implementirajte osnovne prakse higijene i obuku iz svesti o sigurnosti. Informisana radna snaga je prva linija odbrane protiv sajber pretnji. Opremite svoje zaposlene znanjem i veštinama za identifikaciju i odgovor na potencijalne sigurnosne rizike na efikasan način.

  8. Upotreba enkripcije: definišite politike i procedure u vezi sa upotrebom kriptografije i enkripcijom. Posvetite pažnju enkripciji tokova i podataka u mirovanju u kombinaciji sa kontrolama pristupa. Da li ove mere štite vaše podatke i resurse u slučaju incidenta?

  9. Kontrola pristupa i upravljanje sredstvima: kontrola pristupa vašim kritičnim sistemima i sredstvima je od suštinskog značaja za sprečavanje neovlašćenog pristupa i povrede podataka. NIS2 ističe potrebu za snažnim mehanizmima kontrole pristupa u kombinaciji sa sveobuhvatnim praksama upravljanja sredstvima.

  10. Sigurna autentifikacija i komunikacija: koristite višefaktorsku autentifikaciju (MFA) koliko god je to moguće. Osigurajte bezbedne glasovne, video i tekstualne komunikacije i obezbedite sisteme za hitne komunikacije unutar organizacije.

Latest news

bottom of page