NIS2 mere upravljanja rizikom

Sajber napadači brzo uče i inoviraju, o čemu svjedoče sve sofisticiraniji i češći sajber napadi. Regulatori i zakonodavci su također na potezu, tako da će se kompanije suočiti sa sve većim regulatornim opterećenjem.

U tom kontekstu, nadolazeća direktiva EU NIS2 (puni naziv „Direktiva o mjerama za visoki zajednički nivo kibernetičke sigurnosti u cijeloj Uniji“) je možda najrelevantnija: ona se sada primjenjuje u zemljama članicama EU i očekuje se da će krenuti provoditi najkasnije od oktobra 2024. Elementi direktive će uticati i na zakonodavstvo u susjednim zemljama koje možda (još) nisu u EU.

NIS2 više nego utrostručuje broj zahvaćenih sektora i tipova subjekata u poređenju sa aktuelnim režimom NIS-a, čime je uključen veliki deo nacionalne privrede. Takođe uvodi korporativnu odgovornost, obaveze izvještavanja i najvažnije mjere i procjene upravljanja rizicima.

NIS2 je izričit u pogledu ovih mera i ima širi obim u odnosu na staru direktivu. Iako će se u narednim mjesecima pojaviti više pojašnjenja u vezi s tim merama, korisno je imati ih na umu:

1. Upravljanje rizikom: definirati interna pravila i smjernice za analizu rizika i sigurnost informacionog sistema. Uključuje proces upravljanja sigurnosnim incidentima i okvir upravljanja rizikom. Definirajte uloge, odgovornosti i procedure za identifikaciju, procjenu i ublažavanje rizika.

2. Rukovanje incidentima – ojačajte svoju odbranu: efikasno rukovanje incidentima je ključno u današnjem okruženju sajber pretnji. NIS2 naglašava potrebu za snažnim planovima reagovanja na incidente kako bi se minimizirala šteta i osigurao brz oporavak.

3. Kontinuitet poslovanja - pripremite se za neočekivano: implementirajte pouzdana rješenja za sigurnosno kopiranje i oporavak od katastrofe. Osigurajte da su vaši kritični podaci zaštićeni i povratni u slučaju incidenta. Ovo uključuje i da imate plan za rukovanje sigurnosnim incidentima i upravljanje kriznim situacijama.

4. Obratite pozornost na lanac snabdevanja: kontinuirano dokumentujte svoje IT dobavljače i pružaoce IT usluga. Procijenite ih tako da ih dubinski analizirate, koristite usluga za ocjenjivanje sigurnosti, sigurnosne certifikate, sigurnosne revizije i druge tehnike za smanjenje rizika. Otklonite svoje ugovorne, operativne ili tehničke slabe tačke.

5. Sigurnost na prvom mjestu prilikom nabavke: prilikom nabavke, razvoja ili održavanja IT sistema uvijek imajte na umu njegovu sigurnost. Posebno se fokusirajte na proces rukovanja ranjivostima.

6. Pregledajte efikasnost: redovno procenjujte efikasnost mera za upravljanje rizikom u oblasti sajber bezbednosti. Definirajte proces i politiku o tome kako procjenjujete nove rizike i koliko su efikasne postojeće mjere.

7. Obuka o sajber sigurnosti: implementirajte osnovne prakse sajber higijene i obuku za podizanje svijesti o sigurnosti. Dobro informisana radna snaga prva je linija odbrane od sajber prijetnji. Opremite svoje zaposlenike znanjem i vještinama da efikasno identifikuju potencijalne sigurnosne rizike i odgovore na njih.

8. Upotreba enkripcije: definirajte politike i procedure u vezi s korištenjem kriptografije i enkripcije. Obratite pažnju na enkripciju transporta i podataka u mirovanju zajedno sa kontrolama pristupa. Da li oni štite vaše podatke i imovinu u slučaju neovlašćenog pristupa?

9. Kontrola pristupa i upravljanje imovinom: kontrola pristupa vašim kritičnim sistemima i imovini je najvažnija za sprečavanje neovlašćenog pristupa i povrede podataka. NIS2 naglašava potrebu za robusnim mehanizmima kontrole pristupa u kombinaciji sa sveobuhvatnim praksama upravljanja imovinom .

10. Sigurna autentifikacija i komunikacija: koristite višefaktorsku autentifikaciju (MFA) u najširoj mogućoj meri. Zaštitite glasovnu, video i tekstualnu komunikaciju kao i komunikaciju u hitnim slučajevima unutar organizacije.