Flagmaninė paslauga

NIS2 atitikties vadovas

Vienas atsakingas saugumo vadovas koordinuoja visą jūsų NIS2 atitikties kelią — suderina reglamento reikalavimus su realiomis techninėmis priemonėmis. Užuot derinę kelis atskirus tiekėjus, gaunate vieną kontaktą, vieną planą ir aiškią atsakomybę, o priemones įgyvendina atskira techninė komanda pagal vadovo priežiūrą.

Kaip tai sujungiama

Trys pusės, vienas kelias

NIS2 atitiktis nėra vien dokumentai ar vien technologijos. Ji reikalauja, kad teisinė, techninė ir žmogiškoji pusės judėtų kartu — todėl jas ir valdome kaip vieną visumą.

01

Teisiniai ir organizaciniai reikalavimai

Politikos, atsakomybių paskirstymas, rizikos valdymo tvarka, incidentų pranešimo NKSC procesai — reglamentų nustatyti įpareigojimai, sudėlioti į veikiančią tvarką.

02

Techninių priemonių įgyvendinimas

Prieigų valdymas, kelių faktorių autentifikacija, tinklo segmentacija, atsarginės kopijos, stebėsena ir įrenginių apsauga — įgyvendinta, ne tik aprašyta.

03

Vadovavimas ir žmonės

Nuolatinė saugumo vadovo (vCISO) funkcija, darbuotojų mokymai, brandos kėlimas ir atstovavimas auditams bei priežiūros institucijoms.

Kodėl „vienose rankose“ yra svarbu

Su NIS2 atitiktimi įmonės dažniausiai susiduria kaip su galvosūkiu: teisininkas paruošia politikas, IT tiekėjas įdiegia priemones, o kažkas viduje turi visa tai suderinti ir įrodyti priežiūros institucijai. Praktikoje tarp šių pusių atsiranda spragų — dokumentai neatitinka to, kas realiai įdiegta, o įdiegta tai, ko dokumentai nereikalauja.

NIS2 atitikties vadovas šią spragą uždaro: viena atsakomybė, vienas planas ir vienas saugumo vadovas, kuris supranta ir reglamentą, ir infrastruktūrą — jis prižiūri ir koordinuoja, o technines priemones diegia atskira komanda. Reikalavimai virsta konkrečiais darbais su terminais, o ne dar vienu neaiškiu projektu.

Dėl teisinės dalies aiškiai: įgyvendiname reglamentų nustatytus organizacinius įpareigojimus — politikas, tvarkas, atsakomybių paskirstymą ir incidentų valdymo procesus. Tai nėra teisinė konsultacija: sudėtingais teisiniais klausimais dirbame kartu su jūsų arba jūsų pasirinktais teisininkais. Galutinė vadovavimo atsakomybė pagal reglamentą lieka jūsų organizacijos vadovybei; mūsų vaidmuo — ją koordinuoti ir įgyvendinti organizacines bei technines priemones.

Ką apima paslauga

Taikymo srities vertinimas

Pirmiausia įvertiname, ar NIS2 gali būti taikoma jūsų įmonei ir kokiu lygiu — kaip esminei ar svarbiai organizacijai. Galutinį subjekto statusą pagal įstatymo kriterijus patvirtina ir subjektų registrą tvarko NKSC. Bendrą logiką paprastai paaiškinome straipsnyje NIS2 Lietuvoje paprastai.

GAP analizė

Palyginame esamą būklę su reikalavimais ir gaunate aiškų sąrašą, ko trūksta — su prioritetais pagal riziką, o ne abstrakčiomis rekomendacijomis.

Politikos ir tvarkos

Parengiame rizikos valdymo, prieigų, incidentų valdymo, veiklos tęstinumo ir tiekimo grandinės politikas — pritaikytas jūsų realiai veiklai, ne šablonus stalčiui.

Techninės priemonės

Įgyvendiname prieigų valdymą, MFA, tinklo segmentaciją, atsarginių kopijų politiką (taisyklė 3-2-1), stebėseną ir įrenginių apsaugą.

Darbuotojų mokymai ir branda

Žmonės — dažniausia atakų įėjimo vieta. Mokome atpažinti sukčiavimą ir saugiai dirbti; brandos kėlimo kelią aprašėme IT higienos straipsnyje.

Incidentų pranešimas ir atstovavimas

Nustatome pranešimo NKSC procesą pagal reglamentinius terminus, o auditų ar priežiūros klausimais atstovaujame jūsų organizacijai kaip saugumo vadovas.

Kaip vyksta

Vertinimas

Taikymo srities nustatymas ir GAP analizė — aiškus atskaitos taškas.

Planas

Prioritetų žemėlapis su terminais: kas kritiška dabar, kas — vėliau.

Įgyvendinimas

Organizaciniai įpareigojimai ir techninės priemonės įgyvendinami lygiagrečiai ir suderintai.

Palaikymas

Nuolatinė vadovo funkcija: priežiūra, ataskaitos, atstovavimas.

Kada verta pradėti

Anksčiau nei atrodo. Atitiktis nėra vienkartinis dokumentas — techninių priemonių įgyvendinimas ir darbuotojų įpročių pokytis užtrunka, o priežiūros institucija vertina realią būklę, ne ketinimus. Kuo anksčiau turite atskaitos tašką ir planą, tuo mažiau skubos ir rizikos vėliau.

DUK

Klausimai apie NIS2 atitiktį

NIS2 taikoma tam tikrų sektorių ir dydžio įmonėms, o dažnai — ir jų tiekėjams per tiekimo grandinės reikalavimus. Pirmas žingsnis — taikymo srities vertinimas, kurį atliekame kartu su jumis ir preliminariai įvertiname, ar galite patekti į taikymo sritį ir kokiu lygiu; galutinį statusą pagal įstatymo kriterijus patvirtina NKSC. Bendrą taikymo logiką rasite straipsnyje NIS2 Lietuvoje paprastai.

Įgyvendiname reglamentų nustatytus organizacinius įpareigojimus — politikas, tvarkas, atsakomybių paskirstymą ir incidentų valdymo procesus. Tai nėra teisinė konsultacija ir nesame advokatų kontora: sudėtingais teisiniais klausimais dirbame kartu su jūsų arba jūsų pasirinktais teisininkais, kad dokumentai atitiktų ir reglamentą, ir realią jūsų veiklą.

Taip. Dažnai vidinė komanda puikiai tvarko kasdienį IT ūkį, bet NIS2 reikalauja specifinės kompetencijos — reglamentinės, saugumo valdymo ir atstovavimo. Tokiu atveju perimame būtent atitikties vadovavimą ir papildome jūsų komandą ten, kur reikia, o ne ją keičiame.

Priklauso nuo dydžio, esamos būklės ir sektoriaus — tikslesnį vaizdą matome po GAP analizės. Svarbiausia suprasti, kad tai procesas: greičiausiai sudėliojami dokumentai, o techninių priemonių įgyvendinimas ir darbuotojų įpročių pokytis reikalauja daugiau laiko. Todėl pradėti verta anksti.

Pradėkite nuo pokalbio

Aptarsime jūsų situaciją ir pasakysime, ar NIS2 taikoma ir nuo ko pradėti — be įsipareigojimų ir be gąsdinimo.