NIS2 atitikties vadovas
Vienas atsakingas saugumo vadovas koordinuoja visą jūsų NIS2 atitikties kelią — suderina reglamento reikalavimus su realiomis techninėmis priemonėmis. Užuot derinę kelis atskirus tiekėjus, gaunate vieną kontaktą, vieną planą ir aiškią atsakomybę, o priemones įgyvendina atskira techninė komanda pagal vadovo priežiūrą.
Trys pusės, vienas kelias
NIS2 atitiktis nėra vien dokumentai ar vien technologijos. Ji reikalauja, kad teisinė, techninė ir žmogiškoji pusės judėtų kartu — todėl jas ir valdome kaip vieną visumą.
Teisiniai ir organizaciniai reikalavimai
Politikos, atsakomybių paskirstymas, rizikos valdymo tvarka, incidentų pranešimo NKSC procesai — reglamentų nustatyti įpareigojimai, sudėlioti į veikiančią tvarką.
Techninių priemonių įgyvendinimas
Prieigų valdymas, kelių faktorių autentifikacija, tinklo segmentacija, atsarginės kopijos, stebėsena ir įrenginių apsauga — įgyvendinta, ne tik aprašyta.
Vadovavimas ir žmonės
Nuolatinė saugumo vadovo (vCISO) funkcija, darbuotojų mokymai, brandos kėlimas ir atstovavimas auditams bei priežiūros institucijoms.
Kodėl „vienose rankose“ yra svarbu
Su NIS2 atitiktimi įmonės dažniausiai susiduria kaip su galvosūkiu: teisininkas paruošia politikas, IT tiekėjas įdiegia priemones, o kažkas viduje turi visa tai suderinti ir įrodyti priežiūros institucijai. Praktikoje tarp šių pusių atsiranda spragų — dokumentai neatitinka to, kas realiai įdiegta, o įdiegta tai, ko dokumentai nereikalauja.
NIS2 atitikties vadovas šią spragą uždaro: viena atsakomybė, vienas planas ir vienas saugumo vadovas, kuris supranta ir reglamentą, ir infrastruktūrą — jis prižiūri ir koordinuoja, o technines priemones diegia atskira komanda. Reikalavimai virsta konkrečiais darbais su terminais, o ne dar vienu neaiškiu projektu.
Ką apima paslauga
Taikymo srities vertinimas
Pirmiausia įvertiname, ar NIS2 gali būti taikoma jūsų įmonei ir kokiu lygiu — kaip esminei ar svarbiai organizacijai. Galutinį subjekto statusą pagal įstatymo kriterijus patvirtina ir subjektų registrą tvarko NKSC. Bendrą logiką paprastai paaiškinome straipsnyje NIS2 Lietuvoje paprastai.
GAP analizė
Palyginame esamą būklę su reikalavimais ir gaunate aiškų sąrašą, ko trūksta — su prioritetais pagal riziką, o ne abstrakčiomis rekomendacijomis.
Politikos ir tvarkos
Parengiame rizikos valdymo, prieigų, incidentų valdymo, veiklos tęstinumo ir tiekimo grandinės politikas — pritaikytas jūsų realiai veiklai, ne šablonus stalčiui.
Techninės priemonės
Įgyvendiname prieigų valdymą, MFA, tinklo segmentaciją, atsarginių kopijų politiką (taisyklė 3-2-1), stebėseną ir įrenginių apsaugą.
Darbuotojų mokymai ir branda
Žmonės — dažniausia atakų įėjimo vieta. Mokome atpažinti sukčiavimą ir saugiai dirbti; brandos kėlimo kelią aprašėme IT higienos straipsnyje.
Incidentų pranešimas ir atstovavimas
Nustatome pranešimo NKSC procesą pagal reglamentinius terminus, o auditų ar priežiūros klausimais atstovaujame jūsų organizacijai kaip saugumo vadovas.
Kaip vyksta
Vertinimas
Taikymo srities nustatymas ir GAP analizė — aiškus atskaitos taškas.
Planas
Prioritetų žemėlapis su terminais: kas kritiška dabar, kas — vėliau.
Įgyvendinimas
Organizaciniai įpareigojimai ir techninės priemonės įgyvendinami lygiagrečiai ir suderintai.
Palaikymas
Nuolatinė vadovo funkcija: priežiūra, ataskaitos, atstovavimas.
Kada verta pradėti
Anksčiau nei atrodo. Atitiktis nėra vienkartinis dokumentas — techninių priemonių įgyvendinimas ir darbuotojų įpročių pokytis užtrunka, o priežiūros institucija vertina realią būklę, ne ketinimus. Kuo anksčiau turite atskaitos tašką ir planą, tuo mažiau skubos ir rizikos vėliau.
Klausimai apie NIS2 atitiktį
NIS2 taikoma tam tikrų sektorių ir dydžio įmonėms, o dažnai — ir jų tiekėjams per tiekimo grandinės reikalavimus. Pirmas žingsnis — taikymo srities vertinimas, kurį atliekame kartu su jumis ir preliminariai įvertiname, ar galite patekti į taikymo sritį ir kokiu lygiu; galutinį statusą pagal įstatymo kriterijus patvirtina NKSC. Bendrą taikymo logiką rasite straipsnyje NIS2 Lietuvoje paprastai.
Įgyvendiname reglamentų nustatytus organizacinius įpareigojimus — politikas, tvarkas, atsakomybių paskirstymą ir incidentų valdymo procesus. Tai nėra teisinė konsultacija ir nesame advokatų kontora: sudėtingais teisiniais klausimais dirbame kartu su jūsų arba jūsų pasirinktais teisininkais, kad dokumentai atitiktų ir reglamentą, ir realią jūsų veiklą.
Taip. Dažnai vidinė komanda puikiai tvarko kasdienį IT ūkį, bet NIS2 reikalauja specifinės kompetencijos — reglamentinės, saugumo valdymo ir atstovavimo. Tokiu atveju perimame būtent atitikties vadovavimą ir papildome jūsų komandą ten, kur reikia, o ne ją keičiame.
Priklauso nuo dydžio, esamos būklės ir sektoriaus — tikslesnį vaizdą matome po GAP analizės. Svarbiausia suprasti, kad tai procesas: greičiausiai sudėliojami dokumentai, o techninių priemonių įgyvendinimas ir darbuotojų įpročių pokytis reikalauja daugiau laiko. Todėl pradėti verta anksti.
Pradėkite nuo pokalbio
Aptarsime jūsų situaciją ir pasakysime, ar NIS2 taikoma ir nuo ko pradėti — be įsipareigojimų ir be gąsdinimo.