V času vse večjih kibernetskih groženj je varnost omrežij in informacij izjemno pomembna. Direktiva NIS2 (direktiva o omrežnih in informacijskih sistemih) predstavlja pomemben korak k povečanju odpornosti držav članic EU na grožnje kibernetski varnosti. Vendar se mnogim podjetjem razumevanje in izpolnjevanje zahtev direktive NIS2 lahko zdita težavna naloga. Na srečo obstaja poenostavljen pristop, ki izkorišča vidike ISO 27001 za zagotovitev skladnosti z NIS2.

Kaj je NIS2?

Direktiva NIS2, ki nadomešča prvotno direktivo o varnosti omrežij in informacij, razširja področje uporabe zahtev glede kibernetske varnosti na širši spekter sektorjev ter uvaja strožje ukrepe za izboljšanje odpornosti in zmogljivosti subjektov za odzivanje na incidente. Od upravljavcev kritične infrastrukture, kot so zdravstvo, energetika, promet in digitalne storitve, zahteva, da zagotovijo zanesljivo varnost svojih sistemov, poročajo o incidentih in učinkovito upravljajo tveganja.

NIS2 daje poseben poudarek upravljanju tveganj za omrežne in informacijske sisteme, ki se uporabljajo v kritični infrastrukturi in ključnih storitvah. Direktiva je strukturirana na podlagi temeljnih načel, kot so upravljanje tveganj, poročanje o incidentih in čezmejno sodelovanje za zaščito digitalne infrastrukture EU.

Direktiva NIS2 + ISO27001

Direktiva NIS2 + ISO27001

Poenostavitev skladnosti NIS2 s standardom ISO 27001

Eden od najlažjih načinov za pripravo podjetja na Skladnost z NIS2 je s sprejetjem ISO 27001 standard. ISO 27001 ponuja sistematičen okvir za upravljanje občutljivih podatkov podjetja, ki zagotavlja njihovo varnost. 

Uporabite lahko tudi posamezne dele standarda ISO27001 in poskrbite za skladnost z NIS2.

Z izvajanjem ključnih členov iz ISO 27001, lahko izpolnite številne zahteve NIS2 glede kibernetske varnosti. 

Tukaj je opisano, kako vam lahko pomaga ISO 27001:

Upravljanje tveganj (ISO 27001, klavzula 6.1): Ena od temeljnih zahtev NIS2 je, da so ukrepi za obvladovanje tveganj učinkoviti. Strukturiran pristop k obvladovanju tveganj standarda ISO 27001 pomaga prepoznati in zmanjšati tveganja, povezana z vašimi informacijskimi sistemi.

Odzivanje na incidente (ISO 27001, Priloga A.16): NIS2 določa, da morajo organizacije o pomembnih incidentih poročati v 24 do 72 urah. Z upoštevanjem smernic standarda ISO 27001 o upravljanju incidentov lahko podjetja vzpostavijo učinkovite mehanizme za poročanje, s čimer bo skladnost z zahtevami nemotena.

Politike informacijske varnosti (ISO 27001, klavzula 5.1): Dobro dokumentiran nabor varnostnih politik, kot ga zahtevata standarda ISO 27001 in NIS2, zagotavlja, da vsi zaposleni in zainteresirane strani razumejo svoje vloge pri ohranjanju kibernetske varnosti.

Varnost dobavnih verig (ISO 27001, Priloga A.15): NIS2 poudarja varnost ne le notranjih sistemov, temveč tudi tretjih ponudnikov. Standard ISO 27001 usmerja organizacije pri upravljanju tveganj v dobavni verigi in zagotavlja, da zunanji partnerji spoštujejo standarde kibernetske varnosti.

Neprekinjeno poslovanje (ISO 27001, klavzula 17): NIS2 poudarja pomen ohranjanja storitev v primeru motenj. Načrtovanje neprekinjenega poslovanja v skladu s standardom ISO 27001 organizacijam omogoča, da si opomorejo po incidentih in nadaljujejo z delovanjem brez večjih izpadov.

Spodaj so navedeni obvezni členi iz standarda ISO27701 za urejanje. Za končni seznam posameznih odstavkov, ki jih morate urediti, se obrnite na nas. To vam bo pomagalo pri pripravi na NIS2.

Koda Doument Ime dokumenta Obvezno
1) Podpora upravljanju Odločitev o začetku projekta  
2) Načrt projekta Načrt projekta  
3) Načrt začetnega usposabljanja Načrt začetnega usposabljanja  
4) Politika na najvišji ravni Politika o varnosti informacijskega sistema DA
5) Metodologija upravljanja tveganj Metodologija ocenjevanja tveganja DA
6) Ocena tveganja in obravnava Tabela za oceno tveganja DA
6) Ocena tveganja in obravnava Tabela za obravnavo tveganja DA
6) Ocena tveganja in obravnava Sprejemanje preostalih tveganj  
6) Ocena tveganja in obravnava Poročilo o oceni tveganja in zdravljenju DA
7) Načrt obravnave tveganja Načrt obravnave tveganja DA
8) Politike in postopki kibernetske varnosti Varnostna politika IT DA
8) Politike in postopki kibernetske varnosti Pravilnik o čisti mizi in čistem zaslonu  
8) Politike in postopki kibernetske varnosti Pravilnik o mobilnih napravah in delu na daljavo  
8) Politike in postopki kibernetske varnosti Pravilnik o prinašanju lastnih naprav (BYOD)  
8) Politike in postopki kibernetske varnosti Pravilnik o mobilnih napravah in delu na daljavo  
8) Politike in postopki kibernetske varnosti Postopki za delo na varovanih območjih  
8) Politike in postopki kibernetske varnosti Politika razvrščanja informacij  
8) Politike in postopki kibernetske varnosti Postopek upravljanja sredstev DA
8) Politike in postopki kibernetske varnosti Register sredstev IT DA
8) Politike in postopki kibernetske varnosti Varnostni postopki za oddelek IT DA
8) Politike in postopki kibernetske varnosti Politika upravljanja sprememb  
8) Politike in postopki kibernetske varnosti Politika varnostnega kopiranja DA
8) Politike in postopki kibernetske varnosti Politika prenosa informacij DA
8) Politike in postopki kibernetske varnosti Politika varne komunikacije DA
8) Politike in postopki kibernetske varnosti Politika odstranjevanja in uničevanja  
8) Politike in postopki kibernetske varnosti Pravilnik o uporabi šifriranja DA
8) Politike in postopki kibernetske varnosti Politika nadzora dostopa DA
8) Politike in postopki kibernetske varnosti Politika preverjanja pristnosti DA
8) Politike in postopki kibernetske varnosti Pravilnik o geslih  
8) Politike in postopki kibernetske varnosti Politika varnega razvoja DA
8) Politike in postopki kibernetske varnosti Dodatek 1 - Specifikacija zahtev informacijskega sistema DA
8) Politike in postopki kibernetske varnosti Varnostna politika za človeške vire DA
8) Politike in postopki kibernetske varnosti Izjava o sprejetju dokumentov kibernetske varnosti  
9) Neprekinjeno poslovanje in krizno upravljanje Metodologija analize poslovnih učinkov  
9) Neprekinjeno poslovanje in krizno upravljanje Vprašalnik za analizo poslovnega učinka  
9) Neprekinjeno poslovanje in krizno upravljanje Strategija neprekinjenega poslovanja  
9) Neprekinjeno poslovanje in krizno upravljanje Dodatek 1 - Cilji glede časa okrevanja za dejavnosti  
9) Neprekinjeno poslovanje in krizno upravljanje Dodatek 2 - Primeri scenarijev motečih incidentov  
9) Neprekinjeno poslovanje in krizno upravljanje Dodatek 3 - Načrt priprave za neprekinjeno poslovanje  
9) Neprekinjeno poslovanje in krizno upravljanje Dodatek 4 - Strategija obnove dejavnosti za (ime dejavnosti)  
9) Neprekinjeno poslovanje in krizno upravljanje Načrt kriznega upravljanja DA
9) Neprekinjeno poslovanje in krizno upravljanje Načrt neprekinjenega poslovanja DA
9) Neprekinjeno poslovanje in krizno upravljanje Dodatek 1 - Načrt odzivanja na incidente  
9) Neprekinjeno poslovanje in krizno upravljanje 9.11 Dodatek 2 - Seznam lokacij neprekinjenega poslovanja  
9) Neprekinjeno poslovanje in krizno upravljanje 9.12 Dodatek 3 - Prometni načrt  
9) Neprekinjeno poslovanje in krizno upravljanje Dodatek 4 - Ključni stiki  
9) Neprekinjeno poslovanje in krizno upravljanje Dodatek 5 - Načrt za obnovitev po nesreči DA
9) Neprekinjeno poslovanje in krizno upravljanje Dodatek 6 - Načrt obnove dejavnosti za (ime dejavnosti)  
9) Neprekinjeno poslovanje in krizno upravljanje Načrt vaj in testiranj  
9) Neprekinjeno poslovanje in krizno upravljanje Dodatek 1 - Poročilo o izvajanju in testiranju  
10) Varnost dobavne verige Varnostna politika dobavitelja DA
10) Varnost dobavne verige Varnostne klavzule za dobavitelje in partnerje DA
10) Varnost dobavne verige Izjava o zaupnosti DA
11) Ocena učinkovitosti kibernetske varnosti Metodologija merjenja DA
11) Ocena učinkovitosti kibernetske varnosti Poročilo o meritvah DA
12) Upravljanje incidentov in poročanje o njih Postopek za obvladovanje incidentov DA
12) Upravljanje incidentov in poročanje o njih Dnevnik incidentov  
12) Upravljanje incidentov in poročanje o njih Obrazec za pregled po incidentu  
12) Upravljanje incidentov in poročanje o njih Obveščanje prejemnikov storitev o pomembnih incidentih DA
12) Upravljanje incidentov in poročanje o njih Zgodnje opozarjanje na pomembne incidente DA
12) Upravljanje incidentov in poročanje o njih Obvestilo o pomembnem incidentu DA
12) Upravljanje incidentov in poročanje o njih Vmesno poročilo o pomembnem incidentu DA
12) Upravljanje incidentov in poročanje o njih Končno poročilo o pomembnem incidentu DA
12) Upravljanje incidentov in poročanje o njih Poročilo o napredku pri pomembnem incidentu DA
13) Usposabljanje in ozaveščanje o kibernetski varnosti Načrt usposabljanja in ozaveščanja DA
14) Notranja revizija Postopek notranje revizije DA
14) Notranja revizija Letni program notranje revizije DA
14) Notranja revizija Poročilo o notranji reviziji DA
14) Notranja revizija Kontrolni seznam notranje revizije DA
15) Pregled upravljanja Postopek za vodstveni pregled DA
15) Pregled upravljanja Zapisnik pregleda vodstva DA
16) Korektivni ukrepi Postopek za korektivne ukrepe DA
16) Korektivni ukrepi Dodatek 1 - Obrazec za korektivne ukrepe DA

Pridobite popolno podporo za integracijo NIS2 in ISO 27001

Čeprav NIS2 prinaša nove izzive, lahko uporaba standarda ISO 27001 za izpolnjevanje njegovih zahtev znatno zmanjša breme. Na spletni strani Marcelinozagotavljamo celovito podporo, ki vašemu podjetju pomaga pri izpolnjevanju NIS2. Ponujamo strokovno vodenje in programske rešitve, prilagojene za upravljanje vaših Standardi ISO in kibernetske varnosti. Naša orodja poenostavijo postopek in vam pomagajo učinkovito vključiti načela NIS2 v vaše vsakodnevne dejavnosti.

Skupaj z našimi partnerji ponujamo:

Vzorci dokumentov ISO27001 in izbranih dokumentov NIS2;

Usposabljanje in ozaveščanje o kibernetski varnosti NIS2;

- Spletni seminar Kaj je NIS2 in kako zagotoviti skladnost z njim? 

- Članki in nasveti Kako organizirati usposabljanje in ozaveščanje v skladu z DORA?

- Izčrpen vodnik po programu DORA.

Če potrebujete predlogo knjige NIS2 ali drugo vsebino, se obrnite na nas: [email protected]

Kontaktna oseba:
Jurij Cvikl
Telefon: +386 31 324 100
E-naslov: [email protected]
 

Za več podrobnosti in celoten seznam, kako ISO 27001 pomaga pri skladnosti z NIS2, stopite v stik z nami še danesZagotovili vam bomo vzorce in gradivo ter vas povezali s pravimi partnerji.

Pišite nam!

Dodaj odgovor