Gdje samo ISO 27001 možda nije dovoljan
ISO/IEC 27001:2022 je međunarodni standard, a ne zakon. Certifikacija ISO 27001 ne garantuje usklađenost sa NIS2. Tri područja – sigurnost lanca snabdijevanja, odgovornost menadžmenta i zakonska obaveza prijavljivanja sigurnosnih incidenata – uglavnom zahtijevaju mjere i dokaze koji prevazilaze ono što sam certifikat ISO 27001 može pokazati.
ISO 27001 je dobrovoljni međunarodni standard, dok je NIS2 obavezujući evropski zakon. Certifikacija stoga ne zamjenjuje automatski usklađenost sa svim obavezama NIS2, posebno u pogledu sigurnosti lanca snabdijevanja, obaveza izvještavanja i odgovornosti menadžmenta.
Član 21(2) NIS2 definiše deset kategorija mjera upravljanja rizicima u sajber sigurnosti koje pogođene organizacije moraju zakonski implementirati. Sadržaj standarda ISO/IEC 27001:2022 i kontrole navedene u Aneksu A mogu se mapirati na većinu ovih kategorija - iako bez da im odgovaraju na osnovu jedan-na-jedan kao zakonski zahtjevi:
Sigurnost lanca snabdijevanja
Direktiva NIS2 zahtijeva od organizacija da procjenjuju i upravljaju rizicima sajber sigurnosti u cijelom svom lancu snabdijevanja – ne samo unutar vlastitih korporativnih granica.
Nedavni incidenti u vezi sa sajber sigurnošću su više puta pokazali da napadači iskorištavaju lanac snabdijevanja kako bi dobili neovlašteni pristup većim mrežama kupaca. Uostalom, princip efikasnosti – „postizanje maksimalnog dosega uz minimalan napor!“ – primjenjuje se i ovdje.
Shodno tome, Član 21(2)(d) NIS2 zahtijeva sigurnost lanca snabdijevanja, što je u skladu sa zahtjevima 5.19–5.23 Aneksa A standarda ISO 27001:
- Sigurnost informacija u odnosima s dobavljačima
- Rješavanje pitanja sigurnosti informacija u ugovorima s dobavljačima
- Upravljanje sigurnošću informacija u lancu snabdijevanja IKT-om
- Praćenje, auditiranje i upravljanje promjenama usluga dobavljača
- Sigurnost informacija za korištenje usluga u oblaku
Izvršna odgovornost
U okviru NIS2, sajber sigurnost se više ne smatra isključivo tehničkim pitanjem koje se može delegirati IT odjelu.
Direktiva propisuje da upravljačko tijelo organizacije mora preuzeti odgovornost za odobravanje, praćenje i redovno preispitivanje implementacije mjera upravljanja rizicima u oblasti sajber sigurnosti. U praksi se od višeg menadžmenta očekuje da:
- Rezumije sajber rizike i aktivno se angažuje u vezi s njima,
- Učestvuje u aktivnostima upravljanja i procesima donošenja odluka u vezi sa sajber sigurnošću,
- Obezbijedi adekvatne resurse za mjere otpornosti i
- Prati spremnost za odgovor na incidente i obaveze izvještavanja.
U zavisnosti od nacionalne implementacije NIS2 i relevantnih korporativnih i propisa o odgovornosti, članovi upravnog tijela mogu se suočiti i sa ličnim posljedicama ako ne ispune svoje dužnosti u oblasti sajber sigurnosti na odgovarajući način. Upravljanje sajber sigurnošću stoga postaje ključna odgovornost menadžmenta – sa potencijalnim regulatornim i finansijskim implikacijama ukoliko se ne dokaže dovoljan nadzor.
Prijavljivanje incidenata
NIS2 uvodi pravno obavezujuće vremenske rokove: organizacije moraju podnijeti početno obavještenje o ranom upozorenju nadležnom organu u roku od 24 sata od saznanja o značajnom incidentu, nakon čega slijedi detaljniji izvještaj u roku od 72 sata i konačni izvještaj u kasnijoj fazi, kako je definisano u zakonodavstvu.
Mnogim organizacijama trenutno nedostaju dokumentovani procesi, jasno dodijeljene odgovornosti i testirane procedure potrebne za pouzdano ispunjavanje ovih vremenskih okvira. Postojeći okviri za upravljanje incidentima unutar ISMS-a često zahtijevaju ciljana prilagođavanja kako bi odražavali regulatorne rokove i obaveze eksternog izvještavanja koje uvodi NIS2.
U praksi, to obično znači popunjavanje tri specifična nedostatka. Prvo, definisanje i dokumentiranje jasnog okidača za pokretanje 24-satnog računanja kada se "postaje svjesno" značajnog incidenta – većina ISMS procedura fokusira se na internu klasifikaciju ozbiljnosti, a ne na regulatorno vrijeme. Drugo, određivanje posebne uloge odgovorne za rano obavještavanje i direktnu vezu s nacionalnim CSIRT-om ili nadležnim tijelom, odvojeno od uloge koja vodi interni odgovor. Treće, uspostavljanje evidencije dokaza koja se može revidirati – uključujući vremenski označene zapise, kopije obavještenja i obrazloženje početne procjene ozbiljnosti – koja se može izraditi ako nadzorno tijelo kasnije pregleda kako su ispunjeni rokovi od 24 i 72 sata prema NIS2.
Operativna otpornost
Regulatori i kupci sve više očekuju dokaze da su mjere otpornosti testirane, a ne samo dokumentirane na papiru.
Stoga se od organizacija očekuje da pokažu da mogu održavati ili brzo obnoviti kritične operacije tokom remetilačkih događaja, umjesto da samo predstave pisane planove. To obično uključuje:
- Planiranje kontinuiteta poslovanja i redovno testiranje
- Vježbe oporavka od katastrofe za kritične sisteme i podatke
- Realistične simulacije odgovora na incidente
- Definisane i uvježbane procedure upravljanja krizama
Zajedno, ovi elementi pokazuju da li je otpornost zaista ugrađena u svakodnevno poslovanje.