U prošlosti se sigurnost informacija prvenstveno smatrala odgovornošću IT odjela. Organizacije su upravljanje rizicima sigurnosti informacija prvenstveno smatrale implementacijom tehničkih mjera i oslanjale su se na osiguranje svoje IT infrastrukture putem zaštitnih zidova (firewall), sigurnosti krajnjih tačaka, sistema za detekciju i sprječavanje upada ili segmentacije mreže. Ovaj pristup je dopunjen mjerama fizičke sigurnosti i obukom o podizanju svijesti kako bi se ojačao „ljudski zaštitni zid“, kako bi se demonstrirao strukturirani pristup upravljanju rizicima sigurnosti informacija.

Od tada se fokus značajno proširio. Danas, sajber sigurnost više ne znači samo zaštitu informacionih sredstava povezanih s IT-om, već i sprječavanje finansijskih gubitaka, održavanje kontinuiteta poslovanja, zaštitu kritičnih usluga i lanaca snabdijevanja – ukratko: jačanje otpornosti organizacije. Gotovo ništa ne ilustruje ovu promjenu paradigme tako jasno kao NIS2 direktiva Evropske unije.

Šta je NIS2?

NIS2 je ažurirana Direktiva Evropske unije o sigurnosti mreža i informacija (Direktiva (EU) 2022/2555), koja utvrđuje usklađene obaveze u vezi sa sajber sigurnošću i prijavljivanjem incidenata za srednje i velike organizacije u ključnim sektorima kao što su energetika, hemikalije, proizvodnja, transport, zdravstvo, digitalna infrastruktura i drugi kritični ekonomski sektori. Nakon što se transponuje u nacionalno zakonodavstvo država članica Evrope, od dotičnih organizacija će se zahtijevati da implementiraju mjere sajber sigurnosti zasnovane na riziku, da se pridržavaju strogih rokova za prijavljivanje od 24 ili 72 sata i da se suoče sa značajnim kaznama u slučaju ozbiljnih kršenja.

Iako je NIS2 direktiva EU, njen praktični uticaj se proteže daleko izvan granica Unije. Proizvođači, dobavljači tehnologije, logističke kompanije i pružaoci usluga koji su dio evropskih lanaca vrijednosti sve se više suočavaju sa specifičnim očekivanjima u pogledu sajber sigurnosti i zahtjevima za dokazima od strane svojih kupaca. Certifikacija ISO 27001 postaje ključni signal u ovom kontekstu: ona pokazuje da organizacija upravlja rizicima informacione sigurnosti sistematski i u skladu sa međunarodno priznatim standardom.

Za mnoge organizacije ovo postavlja strateško pitanje:

Ako želimo pouzdano učestvovati u evropskim lancima snabdijevanja, da li certifikacija ISO 27001 postaje uslov za ulazak?

ISO 27001 kao ulaz u evropske lance snabdijevanja

Iz sve većeg broja tendera i procjena dobavljača, stiče se jasna slika:

  • ISO 27001 pruža priznatu i provjerljivu osnovu za mnoga očekivanja u vezi sa sajber sigurnošću i upravljanjem koja proizlaze iz NIS2.
  • Za pristup zahtjevnim odnosima s kupcima i ključnim lancima snabdijevanja, certifikacija se sve više smatra minimalnim očekivanjem, a ne razlikovnim faktorom.
  • Organizacije sa zrelim, certificiranim ISMS-om su u boljoj poziciji da odgovore na upitnike, audite i aktivnosti dubinske analize vođene NIS2 duž lanca snabdijevanja.

U tom smislu, certifikacija ISO 27001 postaje efikasna kapija ka evropskim lancima snabdijevanja – ne zato što sama ispunjava sve NIS2 obaveze, već zato što pruža strukturiran, provjerljiv okvir koji mnogi evropski kupci sada očekuju kao minimalni zahtjev.

Rastući troškovi sajber poremećaja

Sajber incidenti danas rijetko ostaju izolovani - oni se šire kroz lance snabdijevanja, zaustavljaju operacije i izlažu organizacije regulatornoj kontroli dugo nakon početnog kršenja.

U proizvodnji, zdravstvu, transportu i kritičnoj infrastrukturi, organizacije su se suočile sa operativnim prekidima koji su trajali danima ili čak sedmicama: proizvodne linije su stale, logističke mreže su zastale, a korisničke usluge su postale nedostupne.

Ono što mnoge od ovih incidenata čini posebno zabrinjavajućim jeste to što nisu uvijek počeli visoko sofisticiranim napadima. U mnogim slučajevima, napadači su iskoristili slabosti u ekosistemima dobavljača, nezakrpljene sisteme, nedovoljno praćenje ili odgođeni odgovor na incidente.

Za poslovne lidere, jedna lekcija je postala jasna:
ključno pitanje više nije da li organizacija može spriječiti svaki sajber incident, već da li može nastaviti sa radom kada se jedan dogodi.

Ova promjena u razmišljanju je u srži NIS2.

Zašto je NIS2 važan za upravne odbore

  • Sajber sigurnost postala je pitanje upravnog odbora, a ne isključivo IT pitanje: upravljačka tijela moraju odobriti i nadgledati mjere upravljanja rizicima u sajber sigurnosti.
  • Nacionalni zakoni koji implementiraju NIS2 mogu nametnuti kazne na nivou GDPR-a – do 10 miliona eura ili 2% globalnog godišnjeg prometa za bitne subjekte i do 7 miliona eura ili 1,4% za važne subjekte.
  • Članovi upravljačkog tijela mogu biti odgovorni za neadekvatan nadzor nad upravljanjem rizicima u sajber sigurnosti, u skladu s nacionalnim pravilima o odgovornosti.

NIS2 stavlja veliki naglasak na upravljanje, odgovornost i organizacijsku otpornost. Organizacije koje spadaju u područje primjene Direktive moraju, između ostalog, pokazati:

  • Aktivno učešće višeg menadžmenta u implementaciji i praćenju mjera sajber sigurnosti,
  • Efikasne procese izvještavanja o značajnim sigurnosnim incidentima,
  • Strukturirano upravljanje rizicima sajber sigurnosti,
  • Efikasne sigurnosne kontrole u lancu snabdijevanja,
  • Aranžmane za kontinuitet poslovanja

Gdje ISO 27001 pruža čvrstu osnovu

Organizacije certificirane po ISO 27001 standardu već imaju strukturirani okvir za upravljanje rizicima, upravljanje i rješavanje incidenata – a sve su to elementi koji podržavaju zahtjeve NIS2.

U svojoj suštini, ISO 27001 se zasniva na odabiru kontrolnih mjera zasnovanom na riziku, koje se odnose na poslovne procese organizacije, jasnim odgovornostima i politikama upravljanja i kontinuiranom poboljšanju (PDCA ciklus). Ovi principi se mogu direktno primijeniti na organizacijske i tehničke mjere utvrđene u NIS2 propisima.

Organizacije sa zrelim sistemom upravljanja sigurnošću informacija (ISMS) obično već imaju sljedeće uspostavljeno:

  • Strukture upravljanja za sigurnost informacija
  • Efikasne procese za procjenu rizika i tretman rizika
  • Dokumentovane sigurnosne politike i jasno definisane odgovornosti
  • Procedure za upravljanje incidentima
  • Cikluse za interne audite i preglede menadžmenta
  • Mjere upravljanja lancem snabdijevanja
  • Planove za oporavak od katastrofe i kontinuitet poslovanja

Ovi elementi čine solidnu osnovu za implementaciju ključnih mjera upravljanja rizicima NIS2.

Gdje samo ISO 27001 možda nije dovoljan

ISO/IEC 27001:2022 je međunarodni standard, a ne zakon. Certifikacija ISO 27001 ne garantuje usklađenost sa NIS2. Tri područja – sigurnost lanca snabdijevanja, odgovornost menadžmenta i zakonska obaveza prijavljivanja sigurnosnih incidenata – uglavnom zahtijevaju mjere i dokaze koji prevazilaze ono što sam certifikat ISO 27001 može pokazati.

ISO 27001 je dobrovoljni međunarodni standard, dok je NIS2 obavezujući evropski zakon. Certifikacija stoga ne zamjenjuje automatski usklađenost sa svim obavezama NIS2, posebno u pogledu sigurnosti lanca snabdijevanja, obaveza izvještavanja i odgovornosti menadžmenta.

Član 21(2) NIS2 definiše deset kategorija mjera upravljanja rizicima u sajber sigurnosti koje pogođene organizacije moraju zakonski implementirati. Sadržaj standarda ISO/IEC 27001:2022 i kontrole navedene u Aneksu A mogu se mapirati na većinu ovih kategorija - iako bez da im odgovaraju na osnovu jedan-na-jedan kao zakonski zahtjevi:

Sigurnost lanca snabdijevanja

Direktiva NIS2 zahtijeva od organizacija da procjenjuju i upravljaju rizicima sajber sigurnosti u cijelom svom lancu snabdijevanja – ne samo unutar vlastitih korporativnih granica.

Nedavni incidenti u vezi sa sajber sigurnošću su više puta pokazali da napadači iskorištavaju lanac snabdijevanja kako bi dobili neovlašteni pristup većim mrežama kupaca. Uostalom, princip efikasnosti – „postizanje maksimalnog dosega uz minimalan napor!“ – primjenjuje se i ovdje.

Shodno tome, Član 21(2)(d) NIS2 zahtijeva sigurnost lanca snabdijevanja, što je u skladu sa zahtjevima 5.19–5.23 Aneksa A standarda ISO 27001:

  • Sigurnost informacija u odnosima s dobavljačima
  • Rješavanje pitanja sigurnosti informacija u ugovorima s dobavljačima
  • Upravljanje sigurnošću informacija u lancu snabdijevanja IKT-om
  • Praćenje, auditiranje i upravljanje promjenama usluga dobavljača
  • Sigurnost informacija za korištenje usluga u oblaku

Izvršna odgovornost

U okviru NIS2, sajber sigurnost se više ne smatra isključivo tehničkim pitanjem koje se može delegirati IT odjelu.

Direktiva propisuje da upravljačko tijelo organizacije mora preuzeti odgovornost za odobravanje, praćenje i redovno preispitivanje implementacije mjera upravljanja rizicima u oblasti sajber sigurnosti. U praksi se od višeg menadžmenta očekuje da:

  • Rezumije sajber rizike i aktivno se angažuje u vezi s njima,
  • Učestvuje u aktivnostima upravljanja i procesima donošenja odluka u vezi sa sajber sigurnošću,
  • Obezbijedi adekvatne resurse za mjere otpornosti i
  • Prati spremnost za odgovor na incidente i obaveze izvještavanja.

U zavisnosti od nacionalne implementacije NIS2 i relevantnih korporativnih i propisa o odgovornosti, članovi upravnog tijela mogu se suočiti i sa ličnim posljedicama ako ne ispune svoje dužnosti u oblasti sajber sigurnosti na odgovarajući način. Upravljanje sajber sigurnošću stoga postaje ključna odgovornost menadžmenta – sa potencijalnim regulatornim i finansijskim implikacijama ukoliko se ne dokaže dovoljan nadzor.

Prijavljivanje incidenata

NIS2 uvodi pravno obavezujuće vremenske rokove: organizacije moraju podnijeti početno obavještenje o ranom upozorenju nadležnom organu u roku od 24 sata od saznanja o značajnom incidentu, nakon čega slijedi detaljniji izvještaj u roku od 72 sata i konačni izvještaj u kasnijoj fazi, kako je definisano u zakonodavstvu.

Mnogim organizacijama trenutno nedostaju dokumentovani procesi, jasno dodijeljene odgovornosti i testirane procedure potrebne za pouzdano ispunjavanje ovih vremenskih okvira. Postojeći okviri za upravljanje incidentima unutar ISMS-a često zahtijevaju ciljana prilagođavanja kako bi odražavali regulatorne rokove i obaveze eksternog izvještavanja koje uvodi NIS2.

U praksi, to obično znači popunjavanje tri specifična nedostatka. Prvo, definisanje i dokumentiranje jasnog okidača za pokretanje 24-satnog računanja kada se "postaje svjesno" značajnog incidenta – većina ISMS procedura fokusira se na internu klasifikaciju ozbiljnosti, a ne na regulatorno vrijeme. Drugo, određivanje posebne uloge odgovorne za rano obavještavanje i direktnu vezu s nacionalnim CSIRT-om ili nadležnim tijelom, odvojeno od uloge koja vodi interni odgovor. Treće, uspostavljanje evidencije dokaza koja se može revidirati – uključujući vremenski označene zapise, kopije obavještenja i obrazloženje početne procjene ozbiljnosti – koja se može izraditi ako nadzorno tijelo kasnije pregleda kako su ispunjeni rokovi od 24 i 72 sata prema NIS2.

Operativna otpornost

Regulatori i kupci sve više očekuju dokaze da su mjere otpornosti testirane, a ne samo dokumentirane na papiru.

Stoga se od organizacija očekuje da pokažu da mogu održavati ili brzo obnoviti kritične operacije tokom remetilačkih događaja, umjesto da samo predstave pisane planove. To obično uključuje:

  • Planiranje kontinuiteta poslovanja i redovno testiranje
  • Vježbe oporavka od katastrofe za kritične sisteme i podatke
  • Realistične simulacije odgovora na incidente
  • Definisane i uvježbane procedure upravljanja krizama

Zajedno, ovi elementi pokazuju da li je otpornost zaista ugrađena u svakodnevno poslovanje.

Da li vaša organizacija također procjenjuje šire potrebe za otpornošću za sajber sigurnost?

ISO 22301 (Upravljanje kontinuitetom poslovanja) pruža komplementarni okvir za demonstraciju kontinuiteta poslovanja pod pritiskom.

Saznajte više

Nova pitanja koja postavljaju kupci i partneri

Certifikacija ISO 27001 postaje preduslov za pregovore s dobavljačima. Evropski kupci očekuju ne samo certifikat ISO 27001, već i dokaz dokazane otpornosti.

Kompanije u lancu snabdijevanja moraju odgovoriti na sljedeća pitanja:

  • Koliko brzo se možete oporaviti od ozbiljnog sajber incidenta?
  • Kako se kritični dobavljači i treće strane procjenjuju u pogledu sigurnosnih rizika?
  • Koju ulogu više rukovodstvo igra u upravljanju sajber sigurnošću?
  • Koliko često se testiraju planovi za odgovor na incidente i kontinuitet poslovanja?
  • Koje su mjere na snazi ​​kako bi se osigurao kontinuitet poslovanja tokom prekida?

Kompanije koje mogu demonstrirati i certifikaciju i dokazanu operativnu otpornost ističu se na visoko konkurentnim tržištima.

Šta bi menadžerski timovi trebali uzeti u obzir

Najefikasniji pristup je korištenje postojećeg ISMS-a prema standardu ISO 27001 kao osnove za širu usklađenost sa NIS2 - a zatim identifikacija i uklanjanje specifičnih nedostataka koje sama certifikacija ne rješava.

Organizacije ne moraju birati između usklađenosti sa ISO 27001 i NIS2. U većini slučajeva, ISO 27001 pruža platformu sistema upravljanja; NIS2 i njegovi nacionalni provedbeni zakoni podižu ljestvicu u određenim područjima. Ključno je razumjeti gdje su trenutne prakse već usklađene s tim zakonskim zahtjevima – i gdje su i dalje potrebna ciljana poboljšanja.

Korisna pitanja koja menadžerski timovi trebaju razmotriti:

  • Da li naš program sajber sigurnosti adekvatno rješava rizike u ekosistemu naših dobavljača?
  • Da li su izvršni rukovodioci aktivno uključeni u upravljanje sajber sigurnošću - a ne samo naknadno informisani?
  • Možemo li demonstrirati operativnu otpornost izvan samih dokumentovanih procedura?
  • Da li se procesi odgovora na incidente i oporavka redovno testiraju u odnosu na realne scenarije?
  • Da li imamo dokumentovane procese koji ispunjavaju NIS2 rokove za izvještavanje od 24 i 72 sata?
  • Da li naši kupci i poslovni partneri očekuju više od certifikacije kao dokaz otpornosti?

Kako se zahtjevi NIS2 i ISO 27001 međusobno preklapaju?

Preuzmite dokument DQS-a za detaljno poređenje NIS2 obaveza i ISO 27001 kontrola, osmišljenih da podrže organizacije u procjeni gdje njihov ISMS već ispunjava očekivanja direktive i gdje mogu ostati praznine.

Preuzmite bijeli papir

Ključni zaključci

  1. ISO/IEC 27001:2022 podržava veliki dio od deset mjera upravljanja rizicima utvrđenih u članu 21(2) NIS2 – iako stepen u kojem je to slučaj zavisi od zrelosti i opsega postojećeg ISMS-a.
  2. Tipična područja fokusa u certificiranim ISMS-ovima prvenstveno uključuju: rizike u lancu snabdijevanja koji se protežu izvan direktno ugovorenih partnera; dokumentovani tok rada za izvještavanje o incidentima 24/72 sata sa jasnim okidačima.
  3. Jasno dodijeljena odgovornost za prihvatanje rizika na nivou višeg menadžmenta.
  4. Aranžmani za hitne slučajeve i kontinuitet poslovanja koji se redovno testiraju, a ne samo opisuju.
  5. ISO 27001 dodjeljuje odgovornost za rizike višem menadžmentu (uključujući i klauzulu 6.1.3(f)), ali ne utvrđuje ličnu odgovornost sama po sebi – to proizilazi samo iz NIS2 i relevantne nacionalne implementacije (npr. u vezi sa upravnim tijelima i nadzornim dužnostima).
  6. Kupci i timovi za nabavku smatraju certifikaciju ISO 27001 preduslovom za procjenu dobavljača.
Pitanja i odgovori

Često postavljena pitanja.

Šta je NIS2 direktiva?

NIS2 (druga Direktiva o sigurnosti mreža i informacija, Direktiva (EU) 2022/2555) je direktiva EU koja se primjenjuje na nivou EU od januara 2023. godine i države članice je moraju implementirati u nacionalno zakonodavstvo do 17. oktobra 2024. godine. Njome se utvrđuju obavezni zahtjevi za sajber sigurnost i otpornost za organizacije u širokom spektru bitnih i važnih sektora širom Evrope, uključujući energetiku, transport, proizvodnju, zdravstvo i digitalnu infrastrukturu. Nacionalni zakoni kojima se provodi NIS2 uvode direktne pravne obaveze, finansijske kazne koje mogu doseći i do 10 miliona eura ili 2% globalnog godišnjeg prometa za bitne subjekte (i 7 miliona eura ili 1,4% za važne subjekte), te jasniju odgovornost višeg menadžmenta za upravljanje rizicima u oblasti sajber sigurnosti i usklađenosti.

Da li ISO 27001 pokriva zahtjeve NIS2?

ISO/IEC 27001 podržava mnoga NIS2 očekivanja kroz svoj strukturirani, na riziku zasnovan pristup upravljanju sigurnošću informacija. Međutim, sama certifikacija ne ispunjava automatski sve NIS2 obaveze, posebno u pogledu zakonskih rokova za prijavljivanje incidenata, upravljanja rizikom u lancu snabdijevanja i specifičnih zahtjeva za upravljanje i odgovornost koji se postavljaju pred upravljačka tijela prema nacionalnim zakonima zasnovanim na NIS2.

Da li je ISO 27001 obavezan prema NIS2?

Ne. NIS2 ne zahtijeva ISO 27001 certifikaciju. Međutim, mnoge organizacije koriste ISO/IEC 27001 kao priznati okvir za strukturiranje i demonstraciju svojih praksi upravljanja rizicima u oblasti sajber sigurnosti, što može značajno podržati njihove napore da ispune obaveze iz NIS2 i očekivanja kupaca i regulatora.

Koja je najveća razlika između ISO 27001 i NIS2?

ISO/IEC 27001 je dobrovoljni međunarodni standard sistema upravljanja koji organizacije mogu usvojiti kako bi demonstrirale strukturirano upravljanje sigurnošću informacija. NIS2 je direktiva EU koja, nakon implementacije u nacionalno zakonodavstvo, stvara obavezujuće pravne obaveze u vezi s upravljanjem rizicima u sajber sigurnosti, otpornošću, izvještavanjem o incidentima i nadzorom na nivou menadžmenta – s potencijalno značajnim kaznama za neusklađenost.

Koje kazne mogu organizacije pretrpjeti prema NIS2?

U okviru NIS2, nacionalni zakoni mogu predvidjeti administrativne kazne za ključne subjekte do 10 miliona eura ili 2% globalnog godišnjeg prometa, što god je veće, a za važne subjekte do 7 miliona eura ili 1,4% globalnog godišnjeg prometa, što god je veće. Viši menadžment također se može suočiti s posljedicama prema važećim nacionalnim korporativnim i zakonima o odgovornosti ako ozbiljno zanemaruje svoje nadzorne dužnosti u vezi sa sajber sigurnošću.

Koji su zahtjevi za prijavljivanje incidenata prema NIS2?

NIS2 zahtijeva od organizacija u okviru projekta da slijede višeslojni vremenski okvir za izvještavanje relevantnom nacionalnom tijelu ili CSIRT-u. To obično uključuje rano upozorenje u roku od 24 sata od saznanja o značajnom incidentu, detaljnije obavještenje o incidentu u roku od 72 sata i konačni izvještaj u kasnijem roku (često mjesec dana) utvrđenom nacionalnim zakonom. Organizacije koje nemaju dokumentovane procese, dodijeljene odgovornosti i testirane procedure za ove korake mogu imati poteškoća u ispunjavanju ovih pravno obavezujućih vremenskih okvira.

Može li ISO 27001 pomoći u poboljšanju operativne otpornosti?

Da. ISO/IEC 27001 podržava upravljanje rizicima, procedure za odgovor na incidente, sigurnosne kontrole dobavljača i prakse upravljanja koje, zajedno, doprinose jačoj organizacijskoj otpornosti. Za organizacije koje žele demonstrirati otpornost u skladu s očekivanjima NIS2 i svojih kupaca, dobro implementiran ISMS zasnovan na ISO 27001 pruža vrijednu i široko priznatu početnu tačku.

Saznajte šta podrazumijeva ISO 27001 certifikacija

Istražite usluge DQS ISO 27001 certifikacije - od početne procjene do certifikacije i kontinuiranog nadzora.

Is­tražite DQS cer­ti­fika­cijske usluge
Autor

Markus Jegelka

DQS ekspert za sisteme upravljanja sigurnošću informacija (ISMS) i dugogodišnji auditor za standarde ISO 9001, ISO/IEC 27001 i katalog IT sigurnosti prema paragrafu 11.1a/b Zakona o energetskoj industriji Njemačke (EnWG) sa kompetencijom za proceduru ispitivanja za § 8a (3) BSIG

Loading...

Relevantni članci i događaji

Možda će vas interesovati i:
Blog
Loading...

TISAX® procjena nivo 2: Zašto najjeftinija opcija nije uvijek i najisplativija

Blog
Loading...

EU Zakon o AI: Šta vaša organizacija treba znati u 2026.

Blog
Loading...

Krizna komunikacija tokom Ransomware napada: Upravljanje informacijama u vanrednim situacijama