Checklista NIS2 oparta o zalecenia ENISA
Rozpoczynasz wdrożenie NIS2 w swojej firmie? Pobierz checklistę, która pomoże Ci ułożyć właściwie ten proces i spełnić wymagania dyrektywy.
Dlaczego NIS2 powinien stać się priorytetem dla zarządu?
Osobista odpowiedzialność kadry zarządzającej: zarząd odpowiada bezpośrednio za zatwierdzanie i nadzór nad środkami zarządzania ryzykiem. Brak działań to ryzyko sankcji personalnych: do 6-krotności miesięcznego wynagrodzenia lub 2% całkowitego rocznego obrotu firmy.
Ochrona wyników finansowych: nowe przepisy wymagają weryfikacji bezpieczeństwa Twoich dostawców. Brak zgodności może wykluczyć Twoją firmę z intratnych kontraktów. Ponadto niedopełnienie obowiązków grozi karami do 10 mln EUR lub 2% globalnego rocznego obrotu.
Ochrona reputacji i zaufania: zgodność z NIS2 to sygnał dla rynku, że Twoja organizacja jest dojrzałym i bezpiecznym partnerem biznesowym
NIS2 na tle innych regulacji i norm
NIS2
Dyrektywa NIS2 wzmacnia odporność 18 sektorów krytycznych — od energii, przez transport, po ochronę zdrowia — nakładając na nie konkretne obowiązki w zakresie zarządzania ryzykiem. Skupia się na trzech kluczowych obszarach: zarządzaniu ryzykiem, raportowaniu incydentów oraz obowiązkach administracyjnych.
NIS2 a DORA
DORA to rozporządzenie UE skierowane wyłącznie do sektora finansowego i jego krytycznych dostawców ICT. Wymaga m.in. bardzo szybkiego raportowania incydentów (już w ciągu 4 godzin od klasyfikacji jako „major”), stosowania dojrzałych praktyk zarządzania ryzykiem ICT oraz poddawania się zaawansowanym testom odporności, takim jak TLPT.
NIS2 a ISO27001
ISO/IEC 27001 to dobrowolna, międzynarodowa norma opisująca, jak zbudować i doskonalić system zarządzania bezpieczeństwem informacji. Nie jest prawem, ale stanowi ustandaryzowaną metodę spełniania wymagań regulacyjnych.
Zalecenia ENISA, które możesz wdrożyć od ręki
1
Wprowadź zasady blokowania stacji roboczych i zabezpieczania dokumentów papierowych.
2
Przeszkol zespół z rozpoznawania phishingu i socjotechnik stosowanych przez hakerów.
3
Uruchom dedykowany adres e-mail lub formularz do raportowania incydentów.
4
Wymuś zmianę fabrycznych poświadczeń natychmiast po instalacji systemów.
5
Wprowadź min. 8 znaków przy MFA lub min. 14 znaków bez uwierzytelniania wieloskładnikowego.
6
Aktywuj wieloskładnikowe logowanie dla poczty, VPN i usług chmurowych.
7
Stosuj regułę 3-2-1: utrzymuj 3 kopie danych na 2 różnych nośnikach, z czego jedna musi znajdować się poza firmą.
8
Skanuj kopie zapasowe pod kątem malware przed ich archiwizacją.
9
Wdróż trzy poziomy dostępu (publiczne, wewnętrzne, poufne), by usprawnić obieg dokumentów.
10
Stwórz listę sprzętu i oprogramowania z przypisanym właścicielem biznesowym. To fundament analizy ryzyka.
Pobierz plan na NIS2
Pobierz checklistę i przeprowadź organizację przez kolejne etapy wdrożenia unijnej dyrektywy.
Materiał powstał w wyniku analizy unijnych wytycznych
ENISA
European Union Agency for Security
BLOG
Warto dzielić się wiedzą
SKONTAKTUJ SIĘ Z NAMI