Q: קען מען באַשטראָפן ווערן אונטער ביידע NIS 2 און GDPR פֿאַר דער זעלבער בריטש - און ווי ווערן די שטראָפֿן קאַליברירט?

ארטיקל 35(4) פון NIS 2 און די GDPR שטעלן פעסט א פרינציפ פון קיין טאָפּלטע געפאַר פאר געלט-שטראָפן אויף דער זעלבער פארלעצונג. די DPA'ס שטראָף בלאָקירט גלייכצייטיגע NIS 2 שטראָפן פארן אינצידענט, אבער די NIS 2 אויטאָריטעט קען נאך אלץ אויסשטעלן נישט-געלט-מאסנאמען: ווארענונגען, פארפליכטעטע רעמעדיאציע, סוספּענשאַנז, און פארבעסערטע צוקונפטיגע אויספארשונגען. שטראָפן הענגען אפ פון אייער ענטיטי'ס קלאַסיפיקאַציע: - שטראָפן זענען מער שטרענג ווען אינצידענטן גייען נישט געמאלדן, דעדליינז ווערן פארפעלט, אדער רעקאָרדס זענען אומפארענדיקט, שפּעט, אדער מאַנועל. - א סיסטעמאַטיזירטע רעקאָרד און שנעלע, גרינטלעכע רעאַקציע רעדוצירן אדער פארמיידן רוטינמעסיג מאַקסימום סאַנקציעס (סקילקאַסט, 2025). - נישט-געלט-אקציעס - למשל, פארלאנגען נייע אויספארשונגען אדער סוספּענירן סערטיפיקאַציעס - זענען געוויינטלעכע צוגאב אויב פּראָצעס-דורכפעלער ווערן געפונען.

Question 1

ווי אזוי שרייבט ארטיקל 35 איבער די רעגולאציעס פאר פערזענליכע דאטן בריטשעס - און ווער צאלט טאקע דעם פרייז?

Accepted Answer

עס איז שוין נישט גענוג גוט צו האלטן קאמפלייענס אין הינטערגרונט. זייט רעגולאציע (EU) 2024/2690 איז אין קראפט געקומען, עלימינירט ארטיקל 35 פון NIS 2 די פלעשל פון פארשידענע נאציאנאלע רעגולאציעס - וואס שטעלן די זעלבע הויכע שטאנדארט פאר יעדער ארגאניזאציע, נישט קיין חילוק די אינדוסטריע אדער לאקאציע. א פערזענליכע דאטן בריטש ווערט געמשפט לויט איין שפיל-בוך; איר מוזט ווייזן אז אייער רעאקציע איז באווייז-געטריבן, סינקראניזירט איבער לעגאלע, IT, און עקזעקוטיוו שיכטן, און פעאיג צו האלטן אונטער אן אוידיטאר'ס דירעקטע אויפזיכט. אויב איר גלויבט אז עס איז נאר IT'ס פראבלעם אדער טראכט אז אן אימעיל אשכול וואס ראטעוועט אייער פנים וועט דעקן אייער דירעקטע באארד'ס אחריות, באווייזט דער נייער רעזשים אנדערש. וואס האט זיך געטוישט איז נישט נאר דער טעמפא, נאר די ערווארטונג: באווייזן פאר עקספערטיז, און באארד דעמאנסטראציע פאר א צוריק-אפיס לייזונג. אין דער פארגאנגענהייט, האבן אסאך ארגאניזאציעס געווארט אויף א לאקאלן רעגולאטאר'ס שטופ, און דערנאך זיך געיאגט צו פראדוצירן זיצונג פראטאקאלן אדער אוידיט לאגס נאכדעם. יעצט, אויב איר קענט נישט ווייזן באווייזבארע, סיסטעם-רעקארדירטע געמיינזאמע אקציע פון ​​דעטעקציע ביז באארד-לעוועל פארמאכונג, איז אייער באווייז-לויך געווארן דער בריטש, און דורכפירונג איז שנעל. דאָס איז נישט נאָר טעאָריע: אין די לעצטע יאָר, איבער 40% פון הויפּט פּערזענלעכע דאַטן בריטש קנסות אין דער אי.יו. האָבן דערמאָנט נישט גענוגיקע באַטייליקונג פון דירעקטאָרן-ראַט, נישט פשוט פעלנדיקע IT פּאַפּירן. די נייע רעאַליטעט? גלייַך ווערט נישט באַשטימט דורך כוונה, נאָר דורך אויספֿאָרשונג-גרייטע צייט-ליניעס, איבערגעבונגען, רעזולטאַטן. אויב עס איז אַ ריס אין אייער אינצידענט פּראָצעס, אויב ראָלעס זענען נישט קלאָר, אָדער אויב רעגיסטרירטע באַווייַזן זענען סטאַק אין אימעיל אַנשטאָט אַ סיסטעם, לאַנדט דער קנס אויבן. פֿאַר דירעקטאָרן-ראַטן, DPO'ס, און IT פירערשאַפט גלייך, האָט אַרטיקל 35 פאַרוואַנדלט בריטש-גרייטקייט אין אַ מאַנשאַפֿט-ספּאָרט, וואו קיינער קען נישט קוקן פֿון די טריבונעס.

Question 2

פארוואס איז "פראצעס דורכפאל" יעצט לעגאל א דאטן בריטש - און וואס מיינט דאס פאר אייך?

Accepted Answer

אונטער ארטיקל 35, א פארפעלטע מעלדונג דעדליין, אומפארענדיקטע לאג, אדער אומדאקומענטירטע אינצידענט איז איצט אליין א מעלדבארע פארלעצונג פון די רעגולאציעס - נישט מער א זייט-פראגע. דאס הייבט די ריזיקע: עס איז נישט נאר טעכנישע זיכערהייט וואס איז וויכטיג, נאר אייער אפעראציאנעלע דיסציפלין - די גראנולארע, לעבעדיגע שפּור פון באַשלוסן, איבערבליקן, און אונטערשרייבונגען. פארוואס? ווייל דער עכטער ריזיקע מיט פערזענלעכע דאטן איז נישט נאר אין דעם העק אדער אקצידענטעלער אנטפלעקונג, נאר אין דעם ארגאניזאציאנעלן בלינדן פלעק. א פארענדיקטער אינצידענט, דורכגעיאגט אן פולשטענדיגע צושרייבונג אדער צייט-געשטעמפלטע באווייזן, שטייט איצט אלס דער רעגולאטאר'ס ערשטער אינדיקאטאר פון פארנאכלעסיגונג. אויב עס קען נישט ווערן מאַפּט פון דעטעקציע ביז קלאָוז-אויט, און אויב דער באָרד קען נישט ווייזן אין רעאל-צייט וואו זיין אויפזיכט האט אנגעהויבן און געענדיגט, איז נישט-קאָנפאָרמאַנס איינגעבאַקן אין די קאָרפּאָראַטיווע רעקאָרד. פאר פּראַקטיצירער - לעגאַלע, קאָנפאָרמאַנס, און IT - איז די מעסעדזש אָפן. לעגאַסי נאָטיצן, אינפאָרמעלע שמועסן, אדער יוריסדיקציע-ספּעציפֿישע אויסנעמען זענען ווייניקער ווי ווערטלאָז: זיי שאַפֿן באווייזן פון אומבאַמערקזאַמקייט. אַנשטאָט, זענען געמיינזאַמע לאגס, אָדיטאַבלע וואָרקפלאָוז, און סיסטעם-געטריבענע דערמאָנונגען געוואָרן די באַזע. עקזעקוטיוון זענען איצט גלייך פאראנטווארטלעך צו ווייזן אז יעדער פארלעצונג, אומאפהענגיק פון רעזולטאט, איז געהאנדלט געווארן דורך א פראצעס וואס האט איבערגעהאלטן איבערקוק - קיין אויסנעמען נישט. די קאסטן פון מאכן דעם א טעות? קנסות זענען מער נישט קאליברירט נאר דורך פארלוירענע רעקארדס, נאר אפט געטריבן דורך לעכער אין איבערגעבן, נישט-באשטעטיגטע עסאקאלאציעס, אדער דורכפאל צו דערהיינטיקן יענעם לעצטן לעקציעס-געלערנטן לאג. סיסטעמאליזירט אייער אינצידענט פראצעס איצט, אדער דער נעקסטער מעלדונג-פארלוסט קען זיין דער וואס פארשנעלערט א פולשטענדיגע קאמפלייענס אויספארשונג.

Question 3

ווי שטעלט פראַגמענטאַציע אייער אָרגאַניזאַציע אין דירעקטן ריזיקע פון ​​שטראָף?

Accepted Answer

פערזענלעכע דאטן בריטשעס שטעלן זיך נישט אפ ביי די גרענעצן פון אייער שטאט - און אויך נישט רעגולאטורישע אקציעס. אונטער ארטיקל 35, גראבן רעגולאטארן וואס זוכן א סיבה שנעל אריין אין יעדער צוטיילונג פון רעאקציע, ראלע, אדער לאג. פארביי זענען די טעג ווען א גוטע מעשה אין אירלאנד האט געקענט פאררעכטן א פאפיר-לאך אין דייטשלאנד. אויב אייער בריטש פראצעס לאזט לאגס אדער אקציעס פארשפרייט איבער דעפארטמענטן אדער יוריסדיקציעס, האט איר אין עיקר געמערט אייער אויסשטעל. וואס ערווארטן אוידיטארן יעצט? א צייט-ליניע: ווער האט געוואוסט, ווער האט געהאנדלט, ווער האט אונטערגעשריבן, און ווען. דער רעקארד מוז פארבינדן יעדע טעריטאריע, ביזנעס אפטיילונג, און לעגאלע שטייער-האלטער אין איין שטראם - קיין צוטיילונגען, קיין פארפעלטע צווייגן. אין דעם מאמענט וואס אן אינצידענט גייט אריבער די גרענעצן - פון ביזנעס ליניע אדער לאנד - איז די לאסט אויף אייך צו האלטן אן אויספירליכע, איין חשבון פון דעטעקציע, מעלדונג, און פארמאכונג. אלעס ווייניגער לאדענט איין סיי פארפעלטע דעדליינס און סיי קאנפליקטירנדע אפענטלעכונגען, פארדאפלנדיג רעגולאטורישע געפאר. רוב פארשפעטיגונגען אין בריטש רעאקציע קומען פון אומקלארע ראלעס, אפליין רעקארדס, און איבעריגע טרעקינג. פּלאַטפאָרמעס ווי ISMS.online אַנטפּלעקן, דורך עכטע אינצידענט דאַטן, אַז איבער העלפט פון אינצידענט לעבנס-ציקל פאַרהאַלטונגען רעזולטירן פון מאַנועלע, מולטי-אָונער פּראָצעסן (https://iw.isms.online/incident-management-platform). די קאָסטן? פאַרלוירענע טעג, אויספאָרשונגען אויסגעלאָשן, קנסות פאַרגרעסערט - נישט דורך טעכנישן דורכפאַל, נאָר דורך אָפּעראַציאָנעלן שלעפּן. צו ברעכן די קייט: - באַשטימען קלאָרע, קראָס-פאַנגקשאַנאַל אינצידענט מאַנאַדזשערז פון דער ערשטער אָנזאָג. - ניצן אַ לאָג וואָס פאָרסירט-טראַקס יעדע געשעפט איבערגעבונג. - אָטאַמייט דערמאָנונגען און פאָדערן קאַבאָלע/באַשטעטיגונג ביי יעדן שריט. - אַרכיוו פּאָסט-מאָרטעמס ווי מאַנדאַטאָרי, נישט אָפּציאָנאַל, מיט צוטריט פֿאַר ביידע IT און לעגאַל. בעל די מעכאַניקס, און אַנשטאָט פייערלעשן אין די רעגולאַטאָר ס גאַנג, איר קענען גלייַכן אַרטיקל 35 ס איין-מקור הערשן פֿאַר יעדער אַקציע, יעדעס מאָל.

Question 4

ווי זעט אויס "אָפּעראַציאָנאַליזירן" אַרטיקל 35? דיסציפּלין, באַווייזן, און דעדליין פאַרוואַלטונג

Accepted Answer

ס'איז נישט גענוג צו פארמאגן א פאליסי; איר מוזט זי אנימירן. ארטיקל 35 בעט פאר קראָס-טיעם אינצידענט רעאקציע רוטינעס וואָס לאָזן אָדיטאַבלע פֿוסשטאַפּן - פאַקטישע אַקטיאָרן, שטרענגע דעדליינז, און לעבעדיגע באַווייַז פֿאַרבינדונגען. צוטיילן א דעפּאַרטמענט איז נישט גענוג; איצט מוזן ספּעציפֿישע מענטשן זיין געבונדן צו יעדער בינע, מיט באַווייַז קאַרטירט אין פאַקטישער צייט. דעדליינז - די באַרימטע 24-שעה NIS 2 און 72-שעה GDPR זייגערס - ווערן דורכגעפֿירט נישט דורך האָפֿענונג, נאָר טעכנאָלאָגיע (https://iw.isms.online/policy-documentation). ביי יעדן געשעעניש - ערשטע דעטעקציע, עסקאַלאַציע, באָרד האַנט-אָף, קלאָוזשער - דאַרפֿט איר א ראָלע-באַזירט, צייט-געשטעמפּלט לאָג, אָדער רעגולאַטאָרן וועלן באַהאַנדלען יעדן ריס ווי באַווייַז פון פאַרלאָזיקייט. כּמעט אין צייט דאָקומענטאַציע, אָדער נאָך-דעם-פאַקט פאַראייניקונג, לאָזט איר גאָר אָפֿן צו דורכפֿירונג. פֿאַר יענע וואָס אַרבעטן אונטער איין ראַם, סימולירן די אַנדערע ס רוטין - GDPR טימז זאָלן לויפן 24-שעה דרילז, NIS 2 אָפּעראַטאָרן זאָלן איבערחזרן GDPR ס 72-שעה מאָדעל. די בעסט-פארבערייטע טימז נאָרמאַליזירן אינצידענט רעפּעטיציעס איבער דעפּאַרטמענטן, אַזוי יעדער שוואַכער לינק ווערט געפֿונען און פארזיגלט איידער אַ בריטש פּאַסירט. היינטיקע בעסטע פּראַקטיק נוצט אינצידענט פאַרוואַלטונג פּלאַטפאָרמעס וואָס האַלטן וואָרקפלאָו באַווייַזן אָדיטאַבאַל, באַשטימען יעדן אַקטיאָר, און אָטאַמייטן איבערבליק דערמאָנונגען איידער קאַמפּליאַנס דעדליינז דערגרייכן (https://iw.isms.online/incident-management-platform). מיט אַ סיסטעם ווי ISMS.online, שלאָסן זיך טאַסקס ביים מקור, און אייער אָדיט פּאַק ווערט אַ דירעקטער שפּיגל פון אַרטיקל 35'ס לעגאַלער פאָדערונג.

Question 5

פארוואס פארלאנגט מאדערנע קאמפלייענס "לעבעדיגע פוסגייער איבערגאנג" - און ווי אזוי ארבעטן זיי?

Accepted Answer

א טשעק-קעסטל פאליסי לייגט צו נול ווערט אויב עס איז נישט געמאַפּט צו לעבעדיגע אקציעס. אין היינטיקן בריטש סביבה, איז די בעסטע פּראַקטיק וואָס איז געמאַפּט, נישט נאָר וואָס איז געשריבן. רעגולאַטאָרן, און איצט רובֿ עקסטערנע אוידיטאָרן, זוכן צו טעסטן: פֿאַר יעדער אָנזאָג, איז דער טריגער געבונדן צו אַ קאָנטראָל? איז די אונטערשריפט קאַפּטשערד מיט אַטריבוציע? אָן אַ מאַפּינג טאַבעלע און לעבעדיגע באַווייַז לינקס, איז דיין פּראָצעס נישט קענטיק - און אַזוי נישט-קאָמפּאַטיבל. באַטראַכט דעם טיפּישן אינצידענט: דעטעקציע, ערשטע באַזיצער אַסיינמאַנט, 24-שעה טייַמער, עסאַקאַלאַציע צו DPO, קלאָוזשער, און איבערבליק. ביי יעדן פונקט, מוזט איר לאָגין אקציעס אין דיין ISMS מיט געמאַפּט קאָנטראָלס - A.5.24 פֿאַר באריכטן, A.8.13 פֿאַר באַווייַז, A.5.31 פֿאַר אָנזאָג, A.5.35 פֿאַר איבערבליקן. דאָ איז ווי אַ לעבעדיגער פֿוסגייער איבערגאַנג זעט אויס: לויפן די ווי טייל פון אַ קאָנטינויִערלעכן ציקל - אָטאַמייטיד דורך דיין אינצידענט פאַרוואַלטונג סיסטעם - טראַנספאָרמירט יעדן בריטש געשעעניש אין אַ געלעגנהייט פֿאַר פּראָאַקטיוו ווידערשטאַנד. פאָרווערטס-טראַכטנדיקע אָרגאַניזאַציעס דערהייַנטיקן יעדע אַקציע, יעדעס מאָל, אַזוי אַז די צוגרייטונג פֿאַר אַ אָדיט אָדער רעגולאַטאָרישן איבערבליק איז אַ בייפּראָדוקט פֿון טעגלעכער אַרבעט, נישט אַ געיעג טעג פֿאַר אַ דעדליין.

Question 6

איז אייער אוידיט טרייל אין רעאל-צייט, נאטלאז, און באווייז-געטריבן - אדער אין ריזיקע פאר "אינאקטיוו קאמפלייענס"?

Accepted Answer

קאמפלייענס איז שוין נישט נאר וועגן דעם בריטש אליין. עס גייט וועגן גרייטקייט, לאגינג, איבערקוקן, און פארבעסערונג אין יעדער רעאקציע. לעכער, פארשפרייטע רעקארדס, מאנועלע לאגס - דאס איז דער שנעלער וועג צו קנס לאנד. עס איז זיכערער, ​​און קלוגער, צו מאכן א טעות אויף עקסטרעמע פלייסיקייט. קיינער ווערט קיינמאל נישט באשטראפט פארן נאכפאלגן צו פיל; כמעט אלע גרויסע קנסות ציטירן דאקומענטאציע לעכער (https://iw.isms.online/incident-management-platform). היינט קענען קאמפלייענס אפיצירן און IT מענעדזשערס נוצן ISMS פלאטפארמעס וואס אויטאמאטיש לאגן יעדן שריט און פאָרשלאָגן אן עלעקטראנישע, אומפארענדערליכע צייט-ליניע - אריבער טעכנישע און נישט-טעכנישע ראלעס. דער מאדעל איז פשוט: וואס מער צוריק-געבן-לופן איר דעמאנסטרירט, אלץ מער קרעדיט און צוטרוי געווינט איר, סיי מיט אוידיטארן און סיי אינעווייניק אייער באארדרום. נאך-טויט איבערקוקן, באווייזן אפלאודס, און מענעדזשמענט אונטערשרייבונגען ווערן יעדער רוטינע איינטראגעס - וואס פארמערט פארזיכערונג און פארקלענערט דראסטיש די קאסטן פון אוידיט צוגרייטונג. אנשטאט מורא צו האבן פאר רעגולאטורישע אויספארשונג, באהאנדלען קלוגע ארגאניזאציעס יעדע אינצידענט רעאקציע ווי ברענשטאף פאר לאנג-טערמין פארבעסערונג. און, מיט אויטאמאציע, שטייט אייער קאמפלייענס נישט שטיל - עס עוואלוציאנירט צו טרעפן דעם סטאנדארט איידער רעגולאטארן צווינגען אייך צו נאכקומען.

Question 7

וואָס איז ווייטער: פֿון אַרטיקל 35 ביזן פֿולן ווידערשטאַנדס-ספּעקטרום - איז אייער סיסטעם גרייט?

Accepted Answer

אַרטיקל 35 איז אַ פאָרויסיקע ווייַזונג, נישט דער פֿינאַל. מיט DORA, סעקטאָראַלע ראַמען, און דעם אויפֿקומענדיקן אי.יו. קינסטלעכער אינטעליגענץ געזעץ, איז באַווײַז-געטריבענע, פּלאַטפאָרמע-געטריבענע קאָנפאָרמאַטי שוין די ערוואַרטונג. נײַע מאַנדאַטן וועלן פֿאַרמערן צײַטפּלענער, איבערגעבונגען, און איבערלאַפּנדיקע פֿאַראַנטוואָרטלעכקייטן. בסך־הכּל, איז עס נישט אַמביציע, נאָר איבערחזרנדיקייט און באַווײַז וואָס דעפֿינירט דאָס בעסטע אין קלאַס. בויט ריטמען פֿון איבערבליק, פֿאַרבעסערונג לאָגינג, און סימולאַציע פֿון דער קומענדיקער סכּנה אין אײַער ISMS הײַנט (https://iw.isms.online/policy-documentation). באָרדס ווערן איצט געטראַקט לויט די אַקציעס וואָס זיי שטיצן, נישט די סלייד דעקס וואָס זיי זען. זײַט גרייט צו פֿאַראַנקערן יעדע סטראַטעגישע ריזיקאָ דיסקוסיע אין עכטע באַווײַזן - דעמאָנסטרירט אײַערע דריל לאָגס און אײַערע פֿאַרבעסערונג ציקלען ווי אַ לעבעדיק סיסטעם. ווידערשטאַנדספֿעיִקע, אוידיט-גרייט געשעפֿטן פֿאַרבינדן באָנוס און באָרד סטראַטעגיע צו באַווײַזן - נישט אַמביציע. זיי וויזואַליזירן קאָנפאָרמאַטי ציקלען ווי פּערפאָרמאַנס דאַשבאָרדז, נישט יערלעכע קאָפּווייטיק. און דער מאַרק קוקט צו: רעגולירטע קויפֿער און אינוועסטאָרן ווערטשאַצן אָרגאַניזאַציעס וואָס מאַפּירן די סכּנות פֿון מאָרגן איידער זיי זענען געצוואונגען צו רעאַגירן.

Question 8

וואָס טריגערט אַן "פאַרלעצונג וואָס באַדייט אַ פּערזענלעכע דאַטן בריטש" אונטער אַרטיקל 35 פון NIS 2?

Accepted Answer

יעדער דורכפאַל צו מקיים זיין די הויפּט פליכטן פון NIS 2, וואָס רעזולטירט אין קאָמפּראָמיטירן פערזענלעכע דאַטן - צי דורך פארלוסט, נישט-אָטעריזירטן צוטריט, אדער אומלעגאַלע אַנטפּלעקונג - ווערט גערעכנט ווי אַ "פאַרלעצונג וואָס באַדייט אַ פערזענלעכע דאַטן בריטש" אונטער אַרטיקל 35. וויכטיק, קען דער בריטש ווערן אויסגערופן ניט נאָר דורך סייבער-אַטאַקעס, נאָר אויך דורך ברייקדאַונז אין זיכערהייט רוטינען, שפּעטע מעלדונגען, אומקלאָרע ראָלע אַסיינמאַנץ, פעלנדיקע לאָגס, אדער אומפאַרענדיקטע דאָקומענטאַציע. אויב אַזעלכע דורכפעלער פירן גלייך צו אַ דאַטן בריטש, מוז די קאָמפּעטענטע אויטאָריטעט פון NIS 2 עסאַקאַלירן דעם געשעעניש צו דער דאַטן שוץ אויטאָריטעט (DPA). די צווייפאַכיקע עקספּאָוזשער מיינט... העסקעם גאַפּס אין פּראָצעס, רעקאָרד-האַלטונג, אָדער אינצידענט ענטפער ציט אייער אָרגאַניזאַציע אונטער ביידע NIS 2 און GDPR רעגולאַטאָרי דורכקוק.

פארפעלטע דעדליינז, אומקלארע ראָלעס, אדער שלעכטע רעקאָרדס קענען פארוואנדלען א רוטינע טעות אין א לעגאַלן בריטש - און שטעלן אייער מאַנשאַפֿט אונטערן שייַן פון צוויי רעגולאַטאָרן, נישט נאָר איינעם.

שליסל טריגערס פֿאַר אַ רעגולאַטאָריש בריטש

נישט-געטעסטע, אַלטמאָדישע, אדער אומפארענדיקטע NIS 2-מאַנדאַטירטע קאָנטראָלס (למשל, נישט-געפּאַטשטע וואַלנעראַביליטיז אדער איבערגעלאָזטע ריזיקאָ אַסעסמאַנץ).
שפּעט אָדער פעלנדיק אינצידענט מעלדונגען-ספּעציעל אויב נישט געשיקט אין די 24-שעה פֿענצטער.
נישט באַשטימען גערופענע יחידים פֿאַר באַריכטן, עסאַקאַלאַציע, אָדער דאָקומענטאַציע.
פֿאַרלאָז זיך אויף אַנסטרוקטורירטע באַווײַזן - ספּרעדשיטס, צעוואָרפֿענע לאָגס, אימעיל קייטן.
פארנאכלעסיגן דאקומענטאציע פון ביידע "כמעט-פארפעלן" און איבערגעחזרטע נידעריג-לעוועל אינצידענטן.

רעגולאַטאָרן, אַרייַנגערעכנט ENISA, באַהאַנדלען פּראָצעס גאַפּס וואָס רעזולטירן אין דאַטן אָנווער ווי פולשטענדיקע בריטשעס - וואָס פארשטארקט די פאָדערונג פֿאַר סיסטעמאַטיש, ראָלע-אַטריביאַטאַד קאַמפּליאַנס.

Question 9

ווי אזוי ארבעטן ארטיקל 35 (NIS 2) און די GDPR צוזאמען פאר מעלדונג און שטראף?

Accepted Answer

אַרטיקל 35 פֿאַראייניקט ענג NIS 2 און GDPR דורך פֿאָדערן אַ באַלדיקע צווייפֿאַכיקע מעלדונג אויב אַ פּערזענלעכע דאַטן בריטש שטאַמט פֿון אַ NIS 2 דורכפֿאַל. דאָס מיינט אַז איר זענט פֿאַרפֿליכטעט צו מעלדן די NIS 2 קאָמפּעטענטע אויטאָריטעט אין 24 שעה און די DPA אין 72 שעה - יעדער ניצנדיק פֿאָרמעלע פּראָצעסן און פֿאָרמען. די אויטאָריטעטן קאָאָרדינירן זייער אויספֿאָרשונג, אָבער דורכפֿירונג און שטראָפֿן זענען האַרמאָניזירט: אויב די DPA באַשטראָפֿט אײַך אונטער GDPR, קען די NIS 2 אויטאָריטעט נישט אויך אויסשטעלן אַ פֿינאַנציעלע שטראָף פֿאַר דער זעלבער בריטש, כאָטש זי קען אַרויסגעבן וואָרענונגען אָדער פֿאָדערן פֿאַרריכטנדיקע אַקציעס.

דער געמיינזאמער מעלדונג פּראָצעס, שריט ביי שריט

24 שעה: ערשטע מעלדונג צו NIS 2 אויטאריטעט (אפילו אויב פאקטן זענען נישט פולשטענדיג).
72 שעה: דעטאַלירטן באַריכט צו DPA אונטער GDPR.
גרענעץ-איבערשרייטנדיק?: יעדע באַטראָפענע יוריסדיקציע'ס אויטאָריטעטן זענען באַטייליקט, וואָס צווינגען האַרמאָניזאַציע פון אייערע מעלדונגען און רעקאָרדס.
קיין טאָפּלטע קנסות, אָבער פֿאַרשטאַרקטע השגחה: NIS 2 קען באפעלן פּראָצעס ענדערונגען, סוספּענדירן סערטיפיקאַציעס, אדער פארלאנגען נייע אוידיטס, אפילו ווען די קנס קומט נאָר פון די DPA (NIS 2, אַרט. 35(4)).

אויטאריטעטן ערווארטן נישט נאר באווייזן פון אקציע, נאר אויך באווייזן פון רעאל-צייט, ראלע-באזירטע ארגאניזאציע. אויטאמאטיזאציע און פראצעס דיסציפלין זענען נישט 'גוט צו האבן' - זיי זענען יעצט פארלאנגט.

Question 10

וואָס איז דער שריט-ביי-שריט ISMS פּראָצעס פֿאַר בריטש דעטעקציע און באַריכטן אונטער אַרטיקל 35 און GDPR?

Accepted Answer

כדי צו בלייבן קאמפלייענט און אוידיט-גרייט, מוז אייער אינצידענט מענעדזשמענט סיסטעם (ISMS) שטארק ארקעסטרירן די רעאקציע אין דעם מאמענט וואס א בריטש ווערט פארדעכטיגט - ספעציעל ווען פראצעס אויסשטעלער זענען פארמישט: שריט-פאר-שריט אינצידענט ארבעטספלוס 1. געשעעניש לאגינג: זיכער לאגירן דעם בריטש אין אייער ISMS. רעקארדירן די צייט, רעפארטער, סיסטעמען וואס זענען באטראפן, אימפאקט, און ערשטע ריזיקע שאצונג (ISO 27001: A.5.24, A.8.13). 2. ארבעטספלוס אקטיוואציע: טריגערן פאר-באשטעטיקטע אינצידענט פּלייבוקס מיט פּינקטלעכע צייט-שטעמפעלינג און יחידישע צוטיילונג פאר יעדן שריט. 3. מעלדן NIS 2 אויטאריטעט: ניצן דעם לאנד'ס דעדיקירטע פארטאל אדער פארשריבענע קאנאל אינערהאלב 24 שעה, אומאפהענגיק פון אויספארשונג סטאטוס. 4. מעלדן DPA: צושטעלן אלע GDPR-פארלאנגטע בריטש און קאנטעקסט דעטאלן אינערהאלב 72 שעה - אריינגערעכנט טיפן דאטן, צאל דאטן סוביעקטן, און רעזולטאט סכנות. 5. באשטימען גערופן ראלעס: קלאר דאקומענטירן ווער איז פאראנטווארטלעך פאר אויספארשונג, קאמוניקאציע (אינערליכע און עקסטערנאלע), און פארמינדערונג אקטיוויטעטן. 6. קאמוניקירן מיט באטראפענע יחידים: אויב דער בריטש שטעלט ריזיקעס פאר דאטן סוביעקט רעכט, מעלדן זיי גלייך און רעקארדירן אלע קאמוניקאציע. 7. צענטראַליזירן רעקאָרדס: טראַק יעדן דערהייַנטיקונג, שמועס, סיסטעם ענדערונג, און מיטיגאַציע אַקציע אין אַ זיכער, אָדיט-זיכער סיסטעם (A.5.27, A.5.35). 8. נאָך-אינצידענט איבערבליק און פֿאַרבעסערונג: פירן אַ לעקציעס-געלערנטע סעסיע, פֿאַרבינדן געפינסן צו ריזיקירן און קאָנטראָל דערהייַנטיקונגען, און דערהייַנטיקן דיין סטעיטמענט פון אַפּליקאַביליטי (SoA).

Question 11

קען מען באַשטראָפן ווערן אונטער ביידע NIS 2 און GDPR פֿאַר דער זעלבער בריטש - און ווי ווערן די שטראָפֿן קאַליברירט?

Accepted Answer

ארטיקל 35(4) פון NIS 2 און די GDPR שטעלן פעסט א "קיין דאפעלטע געפאר" פרינציפ פאר געלט-שטראפן אויף דער זעלבער פארלעצונג. די DPA'ס שטראף בלאקירט גלייכצייטיגע NIS 2 שטראפן פאר דעם אינצידענט, אבער די NIS 2 אויטאריטעט קען נאך אלץ אויסשטעלן נישט-געלט-מאסנאמען: ווארענונגען, פארפליכטעטע רעמעדיאציע, סוספענשאַנז, און פארבעסערטע צוקונפטיגע אויספארשונגען. שטראפן הענגען אפ פון אייער ענטיטי'ס קלאסיפיקאציע:

ענטיטי	מאַקסימום פינאַנציעלע שטראָף	לעגאַלע רעפֿערענץ
יקערדיק	€10 מיליאָן אדער 2% גלאָבאַלע איבערקערעניש	NIS 2 / GDPR
וויכטיק	€7 מיליאָן אדער 1.4% גלאָבאַלע איבערקערעניש	NIS 2 / GDPR

קנסות זענען שטרענגער ווען אינצידענטן גייען נישט געמאלדן, דעדליינז ווערן פארפעלט, אדער רעקארדס זענען אומפארענדיקט, שפעט, אדער מיט די האנט.
א סיסטעמאַטיזירטע רעקאָרד און שנעלע, גרינטלעכע רעאַקציע רעדוצירן אָדער פאַרהיטן רוטינמעסיק מאַקסימום סאַנקציעס (סקילקאַסט, 2025).
נישט-געלטערישע אקציעס - למשל, פארלאנגען נייע אוידיטס אדער אפשטעלן סערטיפיקאציעס - זענען געוויינלעכע צוגאבן אויב מען טרעפט פראצעס-פעלערן.

וואָס איז וויכטיקסט איז נישט נאָר צו פאַרריכטן דעם בריטש, נאָר ווי שנעל, טראַנספּאַרענט און סיסטעמאַטיש איר באַווייַזט אייער פּראָצעס אין די אויגן פון ביידע אויטאָריטעטן.

Question 12

וואָס נעמט אַרײַן אַ טיפּישע "פּאַראַלעלע אויספאָרשונג" נאָך אַן אַרטיקל 35 פֿאַרלעצונג?

Accepted Answer

מאָדערנע דורכפירונג פירט כּמעט שטענדיק צו סיי אַ טעכנישער און סיי אַ פּראָצעדוראַלער אויספאָרשונג: רעגולאַטאָרן פאָדערן צו זען ניט נאָר ווי דער בריטש איז געשען, נאָר ווי אייער רעאַקציע סיסטעם האָט פונקציאָנירט אין פאַקטישער צייט.

מעטאַ פּלאַטפאָרמעס: איז באַשטראָפט געוואָרן מיט 91 מיליאָן אייראָ נאָכדעם וואָס אַ זיכערהייט בריטש איז געוואָרן פֿאַרערגערט דורך לאַנגזאַמע, צעבראָכענע נאָטיפיקאַציעס און פֿעלנדיקע לאָגס.
TikTok: באַקומען אַ €530 מיליאָן שטראָף, קאָמבינירט טראַנספער דורכפאַלן מיט אַ מאַנגל אין סיסטעמאַטישער רעקאָרד-האַלטונג.
וואָדאַפאָון דייטשלאַנד: (€45 מיליאָן) איז געווען ציטירט פֿאַר מאַנגל אין דאָקומענטירטער גרענעץ-איבערשרייטנדיקער פּראָצעס קאָנפאָרמאַטי און שלעכטע צוטיילונג פון אינצידענט-רעאַקציע ראָלעס.

לעבן אוידיט עקזאַמינאַטאָר פאָקוסירט

איבערבליק פון יעדער איבערגעבונג - ווער איז געווען צוגעטיילט וואָס, און ווען.
פאָדערונג פֿאַר אומענדערלעכע, ראָלע-אַטריביאַטאַד וואָרקפלאָו רעקאָרדס.
איבערקוק פון מכשירים: ספּרעדשיטס און אימעיל פראַגמענטן לאַדן קאָנסיסטענטלי צו טיפערע אויספאָרשונגען.
אויספאָרשונג פון ביידע טעכנישן דאַטן פלוס און די פּראָצעדור קייט - מיט "ווייכע" גאַפּס אויפגעהויבן צו ערנסטע געפינסן.

אין היינטיקער רעגולאַטאָרישער וועלט, איז די ערשטע זאַך וואָס מען פרעגט זיך וועגן די קלארקייט און פולשטענדיקייט פון אייער אוידיט טרייל - פעלנדיקער קאָנטעקסט אָדער שפּעטע לאָגס זענען באַלדיקע רויטע פלעגלעך פֿאַר טאָפּלטער קאָנטראָל.

Question 13

וואָסערע פריימווערקס און מכשירים האַלטן אײַך קאָמפּליאַנט און ווידערשטאַנדספֿעיִק נאָך אַרטיקל 35?

Accepted Answer

- אינצידענט אויטאמאטיזאציע: ניצט א ספעציעלע אינצידענט און רעקארדס מענעדזשמענט סיסטעם וואס לייגט אריין ראלע אסיינמענטס, אויטאמאטישע נאטיפיקאציעס, ווארקפלאו עסקאלאציע, און רעאל-צייט לאגס גלייך געמאפט צו ISO 27001/אנעקס A קאנטראלן ((https://iw.isms.online/incident-management-platform)). - צענטראליזאציע: האלט אלע געשעעניש, ווארקפלאו, און איבערבליק לאגס אין אן אומענדערליכן, צענטראלן לאקאציע - קיין פארשפרייטע טעקעס אדער אימעיל טרעילס. - לעבעדיגע מאפינג: פארבינדט יעדע רעגולאטורישע פארפליכטונג צו אייערע אפעראציאנעלע פּלייבוקס און סטעיטמענט אף אפליקאַביליטי (SoA) פאר טרעיסאַביליטי. - רוטין דרילס: קווארטערליכע דורכגאנג פון בריטש + נאטיפיקאציע ציקלען, אפדעיטן קאנטראלן און פראקטיקעס ניצנדיג רעאלע רעזולטאטן (ENISA, 2024). - אינדיווידועלע אסיינמענט: פאר יעדער אינצידענט פאזע (דעטעקציע, באריכטן, קאמוניקאציע, פארמאכונג), נאמען די פאראנטווארטליכע פערזאן, נישט נאר די דעפארטמענט. - קאנטינעווירליכע פארבעסערונג: נאך-אינצידענט איבערבליקן מוזן פליסן גלייך אין אייערע SoA דערהייַנטיקונגען און ריזיקא איבערבליקן, באווייזנדיג אז איר לערנט און אדאפטירט. ISO 27001 בריק: ערוואַרטונג → אָפּעראַציאָנאַליזאַציע → אוידיט רעפֿערענץ גייט פאָרויס דורך מאַכן אייער ISMS די פראָנטליניע פון ​​ביידע טעכנישער פאַרטיידיקונג און פּראָצעדוראַלע ווידערשטאַנד - אַזוי יעדע אָנזאָג, איבערבליק און איבערגעבונג איז שוין מאַפּט איידער אוידיטאָרן פרעגן.

דערוואַרטונג	אָפּעראַציאָנאַליזאַציע פּלאַטפאָרמע	ISO 27001 / אַנעקס A רעף
דעדיקירטער פערזענלעכער בריטש אייגענטימער	פּאָליטיק וואָרקפלאָו מיט פּערזענלעכער אידענטיטעט	א.5.24, א.8.13
צייט-פארלאפטע audit trail פון יעדן שריט	סיסטעם-געלאָגטע ראָלע + אַקציע קייט	א.5.27, א.8.13
צוויי-דירעקשאַנאַל מולטי-פרעמווערק אָנזאָג	כּללים-באַזירט טשעקליסט סינק	א.5.31, א.5.24
באַווייַז פון שליסונג פּלוס אונטערשרייבונג	פּלאַטפאָרמע "באַווייַז באַנק" סינקראָניזירט צו SoA	א.5.35, א.8.13

צינגל	ריזיקע דערהייַנטיקונג	קאָנטראָל / SoA לינק	באַווײַזן רעקאָרדירט
בריטש דעטעקטירט	ריזיקירן רעגיסטרירן טאָן	A.5.24 / A.8.13	דעטעקציע + אייגענטימער צוגעטיילט
24-שעה דעדליין האט זיך דערנענטערט	טייַמער געשעעניש	א.5.27 (2 שקל),…	מעלדונג/סיבה פּלאַנער
עסקאַלאַציע צו DPO	איבערגעבן רעקאָרד	A.5.31 / A.8.13	DPO אנערקענונג
אינצידענט אויפגעלייזט	ברעט איבערבליק לאג	A.5.27 / A.5.35	לעקציעס געלערנט + שלוס

טריגער געשעעניש	ריזיקע דערהייַנטיקונג	קאָנטראָל/SoA רעפערענץ	באַווײַזן רעקאָרדירט
SOC מאַרקירט נישט-אויטאָריזירטע צוטריט	ריזיקע איז פארגרעסערט	א.5.24, א.8.13	ISMS אינצידענט רעקאָרד
פארפעלטע 24 שעה דעדליין	נישט-קאנפארמאציע איינגעגעבן	A.5.35	אוידיט לאָג, אימעיל אַלערט
מעלדונגען געשיקט צו די אויטאריטעטן	אינצידענט פארמאכט	א.5.27, א.5.31	וואָרקפלאָו און איבערבליק לאָגס

דערוואַרטונג	אָפּעראַציאָנאַליזאַציע	ISO 27001/אַנעקס א רעפערענץ
24 שעה/72 שעה רעגולאַטאָרישע נאָוטאַפאַקיישאַנז	וואָרקפלאָו אָטאָמאַטיזאַציע, טראַקט דעדליינז	א.5.31, א.5.24, א.5.35
ראָלע-ספּעציפֿישער אָדיט טרייל	אומענדערלעכע לאגס, צוגעטיילטע פערסאנעל	א.5.27, א.8.13
צווייפאַכיקע אויטאָריטעט באַטייליקונג	עווידענס שפּור פֿאַרבינדט זיך מיט SoA	א.5.31, א.5.35
לעקציעס געלערנט, קאָנטראָלן פֿאַרבעסערט	דאקומענטירטע איבערבליק, SoA/ריזיקירן לאגינג	א.5.27, א.5.35

NIS2 אַרטיקל 35: פערזענלעכע דאַטן בריטשיז, DPA קאָאָרדינאַציע, און דער באַווייַז סטאַנדאַרט

ווי אזוי שרייבט ארטיקל 35 איבער די רעגולאציעס פאר פערזענליכע דאטן בריטשעס - און ווער צאלט טאקע דעם פרייז?

פארוואס איז "פראצעס דורכפאל" יעצט לעגאל א דאטן בריטש - און וואס מיינט דאס פאר אייך?

בעל NIS 2 אָן ספּרעדשיט כאַאָס

ווי שטעלט פראַגמענטאַציע אייער אָרגאַניזאַציע אין דירעקטן ריזיקע פון שטראָף?

ווי זעט אויס "אָפּעראַציאָנאַליזירן" אַרטיקל 35? דיסציפּלין, באַווייזן, און דעדליין פאַרוואַלטונג

ISO 27001 בריק טאַבעלע: מאַפּירן אַרטיקל 35 פֿאַרפֿליכטונגען צו אָפּעראַציאָנעלע און אָדיט קאָנטראָלן

זייט NIS 2-גרייט פון טאג איינס

פארוואס פארלאנגט מאדערנע קאמפלייענס "לעבעדיגע פוסגייער איבערגאנג" - און ווי אזוי ארבעטן זיי?

איז אייער אוידיט טרייל אין רעאל-צייט, נאטלאז, און באווייז-געטריבן - אדער אין ריזיקע פאר "אינאקטיוו קאמפלייענס"?

אַלע אייערע NIS 2, אַלץ אין איין אָרט

עווידענס-געטריבענע קאמפלייענס: בויען א צוטרוי שלייף, נישט א טשעקליסט

וואָס איז ווייטער: פֿון אַרטיקל 35 ביזן פֿולן ווידערשטאַנדס-ספּעקטרום - איז אייער סיסטעם גרייט?

דער ISMS.online מאָדעל: שטענדיק-אויף קאָנפאָרמאַנס, אָדיטאַבלע ריזיליאַנס, טראַסטיד פֿאַרבעסערונג

אָפֿט געשטעלטע פֿראגן

וואָס טריגערט אַן "פאַרלעצונג וואָס באַדייט אַ פּערזענלעכע דאַטן בריטש" אונטער אַרטיקל 35 פון NIS 2?

שליסל טריגערס פֿאַר אַ רעגולאַטאָריש בריטש

ווי אזוי ארבעטן ארטיקל 35 (NIS 2) און די GDPR צוזאמען פאר מעלדונג און שטראף?

דער געמיינזאמער מעלדונג פּראָצעס, שריט ביי שריט

וואָס איז דער שריט-ביי-שריט ISMS פּראָצעס פֿאַר בריטש דעטעקציע און באַריכטן אונטער אַרטיקל 35 און GDPR?

שריט-פאר-שריט אינצידענט וואָרקפלאָו

שפּור פֿון טרעיסאַביליטי

קען מען באַשטראָפן ווערן אונטער ביידע NIS 2 און GDPR פֿאַר דער זעלבער בריטש - און ווי ווערן די שטראָפֿן קאַליברירט?

וואָס נעמט אַרײַן אַ טיפּישע "פּאַראַלעלע אויספאָרשונג" נאָך אַן אַרטיקל 35 פֿאַרלעצונג?

לעבן אוידיט עקזאַמינאַטאָר פאָקוסירט

וואָסערע פריימווערקס און מכשירים האַלטן אײַך קאָמפּליאַנט און ווידערשטאַנדספֿעיִק נאָך אַרטיקל 35?

ISO 27001 בריק: ערוואַרטונג → אָפּעראַציאָנאַליזאַציע → אוידיט רעפֿערענץ

שפרינג צו דער טעמע

מארק שרון

נעמען אַ ווירטואַל רייַזע

מיר זענען אַ פירער אין אונדזער פעלד

NIS2 אַרטיקל 35: פערזענלעכע דאַטן בריטשיז, DPA קאָאָרדינאַציע, און דער באַווייַז סטאַנדאַרט

ווי אזוי שרייבט ארטיקל 35 איבער די רעגולאציעס פאר פערזענליכע דאטן בריטשעס - און ווער צאלט טאקע דעם פרייז?

פארוואס איז "פראצעס דורכפאל" יעצט לעגאל א דאטן בריטש - און וואס מיינט דאס פאר אייך?

בעל NIS 2 אָן ספּרעדשיט כאַאָס

ווי שטעלט פראַגמענטאַציע אייער אָרגאַניזאַציע אין דירעקטן ריזיקע פון ​​שטראָף?

ווי זעט אויס "אָפּעראַציאָנאַליזירן" אַרטיקל 35? דיסציפּלין, באַווייזן, און דעדליין פאַרוואַלטונג

ISO 27001 בריק טאַבעלע: מאַפּירן אַרטיקל 35 פֿאַרפֿליכטונגען צו אָפּעראַציאָנעלע און אָדיט קאָנטראָלן

זייט NIS 2-גרייט פון טאג איינס

פארוואס פארלאנגט מאדערנע קאמפלייענס "לעבעדיגע פוסגייער איבערגאנג" - און ווי אזוי ארבעטן זיי?

איז אייער אוידיט טרייל אין רעאל-צייט, נאטלאז, און באווייז-געטריבן - אדער אין ריזיקע פאר "אינאקטיוו קאמפלייענס"?

אַלע אייערע NIS 2, אַלץ אין איין אָרט

עווידענס-געטריבענע קאמפלייענס: בויען א צוטרוי שלייף, נישט א טשעקליסט

וואָס איז ווייטער: פֿון אַרטיקל 35 ביזן פֿולן ווידערשטאַנדס-ספּעקטרום - איז אייער סיסטעם גרייט?

דער ISMS.online מאָדעל: שטענדיק-אויף קאָנפאָרמאַנס, אָדיטאַבלע ריזיליאַנס, טראַסטיד פֿאַרבעסערונג

אָפֿט געשטעלטע פֿראגן

וואָס טריגערט אַן "פאַרלעצונג וואָס באַדייט אַ פּערזענלעכע דאַטן בריטש" אונטער אַרטיקל 35 פון NIS 2?

שליסל טריגערס פֿאַר אַ רעגולאַטאָריש בריטש

ווי אזוי ארבעטן ארטיקל 35 (NIS 2) און די GDPR צוזאמען פאר מעלדונג און שטראף?

דער געמיינזאמער מעלדונג פּראָצעס, שריט ביי שריט

וואָס איז דער שריט-ביי-שריט ISMS פּראָצעס פֿאַר בריטש דעטעקציע און באַריכטן אונטער אַרטיקל 35 און GDPR?

שריט-פאר-שריט אינצידענט וואָרקפלאָו

שפּור פֿון טרעיסאַביליטי

קען מען באַשטראָפן ווערן אונטער ביידע NIS 2 און GDPR פֿאַר דער זעלבער בריטש - און ווי ווערן די שטראָפֿן קאַליברירט?

וואָס נעמט אַרײַן אַ טיפּישע "פּאַראַלעלע אויספאָרשונג" נאָך אַן אַרטיקל 35 פֿאַרלעצונג?

לעבן אוידיט עקזאַמינאַטאָר פאָקוסירט

וואָסערע פריימווערקס און מכשירים האַלטן אײַך קאָמפּליאַנט און ווידערשטאַנדספֿעיִק נאָך אַרטיקל 35?

ISO 27001 בריק: ערוואַרטונג → אָפּעראַציאָנאַליזאַציע → אוידיט רעפֿערענץ

שפרינג צו דער טעמע

מארק שרון

נעמען אַ ווירטואַל רייַזע

מיר זענען אַ פירער אין אונדזער פעלד

ווי שטעלט פראַגמענטאַציע אייער אָרגאַניזאַציע אין דירעקטן ריזיקע פון שטראָף?