וואָס מאַכט עסטרייך'ס NIS 2 קאָמפּליאַנס אַזוי אומפאָרזעעבאר - און ווי זאָלט איר רעאַגירן?
די לאַנדשאַפט פֿאַר NIS 2 קאָנפאָרמאַטי אין עסטרייך איז דעפינירט דורך אַ דיקן נעפּל פון רעגולאַטאָרישע אַמביגואַטי, סעקטאָר רעקלאַסיפיקאַציע, און פֿאַרשיבונגען לעגאַלע דעדליינז. ווען זומער 2024 קומט אן, בלייבט דער געזעץ-פראבע אין א פלאץ, וואס צווינגט קאמפלייענס צו באַלאַנסירן: האַנדלען יעצט אויף אומפארענדיקטע אינפארמאציע, אדער ריזיקירן צו ווערן איבערראשט דורך לעצטע-מינוט רעגולאציע ענדערונגען. אין דעם קלימאט, איז אייער קאנקורענט נישט נאר א קאנקורענט אין דער אינדוסטריע - עס איז דער... אומזיכערקייט פון עסטרייך'ס לעגאלן פראצעס אליין.
ריזיקע זאמלט זיך אן אין די שאטנס - קאמפלייענס פירער מוזן ברענגען יעדע הנחה אין ליכט.
וואָס ווערט אָפט איבערגעזען איז ווי די פאַקטישע קאָנפאָרמאַטי דעדליין ווערט נישט באַשטימט דורך רעגולאַטאָרן, נאָר דורך דיין סעקטאָר'ס ריזיקאָ טאָלעראַנץ און אָפּמאַך פּייפּליין. עסטרייך'ס פריערדיקע NIS 1 טראַנספּאָזיציע האָט געזען סעקטאָראַלע ענטיטי ליסטעס האָבן איבערגעקוקט בלויז וואָכן איידער די לעגאַלע פֿענצטער האָט זיך פֿאַרמאַכט-שטעלן אָרגאַניזאַציעס וואָס פֿאַרלאָזן זיך אויף די קריטעריעס פֿון פֿאַרגאַנגענעם יאָר אין אַן איבערראשנדיקן אוידיט ריזיקע. די איינציקע קאָנסטאַנטע איז ענדערונג.
ווי צו אַנקער אויטאָריטעט אין אַ פליסיק סיסטעם
- הייבט אָן יעדע ראָודמאַפּ מיט דער ליסטע פון דער פעדעראלער קאַנצלעריע סייבער-זיכערהייט אויטאָריטעט.
- מאָניטאָרירן דאָס פעדעראלע מיניסטעריום, BMK, BMI, און סעקטאָראַלע פּלאַטפאָרמעס וועכנטלעך.
- אַבאָנירט זיך צו בולעטינען - סעקטאָראַלע, לעגאַלע און טעכנישע - צו פאַרהיטן פּלוצעמדיקע באַצייכענונג ענדערונגען.
אפעראציאנעלע מאנדאט: איינפֿירן אַ פּראָצעס פֿאַר צוויי-וועכנטלעכע וואַלידאַציע פֿון אײַער סעקטאָר/ענטיטי סטאַטוס, און עסקאלירט יעדע צוויידייטיגע דערהייַנטיקונג צו אייער לעגאַלער אָדער GRC פירער גלייך. די אָרגאַניזאַציעס וואָס בליען אין עסטרייַך'ס עוואַלווינג רעזשים זענען נישט די מיט די פאַנטאַסטישסטע טשעק-באָקסעס, אָבער די מיט די דיסציפּלין זיך קיינמאָל נישט צו פֿאַרלאָזן אויף לעצטן חודש'ס מאַפּע.
די קאָמפלייאַנס קאָסטן פון וואַרטן אויף זיכערקייט
יעדע וואָך פון וואַרטן און זען ברענגט אריין קאָסטן - אומזעיקבארע פּראָצעס-דריפט, איינגעפֿרוירענע בודזשעט-ליניעס, פֿאַרפעלטע פֿאַנדינג, און לעצטנס אַ פֿאַרלוסט פֿון אוידיט-צוטרוי. עסטרייכישע לעגיסלאַטיווע קולטור איז גענייגט צו קאָנסענסוס און לעצטע-שאַנס אַמענדמענטן, וואָס מיינט אַז קאָנפֿאָרמאַנס-טימס וואָס אַרבעטן אויף אַלטע באַצייכענונגען אָדער סטאַטישע טשעקליסטן ווערן געכאפט אין פֿאַלשע צוטרוי-פֿאַלן ווען רעגולאַטאָרישע קלעריפיקאַציעס לאַנדן אין דער עלפֿטער שעה.
שליסל איינבליק: דער פארדאקס איז קלאר: א פארשפעטיגונג קען זיך פילן זיכערער אין קורצן טערמין, אבער טאקע פארמערט קאסטן און ריזיקע איבערן מיטל טערמין. ווי דעדליינס ווערן פעסטער, ארגאניזאציעס וואס קענען ווייזן לעבעדיגע באווייזן פון גוט-גלויבן מי - פראאקטיווע דאקומענטאציע, פארפעלטע געלעגנהייטן, און סימולאציע רעקארדס - זענען די וואס וועלן באקומען א גוטן בליק פון ביידע אוידיטארן און באארדס.
ספר אַ דעמאָווי קען מען פארוואנדלען NIS 2 אומקלארקייט אין עסטרייך אין אן אוידיט מייַלע?
פֿאַרשטיין עסטרייך'ס דעצענטראַליזירטע קאָנפאָרמאַנס אַרכיטעקטור איז אַ מוז; אומוויסנדיקייט פֿון דער אויטאָריטעט גריד ברענגט אוידיט עקספּאָוזשער און אָפּעראַציאָנעלע פֿעלער. מיט פֿאַראַנטוואָרטלעכקייטן צעטיילט צווישן סעקטאָר-ספּעציפֿישע גופים - E-קאָנטראָל פֿאַר ענערגיע, FMA פֿאַר פֿינאַנץ, RTR פֿאַר טעלעקאָם, BMG/BMK פֿאַר געזונט, GovCERT פֿאַר רעגירונג, CERT.at פֿאַר אַלגעמיינע סעקטאָרן - איז וויסן דיין קייט-פון-קאָמאַנד און באַריכט פּראָטאָקאָל... ניט-פאַרקויפלעך.
ווען די לעגאַלע מאַפּע ענדערט זיך, מוז אייער אָנזאָג וואָרקפלאָו זיך ענדערן מיט איר - אָדער ריזיקירן קאַמפּליאַנס דריפט.
פארוואס מולטי-שיכטיקע אויטאריטעט איז א צוויי-שניטיקע שווערד
- עסקאַלאַציע וועגן: אַנדערש לויט סעקטאָר. למשל, אַ טעלעקאָם זיכערהייט אינצידענט ריקווייערז אַן אַנדער אָנזאָג ווי איינע אין דער ענערגיע גריד.
- נאטיפיקאציע פענצטער (24/72 שעה): ווערן פאליציירט דורך יעדער אויטאריטעט, נישט דורך א "צענטראלן" עסטרייך-ברייטן רעגולאטאר.
- סעקטאָר אויסלאָזונג שטראָפֿן: פארפעלטע אדער פארשפעטיקטע מעלדונגען - אָפט געפֿירט דורך רעפֿערענצן צו אַן אַלטמאָדישן אויטאָריטעט גריד - איז אַ הויפּט מקור פון NIS 2 אוידיט געפינסן.
דיין שפּיל־בוך:
יעדע אינצידענט סימולאציע אדער אוידיט טריק-לויף זאל אנהייבן מיט א טיש-טאפ אויטאריטעט מאפע סעסיע. בויט אייער אינצידענט עסאַקאַלאַציע און נאטיפיקאציע מאטריץ ספעציפיש קעגן די מערסט אפדעיטירטע אגענטור ליסטע. דאס איז נישט אדמיניסטראטיוו דעטאלן; דאס איז די רוקן-ביין פון דעמאנסטרירבארער קאמפלייענס.
אויטאָריטעט גריד מיני-טאַבעלע (אָפּעראַציאָנעלע רעפֿערענץ)
| סעקטאָר | רעגולאַטאָר נאָמען | באַריכט פֿענצטער | פּאָרטאַל / קאַנאַל |
|---|---|---|---|
| ענערגיע | E- קאָנטראָל | 24/72 שעה | אי-קאנטראל.אט |
| פינאַנצן | פמאַ | 24/72 שעה | fma.gv.at |
| טעלעקאָם | RTR | 24/72 שעה | rtr.at |
| געזונטהייַט | בי.עם.דזשי. / בי.עם.קי. | 24/72 שעה | bmg.gv.at / bmk.gv.at |
| רעגירונג | גאָווסערט | באַלדיק | גאָווסערט.אַט |
| אַלגעמיין | CERT.at | 24/72 שעה | סערט.אַט |
דאָקומענטאַציע איז אייער איינציקע פֿאַרטיידיקונג ווען אויטאָריטעט ליניעס זענען פֿאַרשווימען.
בעל NIS 2 אָן ספּרעדשיט כאַאָס
צענטראַליזירן ריזיקע, אינצידענטן, סאַפּלייערז און באַווייַזן אין איין ריינער פּלאַטפאָרמע.
פארוואס פּראָאַקטיוויטעט איז וויכטיקער ווי פּערפעקציע: קאָסטן און ווידערשטאַנדסקראַפט פֿאַר עסטרייכישע אונטערנעמונגען
עס איז דא אן איינגעבוירענע געפאר אין "איבער-צוגרייטן" פאר NIS 2 דורך איבער-אויסגעבן אדער בויען פראצעסן ארום שאצונגען. אבער עסטרייך'ס פראצעס איז אומאויפהערליך - ווארטן אויף גאנץ זיכערהייט פארמערט נאר באהאלטענע קאסטן: קאנסולטאנט קאסטן שפרינגען, לעגאלע באריכטן וואקסן, פינאנצן פענצטער שליסן זיך, און צייט-ארעמע טימס בלייבן נאכגעלאפן זייער אייגענע איבערארבעט.
יעדע וואָך פון אומאַקט פֿאַרשטאַרקט די אוידיט שלעפּ-קעגנשטעלנקייט ווערט פֿאַרדינט טעגלעך, קיינמאָל נישט אין רעטראָספּעקט.
זוימען ווידערשטאנד היינט צו נידעריקער גאַנץ קאָסטן שפּעטער
- לאָג יעדע פֿאַרהאַלטונג פֿון פֿינאַנצן אָדער פֿאַרפֿעלטע געלעגנהייט פֿאַר גראַנטן: דירעקטאָרן-ראטעס געדענקען זעלטן "פּויזע פֿענצטער" בעת אַ קריזיס - אָבער אוידיטאָרן און בודזשעט קאָמיטעטן באַמערקן שטענדיק קאָסטן-שפּיצן נאָכדעם וואָס לעגאַלע קלאַרקייט ערשיינט.
- בויען אין טרוקן-לויפן אוידיט סימולאציעס,: אפילו אויב נאָר אויף טיילווייזע קאָנטראָלס.
- דאָקומענטירן יעדע אַדאַפּטאַציע: "זינט יולי 2024, סעקטאָר סטאַטוס מאַפּט קעגן BKA רשימה; פּראָצעס איבערגעקוקט אין פיר מיניסטעריומס."
אַקציע טשעקפּוינטס:
- שטענדיק דאקומענטירן אויסגאבן, פארפעלטע געלטער, און צייט-צו-אדאפטירן.
- לויפט סיסטעם טעסטס כדי איר זאלט זיין גרייט ווען די לעגאלע גרינע ליכט קומט אן.
- כאַפּט יעדע הויפּט קאָנפאָרמאַנס אַקציע (אָדער ינאַקציע), גרייט פֿאַר דירעקטאָרן-ראַט קאָנטראָל אָדער צוקונפֿטיקע אוידיט איבערבליק.
נאַוויגירן דעם עסטרייכישן סעקטאָראַלן לאַבירינט: ווי אַזוי צו מאַפּירן אייער אינצידענט רעספּאָנס און CSIRT קאָנעקטיוויטי
א קאמפלייענט CSIRT קאאפעראציע פלאן איז נישט קיין "טשעק-קעסטל" פאר ISO אינטעגראטארן - עס איז דער טיגל אין וועלכן עסטרייך'ס NIS 2 אוידיט פערפארמענס ווערט געשמידט. יעדער אינצידענט טריגערט א געמיש פון לאקאלע, סעקטאראלע, און נאציאנאלע אויטאריטעט קאנטאקט-פונקטן, יעדער מיט זיין אייגענעם עסקאלאציע וועג, באריכטן פענצטער, און באווייז לאסט (cert.at; digital-strategy.ec.europa.eu).
בייַשפּיל: טריגער-צו-עווידענס מאַפּינג
| אינצידענט טריגער | רעגיסטרירן אַפּדייט | SoA/קאָנטראָל רעפערענץ | אוידיט-באווייזן |
|---|---|---|---|
| ראַנסאָמווער (ענערגיע) | "סייבער געשעעניש ↑" | NIS2 אַרטיקל 23, ISO A.5.26 | SIEM אַלערט, CERT.at נאָטיף. |
| טעלעקאָם אויספאַל | דאַונטיים ריזיקע ↑ | NIS2 אַרטיקל 21, ISO A.5.29 | עסקאַלאַציע אימעיל, BCP איבערבליק |
| פערזענלעכע דאַטאַ בריטש | פּריוואַטקייט ריזיקע ↑ | NIS2 אַרטיקל 21, GDPR קונסט 33 | DPO וואָרענונג, DSB נאָטיפיקאַציע, אימעיל |
אפעראציאנעלע געבאָט: יעדע מעלדונג, יעדע דערהייַנטיקונג - מוז זיין צייט-געשטעמפּלט, באַקומער-געלאָגט, און לעבן-עקספּאָרטירבאר. עסטרייך'ס אָדיטינג קולטור ענדערט זיך שנעל: וואָס איז נישט באַוויזן אין לאָגס וועט נישט ווערן מוחל געווען דערנאָך.
קורצע אוידיט-גרייט שריט-ליסטע
צו בויען א פארטיידיגבארע CSIRT רעאקציע אין עסטרייך:
- באַשטעטיקן אויטאָריטעט מאַפּינג פֿאַר דעם אינצידענט טיפּ.
- דערהייַנטיקן ריזיקירן רעגיסטרירן אין פאַקטיש צייַט.
- לאָג עסאַקאַלאַציע מיט באַקומער/צייטשטעמפּל.
- אַרכיווירן אַלע נאָטיפיקאַציעס/עקספּאָרטירן לאָגס קוואַרטאַל.
זייט NIS 2-גרייט פון טאג איינס
לאָנטש מיט אַ באַוויזן וואָרקספּייס און טעמפּלאַטן – נאָר צופּאַסן, צוטיילן, און גיין.
אויספּלעכטן די סעקטאָר-צושטעל קייט עקאָסיסטעם: וואו עסטרייכישע קאָנפאָרמאַנס ווערט כאַאָטיש
די ווירקלעכקייט אין עסטרייך: קיין אָרגאַניזאַציע איז נישט אפגעזונדערטסעקטאָר גרענעצן, רעגיאָנאַלע אויטאָריטעטן, און צושטעל קייט CSIRT פֿאַראַנטוואָרטלעכקייטן פאַרבינדן זיך - פֿאַרשטאַרקן ביידע געלעגנהייט און ריזיקע.
קראָס-ענטיטי עסקאַלאַציע טשעקליסט
- באַשטעטיקן אינצידענט עסאַקאַלאַציע מאַפּינג פֿאַר יעדן סאַפּלייער, נישט נאָר פֿאַר אייער אייגענע אָרגאַניזאַציע.
- אויפשטעלן און אויפהאלטן א רעקארד פון אלע סאַפּלייער זיכערהייט קאָנטאַקטן און CSIRTs.
- בענטשמאַרק אייער אייגענע און אייערע סאַפּלייערז' קאַמפּליאַנס פּראָגרעס, לפּחות קוואַרטאַל-רעקאָרד פֿאַרבעסערונגען און פֿלאַגייטאַד גאַפּס.
- דורכפירן געמיינזאמע אינצידענט סימולאציעס און וואָרצל-גרונט אַנאַליזעס.
- גלייכגילטיקע איבערבליק יעדע 6 חדשים; זיך צוזאמענארבעטן מיט ראיאן-ספעציפישע שטיצע גרופעס.
ווידערשטאנדסקראפט קאמפלייענס ווערט געמאסטן דורך רעגיסטרירטע פֿאַרבעסערונגען, נישט דורך דער אַוועק פון אינצידענטן.
פֿאַר קליינע און מיטלשטענדיקע גרופּעס, קאָאָרדינירן מיט רעגיאָנאַלע אויטאָריטעטן און סעקטאָר גרופּעס צו צוקומען צו גראַנט געלעגנהייטן און טיילן זיך מיט גלייַכגילטיקע לערנען. קראָס-סעקטאָר בענטשמאַרקינג, ספּעציעל פֿאַר אינצידענט ענטפער און נאטיפיקאציע לאגס, אונטערשיידט די וואס גייען דורך די ערשטע מאל אויספארשונגען פון די וואס זענען פארכאפט אין טייערע נאך-מאָרטעמס אויף דער באארד-לעוועל.
וואָס מיינט NIS 2 פֿאַר עסטרייכישע דירעקטאָרן־ראַטן און עקזעקוטיוון? די נייע עפאכע פֿון פּערזענלעכער פֿאַראַנטוואָרטלעכקייט
אין 2024, שטייען דירעקטאָרן און עלטערע פירער פאר א פרישער רעאליטעט: פֿאַראַנטוואָרטלעכקייט אויף באָרד־לעוועל פֿאַר גראָבע נעגליגענץ אין NIS 2 קאָנפאָרמאַציעדי טעג פון באהאנדלען סייבער-זיכערהייט ווי "בלויז ריזיקע איבערטראגונג" זענען פארביי; אויסשטעל צו רעגולאטורישע שטראָפן, פארבאטן, אפילו קרימינעלע פראצעדורן איז דירעקט.
מענעדזשמענט פֿאַראַנטוואָרטלעכקייט איז איצט געבויט אויף לעבעדיקע דיגיטאַלע באַווייַזן, נישט צוזאָגן געמאַכט בײַם לעצטן יאָר'ס וואָרקשאָפּ.
שנעל-פייער אוידיט-גרייט באארד טשעקליסט
- איז דא א לייוו? ריזיקירן רעגיסטרירן, עלעקטראָניש אונטערגעשריבן און צייטגעשטעמפּלט?
- צי אינצידענט פלענער לאָגירן אנערקענונג און עסאַקאַלאַציע אין פאַקטישער צייט?
- קען מען עקספּאָרטירן די פֿאַרענדיקטע טרענירונגען פֿון שטאַב גלייך?
- זענען קאָנטינגענסי און פֿאַרבעסערונג ציקלען אַקטועל און באַוויזן?
- ווערט יעדע שליסל אונטערגעשריבן רעגיסטרירט מיט א דאטום, צייטשטעמפּל, און פאראנטווארטלעכן אייגענטימער?
עסטרייכישע אויטאריטעטן און עקסטערנע אוידיטארן זענען קלאר: דיפענסיווע פאַרוואַלטונג איז קאָנטינויִערלעךאויטאמאטיזאציע פון דערמאנונגען, עלעקטראנישע אונטערשריפטן, און לעבעדיגע לאג איבערבליקן איז איצט סטאנדארט, נישט קיין לוקסוס. פלאנירט כאטש צוויי מאל יערליכע פארבעסערונג שפרינטס און דאקומענטירט פארשריט פאר יעדן באארד ציקל.
עסטרייכישע דירעקטאָרן-ראטעס און מענעדזשערס דארפן ווייזן לעבעדיגע, דיגיטאלע אויפזיכט איבער NIS 2 קאנפארמיטי, מיט דירעקטע אחריות פאר דורכפעלער - אן אונטערגעשריבענער לאג איז אייער לעצטע ליניע פון פארטיידיגונג.
אַלע אייערע NIS 2, אַלץ אין איין אָרט
פֿון אַרטיקלען 20–23 ביז אוידיט פּלענער – דורכפֿירן און באַווײַזן קאָנפֿאָרמאַנס, פֿון ענד צו ענד.
ווי אויטאמאטיזאציע און אוידיטירבאַרקייט דעפינירן NIS 2 גרייטקייט אין עסטרייך
קאָנטינויִערלעכע, אויטאָמאַטישע גאַווערנאַנס האָט זיך געביטן פֿון "גוט צו האָבן" צו מינימום נאָרמאַלמאַנועלע, ספּרעדשיט-באַזירטע לאָגינג שטעלט אויס אייער אָרגאַניזאַציע צו עכטע געשעפטלעכע און לעגאַלע ריזיקעס. די קאָמפּאַניעס וואָס געווינען אונטער עסטרייַך'ס NIS 2 רעזשים זענען די וואָס קענען "עקספּאָרט באַווייַז" אויף פאָדערונג, נישט די וואָס זוכן דאָקומענטן נאָכדעם וואָס דער אוידיט בריוו איז געלאַנדעט.
בריק טיש: פארוואנדלען אוידיט ערווארטונג אין לעבעדיגע קאנטראלן
| אוידיט ערוואַרטונג | אָפּעראַציאָנאַליזאַציע | ISO 27001 / NIS 2 רעפערענץ |
|---|---|---|
| צייטליך אינצידענט באַריכטינג | אויטאָמאַטישע מעלדונג וואָרקפלאָו | NIS2 אַרטיקל 23, ISO A.5.25, A.5.26 |
| באָרד אונטערשרײַבןs | עלעקטראָנישע אונטערשריפט און סקעדזשולינג | ISO 9.3.1, NIS2 אַרטיקל 20 |
| עקספּאָרטירבארע באַווײַזן | אויডিץ לאָג עקספּאָרטן און טרייסאַביליטי | ISO A.5.35, A.5.36 / NIS2 21 |
| קעסיידערדיקע פֿאַרבעסערונגען | וואָרקפלאָו איבערבליק ציקלען | ISO 10.2, NIS2 קאָנטראָלן |
שליסל אינערלעכע אקציעס:
- מאַכט ריזיקאָ און אינצידענט רעגיסטערס דיגיטאַל, אַפּדייטאַבאַל, און אונטערגעשריבן.
- אויטאָמאַטיזירן אונטערשרייבונג און עסאַקאַלאַציע וואָרקפלאָוז.
- דאָקומענטירן אַלע פֿאַרבעסערונג ציקלען פֿאַר קאָנטראָלירן גרייטקייַט.
- עקספּאָרטירן לאָגס יעדן קוואַרטאַל - ווייַזן, נישט זאָגן.
ווי ISMS.online שטעלט אויס עסטרייכישע אָרגאַניזאַציעס פֿאַר NIS 2 - פֿון באָרדרום צו רעגיאָנאַלע מאַנשאַפֿטן
עסטרייך'ס רייזע צו NIS 2 קאמפלייענס איז נישט קיין טשעקליסט שפרינט, נאר א קאמפעטיטיוו מאראטאן - וואס באלוינט ווידערשטאנדסקראפט, באווייזן, און אפעראציאנעלע מאטוריטעט. ISMS.online פאראייניגט פאליסי, ריזיקע, און אוידיט טעמפלעיטס ספעציעל צוגעפאסט צו עסטרייך'ס רעגולאטורישע פלאטשווערקפאַר-געבויטע סעקטאָר טשעקליסטן, אויטאָמאַטיש audit trailס, עלעקטראָניש אונטערגעשריבענע דערקענטענישן, און לעבעדיקע באַווײַזן עקספארטן, דערהייַנטיקט ווי די לעגאַלע לאַנדשאַפט ענדערט זיך.
קאָנפאָרמאַנס איז נישט קיין פּראָיעקט; עס איז אַ פּולס - בויט עס אַרײַן אין אײַער וואָרקפֿלאָו איידער דעדליינז שליסן זיך.
פארוואס האַנדלען איצט: אַדוואַנטאַגעס פון דירעקטאָרן און קליינע און מיטלשטענדיקע געשעפטן
- קאָמפּליאַנס לידער: באַקומען רעאַל-צייט סעקטאָר און אויטאָריטעט דערהייַנטיקונגען מאַפּט צו יעדן וואָרקפלאָו.
- דירעקטאָרן און מענעדזשערס: נוץ האָבן פון דיגיטאַלע חתימות, עקספּאָרטירבארע לאָגס, און פּאָליטיק באַטייליקונג.
- קליינע און מיטלשטענדיקע געשעפטן און רעגיאָנאַלע מאַנשאַפֿטן: קענען צוקומען צו מענטאָרשאַפט, דײַטש-שפּראַכיקע מוסטערן, און לאָקאַלע פאַנדינג אַלערץ אַזוי שנעל ווי זיי ווערן בנימצא.
- איי-טי, פּריוואַטקייט, און אָדיט פּראָפעסיאָנאַלן: אויטאמאטיזירן באווייזן, פירן אונטערשרייבונגען, און ארקעסטרירן קראָס-פרעמווערק אוידיטס - אלץ פון איין פלאטפארמע.
דער אימפּעראַטיוו: בויען ווידערשטאַנד איידער לעגאַלע זיכערקייט קומט אָן
פֿאַרבעסערט אייערע באַווײַזן, פֿאַרשטאַרקט פֿאַרבעסערונגען, און צייכנט אייער קאָנפאָרמאַנס מאַפּע מיט עסטרייך'ס עוואָלווינג אויטאָריטעט גרידס. הייבט אָן מיט איין שריט: פֿאַראייניקט אייערע קאָנפאָרמאַנס וואָרקפֿלאָוז מיט ISMS.online - אַזוי יעדער פארלאנגטער לאָג, קאָנטאַקט, עסאַקאַלאַציע, און פֿאַרבעסערונג איז דיגיטאַל און אָדיט-גרייט. אייער פֿאַרטיידיקונג - און אייער קאמערציעלע מייַלע - הענגט אָפּ פֿון זיך באַוועגן איצט, נישט נאָכדעם וואָס דער געזעץ איז פֿינאַליזירט.
ספר אַ דעמאָאָפֿט געשטעלטע פֿראגן
ווער באַשטימט טאַקע אייער NIS 2 קאָנפאָרמאַנס דעדליין און ענטיטי סטאַטוס אין עסטרייך - און ווי בלייַבט איר אַוועק פון דער אומרעכטער זייט פון ענדערונגען אין געזעץ?
אייערע NIS 2 פליכטן אין עסטרייך ווערן באשטימט דורך אפיציעלע אויטאריטעטן - נישט סטאטישע טשעקליסטן, דריט-פארטיי קאנסולטאנטן, אדער לעצטן יאר'ס GRC פראיעקט. לעגיסלאטיווע אחריות פאלט הויפטזעכליך אויף דעם מיניסטעריום פון אינערן (BMI), מיט סעקטאר מיניסטעריומס ווי BMK (קלימאט, מאביליטעט, אינוואציע) אדער BMF (פינאנץ) שפילנדיג באשליסנדע ראלעס, בשעת פארלאמענט האלט אן צו פארהאנדלען די דעטאלן. אין יעדער צייט, קען א פינאליזירטע סעקטאר ליסטע, דורכפירונג דעדליין, אדער אפילו די דעפיניציע פון "עסענציעלע" און "וויכטיגע" ענטיטיס זיך טוישן, כאפן נישט-פארבערייטע ארגאניזאציעס אומגעריכט (אייראפעאישע קאמיסיע, 2024). זיך פארלאזן אויף פארעלטערטע אנווייזונגען אדער אלגעמיינע לעגאלע מעמאָס שאפט בלינדע פלעקן: אפילו א קליינע רעגולאציע דערהיינטיקונג קען ברענגען אייער ענטיטי אונטער נייע רעקווייערמענץ איבערנאכט, וואס באאיינפלוסט אייערע קאמפלייענס דעדליינס און אוידיט פענצטער.
אין עסטרייך'ס לעבעדיקער געזעץ סביבה, נאָר טימז וואָס קאָנטראָלירן סעקטאָר ליסטעס, אויטאָריטעט מעלדונגען און לעגאַלע רעגיסטערס אויף אַ 48-שעה ריטעם ויסמיידן איבעראשנדיקע ניט-קאָנפאָרמאַנס ריסקס.
ווי אזוי צו פארשטארקן אייער קאמפלייענס סטאטוס:
- שטעלן מאָניטאָרינג רוטינעס פֿאַר מיניסטעריום און אָפיציעלע גאַזעט מעלדונגען:
- באַשטימט אַן אַרבעטסגרופּע צווישן דעפּאַרטמענטן צו וואַלידירן אייער ענטיטי סטאַטוס מיט יעדער דערהייַנטיקונג פון דער סעקטאָר אויטאָריטעט.
- פירן א לעגאלן רעגיסטער-רעגיסטער יעדע רעגולאַטאָרישע אַנטוויקלונג אָדער סעקטאָר קלאַסיפיקאַציע ענדערונג אין דער זעלבער וואָך וואָס עס ערשיינט.
- האַלט צייט-געשטעמפּלטע באַווייַזן פון באריכטן, ריזיקאָ לאָגס, און קאָמוניקאַציע מיט רעגולאַטאָרן צו קעגנשטעלן יעדע אוידיט באַהויפּטונג פון "פּאַסיוו קאַמפּליאַנס".
מאָמענטבילד: נאָר דינאַמישע, אוידיטאַבלע מאָניטאָרינג קען באַווייַזן אַז איר זענט געבליבן אין דעם פאַרנעם און האָט געהאַנדלט אויף יעדן לעבעדיקן דערהייַנטיקונג בשעת פּאַרלאַמענט און מיניסטעריומס פינאַליזירן NIS 2 כּללים.
וואָס קאָסט טאַקע וואַרטן אויף עסטרייך'ס NIS 2 געזעץ - און ווי פאַרהיט מען שטילע קאָנפאָרמאַנס חובות?
דורך ווארטן ביז דער געזעץ וועט זיך באשליסן, זאמלען ארגאניזאציעס שטילערהייט אן "קאמפליענס חובות": געלט אויסגעגעבן אויף קאנסולטאנטן אדער ווייכווארג וואס דארף מעגליך איבערארבעט ווערן, שטאב שעה פארלוירן אין צוגרייטן פאר פראוויזארישע רעקווייערמענטס, אדער פארפעלטע פאנדינג און גראנט ציקלען פארבונדן מיט NIS 2 אימפלעמענטאציע (Cyberday, 2024). ערגער, ווי לענגער די פירערשאפט פארשפעטיקט פראאקטיווע טריט, אלץ גרעסער די גערויש אזוי שנעל ווי דער פארלאמענט הייבט אן: אוידיט שפרינטס, געיאגטענע באארד אונטערשריפטן, און אנגעשטרענגטע טימס ווערן אומפארמיידלעך.
טימז וואָס וואַרטן ביז דער געזעץ פאָרמעל ווערט אָפּגעוואָרפן וועלן זיך שטעלן אַנטקעגן אַ קאָליזיע פון אויפֿהער ציקלען, פֿאַרלוירענע גראַנט געלעגנהייטן, און נאָך-האָק באַשולדיקונג שפּילן - אָפט דאָקומענטירט וואָכן אָדער חדשים צו שפּעט.
פריע אקציעס צו צעברעכן די "ווארטן און זען" פאסטקע:
- לאָגירט יעדע קאָנסולטאַציע אָפּצאָל, קאָנסולטאַציע שעה, אָדער געצייַג קויפן פּלאַנירט פֿאַר NIS 2 – מאַרקירט יעדע וואָס קען זיך טוישן אויב דער געזעץ ענדערט זיך.
- היט אויף באווייזן פון פארפעלטע אדער פארשפעטיקטע גרענט אפליקאציעס; די לאגס פארשטארקן אייער פאל פאר צוקונפטיגע פינאנציעלע איבערבליקן אדער באארד פארלאנגען.
- פירט אויס קוואַרטאַלע טיש-איבונגען פֿאַרן באָרד און מענעדזשמענט: אפילו אַ פּשוטע טרוקן-לויפֿונג פֿון אינצידענט ענטפער אדער נאטיפיקאציע ליניעס בויט באטייליגונג און קאָנטראָלירן-גרייט זאָגן.
- שטעלט אויף א קאנטינעווערליכע פארבעסערונגס-לאג, רעקארדירנדיג לעקציעס אדער סטראטעגישע ענדערונגען יעדן קווארטל - אפילו אויב דער געזעץ איז נאך נישט ענדגילטיג.
קלוגע שריט: ניצט אַן ISMS וואָס שטיצט לעבן קאָנטראָלירן טריילז און ערלויבט אייך צו כאַפּן יוואַלווינג רעקווייערמענץ און אַקשאַנז-דעמאַנסטרייטינג כוונה לאַנג איידער דורכקוק.
ווער רעגולירט אייער קאמפלייענס אונטער NIS 2 אין עסטרייך, און ווי קענט איר אויסגלייכן פאראלעלע אויטאריטעטן און CSIRT איבערגעבונגען?
די עסטרייכישע NIS 2 קאמפלייענס אויטאריטעט שטאמט פון די BMI (אינעווייניק מיניסטעריום), אבער סעקטאראלע אויפזיכט ליגט אפט ביי BMK, BMF, אדער אגענטורן ווי FMA (פינאנץ) און E-Control (ענערגיע). מיטן פארלאמענט וואס באראטן א פארמאלע Cybersicherheitsbehörde פאר 2026, שטייט איר פאר מעגליכע תקופות ווען באריכטן און עסקאלאציע וועגן זענען אין שטאנד (Sabadello Legal, 2024). געוויסע סעקטארן קענען האבן פאראלעלע אויטאריטעטן וואס פארלאנגען באזונדערע מעלדונגען אדער אנדערע דאקומענטאציע סטאנדארטן. א מיספארשטענדעניש פון די אונטערשיידן ריזיקירט דורכפאלן "וועמען האט איר געמאלדן, און ווי?" אוידיט טעסטן.
וואָס דעפינירט ווידערשטאַנדספעאיקע קאָנפאָרמאַנס איז נישט האָבן אַ פּאָליטיק אויף טעקע - עס איז אַ לעבעדיקער לאָג וואָס דעטאַלירט, שריט-ביי-שריט, יעדע איבערגעבונג צווישן נאַציאָנאַלע, סעקטאָראַלע און CSIRT קאָנטאַקטן, אַרייַנגערעכנט אַ פאַלבעק אויב די אויטאָריטעטן טוישן זיך אין מיטן ענטפער.
טריט צו קלעראַפיצירן און רעקאָרדירן אייערע באַריכט קייטן:
- אידענטיפיצירן אַלע איצטיקע סעקטאָר און נאַציאָנאַלע רעגולאַטאָרישע קאָנטאַקטן: נעמען, פּאָרטאַלן, אינצידענט פאָרמען.
- מאַפּירן אייערע עסאַקאַלאַציע און אָנזאָג שטראָמען - אַרייַנגערעכנט אַ פאַלבעק פֿאַר מאָל ווען פּאַרלאַמענט אָדער סעקטאָראַלע אַגענטורן מאָדיפיצירן זייער אויטאָריטעט.
- האַלט אן אויג אויף אַלע אויטאָריטעט קאָמוניקאַציעס (אימעיל, טעלעפאָן, פּאָרטאַל לאָגינס) מיט דאַטע/צייט און עסאַקאַלאַציע קאָנטעקסט פֿאַר יעדן אינצידענט אָדער רעגולאַטאָרישע פֿראַגעס און ענטפֿערס.
- אַדזשאַסטירן אייערע פּראָטאָקאָלן פֿאַר יעדן רעגולאַטאָרישן איבערגאַנג, און האַלטן אַ היסטארישן בוך פון פריערדיקע אויטאָריטעט קאָנטאַקטן און באַריכט ליניעס.
טעכניש עצה: ISMS.online'ס קאמפלייענס וואָרקפלאָוז מאַכן עס גרינג צו עמבעד אַרויף-צו-דאַטע אויטאָריטעט קאָנטאַקטן אין דיין ריפּאָרטינג פּראָטאָקאָלן און לאָג קאָמוניקאַציע פֿאַר יעדער אָדיט אָדער דורכקוק.
ווי אזוי ווירקן עסטרייך'ס CSIRTs און רעאל-וועלט אינצידענט וואָרקפלאָוז אויף אייער NIS 2 אוידיט סטאַטוס?
נאך א דורכברוך אדער א באדייטנדיקן אינצידענט, פארלאנגען אוידיטארן אין עסטרייך קלארע רעקארדס: ווער האט אידענטיפיצירט דעם אינצידענט, ווער האט עס עסעקאלירט (CERT.at פאר פריוואט/קריטיש, GovCERT פאר פובליק), ווי שנעל נאטיפיקאציעס און באארד ווארענונגען זענען געשיקט געווארן, און אז יעדער שריט איז רעגיסטרירט געווארן מיט דאטום/צייט-שטעמפלס (ENISA CSIRTs נעטווארק, 2024). זיך פארלאזן אויף אלטע NIS 1 ארבעטס-פלוסן, אדער דורכפאל צו האלטן OpKoord/IKDOK עסעקאלאציע מוסטערן אקטועל, שאפט אוידיט שוואכקייטן. גלייכ-ריוויוד דרילס כאטש צוויי מאל א יאר - מיט לאגס און לעקציעס אינטעגרירט אין באווייזן - ווערן דער סטאנדארט וואס אונטערשיידט קאמפליאנט ארגאניזאציעס פון שוואכע.
אונטער אויפזיכט, צוטרויען אוידיטארן נאר דעם צייטשטעמפּל; יעדע נישט-געבויערטע, נישט-דאקומענטירטע עסאַקאַלאַציע קייט שטעלט אייך אין ריזיקע.
אוידיט-זיכערע אינצידענט פאַרוואַלטונג באַוועגונגען:
- ענשור אינצידענט פּלייבוקס זענען צוגעפאסט צו די לעצטע ENISA, IKDOK, און NIS 2 רעגולאציעס - דערהייַנטיקט ראָלעס און קאָנטאַקטן צוויי מאָל אַ יאָר אָדער ביי יעדער הויפּט לעגאַלער ענדערונג.
- אויטאמאטיזירן זאמלונג פון אלע נאטיפיקאציעס, עסאקאלאציעס, און באארד אונטערשרייבונגען, און אויפהיטן לאגס פאר יעדן.
- רעגולער דורכפירן עסאַקאַלאַציע דרילס מיט קראָס-טימז און סאַפּליי טשיין באַטייליקונג; רעקאָרדירן און אָפּשאַצן רעזולטאַטן אין די ISMS פֿאַר צוקונפֿטיקע אַדאַץ.
- האַלט ביידע "לעבעדיגע" און אַרכיווירטע באַווײַז לאָגס צו ווײַזן קעסיידערדיקע פֿאַרבעסערונג און רעגולאַטאָרישע אַדאַפּטאַציע.
פעלד-באוויזן: נאָר אָדיטירטע און גלייַכגילטיק-ריוויוד עסקאַלאַציע קייטן, געהיט אין דיין ISMS, קענען וואַלידירט ווערן אונטער די קורצע אָדיט צייטפֿריימען וואָס רעגולאַטאָרן איצט דורכפֿירן.
וואו באַהאַלטן זיך עסטרייך'ס NIS 2 קאָנפאָרמאַטי טראַפּס - ספּעציעל פֿאַר סאַפּליי טשיין און מולטי-סעקטאָר ענטיטיז?
עסטרייך'ס איבערדעקונג פון נאציאנאלע און אי.יו. סעקטאראלע געזעץ איז א מינענפעלד פאר ארגאניזאציעס מיט פארשידענע אדער רעגיאנאל פארשפרייטע צושטעל קייטן. א קליינע און מיטלשטענדיקע ביזנעס פירמע וואס צושטעלט צו א רעגולירטע ענערגיע פירמע קען ווערן אריינגעצויגן אין NIS 2 פארנעם איידער זי באקומט א דירעקטע נאטיפיקאציע. קאנפליקטירנדע סעקטאראלע האנטבוכער, פארשידענע רעגולאציע אויטאריטעטן, און אומקאנסיסטענטע באריכטן ליניעס איבער עסטרייך און אי.יו. מיינען אז מאפירן יעדע טעטיקייט צו אלע מעגלעכע אויטאריטעט ערווארטונגען איז מער נישט אפציאנאל (אינסייד פריוואטקייט, 2024).
עכטע קאָנפאָרמאַטי ווערט אויפגעבויט דורך מאַפּינג יעדן פּראָטאָקאָל - אינצידענט, ווענדאָר וועטערינג, קאָנטראָל - אַריבער אַלע אָוווערלאַפּינג אויטאָריטעטן און סעקטאָרן, און דערנאָך מאַכן יעדן שריט פּיר-ריוויוד און אָדיט-גרייט.
טאַקטיקן פֿאַר מולטי-סעקטאָר און סאַפּליי קייט פארזיכערונג:
- צענטראַליזירן אַלע סעקטאָר און אויטאָריטעט מאַפּינג אין דיין קאַמפּליאַנס סיסטעם; זיכער מאַכן אַז יעדער קאָנטראָל, עסאַקאַליישאַן און באַווייַז לאָג איז מאַפּט צו אַלע באַטייַטיק אויטאָריטעטן.
- פירן דורך צוויי-יעריקע סאַפּליי טשיין קאַמפּליאַנס קליניקס - לאַדען איינ ווענדאָרס צו איבערקוקן טעמפּלאַטן, האַנדביכער און איבערזעצונג פלאָוז צוזאַמען.
- פירט א לעכער פון אלע איבערגעבונג רעקארדס, קראָס-סעקטאָר אינצידענטן, און אויטאָריטעט רעזאָלוציעס מיט חתימות און צייט שטעמפּלס.
- ניצט מאַפּינג ענדזשינס ווי די אין ISMS.online צו זיכער מאַכן אַז יעדע טעטיקייט איז פארבונדן צום ריכטיקן אַנעקס, SoA, און אויטאָריטעט טרייל.
פארטיידיקבאַרער שטאַט: רעגולערע איבערבליקן פון סאַפּלייער און צווייַג, מיט געמיינזאַמע לאָגבוך און פּאָליטיק מאַפּינגס, פאַרהיטן אוידיט כאַאָס און רעדוצירן סעקטאָר-לעוועל שטראָף.
ווי קענען קליינע און מיטלשטענדיקע געשעפטן און רעגיאָנאַלע טימז אין עסטרייך איבערטרעפן NIS 2 פינאַנציערונג גאַפּס און ויסמיידן אַ פאַרהאַלטונג אין אוידיט ריזיליאַנס?
כאָטש גרויסע אונטערנעמונגען קענען האָבן דעדאַקייטאַד קאָנפאָרמאַנס טימז, קליינע און מיטלשטענדיקע געשעפטן און רעגיאָנאַלע אָפּעראַציעס פאַרלאָזן זיך אָפט אויף אַלטמאָדישע גיידליינז, פאַרפעלן ENISA דערהייַנטיקונגען, אָדער פאַרלאָזן צו טראַקן גראַנט ציקלען - וואָס מאַכט זיי מער פאַרלעצלעך צו אָדיטאָרס געפינסן און פאַנדינג דעפיציטן (ENISA, 2024). אַנשטאָט, דאָקומענטירן אַלע באָרד דיסקוסיעס, פֿאַרבעסערונג אַקשאַנז, און ריזיקע באריכטן בויט שנעל א לעבעדיגע, אוידיטאַבלע שפּור - פיל מער איבערצייגנדיק ווי נישט-געפּריפֿטע, קעסטל-אָפּצייכענענדיקע פּאַפּירן.
פֿאַר קליינע און מיטלשטענדיקע געשעפטן, אפילו פּשוטע רעקאָרדס פֿון באַטייליקונג פֿון דירעקטאָרן-ראַטן, פֿאַרזוכן צו שטיצן גראַנטן, און לעקציעס וועגן "כוונה צו נאָכקומען" שאַפֿן אַ פֿאַרטיידיקבאַרן רעקאָרד, וואָס איבערטרעפֿט די סטאַטישע טשעקליסט-קאָמפלײַאַנס.
קאנקרעטע טריט פאר קליינע און מיטלשטענדיקע ביזנעסער און גרייטקייט צום דאָרפֿישן שטח:
- באַשטימען אַ גראַנטס "סקאַוט" און האַלטן אַ ראַיאָן-ספּעציפֿיש לאָג פון אַלע ENISA און מיניסטעריום קאָמוניקאַציעס.
- ארויסברענגען פאַל שטודיעס פון סעקטאָר קאָלעגן; טיילן לערנען מיט לאָקאַלע קליינע און מיטלשטענדיקע געשעפט נעטוואָרקס און בויען מענטאָר פּייפּליינז.
- פּלאַנירן ריזיקאָ און אַקציע לאָג איבערבליקן אין יעדער פאַרוואַלטונג זיצונג, דאָקומענטירן רעזולטאַטן ווי אַ באַווייַז פון אוידיט.
- ניצט צוגענגלעכע ISMS מכשירים צו צענטראַליזירן און אויפֿהיטן אַלע פֿאַרבעסערונג, טריינינג און קאָנפאָרמאַנס לאָגס - וואָס קענען ווערן געפֿירט צו יעדן פֿאַנדינג אָדער אוידיט געשעעניש.
מייַלע: טימז וועמענס לאָגס ווייַזן אַ מיינדסעט פון קעסיידערדיק פֿאַרבעסערונג, אפילו אָן פּערפעקטע קאָנטראָלס, געווינען ביידע אוידיט צוטרוי און בעסערן צוטריט צו נייַע גראַנץ.
מיט וואָסערע נייע פֿאַרפֿליכטונגען שטייען עסטרייכישע דירעקטאָרן־ראַטן אַנטקעגן נאָך די 2 שקלים — און וואָסערע באַווײַזן מוזן דירעקטאָרן האָבן אויף פֿאָדערונג?
עסטרייך'ס NIS 2 געזעץ רוקט אויסדריקליך די אחריות צום באארדרום: דירעקטארן און אפיצירן זענען איצט אונטערטעניק צו קנסות - און דירעקטאר פארבאטן - פאר גראבע נעגליגענס, איבערגעחזרטע דורכפעלער, אדער אומבאוויזענע קאמפלייענס אויפזיכט (מאנדאק, 2024). עס איז שוין נישט גענוג צו "האבן א פאליסי." יעדער ריזיקע אקציע פלאן, אינצידענט לאָג, באָרד איבערבליק, און טראַינינג רעקאָרד מוזן זיין עלעקטראָניש אונטערגעשריבן, דאַטע-געשטעמפּלט, און אָדיטאַבאַל - אָפט ין טעג פון אַן דורכקוק.
וואו אַמאָל זענען פּאָליסי בינדערס געווען גענוג, איצט באַפרידיקן בלויז לעבעדיגע, אונטערגעשריבענע און שנעל צוריקקריגבאַרע לאָגס דירעקטאָרן-פֿאַראַנטוואָרטלעכקייט שוץ.
קאָמפלייענס טריט אויף באָרד-לעוועל:
- דערהייַנטיקן עסקאַלאַציע און אַחריות פּראָטאָקאָלן; דורכפירן רעגולערע איבערבליקן צו דעפינירן און פֿאַרמינדערן "גראָבע נעגליגענס".
- זיכער מאַכן אַז אַלע הויפּט קאָנפאָרמאַנס רעקאָרדס - אַרייַנגערעכנט אינצידענט לאָגס, ריזיקע רעגיסטערס, און פּראָטאָקאָלן פֿון באָרד-זענען טרעיסאַבאַל, אונטערגעשריבן, און זיכער געהאלטן.
- קאָנפיגורירן ISMS וואָרקפלאָוז פֿאַר רעגע "אָדיט פּאַק" עקספּאָרט-פאַרהאַלטונגען אָדער פאַרענדיקטע טעקעס פאַרגרעסערונג רעגולאַטאָרי דורכקוק און ריזיקירן.
- אויטאמאטיזירט רעגולערע קאמפלייענס באווייז לאגס און דערמאָנונג ציקלען אזוי אז גארנישט פאלט דורך די שפאלטן ווען אוידיטס נענטערן זיך.
ווידערשטאנדספעאיקער סיגנאַל: ISMS.online אויטאמאטיזירט אלע באארד אונטערשרייבונגען, ריזיקע לאגינג, און מענעדזשמענט רעצענזיעס רעקארדס פאר א שנעלן בליק דורכקוק אדער באווייז עקספארט.
וואָס דערגרייכט טאַקע קאָמפלייאַנס אָטאָמאַציע - און ווי באַווײַזן שפּיץ עסטרייכישע טימז הײַנט אַז זיי קענען זיך שטאַרקער האַלטן פֿון NIS 2?
יערלעכע איבערבליקן אדער מאנועלע רעגיסטערס טרעפן נישט מער די ערווארטונגען פון עסטרייך פאר NIS 2. סיי רעגולאטארן און סיי אוידיטארן ערווארטן צו זען פאליסי פעקלעך, ווערסיע-געמאכטע סטעיטמענטס פון אפליקאציע (SoA), סיי ארבעטס-פארבינדענע אינצידענט און אוידיט לאגס, אלע צוזאמענגעשטעלט צו ריזיקע, באארד, און סופלייער טריגערס (ENISA, 2024). טימס וואס אויטאמאטיזירן יעדע דערהיינטיקונג-איינבעטן סעקטאר, ENISA, און מיניסטעריום ענדערונגען אין אקטיווע פאליסיס, לאגס, און באווייזן - זענען סיי אוידיט-גרייט און סיי רעפוטאציע-פארטיילט.
ווידערשטאנדסקראפט איז נישט נאר וועגן דורכגיין די נעקסטע אינספעקציע, נאר האבן דעם גאנצן קאמפלייענס און אינצידענט ארבעטס-פלוס גרייט צו פרעזענטירן, אויף פארלאנג, צו באארדס, רעגולאטארן, אדער פאנדירער.
מאַכט באַוועגונגען פֿאַר אָטאַמייטיד אָדיט ריזיליאַנס:
- אינטעגרירן אַלע סעקטאָר און רעגולאַטאָרישע דערהייַנטיקונגען אין אָטאַמייטיד פּאָליטיק און אָדיט לאָגס - ניט מער מאַנועלע רעגיסטרירן עדיטס.
- שטעלט אויף אייער ISMS צו עקספּאָרטירן אַלע מאַפּינג, לאָגס און פֿאַרבעסערונג באַווייזן מיט איין קליק פֿאַר אָדאַץ אָדער גראַנט סאַבמישאַנז.
- אויטאמאטיזירן פארקויפער איינפיר און פארבעסערונג לאגס פאר צוקונפטיגע איבערבליק און פארמאכונג.
- מאָניטאָרירן פֿאַר אויטאָמאַציע אָדער דאָקומענטאַציע גאַפּס, און פֿאַרבינדן יעדן פֿאַרמאַכן צו פֿאַרבעסערטע באָרד און אָדיט גרייטקייט.
אפעראציאנעלע ברעג: ISMS.online גיט עסטרייך-ספעציפישע טעמפּלאַטן, אינסטאַנט טשעקליסטן, סעקטאָר און אויטאָריטעט מאַפּינג, און ביידע דײַטשע און ענגלישע מכשירים - געבויט פֿאַר באָרד, קליינע און מיטלשטענדיקע געשעפטן, און מולטינאַציאָנאַלע טימז גרייט צו אַנטקעגנשטעלן זיך יעדן אוידיט אָדער פאַנדינג טערמין.
ISO 27001 בריק טאַבעלע - עסטרייכישער NIS 2 אימפּלעמענטאַציע
| דערוואַרטונג | אָפּעראַציאָנאַליזאַציע | ISO 27001 / אַנעקס A רעפערענץ |
|---|---|---|
| באָרד אונטערשריפטן און דאַטע לאָגס | עלעקטראָניש אונטערגעשריבענע ריזיקאָ איבערבליקן, באַשטעטיקונג וואָרקפלאָוז, אָדיט פּאַק עקספּאָרט | 5.2, 5.3, 9.3, A.5.1, A.5.2 |
| אינצידענט מעלדונג (72/24/שעה הערשן) | אויטאמאטישע, צייט-געשטעמפלטע באריכטן, וואָרקפלאָו-געבונדענע עסאַקאַלאַציע דאָקומענטאַציע | 6.1.2, 6.3, 8.1, A.5.24, A.5.26 |
| סעקטאָר און נאַציאָנאַלע אויטאָריטעטן פֿאַראייניקונג | קרייז-געמאַפּט קאָנטראָלס, איינגעבויטע קאָנטאַקטן און עסאַקאַלאַציע קייטן | 5.7, 5.9, 5.25, A.5.6, A.5.8, A.5.20 |
| קאָנטינויִערלעכע העסקעם דערווייַז | לייוו פּאָליטיק פּאַקס, ווערסיעד SoA, אָדיט באַנקס, רעגע אָדיט ריטריוואַל | 9.2, A.5.29, A.5.30, A.8.13, A.8.34 |
| פארקויפער/סאַפּלייער סקרינינג | אויטאָמאַטיש אָנבאָאַרדינג, דילידזשאַנס, קאַמפּליאַנס לאָגס | 5.19, 5.21, 8.1, A.5.21, A.5.22 |
NIS 2 אוידיט גרייטקייט טרעיסאַביליטי
| צינגל | ריזיקע דערהייַנטיקונג | קאָנטראָל / SoA לינק | באַווײַזן רעקאָרדירט |
|---|---|---|---|
| נייע סעקטאָר ליסטע ארויסגעגעבן | ענטיטי סטאַטוס וואַלידירט | 4.2, 5.2, A.5.1 | לעגאַל רעגיסטער דערהייַנטיקונג, אונטערגעשריבענער באַריכט |
| דירעקטאָריום איבערבליק פון ריזיקאָ לאָג | ריזיקעס איבערגעפּריאָריטיזירט | 9.3, 6.1.2, A.5.2 | פּראָטאָקאָלן, אַקציע פּלאַן, עלעקטראָנישע אונטערשרריפט |
| דאַטן בריטש דעטעקציע | אינצידענט רעקאָרד געעפנט | 8.1, 8.3, A.5.24 | אינצידענט לאָג, אָנזאָג אימעיל |
| פארקויפער קאנטראקט אונטערגעשריבן | צושטעלן קייט סקרינינג | 5.19, 5.21, A.5.21 | סאַפּלייער אַטעסטאַציע, דילידזשאַנס לאָג |
| פּאָליטיק דערהייַנטיקונג (NIS 2) | שטאב צוגעטיילט נייע אויפגאבן | 7.3, 7.4, A.6.3, A.6.5 | טרענירונג לאָג, באַשטעטיקונג קוויטונגען |
טרעט זיכער פאָרויס – אידענטיטעט סטאַנדאַרט
עסטרייך'ס NIS 2 רעזשים באלוינט פראאקטיווע, רעגיסטרירטע באטייליגונג און אוידיט-גרייט באווייזן, נישט פאסיוו ווארטן. קאמפלייענס פירער - CISOs, דירעקטארן פון באארדס, SME אייגענטימער, אדער IT פירער - טיילן זיך אפ דורך בויען לעבעדיגע לאגס, מאפעווען יעדן פראטאקאל, און אויפהאלטן אויטאמאטישע, עסטרייכיש-אפטימיזירטע רעקארדס פאר אוידיטס אדער גרענט פענצטער עפענען זיך.
ISMS.online צושטעלט עסטרייך'ס סעקטאָר ליסטעס, אוידיט טעמפּלאַטן, צוויישפּראַכיקע פּאָליטיקס און קאַרטירטע וואָרקפלאָוז אַזוי איר זענט שטענדיק גרייט - לאַנג איידער רעגולאַציעס אָדער סייבער-אַטאַקעס פירן צו טייַערע ענדערונגען. סיסטעמאַטיזירט, לאגירט, און באווייזט אייער כוונה יעצט צו פירן - צי איר שטייט פאר א דרינגענדן אינצידענט, אן אוידיט, אדער זוכט אייער נעקסטע פאנדינג רונדע.
