ווי אזוי ווערט באארד טרענירונג באווייזן אוידיט-גראד אונטער NIS 2?
פֿאַראַנטוואָרטלעכקייט אויף דעם דירעקטאָרן-ראַט לעוועל אין סייבער-זיכערהייט איז געגאַנגען פֿון אַ פּאָליטיק-אַנגעלעגענהייט צו אַ לעגאַלע רעקאָרד-אַנגעלעגענהייט. NIS 2, וואָס ווערט דורכגעפֿירט איבער דער גאַנצער אי.יו., שטעלט איצט דירעקטע לעגאַלע פֿאַראַנטוואָרטלעכקייט אויף יעדן דירעקטאָר פֿון דעם דירעקטאָרן-ראַט פֿאַר זייער סייבער-זיכערהייט וויסיקייט און אַקטיווע באַטייליקונג. עס איז נישט גענוג פֿאַר אַ פֿירמע צו זאָגן "דער דירעקטאָרן-ראַט איז טרענירט" - יעדער דירעקטאָר מוז קענען באַווײַזן, אינדיווידועל, אַז זיי האָבן באַטייליקט זיך אין סייבער-ריזיקע טרענירונג, מיט באַווײַזן וואָס קענען זיך האַלטן קעגן דעם. קאָנפאָרמאַנס אויספאָרשונגס אדער רעגולאַטאָרישע באריכטן.
אוידיט-פּרופינג הייבט זיך אָן מיט זיכער מאַכן אַז באַווייזן פֿאַרבינדן יעדן נאָמען, יעדן צייטשטעמפּל, און יעדע לערן-סעסיע אויף אַ וועג וואָס קען נישט ווערן דיספּיוטירט אָדער אויסגעמעקט. מאָדערנע קאָנפאָרמאַנס פֿאָדערט אַ שפּרונג פֿון געטיילטע אנוועזנהייט-ליסטעס צו דירעקטאָר-ספּעציפֿישע לערן-לאָגס, וואָס פֿאַרמאַכט יעדן ריס וואָס אַן אוידיטאָר אָדער רעגולאַטאָר קען אויסנוצן.
וואָס שטייט צווישן אייער דירעקטאָרן-ראט און רעגולאַטאָרישע אריינמישונג איז נישט פּראָצעס - עס איז אַ באַווייַז וואָס איז פּערזענלעך צוגעשריבן און שטענדיק רעקאָרדירט.
אָן שטאַרקע באַווײַזן, גייט די אויסשטעלונג ווײַטער ווי די אומאַנגענעמליכקייט, נאָר אויך שאָדן צו דער רעפּוטאַציע, געלט־שטראָפן, אָדער רעגולאַטאָרישע באַפֿעלן וואָס קענען האָבן אַן השפּעה אויף דער גאַנצער אָרגאַניזאַציע. ENISA, די אי.יו.'ס סייבער־זיכערהייט אַגענטור, פארלאנגט אויסדריקלעך "אידענטיטעט־ספּעציפֿישע און נישט־רעדאַקטירבארע" באַווײַזן, וואָס גיט אינהאַלט צו די אָפּעראַציאָנעלע מאַנדאַטן פֿון אַרטיקל 20. פֿירנדיקע סטאַנדאַרדן ווי... יסאָ קסנומקס און אירע אנעקס א קאנטראלן A.6.3 (באוואוסטזיין) און A.7.3 (ראלע פארוואלטונג) ווערן אנגערופן אלס גרונט-דאקומענטאציע סטאַנדאַרדן וואָס יעדע קאָנפאָרמאַנס פּראָגראַם מוז אינטערנאַליזירן.
פירנדיקע טימז האָבן פֿאַרלאָזט אַד האָק טראַקינג מעטאָדן לטובת פּלאַטפאָרמעס - ווי ISMS.online-וואָס שאַפֿן אַ לעבעדיקע שפּור פֿון באַווײַזן, קאָנטינויִערלעך פֿאַרבונדן מיט יעדן רעזשיסאָר און גרייט פֿאַר קאָנטראָל אין אַ מאָמענט (isms.online).
וואָס דאַרף NIS 2 פֿאַר אינדיווידועלע באָרד טריינינג באַווייַז?
קאָנפאָרמאַטי אונטער NIS 2 און ENISA'ס גיידליינז פארלאנגט אז באווייזן זאלן זיין נאכפארשפילבאר, אינדיווידואליזירט, און צוגעפאסט צו א באשטימטן מענטש און אקציע - ביי יעדער סעסיע. די אלגעמיינע פראַזע "דירעקטאָרן האבן אונטערגענומען טרענירונג" פאלט איצט נישט: איר מוזט ווייזן ווער האט פארענדיגט וואָס, ווען, און ווי, מיט א לאָג וואָס איבערלעבט איבערקוק און רעגולאַטאָרישע טשאַלאַנדזשיז.
אוידיטאָרן ערוואַרטן צו זען באַווייַזן וואָס זענען אַזוי ספּעציפֿיש און בלייַביק ווי די לעגאַלע פֿאַראַנטוואָרטלעכקייט וואָס עס איז געמיינט צו אַדרעסירן.
אַרטיקל 20(2) איז פּינקטלעך: יעדער דירעקטאָר, נישט נאָר דער גאַנצער דירעקטאָרן-ראַט, מוז קענען צושטעלן זייער פּערזענלעכע אנוועזנהייט, אַרייַנגערעכנט אויסנעמען און ווי אַוועקזייַנען אָדער גאַפּס זענען געוואָרן אויסגעבעסערט. די מינימום בעסטע פּראַקטיק, ווי באמערקט דורך רעגולאַטאָרן און לעגאַלע עקספּערטן (cms.law; dlapiper.com), איז צווייפאַכע השגחה: אַ זיכערהייט פירער וואַלידירט די טריינינג בשעת אַן אַדמיניסטראַטאָר - אָפט דער פירמע סעקרעטאַר - זאָרגט אַז דער לאָג איז עקספּאָרטירבאר און איבערקוקבאַר פֿאַר לפּחות זעקס יאָר.
פארלאנגטע פעלדער פאר NIS 2-קאמפאניטע באארד טרענירונג באווייזן:
- דירעקטאָר אידענטיפיקאַציע: פולער נאמען און איינציקארטיקער, נישט-ווידערניצלעכער אידענטיפיקאטאר
- סעסיע מעטאדאטן: דאַטע, געדויער, טרענער אָדער אינהאַלט פּראַוויידער, טעמע מאַפּט צו NIS 2/ISO קלאָז
- באַווייַז פון קאַמפּלישאַן: אונטערשרריפט (דיגיטאַל אָדער גשמיות), פּלאַטפאָרמע לאָגין וועראַפאַקיישאַן, אָדער אומענדערלעך קאַמפּלישאַן רעקאָרד
- אויסנאַם פּראָצעס: נישט-אנוועזנהייט אדער נישט-פארענדיקטע סעסיעס ווערן רעגיסטרירט, מיט באשטימטע רעמעדיאציע און פארמאכונג באווייזן
- ריטענשאַן קייפּאַבילאַטי: אַלע רעקאָרדס זענען נישט רעדאַקטירבאַר, זוכבאר, און עקספּאָרט-גרייט פֿאַר אָדיט
ISO 27001/NIS 2 בריק טאַבעלע
| קאָנפאָרמאַנס ערוואַרטונג | אפעראציאנעלע באווייז | ISO 27001 רעפ. |
|---|---|---|
| ספּעציפֿיש פֿאַר דירעקטאָר | אונטערגעשריבענער לאג, איינציקער עקספארט | אַרטיקל 20(2), A.6.3 |
| נישט-רעדאַקטירבאַרער לאָג | דיגיטאַלע אונטערשריפט, סעסיע שלאָס | A.7.3, ISMS.online |
| באַהאַנדלונג פון אַוועקוועזנהייט | אויסנאַם/רעמעדיאַציע לאָג | ISMS.online אויסנאם |
| לאַנג-טערמין ריטענשאַן | זוכבאַר אַרכיוו, עקספּאָרט פֿונקציע | A.8.3, ENISA |
פּלאַטפאָרמעס ווי ISMS.online צושטעלן דירעקט-צו-רעקאָרד וואָרקפלאָוז וואָס טרעפן און יקסיד דעם בענטשמאַרק.
בעל NIS 2 אָן ספּרעדשיט כאַאָס
צענטראַליזירן ריזיקע, אינצידענטן, סאַפּלייערז און באַווייַזן אין איין ריינער פּלאַטפאָרמע.
וואָסערע פֿאָרמען פֿון באָרד טראַינינג באַווײַזן פֿאַרטיידיקן די אָרגאַניזאַציע אין אַן אוידיט אָדער אויספֿאָרשונג?
נישט אַלע טיפּן באַווײַזן ווערן באַהאַנדלט גלייך דורך אוידיטאָרן. די הויפּט קוואַליטעטן זענען אומענדערלעכקייט, פערזענלעכע צושרייבונג, און אוידיט שפּורבאַרקייט. שוואַכע באַווײַזן לאַדען אײַן צו קאָנטראָל, ווידער-טעסטן, אָדער אפילו רעגולאַטאָרישע אַקציע.
אנגענומענע אוידיט-גראד באווייזן:
- פיזישע אנוועזנהייט בלעטער: יעדן רעזשיסאר'ס האַנט-אונטערגעשריבענע איינטראַג ביי יעדן געשעעניש, געסקענט און אַרכיווירט אָן מעגלעכקייט פון שפּעטערדיקע רעדאַקטירונגען. אָריגינאַלן ווערן געהאַלטן פֿאַר לפּחות זעקס יאָר, און סקענס ווערן קראָס-רעפערענסירט אין ISMS לאָגס.
- דיגיטאַלע אונטערשריפט לאָגס: סיסטעמען ווי דאָקוסיין אדער אַדאָובי סיין (מיט צוויי-פאַקטאָר אויטענטיפיקאַציע און צייט-געשטעמפּלטע, ניט-רעדאַקטירבארע רעזולטאַטן) שאַפֿן בלייַביקע, רעגולאַטאָר-באַשטעטיקטע רעקאָרדס.
- ISMS אדער LMS לאגס: נאָר גילטיק אויב סעסיעס ווערן אַקסעסט מיט יינציקע דירעקטאָר קראַדענטשאַלז און אַנטהאַלטן קאַמפּלישאַן טריגערס (ווי קוויזיז אָדער ווידעא טשעקפּוינטס) פארבונדן צו זייער אידענטיטעט - נישט אַלגעמיינע אָדער פּראַקסי לאָגין.
- אימעיל שפּורן: יעדער דירעקטאָר מוז ענטפֿערן אינדיווידועל צו אַ קאָנטראָלירטן וואָרקפֿלוס, מיט קאָנטראָל איבער אַלע רעדאַקטירונגען, אויסמעקונגען, אָדער פֿאַרפעלטע ענטפֿערס. פֿאָרווערדעד אָדער "אין נאָמען" ענטפֿערס זענען אומגילטיק.
- כייבריד מאָדעלן: עטלעכע ברעטער מישן פערזענלעכע חתימות מיט דיגיטאלע באַקאַפּ, וואָס גיט רעדונדאַנסי און דעקט ביידע רעגולאַטאָרישע צוטרוי און אַפּעריישאַנאַל ריזיליאַנס.
נאָר באַווײַזן וואָס זענען נישט פֿאַרבונדן מיט אַמביגואַטי און קענען צוריקגעפֿירט ווערן צום יחיד, קענען אויסהאַלטן דעם דרוק פֿון אוידיט.
| צינגל | ריזיקע דערהייַנטיקונג | קאָנטראָל אָדער SoA קלאָז | באַווייַז בייַשפּיל |
|---|---|---|---|
| פארפעלטע סעסיע | אויסנאַם געמאָלדן | A.6.3 | רעמעדיאַציע לאָג |
| ברעט איבערקערעניש | אָנבאָאַרדינג געמאָלדן | A.7.2 | נייער דירעקטאָר אונטערשרייבונג |
| אינהאַלט דערהייַנטיקן | דערהייַנטיקונג לאָגד | A.7.4 | נייַ טריינינג קאַמפּלישאַן |
א דערוואקסענע סיסטעם וועט אויטאמאטיש פרעגן, לאגן, און פארשיקן אויסנאמען, זיכער מאכנדיג אז יעדע ריס ווערט פארמאל פארמאכט (אנשטאט איגנארירט).
זענען פיזישע און דיגיטאַלע חתימות ביידע גענוג פֿאַר ISO 27001 און NIS 2?
ביידע זענען אקצעפטירבאר - ווען זיי מקיים זיין דריי שליסל באדערפענישן: פראווענענס, אומאויסטוישלעכקייט, און קייט-פון-קאסטאדיע. די רעגולאטורישע באזע איז פשוט: די באווייזן מוזן באווייזן אז יעדער באשטימטער דירעקטאר, און קיין פראקסי, האט פארענדיגט די זיצונג אין א באקאנטער צייט, און אז דער רעקארד קען נישט אויסגעמעקט אדער לייכט געטוישט ווערן.
האַנט-אונטערגעשריבענע בלעטער זענען נאָך אַלץ פארלאנגט אין עטלעכע ווערטיקאַלן (למשל, פינאַנץ, אינפראַסטרוקטור), בשעת רעגולאַטאָרן און אָדיטאָרס שטיצן מער און מער פּלאַטפאָרמע-באַזירטע חתימות און זיכערע לאָג-ינס פֿאַר אַלע ינדאַסטריז וואָס זוכן אָפּעראַציאָנעלע עפעקטיווקייט.
הויפּט פֿעיִקייטן פֿאַר ביידע פֿאָרמען:
- מוז אויסגעפילט ווערן דורך דעם דירעקטאר פערזענליך; דעלעגאציעס אדער "אין אנוועזנהייט" וואס זענען צוזאמענגענומען נאר דורך שטיצע שטאב זענען נישט גילטיק.
- אויטענטיפֿיקאַציע מוז זיין שטאַרק: דיגיטאַלע חתימות מוזן זיין פֿאַרבונדן מיט אַן איינגעלאָגטער, יינציקער אידענטיטעט; פֿיזישע חתימות מוזן זיין פֿאַרבונדן מיט אַ פֿיזישן זיכערהייט פּראָצעס (אידענטיטעט קאָנטראָל ביים אַרייַנגאַנג).
- רעקאָרדס זענען בלויז צוגעלייגט; רעדאַקטירונגען, אויסמעקונגען, אדער נאָך-פאַקטאָ צוגאב ווערן געטראַקט, רעקאָרדירט, און גערעכטפארטיקט דורך אויסנעמען.
- צוטריט צו באווייזן מוז דורכגיין די קלענסטע פריווילעגיע: נאר צווייפאכיגע קאַסטאָדיאַנס (למשל, פירמע סעקרעטאַר + CISO) זאָלן האָבן אויפזיכט.
- אַלע פֿאָרמאַטן מוזן זײַן עקספּאָרטירבאר אין אַן אומענדערלעכער, אוידיטאָר-גרייטער פֿאָרעם.
וואָס גיט באַווייַז וואָג איז נישט איר מיטל, נאָר די שטאַרקייט פון איר יחידישער צושרייבונג און די אָרנטלעכקייט פון איר אויפֿהאַלטונג.
פֿאַר געאָגראַפֿיש פֿאַרשפּרייטע באָרדס אָדער ראָטירנדיקע דירעקטאָר פּולס, ISMS.online'ס כייבריד אַפּלאָוד און טרייסאַביליטי פֿונקציעס פֿאַרמאַכן די אָפּעראַציאָנעלע גאַפּס, געבן זיכערהייט אַריבער ביידע לאָקאַלע און גרענעץ-איבערשרייטנדיקע אויডিץ רעקווייערמענץ.
זייט NIS 2-גרייט פון טאג איינס
לאָנטש מיט אַ באַוויזן וואָרקספּייס און טעמפּלאַטן – נאָר צופּאַסן, צוטיילן, און גיין.
ווי אזוי צושטעלן וואַרקשאַפּס, ווידיאס און LMS סיסטעמען אַן עכטן (נישט אילוזאָרישן) באַווייַז פון באַטייליקונג?
רובֿ רעגולאַטאָרישע דורכפֿאַלן פּאַסירן אין דער גרויער זאָנע צווישן פּאַסיווער און אַקטיווער טרענירונג. שפּילן אַ ווידעאָ אָדער איינלאַדן דירעקטאָרן צו אַ סעסיע וועט נישט דורכגיין די סטאַנדאַרט; דירעקטאָרן מוזן אַקטיוו אָנטייל נעמען, און יעדער לערן-מיילשטיין מוז ווערן רעקאָרדירט אויף דעם יחידישן לעוועל.
באווייזן פון גילטיקע באַטייליקונג אַרייַננעמען:
- זיכער, אינדיווידועלע לאָגין פֿאַר יעדער סעסיע.
- באַטייליקונג ביי אַלע פארלאנגטע טשעקפּוינטס - פאַרענדיקן קוויזן, אנקעטעס, אָדער רעפלעקציע פּראָמפּטס וואָס ווערן אינדיווידועל סקאָרד און רעקאָרדעד.
- גענעמען, סעסיע-ספּעציפֿישע פֿאַרענדיקונג סערטיפֿיקאַטן (נישט גענערישע "באַטייליקט" באַדזשעס), אידעאַלערװײַז מיט אַ דיגיטאַלע אונטערשריפֿט און פֿולע מעטאַדאַטאַ (דירעקטאָר נאָמען, דאַטע, טעמע, סעסיע).
- פּוש נאָוטאַפאַקיישאַנז פֿאַר אומפאַרענדיקטע זאכן, דזשענערייטינג אַ קאַמפּליאַנס שפּור וואָס באַווייַזט אַקטיוו השגחה.
- פֿאַר פּערזענלעכע וואָרקשאָפּס: אַ רעגיסטער פֿון באַטייליקונג וועמענס אָריגינאַל ווערט געהאַלטן זיכער, מיט דיגיטאַליזירטער באַקאַפּ פֿאַר ווײַטן קאָנטראָל צוטריט.
באַטייליקונג מוז זיין באַווייזבאַר אויף יעדן שריט: אַ דירעקטאָר'ס אַוועקזיין איז אַ פאָן, נישט אַ פוסנאָטע.
א בעסט-אין-קלאַס LMS אדער ISMS וועט בעטן פאר רעמעדיאַציע (אויפלעבן סעסיע, נאָך לערנען, אדער עסאַקאַלאַציע) אין דעם מאָמענט וואָס אַ טשעקפּוינט ווערט פארפעלט, און לאָגירן די וואָרקפלאָוז ווי באַווייַז פאר רעגולאַטאָרישע איבערבליק.
פארוואס מוז טאָפּלטע קאַסטאָדיאַנשיפּ און עקספּאָרט שטיצן יעדן באַווייז פּלאַן?
רעגולאַטאָרישע בעסטע פּראַקטיק ערוואַרטעט אַז צוויי ראָלעס זאָלן טיילן די קאַסטאַדי פון באָרד טראַינינג רעקאָרדס: איין עקסעקוטיוו (פֿירמע סעקרעטאַר, גאַווערנאַנס אַדמין, קאָנפאָרמאַנס פירער) און איין טעכנישער (CISO, אינפֿאָרמאַציע זיכערהייט אָפיציר). דאָס פאַרהיט גאַפּס פון אָפּהענגיקייט אויף קיין איין מענטש, וואָס איז אַ דערמאָנטע ריזיקירן אין באָרד גאַווערנאַנס דורכפאַלן.
רעקאָרדס מוזן זיין:
- געהאלטן פאר זעקס יאר, אפילו נאכדעם וואס א דירעקטאר פארלאזט זיין אמט.
- גלייך עקספּאָרטירבאר, מיט יעדער ענדערונג (אויסמעקן, רעדאַקטירן, דערהייַנטיקן) רעגיסטרירט, צייט-געשטעמפּלט, און גערעכטפארטיקט.
- אונטערטעניק צו פּעריִאָדישע קאָנטראָלן: דער אַדמין מוז רעגולער קאָנטראָלירן פֿאַר גאַפּס, אויסגעגאַנגענע באַווײַזן, אָדער נישט-פֿאַרמאַכטע אויסנעמען.
- באַקאַפּט איידער יעדער פּלאַטפאָרמע, פּראַוויידער, אָדער ראָלע ענדערונג.
אויב אייער באָרד טוישט ISMS אדער לערן פּראַוויידערז, איז די בעסטע רעגולאַטאָרישע פּראַקטיק צו עקספּאָרטירן אַלע לאָגס, פאַרגלייכן פולשטענדיקייט, און דאָקומענטירן די געראָטענע מיגראַציע איידער איר דעפּרעסירט די אַלטע סיסטעם.
דער עכטער טעסט פון אייער באווייז-פלאן איז נישט היינטיקער אוידיט, נאר אן אומגעריכטע אפגאנג פון א מיטגליד פונעם באארד - אדער א פלוצלינגער רוף פון א רעגולאטאר פאר א זעקס-יעריגן היסטארישן עקספארט.
ISMS.online זיכערט א גלאטיקע צווייענדיקע קאַסטאָדיאַן קאָנפיגוראַציע, קאָנטינויִערלעכע טרעיסאַביליטי, און גרינגע עקספּאָרט פֿאַר אַלע ריטענשאַן סצענאַרן.
אַלע אייערע NIS 2, אַלץ אין איין אָרט
פֿון אַרטיקלען 20–23 ביז אוידיט פּלענער – דורכפֿירן און באַווײַזן קאָנפֿאָרמאַנס, פֿון ענד צו ענד.
וואָס ענדערט זיך (און וואָס ענדערט זיך קיינמאָל נישט) ווען באָרדס דעקן קייפל יוריסדיקציעס?
NIS 2 איז פּאַן-אייראפעאיש, אָבער פילע נאציאנאלע רעגולאַטאָרן און סעקטאָרן לייגן צו עקסטרע רעקווייערמענץ:
- דייטשלאנד, נאָרדישע לענדער: א נאַסע אונטערשריפט קען זיין פארלאנגט אין עטלעכע קריטישע סעקטאָרן (למשל, ענערגיע, פינאַנץ) - דיגיטאַל-בלויז לאָגס קען זיין טשאַלאַנדזשד.
- פֿראַנקרייַך, בענעלוקס: דיגיטאַלע לאָגס זענען באַגריסן, אָבער אַנטי-טאַמפּער און עלעקטראָנישע אונטערשריפט קאַנפאָרמאַטי מוזן זיין דעמאַנסטראַבלי ראָבוסט.
- פֿאַראייניקטע קעניגרייך, שווייץ, נאָרוועגיע: באווייזן קען דאַרפֿן ווערן געהאַלטן לענגער אָדער צוגעשטעלט אין מנהג-געמאַכטע עקספּאָרט פֿאָרמאַטן.
- אוניווערסאַלע ערוואַרטונג: פּראָווענאַנס מוז האַלטן אין יעדן עקספּאָרט: מיטן נאָמען, סעסיע-ספּעציפֿיש, מיט אַ דעקלאַראַציע פֿאַר יעדער אָפּוועזנהייט/רעמעדיאַציע.
אייערע באווייזן זענען נאָר אַזוי שטאַרק ווי דער שטרענגסטער רעגולאַטאָר מיט וועמען איר שטייט.
אַדאַפּטירט פּלאַטפאָרמעס און פּראָצעסן צו האַרמאָניזירן מיט די שווערסטע סטאַנדאַרדן וואָס זענען אין שפּיל איבער אייער געגנט. ISMS.online האַנדלט מיט לאָקאַלע רעקווייערמענץ, אָפפערט פֿילשפּראַכיקע עקספּאָרטן, און שטיצט כייבריד באַווייַז קאַפּטשערינג לויט יוריסדיקציע (isms.online).
בויט אריין רוטינע "באווייז-ריס" אוידיטס און שפראך-פאסיגע לאגס - עלימינירנדיג איבערזעצונג-באזירטע אמביגויטי אדער רעגיאנאל פעלנדיקע חתימות - איבער אייער קאמפלייענס עסטעיט.
אינערלעכע איבערבליקן און פּראָאַקטיווע אוידיט: פֿאַרוואַנדלען באַווייזן גרייטקייט אין באָרד צוטרוי
דער גאָלדענער סטאַנדאַרט אין אוידיט איז נישט נאָר צו טרעפן די רעקווייערמענץ, נאָר צו קענען גלייך פּראָדוצירן אַ פולשטענדיק, זעקס-יאָר, דירעקטאָר-ביי-דירעקטאָר לאָג אויף יעדן רעגולאַטאָר'ס בקשה. פולשטענדיקע טרעיסאַביליטי, אַקטיווע אויסנאַם לאָגינג, און גלאַט עקספּאָרט געווינען נישט נאָר קאַנפאָרמאַטי, נאָר אויך די צוטרוי פון די דירעקטאָרן.
אַן אָרגאַניזאַציע ווערט קיינמאָל נישט געכאפט דורך אַן אוידיט ווען אירע באַווײַזן זענען גרייט איידער עמעצער פרעגט דערפאַר.
שליסל אפעראציאנעלע טריט:
- שטעלט אויף יערלעכע דערמאָנונגען צו איבערקוקן און באַשטעטיקן עקספּאָרט פאַנגקשאַנאַליטי (און זעקס-יאָר באַווייַז אָרנטלעכקייט).
- מאָניטאָר אויסנעמען און שפּעט-געפֿאַלענע אַקציעס אין לעבעדיגע דאַשבאָרדז - אַדרעסירט איבערחזרנדיקע אָפּוועזנהייטן אָדער דורכפֿאַלן פרי.
- פרובירט פון צייט צו צייט א "איבערראשנדיקע אויספארשונג": קענט איר צוקומען, עקספארטירן און דערקלערן יעדע חסרון פאר יעדן דירעקטאר, פאר יעדער טרענירונג אין די לעצטע זעקס יאר, אין ווייניגער ווי 30 מינוט?
טרעיסאַביליטי אין אַקציע טיש
| טריגער געשעעניש | ריזיקע דערהייַנטיקונג | קאָנטראָל/קלאָז | אוידיט אַרטעפאַקט |
|---|---|---|---|
| דירעקטאָר אַוועק | אויסנאַם אַרייַנטרעטן | א.6.3, א.7.3 | אָפּוועזנהייט רעמעדיאַציע לאָג |
| יערלעכע איבערבליק | לאָג עקספּיירי טשעק | א.9.2, א.9.3 | גאַנצער דירעקטאָר לאָג עקספּאָרט |
| פּלאַטפאָרמע ענדערונג | לאָג באַקאַפּ/עקספּאָרט | ISMS.online | עקספּאָרטירטע אַרכיוו, מיגראַציע לאָג |
ISMS.online אויטאמאטיזירט דעם פראצעס, רעדוצירט מאנועלע איבערהעאַד און זיכערט פֿאַראַנטוואָרטלעכקייט אויף באָרד-לעוועל ווערט קיינמאָל נישט איבערגעלאָזט צו צופאַל.
ווי ISMS.online לייגט אריין אוידיט צוטרוי אין אייער באארד'ס טרענירונג
ISMS.online איז ארכיטעקטורירט צו פארמאכן יעדן באווייז-לעכער: דידזשיטאליזירטע אריינלאגירונג, דידזשיטאלע אדער פיזישע חתימות, אינדיווידועלע קוויז און טשעק-פונקט לאגס, סעסיע-ביי-סעסיע טרעקינג, און שנעלע עקספארט - יעדעס איז גלייך צוגעפאסט צום באשטימטן דירעקטאר, יעדע פארלאנגטע אויפהאלטונגס-פעריאד, און קראָס-יוריסדיקציאנעלער סטאנדארט.
אוידיט צוטרוי אויף דירעקטאָריום לעוועל ווערט נישט געוואונען דורך כוונה אדער פאליסי, נאר דורך די שטארקייט און ספעציפישקייט פון טעגליכע רעקארדס.
די פּלאַטפאָרמע פֿאַרברייטערט די ווידערשטאַנד פֿון אוידיט פֿון קעסטל-טשעקינג ביז באַווײַז-מעכאַניק: דאַשבאָרדז שטעלן פֿאָר קאָנפאָרמאַנס סטאַטוס, אויטאָמאַטישע וואָרענונגען יאָגן אויסנעמען, און צוויי-קאַסטאָדיאַן פּערמישאַנז גאַראַנטירן קיין איין פּונקט פֿון דורכפֿאַל. ראָבאַסט, רעגולאַטאָר-אַליינד, און פּראַקטיש-ISMS.online מאַכט NIS 2 קאָנפאָרמאַנס אַ יסוד פֿון באָרד צוטרוי, נישט אַ שפּעט-שפּיל קאַמף.
אייער באווייז איז נישט נאר "גרייט" - עס ווערט א בולווארק וואס באשיצט דירעקטארן, באפרידיקט דעם שטרענגסטן אוידיטאר, און שטעלט אייער ארגאניזאציע פאר אנערקענונג אלס א פארגארד אין באארדרום זיכערהייט פירערשאפט.
אָפֿט געשטעלטע פֿראגן
וואָסערע באַווײַזן באַפרידיקן אַ רעגולאַטאָר אַלס NIS 2-קאָמפּאַטיבל באָרד סייבער טריינינג באַווײַז?
רעגולאַטאָרן פאָדערן קלאָרע, אינדיווידועל צושרייבבאַרע באַווייַזן וואָס גלייך פֿאַרבינדן יעדן באָרד מיטגליד צו אַ ספּעציפֿישער סייבער טראַינינג סעסיע, דאַטע, און רעזולטאַט-אַלגעמיינע אָדער "גאַנצע באָרד" רעקאָרדס זענען נישט מער גענוג פֿאַר NIS 2 קאַנפאָרמאַטי. די אנגענומענע באַווייַז פּאָרטפעל מוז דערלויבן יעדן פונדרויסנדיקן אוידיטאָר צו וועריפֿיצירן, אָן קיין צוויידייטיקייט, אַז יעדער דירעקטאָר פּערזענלעך האָט געענדיקט די באַשטימטע סייבער טראַינינג.
אקצעפטירבארע באווייז פֿאָרמאַטן אַרייַננעמען:
- דיגיטאַלע אונטערשריפט רעקאָרדס: פּלאַטפאָרמעס ווי DocuSign אָדער eIDAS-קאָמפּאַטיבלע מכשירים זענען בילכער, צוגעשטעלט אַז זיי לאָגן גענויע צייטשטעמפלען, שאַפֿן יינציקע טראַנזאַקציע IDs פֿאַר יעדן דירעקטאָר/סעסיע, און באַוואָרן קאָנטראָלירן טריילז אין אַן אומענדערלעכן פֿאָרמאַט.
- לערנען פאַרוואַלטונג סיסטעם (LMS) סערטיפיקאַטן: סערטיפיקאטן זאָלן דערמאָנען אַ יינציקן לאָגין, סעסיע מעטאַדאַטאַ, פּינקטלעכן קורס אידענטיפיצירער, און קלאָרן קאַמפּלישאַן דאַטע. פּדף עקספּאָרטן זענען בלויז גילטיק ווען זיי זענען צוגעפּאַסט צו אַ דירעקטאָר'ס חשבון און סיסטעם לאָג.
- אונטערגעשריבענע אנוועזנהייט לאגס: פֿאַר פּערזענלעכע געשעענישן, מוזן דירעקטאָרן אונטערשרײַבן זייערע אייגענע איינטראַגעס; דיגיטאַלע סקענס מוזן זײַן געהיט נאָר פֿאַר לייענען מיט ליינענע קרעדענצן און פֿאַרבונדן מיט דער באַטייליקטער רשימה.
- פערזענליכע אנערקענונג אימעילס: יעדער דירעקטאָר מוז שיקן אַ טריינינג-ספּעציפֿישע ענטפֿער, נישט אַ פּראָקסי אָדער אַלגעמיינע קרעדיט קאַרטל; רעגולאַטאָרן אָפּוואַרפֿן מער און מער "אַלע פאָרשטעלן" באַשטעטיקונגען.
- פּראָטאָקאָלן פֿון באָרד־זיצונגען (נאָר אויב דעטאַלירט): פּראָטאָקאָלן מוזן אויסרעכענען דירעקטאָרן מיטן נאָמען און קלאָר פֿאַרבינדן יעדן מיט דער ספּעציפֿישער טרענירונג סעסיע; נישט פּינקטלעכע אָדער גרופּע-לעוועל באַהאַופּטונגען ווערן רעגולער אָפּגעוואָרפן.
יעדער שטיקל באווייז מוז זיין געהאלטן נאר פאר לייענען, גרינג צו באקומען, און אינדעקסירט אין א רעגיסטרי וואס פארבינדט יעדן דירעקטאר צו יעדער סעסיע, דאטום, און באווייז טיפ. פלאטפארמעס ווי ISMS.online צושטעלן באארד טרענירונג באווייז פריימווערקס וואס זענען געמאכט צו צושטעלן רעגולאטאר-גרייט עקספארטן אויף פארלאנג (DLA Piper, 2023; ISMS.online NIS 2 באארד טרענירונג באווייז).
באָרד טראַינינג רעגיסטרי בייַשפּיל
| דירעקטאָר | קאַמפּלישאַן טאָג | באַווייַז פֿאָרמאַט | טעקע אָרט | אוידיט סטאַטוס |
|---|---|---|---|---|
| עם דזשענסען | 2024-03-10 | דאָקו-סיין פּי-די-עף | ISMS.online לינק | וועריפיעד |
| ל. קאַראָן | 2024-02-18 | LMS סערטיפיקאַט | אוידיט אַרכיוו | וועריפיעד |
| ש. גרינע | 2023-11-07 | אנוועזנהייט לאג סקען | אַרכיוו (נאָר לייענען) | פּענדינג |
ווער איז פאַראַנטוואָרטלעך פֿאַר שוואַכע אָדער פעלנדיקע NIS 2 באָרד טריינינג באַווייַזן?
יחידישע דירעקטאָרן - נישט נאָר די פירמע - פּנים פּערזענלעך אַקאַונטאַביליטי אונטער NIS 2 ווען באווייזן פון סייבער טרענירונג אויף דעם דירעקטאָרן-ראַט זענען נישט פולשטענדיג, אלגעמיין, אדער קענען קלאר נאכפאלגן יעדן מענטש'ס באטייליגונג. ארטיקל 20(2) איז קלאר: יעדער מיטגליד פון דעם דירעקטאָרן-ראַט מוז קענען באווייזן, אן א צווייפל, אז זיי האבן באקומען און פארענדיגט פאסיגע סייבער טרענירונג. בעת רעגולאטורישע אויספארשונגען, איז די לאסט יעצט אויף יעדן דירעקטאר צו פארשטעלן זייער אייגענע באווייזן-שפור.
קאנסעקווענצן פון פעלנדיקע אדער צוויידייטיגע באווייזן שליסן איין:
- פערזענלעכע קנסות: פֿאַר באַנוצטע דירעקטאָרן, נישט נאָר קאָרפּאָראַטיווע שטראָף.
- דירעקטאָר דיסקוואַליפיקאַציע: סאַספּענשאַן פון השגחה ראָלעס, אָדער בלאָקירט סערטיפיקאַציע רינואַלז.
- רעגולאַטאָרישע עסקאַלאַציע: אריינגערעכנט נאכפאלג אוידיטס און אויפגעצוואונגענע רעמעדיאציע דעדליינס.
- ריזיקע פון געריכטליכע קריגעריי: ספּעציעל אין ליסטעד אָדער העכסט רעגולירטע סעקטאָרן - קענען אַקציאָנערן ציטירן באַווייזן פון אָפּוועזנהייט אין טריינינג ווי אַ בריטש פון דירעקטאָר פליכטן.
"אין NIS 2, זענען אויטאָריטעט און פֿאַראַנטוואָרטלעכקייט נישט מער קאָלעקטיוו. יעדער דירעקטאָר מוז שטיין אויף זיך אַליין, נישט הינטער אַ גרופּע אונטערשריפֿט." שוואַכע דאָקומענטאַציע, ספּעציעל פּראָטאָקאָלן וואָס נאָר באַמערקן "דער באָרד האָט באַקומען טרענירונג," טריגערט רוטינמעסיק קאָנפאָרמאַנס געפינסן (CMS Law, 2024; ISMS.online-NIS 2 Board Evidence).
וועלכע באווייז פֿאָרמאַט - דיגיטאַלע חתימות, סערטיפֿיקאַטן, אדער לאָגס - איז אַם בעסטן קעגן אַן אויডিץ?
אַלע דריי קענען זיין קאָמפּאַטיבל אויב יעדער כאַפּט יחידישע אָנטייל, בלאָקירט נאָך-געשעעניש עדיטינג, און שטיצט שנעל צוריקקריגן - אָבער נישט אַלע פֿאָרמאַטן זענען גלייך ראָבוסט:
- דיגיטאַלע אונטערשריפט רעקאָרדס: (DocuSign, eIDAS): דער גאָלדענער סטאַנדאַרט פֿאַר ווייטע, כייבריד, און מולטי-לאַנד ברעטער. זיי פאָרשלאָגן טאַמפּער-עווידענס, יחיד טראַסעאַביליטי, און זענען לייכט געשטיצט דורך פּלאַטפאָרמע לאָגס.
- LMS סערטיפיקאַטן: עפעקטיוו נאָר אויב גלייך פארבונדן צו אייגענאַרטיקע דירעקטאָר אַקאַונטס און סעסיע אַנאַליטיקס. באַווייַז שטאַרקייט וואַקסט אויב קוויזן אָדער צייט-שטעמפלען וואַלידירן עכטע באַטייליקונג, נישט נאָר דאַונלאָוד אָדער פּאַסיוויטי.
- פיזישע אנוועזנהייט לאגס: גענוג אויב געסקענט און פארשפארט מיט לייען-נאר צוטריט און ליינעוודיקע אידענטיטעט; ריזיקע פארגרעסערט זיך אויב איינטראגעס זענען נישט ליינעוודיג אדער אנטהאלטן "אין נאמען פון" נאטאציע, וואס זאל מען מיט גרויס אכטונג אויסמיידן.
- אַלגעמיינע גרופּע אַפערמיישאַנז: ("באארד באזוכט"): קאנסיסטאנט אפגעווארפן און נישט מער אנגענומען אלס באווייז אין די היינטיגע אי.יו. רעגולאציעס און אוידיט פראקטיק.
בעסטע-פּראַקטיק קאַמפּליאַנס טיפּיש ינוואַלווז אַ געמיש: דיגיטאַלע חתימות פֿאַר ווייטע/היבריד דירעקטאָרן, LMS סערטיפיקאַטן פֿאַר E-לערנען, סקאַנירטע לאָגס פֿאַר געשעענישן אויף אָרט - שטענדיק געמאַפּט איינס-צו-איינס פֿאַר יעדן דירעקטאָר/סעסיע. אינערלעכע פּאָליטיק זאָל העכערן דעם מערסטן פֿאַרטיידיקבאַרן פֿאָרמאַט וואָס איז פֿאַראַן (KPMG, 2024).
באַווייַז פֿאָרמאַט פֿאַרגלייַך טיש
| פֿאָרמאַט | אינדיווידועל טרעיסאַבאַל? | טאַמפּער-פּראָאָף | שטאַרקסטע אוידיט פאַרטיידיקונג? |
|---|---|---|---|
| דיגיטאַל כסימע | יאָ | יאָ | יאָ |
| LMS סערטיפיקאַט | יאָ | יאָ | יא (אויב איר זענט פארבונדן מיט א לאגין) |
| סקאַנירטע אנוועזנהייט | יאָ | Partial | יא (מיט קאָנטראָלן) |
| גרופע אונטערשרייבונג | ניין | ניין | ניין |
וואָסער אָפּעראַציאָנעלער פּראָצעס באַווייַזט באָרד סייבער טריינינג פֿאַר אַלע לערנען מאָדעס?
מאַפּינג באָרד מיטגלידער טריינינג אַריבער לעבן, E-לערנען, אָדער ווידעא מאָדאַלאַטיז ריקווייערז באַזונדערע, אוידיט-גרייטע באַווײַזן פֿאַר יעדן פֿאָרמאַט:
- וואַרקשאַפּס (פּערזאָן אָדער ווירטועל): זאַמלען האַנטגעשריבענע אָדער דיגיטאַלע חתימות בײַם געשעעניש, רעקאָרדירן די סעסיע דאַטע, אַגענדאַ, און קאָ-לאָקירן זיך-אין לאָגס מיט שטיצנדיק מאַטעריאַל (רעפלעקשאַנז אָדער קוויזן).
- E-לערנען/ווידעא מאָדולן: באַשטימט טרענירונג דורך אייגענאַרטיקע לאָגינס; אויטאָמאַטיזירט סערטיפיקאַט דזשענעריישאַן מיט אַן אומבאַדינגטער דירעקטאָר רעפערענץ, סעסיע ID, און דאַטע. עמבעדט טשעקפּוינטס - מאַנדאַטאָרישע קוויזן אָדער לעבן טשעק-ינס - וואָס שאַפֿן צייט-געשטעמפּלטע באַווייַזן.
- היבריד אדער ראָטירנדיקע ברעטער: זאַמלען ביידע דיגיטאַלע און סקאַנירטע באַקאַפּס. יעדער דירעקטאָר (נישט קוקנדיק אויף אָרט אָדער ראָטאַציע פּלאַן) מוז האָבן אַ באַצייכנטן באַווייַז טעקע; פּראָקסיז און "אין נאָמען פון" חתימות זענען נישט גילטיק.
- באַשטעטיקונג פון דירעקטאָרן-זיצונג: אויב איר באַשטעטיקט טריינינג אין באָרד זיצונגען, זאָל מען אויסדריקליך פּראָטאָקאָלירן ווער האָט פאַרענדיקט וועלכן מאָדול און קראָס-רעפערענצירן די אונטערלייגנדיקע באַווייַזן רעקאָרדס.
רעגולאַטאָר סטאַנדאַרדן ערוואַרטן איצט באַטייליקונג - בלויז אָנוועזנהייט איז מער נישט דער בענטשמאַרק. באַווייזן מוזן ווייַזן באַטייליקונג, נישט נאָר בייַזייַן.
ISMS.online ערמעגליכט באווייזן כאפּן און צושרייבן - שטיצן אלע הויפט מאָדעס מיט עקספּאָרטירבארע שפּורן געמאַפּט צו יעדן דירעקטאָר (ISMS.online | NIS 2 באָרד טראַינינג באווייז).
ווי לאַנג זאָל מען האַלטן NIS 2 באָרד טראַינינג רעקאָרדס, און וואָס גאַראַנטירט אָדיט-זיכער סטאָרידזש?
דער פּרעוואַלענטער רעגולאַטאָרישער און אינדוסטריע סטאַנדאַרט פֿאַר באָרד סייבער טריינינג באַווייַזן איז זעקס יאר פון אדער דעם לעצטן זיצונג דאטום אדער דירעקטאר'ס אפגאנג - וועלכע עס איז שפעטער (DLA Piper, 2023). קריטישע און הויך-זיכערהייט באארדס (רעגולירט/אקציע-געליסטעט) פארלאנגען אפט ביז צען יאר.
צו זיכער מאַכן אַז די אויטאָריטעט איז דורכגעפירט:
- אומענדערלעכע, צוויי-קאַסטאָדיאַן סטאָרידזש: אַרכיווירן אין אַ סיסטעם וואָס לאָגירט יעדע אינטעראַקציע, באגרענעצט נישט-לאָגירטע רעדאַקטירונגען/אויסמעקן, און באַשטימט לפּחות צוויי אומאפהענגיקע אויפזיכט-אייגנטימער (למשל, פירמע-סעקרעטאַר און CISO).
- באַלדיקע צוריקקריגן: מוז ערמעגלעכן דירעקטאָר- אדער דאַטע-אינדעקסירטע עקספּאָרט פּאַקס צו זיין בנימצא אין מינוטן - נישט שעה אָדער טעג.
- יערלעכע וועריפיקאציע: טעסט סיי די זוכבאַרקייט פון רעקאָרדס און זייער אָרנטלעכקייט נאָך פּערסאָנעל, אַדמין, אָדער פּלאַטפאָרמע ענדערונגען.
- גאַנצע קייט פון קאַסטאַדי: עקספּאָרטירן רעקאָרדס (אַרייַנגערעכנט לאָגס/שליסלען) אויב איר מיגרירט אָדער דע-פּראָוויזשאַנינג די סיסטעם.
| דירעקטאָר | לעצטע טרענירונג | אַרכיוו/לינק | רעטענשאַן ענדע | היטער(ס) |
|---|---|---|---|---|
| פ. ווערהאָווען | 2024-04-15 | ISMS.online אַרכיוו | 2030-04-30 | סעק/CISO |
א זיכערע, לייען-אנלי פלאטפארמע ווי ISMS.online קען אונטערשטיצן א שטארקע, קאמפליאנט סטאָרידזש און שנעלע רעאקציע אין פנים פון אוידיט אדער רעגולאַטאָרישע אַרויסרופן.
וואָס פּראַקטיקעס גאַראַנטירן אַז NIS 2 באָרד באַווייַזן זענען גילטיק איבער דער גאַנצער אי.יו.?
צו בלייבן קוגלזיכער נישט קוקנדיק אויף יוריסדיקציאָנעלע אונטערשיידן:
- יערלעכע דירעקטאָר-ביי-דירעקטאָר אינערלעכע אויספאָרשונגען: סימולירן ראַנדאָם רעגולאַטאָר סאַמפּלינג איידער עקסטערנע טשעקס.
- לאָגין און האַנדלען אויף אַלע אויסנעמען: אַוועקוועזנהייט, שפּעטע/נישט געראָטן פֿאַרענדיקונג, אָדער נישט-קאָנפאָרמאַנס מוז רעקאָרדירט ווערן מיט דערנאָכדיקער פֿאַרריכטונג.
- דייווערסיטי פון באווייז: היבריד/מולטינאציאָנאַלע באָרדס מוזן האַלטן ביידע דיגיטאַלע און סקאַנירטע גשמיותדיקע באַווייַזן - אידעאַל אין אַלע באַטייַטיק אַרבעט שפּראַכן.
- אויטאָמאַטישע ריטענשאַן/עקספּייערי נאָוטאַפאַקיישאַנז: פאַרהיטן דאַטן גאַפּס פון שטאב אָדער פּלאַטפאָרמע יבערגאַנגען דורך פרעגן די קאַסטאָדיאַנז אין שטייַגן.
- דאָקומענטירן יעדן טראַנספער און מיגראַציע: באַווײַז־איבערגעבונג (נאָך ענדערונגען אין אַדמין, פּלאַטפאָרמע, אָדער פאַרוואַלטונג) מוז ווערן לאָגד און ווידער־באַשטעטיקט.
אַ רעגולאַטאָר וועט נישט איבערצייגן ווערן דורך באַנד - זיי ווילן אינסטאַנט, דירעקטאָר-ספּעציפֿיש באַווייַז, נישט קוקנדיק אויף לאַנד אָדער טריינינג פֿאָרמאַט.
ISMS.online איז אינזשענירט צו צושטעלן די קאנטראלן גלייך פון דער שאכטל, געבענדיג דירעקטארן און ארגאניזאציעס סיי לעגאלע פארטיידיגונג און סיי א רעפוטאציע-פארטייל אין אוידיטס און קריטישע סטעיקהאלדער שמועסן. ווען איר זענט גרייט פאר א לעבעדיגע דעמאנסטראציע פון באווייז עקספארט אדער א פולס טשעק אויף אייער באארד'ס NIS 2 גרייטקייט, קען איין קליק אנהייבן דעם פראצעס.
