פארוואס מיסט פאַרוואַלטונג שטייט איצט פאר אן אומגעזעהענע NIS 2 אויפזיכט
מיסט פאַרוואַלטונג אָפּעראַטאָרן איבער אייראָפּע שטייען פאר א רעגולאַטאָרישע כוואַליע ווי קיינמאָל פריער מיט דער דורכפירונג פון די אי.יו.'ס NIS 2 דירעקטיוודי היסטארישע פאזיציע פונעם סעקטאר אויף די קאמפלייענס מארדזשינס – אפט פאקוסירט אויף פיזישע זיכערהייט, ענווייראמענטאלע סטאנדארטן, און אפעראציאנעלע לאגיסטיק – איז שטענדיג איבערגעארבעט געווארן. היינט, זענען ביידע פירמע-באארדס און זייערע טעכנישע טימס גאנץ פאראנטווארטלעך נישט נאר פאר אינערליכע דיגיטאלע סיסטעמען, נאר פאר יעדן לינק אין זייערע סופלייער, לאגיסטיק, און אויסגעסארסטע IT קייטן. ווי אינצידענטן אין ארומיגע אינפראסטרוקטור סעקטארן האבן באוויזן, קען א שוואכער פונקט אין יעדן שותף אדער אן אלטע קאנטראל ערגעץ אין אייער אפעראציע זיך פארשפרייטן און מאכן אייך מארגן'ס הויפט נייעס.
יעדער אומפארמינדערטער בריטש עכאט זיך איבערן סעקטאָר: איין סאַפּלייער'ס אומזעיקבארע ריס קען מיינען מאָרגנדיקע כעדליינז פֿאַר אַלעמען.
אין האַרצן פון NIS 2 איז אַ נייַער טעם פון אַקאַונטאַביליטי. זיך פֿאַרלאָזן אויף סטאַטישע PDF פּלייבוקס, איין-מאָל דורכדרינגונג טעסטן, אָדער טשעק-די-באַקס קאָנטראָל איבערבליקן זענען אפשר שוין דורכגעגאַנגען מוסטער פריער, אָבער איצט דערוואַרטן רעגולאַטאָרן קעסיידערדיקע, לעבעדיקע באַווייַזן פון סייבער-זיכערהייט. risk managementפעלד טאַבלעטן, אָפּעראַציאָנעלע SCADA נעטוואָרקס, טראַנספּאָרט אינטעגראַציעס, לאַנדפיל פּאַרטנערס פּאָרטאַלן - יעדער דיגיטאַלער ענדפּוינט איז אונטערטעניק צו קאָנטראָל. אויב אייערע קראָס-סייט אַקסעס לאָגס זענען אַוטדייטיד אָדער סאַפּלייערז זיכערהייט אַראַנזשעמענץ בלייבן אַנאַלידייטיד, לעבט איר מיט לאַוטעד ריזיקירן און וואַקסנדיק לעגאַל אַחריות.
דער אלטער יערלעכער ריטעם - "מיר באַפרידיקן די קאַנפאָרמאַטי אין קוואַרטאַל 4, און דערנאָך גייען מיר צוריק צו דער אַרבעט" - איז אויסגעלאָפן. רעגולאַציעס ווי NIS 2 ציילן איצט נישט נאָר דורכפאַלן, נאָר אויך "דורכפאַלן צו פֿאַרבעסערן." אונטער דעם מאָדעל, איז עכטע באַטייליקונג פֿון דירעקטאָרן-ראַטן נישט אָפּציאָנעל; עס איז אַ קריטישער טייל פֿון אייער רעגולאַטאָרישער פֿאַרטיידיקונג און אַ שילד קעגן פֿינאַנציעלע, רעפּוטאַציע און אָפּעראַציאָנעלע חורבן. דער ריזיקע איז נישט מער טעאָרעטיש. קנסות, פֿלעק-אינספּעקציעס, דורכפֿיר-אַקציעס און אויספֿאַלן אין דער רעאַליטעט-וועלט פֿירן אַ נייע בעסטע פּראַקטיק: קאַנפאָרמאַטי ווי אַן אָפּעראַציאָנעלער מוסקל, נישט אַן אַדמיניסטראַטיווער רעפֿלעקס.
ווער מוז האַנדלען: דעקאָדירן פאַרנעם און שוועלן פֿאַר אָפּעראַטאָרן פון דעם אָפּפאַל סעקטאָר
ס'איז אַ פאַרשפּרייטע מיספאַרשטענדעניש אַז נאָר די ריזן פון אָפּפאַל פאַרוואַלטונג דאַרפן נעמען באַשטימטע אַקציע. אונטער NIS 2, איז די נעץ ברייט: יעדער אָפּעראַטאָר מיט מער ווי 50 עמפּלוייז אָדער €10 מיליאָן אין איבערקער ווערט אַ "וויכטיגע ענטיטי," וואָס שטייט פאר דער פולער וואָג פון דירעקטע, דירעקטאָריום-לעוועל פאַרפליכטונגען. אָבער גרייס איז נישט דער איינציקער אַרייַנגאַנג בילעט. קלענערע, רעגיאָנאַל קריטישע פּראַוויידערז - די וואָס דינען שפּיטאָל נעטוואָרקס, מוניציפּאַלע באַהאַנדלונג פאַבריקן, אָדער הויפּט עפנטלעכע אינפראַסטרוקטור - קוואַליפיצירן זיך אויך צוליב די עסענטשאַל באַדינונגען וואָס זיי שטיצן.
נאָר לעבעדיגע, אוידיט-גרייטע באַווײַזן - נישט טשעקליסטן אדער מיינונגען - ווײַזן קאָנפאָרמאַטי.
אן ISO 27001 סערטיפיקאט אדער יערלעכער אוידיט באריכט איז נישט גענוג. די דירעקטיווע פארלאנגט אפ-טו-דייט מענעדזשמענט רעקארדס, אפעראציאנאליזירטע קאנטראלן ביי יעדן נאָדע, און - וויכטיג - קלארע ליניעס פון אחריות ביזן דירעקטאָריום. עס איז קלאר: קאמפלייענס דורכפעלער פליסן ארויף, און אזוי אויך שטראָפן און סאנקציעס. דירעקטאָריוםס מוזן פערזענליך באשטעטיקן בריטש מעלדונגען, אויפפּאַסן סאַפּלייער דיו דילידזשאַנס, און רעגולער איבערקוקן סייבער ריזיקע אפשאצונגען אלס טייל פון זייערע דאקומענטירטע פליכטן.
טאַבעלע 1: איבערבריקן NIS 2 ערוואַרטונגען צו ISO 27001 (מוסטער)
| NIS 2 ערוואַרטונג | אָפּעראַציאָנאַליזאַציע | ISO 27001 / אַנעקס א לינק |
|---|---|---|
| באָרד באריכטן דאָקומענטירט | מינוטן, אונטערשריפט לאגס, דעשבאָרד | קל.5, A.5.2, A.5.4 |
| לעבעדיקע צושטעל קייט ריזיקירן רעגיסטרירן | ריזיקע באַנק, SoA/פאַרבונדענע קאָנטראָלן | קל.6.1, A.5.7, A.5.21 |
| פּינטלעך אינצידענט מעלדונג | דריל לאָגס, עסקאַלאַציע פּלאַן | א.5.24, א.5.25, א.5.26 |
| טרענירונג רעקאָרדס געהאלטן | שטאב לאגס, אונטערגעשריבענע באשטעטיגונגען | קל.7.2, A.6.3, A.6.5 |
| צושטעלן קייט רעכט דיליזאַנס | קאָנטראַקט איבערבליק, פאַרקויפער אָדאַץ | א.5.19, א.5.20, א.5.21 |
היינטיקע קאמפלייענס שוועל איז "שטענדיק אן". צי עס איז א דרייווער'ס קלוגע דעווייס וואס פארבינדט זיך צו דעפא ווייכווארג, אדער א מיסט טראנספער סטאנציע וואס ניצט א דריט-פארטיי צוטריט מענעדזשמענט לייזונג, יעדע לעבעדיגע סיסטעם ווערט א רעגולאטורישע פאקוס פונקט. יעדע ריס, נישט קיין חילוק ווי טראנזאקציאנאל, ווערט איצט געזען אלס א פאטענציעלע אטאקע רוטע און אן אפעראטאר'ס אחריות.
באָרד-לעוועל טראַסעאַביליטי רוט איצט אויף דאַשבאָרדז וואָס קאָרעלירן פּאָליטיק סאַגדזשעסטשאַנז, ריזיקירן ריוויוז און אינצידענט דיסיזשאַנז מיט צייט-געשטעמפּלט באַווייַז.
עפעקטיווע פארטיידיגונג מיינט קאדיפיקירן די באַטייליקונג פון דירעקטאָרן-ראט און מענעדזשמענט דורך סיסטעמאטיזירטע מענעדזשמענט איבערבליקן, דיגיטאלע אונטערשרייבונגען, און אוידיט-גרייטע, ראלע-אטריביירטע לאגס - נישט נאר ארכיווירטע רעקארדס, נאר לעבעדיגע פארבינדונגען צווישן פירערשאפט, אינצידענטן, און פראנט-ליניע באווייזן.
בעל NIS 2 אָן ספּרעדשיט כאַאָס
צענטראַליזירן ריזיקע, אינצידענטן, סאַפּלייערז און באַווייַזן אין איין ריינער פּלאַטפאָרמע.
זענען אייערע סופּליי טשיין און דריט-פּאַרטיי ריסקס טאַקע אונטער קאָנטראָל?
אייער ריזיקע פּערימעטער ענדיקט זיך נישט ביים אפיס טיר אדער ביים מיסטפּלאַץ טויער. אונטער NIS 2, גייט רעגולאַטאָרישע פֿאַראַנטוואָרטלעכקייט נאָך דעם גאַנצן דאַטן פֿלוס - פֿון די הויפּט SCADA סיסטעמען ביז פּאַרטנערס, IT סאַפּלייערז, קאָנטראַקטירטע טראַנספּאָרטערס, און אפילו אויסגעסאָורסטע HR אָדער בילינג ווענדאָרס. אויב קיין טייל פֿון דעם צושטעל נעץ פֿאַלט קורץ, אַזוי אויך אייערע פֿאַרטיידיקונגען.
מאָדערנע אוידיטינג ערוואַרט אַ דיגיטאַלע אוידיט שפּור: יעדער סאַפּלייער בריטש, קאָנטראַקט עסאַלאַציע, און ריזיקאָ אַסעסמאַנט ווערט אַטריביאַטאַד צו אַ געהייסן באַזיצער.
עס איז שוין נישט גענוג צו זאמלען סערטיפיקאטן אדער אלגעמיינע זיכערהייט סטעיטמענטס. אפעראטארן מוזן וואַלידירן, לאָגן, און זיין גרייט צו פּראָדוצירן באווייזן אַז יעדן סאַפּלייער'ס קאָנטראָלן זענען טעסטעד און מאַפּט קעגן זייערע אייגענע ריזיקעס. אויב אַ פּאַרטנער פאַרהאַלט זיך אין דערהייַנטיקן זייער OT ענדפּוינט זיכערהייט, ווערט עס אייער וואַלנעראַביליטי. אויב בריטש רעספּאָנסעס אדער ריזיקע אַסעסמאַנץ ווערן דעלעגירט צו "יערלעכע סאַפּלייער באריכטן," בלייבט די פֿענצטער פֿאַר דורכפירונג - און עפנטלעכע קאָנטראָל - ברייט אָפֿן.
יערלעכע בריטש סימיאַליישאַנז וואָס אַרייַנציען קריטישע סאַפּלייערז זענען איצט אַ רעגולאַטאָרישע באַזע. רעגיאָנאַלע אויטאריטעטן און סעקטאָר אָדיטאָרס וועלן דערוואַרטן צו זען אַרויף-צו-דאַטע סאַפּלייער רעגיסטערס, עסקאַלאַציע געשיכטעס, און ינטעגרירטע סצענאַר טעסטינג רעקאָרדס. יעדער טראַנספּאָרט פּאַרטנער, סאָרטינג מעכירעס, אָדער וואָלקן פּלאַטפאָרמע מוז זיין מאַפּט אין אַ קאַנטיניואַסלי מיינטיינד סאַפּליי קייט דאַשבאָרד, מיט דריל לאָגס און עסקאַלאַציע וואָרקפלאָוז איינגעבאַקן אין רוטין פּראַקטיק.
שליסל אָפּעראַטאָר אַקשאַנז:
- סטאַנדאַרדיזירן קאָנטראַקטן צו מאַנדאַטירן ספּעציפֿישע, אָדיטאַבלע טעכנישע און אָרגאַניזאַציאָנעלע קאָנטראָלס.
- פירן קאנטינעווירלעכע ריזיקע און עסאַקאַלאַציע לאָגס פּער שותף, נישט נאָר ספּרעדשיטס אָדער אימעיל קייטן.
- פירט אויס יערלעכע סימולאציעס מיט שליסל פּאַרטנערס און רעקאָרדירט אַלע רעאַקציעס, גאַפּס און רעמעדיאַציעס.
אויב אייערע קאנטראקט ענדערונגען, ריזיקע אפשאצונגען, און עסאקאלאציע געשעענישן קענען נישט ווערן נאכגעפאלגט לעבעדיג, זענט איר אויסגעשטעלט נישט נאר צו קנסות, נאר אויך צו סעקטאר-ברייטע אינצידענט-פארשפרייטונג.
וואָס סופּערווייזערס און אָדיטאָרס טאַקע קאָנטראָלירן: עס איז נישט סטאַטישע פּדף'ס
יערלעכע "טשעק די באָקס" קאָמפלייענס איז טויט. רעגולאַטאָרן, סופּערווייזערי אויטאָריטעטן, און מער און מער אייער אייגענער דירעקטאָרן-ראַט פאָדערן אָטעמען-באַווייַזן: אָפּעראַציאָנעלע ריזיקאָ רעגיסטערס, סאַפּליי טשיין דאַשבאָרדז, און אינצידענט לאָגס וואָס זענען אַקטיוו ביי יעדן אוידיט פּונקט - נישט פארשפארט ביזן סוף יאָר.
באווייזן מוזן זיין אזוי דינאמיש ווי אפעראציעס - א שלאפֿענדיקער לאג איז א חוב, נישט א שילד.
סופּערווייזערס וועלן קאָנטראָלירן:
- קייט-פון-קאַסטאָדי פֿאַר ריזיקע און אינצידענט ענטפער דערהייַנטיקונגען (נישט נאָר סטאַטישע רעקאָרדס).
- דרילס און סצענאַר טעסט רעזולטאַטן פֿאַר ביידע אינטערנע און סאַפּלייער-פֿאַרבונדענע אינצידענטן.
- דיגיטאַלע לאָגס פון שטאב דערקענטעניש און קאַמפּליאַנס טריינינג, פארבונדן מיט ריסקס און ראָלעס.
- רעאַל-צייט סטאַטוס פון אינצידענט עסאַקאַלאַציע, פארקויפער נאטיפיקאציעס, און מענעדזשמענט אונטערשרייבונגען.
אויב אַן אינספּעקטאָר אָדער רעגולאַטאָר פֿאָדערט אַ באַווײַז בײַ 8:00 אינדערפֿרי, קענט איר דאָס צושטעלן? צי לעבט נאָך אײַער באַווײַז אין צעוואָרפֿענע אינבאָקסעס, סאַפּלייערס אימעילס, צי פֿאַרטיילטע שעירפּאָינט טעקעס? סעקטאָר פֿירער גרייטן זיך אויס פֿאַר קאָנטינויִערלעכע... קאָנטראָלירן גרייטקייַט-יעדן טאָג, נישט נאָר 30 טעג נאָך אַ פּאָליטיק ענדערונג.
זייטבאַר: געוויינטלעכע אוידיט גרייטקייט גאַפּס אין די אָפּפאַל סעקטאָר
- סטאַטיש, יאָר אַלט ריזיקירן רעגיסטרירןס און אינצידענט לאָגס
- סאַפּלייער ליסטעס אָן דאָקומענטירטע עסקאַלאַציע וואָרקפלאָוז אָדער פּאַרטנער טעסט רעקאָרדס
- באָרד זיצונג טעמפּלאַטן וואָס פעלן זיכערהייט אָפּשאַצונג פעלדער אָדער דאָקומענטאַציע
- שטאב טרענירונג ווערט נאר נאכגעפאלגט אין HR מכשירים, נישט אינטעגרירט מיט ISMS
- סצענאַר-באַזירטע צושטעל קייט בריטש דרילס קיינמאָל נישט דורכגעפירט, רעקאָרדירט אָדער באַוויזן
א לעבעדיגע, דעשבאָרד-געטריבענע ISMS פארוואנדלט אוידיט ציקלען פון א וואָך-לאַנגע קאַמף אין א רוטין, מיט אינטעגרירטע באַווייז-פלוסן וואָס פארבינדן אינצידענטן, ריזיקעס, שטאב, דירעקטאָרן-ראַט און סאַפּלייערס - וואָס פאראייניקן אוידיט-צוגרייטקייט מיט סעקטאָר-ריזיליאַנס.
זייט NIS 2-גרייט פון טאג איינס
לאָנטש מיט אַ באַוויזן וואָרקספּייס און טעמפּלאַטן – נאָר צופּאַסן, צוטיילן, און גיין.
ISO 27001 און NIS 2: אויסגלייכונג (און לעכער) קיינער דערקלערט נישט
די גאָלד סטאַנדאַרט פֿאַר אינפֿאָרמאַציע זיכערהייט, ISO 27001, שאַפט אַ שטאַרקע באַזע פֿאַר סעקטאָר קאָנפאָרמאַטי. אָבער NIS 2 פירט איין רעקווייערמענץ וואָס ISO 27001 דעקט נישט גאָר - ספּעציעל אַרום סאַפּליי טשיין לעבעדיגע ריזיקאָ מאַפּינג, באָרד/פירערשאַפט באַווייַזונג, און קעסיידערדיק דאָקומענטאַציע פון אינצידענט עסאַליישאַנז. דורכגיין דיין סערטיפיקאַציע אוידיט גיט נישט מער פולשטענדיק רעגולאַטאָריש שוץ.
דורכגיין אייער ISO 27001 אוידיט איז נישט גענוג - רעגולאַטאָרן ווילן זען קאָנטראָלן לייוו-געמאַפּט צו ריזיקע געשעענישן און דירעקטאָרן-ראַט באַשלוסן.
הויך-פאָרשטעלונג אָפּפאַל אָפּעראַטאָרן צענטראַליזירן אַלע קריטישע באַווייַזן-ריזיקירן דערהייַנטיקונגען, סאַפּלייער געשעענישן, ברעט אונטערשרייבונגs, און אינצידענט רעקאָרדס-אין אַן אינטעגרירטער פּלאַטפאָרמע. דאָס ערמעגליכט באַלדיקע טרעיסאַביליטי פֿאַר יעדער רעגולאַטאָר אָנפֿרעג, יעדן קונה פֿראַגעבאָגן, יעדן פֿירערשאַפֿט באַשלוס.
טאַבעלע 2: ISO/NIS 2 טרעיסאַביליטי (פאַרברייטערט)
| צינגל | ריזיקע דערהייַנטיקונג | קאָנטראָל/SoA לינק | באַווײַזן רעקאָרדירט |
|---|---|---|---|
| סאַפּלייער בריטש | ריזיקע פון "דריטן פארטיי" | א.5.19, א.5.21 | אינצידענט לאָג, פארקויפער עסקאַלאַציע רעקאָרד |
| דירעקטאָר ענדערונג | "פירערשאפט" ריזיקע | קל.5.2, A.5.2 | פּראָטאָקאָלן פֿון דירעקטאָרן-ראַט, נײַער רעקאָרד פֿאַר אונטערשרײַבן |
| ראַנסאָמווער סאַקאָנע | "מאַלווער" ריזיקע | א.8.7, א.8.8 | פּאַטש לאָגס, דריל באַריכט, טראַינינג לאָגס |
| פּאָליטיק דערהייַנטיקן | "פּאָליטיק" ריזיקע | קל.6.1, A.5.1 | פּאָליטיק פּאַק לאָג, שטאב דערקענטענישן |
די רעגולאַטאָרישע טעמע: אַלץ וואָס האָט אַן השפּעה אויף ריזיקע דאַרף אַ צייט-געשטעמפּלטע, אַטריבוציע-פּרוף audit trail- שטענדיק גרייט, שטענדיק צוטריטלעך.
טרעיסאַביליטי: פֿון ריזיקעס ביז באָרדרום אַקאַונטאַביליטי
טרעיסאַביליטי איז איצט די לאָגיק און שפּראַך פון קאָנפאָרמאַנס. NIS 2 ערוואַרטעט אַז יעדער דערהייַנטיקונג איבער ריזיקאָ, אינצידענט, פּאָליטיק און פאַרוואַלטונג איבערבליק זאָל זיין דיגיטאַל פארבונדן צו זיין אָפּשטאַם, באַשלוס-נעמער, צייטשטעמפּל און דאָקומענטירט איבערבליק.
טרעיסאַביליטי דעפינירט סעקטאָר פירערשאַפט: נאָר די וואָס קענען באַלדיק באַווייַזן יעדע באַשלוס און עסאַקאַלאַציע איבערלעבן די נייע סטאַנדאַרדן.
א סטאַטישע, נישט-דערפרישטע פּאָליטיק אָדער קאָנטראָל וועט באַהאַנדלט ווערן ווי אַ סימן פון סיסטעמישע פאַרלאָזיקייט. דורכפירונג טרענדס אונטערשטרייַכן די נויט פֿאַר אינטעגרירטע דיגיטאַלע "ברויט-קרומלען שפּורן" - קאַרטירן יעדן ריזיקאָ דערהייַנטיקונג, סאַפּלייער אינצידענט, עסאַקאַלאַציע און פאַרוואַלטונג איבערבליק אויף אַ שטייגער וואָס איז גלייך פאַרטיידיקבאר.
שנעלער סצענאַר:
- אין פאַל פון אַ סאַפּלייער-זייַט ראַנסאָמווער בריטש אויף אַ פרייטיק נאָכמיטאָג, פירנדיקע אָפּעראַטאָרן:
- דערהייַנטיקן דעם דריט-פּאַרטיי ריזיקאָ רעגיסטער און עקספּליציט מאַפּ עס צו NIS 2 אַרטיקל 21.
- גלייך אַקטיוויירן דעם אינצידענט עסאַקאַלאַציע וואָרקפלאָו און לאָג אַלע סאַפּלייער קאָמוניקאַציעס.
- איבערקוקן קאנטראקטועלע אינצידענט מעלדונג פליכטן.
- דיגיטאַל לאָגירן אַלע ברעט עסאַקאַליישאַנז און באַשלוסן אין פאַקטישער צייט.
- צונויפשטעלן אַלע באַווײַזן פֿאַר אַ באַלדיקן, אוידיט-גרייטן פּאַק.
די מדרגה פון אָפּעראַציאָנעלער בייגיקייט ניט בלויז באַפרידיקט רעגולאַטאָרן, אָבער אַקטיוו באַרואיקט באָרדז, ינוועסטערז און קאַסטאַמערז אַז איר זענט ניט נאָר קאַמפּליאַנט, אָבער ווידערשטאַנדספעיִק.
אַלע אייערע NIS 2, אַלץ אין איין אָרט
פֿון אַרטיקלען 20–23 ביז אוידיט פּלענער – דורכפֿירן און באַווײַזן קאָנפֿאָרמאַנס, פֿון ענד צו ענד.
קנסות, פלעק אינספעקציעס, און באארד אויסשטעלונג: ווי אזוי צו פארטיידיגן אייער ארגאניזאציע
די ריזיקעס פאר נישט-נאכקומען האבן זיך דראמאטיש פארגרעסערט. NIS 2 גיט רעגולאטארן די מאכט צו באשטראפן פירמעס ביז €7 מיליאָן אדער 1.4% פון גלאָבאַלן יערלעכן איינקונפט-און די סטאַנדאַרט פֿאַר "מאַטעריעלע בריטש" איצט כולל דורכפאַלן צו דאָקומענטירן באַשלוסן און ריזיקאָ פאַרוואַלטונג אַקטיוויטעטן, נישט נאָר סיסטעם-ברייטע בריטשעס.
צו פיל דאקומענטאציע ערשיינט קיינמאל נישט אין די רעגולאטאר געפינסן - נאר די באדויערונג פון ווערן געכאפט אן דעם.
פלעק-אינספעקציעס זענען א סעקטאר נארם. אוידיט און אויפזיכט אויטאריטעטן פארלאנגען גלייכע צוטריט צו אלע באווייזן פון טיש: נישט נאר אינצידענט לאגס און שטאב באשטעטיגונגען, נאר יעדע באארד אדער מענעדזשמענט אונטערשריפט, קאנטראקט איבערבליק, און דריל געשעעניש וואס פארבינדט צוזאמען די ריזיקע לאנדשאפט.
מצליחדיקע אפעראטארן גרייטן זיך צו דורך:
- לאָגינג יעדע באָרד און מאַנאַגעמענט באריכט אין אַ קאַמפּליאַנס סיסטעם (נישט אימעיל קייטן).
- פּלאַנירן לפּחות האַלב-יערלעכע דרילס, רעקאָרדירן יעדע טעטיקייט, רעזולטאַט און אַקציע וואָס איז גענומען געוואָרן.
- בויען איין, אינטעגרירט באווייז פּעקל: ריזיקע דערהייַנטיקונגען, סאַפּלייער עסאַקאַליישאַנז, אינצידענט לאָגס, פּאָליטיק רעוויזיעס, און באָרד אַקשאַנז - גרייט צו טיילן יעדער צייט.
אין פּראַקטיק, די באָרד'ס צוטרוי - און די פירמע'ס רעגולאַטאָרישע בייגיקייט - רוט אויף דעם קאָנטינויִערלעכן, באַווייז-ערשטן צוגאַנג. אַלץ ווייניקער וועט דורכפאַלן אונטער קאָנטראָל, און וועט אונטערדריקן די צוטרוי פון די אינטערעסירטע פּאַרטייען און קאָנקורענץ-פּאָזיציאָנירן.
פֿירט מיט בטחון: פֿאַרמאָגט NIS 2 אָפּפֿאַל־פֿאַרוואַלטונג־קאָמפּליאַנס מיט ISMS.online
NIS 2 קאמפלייענס אין אפפאל מענעדזשמענט איז נישט מער א טעכנישע אפגרעיד - עס איז אן אפעראציאנעלע און רעפוטאציע-אימפעראטיוו. די פירער אין דעם סעקטאר פאראייניקן ריזיקא מענעדזשמענט, צושטעל-קייט פארזיכערונג, שטאב באטייליגונג, און אוידיט צוגרייטונג אין פלאטפארמעס ווי ISMS.onlineדי סיסטעמען פארוואנדלען באווייז זאמלונג פון א לעצטע-מינוט קאמף אין א טעגליכן, אויטאמאטישן פראצעס - וואס הייבט אן אויספירן די ראטעס פון די אוידיטס, רעדוצירט מאנועלע אויסגאבן, און לאזט טימס זיך קאנצענטרירן אויף סטראטעגישע רעזולטאטן אנשטאט זיך נאכצוכאפן נאכן קאמפלייענס.
זענט איר גרייט פֿאַר דער נײַער נאָרמאַל? דירעקטאָרן-ראַטן און רעגולאַטאָרן ערוואַרטן איצט אויף-א-בליק דאַשבאָרדז וואָס קענען שפּורן יעדן באַדײַטנדיקן ריזיקאָ, סאַפּלייער עסאַקאַלאַציע, און אינצידענט אַקציע - אַריבער די אָפּעראַציע און אַרויף צו די דירעקטאָרן-ראַט צימער. אײַער פיייקייט צו באַלד צונויפֿשטעלן די באַווײַזן איז איצט אײַער דעפֿינירנדיקער אַסעט.
אמתע NIS 2 פירערשאפט איז די מעגלעכקייט צו ווייזן, נישט צו זאגן, סעקטאר'ס ווידערשטאנדסקראפט מיינט אז גרייטקייט איז דער קענטיגער פארמעגן וואס באארדס, אוידיטארן און רעגולאטארן שעצן דאס מערסטע.
מאַכט אייער NIS 2 קאָנפאָרמאַטי אַ קאָנקורענץ-פאָרטייל. אין דעם אָפּפאַל סעקטאָר, געהערט פירערשאַפט צו די וועמענס באַווייַז איז שטענדיק נאָר אַ קליק אַוועק.
אָפֿט געשטעלטע פֿראגן
וואָסערע נייע סייבער-זיכערהייט און אינצידענט מעלדונג מיטלען פארלאנגט NIS 2 פֿאַר אָפּעראַטאָרן פון וויסט פאַרוואַלטונג?
NIS 2 ערוואַרטעט אַז אָפּעראַטאָרן פֿון די אָפּפֿאַל סעקטאָרן זאָלן באַווייַזן סייבער-זיכערהייט און אינצידענט-גרייטקייט ווי אַ לעבעדיקע, דיגיטאַלע פּראַקטיק - אויפֿהאַלטן דינאַמישע ריזיקאָ-רעגיסטער, רעספּאָנסיווע צושטעל-קייט קאָנטראָלן, און פאַרוואַלטונג-געטריבענע אַקציעס וואָס איר קענט ווייַזן אין יעדן מאָמענט, נישט נאָר בעת אויספֿאָרשונגען.
היינט, ווערט קאמפלייענס געמאסטן נישט דורך פאליסי פאלדערס, נאר דורך אייער מעגלעכקייט צו באַווייַזן:
- דינאמישע ריזיקע מאַפּינג: -א קאנטינעווירלעך אפדעיטירטער דידזשיטאלער רעגיסטער, וואס באדעקט נישט נאר אינפארמאציע טעכנולוגיע נאר אויך OT (אינדוסטריעל און לעגעסי SCADA), IoT ענדפונקטן, און סופלייער פארבינדונגען. באריכטן ווערן רעגיסטרירט נאך יעדער טעכנולוגיע אדער פראצעס ענדערונג, אינצידענט, אדער נייע סכנה ווארענונג, נישט נאר יערליך.
- לעבעדיגע אינצידענט רעאקציע רעקארדס: -אָפּעראַטאָרן מוזן רעקאָרדירן סימולאַציעס און דרילס (מיט די באַטייליקטע, רעזולטאַטן און רעמעדיאַציע וואָס ווערן נאכגעפאלגט ביזן סוף), ווי אויך פאַקטישע אינצידענטן און לעקציעס געלערנטדרילס זאָלן אַרייַננעמען סצענאַרן וואָס זענען באַטייַטיק צו גשמיות און דיגיטאַלע אָפּפאַל שטראָמען און פּרובירן קאָנטינויִטעט אונטער דרוק פון דער צושטעל קייט.
- דאקומענטירטע צושטעל קייט אויפזיכט: יעדער קאנטראקט מוז ארייננעמען סייבער-זיכערהייט קלאוזלען, רעכט צו אויספארשן, און בריטש נאטיפיקאציע טערמינען. צענטראליזירן לאגס פון פארקויפער אויספארשונגען, ריזיקע באריכטן, סימולאציע רעזולטאטן, און יעדע נישט-נאכקומען. לייגט זיי אויף דידזשיטאלי פאר שנעלע צוריקרופן.
- פאַרוואַלטונג און דירעקטאָריום באַטייליקונג: סופּערווייזערס ערוואַרטן אונטערגעשריבענע, צייט-געשטעמפּלטע פּראָטאָקאָלן פון ריזיקאָ איבערבליקן, עסאַקאַלאַציע באַשלוסן און רעסורסן אַלאַקיישאַנז צו סייבער-זיכערהייט. די אַקטיווע ראָלע פון די דירעקטאָריום מוז זיין שפּוראַבאַל, נישט נאָר דעלעגירט צו IT.
- קאָמפּרעהענסיווע טריינינג רעקאָרדס: -עלעקטריש רעגיסטרירטע קאמפלישאַן פֿאַר אַלע זיכערהייט און וויסיקייַט טריינינג מאָדולן, וואָס דעקן אפילו דריט פּאַרטיעס מיט סיסטעם אַקסעס. האַלטן באַווייַזן אַרויף-צו-דאַטע פֿאַר שטעקן, קאָנטראַקטאָרס, סאַפּלייערז און קיין צייטווייליגע אַרבעטער קראַפט.
אוידיטס יאָגן איצט נאָך באַווײַזן פֿון טעגלעכע קאָנטראָלן אין אַקציע - נישט נאָר איין מאָל-אַ-יאָר דעקלאַראַציעס.
קערן עווידענס טאַבעלע
| NIS 2 פארלאנג | קריטישע באווייזן | ISO 27001 רעפערענץ |
|---|---|---|
| Risk assessment | דינאמישע ריזיקע רעגיסטער, ענדערונג/געשעעניש לאג | קלאַס 6.1 / 8.2 |
| ינסידענט אַדמיניסטראַציע | דריל/געניטונג רעקאָרדס, נאָך-אַקציע דערהייַנטיקונגען | א.5.24–26 |
| צושטעלן קייט זיכערהייַט | אונטערגעשריבענע קאנטראקטן, אוידיט/רעמעדיאציע לאגס | א.5.19–21 |
| עקסעקוטיוו באַטייליקונג | אונטערגעשריבענע פּראָטאָקאָלן, איבערבליק געשיכטע, באַשטעטיקונגען | קל. 5.1, 9.3 |
| טרענירונג קאנפארמאַנס | קאָמפּלעשאַן לאָגס, מאָדול געשיכטע | A.6.3 |
פֿאַר מער:
וועלכע אָפּעראַטאָרן פֿונעם אָפּפֿאַל סעקטאָר קוואַליפֿיצירן זיך ווי "וויכטיקטע ענטיטעטן" אונטער NIS 2 - און וואָס טריגערט זייערע פֿאַרפֿליכטונגען?
אייער אפעראציע איז א "וויכטיגע ענטיטי" אויב אפפאל פארוואלטונג (זאמלונג, טראנספארט, באהאנדלונג, באזייטיגונג) איז אייער הויפט געשעפט און איר באַשעפֿטיקן 50+ שטאַב־מיטגלידער אָדער האָבן €10 מיליאָן+ פֿאַרקויף־פּערזענלעכקייט- נישט קיין חילוק צי איר זענט פובליק, פריוואט, אדער PPP.
קאַטעגאָריעס און טריגערס:
- עפנטלעכע און פּריוואַטע סעקטאָר: מוניציפאלע סערוויסעס, פּריוואַטע קאָנטראַקטאָרן, און דזשוינט ווענטורעס קוואַליפיצירן זיך אַלע אויב זייער הויפּט טעטיקייט דרייט זיך אַרום וויסט האַנדלינג און זיי איבערשטייגן יעדן פון די שוועלן.
- שוועל קלעריפייערס: ענטיטעטן מיט ווייניקער ווי 50 ארבייטער אדער ווייניקער ווי €10 מיליאָן איינקונפט זענען געווענליך באפרייט, סיידן רעגולאטארן באצייכענען זיי אלס "קריטיש" לויט סעקטאר אדער געאגראפיע.
- ברייטע אינקלוזיע: אפילו אויב אייער מיסט פאַרוואַלטונג איז טייל פון אַ ברייטערער גרופּע (למשל, אין אַ פאַבריקאַנט), מוז עס זיין אפגעזונדערט און קוואַליפיצירט זיך נאָר אויב מיסט אַקטיוויטעטן אַליין דערגרייכן אַ שוועל.
- אוניווערסאַלע השפּעה: סטאַטוס מיינט אַז דער פולער סכום פון NIS 2 פליכטן - אַרייַנגערעכנט דירעקטאָרן-ראט אויפזיכט, ריזיקאָ-פאַרוואַלטונג, אינצידענט-אַנטפּלעקונג, און צושטעל-קייט-קאָנטראָלס - זענען אָנווענדלעך.
| ענטיטי טיפּ | שטאב / איינקונפט | NIS 2 סטאַטוס | וואָס עס פארלאנגט |
|---|---|---|---|
| נאציאנאלע מיסט פירמע | 120 שטאב מיטגלידער / €18 מיליאָן | יאָ | פולע NIS 2 קאמפלייענס |
| ראַט-געפירטע אָפּטיילונג | 60 שטאב מיטגלידער / €6 מיליאָן | יאָ | אַלע פליכטן: ריזיקע, אינצידענט, צושטעל קייט |
| קליינע קליינע ביזנעסער | 30 שטאב מיטגלידער / €2 מיליאָן | ניין* | נישט באדעקט סיידן עס איז באצייכנט ווי קריטיש |
| פאַבריק מיט קליינע אָפּפאַל אָפּעראַציעס | 200 שטאב מיטגלידער אינגאנצן / אפפאל = 5% איינקונפט | ניין | גילט נאָר אויב די הויפּט געשעפט איז אָפּפאַל |
*סיידן די לאקאלע/נאציאנאלע אויטאריטעט באשליסט אנדערש
וואָסערע דיגיטאַלע באַווײַזן און דאָקומענטאַציע מוזן אָפּפֿאַל אָפּעראַטאָרן זײַן גרייט צו פּראָדוצירן פֿאַר סופּערווײַזער?
אוידיטאָרן פארלאנגען לעבעדיקע, צוטריטלעכע, דיגיטאַלע באַווײַזןנישט פארעלטערטע בינדערס - איבערשפּאַנענדיק:
- ריזיקע רעגיסטער: צייט-געשטעמפּלטע דערהייַנטיקונגען מיט איינטראַגעס פֿאַר יעדער אָפּגעקוקטער סאַקאָנע, ענדערונג, אָדער נייַע וואַלנעראַביליטי; מיטיגאַציע טריט רעגיסטרירט און אונטערגעשריבן דורך דעם פאַראַנטוואָרטלעכן באַזיצער.
- אינצידענט רעאַקציע לאָגס: רעקאָרדס פון יעדער דריל און סימולאַציע, פאַקטישע אינצידענטן (צייטפּלאַן, באַשלוסן, קאָרעקטיווע אַקציעס, און דערנאָכדיקע ריזיקאָ איבערבליק). אַלע איינטראַגעס מוזן אָנצייכענען די פֿאַרענדיקונג און ווער עס איז געווען באַטייליקט.
- פארקויפער טעקעס און צושטעל קייט: אונטערגעשריבענע קאנטראקטן (מיט סייבער טערמינען און מעלדונג כּללים), איינפיר טשעקליסטן, לאגס פון סאַפּלייער אוידיטס, רעמעדיאַציע טריט, און רעזולטאַטן פון בריטש סימיאַליישאַנז - אַנאָטירט, דאַטירט, און צענטראַל סטאָרד.
- פאַרוואַלטונג און דירעקטאָריום אויפזיכט: דיגיטאַל אונטערגעשריבענע מינוטן פון ריזיקע און קאָנפאָרמאַנס איבערבליקס, לאגס פון בודזשעט באשטעטיגונגען אדער פאליסי ענדערונגען, און עסאקאלאציע אקציעס פאר הויפט ריזיקעס אדער אינצידענטן.
- שטאב און סובקאנטראקטאר טרענירונג: עלעקטראָנישער באַווייַז פֿאַר יעדן באַניצער'ס פֿאַרענדיקטע טריינינג, אויסנעמען באַרעכטיקט, מיט רעגולערע טעסט רעזולטאַטן (למשל, פֿישינג).
| באַווײַז געגנט | פארלאנגטער פֿאָרמאַט | "לעבעדיקער" באַווייַז אינדיקאַטאָר |
|---|---|---|
| ריזיקירן רעגיסטרירן | עקספּאָרטירבארע דאַשבאָרד | אריינגאנג אין די לעצטע 90 טעג, אויסשרייבונג |
| אינצידענט דרילס | סצענאַר/אַקציע לאָג | דאַטירט, קאָרעקטיווע אַקציע פאַראַן |
| פארקויפער טעקעס | קאָנטראַקט/אַסעסמאַנט פּדף | לעצטע אוידיט/קאָנפאָרמאַנס איבערבליק |
| דירעקטאָריום אויפזיכט | דיגיטאַל אונטערגעשריבן טעקעס | רעגולערע, דאטירטע רעצענזיע געשיכטע |
גרייטקייט ווערט געמאסטן דורך דיגיטאַלער צוריקרוף און פֿאַרבונדענע פאַרוואַלטונג אַקציע - נישט נאָר פּאַפּיראַרבעט.
ווי מוזן מיסט אפעראטארן ענדערן זייער צושטעל קייט מענעדזשמענט צו מקיים זיין NIS 2?
מיסט אָפּעראַטאָרן מוזן איצט באַהאַנדלען אַלע הויפּט פאַרקויפער - ספּעציעל IT/OT סאַפּלייערז און לאָגיסטיק פּאַרטנערס - ווי פארלענגערונגען פון זייער אייגענעם סייבער ריזיקע, נישט באַזונדערע סיילאָס.
פארלאנגטע טריט אַרייַננעמען:
- סייבער-זיכערהייט קלאָזולעס אין יעדן קאָנטראַקט: מינימום קאָנטראָלס, בריטש נאָוטאַפאַקיישאַנז, רעכט צו אָדיט, און ערוואַרטונג פֿאַר אָנטייל אין דרילז/סימולאַציעס.
- געמיינזאמע דרילן און לאָגינג סאַפּלייער באַטייליקונג: סימולירן סייבער אדער אפעראציאנעלע בריכן מיט סאַפּלייערס. דאקומענטירן ווער האט זיך באטייליקט, סצענאַר רעזולטאַטן, און רעמעדיאַציע סטאַטוס פֿאַר יעדן פאַרקויפער און סובקאָנטראַקטאָר.
- טראַק יעדע קאָנפאָרמאַנס פּראָבלעם: פירן לאָגס פֿאַר ניט-קאָנפאָרמאַנס, פֿאַרהאַלטונגען, פֿאַרהאַנדלונגען און רעזולטאַטן - אפילו סאַפּלייער אָפּזאָגונגען אָדער אָפּגעשטעלטע ריזיקאָ איבערבליקן מוזן ווערן רעקאָרדירט.
- באַשטימען און לאָגירן עסקאַלאַציע קאָנטאַקטן: יעדער פּראַוויידער זאָל האָבן אַ באַקאַנטן קאָנטאַקט פֿאַר נויטפאַלן/אויפֿזיכטן, מיט אַ דערהייַנטיקטן סטאַטוס וועגן קאָנפאָרמאַנס און אינצידענט ענטפער.
| פאַרקויפער נאָמען | סייבער קלאָז | לעצטע דריל | אוידיט סטאַטוס | עסקאַלאַציע קאָנטאַקט | קאָנפאָרמאַנס שטאַט |
|---|---|---|---|---|---|
| זיכער-וועסט | יאָ | פעברואר קסנומקס | דורכגעגאנגען | [אימעיל באשיצט] | גאַנץ העסקעם |
| ריסייקלטשיין | דערהייַנטיקונג רעכט | אקטאבער קסנומקס | וואונדערבאר | [אימעיל באשיצט] | וואַרטן אויף קאָנטראַקט דערהייַנטיקונג |
אויב איר קענט נישט צושטעלן די רעקאָרדס, אדער אַ סאַפּלייער וויל זיך נישט באַטייליקן אין דרילס אדער אויডিץ, ריזיקירט איר ביידע קנסות און נישט-קאָנפאָרמאַנס.
ווי קען נאכפאלגן ISO 27001 העלפן מיסט אפעראטארן, און וועלכע לעכער בלייבן נאך פאר פולער NIS 2 אויסריכטונג?
יסאָ קסנומקס שאַפט אַ שטאַרקע קאָמפּליאַנס באַזע, אָבער NIS 2 שטופּט זיך פֿאַר גרעסערע רעאַל-צייט באַווייַז און צושטעל-קייט טיפקייט:
ISO 27001 אַסיסטירט מיט:
- ריזיקע, סאַפּלייער, און אינצידענט פּאָליטיקס: קלאָזולעס (קל. 6.1, 8.2, A.5.19–21, A.5.24–26) קאָרעספּאָנדירן גלייך צו NIS 2 רעקווייערמענץ פֿאַר לעבעדיגע ריזיקאָ פאַרוואַלטונג, סאַפּלייער דיו דילידזשאַנס, און אינצידענט לאָגינג.
- קאָנטראָלירן גרייטקייַט: אויב איר בלייבט דיגיטאַל קאָנטראָלירן טריילז, צייט-געשטעמפּלטע דערהייַנטיקונגען, און אונטערשרייבונגען, וועט איר פאַרקירצן די ענטפער צייט צו סופּערווייזערס.
אבער NIS 2 פארלאנגט:
- באָרד-לעוועל אונטערשרייבונג און דיגיטאַלע באַווייַזן: קיין דעלעגירטע קאמפלייענס - עלטערע מענעדזשמענט מוז פערזענליך אונטערשרייבן באריכטן און סטראטעגישע באשלוסן, וואס ווערן נאכגעפאלגט אין דיגיטאלע טעקעס.
- קאָנטינויִערלעכע, רעקאָרדירטע סאַפּלייער באַטייליקונג: סימולאציעס, רעמעדיאציע לאגס, קאנטראקט ענדערונגען, און אוידיט טרייל פאר יעדן הויפט פארקויפער - נישט נאר פאליסיס.
- שטרענגע אינצידענט רעאַקציע זייגער: דאָקומענטאַציע פון ערשטן אַלערט (אין 24 שעה), נאָכפאָלג (72 שעה), און אַלע ווייטערדיקע אַקשאַנז, מיט דיגיטאַלע צייטשטעמפלען.
| NIS 2 ארטיקל | ISO 27001 רעפערענץ | NIS 2 צוגאב | בייַשפּיל באַווייַז |
|---|---|---|---|
| אַרטיקל 21: צושטעל קייט | A.5.21 | דריל, אוידיט, רעמעדיאציע לאגס | פארקויפער דריל באריכט |
| אַרטיקל 20: איבערבליק פון דעם באָרד | קל. 5.1, 9.3 | דיגיטאַלע חתימות, עסקאַלאַציע לאָגס | פּראָטאָקאָלן פֿון דירעקטאָרן־ראַט, באַשטעטיקונגען |
| אַרטיקל 23: אינצידענט זייגער | א.5.24–26 | 24 שעה/72 שעה אַקציע טראַקינג | וואָרענונג לאָג, אָנזאָג |
זעה: ברייט גלאָבאַל-NIS2 און ISO 27001 פאַרגלייַך
וואָסערע NIS 2 שטראָפֿן קענען אָפּפֿאַל אָפּעראַטאָרן זיך שטעלן אַנטקעגן, און ווי איבערלעבט מען רעאַל-צייט אויডিץ?
סאנקציעס שליסן איין קנסות ביז €7 מיליאָן אדער 1.4% פון איבערקערעניש, דירעקטאָרן-פאַראַנטוואָרטלעכקייט, עפנטלעכע צענזור, און אויסשליסונג פון קאָנטראַקטן. רעגולאַטאָרן קענען פאָדערן באַלדיקע דיגיטאַלע באַווײַזן פון קאָנפאָרמאַטי - ביים טיש, נישט נאָר בעת פאַר-נאָטיפֿיצירטע יערלעכע אַודיץ.
- גרייט זיך צו פֿאַר ראַנדאָם אַדאַץ: רעגולאַטאָרן קענען באַזוכן (פיזיש אָדער ווייטנס) און בעטן אייך צו פּראָדוצירן ריזיקאָ רעגיסטערס, אינצידענט לאָגס, דירעקטאָרן-פּראָטאָקאָלן און רעקאָרדס פון סאַפּלייערס' דריל-רעקאָרדס גלייך.
- דעמאָנסטרירן טרעיסאַביליטי און פירערשאַפט: יעדע גרויסע געשעעניש - נייַער פארקויפער, ריזיקע באַשלוס וועגן דעם דירעקטאָריום, זיכערהייט אינצידענט - זאָל ווערן רעקאָרדירט און פארבונדן מיט אויטענטיפיצירטע באַניצער.
- פירן קאָנטינויִערלעכע, פֿאַרמאַכטע רעקאָרדס: לעכער אדער פעלנדיקע דאטן ווערן אנגעצייכנט אלס ביידע אפעראציאנעלע שוואכקייטן און דורכפאַל אין קאָנפאָרמאַנסs.
| צינגל | לאָגד אַקציע | קלאָז / קאָנטראָל | בייַשפּיל באַווייַז |
|---|---|---|---|
| פארקויפער אויף ברעט | דערהייַנטיקן ריזיקע, קאָנטראַקט | אַנעקס אַ.5.21 | דיגיטאַלער קאָנטראַקט, קאָנפאָרמאַנס לאָג |
| אינצידענט דריל | לאָג סצענאַר, אַקציעס | א.5.24–26 | דרילס צוזאַמענפאַסונג, לעקציעס לאָג |
| דירעקטאָריום פּאָליטיק | באַשטעטיקן, אונטערשרײַבן פּראָטאָקאָלן | קל. 5.1, 9.3 | דיגיטאַל אונטערגעשריבענע מינוטן, לאָג |
ווײַזט אויף ווידערשטאַנדסקראַפט, נישט נאָר פאָדערט עס: העסקעם איז דער בײַפּראָדוקט פֿון לעבעדיקער, טעגלעכער קאָנטראָל, נישט קיין יערלעכע געשעעניש.
פירמעס וואָס שטעלן זיך צונויף מיט דיגיטאַלע אוידיט-גרייטקייט שטעלן דעם טעמפּאָ, פארדינענדיק ניט נאָר רעגולאַטאָרישן צוטרוי נאָר אויך אַ רעפּוטאַציע-פאָרטייל מיט קאַסטאַמערז און פּאַרטנערס.
ISO 27001-צו-NIS 2 בריק טאַבעלע
| אוידיט ערוואַרטונג | אָפּעראַציאָנאַליזאַציע | באַטייַטיקע קלאָז |
|---|---|---|
| לעבן ריזיקע טראַקינג | דינאַמיש רעגיסטרירן, איבערבליק לאָג | קל. 6.1, 8.2 |
| אינצידענט עקסערסייזיז | דריל רעקאָרדס, פֿאַרבעסערונג לאָגס | א.5.24–26 |
| פאַרקויפער פאַרוואַלטונג | קאָנטראַקט, אוידיט, עסאַקאַלאַציע לאָגס | א.5.19–21 |
| דירעקטאָריום באַשלוסן | אונטערגעשריבענע דיגיטאַלע פּאָליטיקס/פּראָטאָקאָלן | קל. 5.1, 9.3 |
טרעיסאַביליטי טאַבעלע
| קאַמף טריגער | געשעעניש/ריזיקע דערהייַנטיקונג | קלאָז / SoA לינק | לאָגד באַווייזן |
|---|---|---|---|
| ניו סאַפּלייער | רעגיסטער געענדערט | אַנעקס אַ.5.21 | אונטערגעשריבענע אפמאך, דריל |
| באָרד האַסקאָמע | פּאָליטיק פּראָטאָקאָלט | קל. 5.1, 9.3 | דיגיטאַלע אונטערשרייבונג, לאָג |
| ינצידענט | נאטיפיקאציע געשיקט | א.5.24–26 | אינצידענט לאָג, וואָרענונג באַווייַז |
אויב איר ווילט טראַנספאָרמירן קאַמפּליאַנס פון ביוראָקראַטיע ווייטיק אין אָפּעראַציאָנעל בטחון און סעקטאָר פירערשאַפט, אָנהייבן מיט זיכער מאַכן אַז יעדע אַקציע, באַשלוס און סאַפּלייער קאָנטאַקטפּונקט איז דידזשאַטאַלי רעקאָרדעד, אָדיטאַבאַל און לעבעדיק.
