פארוואס דעפינירן סייבער און צושטעל-קייט סכנות איבער וואס "קאמפליענס" מיינט פארן אפפאל-וואסער סעקטאר?
אין היינטיקן אפפאל וואסער סעקטאר ווערט די ליניע צווישן רעגולאציע קאנפארמענץ און אקטיווע פארטיידיגונג דינער מיט יעדן דורכברוך כעדליין. ראַנסאָמווער אַקטיאָרן זוכן איצט רוטינמעסיג וואַסער יוטילאַטיז נישט פֿאַר נול-טאָג עקספּלויץ, נאָר פֿאַר די טעגלעכע לעכער וואָס ווערן איבערגעלאָזט דורך אַלטע אינפראַסטרוקטור, ווענדאָר VPN'ס, און פלאַכע אינערלעכע נעטוואָרקס. קאנפארמענץ פאָקוס האט זיך געביטן: רעגולאַטאָרן און פארזיכערונג קאָמפּאַניעס זאָרגן זיך נישט מער וועגן שעלוועיר פּאָליטיק - זיי פארלאנגען לעבעדיקע, צייטגעשטעמפלטע, אפעראציאנעלע באווייזן וואָס ווײַזט אַז איר קענט אויסהאַלטן און דאָקומענטירן אַ סייבער דיסראַפּשאַן, נישט נאָר רעציטירן אַ סטאַנדאַרט.
יעדער פארקויפער לאגין, אומסעגמענטירטע נעץ, אדער פארעלטערטע אסעט ליסטע גיט די אנפאלער - און אוידיטארן - די שליסלען וואס פאליסי אליין וועט קיינמאל נישט באהאלטן.
ווי ווייטער צוטריט און סאַפּלייער קאַנעקשאַנז פירן ריזיקע אין דעם סעקטאָר
דער אפפאל וואסער סעקטאר'ס כייבריד פון אלטע SCADA סיסטעמען און נייע וואָלקן-פארבונדענע מכשירים פארשטארקט די ריזיקע לאַנדשאַפט. ווייטער צוטריט - אַזוי וויכטיק פֿאַר עפעקטיווקייט - בלייבט די סעקטאר'ס אַכילעס פּיאַטע. אוידיט דורכפאַלן און בריטשיז שטאַמען איצט אַזוי פיל פון געטיילטע אָדער יתומים סאַפּלייער אַקאַונץ ווי פון טעכנישע עקספּלויטיישאַנז. NIS 2 און ENISA גיידליינז פארלאנגען אַז אַלע ווייטער און סאַפּלייער צוטריט פונקטן זאָלן האָבן ענפאָרסט. מולטי-פאַקטאָר אָטענטאַקיישאַן (MFA), רעגולערע ראָטאַציע, און דעמאָנסטרירבאַר אָפּגערופענע פּריווילעגיעס ווען קאָנטראַקטן ענדיקן זיך (ENISA Threat Landscape for Water). נעטוואָרקס מוזן איצט זיין מאַפּט אין קלאָרע, עקספּאָרטירבארע "זאָנעס" - ווייזנדיק פּונקט ווי IT, OT, און דריט-פּאַרטיי אַרייַנגאַנג פונקטן זענען אפגעשיידט און מאָניטאָרירט.
פארוואס סאַפּליי טשיין מאַפּינג איז דער נייַ מינימום סטאַנדאַרט
עס איז שוין נישט מער אקצעפטירבאר צו קוקן אויף סאַפּלייערז ליסטעס איין מאָל אַ יאָר; די NIS 2 דירעקטיוו רעקלאַסיפיצירט סאַפּלייערז ווי "קאַנטיניואַסלי קאָנטראָלירטע" קריטישע אַסעץ. קאָנפאָרמאַנס מיינט איצט דינאמישע רעגיסטערס וואָס דאָקומענטירן ווער האָט צוטריט, ווען עס ווערט איבערגעקוקט, און ווי סאַפּלייערז ווערן דעקאַמישאַנד. אָפּעראַטאָרן דאַרפן לעבעדיקע סאַפּליי טשיין ריזיקירן דאַשבאָרדז און וואָרקפלאָוז וואָס רעקאָרדירן יעדן קרעדענשאַל אָדער אינצידענט אָנזאָג - אַ פאָדערונג געשטיצט דורך ביידע ENISA ס סעקטאָר גיידליינז און סטאַנדאַרט אָוווערלייז ווי רויאַל דעקרעט 311/2022. אויב דעפּראָוויזשאַנינג פּאַסירט שפּעט אָדער איז נישט לאָגד, ביידע אַטאַקער און רעגולאַטאָרן האָבן אַלע די באַווייַזן וואָס זיי דאַרפֿן צו האַלטן דיין אָרגאַניזאַציע פאַראַנטוואָרטלעך.
גרייס, פארנעם, און די גרענעץ-איבערשרייטנדע אויפגאבע
וואו אַמאָל איז דער קאָנפאָרמאַנס פאַרנעם געווען דעפינירט דורך פּאַפּירן און קוואַדראַט פֿוס, זאָרגט זיך היינטיקער רעגולאַטאָר וועגן יעדן דיגיטאַלן און פיזישן פֿאַרבינדונג צו וויכטיקע וואַסער באַדינונגען. גרענעץ-איבערשרייטנדיקע אָפּעראַטאָרן ווערן געצוואונגען צו האַרמאָניזירן אַסעט און סאַפּלייער רעגיסטערס איבער קייפל רעזשים - יעדער מיט באַזונדערע דעפֿיניציעס, באַריכט פֿענצטער און דורכפֿירונג פּרעפֿערענצן (ENISA סטראַטעגיע גייד). דאַשבאָרדז און וואָרקפֿלאָוז מוזן איצט מאַפּירן ניט נאָר אַסעטס, נאָר יעדן לעגאַלן גרענעץ און פּאַרטנער פֿאַרבינדונג - באַווייַזנדיק אַז קיין פֿאַרבינדונג ווערט ניט פֿאַרלאָזט.
פארוואס לעבעדיגע לאגס, נישט פאליסיס, אפגעזונדערט זיכער פון אנטשולדיגט
רעגולאַטאָרן און אוידיטאָרן אונטערשיידן דאָס ערנסטע פֿון דעם אויבערפֿלעכלעכן דורך בעטן פֿאַר לעבעדיקע לאָגס: נישט אַ פּאָליטיק טעקע, נאָר צייט-געשטעמפּלטע סעגמענטאַציע דיאַגראַמען, סאַפּלייער דעפּראָוויזשאַן רעקאָרדס, טעסט סקעדזשולז, און דריל באַטייליקונג לאָגס - אַרייַנגערעכנט סאַפּלייערז. ווען די זענען נישט בנימצא, אַ פּאָליטיק - נישט קיין חילוק ווי עלעגאַנט - ווערט באַהאַנדלט ווי אַ רויט פאָן פֿאַר ביידע אָפּעראַציאָנעל און קאַמפּליאַנס ריזיקירן. ISMS.online און ענלעכע קאַמפּליאַנס ענדזשינז זענען דיזיינד אַרום גלייכצייטיקע, אַקשאַנאַבאַל זאָגן, נישט יערלעך סנאַפּשאַט דאָקומענטן; זיי האַלטן רעגיסטערס, לאָגס, און קאָרעקטיווע לופּס אָדיט-גרייט און עקספּאָרטאַבאַל אויף פאָדערונג.
ספר אַ דעמאָפארוואס אנטפלעקן אוידיטס און סייבער אינצידענטן די זעלבע וואָרצל-דורכפעלער אין אָפּפאַל-וואַסער אָפּעראַציעס?
סייבער אטאקערס און קאמפלייענס אוידיטארן זענען, אין איין וועג, פארבינדעטע: ביידע וועלן אונפארמיידלעך אויפדעקן די ריסן וואס ווערן איבערגעלאזט דורך טעגליכע קורצע וועגן און פארעלטערטע פראצעדורן. דאס איז שוין נישט קיין ענין פון אויב, נאר ווען - ריזיקע ווערט יעצט גלייך אנטפלעקט דורך דעם קעגנער און דעם אוידיט.
אייער סייבער-ריזיליאַנס איז נישט וואָס איז אויף פּאַפּיר - עס איז וואָס איר קענט פֿאַרטיידיקן, פֿאַרריכטן און באַווייַזן אין אַ קריזיס.
רעאַלע וועלט בריטשיז און אָדיט דורכפאַלן: זוכן די זעלבע שוואַכקייט
דער אָולדסמאַר וואַסער פאַבריק אינצידענט אין פלאָרידע האט געוויזן ווי אַטאַקירער, ניצנדיק גרונטלעכע (און ברייט בנימצא) ווייַט דעסקטאַפּ אַפּלאַקיישאַנז, נאַוויגירן אַן אומגעטיילט, שלעכט מאָניטאָרעד נעץ צו דערגרייכן קריטישע סיסטעמען. אַדאַטאָרן וואָלטן האָבן געמאָלדן די זעלבע מיסקאָנפיגוראַציעס: געטיילטע קרעדענשאַלז, אַלטמאָדישע אַסעט רעגיסטערס, מאַנגל פון סעגמענטאַציע, און אַן אָפּוועזנהייט פון סאַפּלייער אַקסעס קאָנטראָלס (CSOonline – Oldsmar Cyberattack Analysis). לעכער זענען געוויינטלעך: אויסגעגאַנגענע סערטיפיקאַטן, אַלטע רעגיסטערס, און יתומים פון סאַפּלייער אַקאַונץ.
די זעלבסט-באשטעטיגונגס-פאסטקע: פארוואס פאפירן זענען נישט קיין באווייז
צו פיל אפעראטארן פארלאזן זיך אויף יערליכע זעלבסט-סערטיפיקאציע ציקלען - זיי שיקן אריין "געלייענט און פארשטאנען" טשעקליסטן, אבער ארבעטן מיט אוממאניטאריירטע, אומגעטעסטע קאנטראלן אין דער עכטער סביבה. אי.יו. רעגולאטארן און רוב פארזיכערונג פראוויידערס נעמען מער נישט אן זעלבסט-באשטעטיגונג פארן נאמען (ISMS.online – סופליי טשיין). ריזיקירן פאַרוואַלטונג); היינט, נאר רעגיסטרירטע אקציעס, אויטאמאטישע רעגיסטער עקסטראקציעס, און דריל קאָנטראָלירן טריילז ציילן ווי א באווייז.
ריזיקע דריפט צווישן פארשידענע יוריסדיקציעס: די פארבאָרגענע קאָמפליאַנס טראַפּ
אָפּעראַטאָרן מיט אַסעץ אָדער קאָנטראַקטן וואָס גייען איבער גרענעצן שטייען פאר א באַזונדערע אַרויסרופן: NIS 2 טראַנספּאָזיציע איז פראַגמענטירט, מיט דעדליינז, אַסעץ טיפּן, און אינצידענט מעלדונג SLAs קענען זיין אנדערש לויט לאנד (ECS-org NIS 2 Transposition Tracker). דאס מיינט אז א קאנטראל וואס ווערט באטראכט אלס קאמפלייענט אין איין ארט קען אייך לאזן אויסגעשטעלט ערגעץ אנדערש - סיידן איר האלט א הארמאניזירט, אפ-טו-דייט קאמפלייענס רעגיסטרי וואס איז קלאר צוגעפאסט צו יעדן לאקאלן לעגאלן נואנס.
בעל NIS 2 אָן ספּרעדשיט כאַאָס
צענטראַליזירן ריזיקע, אינצידענטן, סאַפּלייערז און באַווייַזן אין איין ריינער פּלאַטפאָרמע.
וועלכע NIS 2 און סעקטאָר זיכערהייט קאָנטראָלן זענען נישט מער אָפּציאָנעל, און ווי מוזן זיי זיין באַוויזן?
אוידיט ווידערשטאנד מיינט איצט אריבערגיין פון "דאקומענטירטע כוונה" צו "באוויזענע אפעראציע." דער נייער מינימום ווערט נישט באשטימט דורך פאליסיס נאר דורך באווייז-געשטיצטע, אקטיוו געראטן קאנטראלן.
קאָר קאָנטראָלירט וואָס דער רעגולאַטאָר ערוואַרטעט איצט - קיין אויסנעמען נישט
- MFA אומעטום: קיין אומגעשיצטע ווײַטקאָנטראָל אָדער סאַפּלייער לאָגינס.
- נעץ סעגמענטאַטיאָן: פיזישע און לאגישע צעשיידונג צווישן OT, IT, און סאַפּלייער זאָנעס; לעבעדיגע טאָפּאָלאָגיע דיאַגראַמען זענען אַ מוז.
- אַקטיווע אַסעט אינווענטאַרן: קוואַרטאַל-איבערגעקוקט, פארבונדן צו ביידע נעץ מאַפּס און פּראָקורמענט רעקאָרדס.
- סאַפּלייער קאָנפאָרמאַנס קאָנטראַקטן: עקספּליציטע קלאָזולעס וואָס מאַנדירן אינצידענט באַריכטינג, רעגולערע איבערבליק, און באטייליקונג אין DR/BC טעסטינג.
- אויטאָמאַטישע טעסט/דריל לאָגס: אוידיטאָר עקסטראַקטאַבאַל, נישט מאַנועל מיינטיינד.
קאָנפאָרמאַנס גאַפּ-צו-קאָנטראָל בריק טיש
א שנעלע איבערבליק צו פארוואנדלען אוידיט גאפעס אין אויספירבארע קאנטראלן (יעדער געשטיצט מיט באווייזן):
| אוידיט דורכפאַל/אינצידענט | קאָנטראָל פיקס | עווידענסע פארלאנגט |
|---|---|---|
| יתום סאַפּלייער אַקסעס | יערלעכע קרעדענשאַל איבערבליק און לייוו לאָג | סאַפּלייער צוטריט רעגיסטרירן, אָפּרוף לאָגס |
| אַלטמאָדישע אַסעט ליסטעס | קוואַרטאַל קראָס-זאָנע אַסעט וואַלידאַציע | צייטגעשטעמפלטע אַסעט אינווענטאַר, דערהייַנטיקן לאָגס |
| פעלנדיקע דריל לאָגס | אויטאָמאַטישע טעסט לאָג פּלאַטפאָרמע | דריל פּלאַן / אָנוועזנהייט רעקאָרדס |
| נישט גענוגיקע אינצידענט מעלדונג | קאָנטראַקט קלאָז און סאַפּלייער סצענאַר טעסט | עקספּאָרט פון סאַפּלייער אָנזאָג לאָגס |
יעדער פֿעלנדיקער טעסט לאָג אָדער סאַפּלייער לעדזשער ווערט דעם אַטאַקירערס מתּנה און דעם אוידיטאָר'ס טראַמפּ קאַרט.
רעגיסטרירט זיך ווי דער אפעראציאנעלער רוקן-ביין
דייַן קאַטאַסטראָפע אָפּזוך, סאַפּלייער, און אַסעט רעגיסטערס זאָלן פֿונקציאָנירן ווי לעבעדיקע סיסטעמען - וואָס ווערן דערהייַנטיקט בעת דרילס, נישט נאָר איבערגעקוקט איידער אוידיטס. מאָדערנע קאָנפאָרמאַנס מכשירים (למשל, ISMS.online) אויטאָמאַטיזירן די קראָס-לינקינג פון געשעענישן, רעגיסטערס און אַקציעס, אַזוי אַז רעגולאַטאָרן קענען זען ניט נאָר אַז איר האָט קאָנטראָלס, נאָר אַז איר ניצט, טעסט און רעוויזירט זיי אין פאַקטישער צייט (ECS-org NIS 2 Transposition Tracker).
וואָסערע געשעפט קאָנטינויִטעט און קאַטאַסטראָפע אָפּזוך (BC/DR) מיטלען שטייען אַנטקעגן NIS 2 קאָנטראָל - און ווי מוזן זיי זיין באַוויזן?
ווידערשטאנדסקראפט איז נאר רעאל ווען מען קען עס ווייזן. NIS 2 פארלאנגט יעצט אז BC/DR פלענער זאלן גיין ווייט ווייטער ווי פאליסי PDF טעקעס; אפעראציאנעלע באווייזן מוזן ווייזן די באטייליקונג פון שליסל סאַפּלייערס, יערליכע אדער סצענאַר-געטריבענע טעסטינג, און נאכפאלגליכע לעקציעס וואס מען האט געלערנט נאך די טעסט.
אָפטקייט און פאַרנעם: ווי אָפט און מיט וועמען מוז מען טעסטן?
יערלעכע טעסטינג איז איצט דער מינימום - NIS 2 ערווארטעט אז איר זאלט דורכפירן פולשטענדיגע און סצענאַר-באזירטע דרילס, קלאר ארייננעמענדיג נישט נאר אינערליכע טימס נאר אלע "עסענציעלע" און "וויכטיגע" סופלייערס (Bechtle Talk NIS2). סופלייערס וואס נעמען נישט אנטייל לאזן א וועריפיצירבארע אוידיט גאפ. יעדער דריל זאל לאגירן די באטייליקטע, רעזולטאטן, נאכפאלג אקציעס, און די קארעקטיווע אקציעס וואס זענען געמאפט און פארמאכט געווארן. לאגס מוזן זיין צוריקצובאקומען ווייט ווייטער פון די טעסט - רעגולאטארן קענען בעטן באווייז לאנג נאכדעם וואס באריכטן פענצטער זענען פארביי.
געוויינטלעכע חסרונות - ווי אוידיטס כאפן נישט גענוגיקע BC/DR
דורכפאַל פונקטן אַרייַננעמען דרילז וואָס אויסשליסן דריטע פּאַרטיעס, פראַגמענטירטע באַווייַזן לאָגס, און פעלנדיקע סאַגדזשעסט קייטן נאָך-געניטונג (ENISA – סאַפּליי טשיין זיכערהייט). ISMS.online'ס רעגיסטער אינטעגראַציע איז דיזיינד צו עלימינירן די: יעדער דריל, סאַפּלייער אָנזאָג, און פֿאַרבעסערונג שלייף איז לינגקט פֿאַר גרינג עקספּאָרט אונטער אָפּשאַצונג.
אפעראציאנעלע בריק מיני-טיש: געזעץ → אויספירונג → באווייז
| לעגאַלע ערוואַרטונג | אַפּעריישאַנאַל צוגאַנג | ISO 27001 רעפערענץ | קאָנטראָלירן עווידענסע |
|---|---|---|---|
| יערלעכע BC/DR טעסט מיט סאַפּלייערס | דורכפירן סצענאַר מיטן סאַפּלייער | א.8.13, א.5.29, א.5.19 | דריל לאָגס, אונטערשרייבונג רעגיסטער, געלערנטע לעקציעס |
| OT/IT סעגמענטאַציע | רעגולערע אויטאָ-לאָג איבערבליק | א.8.20, א.8.22 | נעץ סעגמענטאַציע דיאַגראַמען, אַקסעס לאָגס |
| באריכטן וועגן אינצידענטן פון סאַפּלייער | קאָנטראַקטואַל/טעסט וואָרקפלאָו | א.5.21, א.5.24 | עקספּאָרטירטע קאָנטראַקט, סאַפּלייער אָנזאָג לאָג |
זייט NIS 2-גרייט פון טאג איינס
לאָנטש מיט אַ באַוויזן וואָרקספּייס און טעמפּלאַטן – נאָר צופּאַסן, צוטיילן, און גיין.
ווי זאָלן אָפּפאַל וואַסער אָפּעראַטאָרן פאַרוואַלטן ענטיטי פאַרנעם, קאָמפּלעקסע יוריסדיקציע, און גאַווערנאַנס רעאַליטעטן?
NIS 2'ס אויסברייטערונג מיינט אז כמעט יעדער אפעראטאר איז "אין די ראמען" - די לאסט איז אויף אייך צו דאקומענטירן אויסשליסונגען אדער גרענעצן, נישט אננעמען אז איר זענט נישט אונטער אייער אויפזיכט. פירערשאפט איז יעצט א טעסט פון באווייזן, נישט כוונה.
באַהערשן מולטי-יוריסדיקציע קאַמפּליאַנס (אָדער: די "ספּליט-ברעין" ריזיקירן)
פֿון בעלגיע ביז שפּאַניע, ווערט NIS 2 אויסגעברייט מיט לאָקאַלע אונטערשיידן. וואָס האַלט אייער אָפּעראַציע אוידיט-זיכער איז אַ צענטראַלער רעגיסטער פֿאַר גרענעצן פֿון דער פֿאַרנעם, קאַרטירטע נאַציאָנאַלע רעגולאַציע-ביכער, און אָנגייענדיקער דיאַלאָג מיט די אויטאָריטעטן (ENISA – ענטיטי קלאַסיפֿיקאַציע). אויסרייך איז נישט נאָר רעפּוטאַציע-אויטאָרן זען פּרעעמפּטיווע קאָנפאָרמאַנס קאָמוניקאַציע ווי אַ מאַרקער פֿון צייַטיקייט.
רעגולאַטאָרן געדענקען די וואָס קאָנטאַקטירן זיי פֿאַר אויספֿאָרשונגען, נישט נאָר נאָך אַן אינצידענט.
רעגירונג איז נישט קיין גליטש־דעק - עס איז דער לעבעדיקער רעקאָרד
דירעקטאָרן-באָרדס און רעגולאַטאָרן ווילן היץ-מאַפּס פון קאָנפאָרמאַנס: וועלכע קאָנטראָלן ווערן געטעסט? וואו זענען די רעגיסטערס אַרויף-צו-דאַטע? ווערן קאָרעקטיווע אַקציעס געטראַקט און פֿאַרמאַכט? אוידיט באַקוועמלעכקייט קומט איצט פֿון דאַשבאָרדז וואָס ווײַזן קאָנטינויִערלעכע גאַווערנאַנס רוטינעס, נישט סטאַטישע יערלעכע באַריכטן.
פארוואס ISO 27001 איז דער יסוד און סעקטאָר אָוווערלייגס פאַרענדיקן דיין NIS 2 פאַרטיידיקונג
יסאָ קסנומקס:2022 גיט די אוניווערסאַלע סטרוקטור פֿאַר ריזיקאָ פאַרוואַלטונג, צוטריט קאָנטראָל, און באַווייַזן מאַפּינג אין די וואַסער סעקטאָר - אַ שטאַם וואָס יעדער קאָמפּעטענט אַודיטאָר דערקענט. סעקטאָר אָוווערלאַוז ווי CEN/TS 18026 און שפּאַניעס קעניגלעך דעקרעט שטעלן די ספּעציפֿיק: אָפטקייט פון דרילז, OT/IT צעשיידונג סאַבסטאַנס, און יינציק רעגיסטרירן פליכטן (ISO 27001:2022). דער מוסטער איז קלאָר: אַלגעמיינע פריימווערק פֿאַר זיכערהייט היגיענע, סעקטאָר אָוווערלאַוג פֿאַר אָפּעראַציאָנעל ספּעציפֿישקייט, און פּלאַטפאָרמע צו אָטאַמייט די נייטיק לאָגס און עקספּאָרץ.
שנעל-וויזועל: קאָנפאָרמאַנס ליניאַזש טשאַרט
טרונק = ISO 27001:2022
צווייגן = סעקטאָר איבערדעקונגען (CEN/TS 18026, קעניגלעכע דעקרעט 311/2022, ENISA)
וואָרצלען = רעאַל-צייט אָפּעראַציאָנעלע לאָגס, סאַפּלייער רעגיסטרי, אַסעט אינווענטאַר.
אייער ווידערשטאנדסקראפט געשיכטע איז נישט פולשטענדיג אָן ביידע: א שטאַרקע קאָמפליאַנס רוקן-ביין און לעבעדיקע אָפּעראַציאָנעלע באַווייַזן.
אַלע אייערע NIS 2, אַלץ אין איין אָרט
פֿון אַרטיקלען 20–23 ביז אוידיט פּלענער – דורכפֿירן און באַווײַזן קאָנפֿאָרמאַנס, פֿון ענד צו ענד.
וואָס איז "אויפֿהערן-גרייט באַווײַזן" און ווי בויט מען אַן ענד-צו-ענד קייט פֿאַר NIS 2?
כּדי צו גיין ווייטער פון קאָנפאָרמאַנס ווי אַ רעפּוטאַציע ריזיקע, דאַרף יעדער אָפּעראַטאָר אַ "באַווייַז קייט": יעדע פּאָליטיק, קאָנטראָל, רעגיסטער און קאָרעקטיווע אַקציע ווערט רעקאָרדירט אַזוי אַז דער וועג פֿון טריגער ביז רעמעדיאַציע קען ווערן נאָכגעפֿאָלגט פֿון אָנהייב ביז סוף.
בויען אייער באווייז קייט: וואָס צו לאָגן, פֿאַרבינדן און מאָניטאָרירן
- דיגיטאַל אונטערגעשריבענע פּאָליטיקס: -צייטגעשטעמפּלט און גענוי ווערסיעד.
- סטאַטעמענט פון אָנווענדלעך (SoA): - ווייזט געמאַפּט קאָנטראָלס, דערהייַנטיקט ווי לעגאַלע אָוווערלייז טוישן זיך.
- סאַפּלייער און אַסעט רעגיסטערס: -לעבעדיג, דערהייַנטיקט, עקספּאָרטירט איידער יעדער אוידיט.
- דריל/טעסט לאגס: -פולע ליסטע פון טיילנעמער, טעסט רעזולטאטן, נאכפאלג אקציעס.
- טרענירונג און כּמעט-פאַרפעלטע געשעענישן: -באַווייַזן באַטייליקונג און לערנען שלייפן.
טרעיסאַביליטי מיני-טאַבעלע: פֿאַרבינדן געשעענישן צו קאָנטראָלן און באַווײַזן
| צינגל | ריזיקע רעגיסטער דערהייַנטיקונג | קאָנטראָל/SoA לינק | באַווײַזן רעקאָרדירט |
|---|---|---|---|
| פארקויפער אינצידענט | דערהייַנטיקן סאַפּלייער ריזיקירן | א.5.21, א.5.19 | אינצידענט לאָג, סאַפּלייער עקספּאָרט |
| קאַטאַסטראָפע דריל | דערהייַנטיקן/טעסט BC/DR פּלאַן | א.5.29, א.8.13, א.8.14 | דריל לאָגס, פֿאַרבעסערונג אַקציע פּלאַן |
| נײַער אַסעט אויף דער באַן | דערהייַנטיקן אינווענטאַר + SoA | א.5.9, א.8.1 | אַסעט לאָג, מיטל דאָקומענטאַציע |
א מיטלגרויסער אפעראטאר לאגט איין א נייעם סאַפּלייער'ס דריל סצענאַר, עקספּאָרטירט דעם רעגיסטרי רעקאָרד - צייטשטעמפּל, רעזולטאַטן, סאַפּלייער אונטערשרייבונג, פֿאַרבעסערונג אַקציעס - אַלץ מאַפּט צו אָדיט פאָדערונגען.
באווייזן געווינט: פארמאכן דעם כוונה-אקציע גאפ
צי אונטער אטאקע אדער אוידיט, ווידערשטאנד ווערט באוויזן דורך ווי שנעל איר ארויפברענגט לאגס פון וואס איז געשען, ווען, און ווי איר האט זיך פארבעסערט. דידזשיטאליזירט גאַפּ טשעקס - פירט קוואַרטאַלע איבערבליקן צו באַמערקן פעלנדיקע טעסט באַווייַזן, אַלטע רעגיסטערס, אדער פאַרהאַלטענע קאָרעקטיווע אַקשאַנז איידער אייער ווייַטער רעגולאַטאָר בעטן.
ISMS.online: צופּאַסן סעקטאָר קאָנטראָלן און באַווייַזן פֿאַר פֿאַרטיידיקבאַרע NIS 2 אָפּפאַל וואַסער העסקעם
ISMS.online באַשנעלערט און אויטאָמאַטיזירט די קאַנפאָרמאַטי פון דעם אָפּפאַל וואַסער סעקטאָר - פֿון טעמפּלאַט קאָנטראָל סטרוקטורן פֿאַר ISO 27001 און סעקטאָר אָוווערלייגס, ביז לעבעדיקע אַסעט און סאַפּלייער רעגיסטערס, קאָנטראָלירן טריילז, און באווייזן וועגן קאטאסטראפע-אויפבוי. פירערשאפט אין קאמפלייענס איז וועגן גרייטקייט און זעבארקייט, נישט העלדישקייט. די בעסטע אפעראטארן רעגיסטרירן דרילס פראאקטיוו און באטייליגן סופליי טשיין שותפים אלס "ערשטע רעספאנדערס" - ניצן דיגיטאלע רעגיסטערס און ווארקפלוס צו בענטשמארקן און עקספארטירן באווייזן אויף פארלאנג (ISMS.online NIS-2 קאמפלייענס).
פארמאכן גאַפּס פאר אינצידענטן אדער אוידיטס - אפעראציאנאליזירט, נישט טעארעטיש
פאַרבייטן סטאַטישע דאָקומענטן און ספּרעדשיט פאַרשפּרייטונג מיט רעאַל-צייט, פֿאַרבונדענע באַווייַזן. יעדער דריל, נייַ אַסעט, סאַפּלייער קאָנטראַקט, אָדער קאָרעקטיווע אַקציע איז עקספּאָרט-גרייט און מאַפּט צו אַן אוידיטאָר ס באדערפענישן - אַ סימלאַס בריק צווישן אַפּעריישאַנאַל ריזיליאַנס און רעגולאַטאָר פאדערונגען.
פארוואס שפּיץ אָפּעראַטאָרן בענטשמאַרקן קעגן באַווייז קאַמפּליטקייט, נישט כוונות
קאמפלייענס פירערשאפט היינט פארלאנגט מער ווי נאר דורכגיין צייכנס אדער פאליסי ביבליאטעקן. עס ווערט געמאסטן אין די פולשטענדיגקייט און אקטואליטי פון אייערע באווייזן, די באטייליקונג פון אייער גאנצער סופלייער עקאסיסטעם, און די מעגלעכקייט צו עקספארטירן וואס איז געשען, ווען, און ווי איר האט זיך פארבעסערט - ביי יעדן אוידיט, יעדע צייט.
איצט איז די צייט צו מאַכן קאָנפאָרמאַנס אייער אָפּעראַציאָנעלע דיסציפּלין - נישט אַ יערלעכע קאַמף
וואַרט נישט אויף דער ווייַטער אַטאַקע אָדער רעגולאַטאָרישער דעדליין צו אַנטדעקן לעכער אין אייערע לאָגס. ווען איר גייט אריבער צו אַקטיווע רעגיסטערס, לעבעדיקע דרילס, און סאַפּלייער-פאַרבונדענע סצענאַרן, קאָנווערטירט איר קאַנפאָרמאַטי פון קאָסטן צו קאַפּיטאַל - מאַכנדיג אייער אָפּעראַציע ווידערשטאַנדספעיִק, אָדיטאַבלע, און רעפּוטאַציע-פאָרווערטס.
ISMS.online שטעלט אַסעט מאַפּס, סאַפּלייער פאַרוואַלטונג, און אָפּעראַציאָנעלע לאָגס אין אייערע פינגערשפּיץ - זיכער מאַכן אַז יעדער טעסט, אָנזאָג, אָדער אינצידענט קען זיין באַוויזן אין פאַקטישער צייט. באַוועגט אייער קאַמפּליאַנס האַלטונג פון רעאַקטיוו צו שפּיץ-קאַנט - וואו אייער סעקטאָר ערוואַרטעט, אייער דירעקטאָרן-ראַט פאָדערט, און אייער מאַנשאַפֿט פֿאַרדינט.
אָפֿט געשטעלטע פֿראגן
ווער דעפינירט NIS 2 קאנטראלן פאר אפפאל וואסער אפעראטארן, און וואס באווייזט קאנפארמיטי ביי א אוידיט?
אין דער אי־יו, פארוואנדלען נאציאנאלע קאמפעטענטע אויטאריטעטן דעם לעגאלן טעקסט פון NIS 2 אין בינדנדיקע קאנטראלן פאר אפפאל וואסער אפעראטארן דורך שרייבן סעקטאר-ספעציפישע רעקווייערמענטס אין נאציאנאלע געזעץ – אפט רעפערענצירנדיק איבערלעגונגען ווי CEN/TS 18026 אדער שפאניעס קעניגלעכער דעקרעט 311/2022. אויב אייער ארגאניזאציע איז א פובליקער, רעגיאנאלער, אדער גרויסער אינפראסטרוקטור פראוויידער, וועט איר כמעט זיכער ווערן באצייכנט אלס א "עסענציעלע ענטיטי" און פארלאנגט צו מקיים זיין ביידע די באזישע NIS 2 פארפליכטונגען און נאציאנאלע סעקטאר איבערלעגונגען. אבער, אוידיט הצלחה איצט הענגט עס אָפּ אויף אָפּעראַציאָנעלע דיסציפּלין - נישט סטאַטישע פּאָליטיק טעקעס. אוידיטאָרן וועלן נאָר אָננעמען "לעבעדיקע באַווייזן" אַז אייערע רעגיסטערס, קאָנטראָלן און פּראָצעסן זענען אַקטיוו און רעאַל.
- איז דיין ריזיקירן רעגיסטרירן דערהייַנטיקט אין פאַקטישער צייט, מיט אַקטיווער טראַקינג פון אַסעט און סאַפּלייער סטאַטוס?
- קענט איר אויפדעקן איצטיקע לאגס וואס ענפארסן מולטי-פאקטאר אויטענטיפיקאציע פאר ווייטן/סופלייער צוטריט?
- צי האָט איר און רעגלמעסיק איבערקוקט איר OT/IT סעגמענטאַציע דיאַגראַמען מיט באַווייַז פון יערלעכע דערהייַנטיקונגען?
- קענט איר צושטעלן אינצידענט לאָגס מיט צייטשטעמפלס וואס באווייזן אז איר טרעפט די 24/72 שעה נאטיפיקאציע רעגולאציעס?
- זענען BC/DR דריל רעקאָרדס, ווענדאָר סערטאַפאַקיישאַנז, און פֿאַרבעסערונג אַקשאַנז גלייך צוטריטלעך, פֿאַרבונדן, און אַקטועל?
וואָס אונטערשיידט אַ דורכגעגאַנגענעם פֿון אַ דורכפֿאַל איז אייער מאַנשאַפֿט'ס מעגלעכקייט צו עקספּאָרטירן באַווײַזן - אויף פאָדערונג - אַז יעדער קאָנטראָל איז נישט נאָר באַשריבן, נאָר אָפּעראַציאָנאַליזירט. אויב איר קענט נישט פּראָדוצירן סאַפּלייערז ינוואַלוומאַנט לאָגס, דריל באַווײַזן, אָדער לעבעדיקע... ריזיקירן רעגיסטרירןס, פאליסי דעטאלן זענען נישט וויכטיג.
אוידיטארן מעסטן איצט קאמפלייענס לויט אייער מעגלעכקייט צו פראדוצירן, אין מינוטן, קלארע באווייזן פון אפעראציאנעלע קאנטראלן, נישט נאר אמביציעס.
שנעל-קאָנטראָל אוידיט פלוס
האָט איר אַן איינציקע סיסטעם וואו יעדער פארלאנגטער רעגיסטער, דריל, און סאַפּלייער לאָג איז אַרויף-צו-דאַטע און גלייך עקספּאָרטירבאר? אויב יאָ, זענט איר גרייט. אויב נישט, וועלן אפילו די בעסטע געשריבענע פּאָליטיקס אייך אויסשטעלן.
רעפֿערענצן:
- ENISA'ס וואַסער סעקטאָר גיידליינז
- NIS 2 דירעקטיוואַרטיקל 21, רעציטאַל 89
ווי קענען אפפאל וואסער אפעראטארן סטרוקטורירן און טעסטן BC/DR פלענער פאר גלויבווערדיגע NIS 2 אוידיט באווייזן?
דורכגיין NIS 2 אוידיט פארלאנגט BC/DR פלענער וואס זענען נישט נאר געשריבן, נאר אקטיוו געטעסט און פארבונדן מיט די סופלייערס. יעדעס יאר מוז אייער ארגאניזאציע דורכפירן ריזיקע-באזירטע סצענאר דרילס וואס נעמען אריין אינערליכע און סופלייערס אינטערעסירטע פּאַרטייען; לאגס מוזן קלאר כאפן דאטום, פארנעם (אריינגערעכנט וועלכע סופלייערס האבן זיך באטייליקט), טעסט רעזולטאטן, און באשטימטע רעמעדיאציע אקציעס. אוידיטארן ווילן טרעיסאַביליטי-דרילס פארבונדן צו אייער אינצידענט לאג, ריזיקע רעגיסטער, מענעדזשמענט איבערבליק מינוטן, און, וואו מעגליך, שטיצנדיקע סופלייערס/קאנטראקט רעקארדס.
- סצענאַר דעטאַלן: דאָקומענטירן וועלכע סצענאַר איז דורכגעפירט געוואָרן, ווער האָט זיך באַטייליקט, און די טעסט צילן.
- סאַפּלייער אונטערשריפט: פארלאנגען אונטערגעשריבענע באַשטעטיקונג פון באַטייליקונג; דאָקומענטירן יעדע נישט-באַטייליקונג פֿאַר רעמעדיאַציע.
- רעמעדיאַציע שלייף: באַשטימען, טראַקן און שליסן פֿאַרבעסערונג אַקציעס; פֿאַרבינדן זיי צו צוקונפֿטיקע טעסץ אָדער באריכטן.
- באָרד/עקספּאָרט וויזאַביליטי: אַגגרעגאַט לאָגס פֿאַר פאַרוואַלטונג, באָרד, אָדער רעגולאַטאָר עקספּאָרט אויף קורצער וואָרענונג.
פירנדיקע ISMS פּלאַטפאָרמעס, ווי ISMS.online, אויטאָמאַטיזירן די קראָס-לינקינג צווישן טעסט לאָגס, סאַפּלייער רעקאָרדס, אַקציע פּלענער, און באַווייַזן עקספּאָרטן - אַ קריטישער מייַלע אין קאָנטראָלירן גרייטקייַט.
| בק/דר קאנטראל | טעסט קאַמף | מוסטער אוידיט באווייזן |
|---|---|---|
| יערלעכע דריל | לויפט מיטן סאַפּלייער, לאָגירט רעזולטאַטן | דריל לאג, סאַפּלייער אונטערגעשריבענער רעגיסטער |
| רעמעדיאַטיאָן | צוטיילן און שליסן | אַקציע פּלאַן, באַשטעטיקונג פון קלאָוזשער |
| אינצידענט פֿאַרבינדונג | פֿאַרבינדן טעסט צו אינצידענטן | פּראָטאָקאָלן פֿון דירעקטאָרן-ראַט, עקספּאָרטירן שפּור לאָג |
א BC/DR פּלאַן אָן סאַפּלייער-באַווייַז און פֿאַרבעסערונג-פֿאַרמאַכונג איז דער שנעלסטער וועג צו אַ דורכפֿאַל פֿון אַודיט.
רעפֿערענצן:
- ENISA: זיכערן די צושטעל קייט
- בעטלע: NIS2 נויטפאַל רעקאָווערי
וואָס זענען די פּראַקטישע צושטעל-קייט און דריט-פּאַרטיי זיכערהייט פליכטן פֿאַר NIS 2 אין וואַסער יוטילאַטיז?
NIS 2 מאכט אז סאַפּלייער זאָל דיסציפּלינירן אייער געשעפט - נישט נאָר אַ לעגאַלע קעסטל-אָפּהאַקן. יעדער קריטישער סאַפּלייער מוז ווערן נאכגעפאלגט אין אַ לעבעדיקן סאַפּלייער רעגיסטער, אַרייַנגערעכנט ווייַט/זוכה צוטריט, אינצידענט מעלדונג פליכטן, אָנטייל אין סצענאַר דרילז, און דורכפירונג פון צייטיקע קרעדענשאַל אָפּרוף. איר מוזט זאַמלען:
- סאַפּלייער קאָנטראַקט און דיו דילידזשענס לאָגס: באַווייַז פון בריטש געשיכטע, סערטיפיקאַציעס און אַקסעס באריכטן.
- לעבעדיגע רעקאָרדס פון סאַפּלייער אָנטייל אין דרילס/טעסטן, נאָוטאַפאַקיישאַנז געגעבן, און פֿאַרבעסערונג אַקשאַנז געשלאָסן.
- קאָנטראָלירן שטעגס'ווייזט אז די נישט-פארשטעלונג פון דעם סאַפּלייער (פארפעלטע דריל, אויסגעלאָזטע דעפּראָוויזשאַנינג) האט אויסגערופן אַקציע - ווייל אוידיט און רעגולאַטאָרישע שטראָף וועלן פאַלן אויף דעם אָפּעראַטאָר, נישט נאָר דעם פאַרקויפער.
| קאָנטראָל ציל | אַקסעפּטאַבלע אוידיט באַווייזן |
|---|---|
| אַקסעס פּריווילאַדזשאַז | סאַפּלייער רעגיסטרירן, צוטריט לאָגס |
| אינצידענט מעלדונג | נאטיפיקאציע און ענטפער צייטליניע |
| דריל/טעסט באַטייליקונג | אונטערגעשריבענע סאַפּלייער לאָגס, דריל רעקאָרדס |
| רעמעדיאַציע נאָכפאָלג | פֿאַרבעסערונג אַקציע קלאָוזשער רעגיסטרירן |
רעגולאַטאָרישע קאָנפאָרמאַנס איז שוואַך ווען סאַפּלייער רעקאָרדס פעלן; יעדער טעסט, אָנזאָג און דיפּראָוויזשאַנינג מוז זיין באַווייזבאַר אויף פאָדערונג.
רעפֿערענצן:
- KPMG: NIS2 און סאַפּליי טשיין
ווי טוען די "עסענציעלע ענטיטי" סטאַטוס און נאַציאָנאַלע אָוווערלייעס טוישן NIS 2 קאָנפאָרמאַטי פֿאַר וואַסער סעקטאָר אָפּעראַטאָרן?
דורך דיפאָלט, רובֿ מיטל-ביז-גרויסע אָפּפאַל וואַסער אָפּעראַטאָרן ווערן באַצייכנט ווי "עסענציעלע ענטיטיז" אונטער NIS 2, וואָס בינדט זיי צו זיין פולער קאָנפאָרמאַטי רעזשים. נאַציאָנאַלע אָוווערלאַגס - ווי שפּאַניע'ס RD 311/2022 אָדער דייטשלאַנד'ס BSI רעקווייערמענץ - קענען פאַרגרעסערן אינצידענט מעלדונג גיכקייַט, דעטאַל פֿאַר סאַפּלייער/אַסעט רעגיסטערס, אָדער מאַנדאַטאָרן עקסטרע באריכטן. אויב אייערע אָפּעראַציעס דעקן קייפל מיטגליד שטאַטן, ווערט די קאָנפאָרמאַטי לאַנדשאַפט שאַרפער: איר מוזט פאַרגלייכן פאַרשידענע יוריסדיקשאַנאַל אָוווערלאַגס, יינציק לאָקאַלע קאָנטראָלס, און קראָס-רעפערענס יעדן אַסעט, סאַפּלייער און פּראָצעס צו ביידע NIS 2'ס באַזע און לאָקאַלע אַדישאַנז. קוואַרטאַל פאַרגלייכן און פּראָואַקטיוו באַטייליקונג מיט קאָמפּעטענט אויטאָריטעטן איז איצט די נאָרמע; פאַרפעלטע מאַפּינג פון סאַפּלייערז, אַסעץ אָדער קאָנטראַקטן ("סקאָופּ גאַפּס") ווערן באַשטראָפט ביי אָדיט מיט דער זעלביקער שטרענגקייט ווי פעלנדיקע קאָנטראָלס.
| אָוווערליי | צוגעלייגט רעקווירעמענץ | אוידיט-באווייז ביישפילן |
|---|---|---|
| שפּאַניע RD 311/2022 | 24 שעה/72 שעה אינצידענט, דעטאַלירטע סאַפּלייער רעגיסטראַציע | לאָג עקספּאָרטן, רעגיסטרי קראָסטשעקס |
| דייטשלאנד BSI | פֿאַרבעסערטע באַריכטן, מער קאָנטראָלן | אויטאָריטעט קאָרעספּאָנדענץ, רעגיסטערס |
| מולטי-לאנד אפעראציעס | קראָס-אָוווערליי באַווייַז, קוואַרטאַל דערהייַנטיקונגען | פאראייניגטע רעגיסטערס, אימעיל לאגס |
אוידיט שטראָפן לאַנדן איצט אַזוי שטרענג אויף נישט-אנטפּלעקטע סאַפּלייערז אָדער קאָנטראַקטן ווי אויף קאָנטראָל לאַפּסיז - שטענדיק פאַרגלייַכן און מאַפּירן יוריסדיקשאַנז.
רעפֿערענצן:
- ENISA: ענטיטי קלאַסיפיקאַציע
פארוואס איז ISO 27001 נייטיק אבער נישט גענוג פאר NIS 2 אוידיטס אין אפפאל וואסער?
ISO 27001:2022 שטעלט דעם יסוד פֿאַר אינפֿאָרמאַציע ריזיקאָ פאַרוואַלטונג, קאָנטראָל מאַפּינג, באַווייַז רעגיסטערס, און קעסיידערדיק פֿאַרבעסערונג. אָבער, NIS 2 פֿאָדערט סעקטאָר/נאַציאָנאַלע אָוווערלייינגז, צושטעל קייט קאָנטראָלס, און פעלד-גרייט באַווייַז אַריבער IT און OT. פֿאַר אָפּפֿאַל וואַסער:
- אַסעט/סאַפּלייער קאָנטראָלס מוזן באַציען זיך צו סאַפּלייער פאַרוואַלטונג (אַנעקס A:5.19, A:5.21), BC/DR טעסטינג און פֿאַרבעסערונג לאָגס (A:8.13, A:5.29), און OT סעגמענטאַציע (A:8.1).
- יעדער דריל, פארקויפער טעסט, אדער אינצידענט מוז לעבן-פארבינדן רעגיסטערס, סעגמענטאציע דיאגראמען, קאנטראקטן, און פארבעסערונג אקציעס.
- סעקטאָר אָוווערלייז (למשל, CEN/TS 18026) און נאַציאָנאַלע אָוווערלייז (שפּאַניע, דייטשלאַנד) מוזן זיין מאַפּט און רעפערענצירט אין דיין SoA און רעגיסטערס כּדי די אוידיט זאָל דורכפֿירן אין יעדער יוריסדיקציע.
| אוידיט ערוואַרטונג | אָפּעראַציאָנאַליזאַציע | ISO 27001/אַנעקס A / איבערדעקונג |
|---|---|---|
| סאַפּלייער דריל ינוואַלוומאַנט | רעגיסטרירט, לאָגס, אָפּלאָג | א.5.19, א.5.21 |
| יערלעכע BC/DR סצענאַר טעסט | דאָקומענטירט, פֿאַרבעסערט, קראָס-רעפֿערענצירט | A.8.13, A.5.29, A.5.19, CEN/TS 18026 |
| סעגמענטאַציע דיאַגראַם וישאַלט | קוואַרטאַלע איבערבליק, קאַרטירטע רעגיסטערס | A.8.1, A.5.9, CEN/TS 18026 |
| אָוווערליי קאָנטראָל באַווייַז | לאקאלער רעגיסטער, SoA מאַפּט פּאָליטיקס | A.5.1, שפאניע RD 311/2022 |
ISO 27001 איז דער שטאַם, אָוווערלייעס זענען צווייגן, לעבעדיקע אָפּעראַציאָנעלע לאָגס זענען די וואָרצלען - נאָר אַלע דריי צוזאַמען דורכגיין היינטיקן אוידיט.
רעפֿערענצן:
וואָסערע אוידיט באַווײַזן און טרעיסאַביליטי מוזן אָפּפאַל וואַסער יוטילאַטיז רעקאָרדירן כּדי צו זײַן NIS 2-גרייט?
דורכגיין NIS 2 אוידיט דעפּענדירט אויף אייער פיייקייט צו פאָרשטעלן אַ פולשטענדיקע, לעבעדיק-פאַרבונדענע קייט פון פּאָליטיק כוונה ביז פאַקטישע אַקציע. יעדער קאָנטראָל, געשעעניש, אַסעט, סאַפּלייער אַקציע און אינצידענט מוז דזשענערירן ווערסיעד דאָקומענטאַציע צוטריטלעך פון איין סיסטעם. רעקווירעמענץ אַרייַננעמען:
- דיגיטאַל אונטערגעשריבן און ווערסיע-געמאכטע פאליסיס און קאנטראלס
- דערקלערונג פון אַפּליקאַביליטי (SoA) וואָס רעפערירט גלייך צו NIS 2 און אַלע אָוווערליייז
- אַסעט/סאַפּלייער רעגיסטערס לעבן-פֿאַרבונדן צו יעדער באַטייַטיק קאָנטראָל, דריל און אינצידענט
- דריל לאָגס: באַטייליקונג, פאַרנעם, רעזולטאַטן, רעמעדיאַציע אַסיינד און פֿאַרמאַכט, סאַפּלייער סאַגדזשעסטשאַן
- אינצידענט און כּמעט-פאַרפעלן לאָגס, מיט צייט-געשטעמפּלטן וואָרקפלאָו
- פאַרוואַלטונג-גרייט און רעגולאַטאָר-גרייט עקספּאָרטן
| צינגל | רעגיסטרירן אַפּדייט | קאָנטראָל / SoA לינק | בייַשפּיל פון אויספאָרשונג באַווײַזן |
|---|---|---|---|
| סאַפּלייער בריטש | סאַפּלייער ריזיקאָ רעגיסטער | א.5.21, א.5.19 | אינצידענט רעקאָרד, מעלדונג לאָגס |
| בק/ד"ר דריל | דריל לאָג, אַקציע קלאָוזשער | א.8.13, א.5.29 | דריל באריכט, סאַפּלייער אונטערשרייבונג |
| אַסעט אָנבאָרדינג | דערהייַנטיקן אינווענטאַר, SoA | א.5.9, א.8.1 | אַסעט לאָג, אָנבאָאַרדינג רעקאָרד |
הצלחה מיינט איצט אויפצודעקן, מיט א קליק, דעם אומגעבראכענעם וועג פון יעדן געשעעניש-אויסלעזער ביזן שלוס אין רעגיסטערס און אונטערגעשריבענע באווייזן.
ווי אזוי באַשנעלערט און דע-ריזיקירט ISMS.online NIS 2 און סעקטאָר אָוווערלייַ קאָנפאָרמאַטי פֿאַר אָפּפאַל וואַסער יוטילאַטיז?
ISMS.online איז אינזשענירט צו העלפן טימז אָפּעראַציאָנאַליזירן NIS 2 קאַמפּליאַנס ווי אַ טעגלעך דיסציפּלין, נישט נאָר אַ דאָקומענטאַציע געשעעניש. אונדזער פּלאַטפאָרמע ברענגט:
- פאַר-געמאַפּטע קאָנטראָל טעמפּלאַטן וואָס דעקן ISO 27001, CEN/TS 18026, און הויפּט נאַציאָנאַלע אָוווערלייגס
- אויטאָמאַטישע, אַרויף-צו-דאַטע רעגיסטערס פֿאַר אַסעץ, סאַפּלייערז, אינצידענטן און פּאָליטיקס
- אינטעגרירטע פֿאַרבינדונגען צווישן יעדן אינצידענט, דריל, BC/DR געניטונג, סאַפּלייער אַקציע, און קאָנטראַקט קלאָז
- דערמאָנונגען, וואָרקפלאָו טראַקינג, און רעגע באַווייַזן עקספּאָרט מכשירים פֿאַר פאַרוואַלטונג, באָרדז, אָדיטאָרס, און רעגולאַטאָרן
- ראָלע-באַזירט אַקסעס און מולטי-ענטיטי/פּלאַץ קייפּאַבילאַטי פֿאַר קרייַז-גרענעץ העסקעם
- קאָנטינויִערלעכע אינטעליגענץ צו פֿאַרבינדן פּאָליטיק, רעגיסטערס און באַווײַזן פֿאַר יעדן קאָנטראָל און איבערדעקונג פֿון קאָנטראָל.
- פּראַקטישנערס, קאָמפלייאַנס מאַנאַדזשערז, און עלטערע פירער - צי עפנטלעך אָדער רעגיאָנאַל-מאָסשטאַב - קענען מאָניטאָרירן גרייטקייט, האַנדלען אויף פֿאַרבעסערונג, און צושטעלן אוידיט באווייזן אין שעה, נישט וואָכן.
ערלעבט ISMS.online'ס קאמפלייענס מאטאר און טראנספארמירט אייער וואסער סעקטאר גרייטקייט אין ווידערשטאנד וואס אנדערע קענען צוטרויען.
לערנען מער: (https://yi.isms.online/cyber-security-solutions/nis-2-compliance/)
וואָסערע איינציקע אָפּעראַציאָנעלע געוואוינהייט וועט דעפינירן געראָטענע NIS 2 קאָנפאָרמאַטי פֿאַר אָפּפאַל וואַסער אָפּעראַטאָרן אין 2025?
די דעפינירנדיקע ליניע אין 2025 וועט זיין דאָס: אָפּפאַל וואַסער אָפּעראַטאָרן וואָס באַהאַנדלען קאַמפּליאַנס ווי אַ שטענדיק-אויף, אָפּעראַציאָנעלע דיסציפּלין - לאָגינג באַווייזן, טעסטינג, קלאָוזינג סאַפּלייער און אינצידענט אַקשאַנז, און קאָנסיילינג אָוווערלייז - וועלן דערגרייכן ניט בלויז אָדיט דורכגאַנג, אָבער סעקטאָר ריזיליאַנס, רעגולאַטאָרי צוטרוי, און באָרד צוטרוי. אָפּעראַטאָרן וואָס פאַרלאָזן זיך אויף יערלעך פּאַפּירן אָדער נאָך-די-פאַקט באַווייזן וועלן פּנים וואַקסנדיקע ריסקס, רייזינג אָדיט דורכפאַל ראַטעס, און עראָוזיע פון קהילה און רעגולאַטאָר צוטרוי.
- באווייזן איבערבליקן און עקספארטן זאלן זיין קווארטאל, נישט יערליך.
- דרילס, סאַפּלייער טעסץ, און אינצידענט לאָגס מוזן גלייך פֿאַרבינדן זיך צו לעבעדיקע רעגיסטערס און פֿאַרבעסערונג ציקלען.
- אָוווערליי מאַפּינג און קראָס-יוריסדיקציע פאַרגלייַך מוז זיין סיסטעמאַטיש, נישט אַד האָק.
- פאַרוואַלטונג און דירעקטאָרן-באָרדס וועלן דערוואַרטן רעאַל-צייט פארזיכערונג, נישט סוף-ציקל דערהייַנטיקונגען.
אָפּעראַציאָנעלע קאָנפאָרמאַנס טראַנספאָרמירט די וואַסער סעקטאָר זיכערהייט פון פאַרזיכערונג קאָסטן צו ווידערשטאַנד קאַפּיטאַל - טראַסטיד דורך רעגולאַטאָרן, באָרדז און די קהילות וואָס איר באַדינט.
דערלעבט ISMS.online צו מאַכן ווידערשטאַנד אייער נייע נאָרמאַל - און אייער העסקעם שטענדיק באַווייַזבאַר.
