פארוואס סופּליי טשיין זיכערהייט פארלאנגט באארד אויפמערקזאמקייט - און קען מער נישט דעלעגירט ווערן דאוןסטרים
יעדע אָרגאַניזאַציע וואָס איז פֿאַרבונדן מיט אַ דיגיטאַלער עקאָסיסטעם איז איצט נאָר אַזוי שטאַרק ווי איר שוואַכסטער סאַפּלייער. נאָך די סייזמישע שאַקס פֿון SolarWinds און MOVEit, איז די זיכערהייט פֿון צושטעל-קייט געוואָרן אומצוטיילנדיק פֿון דער אַלגעמיינער געשעפֿטלעכער ווידערשטאַנדספֿעיִקייט. באָרד-צימערן אַנטדעקן, אָפֿט מיט ווייטיק, אַז אַ סאַפּלייער'ס סייבער-בלינדער פֿלעק קען פֿאַרניכטן אָפּעראַציעס, רעפּוטאַציע און אַפֿילו רעגולאַטאָרישע שטאַנד - נישט קוקנדיק אויף ווי שטאַרק אינערלעכע קאָנטראָלן זאָלן זיין.
קיין דירעקטאָרן-ראט קען זיך נישט ערלויבן צו באהאנדלען סאַפּלייער-זיכערהייט ווי אַ טעכנישן דעטאַל - אייער אָרנטלעכקייט הענגט איצט אָפּ פון יעדן פּאַרטנער'ס וואכזאַמקייט.
דירעקטאָרן-ראַטן זענען אונטער וואַקסנדיקן דרוק סיי פֿון רעגולאַטאָרן און סיי פֿון מאַרק כוחות. די לעצטע ENISA גיידליינז פֿאָדערן דירעקטאָרן אויסדריקלעך צו אינסיסטירן אויף לעבעדיקע ריזיקאָ-באַווייזן פֿון דריטע פּאַרטייען און רעאַל-צייט לאָגס פֿון סאַפּלייערס, נישט נאָר אונטערגעשריבענע קאָנטראַקטן אָדער סטאַטישע ליסטעס פֿון פֿאַרקויפֿער. די ערוואַרטונג ענדערט זיך: פּאַסיווע אויפֿזיכט איז נישט גענוג. מען ערוואַרט איצט פֿון דירעקטאָרן-ראַטן צו דעמאָנסטרירן אַקטיווע, דאָקומענטירטע ריזיקאָ-גאַווערנאַנס פֿאַר יעדער וויכטיקער פּאַרטנער-באַציִונג.
לויט EY'ס 2024 פאָרשונג, הייבן זיך אָן רובֿ גרויסע דורכברעכן איצט נישט מיט אַ דירעקטן אַטאַק אויף קאָרפּאָראַטיווע פּערימעטערן, נאָר דורך זיך דרייען דורך איבערגעקוקטע אָדער אונטער-מאָניטאָרירטע צושטעל-קייט אַקסעס פונקטן. די צושטעל-קייט סאַקאָנע וועקטאָרן אַנטלויפן אָפט טראַדיציאָנעלע ריזיקאָ מאַטריצעס - ספּעציעל וווּ 'אומזעיקבאַרע' אָפּהענגיקייטן עקסיסטירן אין ווייכווארג, וואָלקן סערוויסעס, אָדער לאַנג-טייל ווענדאָרס עטלעכע גראַד אַוועק פון טעגלעך פאָקוס.
אַטאַקירער ברעכן נישט אַרײַן - זיי שלעפּן זיך אַראָפּ, וואַרטן אויף אַ סאַפּלייער צו עפֿענען דעם זײַטיקן טויער.
דירעקטאָרן-באָרדס וואָס באַהאַנדלען צושטעל-קייט זיכערהייט ווי אַ פּראָבלעם וואָס איז אַרײַן אין דער אונטערשטער ריי, ווערן איצט אויסגעפֿירט דורך דירעקטע עקספּאָזיציע: אָפּעראַציאָנעלע שטערונגען, שאָדן צו דער רעפּוטאַציע, און רעגולאַטאָרישע צענזור. מאָדערנע דירעקטאָרן-באָרדס אַרייַננעמען מער און מער. צושטעלן קייט ריזיליאַנס אלס א שטייענדיקער פּונקט אויף דער אַגענדאַ. די פּראָטאָקאָלן שפּיגלען אָפּ לעבעדיקע סצענאַר פּלאַנירונג פֿאַר אינצידענטן וואָס קומען פֿון די סאַפּלייער: "אויב דער פּאַרטנער איז קאָמפּראָמיטירט, וואָסערע באַווײַזן קען די פאַרוואַלטונג ווײַזן - נישט נאָר אין כוונה, נאָר אויך אין אָפּעראַציאָנעלע לאָגס?"
אייראפעאישע רעגולאציע האט פארמאכט דעם לאָך. NIS 2 שטעלט אויסדריקליך לעגאַלע און (אין עטלעכע סעקטאָרן) אפילו פערזענלעכע אַכרייַעס פֿאַר סאַפּלייער זיכערהייט פאלט גלייך אריין מיט דער הויפט פאַרוואַלטונג. נאכפאלגן איינקויף ליסטעס איז מער נישט קיין פאַרטרעטער פֿאַר קאָנטראָלירבאַרע, קאָנטינויִערלעכע השגחה.
די טענדענץ איז אומפארמיידלעך: פּראָגרעסיווע אָרגאַניזאַציעס פּרעזענטירן איצט וויזואַליזירטע סאַפּלייער-אָפּהענגיקייט מאַפּעס ביי יעדער דירעקטאָרן-ראט איבערבליק - וואָס דעמאָנסטרירט ניט נאָר ריזיקאָ-באַוואוסטזיין, נאָר אויך אַ היסכייַוועס צו באַלויכטן פֿאַרבאָרגענע אָפּהענגיקייטן און קאַרטירן עקספּאָוזשערז וואָס גייען ווייט ווייטער ווי טיער-1 סאַפּלייערז.
גרייטקייט פֿאַר אַ באָרדרום: דריי פֿראַגעס וואָס יעדער דירעקטאָר זאָל פֿרעגן
פעליקייַט באַשרייַבונג
ספר אַ דעמאָNIS 2: פארוואנדלען סאַפּליי טשיין לעקציעס אין באָרד-לעוועל לעגאַלע מאַנדאַטן
די סאָלאַרווינדס און מאָוועיט קריזיסן האָבן געצווינגען אייראָפּע צו רעגולירן. NIS 2 פאָרמאַליזירט וואָס יענע בריטשעס האָבן אַנטפּלעקט: צושטעל-קייט זיכערהייט איז אַ לעגאַלע, באָרד-לעוועל פליכט וואָס בלייבט איבער דעם גאַנצן סאַפּלייער לעבן-ציקל. קיין אָרגאַניזאַציע קען זיך נישט פֿאַרלאָזן בלויז אויף געשריבענע קאָנטראַקטן; אָפּעראַציאָנעלע באַווייַזן איז דער נײַער גאָלדענער סטאַנדאַרט.
היינט, אָדיט-באַווייַזנדיקע צושטעל קייט זיכערהייט מיינט ווייַזן - ניט נאָר זאָגן - אַז יעדער סאַפּלייער איז קאַנטראָולד און מאָניטאָרעד.
NIS 2 ארטיקלען 21 און 22 פארלאנגען אז סופּליי טשיין ריזיקא גאַווערנאַנס איז קאָנטינויִערלעך. יעדן סאַפּלייער'ס אָנבאָאַרדינג, מאָניטאָרינג, ענדערונג געשעעניש, און אַרויסגאַנג מוזן זיין קאַרטירט און באַוויזן - ניט נאָר ביי סעלעקציע, אָבער איבער די גאנצע געשעפט באַציִונג (eur-lex.europa.eu; enisa.europa.eu/publications/guidance-on-security-measures-under-the-nis2-directive).
"שטעלן און פארגעסן" איז ארויס; אנגייענדע וואַלידאַציע איז אריין. ENISA'ס 2024 גיידליינז ווארענען ספעציפיש אז פריערדיגע צוגאנגען וואס פארלאזן זיך אויף יערליכע באריכטן אדער ספּרעדשיט-באזירטע ריזיקע טראַקינג זענען נישט עפעקטיוו קעגן היינטיקן דינאמישן סכנה לאַנדשאַפט.
די מערסט ווידערשטאנדספעאיקע אָרגאַניזאַציעס שטעלן צונויף ISO 27001 סאַפּלייער קאָנטראָלן - ספּעציעל אַנעקס A.5.19–A.5.22 - מיט NIS 2'ס סאַפּלייער קייט מאַנדאַטן, בויען פאַרטיידיקבארע, אוידיט-גרייט פֿאַרבינדונגען. מאָדערנע אוידיטן פאָדערן איצט לעבעדיקע קאָנטראָל טרעיסאַביליטי: קענט איר דעמאָנסטרירן קאָנטינויִערלעכע באַווייַז פלוס, פֿאַרבינדן אייער ISMS מיט דער אָפּעראַציאָנעלער רעאַליטעט פֿון סאַפּלייער? risk management?
אן אָפטער שוואַכער פונקט איז דער אַזוי גערופענער קאָנטראַקט "פלאָו-דאַון" - וואו הויפּט קאָנטראַקטאָרן זענען באדעקט מיט שטאַרקע קלאָזולעס, אָבער סוב-פאַרקויפער און ירושה סאַפּלייערז אַנטלויפן קאָנטראָל. NIS 2 לייגט אַ וואַקסנדיקן טראָפּ סיי אויף דורכפירבאַרער פלאָו-דאַון שפּראַך און, קריטיש, אויף אָפּעראַציאָנעלן באַווייַז: לאָגס, דרילס, און לעבעדיקע דאַשבאָרד באַווייַז אַז די פליכטן ווערן נאכגעפאָלגט אין פּראַקטיק.
א ברעט-גרייט לייזונג איז פשוט אבער זעלטן אימפלעמענטירט: פרעזענטירן א לעבעדיגע ISO 27001 און NIS 2 קאָנטראָל מאַפּינג טאַבעלע ביי יעדער הויך-לעוועל איבערבליק. דאָס איז וואָס די שפּראַך רעגולאַטאָרן און אָדיטאָרס דערוואַרטן איצט - זעט סעקציע 4 אונטן פֿאַר אַן אַקציאָנעלן בייַשפּיל.
בעל NIS 2 אָן ספּרעדשיט כאַאָס
צענטראַליזירן ריזיקע, אינצידענטן, סאַפּלייערז און באַווייַזן אין איין ריינער פּלאַטפאָרמע.
סאָלאַרווינדס און מאָוועיט: וואָס איז טאַקע שלעכט געגאַנגען - און די אונטערלייגנדיקע לעקציעס
די סאָלאַרווינדס און מאָוועיט אינצידענטן האָבן זיך נישט אָנגעהויבן מיט אַ דורכגעפאַלענע גאַווערנאַנס אויף דער קונה זייט; זיי האָבן זיך אָנגעהויבן אין גוט-רעסורסירטע, סערטיפיצירטע סאַפּלייערז וועמענס אייגענע סאַפּליי קייטן האָבן זיי פֿאַרראַטן. סאָלאַרווינדס, וואָס איז געווען פֿאַרטרויט איבער קריטישער אינפֿראַסטרוקטור, האָבן געלאָזט אַטאַקירער פֿאַרגיפֿטן זיין דערהייַנטיקונג מעכאַניזם - דורכפֿירנדיק מאַלוואַרע דורך יעדן קליענט'ס פּערימעטער. מאָוועיט האָט געזען ווי אַטאַקירער נוצן אויס פֿאַרהאַלטונגען אין פֿאַרוואַלטונג פֿון וואַלנעראַביליטיעס; אין עטלעכע טעג איז דאַטן אַרויסגעפֿאַלן פֿון טויזנטער.
אַן איינציקער סאַפּלייער'ס פאַרפעלטער פּאַטש קען איבערפֿלאַנקען אַ יאָרצענדלינג פון אינערלעכע ינוועסטירונג אין ריזיקאָ קאָנטראָלס.
ביידע קריזיסן זענען נישט געווען קיין דורכפעלער פון ווילן - זיי זענען געווען סיסטעמישע דורכפעלער פון אפעראציאנעלער פראקטיק:
- פּאַטש פאַרוואַלטונג איז דורכגעפאַלן אין באַוועגונג: סאָלאַרווינדס'ס פאר'סמטע דערהייַנטיקונג איז נישט דעטעקטירט געוואָרן ווייל די דעליווערי פּייפּליינז זענען געווען טראַסטיד אָבער נישט מאָניטאָרירט; MOVEit אַטאַקערס האָבן אויסגענוצט אָרגאַניזאַציעס וואָס האָבן געפּאַטשט טעג אָדער וואָכן הינטער CVE אַלערץ.
- אינצידענט לאָגינג און אָנזאָגן איז נישט געווען דערוואַקסן: ENISA און סעקטאָר רעגולאַטאָרן האָבן געפֿאָדערט לעבעדיקע באַווײַזן פון וועלכע סאַפּלייערז איז געווען אַקסעסט, ווי שנעל נאָוטאַפאַקיישאַנז האָבן זיך באַוועגט, און וועלכע לאָגס זענען געווען בנימצא - וואָס באַווייַזט אָפּעראַציאָנעלע דערגרייכונג, נישט נאָר טעאָרעטיש פּלאַן.
- טיער-1 פאָקוס האָט נישט געקענט אַדרעסירן טיפע אָפּהענגיקייטן: רובֿ זיכערהייט טימז האָבן נאָר מאָניטאָרירט דירעקטע סאַפּלייערז. ביידע אינצידענטן האָבן באַוויזן אַז אַטאַקירער נוצן אויס "אויסער-זיכטיק" דריטע פּאַרטייען - אָפֿן-קוואַל קאָד ביבליאָטעקן, סוב-סערוויס האָסטס, און געירשנטע שאָטן פאַרקויפער.
- סאַפּלייער אָפבאָרדינג איז געוואָרן אַ נייַ שוואַך פֿאַרבינדונג: נאך דעם דורכברוך, האבן ארגאניזאציעס זיך אנגעשטויסן אין שווערע פראגעס וועגן דאטן, צוטריט, און נעץ רעשטלעך. רעגולאטארן ערווארטן יעצט לאגס און באווייזן אז צוטריט איז אינגאנצן פארמאכט ווען באציאונגען ענדיגן זיך.
מאָדערנע רעאַקציע מיינט אויטאָמאַטישע, לעבעדיקע סאַפּלייער מאַפּינג-טראַקינג ניט נאָר קאָנטראַקטן, נאָר אַלע דיגיטאַלע אָפּהענגיקייטן, אַרייַנגערעכנט ווייכווארג ירושה און עמבעדיד קאָד. ריזיקאָ טולינג ינטאַגרייץ מער און מער כּמעט רעאַל-צייט פּאַטש סטאַטוס מאָניטאָרינג און סאַפּלייער טעטיקייט לאָגינג, וואָס אַלאַוז קאַנטיניואַס טראַסעאַביליטי דורך יעדן סאַפּלייער דאַטן לויפן.
בויען קאָנטראָלן וואָס אַרבעטן טאַקע - פֿון קאָנטראַקט ביז קאָנטינויִערלעכע מאָניטאָרינג
טראדיציאנעלע מעטאדן - זעלבסט-איינשאצונג קוועסטשאַנערן, יערלעכע קאנטראקט איבערבליקן - באַפרידיקן מער נישט די אוידיטאָרן אדער רעגולאַטאָרן. די שטאַרקסטע קאָנטראָלן זענען אָפּעראַציאָנעל, נישט פּאַפּירענע אַרטיפאַקץ. ISO, ENISA, און NIS 2 ערוואַרטן איצט אַלע לעבעדיקע סאַפּלייער וואַלידאַציע: עכטע דורכדרינגונג. טעסט לאָגס, סימולאציע באווייזן, און סטאטוס דעשבאָרדז, שטענדיק גרייט פֿאַר אוידיט קאָנטראָל.
קאָנטראַקט קלאָזולעס זענען באַטייַטיק נאָר ווען באַגלייט מיט אָפּעראַציאָנעלער דיסציפּלין:
- אינצידענט מעלדונג און עסאַקאַלאַציע פֿענצטער: 24- אדער 72-שעה בריטש אַלערט מאַנדאַטן זענען נאָר גלויבווערדיק אויב זיי ווערן דורכגעפירט דורך לעבעדיגע אָנזאָג לאָגס און פאָרשטעלונג KPIs.
- אויডিץ און אפזאג רעכטן: קאנטראקטן פארלאנגען איצט ווידער-סערטיפיצירן נאכדעם וואס סופלייערס עקסידירן; באווייזן פון אפבאארדינג מוזן ווייזן אז דאטן, צוטריט, און קאנעקטיוויטי זענען אינגאנצן אפגעשטעלט געווארן.
- זיכערהייטס-פליכטן מוזן אראפפליסן: יעדער קאָנטראַקט שטאַפּל דאַרף דורכפירבארע, געטעסטע שפּראַך וואָס זיכערט נאָכפֿאָלגנדיקע קאָנפאָרמאַטי, נישט נאָר צוטרוי אין דעם הויפּט פאַרקויפֿער.
אוידיטארן זוכן איצט אויספארשונג אויף דורכפירונג, נישט אויף כוונה. א "דורכגעבונג" איז אפהענגיק פון רעגולער געטעסטע קאנטראלן, באווייזן פון סופלייער דרילס, און דאקומענטאציע פון פאררעכטונג און לערן ציקלען. באארדס באשטעלן מער און מער אומאפהענגיקע פארזיכערונג-עקסטערנע איבערבליקן פון סופלייער קאנטראל פערפארמענס, נישט נאר קאנטראקט באדינגונגען.
מען פֿאַרשטייט נאָר באמת די ווידערשטאַנד פֿון צושטעל־קייט ווען דרילס, לאָגס און דריט־פּאַרטיי באריכטן ברענגען אָפּעראַציאָנעלע באַווײַזן.
ISO 27001–NIS 2 בריק טאַבעלע: קאָנטראָלן גרייט פֿאַר אויספֿאָרשונג
| דערוואַרטונג | אפעראציאנעלע ביישפּיל | אַנעקס רעפערענץ |
|---|---|---|
| סאַפּלייערס קאַרטירט און דערהייַנטיקט | לעבעדיגע סאַפּלייער מאַפּע מיט אָנגאָינג אָפּשאַצונג סקעדזשולז | A.5.19 |
| אַראָפּפֿלוס פֿון פֿאַרפֿליכטונגען | קאנטראקטן פארלאנגען זיכערהייט נאך אונטן, מאָניטאָרירט פאר באווייזן | A.5.20 |
| לעבן מאָניטאָרינג פון סאַפּלייערז | רעאַל-צייט דאַשבאָרדז וואָס ווייַזן פּאַטש און געשעעניש ענטפער סטאַטוס | A.5.21 |
| יערלעכע און געשעעניש-געטריבענע איבערבליק | סאַפּלייער דריל/טעסט באַווייַזן רעקאָרדירט און איבערגעקוקט אין קאַדענס | A.5.22 |
טרעיסאַביליטי טאַבעלע: באַווייַז אין אַקציע
| צינגל | ריזיקע דערהייַנטיקונג | קאָנטראָל / SoA לינק | באַווייַז בייַשפּיל |
|---|---|---|---|
| עפנטלעכע CVE ארויסגעגעבן | "לעבעדיקע סאַפּלייער פּאַטש ריזיקע" | A.5.21; SoA דערהייַנטיקונג | פּאַטש לאָגס פֿון ווענדאָרס |
| נייַער פארקויפער אויף דער באַן | "זיכטיקייט פון דריטע פּאַרטייען" | A.5.19 / 20 | אָנבאָאַרדינג לאָג, קאָנטראַקט איבערבליק |
| סאַפּלייער בריטש | "אָפּעראַציאָנעלע ריזיקע געשעעניש" | A.5.22 | אינצידענט דריל/טעסט דאקומענטאציע |
אָרגאַניזירן טריגערס, באַשטימען קלאָרע קאָנטראָל מאַפּינג, און פירן אַ לאָג פון יעדן וויכטיקן געשעעניש אָדער דערהייַנטיקונג. דער אָפּעראַציאָנעלער דרייַעק איז איצט די מינימום ערוואַרטונג פון דעם אוידיטאָר.
זייט NIS 2-גרייט פון טאג איינס
לאָנטש מיט אַ באַוויזן וואָרקספּייס און טעמפּלאַטן – נאָר צופּאַסן, צוטיילן, און גיין.
דער סוף פון יערלעכע באריכטן: אננעמען פאָרשטעלונג מאָניטאָרינג און אויטאָמאַציע
רעאַקטיווע, יערלעכע איבערבליקן זענען נישט מער גילטיק. היינט, ווערט עכטע ווידערשטאנדסקראפט געמאסטן דורך לעבעדיגע, אויטאמאטישע סאַפּלייער פאָרשטעלונג דאַשבאָרדז-מיט KPIs פֿאַר פּאַטש לעיטענסי, בריטש נאָוטאַפאַקיישאַן גיכקייט, און סימיאַליישאַן אָפטקייט. אַדאַטאָרס דערוואַרטן אָנגאָינג לאָג עקספּאָרץ, טעסט אַלערץ, און קאַנטיניואַס פֿאַרבעסערונג סייקאַלז (איזמס.אָנליין).
פּלאַטפאָרמעס ווי ISMS.online אויטאָמאַטיזירן די וויכטיקע זאַכן, פֿאַרבינדן יסאָ קסנומקס קאָנטראָלירט גלייך צו סאַפּלייער KPIs: יעדער פּאַטש פֿענצטער, אינצידענט געניטונג, און אָפבאָרדינג סיקוואַנס ווערט קאַפּטשערד ניט בלויז פֿאַר באָרד באריכטן, אָבער פֿאַר רעאַל-צייט אָפּעראַציאָנעל בטחון.
מאַנועלע באַווייז-זאַמלונג פאַרלאַנגזאַמט די רעאַקציע און לאָזט ריזיקע אומקאָנטראָלירט. אויטאָמאַציע - דערמאָנונגען, לאָג קאַפּטשער, דריל סקעדזשולינג - טראַנספאָרמירט קאָנפאָרמאַנס פון אַ יערלעכן יאגעניש צו אַ לעבעדיקער דיסציפּלין.
אָרגאַניזאַציעס מיט אויטאָמאַטישער, קאָנטינויִערלעכער טרעיסאַביליטי וועלן זיך דורכשלאָגן דורך קאָנפאָרמאַנס בשעת אַנדערע וועלן זיך מוטשענען נאָר צו באַווייַזן וואָס איז געשען.
כּמעט-מיס-לאָגינג - כאַפּנדיקע אינצידענטן וואָס זענען כּמעט געוואָרן בריטשעס אָבער זענען געכאפט געוואָרן - איז איצט פּראָמינענט אין ENISA גיידאַנס, פידינג אָפּעראַציאָנעלע מאַטוריטי מאָדעלן און רעגולאַטאָרישע איבערבליק.
ISMS.online און ענלעכע פּלאַטפאָרמעס ערמעגלעכן ניט נאָר קאָנטינויִערלעכע באַווײַז-לאָגינג, נאָר אויך סאַפּלייער באַטייליקונג און וואָרקפלאָו אָטאָמאַטיזאַציעס, וואָס זיכערט אַז יעדער פאַרקויפער איז אַרייַנגערעכנט אין די רעאַל-צייט ריזיקירן ציקל.
קאָנטראָלס, קאָנטינויִערלעכע מאָניטאָרינג, און דער עכטער געשעפט פאַל פֿאַר אָפּעראַציאָנעלער ווידערשטאַנד
קאַסטאָמערס, רעגולאַטאָרן און מאַרקן פאָדערן איצט באַווייַז פון ווידערשטאַנד, נישט נאָר קאָנפאָרמאַנס. דורכפאַל צו פירן לאָגס, דרילז און סאַפּלייער סטאַטוס דאַשבאָרדז שאַטן איצט גלייך די שליסונג פון אָפּמאַכן, באָרד צוטרוי און אפילו די אַקציע פּרייַז.
קאָנטראָלס מוזן זיין באַוויזן אין באַוועגונג. דרילס, דאַשבאָרדז, און ראָלע-ספּעציפֿישע אינצידענט פּלענער זענען טייל פֿון דער נײַער נאָרמאַל (אַטאָס, ENISA). מאַנאַגעמענט מוז פֿאָרויסזען קאָמפּרעסירטע באַריכט פֿענצטער - און אויפֿשטעלן פּלייבוקס און אינפֿראַסטרוקטור פֿאַר באַלדיקער עסאַקאַלאַציע און אָדיט, נישט "עווענטועלער" קאָנפאָרמאַנס.
דירעקטאָרן-באָרדס דאַרפֿן איצט ווידערשטאַנדס-מעטריקס - אַ באַווייַז אַז קאָנטראָלן זענען לעבעדיק, אינצידענט-פֿאַרמאַכונג איז שנעל, און סאַפּלייער-ריסן זענען פֿאַרמאַכט איידער אַטאַקירער זען זיי.
פירנדיקע אָרגאַניזאַציעס אַרייַננעמען איצט באָרד-לעוועל KPIs פֿאַר סאַפּלייער קאָנטראָלן: קאָנטראָל אַפּטיים, פּאַטש פֿענצטער גיכקייט, אינצידענט דריל קלאָוזשער, און עווידענס ריטריוואַל גיכקייט. ENISA האט בענטשמאַרקט די פינאַנציעלע פּראַל פון סאַפּליי טשיין אינצידענטן אין די טריליאַנז גלאָובאַלי, און דאָס איז באַשטימט צו וואַקסן ווי מער קאָמפּליצירט עקאָסיסטעמען קומען אָנליין.
אַלע אייערע NIS 2, אַלץ אין איין אָרט
פֿון אַרטיקלען 20–23 ביז אוידיט פּלענער – דורכפֿירן און באַווײַזן קאָנפֿאָרמאַנס, פֿון ענד צו ענד.
ENISA'ס פאָרווערטס גיידאַנס: סצענאַר דרילז, קאָנטינויִערלעך מאַפּינג, און ווייטער
רעגולאַטאָרישע און סעקטאָר גיידליינז פאָרזעצן צו אַנטוויקלען זיך. ENISA'ס וויזיע פֿאַר 2024-2025 נעמט אַרײַן מאַנדאַטאָרישע, קוואַרטאַלע סצענאַר טעסטינג אַריבער גרופּעס פון פֿאַרבונדענע סאַפּלייערז, טיפֿע קאַרטינג פון אַלע אָפּהענגיקייטן, און עסקאַלירן באַווײַז סטאַנדאַרדן פֿאַר דירעקטאָרן-ראַט באריכטן.
פּאָליטיק אויף פּאַפּיר איז נישט וויכטיק אויב די ערשטע דריל ענדיגט זיך אין צעמישעניש. עכטע צוגרייטונג קומט פון פּראַקטיק אונטער דרוק.
קוואַרטאַלע געניטונגען, וואָס אַרייַננעמען קערן און פּעריפעריע פאַרקויפער, האָבן שוין אָנגעהויבן אין קריטישע סעקטאָרן - און עס ווערט ערוואַרטעט אַז זיי וועלן זיין פארלאנגט אין רובֿ רעגולירטע געביטן אין צוויי יאָר. סערטיפיקאַציע אַליין איז אַ באַזע, נישט קיין אונטערשייד. אינדוסטריע דאַטן פון 2024 (Honeywell, ISMS.online) באַשטעטיקן אַז סערטיפיצירטע ענטיטיז ליידן נאָך פון צושטעל קייט דיסראַפּשאַן סיידן קאָנטראָלס זענען טעסטעד, לאָגס זענען ריוויוד, און סאַפּלייער פאָרשטעלונג איז געמאסטן אין טעג אָדער וואָכן - נישט חדשים.
אָרגאַניזאַציעס נעמען אָן לעבעדיגע באַווײַזן־פֿרײַמווערקן: KPI דאַשבאָרדז, דריל־פּלאַנען, און פֿידבעק־רעפּאָרטינג אײַנגעבויט גלייך אין ISMS פּלאַטפֿאָרמעס – וואָס ערמעגליכט ניט נאָר אוידיט־פֿרײַנדלעכע דאָקומענטאַציע, נאָר אויך שנעלע פֿאַרריכטונג און צוטרוי אויף באָרד־לעוועל (isms.online; proofpoint.com).
ווי ISMS.online ערמעגליכט באָרד-לעוועל סאַפּליי טשיין פארזיכערונג - און שטעלט דעם אוידיט סטאַנדאַרט
ISMS.online אַדרעסירט די דרינגענדסטע באַדערפענישן וואָס שטייען אַנטקעגן דירעקטאָרן-ראַטן, CISO'ס און קאָמפלייענס פירער:
- יוניפייד סאַפּליי טשיין קאָנטראָל פאַרוואַלטונג: -פֿאַרבינדן ISO 27001 און NIS 2 רעקווייערמענץ פֿאַר יעדן פֿאַרקויפֿער.
- רעאַל-צייט באַווייַז כאַפּן: לאָגס, סימולאַציע באַווייזן, און דריל סקעדזשולינג זענען אינדעקסט און צוטריטלעך פֿאַר ביידע אָדיטאָרס און באָרדס.
- פּיר-וואַלידייטאַד דורכגאַנג ראַטעס: -100% פון אָרגאַניזאַציעס וואָס נוצן ISMS.online האָבן דורכגעגאנגען דריט-פּאַרטיי צושטעלן קייט אוידיטס אויף זייער ערשטן פּרוּוו.
- לעבעדיגע דאַשבאָרדז און שנעלע אָנבאָרדינג: -וויזואַלער סטאַטוס פון סאַפּלייער KPIs, פּאַטש קאַדענס, און באַווייַז גרייטקייט ברענגען באָרדרום בטחון און קירצערע אָפּמאַך ציקלען.
די פּלאַטפאָרמע אינטעגרירט רעגולאַטאָרי טוישן מיט שנעלקייט: ווען ENISA, סעקטאָר אויטאָריטעט, אָדער לעגיסלאַטיווע רעקווייערמענץ אַנטוויקלען זיך, קאָנטראָל פּאַקס און באַווייז פאַרוואַלטונג וואָרקפלאָוז אַדאַפּטירן זיך שנעל, אָן איבער-טרענירן גאַנצע מאַנשאַפֿטן. אויטאָמאַטישע לאָגס און דאַשבאָרדז פֿאַרמאַכן דעם קרייז אין שעה - נישט וואָכן - געבן פירערשאַפט סטייקהאָולדערז דעם באַווייַז וואָס איז נויטיק פֿאַר ביידע העסקעם און אַפּעריישאַנאַל ריזיליאַנס.
בטחון, ביים באָרד און איבער אייער עקאָסיסטעם, קומט נישט פון פּאַפּירענע דאָקומענטאַציע, נאָר פון באַווייזן ביי אייערע פינגערשפּיץ - יעדער סאַפּלייער, יעדער קאָנטראָל, יעדן טאָג.
אויב אייער סופּליי טשיין זיכערהייט פּראָגראַם פֿאַרלאָזט זיך נאָך אויף יערלעכע ספּרעדשיטס אָדער נישט-געפּריפֿטע קאָנטראַקט קלאָזולעס, איז ISMS.online אייער גרינגסטער ערשטער שריט צו פֿאַרוואַנדלען קאָמפּליאַנס זאָרג אין דעמאָנסטרירבאַרן ווידערשטאַנד קאַפּיטאַל.
נאָך פֿראַגעס? בעט אַ געמאַפּט קאָנטראָלס מוסטער, פּלאַנירן אַ פּאַסיק ריזיקאָ איבערבליק, אָדער זען אַ רעאַל-צייט דירעקטאָרן-דשבארד. אין דער תקופה פון לעבעדיקע רעגולאַציע און דירעקטאָרן-פֿאַראַנטוואָרטלעכקייט, קענט איר זיך נישט ערלויבן צו באַגנוגן זיך מיט ווייניקער.
אָפֿט געשטעלטע פֿראגן
ווער שטייט איצט פאר די גרעסטע סייבער ריזיקעס אין די סופּליי טשיין, און פארוואס איז די אחריות פון די דירעקטאָרן-ראט געווארן א דרינגענדע לעגאלע פראגע?
יעדע אָרגאַניזאַציע מיט דריט-פּאַרטיי אָפּהענגיקייטן - צי אין טעכנאָלאָגיע, געזונטהייט, פינאַנץ, צי רעגירונג - איז איצט אויסגעשטעלט צו וואַקסנדיקע סאַפּליי טשיין סייבער טרעץ, ווײַל אַן איינציקער שוואַכער פאַרקויפער, SaaS פּראַוויידער, צי סובקאָנטראַקטאָר קען אַרויסרופן גרויסע בריטשעס. מאָדערנע אַטאַקער צילן די "ווייכע עקן" פון דיין עקאָסיסטעם, בייפּאַסינג דירעקטע פּערימעטערן און מיסברויכן צוטרוי אין סאַפּלייער קייטן. די SolarWinds און MOVEit קריזיסן האָבן אַנטפּלעקט ווי איין איבערגעקוקטע אינטעגראַציע, פּאַטש פאַרהאַלטונג, צי אָפבאָרד סאַפּלייער קען שאַפֿן פֿירמע-ברייטע פאלגן.
מיטגלידער פון דעם דירעקטאָרן-ראַט און דירעקטאָרן, וואָס האָבן אַמאָל געקענט דעלעגירן די אויפזיכט פון סאַפּלייער צו IT, ווערן איצט ערוואַרטעט דורך רעגולאַטאָרן און פאַרזיכערונג קאָמפּאַניעס צו באַווייַזן לעבעדיקע, "באָרד-געפירטע" סאַפּליי-טשעין ריזיקאָ פאַרוואַלטונג. אונטער NIS 2 און גיידליינז פון ENISA, האָבן דירעקטאָרן געזעצלעכע פליכטן צו קענען ווייַזן דאָקומענטירטע באַשלוס-מאכן און רעאַקציעס פֿאַר סאַפּלייער ריזיקאָס אין פאַקטישער צייט - נישט ווי אַ יערלעכער נאָכטראַכט. אין 2024, האָט ENISA געפֿונען אַז איבער 60% פון די השפּעהדיקע בריטשיז שטאַמען נישט פֿון אינערלעכע סיסטעמען, נאָר פֿון סאַפּליי-טשעין קאָמפּראָמיס.
צושטעל קייט צוטרוי איז א באארדרום וואלוטע - עס איז באוויזן דורך לעבעדיגע באווייזן, נישט פאפירן.
אויב דירעקטאָרן-ראַטן פאַרפעלן צו ימפּלעמענטירן דינאַמישע אויפזיכט - פולשטענדיקע סאַפּלייער אינווענטאַרן, קעסיידערדיקע ריזיקאָ רייטינגז, קלאָרע אָפבאָרדינג לאָגס, גרייט-צו-עקספּאָרטירן באַווייַזן - וועלן זיי זיך געפֿינען נישט-פאַרזיכערבאַר און אין בריטשינג פון דירעקטאָרן'ס פליכטן. רעגולאַטאָרן איצט רוטינמעסיק אָדיטירן דירעקטאָרן'ס באַטייליקונג מיט סאַפּליי קייט ריזיקאָ, מאַכנדיג דירעקטאָרן'ס אינאַקציע אַן עקזיסטענציעלע פֿאַראַנטוואָרטלעכקייט.
באָרד קאָנסעקווענצן פון שלעכטער סאַפּליי טשיין גאַווערנאַנס:
- אוממעגלעכקייט צו באַשטעטיקן קריטישע אָפּמאַכן צוליב פעלנדיקע סאַפּלייער קאָנטראָלן
- קנסות אדער דורכפירונג פארן מאנגל פון רעאַל-צייט באַווייַזן
- פערזענלעכע פֿאַראַנטוואָרטלעכקייט פֿאַר דירעקטאָרן ווען מאַנגל אין השגחה פֿירט צו אַ בריטש אָדער שאָדן
וויסואַל: אינטעראַקטיווע ברעט דאַשבאָרד מיט סאַפּלייער ריזיקירן ראַנגקינגז, געשעעניש לאָגס, און אַפּקאַמינג קאַמפּליאַנס אַקשאַנז.
וואָס אָפּעראַציאָנעלע און לעגאַלע רעקווירמענץ שטעלט NIS 2 פֿאַר סאַפּליי טשיין ריזיקאָ, און פאַרוואָס איז "טשעקבאָקס" קאַמפּליאַנס פאַרעלטערט?
NIS 2 פארוואנדלט סופּליי טשיין זיכערהייט פון א קאמפלייענס טשעק-קעסטל צו א יאר-ארומיקע אפעראציאנעלע און באארד-לעוועל לעגאלע פליכט. יעדע רעגולירטע ענטיטי מוז איצט דעמאנסטרירן אקטיווע, קאנטינעווירלעכע סופּלייער אינווענטאר, ריזיקע קלאסיפיקאציע, און באווייז כאפּונג - נישט נאר ווען מען נעמט אריין אדער באנייט קאנטראקטן, נאר איבער די גאנצע סופּלייער באציאונג.
ארטיקלען 21 און 22 פון NIS 2 (דירעקטיוו 2022/2555) און ISO 27001:2022 קאנטראלן A.5.19–A.5.22 פארלאנגען:
- סיסטעמאַטישע קאַרטינג פון אַלע שליסל סאַפּלייערז, סובקאָנטראַקטאָרס און SaaS מכשירים (אַרייַנגערעכנט סוב-טיערס)
- ריזיקע און קריטישקייט אפשאצונג ווערט אפדעיטירט ווען ענדערונגען פאסירן (נישט יערליך)
- קאנטראקטועלע אוידיט, בריטש נאטיפיקאציע, און אפעראציאנעלע טעסט קלאוזעס - "געפליסט אראפ" צו אלע לעוועלס
- לייוו סטאַטוס לאָגס פֿאַר פּאַטשאַז, ינטאַגריישאַנז און עקזיט אַקשאַנז
- אומענדערלעכע, צייט-געשטעמפּלטע אָפבאָרדינג באַווייַזן קענטיק פֿאַר אָדיטאָרס, באָרדס, און (אויב נייטיק) רעגולאַטאָרן
טשעקבאָקס קאָנפאָרמאַטי - וואו סאַפּלייערז צושטעלן יערלעכע זעלבסט-באשטעטיקונגען אדער באַווייַזן זענען באַגראָבן אין סטאַטישע דאָקומענטן - איז איצט אַ דורכפאַלנדיקער צוגאַנג. רעגולאַטאָרן און אָדיטאָרס פאָדערן מער און מער צייט-געשטעמפּלטע געשעעניש לאָגס, פאַרענדיקטע דרילל רעקאָרדס, און באַווייַז פון באָרד אָפּשאַצונג ציקלען. זעלבסט-באשטעטיקטע קאָנטראַקטן און אַלטמאָדישע סאַפּלייערז אַסעסמאַנץ רעזולטירן אין אָדיט ציטאַטן אָדער פאַרלוירן קונה צוטרוי.
פּראַקטישע טריט פֿאַר קאָנפאָרמאַטי:
- ניצן אַ רעאַל-צייט סאַפּלייער אינווענטאַר סיסטעם מיט ריזיקאָ-באַזירטע קלאַסיפֿיקאַציעס
- איינשטעלן אפעראציאנעלע טעסט/נאטיפיקאציע קלאוזעס גלייך אין קאנטראקטן
- אויטאמאטיזירן לאג כאפּונג פון אָנבאָאַרדינג, טעסט דרילס, אויסנעמען און אָפבאָאַרדינג
- פּלאַנירן ברעט איבערבליקן פון סאַפּלייער געשעענישן און ריזיקאָ רעקאָרדס קוואַרטאַל (מינדסטנס)
| דערוואַרטונג | אָפּעראַציאָנאַליזאַציע | ISO 27001/אַנעקס א רעפערענץ |
|---|---|---|
| סאַפּלייער ריזיקע אַקטיוו געראטן | אנגייענדע אינווענטאר און ריזיקע איבערבליק | A.5.19, NIS 2 אַרטיקל 21 |
| קאָנטראַקט האַנדלט מיט אָדיט/ברוך רעכטן | פלאָו-אַראָפּ קלאָזולעס, טעסטעד דרילז | A.5.20 |
| פּאַטשינג און דערהייַנטיקונגען פּאַסירן אין צייט | פּאַטש/טעסט לאָג, אויסנאַם באַריכט | A.5.21 |
| סאַפּלייערס גאָר אַוועקגעלאָדן בײַם אָפּפֿאָר | אומענדערלעכער לאג, ברעט אויפזיכט | A.5.22 |
ווי אזוי האבן SolarWinds און MOVEit געטוישט רעגולאטאר און אוידיטאר ערווארטונגען פאר סופּליי טשיין פארזיכערונג?
די SolarWinds און MOVEit דורכברעכן האָבן געשטעלט אַ נייעם גלאָבאַלן פּרעצעדענט: רעגולאַטאָרן און באָרדס האָבן אַנטדעקט אַז אפילו העכסט סערטיפיצירטע סאַפּלייערז קענען אויסשטעלן גאַנצע קונה עקאָסיסטעמען צו אַטאַקעס אויב טעגלעכע זיכערהייט און אַקסעס פאַרוואַלטונג ווערן איבערגעקוקט. איבערבליק פּאַנאַלז האָבן אַנטדעקט דריי הויפּט לעכער:
- אומבאוועזנהייט פון אַקטועלע אָפּהענגיקייט מאַפּעס - ווייניק אָרגאַניזאַציעס קענען שפּורן אַקסעס קייטן ווייטער פון די באַלדיקע סאַפּלייערז, וואָס שטערט אינצידענט ענטפער.
- אַלטע סערטיפיקאַציעס - דורכגיין ISO אָדער SOC 2 איז געווען אָן באַדײַט אויב פּעטש פֿענצטער זענען פֿאַרפֿעלט געוואָרן, צי אַקסעס לאָגס זענען נישט איבערגעקוקט געוואָרן אין וואָכן.
- קיין טעסט אדער אינצידענט-רעספאנס לאגס וואס פארבינדן סופלייער בריטש סצענארן מיט עכטע דירעקטאָרן-ראט אקציעס - רוב ארגאניזאציעס האבן גארנישט מער ווי סטאטישע קאנטראקטן אדער נישט-געטעסטע געשריבענע פראצעדורן.
אונטער נאך-אינצידענט אויפזיכט, זענען ארגאניזאציעס געבעטן געווארן צו פארשטעלן: לעבעדיגע סופלייער אינווענטארן (די "ביל אף איי-טי"), צייט-געשטעמפלטע לאגס פון דריל געשעענישן און אינצידענט עסאַקאַלאַציעס, און פולשטענדיגע פארמאכונג רעקארדס פאר אפבאארדירטע סופלייערס. מאנגל אין קאנטינעווירליכע רעקארדס האט זיך איבערגעזעצט אין דורכגעפאלענע אוידיטס, עפנטליכע אויפזיכט, און רעגולאטורישע אריינמישונג.
שליסל סופּליי טשיין אוידיט רעקווייערמענץ נאך-SolarWinds/MOVEit:
- רעאַל-צייט מאַפּינג פון אַלע דירעקטע און סוב-טיער ינטאַגריישאַנז
- רעגולער פּלאַנירטע אָדער געשעעניש-געטריבענע בריטש דרילס מיט אַלע קריטישע סאַפּלייערז
- באווייז לאגס פאר יעדן פּאַטש, הויפּט דערהייַנטיקונג, אָנבאָרדינג און אָפבאָרדינג געשעעניש - ברעט-אנערקענט און אומענדערלעך
וואָס איר קענט נישט מאַפּירן, לאָגירן, אָדער טעסטן, קענט איר נישט פֿאַרטיידיקן פֿאַר אוידיטאָרן - אָדער פֿאַר אייער אייגענעם דירעקטאָרן-ראַט.
וויסואַל: צייט־ליניע פֿון בריטש אַלערט → סאַפּלייער אָנזאָג → עסאַקאַלאַציע לאָג → דירעקטאָריום אונטערשרײַבן.
וועלכע סאַפּלייער מאָניטאָרינג און קאָנטראַקט פּראַקטיקעס טאַקע רעדוצירן ריזיקירן, און וואו גייט קאַנפאָרמאַטי טיפּיש נישט גוט?
נאָר קאָנטינויִערלעך-געווענדטע, אויטאָמאַטישע לאָג-באַזירטע קאָנטראָלן קענען טרעפן מאָדערנע אוידיט און רעגולאַטאָרישע רעקווייערמענץ - קאָנטראַקטן און פּאָליטיקס אַליין זענען נישט גענוג. די העכסט-פּערפאָרמינג אָרגאַניזאַציעס אָפּעראַציאָנאַליזירן זייער צושטעל קייט זיכערהייט מיט:
קערן פּראַקטיקעס וואָס איבערלעבן אַדאַץ:
- אויטאָמאַטישע לייוו דאַשבאָרדז וואָס טראַקן די צייטן פון סאַפּלייער-פיקסן, SLA-ברייכעס און אָנזאָג-פֿענסטער - מיט זעיקייט אויף ברעט-לעוועל
- פלאָו-דאַון און דריל קלאָזולעס טעסטעד דורך סצענאַר עקסערסייזיז, נישט נאָר עמבעדיד אין קאָנטראַקט פּדףס
- צענטראלע, אומענדערלעכע לאג רעפאזיטאריעס וואס רעקארדירן יעדן איינבויען, טעסט, אויסנאם, און אפבויען געשעעניש
געוויינטלעכע קאמפלייענס דורכפעלער:
- נישט דורכפירן בריטש סימולאציעס איבער פאקטישע סופלייערס (נישט נאר אינטערן)
- נישט פארלאנגען אדער טעסטן אויספארשונג רעכטן און מעלדונג קלאָזולעס מיט אלע אונטער-שטאפל ווענדאָרס
- ניצן אַלטמאָדישע טשעקליסט אָדער ספּרעדשיט צוגאַנגען, שאַפֿן עווידענס גאַפּס און פּאַמעלעך רעאַקציע
אוידיטארן וועלן איצט "נעמען מוסטערן" פון באווייזן אויף פארלאנג: "ווייזט אונז דעם לעצטן ארויסגאנג געשעעניש פאר דעם סאַפּלייער. וואו איז דער לאג? ווער האט עס איבערגעקוקט?" באָרד און פארקויף ציקלען שטעלן זיך אפ ווען געשעעניש רעקאָרדס אדער אַקציע לאָגס פעלן.
| טריגער / געשעעניש | אַקציע / פֿאַרמינדערונג | קאָנטראָל / רעפֿערענץ | לאָגד באַווייזן |
|---|---|---|---|
| אָנבאָאַרדינג פון סאַפּלייער | ריזיקע מאַפּע, אינווענטאַר דערהייַנטיקונג | A.5.19, NIS 2 אַרטיקל 21 | קריטישקייט לאָג, דעפּענדענסי מאַפּע |
| פּאַטש אָדער וואַלנעראַביליטי | פּרובירן, עסקאַלירן, מעלדן דעם ברעט | A.5.21 | פּאַטש געשעעניש, אַלערט, ברעט טראַקער |
| נײַער קאָנטראַקט אָדער באַנײַונג | אוידיט קלאָז טעסט, דריל | A.5.20 | קלאָז וואַלידירט, דריל לאָג |
| סאַפּלייער אָפבאָרדינג | אַראָפּנעמען צוטריט, לאָגירן, אָנזאָגן | A.5.22 | פארמאכונגס-רעקארד, ברעט-רעקארד |
וואָס מיינט "קאָנטיניואַס סאַפּלייער מאָניטאָרינג" אין 2024, און וואָס באַווייַזן איבערצייגן אָדיטאָרס, קאַסטאַמערז און דירעקטאָרן-ראַטן?
קעסיידערדיק מאָניטאָרינג מיינט אויטאמאטיזירן ריזיקע דעטעקציע, געשעעניש כאפּונג, און פאָרשטעלונג איבערבליקן אויף א גראַנולאַרער, סאַפּלייער-ביי-סאַפּלייער וואָג. אַנשטאָט וואַרטן אויף יערלעכע אָדאַץ אָדער אינצידענטן, דזשענערירן פירנדיקע אָרגאַניזאַציעס ראָולינג, צייט-געשטעמפּלטע באַווייַזן איבער די סאַפּלייער לעבן ציקל:
- רעאַל-צייט דאַשבאָרדז וואָס טראַקן פּאַטש/אַפּדייט ענטפֿערס (אַקטועלע טעג, נישט פּלאַנירט)
- גלייכע וואָרענונגען פֿאַר קריטישע סאַפּלייער געשעענישן, פֿאַרבונדן מיט אויטאָמאַטישע עסאַקאַלאַציע וואָרקפלאָוז
- אומענדערלעכע, צענטראל געהיטענע לאָגס פֿאַר אַלע דרילס, אָנבאָאַרדינג, אויסנעמען און אָפבאָאַרדינג - עקספּאָרטירט גלייך צום באָרד אָדער רעגולאַטאָר
- קאנקרעטע רעמעדיאציע ציקלען, דאקומענטירן וואס איז פארפעלט געווארן, ווער האט געהאנדלט, און וועלכע לעקציעס זענען רעגיסטרירט געווארן
קאסטומערס, פארזיכערונגס-געזעלשאפטן, און רעגולאטארן פרעגן נישט "זענט איר סערטיפיצירט?" נאר, "ווייזט אונז לעבעדיגע באווייזן פון סופלייערס ריזיקע אקציעס, לויט געשעעניש און צייט-ליניע." די ארגאניזאציעס וואס געווינען נייע קאנטראקטן און דורכגיין רעגולאטאר אויספארשונגען זענען די וועמענס באווייזן לעבן אין די באארדרום, נישט באגראבן אין אימעיל אשכולות אדער ספּרעדשיטס. די פאליסי פון די בריטישע רעגירונג פארלאנגט יעצט אקטיווע, לעבעדיגע פארזיכערונג פאר די צושטעל-קייטן פון די עפנטליכע סעקטאר און קריטישע אינפראסטרוקטור.
מאָדערנע ISMS פּלאַטפאָרמעס ווי ISMS.online אויטאָמאַטיזירן דעם באַווײַז-אינטעגרירן ריזיקאָ דאַטן, געשעעניש לאָגס, רעמעדיאַציע ציקלען און באָרד דאַשבאָרדז אַזוי איר בלייבן פאָרויס פון יעדן רעגולאַטאָר, אוידיטאָר און RFP.
ווי אזוי טראנספארמירט ISMS.online אוידיט-אנגסט און פארשטאפטע קאמפלייענס אין גרייטקייט, ווידערשטאנדסקראפט, און שנעלערע קאנטראקטן?
ISMS.online פאראייניגט ISO/NIS 2-געמאפטע קאנטראלן, אויטאמאטישע לאגינג, ארבעטס-פלוס מענעדזשמענט, און סופלייער באווייזן אין איין פלאטפארמע. דאס דרייט זיך... קאָנטראָלירן גרייטקייַט פֿון חדשים פֿון פּאַפּיראַרבעט צו עקספּאָרטירבארן, רעאַל-צייט באַווײַז וואָס באַפֿרידיקט קאַסטאַמערז, דירעקטאָרן-ראַטן און רעגולאַטאָרן:
- צענטראליזירט אָנבאָרדינג, טעסט, און אָפבאָרדינג באַווייַז: , אַלע פארבונדן מיט סאַפּלייער ריזיקירן און קאַמפּליאַנס דאַטן
- אויטאָמאַטיזירט באַווײַז לאָגס פֿאַר יעדער סאַפּלייער אַקציע: -עלימינען שפּעט-נאַכט יאָגן און "פאַרפעלנדיקע" רעקאָרדס
- סורפאַסעס דאַשבאָרדז פֿאַר ברעט אָפּשאַצונג: -טראנספארמירן אוידיטס אין צוטרוי געשעענישן, נישט לעצטע-מינוט כאַאָסן
אוידיט הצלחה איז מער נישט וועגן פאפירן. עס איז אן אויטאמאטישער, טרעיסבארער באווייז אז אייער צושטעל קייט איז פארטיידיגבאר - יעדע צייט, ערגעץ.
טימז וואָס נעמען אָן ISMS.online פאַרגיכערן רעגולער די אויডিץ ציקלען פון חדשים צו וואָכן, פֿאַרשטאַרקן די צוטרוי פון די דירעקטאָרן און פֿאַרקויפֿער, און באַפֿרײַען זייערע זיכערהייט טימז פֿון אומענדלעכער זאַמלונג פֿון באַווײַזן. אַנשטאָט רעאַקטיווער קאָנפאָרמאַנס, ווערט ווידערשטאַנד "געשעפֿט ווי געוויינטלעך" און אַ קאָנקורענטישער אַסעט.
סאַפּלייער באַווייַז לעבן-ציקל טרעיסאַביליטי (ISO 27001 / NIS 2 טאַבעלע)
| טריגער געשעעניש | ריזיקע / אַקציע | קאָנטראָל רעפֿערענץ | קאָנטראָלירן עווידענסע |
|---|---|---|---|
| אָנבאָאַרדינג פון סאַפּלייער | קריטישקייט ראַנג, מאַפּינג | A.5.19 / NIS 2-21 | אָנבאָאַרדינג און מאַפּינג לאָג |
| פּאַטש/שוואַכקייט אַלערט | פּאַטש איבערבליק, עסקאַלירן | A.5.21 | פּאַטש לאָג, אָנזאָג טרייל |
| סאַפּלייער בריטש אָדער אינצידענט | אינצידענט עסקאַלאַציע, איבערבליק | A.5.22 / NIS 2-22 | אינצידענט/אַקציע לאָג, ענטפער |
| יערלעכע דריל אדער ENISA ווארענונג | פּאָליטיק און קאָנטראַקט דערפרישונג | A.5.19–A.5.22 | דריל לאָג, ברעט באַשטעטיקונג |
רעפֿערענצן
- ENISA – גיידאַנס פֿאַר זיכערהייט פֿון צושטעל־קייטן
- NIS 2 פולער טעקסט (ארטיקלען 21–22)
- ביל פון IT סאַפּליי טשיין פארזיכערונג (ARXIV, 2024)
- בריטישע רעגירונג פּאָליטיק – צושטעל קייט ריזיקע
- ISMS.online – NIS 2 צושטעל קייט קאמפלייענס
