פארוואס טיילט אייראפע יעצט אפ פראדוקט זיכערהייט פון סערוויס ווידערשטאנדסקראפט?
אייראָפּע'ס רעגולאַטאָרישע לאַנדשאַפט צעטיילט נישט פּראָדוקטן און סערוויסעס נאָר צו מאַכן לעבן מער קאָמפּליצירט - עס איז אַן ענטפער צו אַ דיגיטאַלער וועלט וואו אַן איינציקע שוואַכע פֿאַרבינדונג קען צעשטערן גאַנצע מאַרקן איבער נאַכט. הויך-פּראָפיל אינצידענטן ווי SolarWinds און Log4j האָבן דעמאָנסטרירט ווי... צושטעלן קייט וואַלנעראַביליטיז קאַסקאַדן ווייט ווייטער פון דעם דעוועלאָפּער'ס לאַפּטאָפּ, ריקאַשיינג דורך SaaS, אינפראַסטרוקטור און קריטישע באַדינונגען אין וועגן וואָס קיין איין אונטערנעמונג קען נישט אַנטהאַלטן אַליין.
די אי־יו'ס רעאַקציע? צעשמעלצן, אָבער פעסט פֿאַרבינדן. פּראָדוקט זיכערהייט-זיכער מאַכן אַז יעדער דיגיטאַלער קאָמפּאָנענט (אַפּפּס, ביבליאָטעקן, דעוויסעס, פירמווער) איז פֿאַרהאַרטעט, טרעיסאַבאַל און אַפּדייטאַבאַל - איז איצט באַזונדער, אָבער נישט צעשיידלעך פֿון, סערוויס ווידערשטאנד-די מעגלעכקייט צו אויפהאלטן, זיך צופאסן און צוריקקריגן קריטישע ביזנעס אפעראציעס ווען שאקס טרעפן.
מיר פלעגן טראַכטן אַז זיכערהייט איז וועגן האַלטן אונדזער אייגענע הויז ריין. היינט עפֿנט אונדזער טיר אַן איבערגעקוקטער סאַפּלייער אָדער אַן אַלטע ביבליאָטעק, נישט קוקנדיק אויף אונדזערע פּאָליטיקס.
פֿאַר ווער עס איז פֿאַראַנטוואָרטלעך פֿאַר ריזיקע, קאָנפאָרמאַנס, אָדער רעוועך, איז די צעטיילונג מער ווי נאָר סעמאַנטיק. עס איז אַן אָפּעראַציאָנעלער פאַקט. SaaS אָפּעראַטאָרן מוזן ווייַזן אַז זייער קאָד איז ראָבאַסט און דערהייַנטיקט, אָבער אויך מוזן זיי באַווייַזן אַז זייערע באַדינונגען איבערלעבן אינצידענטן, קענען צוריקשטעלן דאַטן, און האַלטן אַ פֿאַרלאָזלעכע ליפֿערונג - אונטער קאָנטראָל פֿון אַודיטאָרן און אין פאַקטישער צייט.
צוויי רעזשים, נייע רעאליטעטן
- NIS 2 (נעץ און אינפארמאציע זיכערהייט דירעקטיוו): פאָקוסירט אויף *סערוויס ווידערשטאנד*. עס גייט וועגן גרייטקייט, קאָנטינעויטעט, רעאַקציע, און נאָך-אינצידענט איבערבליק פֿאַר סעקטאָרן פון באַנקינג צו געזונטהייט צו וואָלקן.
- סייבער ווידערשטאנדסקראפט אקט (CRA): הייבט אויף *פּראָדוקט זיכערהייט* פון א קעסטל-אפצייכענען צו א לעבנס-ציקל מאַנדאַט, צילנדיק אלע דיגיטאַלע פּראָדוקטן - ווייכווארג, פארבונדענע דעוויסעס, פּלאַטפאָרמע ווי א סערוויס, אַלץ וואָס ווערט פאַרשפּרייט אדער אפערירט אין דער אי.יו.
וואו פריערדיגע כּללים האָבן אָפט געלאָזט אַמביגואַטי, נעמט די צעטיילונג אַוועק צווייפל:
דו ביסט פאַראַנטוואָרטלעך פֿאַר יעדן קאָמפּאָנענט - געשריבן, געבארגט, געקויפט, אָדער באַנדאַלד - און ווי עס אַרבעט לעבן.
קאָמפּליאַנס נעץ: אויב איר אַנטוויקלט, פאַרשפּרייט, אָפּערירט אָדער אַפּדייט דיגיטאַל טעכנאָלאָגיע אין דער אי.יו., זענען די כּללים מסתּמא אָנווענדלעך. SaaS? דעווייס-פאַבריקאַנט? געראטן סערוויס? אויב איר זענט אין אַ פּראָקורעמענט קייט, איז אויך אייער עקספּאָוזשער אָנווענדלעך.
דעדליינז:
- NIS 2 דורכפירונג ווערט שטארקער אין Q4 2024, מיט לאקאלע געזעצן וואס קריסטאליזירן זיך שנעל.
- CRA הייבט אן פאזירטע אפליקאציע ביז 2025-2027, אבער פראקורמענט און דיו דילידזשענס אנפראגעס זענען שוין אקטועל.
וויזואַליזיר דעם ריזיקע: שטעלט זיך פאר אן אינטעראַקטיווע מאַפּע, דעדליינז וואָס גליען ביי יעדן נאָדע: דעוועלאָפּערס, סאַפּלייערז, אינטעגראַציעס, פראָנטליין דיגיטאַלע סערוויסעס. גאַפּס ערגעץ שאַפֿן אַ געמיינזאַמע וואַלנעראַביליטי - קיין אפגעזונדערטע אַנטלויף-וועג.
ספר אַ דעמאָוואו ענדיגט זיך NIS 2 און וואו הייבט זיך אן די CRA?
ציען די ליניע צווישן "פּראָדוקט" און "סערוויס" איז ווי צו שפּאַלטן אַ טייך און זיין ברעג - טעכניש מעגלעך, זעלטן קלאָר אין געשעפט לעבן. דיגיטאַלע קאָמפּאַניעס פליסן צווישן די צוויי: איר בויט (פּראָדוקט) צו צושטעלן (סערוויס), און רובֿ ווערן געזען ווי ביידע אין די אויגן פון געזעץ.
NIS 2 אין אַקציע:
די אנווייזונג פארלאנגט אז איר זאלט באווייזן אַפּעריישאַנאַל ריזיליאַנס-קאנטינעואיטעט פלענער, געטעסטע באַקאַפּס, שנעלע צוריקשטעלן מעגלעכקייט, און דעמאַנסטרירבארע אינצידענט פאַרוואַלטונג.
CRA'ס פאָקוס:
אין קאנטראסט, די CRA גראָבט אריין אין דעם אַסעט אַליין. אייער קאָנפאָרמאַטי וועט ווערן געמאָסטן אויף SBOMs (סאָפטווער בילס אף מאַטעריאַלס), אַפּדייט אָפּעראַציעס, זיכערהייט-דורך-דיזיין אין אַנטוויקלונג, און פּאָסט-מאַרקעט סורוועילאַנס צו דערקענען, פאַרריכטן און דערקלערן וואַלנעראַביליטיז.
דער אונטערשייד צווישן פּראָדוקט און סערוויס פאַלט צוזאַמען ווען אייער אוידיטאָר פרעגט ווי אַן איינציקע קאָד ענדערונג ווערט געראטן פון מעלדונג ביז לעבעדיקע אָפּעראַציעס און עווענטועל צו באַניצער אָנזאָגן און פאַרריכטן.
אָפֿן-קוואַל און סאַפּלייער ריזיקע:
ביידע NIS 2 און CRA פארלאנגען איצט פראקטישע אייגנטומערשאפט, נישט אוטסאָרסינג, פון דריט-פּאַרטיי און OSS ריזיקע. איר מוזט מאַפּירן, טראַקן און דערהייַנטיקן יעדן שטיק, מיט SBOMs ווי לעבעדיקע דאָקומענטן וואָס ווערן געטיילט אין אוידיטס.
איר זענט נישט קאָמפּליאַנט נאָר ווײַל איר ווײַזט מיט די פינגער קעגן איבערן אויבערפלאַך. אויב אײַער סערוויס גיט רעזולטאַטן, איז יעדער פּראָדוקט וואָס עס כּולל אײַך אײַער אייגנטימער.
שטעלט זיך פאר א שיכטן דיאַגראַם: פיזישע פּראָדוקט באַזע (מיט SBOM/CRA שיכטן), איינגעוויקלט אין אָפּעראַציאָנעלע NIS 2 סטרוקטורן. יעדער האַנטאָף - קאָד קאַמיט, אַפּדייט, אינצידענט - מוז זיין געטראַקט, לאָגד און פאַרטיידיקבאַר פֿאַר קאָנפאָרמאַטי.
בעל NIS 2 אָן ספּרעדשיט כאַאָס
צענטראַליזירן ריזיקע, אינצידענטן, סאַפּלייערז און באַווייַזן אין איין ריינער פּלאַטפאָרמע.
איבערלאַפּונג פון דער פאַרנעם און די "דאָפּלטע געפאַר" ריזיקאָ זאָנע
אויב איר בויט, פארקויפט אדער לויפט דיגיטאלע פראדוקטן - זאל עס זיין א SaaS פלאטפארמע, א דעווייס פירמווער, אדער א קריטישע וואלקן סערוויס - איז א דאפעלטע געפאר נישט קיין היפאטעטישע ריזיקע; עס איז א טעגליכע אפעראציאנעלע רעאליטעט. די זאנע וואו NIS 2 און CRA ביידע זענען גילטיק וואקסט שנעל, מאנchmal איבער איבערלאפנדיקע קאנטראקטן און אוידיטס.
| **רעזשים** | **טריגער געשעעניש** | **דיין פליכט** |
|---|---|---|
| 2 שקל | "עסענציעל/וויכטיג" סערוויס סטאטוס (רעגולירטער סעקטאָר, גרויסע אפעראציעס) | קאָנטינויִטעט גאַראַנטיעס, באַוויזן אָפּעראַציעס, לעבעדיקע אינצידענט און אָפּזוך לאָגס |
| Cra | דיגיטאַל פּראָדוקט אין אי.יו. מאַרק (אַרייַנגערעכנט SaaS, עמבעדיד/אַפּדייטעד) | SBOMs, זיכערהייט-דורך-דיזיין, פּאָסט-מאַרק מאָניטאָרינג, שנעלע וואַלנעראַביליטי פיקס לאָגס, דערהייַנטיקונג טרייסאַביליטי |
דריט-פּאַרטיי און פרעמדע פאַרקויפער:
קיין מער גלייבלעכע לייקענונג. SBOMs מוזן דאקומענטירן אַלע אפהענגיקייטן - קאמערציעל, אפן, אדער פראפּריעטאַרי. גאַפּס אדער אומבאַקאַנטע ווערן אייער פּראָבלעם, נישט נאָר אייער סאַפּלייער'ס. רעגולאַטאָרישע ערוואַרטונג: אויב אַנדערע שטיצן אייער סערוויס, מוזט איר באַווייַזן אַז זיי זענען זיכער און אַפּדייטאַבאַל, אָדער איר קענט באַקומען קאָנטראָל איבער די רעזולטאַטן און מעגלעכע קנסות.
דורכפעלער אין קאנפארמאנס הייבן זיך זעלטן אן מיט א שוואכן פראדוקט - זיי הייבן זיך אן מיט אומקלארע אייגנטומערשאפט פון די באווייזן.
א ווען דיאַגראַם - די NIS 2 און CRA קרייזן. וואו זיי קומען זיך צוזאַמען, געפינט מען יעדן מאָדערנעם SaaS און דיגיטאַלן אָפּעראַטאָר אין דער אי.יו., וואָס איז מחויב צו מאָניטאָרירן, לאָגן און באַזיצן ביידע פּראָדוקטן און סערוויסעס.
די נייע רייבונגען: באריכטן, ארבעטסלאסט, און באווייזן אין פראקטיק
קאָנפאָרמאַנס וואוינט מער נישט אין אַרכיווירטע פּאָליטיק טעקעס. היינט איז עס אַן אַקטיווע כאָרעאָגראַפֿיע-לעבעדיקע באַווײַזן, אינצידענט פידס, אויפגאבע רוטינג, און שנעלע באריכטן איבער טימז.
אינצידענט באריכט:
איין זיכערהייט געשעעניש קען אויסרופן טאָפּלטע באַריכטן. א בריטש פון פּראָדוקט לאָגיק שלאָגט אויס אַ וואָלקן סערוויס און אַנטפּלעקט קונה דאַטן: איר מוזט מעלדן די אויטאָריטעטן לויט יעדן געזעץ'ס צייטפּלאַן, פֿאָרמאַט און דאַטן סעט. גלייכצייטיג, איר דערהייַנטיקט אינערלעכע לאָגס, קונה קאָמוניקאַציעס, סאַפּלייער נאָוטאַפאַקיישאַנז און אָפּזוך פּלייבוקס - שנעלער ווי אלץ פריער.
מאַנשאַפֿט אַרבעטסלאָוד:
יעדע דיסציפּלין – עקסעקוטיוון, אינזשענירן, קאָנפאָרמאַנס, שטיצע, פּראָקורמענט – טראָגט איצט איבערחזרנדיקע, קאָנטראָלירבארע פליכטן. מאַנועלע איבערגעבונגען אָדער "יעדערמס אַרבעט" פֿאַרשווימען פֿאַראַנטוואָרטלעכקייט. פֿלאַשנעקס און פֿאַרפעלטע בילעטן פֿאַרלענגערן די אויפֿגאַבע, פֿאַרלאַנגזאַמען ענטפֿערס, אָדער פֿאַרשפּרייטן אומזיכערקייט.
איין איינציקע לאנגזאמע איבערגעבונג ריזיקירט איצט א רעגולאציע בריטש אדער א פארלוירענע קונה קאנטראקט. אויטאמאציע איז נישט קיין לוקסוס; עס איז אייער ערשטע פארעם פון ווידערשטאנד.
ווי אַדאַפּטיווע קאָמפּאַניעס רעאַגירן:
- דאָקומענט פאַרוואַלטונג, SBOM, און פּראָבלעם טראַקינג לייזונגען פארבונדן מיט קאַמפּליאַנס דאַשבאָרדז.
- אויטאָמאַטישע אוידיט פּאַקס - סערוויס און פּראָדוקט באַווייַזן, פאַרוואַלטונג האַסקאָמע, און אינצידענט לאָגס געמאכט עקספּאָרט-גרייט.
- גענאַנטע פליכטן, צייט-געשטעמפּלטע אַקציעס, און אויטאָמאַטישע דערמאָנונגען - נישט אפגעזונדערט אָדער פאַרלוירן צו אימעיל.
אונטערשטע שורה:
צייטיקע, נאכפֿאָלגבארע, קאָמפּרעהענסיווע באַווײַזן זענען נישט קיין אידעאַל פֿאַר קאָנפאָרמאַנס - עס איז דער שליסל צו געווינען געשעפֿט, פֿאַרמײַדן קנסות, און באַווײַזן ווידערשטאַנדסקראַפֿט ווען יעדע שעה און אַקציע איז רעקאָרדירט.
זייט NIS 2-גרייט פון טאג איינס
לאָנטש מיט אַ באַוויזן וואָרקספּייס און טעמפּלאַטן – נאָר צופּאַסן, צוטיילן, און גיין.
פֿאַרבינדן די פּונקטן: ווי אַזוי צו בויען איין קאָנפאָרמאַנס שלייף פֿאַר פּראָדוקט און סערוויס
סטאַטישע, איין-מאָליקע אוידיטס קענען נישט אויסהאַלטן היינטיקע רעאַליטעט; NIS 2 און CRA נעמען אָן אַ לעבעדיקע קאָמפּליאַנס שלייף-קענסטערדיקע באַווײַזן-אויפהאַלטונג, ראָלע-געמאַפּטע אַקציעס, און אַרויף-צו-דאַטע רעגיסטערס.
דער פאַל פֿאַר לעבעדיקער קאָנפאָרמאַטי:
- קאסטומערס און רעגולאטארן ביידע פארלאנגען א באווייז אויף איין בליק *איצט*, נישט נאר אן אלטע סערטיפיקאט.
- קאנטראקטן פארלאנגען מער און מער "אויפֿהערבאר אין יעדער צייט," מאכנדיג סטאטישע דאקומענטאציע א חוב.
- אַלטמאָדישע פּאָליטיקס אָדער צעבראָכענע SBOMs לאַדן איין צו קאָנטראָל, עראָוזיע פון צוטרוי, און לעצטע-מינוט אוידיט קאַטאַסטראָפעס.
עס איז נישט מער גענוג צו דורכגיין דעם אוידיט - איר מוזט וואוינען אינעווייניק.
ISO 27001, SOC 2 - באַזעליניע, נישט אַ סופיט
באַהאַנדלט ISO פריימווערקס ווי אייער יסוד. נוצט אַנעקס A קאָנטראָלס, אָבער מאַפּט זיי לעבן צו אייער פּראָדוקט'ס SBOM, סערוויס'ס אינצידענט לאָגס, און צושטעלן קייט אוידיט פּראָיעקטן. מאָדערנע ISMS פּלאַטפאָרמעס פֿאַרבינדן די קאָנטראָל מאַטריץ צו פּראַקטישע קאָנפאָרמאַטי דורך צוטיילן באַווײַזן, פֿאַרבינדן אינצידענטן, און דערהייַנטיקן באַווײַזן ווען די סביבה ענדערט זיך.
ווער איז דער אייגענטומער פון דער שלייף?
די שלייף איז קראָס-טיעם לויטן פּלאַן: פּאָליטיק, פּראָדוקט, IT, אָפּעראַציעס און פירערשאַפט, יעדער לאָגירט, באַזיצט און באַווייַזט זייערע פֿאַראַנטוואָרטלעכקייטן.
פּראָצעס פֿלוס - פֿון געפֿונען וואַלנעראַביליטיז, ביז סאַפּלייער געוואָרנט, פּאַטש טראַקט, SoA דערהייַנטיקט, אָדיט רעקאָרד לאָגד. יעדע אַקציע איז מאַפּט, יעדע איבערגעבונג צייטגעשטעמפּלט, ווער עס יז קען שפּורן די שלייף.
אוידיט און סערטיפיקאציע: באווייז-וועגן און געוויינטלעכע דורכפאל פונקטן
דורכגיין אן אוידיט מיינט יעצט צו פאָרשטעלן איין, גלאַטן דערציילונג - וואָס פֿאַרבינדט יעדן דאָקומענט, אויפֿגאַבע, דערהייַנטיקונג און לעבעדיקן אינצידענט. דאָס איז נישט קיין ביוראָקראַטישע גאָלד-פּלייטינג. דאָס איז דער חילוק צווישן איבערלעבן אַ רעגולאַטאָרישע איבערבליק און זיין געכאפט אין אַ קעגנזייַטיקער באַווייַז-פֿאַל.
אוידיטס פאלן צוזאם ווען אייערע באווייזן זענען אפגעריסן - מאנועלע לאגס, פארעלטערטע SBOMs, יתומים פון טיקעטן. פאראייניגנדיקע באווייזן עלימינירן דורכפעלער אין די נעט.
באַווײַז רעקווייערמענץ - ברידזשינג פּראָדוקט און סערוויס
| **ערוואַרטונג** | **אָפּעראַציאָנאַליזאַציע** | **ISO 27001 / אַנעקס א רעפערענץ** |
|---|---|---|
| סערוויס קאנטינעויטעט | BCPs, טעסטעד רעקאָווערי און קאָמוניקאַציע לאָגס | א.5.29, א.5.30 |
| צושטעלן קייט דורכזעיקייַט | SBOMs, דערהייַנטיקונג און פאַרקויפער לאָגס | א.8.8, א.8.9, א.5.19 |
| וואַלנעראַביליטי פאַרוואַלטונג | פּאַטשן, מאָניטאָרן און דערהייַנטיקן רעקאָרדס | א.8.8, א.8.32 |
| אינצידענט ענטפער/רעפּאָרטינג | נאָטיפיקאַטיאָנס, אינצידענט לאָגס, אוידיטס | A.5.25, A.5.26, A.8.15, A.8.16 |
| אַקסעס קאָנטראָל | SoA, לאָגס, באַניצער קרעדענצן, באריכטן | A.5.15, A.8.3, A.8.5, A.8.18 |
אוידיט פאניק פארשווינדט ווען יעדער באווייז-וועג איז אַקטועל, מאַפּט, און ראָלע-אָונד פון סוף ביז סוף.
פּיטפאָלז צו ויסמיידן:
- זיך פֿאַרלאָזן אויף מאַנועלע, סטאַטישע, אָדער באַזיצער-לאָזע באַווייַז דאָקומענטן.
- ערלויבן פּאָליטיק אָדער קאָנטראָל דריפט צווישן פּראָדוקט און סערוויס טימז.
- נישט צו צופּאַסן ISO/אוידיט/רעגולאציע צו דער זעלבער, אַקטועלער פּלאַטפאָרמע אָדער באַווײַז-מקור.
טאַבעלע: [טריגער] → [ריזיקע דערהייַנטיקונג] → [קאָנטראָל/SoA לינק] → [באַווייַז רעגיסטרירט]. פֿאַרבינדט יעדע וואַלנעראַביליטי, אינצידענט, אָדער פּאָליטיק ענדערונג גלייך צום באַווייַז וועג וואָס איז נויטיק פֿאַר אַן אוידיט.
אַלע אייערע NIS 2, אַלץ אין איין אָרט
פֿון אַרטיקלען 20–23 ביז אוידיט פּלענער – דורכפֿירן און באַווײַזן קאָנפֿאָרמאַנס, פֿון ענד צו ענד.
טרעיסאַביליטי ווי אַ צוטרוי הייבער: ווי צו פאַרבינדן אינצידענטן, באַווייַזן און פּאָליטיק
רעגולאַטאָרן, פּראָקורמענט פירער, און אָדיטאָרס טראַסטן מער נישט די קליימז - זיי ווילן זען אומגעבראָכן באַווײַז קייטןטרעיסאַביליטי - יעדער שריט פון געשעעניש ביז באווייז - איז אייער צוטרוי-הייבער.
א לעבעדיגע שפּור פֿון אינצידענט דעטעקשאַן, דורך SBOM און ריזיקאָ דערהייַנטיקונג, ביזן אוידיט שפּור איז אַ צוטרוי סיגנאַל שטאַרקער ווי יעדע בראַנדינג טענה.
ווי אזוי צו בויען טרעיסאַביליטי:
- צוטיילן אקציעס און באווייזן צו עכטע נעמען; פירן צייט און קאנטעקסט לאגס.
- ניצן אויטאמאציע און ראלע-מאפּינג צו פארמאכן גאַפּס אין אינצידענט, דערהייַנטיקונג און פּאָליטיק ציקלען (איזמס.אָנליין).
- גיט יעדן, פון אפעראציעס פירער ביז אוידיטאר, א קענטיקע רעלס פון יעדן קאמפלייענס אקציע-אינצידענט וואס ווערט אריינגעגעבן אין SBOM דערהייַנטיקונגען, וואס וועט ברענגען פרישע ריזיקע איינטראגעס און פאליסי איבערבליקן.
טרעיסאַביליטי טאַבעלע:
| **טריגער** | **ריזיקע דערהייַנטיקונג** | **קאָנטראָל / SoA לינק** | **באווייזן רעגיסטרירט** |
|---|---|---|---|
| נייע ווייכווארג שאָדן | סאַפּלייער ריזיקאָ איבערבליק | א.8.8, א.8.9 | SBOM פּאַטש, קאָמוניקאַציע לאָג |
| אומגעוויינטלעכער צוטריט פּרוּוו | קרעדענשאַלז איבערגעקוקט | א.5.15, א.8.5, א.8.18 | אויטאָריזאַציע לאָגס, ראָלע דערהייַנטיקונגען, אָפּרופונגען |
| סערוויס דורכפאַל (DDoS) | BCP לויף און קאָמוניקאַציע טעסטעד | א.5.29, א.5.30, א.8.15 | אינצידענט לאָג, BCP באַריכט, לעקציעס לאָג |
| פּאָליטיק טוישן | גאַפּ פֿאַרמאַכט; SoA דערהייַנטיקט | SoA, A.5.36 | ווערסיע לאָג, קאָמוניקאַציעס, SoA רעקאָרד |
סקרעענשאָט אָדער סכעמאַטיש-לייוו קאַמפּליאַנס דאַשבאָרד ווייַזונג טיימליינז, מאַפּטעד האַנדאָפס, און "קאָנטראָלירן גרייטקייַט"פּונקטן גענומען פֿון רעאַל-צייט באַווייַזן סינגקראַנאַזיישאַן.
אָנהייבן טראַסטיד – זען דיין מאַפּע אין ISMS.online
כוונה וועט נישט דורכגיין דעם נעקסטן אוידיט-קאַרטירט, לעבעדיקע באַווייַזן וועלן. ISMS.online מאכט דאָס מעגלעך דורך פאַראייניקן אייער פּראָדוקט, סערוויס און קאָנפאָרמאַנס סביבות.
- לעבעדיגע דאַשבאָרדז: וויזואַליזירן רעאַל-צייט ויסשטעלונג אַריבער NIS 2, CRA, סאַפּליי טשיין, אָפֿן-קוואַל, און פּאָליטיק אַדכיראַנס. יעדער גאַפּ איז געצייכנט.
- פאראייניגטע רעקארדס: פּאָליטיקס, SBOMs, אינצידענטן, סאַפּלייער דאַטן, און אוידיט לאָגס - אַלץ צענטראַל, צוגעפּאַסט צו פאַראַנטוואָרטלעכע יחידים, עקספּאָרט-גרייט אויף פאָדערונג (isms.online).
- אַדאַפּטיוו לויט דיזיין: טעמפּלאַטן און פלאָוז פלעקסירן זיך מיט נייע רעגולאַציעס און קאָנטראַקטן; לעבעדיגע באַווייזן דערהייַנטיקונגען און "אָדיט פּאַקס" זענען קיינמאָל נישט אַלטמאָדיש.
- פארקויף און איינקויף גרייט: גלייכע ענטפֿערס צו פֿראַגעבאָגן, דריט-פּאַרטיי דיו דילידזשענס, און רעגולאַטאָר ריקוועסץ - אָן קאַנפאָרמאַטי סקראַמבלינג אָדער פאַרהאַלטונג.
- אמתע מאַנשאַפֿט באַשטאַרקונג: פֿון דעם אָפּערס פֿירער וואָס פֿאַרמאַכט אַ ריס אין שעה, נישט וואָכן, ביזן CISO וואָס גיט אַ קורצע אינסטרוקציע צום דירעקטאָרן-ראַט, ביזן IT פּראַקטישנער וואָס באַקומט דערקענונג, ISMS.online פֿאַרוואַנדלט קאָנפֿאָרמאַנס פֿון אַ ווייטיק-פונקט אין אַ באַווײַז פֿון ווידערשטאַנד.
מאָדערנע ווידערשטאַנד איז געבויט אויף זעבארקייט און באַווייזן, נישט אויף האָפענונג. ISMS.online גאַראַנטירט אַז איר אַרבעט פֿון אַ אָרט פֿון קרעדיביליטי, נישט פֿון נאָככאַפּן.
גרויסע פירערשאפט זעט די קורווע. ווארט נישט אויף דער נעקסטער רעגולאַטאָרישער שפּיראַל אָדער באַשאַפונג דעדליין צו צווינגען קלעריטי. מאַפּירט אייערע ריזיקעס, אויטאָמאַטיזירט אייערע באַווייזן, און פאָדערט דעם צוטרוי-פאָרטייל מיט ISMS.online - וואו יעדע אַקציע איז קאָנטראָלירבאר און יעדער קאָנטראָל איז אַ נייער געווינס פֿאַר אייער מאַנשאַפֿט.
אָפֿט געשטעלטע פֿראגן
ווער באַשטימט די ליניע צווישן פּראָדוקט זיכערהייט און סערוויס ווידערשטאַנדסקראַפט אין אייראָפּע, און פאַרוואָס איז דאָס צעשפּאַלטן קריטיש דרינגלעך?
די צעטיילונג צווישן פּראָדוקט זיכערהייט און סערוויס ווידערשטאַנד אין אייראָפּע ווערט געפירט דורך צוויי הויפּט שטיקער געזעץ: די NIS 2 דירעקטיוו און די סייבער ריזיליענס אקט (CRA). NIS 2 פאקוסירט אויף טרייבן קאנטינעווירלעכע אפעראציאנעלע ריזיליענס פאר דיגיטאלע סערוויסעס (טראכט וועגן אפטיים, אינצידענט רעקאָווערי, און סופּליי טשיין וויגיילאַנס), בשעת די CRA שטעלט פארלאנגען אויף די אינהערענטע זיכערהייט - און נאך-פארקויף לעבנס-ציקל - פון יעדן דיגיטאלן פראדוקט פארקויפט אדער אפערירט אין דער אי.יו. די צוטיילונג איז וויכטיג יעצט ווייל הויך-פראפיל אטאקעס (SolarWinds, Log4j, Kaseya) האבן אויפגעדעקט ווי אלטמאדישע גרענעצן האבן איבערגעלאזט ביזנעסער אויסגעשטעלט אויף ביידע פראנטן (IAPP, 2023).
אויב איר באַזיצט אַ וואָלקן סערוויס, SaaS, דעווייס פאַבריקאַנט, אָדער קיין אָרגאַניזאַציע וואָס פֿאַרבינדט סערוויסעס און פּראָדוקטן, זענט איר מסתּמא פֿאַראַנטוואָרטלעך פֿאַר פֿאַרפֿליכטונגען אונטער ביידע געזעצן. מיט NIS 2 קאָנפאָרמאַטי פארלאנגט ביז אָקטאָבער 2024 און די CRA'ס פאַזירטע דורכפֿירונג אָנהייבנדיק 2025, ערוואַרטעט דער מאַרק איצט באַווייַז פֿון ווידערשטאַנד און איינגעבויטע זיכערהייט - נישט נאָר טשעקבאָקס סערטיפֿיקאַטן.
| געסעצ - געבונג | ווער איז אין דער געגנט? | ערשטער שליסל דעדליין | האַרץ פאָקוס |
|---|---|---|---|
| NIS 2 דירעקטיוו | קריטישע/וויכטיגע דיגיטאַלע סערוויסעס | אקטאבער 2024 (אי.יו.) | סערוויס ווידערשטאנד, קאנטינעואיטעט, צושטעל קייט מאַפּינג |
| סייבער ריזיליאַנס אקט | פּראָדוצירער/אימפּאָרטירער פֿון דיגיטאַלע פּראָדוקטן | 2025–2027 (געפאַזט) | זיכערהייט דורך דיזיין, SBOMs, פּאָסט-מאַרק פּאַטשאַביליטי |
ווען רעגולאַטאָרן ציען אַ שאַרפערע ליניע, וועט אייער אוידיט איר נאָכפאָלגן. נאָר אָרגאַניזאַציעס מיט פאַראייניקטע באַווייַזן און קלאָרע אַקאַונטאַביליטי זענען פּאַסיק פֿאַר דעם נייעם רעזשים.
וואו איבערדעקן זיך NIS 2 און CRA פארפליכטונגען - און פארוואס איז די "גרענעץ" אזוי פארשוואומען אין פראקטיק?
אויף פּאַפּיר, NIS 2 איז וועגן ווי איר האַלט די סערוויסעס אין גאַנג (דורך טעסטעד אינצידענט ענטפער, באַקאַפּ, און קאָנטינויִטעט), בשעת די CRA איז וועגן מאַכן זיכער אַז יעדער דיגיטאַל פּראָדוקט - ווייכווארג, מיטל, SaaS ענדפּוינט - קומט "זיכער דורך פּלאַן," דערהייַנטיקט און פּאַטשאַבאַל איבער זיין לעבן-ציקל (EU קאָונסיל, 2022). אין טעגלעך געשעפט, די ליניעס פאַרשווינדן שנעל: רובֿ SaaS, IoT, טעק-ענייבאַלד פּלאַטפאָרמעס און געראטן באַדינונגען ביידע צושטעלן אַ דינסט און שיקן אַ פּראָדוקט, און כּמעט אַלע נוצן ווייכווארג צושטעל קייטן וואָס פאַרפּלעכטן פּראָדוקט און דינסט אַבלאַגיישאַנז.
דאָ איז ווי דאָס איבערלאַפּ שפּילט זיך אויס:
- NIS 2: פארלאנגט סערוויס-לעוועל ווידערשטאנד (לאגינג, בעקאַפּס, ראָלע אַסיינמאַנץ, קאָנטינעואַטי פּלענער, סאַפּליי טשיין טשעקס).
- CRA: פארלאנגט SBOMs (סאפטווער ביל אף מאטעריאלס), דעפינירטע וואַלנעראַביליטי מענעדזשמענט, פּאַטש קאַמיטמאַנץ - אפילו נאָך אַ פּראָדוקט ווערט געשיקט.
וואו דער "טאָפּלטער טריגער" איז אָנווענדלעך
| וואָס איר דעפּלאָיירט | NIS 2 גילט | קראַ אַפּלייז | פאַקטישע ריזיקע |
|---|---|---|---|
| סאַאַס פּלאַטפאָרמע | יאָ | יא * | ביידע מוזן צושטעלן SBOMs און אינצידענט באווייזן |
| IoT דעווייס פירמווער | Possibly | יאָ | זיכערהייט חסרונות שלאָגן ביידע רעזשים אויב נישט פארראכטן |
| אָפֿן-קוואַל קאָמפּאָנענט | יאָ | יאָ | נישט-געפּאַטשט CVE קען ברעכן פליכטן אויף ביידע זייטן |
*CRA דעקט ווייכווארג "געשטעלט אויפן מארקעט" - פאר SaaS, דאס קען מיינען האסטינג אין דער אי.יו., נישט נאר דעווייס קאוד.
די מעסעדזש פֿון בריסל: אויב אַ שוואַכקייט אָדער אינצידענט רירט אָן אייַער סיסטעם, וועט איר דאַרפֿן באַווײַזן, באַלד, אַז איר זענט אין לויט מיט ביידע געזעצן.
וואָס ספּעציפֿישע "דאָפּלטע געפֿאַר" און ריזיקאָ-הייסע פּונקטן ווערן באַשאַפֿן פֿאַר אָרגאַניזאַציעס וואָס ווערן באַדעקט דורך ביידע?
אָרגאַניזאַציעס וואָס זיצן אין דער אָוווערלאַפּ זאָנע – וואָס אָפּערירן רעגולירטע באַדינונגען מיט זעלבסט-געבויטע אָדער דריט-פּאַרטיי דיגיטאַלע פּראָדוקטן – שטייען פֿאַר "דאָפּלטער געפאַר" ווייל העסקעם קען ווערן געבראָכן אין ביידע געביטן.
קריטישע הייסע פלעקן:
- SBOM און צושטעל קייט: ביידע געזעצן פארלאנגען א גרונטלעכע מאַפּירונג פון יעדן מאָדול, פארקויפער, און אָפֿן-קוואַל אָפּהענגיקייט. פּאַטש און לעבן-ציקל פֿאַרפליכטונגען זענען איצט לעגאַל, נישט אָפּציאָנעל (אַנקאָר, 2023).
- באַווייז אייגנטומערשאַפט: טימז צעטיילט זיך אָפט (פּראָדוקט קעגן אָפּעראַציעס), אַזוי קענען אינצידענט לאָגס, וואַלנעראַביליטי רעספּאָנס, און דערהייַנטיקונג טריילס פאַרלוירן גיין צווישן סיילאָס, וואָס פירט צו אָדיט דורכפאַלן אָדער פאַרהאַלטן אינצידענט רעספּאָנס.
- מעלדן צעמישעניש: NIS 2 ספעציפיצירט 24- און 72-שעה פֿענצטער פֿאַר אינצידענט וואָרענונגען, בשעת די CRA קען צווינגען כּמעט-סאָפֿאָרטיק וואַלנעראַביליטי נאָטיפיקאַציע - אָפֿט צו באַזונדערע אויטאָריטעטן. מיסמאַטשיז דאָ פֿאַרמערן דעם ריזיקאָ פֿון פֿאַרפֿעלן אַ לעגאַלן טערמין אָדער דופּליקירן טייַערע אוידיט אַרבעט (דריטע כוואַליע אידענטיטעט, 2023).
| קאָנפאָרמאַנס נומער | קראַ אייגנטימער | NIS 2 אייגענטומער | קאנסעקווענץ אויב פארפעלט |
|---|---|---|---|
| מנהג קאָד | יאָ | יאָ | ביידע רעזשים קענען קנסות האבן |
| פארקויפער מאָדול | יאָ | יאָ | צושטעלן קייט שטראָפֿן |
| אָפֿן-קוואַל ביבליאָטעק | יאָ | יאָ | פּאַטש/טרייס דורכפאַל טריגערס |
יעדע נישט-געפּאַטשטע אָפּהענגיקייט איז אַ רעגולאַטאָרישער ריזיקע. ווער איז דער אייגענטומער פֿון דעם? איז איצט אַ פֿראַגע פֿאַר אוידיט און אויספֿאָרשונג - פֿאַרלענגערונג קאָסט רעפּוטאַציע און בודזשעט.
ווי טוען באריכטן און באווייז-רעגולאציעס, און דער גאנג פון רעגולאציע, טראנספארמירן דיגיטאַלע אפעראציעס?
קאָנפאָרמאַטי איז געגאַנגען פֿון זײַן אַ פּעריִאָדישע "פּאַפּיר יאָג" צו אַ טעגלעכן, קאָנטינויִערלעכן ציקל.
די אפעראציאנעלע רעאליטעט:
- אלע רעלעוואַנטע טעטיקייטן (פּראָדוקט אויסגאַבעס, נייע דעפּענדענסיעס, פּאַטשאַז, אויספאַלן, אדער אינצידענטן) מוזן ווערן רעקאָרדירט מיט קענטיק אייגנטומערשאַפט, צייטשטעמפלען, און גלייך צוגעבונדן צו אַ פּאָליטיק אדער קאָנטראָל.
- באווייזן קענען נישט "אויסגעטראַכט ווערן ביים אויספאָרשן" - זיי מוזן לעבן אין דער פּלאַטפאָרמע, גרייט פֿאַר איבערבליק איבערן יאָר.
- רעגולאַטאָרן און גרויסע קויפער קענען - און וועלן - בעטן SBOMs, אינצידענט לאָגס, און באַווייַז פון קאָנטראָלירן טריילז אויף פארלאנג, נישט נאר ביי באשטימטע איבערבליק פונקטן (אינפאָסעקוריטי מאַגאַזין, 2024).
רעגולאַטאָרישע קנסות פֿאַר נישט באַווײַזן גרייטקייט קענען דערגרייכן €15 מיליאָן אָדער 2.5% פון גלאָבאַלן פאַרקויף אונטער די CRA - מאָדערנע קאַמפּליאַנס איז איצט אַ דירעקט געשעפט ריזיקירן.
באַריכט קאַדענס טאַבעלע
| פראַמעוואָרק | ערשט אָנזאָג | גאַנץ באריכט | אָנגאָינג דערהייַנטיקונגען | פארלאנגט זאָגן |
|---|---|---|---|---|
| 2 שקל | קסנומקס שעה | קסנומקס שעה | ווי די אינצידענטן אַנטוויקלען זיך | אינצידענט לאָגס, BCP טעסץ |
| Cra | פּינטלעך | אָנגאָינג | לעבנסציקל פון שוואַכקייט | SBOMs, פּאַטש לאָגס |
אוידיט הצלחה איז איצט וועגן קאנטינעווערלעכע גרייטקייט, נישט לעצטע-מינוט כאַפּערייען.
וואָס איז דער מערסט ווידערשטאַנדספֿעיִקער צוגאַנג צו פאַרוואַלטן ביידע NIS 2 און CRA פֿאַרפֿליכטונגען - אָן דערטרינקען זיך אין דופּליקאַט אַרבעט?
בויען עכטע ווידערשטאנדסקראפט מיינט זיך צו פארפליכטן צו "לעבעדיקע" קאמפלייענס - וואו אלע אייערע אוידיט לאגס, SBOMs, ראלע/אייגנטימער אסיינמענטס, און אינצידענט רעגיסטערס בלייבן סינקראניזירט, צוטריטלעך, און געמאפט אונטער איין פענצטער גלאז. אזוי טוט מען עס:
- פאראייניגטע פירערשאפט: באַשטימען קלאָרע "באַזיצער" (און דעפּוטאַטן) פֿאַר יעדן קאָנפאָרמאַנס אַסעט (SBOM, פּאָליטיק, קאָנטראַקט, קאָנטינעואַטי טעסט), מיט אויטאָמאַטישע דערמאָנונגען און עסאַקאַלאַציע אויב איבערבליק אָדער באַווייַזן פאַלן אויס.
- צענטראליזירטע באווייזן: ניצט אַ דיגיטאַלע ISMS (ווי ISMS.online) צו האַלטן יעדן קאָנטראָל, אַסעט, געשעעניש און אוידיט שריט דערהייַנטיקט אין פאַקטישער צייט - סיי אין סערוויס און סיי אין פּראָדוקט אָפּעראַציעס (ISO, 2024).
- קראָס-פאַנגקשאַנאַל וואָרקפלאָוז: מאַכט זיכער אַז אינזשעניריע, אָפּעראַציעס, קאָנפאָרמאַנס, און די סאַפּליי קייט אַרבעטן אין אַ געטיילט סיסטעם - אַזוי אַז אינצידענט, פּאָליטיק, און SBOM דאַטן זענען קיינמאָל נישט אפגעזונדערט.
- אויטאָמאַטישע מאַפּינג: פֿאַר יעדער ענדערונג, דיפּלוימאַנט, אָדער אינצידענט, אויטאָמאַטיזירן דעם לינק צו דער פּאָליטיק/קאָנטראָל (למשל, יסאָ קסנומקס אַנעקס א אדער רעפערענץ פון אַפּליקאַביליטי) און לאָג עס ווי באַווייַז.
| קאָמפּליאַנס טריגער | באַווײַזן קאַפּטשערד | פֿאַרבונדענע פּאָליטיק/קלאָז |
|---|---|---|
| Log4j עקספּלויט געפֿונען | SBOM פּאַטש, קאָמוניקאַציע, SoA | A.8.8 / ISO 27001 |
| SaaS אויספאַל | אינצידענט פיד, BCP טעסט רעקארד | A.5.29 / קאָנטינויִטעט |
| פארקויפער איז ערזעצט געוואָרן | סאַפּלייער קאָנטראַקט, SBOM דערהייַנטיקונג | א.5.20, א.8.9 |
א "קאַמפּליאַנס-אַלס-אַ-סיסטעם" מיינדסעט - וואו יעדער ריזיקע, באַזיצער, און דערהייַנטיקונג ווערט קאַנטיניואַסלי טראַקט - שאַפט די געוואוינהייט פון ווידערשטאַנד און עלימינירט אוידיט פּאַניק.
וואָס מוז מען ווײַזן אוידיטאָרן און ווי קענען טעותים נאָך אַלץ שטערן אפילו צוגעגרייטע אָרגאַניזאַציעס?
וואָס רעספּעקטאָרן דאַרפֿן זען:
- אן אַקטועל־אַפּדעיטעד סטעיטמענט פון אַפּליקאַביליטי, וואָס מאַפּט יעדן קאָנטראָל צו לעבעדיקע באַווייַזן און אָונערשיפּ.
- רעאַל-צייט SBOMs, אינצידענט לאָגס, פּאַטש טריילס-דעמאַנסטרייטינג קעסיידערדיק מאָניטאָרינג, ראָלע צוטיילונג, און רעגולאַטאָרישע באַריכטן נאָכקומען.
- CE מאַרקס און דעקלאַראַציעס פֿאַר דיגיטאַלע פּראָדוקטן, פֿאַרבונדן מיט פאַקטישע באַווײַזן (נישט בלויז אויף פּאַפּיר).
טעותים וואָס שטערן אוידיטס אָדער ברענגען קנסות:
- אפגעזונדערטע באווייזן: פּראָדוקט און סערוויס טימז טיילן זיך נישט מיט א פּלאַטפאָרמע אדער ראָלעס.
- אומבאַקאַנטע אייגנטימער: קאָנטראָלן און באַווייזן אָן קענטיקע פֿאַראַנטוואָרטלעכקייט.
- אויסגעטראַכטע אָדער אַלטע רעקאָרדס: לעכער אָדער באַווײַזן אויפגעבויט "אויף דער גאַנג" אונטער אוידיט דרוק.
- נישט-סינקראניזירטע SBOMs: פּראָדוקט מעלדונגען ווערן נישט רעפלעקטירט אין אינווענטאַרן, לאָזנדיק באַווייַז פון פּאַטשינג אָדער ימפּאַקט אַנאַליז פעלנדיק (אי.יו. קאָונסיל, 2023).
אָרגאַניזאַציעס מיט קאַרטירטע, אייגנטום-געבונדענע און קאָנטינויִערלעך אויפגעהיטענע באַווײַזן שרעקן זיך מער נישט פֿאַר אויספֿאָרשונגען - זיי געווינען רעגולאַטאָרישע און קויפֿער-צוטרוי אין דעם פּראָצעס.
פארוואס איז טרעיסאַביליטי די נייע דיגיטאַלע צוטרוי קראַנטקייַט - און ווי בויט מען עס?
טרעיסאַביליטי - די קאַפּאַציטעט צו באַלד באַווייַזן "ווער האָט געטאָן וואָס, ווען, און אונטער וועלכער קאָנטראָל" - איז איצט די ערוואַרטונג ניט נאָר פֿון רעגולאַטאָרן, נאָר אויך פֿון פֿירמע קויפֿער, פֿאַרזיכערונג געזעלשאַפֿטן, און דירעקטאָרן-ראַטן (ENISA, 2024).
א גאָר שפּורבאַרע באַווייַז קייט פאַרגרעסערט די שנעלקייט צו קאָנטראַקטן, ערמעגליכט שנעלערע אינצידענט רעאַקציעס, און ראַדוסירט פונדאַמענטאַל די צייט פארבראכט אויף "געפינען באַווייַז" פֿאַר אָדאַץ און רינואַלז.
| געשעעניש | באַווייז־וועג | קאָנטראָל רעף. | באַזיצער |
|---|---|---|---|
| OSS וואַלנעראַביליטי | SBOM → פּאַטש לאָג | א.8.8, א.8.9 | ינזשעניעריע |
| סערוויס אויספאַל | אינצידענט → BCP טעסט | א.5.29, א.5.30 | אָפּעראַטאָרן / סי-אי-עס-אָ |
אויטאמאטיזירן טרעיסאַביליטי פאַרהיט נישט נאָר אוידיט דראַמע - עס הייבט סיסטעמאַטיש אייער אָרגאַניזאַציע ווי אַ טראַסטיד דיגיטאַל סאַפּלייער.
וואָס ווייטערדיקע טריט קענט איר נעמען צו אָרגאַניזירן און פאַרגיכערן ווידערשטאַנד און קאָנפאָרמאַנס - און ווי העלפֿט ISMS.online?
- מאַפּע דיין עקספּאָוזשער: ניצט ISMS.online צו אינווענטאַריזירן וועלכע סערוויסעס, פּראָדוקטן און סאַפּלייערז אַקטיווירן וועלכע געזעצן און וואו איבערדעקן די פאָדערונגען פֿאַראייניקטע קאָנטראָלן.
- אויטאמאטיזירן באווייז פלוסן: צענטראַליזירן SBOM פאַרוואַלטונג, אינצידענט לאָגינג, קאָנטראָל מאַפּינג, און פאַרקויפער קאַמפּליאַנס - אַזוי יעדער באַווייַז איז איין קליק אַוועק.
- צופּאַסן יעדן אינטערעסירטן: פאַראייניקן אינזשעניריע, קאָנפאָרמאַנס, אָפּעראַציעס, און סאַפּליי טשיין פונקציעס צו פירן פאַראייניקטע, קראָס-פראַמעווערק גרייטקייט אַנשטאָט צעוואָרפענע פּראָיעקט אַרבעט.
- דרייט זיך ווי געזעצן און קויפער עוואַלוירן: ווי נייע פריימווערקס קומען אן (AI אקט, צוקונפטיגע NIS/CRA דערהייַנטיקונגען), ISMS.online'ס עוואָלווינג טעמפּלאַטן און מאַפּינג פלאָוז לאָזן אייער אָרגאַניזאַציע בלייבן פלינק.
אינוועסטירט אין טרעיסאַביליטי און לעבן באַווייז-געפֿירט מיט בטחון, גרייט צו געווינען ניט נאָר אייער ווייַטער אָדיט, אָבער אויך יעדן אָפּמאַך און רינואַל אין אייער סעקטאָר.
גרייט צו צוקונפט-זיכערן קאמפלייענס און צוטרוי? אויספארשט אייער צוגעפאסטע ISMS.online מאַפּינג און לעבעדיגע באווייז וואָרקפלאָו, אדער פארבינדט זיך פאר אונדזער קראָס-פרעמווערק גרייטקייט טולקיט - אזוי אז אייער קומענדיגע אוידיט ווערט א מארקעט מייַלע, נישט א מינענפעלד.
