Pradinis Verslas Rėmėjų medžiaga NIS2 auditas: kokius klausimus turėtų kelti Lietuvos įmonės prieš diegdamos sprendimus?

NIS2 auditas: kokius klausimus turėtų kelti Lietuvos įmonės prieš diegdamos sprendimus?

By
vilkmerge.lt
-
0

Nuo 2024 m. spalio 18 d. visoms „esminėms“ ir „svarbioms“ įmonėms Lietuvoje įsigaliojo prievolė laikytis NIS2 direktyvos. Kad pasiruošimas nebūtų tik formalumas, įmonėms būtina pradėti nuo NIS2 audito. Jis padeda suprasti, kokios priemonės jau taikomos, o kur dar yra spragų.

Auditas nėra vien dokumentų peržiūra. Tai procesas, kuris parodo, ar įmonės technologijos, procesai ir žmonės yra pasirengę realiai reaguoti į kibernetines grėsmes.

Atlikus NIS2 auditą, galima aiškiai matyti, kokių veiksmų reikia imtis, kad pasiruošimas būtų efektyvus ir praktiškas.

Kodėl svarbu pradėti nuo audito?

  • Aiškumas. Įmonė pamato, kur yra sistemų pažeidžiamumai ir spragos.
  • Sprendimai įgyvendinami pagal rizikos lygį, o ne atsitiktinai.
  • NIS2 numato reikšmingas baudas – auditas padeda jų išvengti.
  • Investicijos nukreipiamos ten, kur jų poveikis didžiausias.

Kokius klausimus turėtų kelti įmonės?

Nors kiekviena organizacija yra skirtinga, tam tikri klausimai yra universalūs ir dažniausiai keliami NIS2 vertinimo metu.

Incidentų valdymas

  • Ar turime planą, kaip per 24–72 valandas pranešti apie incidentą?
  • Kas atsakingas už incidentų registravimą ir komunikaciją?

Tinklų ir sistemų apsauga

  • Ar tinklai yra segmentuoti (IT ir OT atskirti)?
  • Ar yra naudojamas šifravimas, prieigos kontrolė, daugiafaktorė autentifikacija?

Tiekimo grandinė

  • Ar žinome, kaip mūsų tiekėjai reaguotų į kibernetinius incidentus?
  • Ar sutartyse yra numatyti saugumo punktai?

Vadovybės įsitraukimas

  • Ar valdyba žino, kokia atsakomybė jai tenka pagal NIS2?
  • Ar vadovai gavo mokymus apie kibernetines rizikas?

Darbuotojų pasirengimas

  • Ar darbuotojai žino, kaip elgtis susidūrus su socialinės inžinerijos atakomis?
  • Ar vykdomi reguliariai mokymai ir testai?

Tokie klausimai yra kiekvieno NIS2 vertinimo dalis – jie padeda suprasti, ar įmonė pasirengusi ne tik teoriškai, bet ir praktiškai.

Ką šie klausimai reiškia verslui?

  • Jei nėra atsakymų, spragoms ištaisyti gali prireikti kelių mėnesių.
  • Jei vadovybė neįtraukta, atsakomybė krenta tik IT skyriui, o tai rizikinga.
  • Jei incidentų valdymas yra neaiškus, net ir nedidelis incidentas gali virsti krize.
  • Jei tiekėjai nevertinami, silpniausia grandis gali tapti didžiausia rizika.

Dažniausios klaidos prieš auditą

  1. Įmonės mano, kad užteks turėti ISO 27001 sertifikatą.
  2. Dokumentai egzistuoja, bet niekas jie nėra taikomirealybėje.
  3. Incidentai nesimuliuojami, todėl procesai nepatikrinti.
  4. Vadovai neįtraukti – saugumas tampa tik IT klausimu.
  5. Tiekėjai neaudituojami, todėl rizikos lieka už įmonės ribų.

Kaip NIS2 auditas tampa veiksmų planu?

Tinkamai atliktas auditas baigiasi ne tik ataskaita, bet ir aiškiu veiksmų planu:

  • Esamos įmonės situacijos aprašymu.
  • Prioritetų sąrašu, nuo ko pradėti.
  • Rekomendacijomis dėl dokumentų, procesų ir technologijų.
  • Atsakomybės žemėlapiu, kuris aiškiai parodo, kas už ką atsakingas.

Baltic Amadeus vaidmuo

Baltic Amadeus komanda turi patirties atlikdama NIS2 vertinimus Baltijos šalyse, todėl klausimai yra taikomi prie realios Lietuvos rinkos situacijos.

Tai reiškia, kad įmonės gauna ne tik teorines gaires, bet ir praktinį supratimą, kaip užtikrinti NIS2 atitiktį pagal sektorių, dydį ir rizikos lygį

Dažniausiai užduodami klausimai apie NIS2 auditą

Ar NIS2 auditas yra privalomas visoms įmonėms?
Ne. NIS2 reikalauja, kad esminiai ir svarbūs subjektai įdiegtų kibernetinio rizikos valdymo priemones ir būtų prižiūrimi nacionalinių institucijų (įsk. patikras / auditus). Praktikoje rekomenduojama daryti vidinį auditą / vertinimą prieš priežiūrinius patikrinimus, bet teisės aktai nenumato vieno „privalomo kasmetinio audito“ visiems.

Nuo kada NIS2 taikoma Lietuvoje?  Lietuva NIS2 perkėlė į Kibernetinio saugumo įstatymą (priimtas 2024-07-11, įsigaliojo 2024-10-18). NCSC (NKSC) iki 2025-04-17 įtraukia subjektus į kibernetinio saugumo subjektų registrą ir informuoja juos. Todėl reikalavimai galioja jau dabar.

Kokie yra incidentų pranešimo terminai pagal NIS2?
„Esminio“ incidento ankstyvas įspėjimas – per 24 val., išsamus pranešimas – per 72 val., galutinė ataskaita – per 1 mėn. (gali būti tarpinės ataskaitos, jei incidentas tęsiasi).

NIS2 auditas yra pirmasis žingsnis į realų pasirengimą

Tai ne formalumas, o galimybė pamatyti, kur slypi spragos ir kaip jas ištaisyti.

Norite įvertinti savo pasirengimo lygį? Kreipkitės į Baltic Amadeus – jų patirtis Lietuvoje padeda įmonėms išvengti klaidų ir pasiruošti laiku.

Atsakyti:

Prašome įrašyti komentarą
Prašome įvesti vardą čia