Najčešće greške koje organizacije rade pri pripremi za NIS2
Kada organizacije počnu razmišljati o NIS2 direktivi, prvi korak je često pokušaj razumijevanja samog pravnog teksta. Timovi otvaraju dokument, čitaju članke i pokušavaju protumačiti što točno svaka odredba znači za njihovu organizaciju. Takav pristup rijetko donosi jasnoću jer NIS2 prije svega nije pravni projekt. Ona predstavlja okvir upravljanja rizikom i sigurnošću koji organizacije potiče na razumijevanje vlastite izloženost, izgradnju otpornost sustava i uključivanje vodstva tvrtke u donošenju sigurnosnih odluka. U praksi organizacije rijetko imaju problem samo zato što ignoriraju NIS2. Problem nastaje zato što joj pristupaju na način koji ne odražava stvarnu svrhu direktive.
Postoji nekoliko obrazaca koji se redovito pojavljuju kada organizacije započnu pripreme:
1. Pretvaranje NIS2 u dokumentacijski projekt
Jedna od najčešćih grešaka je tretiranje NIS2 kao projekt stvaranja dokumentacije. Napišu se politike, dodijele se odgovornosti i napravi se dokument procjene rizika. Nakon toga se pretpostavlja da je zahtjev ispunjen jer dokumentacija postoji. Direktiva ipak očekuje nešto drugo. NIS2 stavlja naglasak na operativnu sigurnost i kontinuirano upravljanje rizikom. Sustavi se mijenjaju, infrastruktura se nadograđuje, dobavljači se mijenjaju, a napadači stalno prilagođavaju svoje metode. Dokument napisan jednom ne može odražavati okruženje koje se stalno mijenja. Regulatorna tijela neće gledati samo postoji li politika. Tražit će dokaz da su sigurnosne mjere stvarno implementirane i da funkcioniraju u praksi.
2. Ostajanje na razini općih dokumenata
Drugi čest problem je zadržavanje na apstraktnoj razini. Organizacije često imaju strateške dokumente koji izgledaju dobro na papiru, ali su slabo povezani s tehničkom stvarnošću. Plan odgovora na incident postoji, ali nikada nije testiran. Plan kontinuiteta poslovanja je formalno odobren, ali oporavak sustava nikada nije simuliran. Politika sigurnosti dobavljača postoji, ali dobavljače se u praksi ne procjenjuje. NIS2 jasno naglašava implementaciju. Kontrole moraju postojati u operativnom radu, a ne samo u dokumentaciji. Organizacije koje ostanu na razini politike često tek kasnije shvate koliko je teško dokazati da te politike stvarno funkcioniraju.
3. Pokušaj tumačenja svake pravne odredbe
Neke organizacije provode tjedne pokušavajući detaljno protumačiti svaku odredbu direktive. Takav pristup često stvara više konfuzije nego koristi. NIS2 definira ciljeve i odgovornosti, ali ne propisuje točne tehničke konfiguracije niti daje detaljan vodič za implementaciju. Mnogo je korisnije krenuti od operativne slike vlastitog sustava. Organizacija mora znati koja imovina postoji, koje su usluge kritične, kako su sustavi povezani i koji dobavljači imaju pristup infrastrukturi. Bez te osnovne slike svaka rasprava o NIS2 usklađenosti ostaje teorijska.
4. Nejasnoća oko početne točke
Jedno od najčešćih pitanja koje organizacije postavljaju je jednostavno: odakle početi. Odgovor gotovo nikada nije alat ili politika. Početna točka je vidljivost. Nemoguće je upravljati rizikom u sustavima koji nisu identificirani. Nemoguće je upravljati sigurnošću dobavljača koji nisu klasificirani. Nemoguće je prijaviti incident koji se ne može detektirati. Pouzdan inventar imovine, razumijevanje mrežne strukture i identifikacija ključnih usluga stvaraju temelj za sve daljnje sigurnosne aktivnosti.
5. Podcjenjivanje odgovornosti uprave
Jedna od najvažnijih promjena koje NIS2 donosi je odgovornost uprave. Kibernetička sigurnost više nije isključivo tehnička funkcija. Uprava mora odobravati sigurnosne mjere, nadzirati njihovu implementaciju i razumjeti razinu izloženosti organizacije. To znači da se sigurnost mora komunicirati na poslovnoj razini. Rizik treba biti razumljiv upravi, a ne samo IT timu. Organizacije u kojima je sigurnost potpuno izolirana u tehničkom odjelu teško će zadovoljiti ovaj zahtjev.
6. Zanemarivanje rizika dobavljača
Mnogi veliki sigurnosni incidenti započeli su kompromitacijom dobavljača. NIS2 prepoznaje taj obrazac i zato posebno naglašava sigurnost lanca opskrbe. Organizacije moraju razumjeti ulogu koju dobavljači imaju u njihovim sustavima i procijeniti rizik koji proizlazi iz tih odnosa. To podrazumijeva identifikaciju ključnih dobavljača, razumijevanje njihovog pristupa sustavima i definiranje sigurnosnih zahtjeva koje moraju ispuniti. Ako se taj dio zanemari, organizacija može ostati izložena i uz snažne interne kontrole.
7. Obveze prijave incidenata bez mogućnosti detekcije
NIS2 uvodi jasne rokove za prijavu incidenata. Organizacije moraju poslati početno upozorenje unutar 24 sata od detekcije značajnog incidenta te detaljniju prijavu unutar 72 sata. Takvi rokovi pretpostavljaju da organizacija ima funkcionalne mehanizme detekcije. U mnogim sustavima incidenti se otkriju tek nakon nekoliko tjedana. Logovi su nepotpuni, nadzor je fragmentiran, a proces eskalacije nije definiran. Bez operativne detekcije teško je ispuniti zahtjeve direktive. Upravo zato NIS2 potiče organizacije na jačanje nadzora i odgovora na incidente.
8. Gledanje na NIS2 samo kroz prizmu kazni
Kazne predviđene direktivom često se spominju u raspravama o NIS2 a i u ponudama NIS2 savjetodavnih tvrtki. Iako su financijski iznosi značajni, fokusiranje isključivo na kazne često vodi minimalnom pristupu usklađenosti. Šira slika pokazuje da NIS2 može biti prilika za jačanje sigurnosnog upravljanja.
Organizacije koje ozbiljno pristupe upravljanju rizikom obično dobiju bolju vidljivost vlastite infrastrukture, jasniju odgovornost unutar organizacije, učinkovitiji odgovor na incidente i veću otpornost na operativne poremećaje. Direktiva tada postaje alat za razvoj sigurnosne zrelosti. NIS2 ne traži da organizacije znaju pravne članke napamet. Ona traži dokaz da organizacija razumije svoje digitalno okruženje, upravlja rizikom i ima jasnu odgovornost za sigurnost. Regulatorna tijela očekuju vidjeti da organizacije poznaju svoje sustave, prate sigurnosne događaje, procjenjuju rizik dobavljača i uključuju upravu u sigurnosne odluke. Organizacije koje NIS2 tretiraju kao administrativni projekt teško će to dokazati. One koje je shvate kao okvir za upravljanje kibernetičkom sigurnošću bit će dugoročno otpornije, bez obzira na regulatorni pritisak.
Izvori:
Želite jasnu sliku sigurnosnog stanja vaše organizacije u odnosu na NIS2 zahtjeve?