Instrument NIS2: ghid de achiziție pentru software de conformitate
De ce instrumente NIS2 aveți nevoie cu adevărat, cât costă, la ce să fiți atenți și ce funcții sunt obligatorii în temeiul directivei.
Un instrument NIS2 este un software care ajută companiile să pună în aplicare Directiva NIS2 a UE (2022/2555) și transpunerea sa națională (în Germania: BSIG / NIS2UmsuCG). Trebuie să acopere cele 10 măsuri de securitate cibernetică din articolul 21 NIS2, precum și raportarea incidentelor și înregistrarea la autoritate.
- NIS2 impune dovezi de audit durabile. Documentele Word nu sunt suficiente.
- BSI verifică timpii de răspuns (24h / 72h / 1 lună), greu de demonstrat manual.
- Răspunderea personală a conducerii în temeiul §38 BSIG: aveți nevoie de dovada că măsurile au fost puse în aplicare.
- Cele 10 măsuri din articolul 21 vizează mai multe departamente. Instrumentele coordonate economisesc timp.
| Tool | Purpose | NIS2 |
|---|---|---|
| Platformă GRC | Guvernanță, risc și conformitate. Reprezintă toate măsurile, riscurile și auditurile. | Obligatorie pentru documentație |
| Gestionarea activelor | Inventarul activelor IT ca bază pentru analiza riscurilor. | Obligatorie (RSK 2.2) |
| SIEM / jurnalizare | Detectarea evenimentelor de securitate, analiză criminalistică. | Puternic recomandat: detectarea incidentelor care trebuie raportate |
| Gestionarea patchurilor | Urmărirea actualizărilor pentru sistemele de operare și aplicații. | Obligatorie (articolul 21(2)(e) NIS2) |
| MFA / IAM | Autentificare multifactor, gestionarea identităților și a accesului. | Obligatorie (articolul 21(2)(j) NIS2) |
| Backup / recuperare în caz de dezastru | Backupul datelor și capacitatea de recuperare. | Obligatorie (articolul 21(2)(c) NIS2) |
| Gestionarea furnizorilor | Evaluarea securității cibernetice a furnizorilor și partenerilor dumneavoastră. | Obligatorie (articolul 21(2)(d) NIS2) |
| Platformă de formare | Formare de conștientizare pentru întreg personalul și conducere (§38 BSIG). | Obligatorie (articolul 21(2)(g) NIS2) |
- Cele 10 măsuri din articolul 21 NIS2 / §30 BSIG
- Cascadă de raportare a incidentelor în trei etape (24h / 72h / 1 lună) în temeiul §32 BSIG
- Date de înregistrare BSI (§33 BSIG) cu control al versiunilor
- Pistă de audit: fiecare modificare cu marcaj temporal și persoană responsabilă
- Aprobarea conducerii prin semnătură conformă cu eIDAS
- Inventarul furnizorilor cu propriul lor stadiu de conformitate
- Suport pentru mai multe țări în cazul activității transfrontaliere în UE
- Dependență de furnizor: exportul complet al datelor trebuie să fie posibil
- « Gratuit pentru totdeauna » ca argument de marketing: adesea o momeală, citiți literele mici
- Toate cele 49 de cerințe BSIG acoperite
- Cascadă de raportare a incidentelor în trei etape integrată
- Pistă de audit care nu poate fi ștearsă
- Protecția răspunderii conducerii: aprobare, formare, dovezi
- Portal pentru furnizori: chestionare cu autoservire
- Platformă gratuită, acompaniere la implementare opțională și cu plată
Cât costă un instrument NIS2?
Instrumentele GRC comerciale (Vanta, Drata, OneTrust) se situează de regulă între 10.000 și 60.000 EUR pe an pentru o companie de dimensiune medie. nisd2.eu este gratuit. Acompanierea noastră la implementare pornește de la 500 EUR pe lună.
Am nevoie de un instrument sau este suficient Excel?
Excel nu este suficient. BSI impune o pistă de audit rezistentă la manipulare. După un incident, trebuie să puteți dovedi cine a modificat ce și când. Fișierele Excel se suprascriu. Un auditor BSI va contesta acest lucru.
Este suficient un singur instrument sau am nevoie de mai multe?
Un instrument GRC acoperă documentația și dovezile. Pentru SIEM, gestionarea patchurilor, MFA și backupuri aveți în continuare nevoie de instrumente tehnice separate. Un instrument NIS2 bun integrează dovezile provenite din aceste sisteme.
Poate o platformă gratuită să fie conformă cu NIS2?
Da. NIS2 nu impune un anumit furnizor. Ceea ce contează este ca cerințele să fie îndeplinite și documentate într-un mod rezistent la audit. Instrumentele open source și gratuite pot face acest lucru la fel de bine ca soluțiile SaaS costisitoare.