Bu yıl 17 Ekim’de gelen NIS 2, AB’nin şu ana kadarki en katı siber güvenlik Direktifidir. Siber güvenlik olgunluk düzeyiniz, risk yönetimi yetenekleriniz ve kuruluşunuz için neyin “uygun ve orantılı” olduğu, uyumluluk yolculuğunuzu belirleyecektir. Bununla birlikte, Drata Denetim Ortaklığı Müdürü Martin Davies, tüm kuruluşların karşılaşacağı ortak zorlukların bulunduğunu öne sürüyor.
Orijinal NIS Direktifi’nde kimin etkilendiğine ilişkin spesifik bir eksiklik vardı ve AB üye ülkeleri arasında uygulamada tutarlılık yoktu. NIS 2 bu konuları açıklığa kavuşturmakta ve Direktifin uygulanmasını kolaylaştırmaktadır. Aynı zamanda daha açık bir şekilde tanımlanmış yönetişim ve gözetim sağlar; genişletilmiş kapsam; daha sıkı siber güvenlik ve risk yönetimi gereklilikleri; zorunlu raporlama gereklilikleri; daha sıkı uygulama ve cezalar; sınır ötesi bilgi paylaşımı; ve güvenlik açığının açıklanması.
Yürürlüğe girmesinden önceki birkaç ay içinde kafamızda dolaşacak çok şey var. Neyse ki, en yaygın ‘ağır yüklerden’ bazılarını inceleyebilir ve onlara en iyi nasıl yaklaşacağımızı keşfedebiliriz.
NIS 2, teknolojinin ötesine geçen ve İK’dan tedarik ve hukuka kadar tüm işi kapsayan gereksinimleri içerir. İşletmenin BT dışı, güvenlikle ilgili olmayan bölümlerindeki çalışanların siber güvenlik mevzuatından etkilenme deneyimi olmayacak olması muhtemeldir. Bu, liderlerin öne çıkıp süreci kolaylaştırmaya yardımcı olmaları gerektiği anlamına geliyor.
Şirket liderliğinin personelin NIS 2 uyumluluğuna ulaşmasına ve bunu sürdürmesine yardımcı olabileceği üç yol vardır:
1. Sorumlu çalışanları etkinleştirin ve teşvik edin
İnsanlar, bir teşvik olmadığı sürece uyumluluğa odaklanmak için normal işlerini yapmayı bırakmayacaklar. Çoğu çalışanın elinde zaten çok şey var; daha önce uyumluluk projelerinde yer almamışlarsa, NIS 2 büyük olasılıkla görevlerinin bir parçası değil ve dikkat dağıtıcı olarak görülecektir. Bu nedenle, teknik olmayan personelin katılımını sağlamak ve ilk günden itibaren katılımı güvence altına almak için olanak sağlayın ve avantajlar sunun.
2. Geri bildirimleri dinleyin
Uyumluluk sürecinin basit ve sorunsuz olacağını varsaymak kolaydır ancak durum nadiren böyledir. Her kuruluşun kendine özgü bir çalışma şekli vardır ve en iyi uygulama çerçeveleri (örn. ISO 27001) tarafından önerilen yöntem ve politikalar, kuruluşunuzun özel bağlamında uygulanırken dikkatli bir şekilde düşünülmesi gerekebilir.
Çoğu durumda bu zorluk, kontrollerin, politikaların ve süreçlerin kuruluşunuzla orantılı olacak şekilde uyarlanmasıyla çözülebilir. Ancak bu, liderliğin organizasyon çapındaki girdileri aktif olarak aramasını ve dikkate almasını gerektirir. İşbirlikçi bir yaklaşım, yaptırımın son tarihinden önce NIS 2 uyumluluğuna ulaşmanın anahtarıdır; kuruluşunuzun gerçekliğine uymayan katı çözümler uygulamaya çalışmak, başarısızlığın reçetesidir.
3. Risk affını düşünün
İhlal raporlama gereksinimlerine ek olarak, NIS 2’nin risk yönetimi gereksinimleri de en katı gereksinimler arasındadır. Teknik alan dışındaki iş fonksiyonları üzerindeki etkisi göz önüne alındığında, yeni ve beklenmedik risklerin ortaya çıkması muhtemeldir. Ancak yeni riskleri gün ışığına çıkarmak hiçbir zaman en rahat iş değildir; çoğu çalışan, hatalı olmaları durumunda doğal olarak sessiz kalmak ister. Çalışanlar risk affı sunarak misilleme korkusu olmadan riskleri ortaya çıkarabilirler.
NIS 2, kuruluşlardan risk yönetimi önlemlerinin etkinliğini değerlendirmek için risk analizini kullanmalarını ister. Ancak kapsamlı bir risk yönetimi çerçevesinin uygulanması büyük bir görevdir. Kuruluşların çeşitli risk yönetimi politikaları uygulaması, risk sahiplerini belirlemesi, net bir terminoloji oluşturması ve risklerin nasıl tanımlandığı, analiz edildiği ve raporlandığı konusunda tutarlılığı sağlaması gerekecektir.
Bunu başarmak, ISO standartlarında tavsiye edilenler gibi en iyi uygulamaların takip edilmesini gerektirir, ancak aynı zamanda tüm kuruluş genelinden de girdi alınmasını gerektirir. Baş Risk Yetkilileri (CRO’lar) ve risk ekipleri risk ölçümü ve yönetimi konusunda uzmanlaşsa da, işin her alanında neyin risk oluşturduğunu belirleyecek uzmanlığa her zaman sahip olmayabilirler. Gerçek dünyada, riskler en iyi şekilde etkilenen departmandaki personel tarafından tanımlanabilir; bu nedenle risk liderleri, NIS 2 kapsamındaki her riski tespit etmek, anlamak ve değerlendirmek için şirket genelinde etkileşime girmelidir.
NIS 2’nin raporlama gereklilikleri basit görünse de olay raporlarını 24-72 saat içinde sağlamak hiç de kolay değildir: güvenilir ve tutarlı iç süreçlere ve yönetişime ihtiyaç duyar. En azından şunları yapabilmeniz gerekir:
● Olayları derhal tespit edin
● ‘Önemli’ bir olay teşkil edip etmediklerini belirleyin
● Anlamlı bir erken uyarı raporu sağlayın
● Olayı 72 saat içinde ayrıntılı olarak analiz edin
● Ek kontrolleri anlayın, çözün, uygulayın ve 30 gün içinde tam olarak raporlayın
Olay raporlama simülasyonları yapmak, mevcut kurulumunuzdaki boşlukları ortaya çıkarmanın en iyi yoludur.
Tedarik zinciri saldırıları ve kesintileri nedeniyle birçok yüksek profilli ihlalin daha da kötüleştiği bu konu son yıllarda gündemde olan bir konu oldu. Kuruluşunuzun halihazırda resmi bir tedarik zinciri güvenliği işlevi yoksa, NIS 2 uyumluluğunu sağlamak zahmetli ve zaman alıcı olacaktır. Hayatı kolaylaştırmak için ISO 27036 ve Compliance Forge’un Siber Güvenlik Tedarik Zinciri Risk Yönetimi (C-SCRM) çerçevesi gibi saygın tedarik zinciri güvenlik standartlarına bakın.
Bunlar NIS 2 ile ilgili ‘ağır yüklerden’ sadece birkaçıdır ancak uyumluluk yolculuğunda harika bir başlangıç noktası sağlarlar. Şimdi önden liderlik etmenin ve NIS 2 uyumluluğunu gerçeğe dönüştürmenin zamanı geldi.
