Kif ISO/IEC 27001:2022 tħaffef il-konformità ma’ NIS2 għall-SMEs

Id-Direttiva NIS2 waslet, u għal ħafna intrapriżi żgħar u medji tidher bħala mewġa regolatorja kbira. Jekk inti SME f’settur kritiku jew parti minn katina tal-provvista usa’, issa trid tissodisfa livell ogħla ta’ ċibersigurtà. Din il-gwida turi kif tuża l-qafas ISO/IEC 27001:2022, rikonoxxut globalment, biex tissodisfa r-rekwiżiti ta’ NIS2 b’mod effiċjenti u strateġiku.

X’hemm fir-riskju

Id-Direttiva dwar is-Sigurtà tan-Networks u tal-Informazzjoni (NIS2) hija inizjattiva ambizzjuża tal-UE biex issaħħaħ ir-reżiljenza taċ-ċibersigurtà fis-setturi kritiċi. B’differenza mill-predeċessur tagħha, NIS2 għandha kamp ta’ applikazzjoni ferm usa’, tkopri aktar industriji u tqiegħed responsabbiltà diretta fuq it-tmexxija għolja. Għal SME, in-nuqqas ta’ tħejjija mhuwiex għażla. Id-direttiva timponi livell bażi ta’ miżuri tas-sigurtà, skadenzi stretti għar-rappurtar tal-inċidenti, u ġestjoni robusta tar-riskji tal-katina tal-provvista. In-nuqqas ta’ konformità jista’ jwassal għal multi sinifikanti, tfixkil operattiv, u ħsara reputazzjonali serja li tista’ tqiegħed f’riskju relazzjonijiet kummerċjali ewlenin.

Fil-qalba tagħha, NIS2 tirrikjedi li l-organizzazzjonijiet jadottaw approċċ proattiv u bbażat fuq ir-riskju għaċ-ċibersigurtà. L-Artikolu 21 tad-direttiva jistabbilixxi sett minimu ta’ miżuri, inklużi politiki dwar l-analiżi tar-riskju, il-ġestjoni tal-inċidenti, il-kontinwità tan-negozju, u s-sigurtà tal-katina tal-provvista. Dan mhuwiex sempliċi eżerċizzju ta’ immarkar ta’ kaxxi. Ir-regolaturi jistennew li jaraw evidenza ta’ programm tas-sigurtà ħaj u operattiv, li jifhem it-theddid speċifiku tiegħu u li jkun implimenta kontrolli xierqa biex inaqqsu. Għal SME b’riżorsi limitati, il-bini ta’ dan mill-bidu jista’ jidher bħala piż kbir, u ħafna drabi jwassal għal sforzi frammentati li ma jilħqux l-aspettattivi olistiċi tad-direttiva.

Ikkunsidra kumpanija tal-loġistika ta’ daqs medju li tipprovdi servizzi tat-trasport għas-settur tal-ikel. Taħt NIS2, issa titqies bħala “entità importanti”. Attakk ta’ ransomware li jikkripta s-sistemi tagħha għall-iskedar u l-ippjanar tar-rotot jista’ jwaqqaf l-operazzjonijiet għal jiem sħaħ, jikkawża ħsara fil-prodotti u jikser impenji fil-katina tal-provvista. Taħt NIS2, dan l-inċident ikun jeħtieġ rappurtar lill-awtoritajiet fi żmien 24 siegħa. Il-kumpanija tkun ukoll soġġetta għal skrutinju fuq il-prattiki tagħha ta’ ġestjoni tar-riskju. Kellha kopji ta’ riżerva xierqa? L-aċċess għal sistemi kritiċi kien ikkontrollat? Il-fornituri tas-software tagħha ġew evalwati għas-sigurtà? Mingħajr qafas strutturat, il-prova tad-diliġenza dovuta ssir eżerċizzju kaotiku u ħafna drabi bla suċċess.

Kif tidher prattika tajba

Il-kisba tal-konformità ma’ NIS2 m’għandhiex tfisser li tivvinta kollox mill-ġdid. Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS) mibnija fuq ISO/IEC 27001:2022 tipprovdi l-pedament ideali. L-istandard huwa mfassal biex jgħin lill-organizzazzjonijiet jimmaniġġjaw ir-riskji tas-sigurtà tal-informazzjoni b’mod sistematiku. Dan l-allinjament inerenti jfisser li, meta timplimenta ISO 27001, tkun fl-istess ħin qed tibni l-kapaċitajiet u d-dokumentazzjoni preċiżi li titlob NIS2. Dan jibdel piż regolatorju diffiċli fi proġett strutturat u ġestibbli li jagħti valur tan-negozju tanġibbli lil hinn mis-sempliċi konformità.

Is-sinerġija tidher ċara f’diversi oqsma. Ir-rekwiżit ta’ NIS2 għal valutazzjoni tar-riskju u politiki tas-sigurtà jinsab fil-qalba tal-klawżoli 4 sa 8 ta’ ISO 27001. L-enfasi qawwija tad-direttiva fuq is-sigurtà tal-katina tal-provvista hija indirizzata direttament mill-kontrolli tal-Anness A bħal 5.19, 5.20, u 5.21, li jkopru s-sigurtà fir-relazzjonijiet mal-fornituri. Bl-istess mod, ir-rekwiżiti ta’ NIS2 għall-ġestjoni tal-inċidenti u l-kontinwità tan-negozju jiġu ssodisfati permezz tal-implimentazzjoni tal-kontrolli 5.24 sa 5.30. Meta tuża ISO 27001, toħloq sistema waħda u koerenti li tissodisfa diversi rekwiżiti, tiffranka l-ħin, tnaqqas id-duplikazzjoni tal-isforz, u tipprovdi narrattiva ċara għall-awdituri u r-regolaturi. Il-librerija komprensiva tagħna tal-kontrolli tgħinek timmappa dawn ir-rekwiżiti b’mod preċiż. Zenith Controls¹

Immaġina fornitur żgħir ta’ servizzi ġestiti (MSP) li jospita infrastruttura għal sptar lokali. L-isptar huwa “entità essenzjali” taħt NIS2 u għandu jiżgura li l-fornituri tiegħu jkunu siguri. L-MSP, billi jikseb iċ-ċertifikazzjoni ISO 27001, jista’ jipprovdi assigurazzjoni immedjata u rikonoxxuta internazzjonalment li għandu ISMS robust. Jista’ jirreferi għall-valutazzjoni tar-riskju tiegħu, għad-Dikjarazzjoni ta’ Applikabbiltà tiegħu, u għar-rapporti tal-awditu intern tiegħu bħala evidenza konkreta ta’ konformità. Dan mhux biss jissodisfa r-rekwiżiti ta’ diliġenza dovuta tal-isptar taħt NIS2, iżda jsir ukoll differenzjatur kompetittiv b’saħħtu, li jiftaħ il-bibien għal aktar xogħol f’setturi regolati.

Triq prattika

Il-bini ta’ ISMS allinjat kemm ma’ ISO 27001 kif ukoll ma’ NIS2 huwa proġett strateġiku, mhux sempliċement kompitu tal-IT. Jeħtieġ approċċ metodiku li jibda billi tifhem l-organizzazzjoni tiegħek u r-riskji tagħha, u mbagħad timplimenta kontrolli b’mod sistematiku biex timmaniġġjahom. Billi taqsam il-vjaġġ f’fażijiet loġiċi, anke tim żgħir jista’ jagħmel progress stabbli u dimostrabbli. Din it-triq tiżgura li tibni sistema li mhux biss tkun konformi, iżda tkun tassew effettiva biex tipproteġi n-negozju tiegħek. L-għan huwa li toħloq programm tas-sigurtà sostenibbli, mhux biss li tgħaddi minn awditu.

Fażi 1: Stabbilixxi l-pedament tiegħek (ġimgħat 1-4)

L-ewwel fażi tistabbilixxi l-kuntest. Qabel ma tkun tista’ timmaniġġja r-riskju, trid tifhem il-kuntest tiegħek. Dan jinvolvi li tiddefinixxi x’qed tipprova tipproteġi (il-kamp ta’ applikazzjoni), tikseb impenn mit-tmexxija, u tidentifika l-obbligi legali u regolatorji kollha tiegħek, b’NIS2 bħala fattur ewlieni. Dan ix-xogħol ta’ pedament, iggwidat mill-klawżoli 4 u 5 ta’ ISO 27001, huwa kritiku biex jiżgura li l-ISMS tiegħek ikun allinjat mal-objettivi tan-negozju u jkollu l-awtorità meħtieġa biex jirnexxi. Mingħajr kamp ta’ applikazzjoni ċar u appoġġ mit-tmexxija, anke l-aħjar sforzi tekniċi se jfallu.

• Iddefinixxi l-kamp ta’ applikazzjoni tal-ISMS: Iddokumenta b’mod ċar liema partijiet tan-negozju, sistemi u postijiet tiegħek se jkunu koperti.
• Ikseb impenn mill-maniġment: Ikseb approvazzjoni formali u riżorsi mit-tmexxija għolja. Dan huwa rekwiżit mhux negozjabbli kemm għal ISO 27001 kif ukoll għal NIS2.
• Identifika l-partijiet interessati u r-rekwiżiti: Elenka l-partijiet interessati kollha (klijenti, regolaturi, sħab) u l-aspettattivi tagħhom dwar is-sigurtà, inklużi l-artikoli speċifiċi ta’ NIS2.
• Ifforma t-tim tal-implimentazzjoni: Assenja rwoli u responsabbiltajiet għall-bini u ż-żamma tal-ISMS.

Fażi 2: Evalwa u ppjana t-trattament tar-riskju tiegħek (ġimgħat 5-8)

Din hija l-qalba tal-ISMS tiegħek. Hawnhekk tidentifika, tanalizza u tevalwa b’mod sistematiku r-riskji tas-sigurtà tal-informazzjoni. Dan il-proċess għandu jkun formali u ripetibbli. Tidentifika l-assi kritiċi tiegħek, it-theddid li jista’ jagħmlilhom ħsara, u l-vulnerabbiltajiet li jesponuhom. Ir-riżultat huwa lista prijoritizzata ta’ riskji li tippermettilek tieħu deċiżjonijiet infurmati dwar fejn tiffoka r-riżorsi tiegħek. Din il-valutazzjoni tar-riskju tissodisfa direttament ir-rekwiżit ewlieni tal-Artikolu 21 ta’ NIS2, u tipprovdi bażi difensibbli għall-istrateġija tas-sigurtà tiegħek. Il-blueprint tal-implimentazzjoni tagħna jipprovdi l-għodod meħtieġa, inkluż Reġistru tar-Riskji mibni minn qabel, biex jissimplifika dan il-proċess. Zenith Blueprint²

• Oħloq inventarju tal-assi: Iddokumenta l-assi importanti kollha tal-informazzjoni, inklużi d-data, is-software, il-hardware u s-servizzi.
• Wettaq valutazzjoni tar-riskju: Uża metodoloġija definita biex tidentifika t-theddid u l-vulnerabbiltajiet għal kull assi, imbagħad ikkalkula l-livelli tar-riskju.
• Agħżel l-għażliet għat-trattament tar-riskju: Għal kull riskju sinifikanti, iddeċiedi jekk għandekx tnaqqsu, taċċettah, tevitah jew tittrasferih.
• Żviluppa Pjan ta’ Trattament tar-Riskju: Għar-riskji li tagħżel li tnaqqas, agħżel kontrolli xierqa mill-Anness A ta’ ISO 27001 u ddokumenta l-pjan tiegħek għall-implimentazzjoni tagħhom.
• Oħloq id-Dikjarazzjoni ta’ Applikabbiltà (SoA): Iddokumenta liema mill-93 kontroll tal-Anness A japplikaw għall-organizzazzjoni tiegħek u għaliex, u ġġustifika kwalunkwe esklużjoni.

Fażi 3: Implimenta l-kontrolli u ibni l-evidenza (ġimgħat 9-16)

Meta l-pjan ikun fis-seħħ, ikun wasal iż-żmien li taġixxi. Din il-fażi tinvolvi l-implimentazzjoni tal-politiki, il-proċeduri u l-kontrolli tekniċi identifikati fil-pjan tat-trattament tar-riskju tiegħek. Hawnhekk it-teorija ssir prattika. Tista’ tkun qed timplimenta awtentikazzjoni b’diversi fatturi, tikteb politika ġdida dwar il-kopji ta’ riżerva, jew tħarreġ lill-persunal tiegħek dwar l-għarfien kontra l-phishing. Huwa kruċjali li tiddokumenta kollox. Għal kull kontroll li timplimenta, trid tiġġenera evidenza li qed jopera b’mod effettiv. Din l-evidenza tkun essenzjali għall-awditi interni u esterni tiegħek u biex turi l-konformità ma’ NIS2 lir-regolaturi.

• Implimenta kontrolli tekniċi: Implimenta miżuri tas-sigurtà bħal firewalls, kriptaġġ, kontrolli tal-aċċess, u reġistrazzjoni tal-avvenimenti.
• Ikteb u kkomunika l-politiki: Żviluppa u ppubblika politiki ewlenin li jkopru oqsma bħall-użu aċċettabbli, il-kontroll tal-aċċess, u r-rispons għall-inċidenti.
• Wettaq taħriġ ta’ għarfien dwar is-sigurtà: Ħarreġ lill-impjegati kollha dwar ir-responsabbiltajiet tagħhom fir-rigward tas-sigurtà tal-informazzjoni.
• Stabbilixxi monitoraġġ u kejl: Stabbilixxi proċessi biex timmonitorja l-effettività tal-kontrolli u tkejjel il-prestazzjoni tal-ISMS tiegħek.

Fażi 4: Immonitorja, awditja u tejjeb kontinwament (kontinwu)

ISMS mhuwiex proġett ta’ darba; huwa ċiklu kontinwu ta’ titjib. Din il-fażi finali, irregolata mill-klawżoli 9 u 10 ta’ ISO 27001, tiżgura li l-ISMS tiegħek jibqa’ effettiv maż-żmien. Twettaq awditi interni regolari biex tivverifika l-konformità u tidentifika dgħufijiet. Il-maniġment jirrieżamina l-prestazzjoni tal-ISMS biex jiżgura li għadu jissodisfa l-objettivi tan-negozju. Kwalunkwe kwistjoni jew nuqqas ta’ konformità li jinstabu jiġu segwiti u kkoreġuti b’mod formali. Dan il-proċess kontinwu ta’ monitoraġġ u rfinar huwa eżattament dak li jridu jaraw ir-regolaturi ta’ NIS2, għax juri l-impenn tiegħek li żżomm pożizzjoni tas-sigurtà b’saħħitha.

• Wettaq awditi interni: Irrieżamina perjodikament l-ISMS tiegħek kontra r-rekwiżiti ta’ ISO 27001 u l-politiki tiegħek stess.
• Żomm rieżamijiet tal-maniġment: Ippreżenta l-prestazzjoni tal-ISMS lit-tmexxija għolja u ħu deċiżjonijiet strateġiċi.
• Immaniġġja n-nuqqasijiet ta’ konformità: Implimenta proċess formali għall-identifikazzjoni, id-dokumentazzjoni u r-riżoluzzjoni ta’ kwalunkwe kwistjoni jew lakuna fil-konformità.
• Ipprepara għall-awditu taċ-ċertifikazzjoni: Involvi korp estern taċ-ċertifikazzjoni biex l-ISMS tiegħek jiġi awditjat u ċċertifikat formalment.

Politiki li jagħmlu l-kontrolli sostenibbli

Il-politiki huma s-sinsla tal-ISMS tiegħek. Huma jittraduċu l-istrateġija tas-sigurtà tiegħek f’regoli ċari u infurzabbli għall-organizzazzjoni kollha. Għall-konformità ma’ NIS2, politiki definiti sew u applikati b’mod konsistenti mhumiex biss prattika tajba; huma rekwiżit. Dawn id-dokumenti jipprovdu gwida ċara lill-impjegati, jistabbilixxu aspettattivi għall-fornituri, u jservu bħala evidenza kritika għall-awdituri u r-regolaturi. Huma juru li l-approċċ tiegħek għas-sigurtà huwa intenzjonat u sistematiku, mhux reattiv u ad hoc. Tnejn mill-aktar politiki fundamentali li jappoġġjaw kemm ISO 27001 kif ukoll NIS2 huma l-Politika tal-Ġestjoni tal-Assi u l-Politika dwar il-Kopji ta’ Riżerva u r-Restawr.

Il-Politika tal-Ġestjoni tal-Assi³ hija l-punt tat-tluq għal kull sforz tas-sigurtà. Ma tistax tipproteġi dak li ma tafx li għandek. Din il-politika tistabbilixxi proċess formali għall-identifikazzjoni, il-klassifikazzjoni u l-ġestjoni tal-assi tal-informazzjoni kollha tul iċ-ċiklu tal-ħajja tagħhom. Għal NIS2, inventarju komprensiv tal-assi huwa essenzjali biex tiddetermina l-kamp ta’ applikazzjoni tal-valutazzjoni tar-riskju tiegħek. Jiżgura li jkollok viżibbiltà fuq is-sistemi, l-applikazzjonijiet u d-data kollha li jappoġġjaw is-servizzi kritiċi tiegħek. Mingħajru, tkun qed topera mingħajr stampa ċara, u x’aktarx tħalli lakuni sinifikanti fil-kopertura tas-sigurtà tiegħek. Din il-politika tiżgura li r-responsabbiltà tkun ċara u li l-komponenti kritiċi kollha jkunu inklużi fil-programm tas-sigurtà tiegħek.

Daqstant kritika hija l-Politika dwar il-Kopji ta’ Riżerva u r-Restawr⁴. L-Artikolu 21 ta’ NIS2 jeħtieġ b’mod espliċitu miżuri għall-kontinwità tan-negozju, bħall-ġestjoni tal-kopji ta’ riżerva u l-irkupru minn diżastru. Din il-politika tiddefinixxi r-regoli dwar liema data għandha tiġi kkupjata bħala riżerva, kemm-il darba, fejn jinħażnu l-kopji ta’ riżerva, u kif jiġu ttestjati. F’każ ta’ inċident li jfixkel l-operat, bħal attakk ta’ ransomware, strateġija tal-kopji ta’ riżerva eżegwita tajjeb ħafna drabi tkun l-unika ħaġa bejn irkupru rapidu u falliment katastrofiku tan-negozju. Din il-politika tipprovdi assigurazzjoni lill-maniġment, lill-klijenti u lir-regolaturi li għandek pjan kredibbli biex iżżomm ir-reżiljenza operattiva u tirrestawra servizzi kritiċi f’waqthom, u b’hekk tissodisfa direttament mandat ewlieni tad-direttiva.

Ditta żgħira tal-inġinerija li tiddisinja komponenti għas-settur tal-enerġija implimentat Politika tal-Ġestjoni tal-Assi formali. Billi kkatalogat is-servers tad-disinn tagħha, il-liċenzji tas-software CAD, u d-data sensittiva tal-klijenti, identifikat l-aktar assi kritiċi tagħha. Dan ippermettilha tiffoka l-baġit limitat tagħha tas-sigurtà fuq il-protezzjoni ta’ dawn il-miri ta’ valur għoli b’kontrolli tal-aċċess aktar b’saħħithom u kriptaġġ, u wriet approċċ matur u bbażat fuq ir-riskju waqt awditu tal-fornitur minn klijent ewlieni fis-settur tal-enerġija.

Listi ta’ kontroll

Biex ngħinuk timxi fil-vjaġġ tiegħek, hawn tliet listi ta’ kontroll prattiċi. Huma mfassla biex jiggwidawk fl-istadji ewlenin tal-bini, it-tħaddim u l-verifika tal-ISMS tiegħek, u jiżguraw li tkopri r-rekwiżiti essenzjali kemm għal ISO/IEC 27001:2022 kif ukoll għad-Direttiva NIS2.

Ibni: Stabbilixxi l-qafas ISO 27001 tiegħek għall-konformità ma’ NIS2

Qabel ma tkun tista’ tħaddem ISMS konformi, trid tibnih fuq pedament sod. Din il-fażi inizjali tiffoka fuq l-ippjanar, id-definizzjoni tal-kamp ta’ applikazzjoni, u l-kisba tal-appoġġ u r-riżorsi meħtieġa. Żball hawn jista’ jdgħajjef il-proġett kollu. Din il-lista ta’ kontroll tkopri l-passi strateġiċi essenzjali meħtieġa biex tiddefinixxi l-ISMS tiegħek u tallinjah mal-prinċipji tal-ġestjoni tar-riskju fil-qalba ta’ NIS2.

• Ikseb approvazzjoni formali tal-maniġment u baġit għall-proġett tal-ISMS.
• Iddefinixxi u ddokumenta l-kamp ta’ applikazzjoni tal-ISMS, b’referenza espliċita għas-servizzi li jaqgħu taħt NIS2.
• Identifika r-rekwiżiti legali, regolatorji (NIS2) u kuntrattwali applikabbli kollha.
• Stabbilixxi inventarju tal-assi tal-informazzjoni, il-hardware, is-software u s-servizzi kollha fil-kamp ta’ applikazzjoni.
• Wettaq valutazzjoni formali tar-riskju biex tidentifika t-theddid u l-vulnerabbiltajiet għall-assi ewlenin tiegħek.
• Oħloq Pjan ta’ Trattament tar-Riskju li jiddeskrivi l-kontrolli magħżula biex inaqqsu r-riskji identifikati.
• Żviluppa Dikjarazzjoni ta’ Applikabbiltà (SoA) li tiġġustifika l-inklużjoni u l-esklużjoni tal-93 kontroll kollha tal-Anness A.
• Abbozza u approva politiki fundamentali, inklużi s-Sigurtà tal-Informazzjoni, il-Ġestjoni tal-Assi, u l-Użu Aċċettabbli.

Operat: Żamma tal-iġjene tas-sigurtà ta’ kuljum

Il-konformità mhijiex avveniment ta’ darba. Hija r-riżultat ta’ dixxiplina operattiva konsistenti minn jum għal jum. Din il-lista ta’ kontroll tiffoka fuq l-attivitajiet kontinwi li jżommu l-ISMS tiegħek effettiv u l-organizzazzjoni tiegħek sigura. Dawn huma l-miżuri prattiċi li juru lill-awdituri u lir-regolaturi li l-programm tas-sigurtà tiegħek huwa ħaj u effettiv, mhux biss ġabra ta’ dokumenti fuq xkaffa.

• Wettaq taħriġ regolari ta’ għarfien dwar is-sigurtà għall-impjegati kollha, inklużi simulazzjonijiet ta’ phishing.
• Applika proċeduri tal-kontroll tal-aċċess, inklużi rieżamijiet regolari tal-permessi tal-utenti u tal-aċċess privileġġjat.
• Immaniġġja l-vulnerabbiltajiet tekniċi billi timplimenta proċess sistematiku ta’ ġestjoni tal-garżi tas-sigurtà.
• Immonitorja s-sistemi u n-networks għal avvenimenti tas-sigurtà u attività mhux tas-soltu.
• Eżegwixxi u ttestja l-proċeduri tal-kopji ta’ riżerva u tar-restawr tad-data skont il-politika.
• Immaniġġja bidliet fis-sistemi u fl-applikazzjonijiet permezz ta’ proċess formali ta’ kontroll tat-tibdil.
• Żomm sorveljanza fuq is-sigurtà tal-fornituri billi twettaq rieżamijiet u evalwazzjonijiet regolari tal-fornituri ewlenin.
• Żomm is-sigurtà tas-siti fiżiċi, inkluż il-kontroll tal-aċċess għal żoni sensittivi.

Ivverifika: Awditja u tejjeb l-ISMS tiegħek

L-aħħar biċċa tal-puzzle hija l-verifika. Trid tiċċekkja regolarment li l-kontrolli tiegħek qed jaħdmu kif maħsub u li l-ISMS tiegħek qed jilħaq l-objettivi tiegħu. Dan iċ-ċiklu ta’ titjib kontinwu huwa prinċipju ewlieni ta’ ISO 27001 u aspettattiva importanti ta’ NIS2. Din il-lista ta’ kontroll tkopri l-attivitajiet ta’ assigurazzjoni li jagħtu lill-maniġment u lill-partijiet interessati fiduċja fil-pożizzjoni tas-sigurtà tiegħek.

• Skeda u wettaq awditu intern sħiħ tal-ISMS kontra r-rekwiżiti ta’ ISO 27001.
• Wettaq testijiet ta’ penetrazzjoni jew skannjar tal-vulnerabbiltajiet fuq sistemi kritiċi b’mod regolari.
• Ittestja l-pjan ta’ rispons għall-inċidenti tiegħek b’eżerċizzji fuq il-mejda jew simulazzjonijiet sħaħ.
• Ittestja l-pjanijiet tiegħek għall-irkupru minn diżastru u għall-kontinwità tan-negozju.
• Żomm laqgħat formali tar-rieżami tal-maniġment biex tevalwa l-prestazzjoni tal-ISMS u talloka r-riżorsi.
• Issegwi s-sejbiet tal-awditu u n-nuqqasijiet ta’ konformità kollha f’reġistru tal-azzjonijiet korrettivi sakemm jiġu solvuti.
• Iġbor u analizza metriċi dwar l-effettività tal-kontrolli tas-sigurtà tiegħek.
• Aġġorna l-valutazzjoni tar-riskju tiegħek mill-inqas darba fis-sena jew meta jseħħu bidliet sinifikanti.

Żbalji komuni

It-triq lejn konformità doppja ma’ ISO 27001 u NIS2 hija ta’ sfida, u diversi żbalji komuni jistgħu jxekklu anke sforzi intenzjonati tajjeb. Li tkun konxju minn dawn in-nases jgħinek tevitahom.

• Tissottovaluta l-mandat tal-katina tal-provvista: NIS2 tqiegħed enfasi bla preċedent fuq is-sigurtà tal-katina tal-provvista. Ħafna SMEs jiffokaw biss fuq il-kontrolli interni tagħhom u jinsew iwettqu diliġenza dovuta fuq il-fornituri kritiċi tagħhom. Jekk il-fornitur cloud jew il-fornitur tas-software tiegħek ikollu falliment tas-sigurtà li jaffettwak, inti tibqa’ responsabbli taħt NIS2. Irid ikollok proċess biex tevalwa u timmaniġġja r-riskju tal-fornituri.
• Tittrattah bħala proġett purament tal-IT: Għalkemm l-IT għandu involviment qawwi, is-sigurtà tal-informazzjoni hija kwistjoni tan-negozju. Mingħajr appoġġ ġenwin u tmexxija mill-ogħla livelli, l-ISMS ikun nieqes mill-awtorità u r-riżorsi li għandu bżonn. NIS2 tqiegħed responsabbiltà speċifika fuq il-maniġment, għalhekk dan għandu jkun involut b’mod attiv fil-governanza u fid-deċiżjonijiet dwar ir-riskju.
• Toħloq dokumentazzjoni li tibqa’ fuq l-ixkaffa: L-akbar żball huwa li toħloq sett sabiħ ta’ dokumenti li ħadd ma jsegwi. ISMS huwa sistema ħajja. Jekk il-politiki tiegħek ma jiġux ikkomunikati, il-proċeduri tiegħek ma jiġux segwiti, u l-kontrolli tiegħek ma jiġux immonitorjati, ma tkun ksibt xejn ħlief sens falz ta’ sigurtà. L-awdituri u r-regolaturi jfittxu evidenza ta’ tħaddim, mhux dokumentazzjoni biss.
• Kamp ta’ applikazzjoni dgħajjef jew ambigwu: Kamp ta’ applikazzjoni wiesa’ wisq jista’ jagħmel il-proġett mhux ġestibbli għal SME. Kamp ta’ applikazzjoni dejjaq wisq jista’ jħalli barra sistemi kritiċi li jaqgħu taħt NIS2, u joħloq lakuna kbira fil-konformità. Il-kamp ta’ applikazzjoni għandu jiġi kkunsidrat bir-reqqa u allinjat b’mod ċar mas-servizzi kritiċi u l-objettivi tan-negozju tiegħek.
• Tittraskura l-ittestjar tar-rispons għall-inċidenti: Li jkollok pjan ta’ rispons għall-inċidenti huwa rekwiżit bażiku. Madankollu, jekk qatt ma ġie ttestjat, x’aktarx ifalli waqt kriżi reali. NIS2 għandha skadenzi stretti ħafna għar-rappurtar (rapport inizjali fi żmien 24 siegħa). Eżerċizzju fuq il-mejda jista’ jikxef malajr lakuni fil-pjan tiegħek, bħal ma tkunx taf lil min iċċempel jew kif tiġbor l-informazzjoni korretta malajr.

Ditta żgħira tas-servizzi finanzjarji kisbet iċ-ċertifikazzjoni ISO 27001 iżda qatt ma ttestjat il-pjan tagħha ta’ rispons għall-inċidenti lil hinn minn diskussjonijiet fil-laqgħat. Meta ġarrbet ksur minuri tad-data, it-tim ma kienx ippreparat. Ħlew sigħat jiddibattu min kellu l-awtorità li jikkuntattja lill-fornitur tal-assigurazzjoni ċibernetika tagħhom u tħabtu biex jiġbru d-data forensika meħtieġa, u kważi tilfu t-tieqa regolatorja għar-rappurtar.

Passi li jmiss

Lest tibni pożizzjoni tas-sigurtà reżiljenti li tissodisfa kemm ISO 27001 kif ukoll NIS2? It-toolkits tagħna jipprovdu l-politiki, il-mudelli u l-gwida li għandek bżonn biex tħaffef il-vjaġġ tiegħek lejn il-konformità.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Referenzi