Third Party Risk Management in NIS2

Η Οδηγία NIS2 αποτελεί ένα από τα πιο σημαντικά βήματα στις συνεχιζόμενες προσπάθειες της ΕΕ για την ενίσχυση της κυβερνοασφάλειας μεταξύ των κρατών μελών. Βασίζεται και αντικαθιστά την αρχική Οδηγία NIS (Οδηγία (ΕΕ) 2016/1148). Μία από τις σημαντικότερες αλλαγές στην NIS2 είναι το ευρύτερο πεδίο εφαρμογής της και οι αυστηρότερες απαιτήσεις, σχεδιασμένες για να συμβαδίζουν με το ταχέως εξελισσόμενο ψηφιακό τοπίο. Τα κράτη μέλη της ΕΕ έπρεπε να ενσωματώσουν την οδηγία στο εθνικό τους δίκαιο έως τις 17 Οκτωβρίου 2024 (ελληνική ενσωμάτωση ν. 5160/2024 (ΦΕΚ Α 195/27.11.2024).

Δρ. Θεόδωρος Ντούσκας,

Managing Director, ICT PROTECT

www.ictprotect.com

Μέσω της ενίσχυσης της προστασίας κρίσιμων υποδομών και της αντιμετώπισης νέων απειλών, η NIS2 στοχεύει στη δημιουργία ενός ασφαλέστερου και πιο ανθεκτικού ψηφιακού περιβάλλοντος. Συγκεκριμένα, η Οδηγία NIS2 στοχεύει:

Στη δημιουργία ενός συνεπούς επιπέδου κυβερνοασφάλειας σε όλα τα κράτη μέλη της ΕΕ, μέσω της καθιέρωσης ελάχιστων κοινών προτύπων και απαιτήσεων για τη διαχείριση κινδύνων, την αναφορά περιστατικών και τα μέτρα ασφαλείας.
Στην ενίσχυση της κυβερνοασφάλειας σε δημόσιο και ιδιωτικό τομέα.
Στην επέκταση της προστασίας σε κρίσιμους τομείς όπως η υγεία, η ενέργεια, οι μεταφορές, η δημόσια διοίκηση και άλλοι βασικοί τομείς που συμβάλλουν στη σταθερότητα και ασφάλεια της ΕΕ.

Κύρια Χαρακτηριστικά

Ενισχυμένα Μέτρα Κυβερνοασφάλειας: Οι οργανισμοί υποχρεούνται να εφαρμόσουν τεχνικά και οργανωτικά μέτρα για την πρόληψη, ανίχνευση και αντιμετώπιση περιστατικών ασφαλείας.
• Υποχρεωτική Αναφορά Περιστατικών: Έμφαση δίνεται στην υποχρεωτική αναφορά περιστατικών στις εθνικές αρχές για την ενίσχυση της συλλογικής ασφάλειας της ΕΕ.
• Ασφάλεια της Εφοδιαστικής Αλυσίδας: Η Οδηγία αναγνωρίζει τη σημασία της ασφάλειας της εφοδιαστικής αλυσίδας και απαιτεί αξιολόγηση και μετριασμό των σχετικών κινδύνων από τρίτους προμηθευτές.
• Διευρυμένη Κάλυψη: Εφαρμόζεται σε δημόσιο και ιδιωτικό τομέα, καλύπτοντας μεγάλο εύρος υπηρεσιών και τομέων κρίσιμης σημασίας για τις υποδομές και την οικονομία της ΕΕ.

Κύρια Σημεία της NIS 2

Ευρύτερο Πεδίο Εφαρμογής: Καλύπτει περισσότερους τομείς και φορείς, περιλαμβάνοντας και παρόχους ψηφιακών υπηρεσιών, διαδικτυακές αγορές και μηχανές αναζήτησης.
Αναφορά Περιστατικών: Απαιτεί αναλυτικότερη αναφορά σοβαρών και διασυνοριακών περιστατικών στις αρμόδιες αρχές
Αυστηρότερες Απαιτήσεις Ασφαλείας: Εισάγει αυστηρές απαιτήσεις διαχείρισης κινδύνου και προστασίας
Ασφάλεια Εφοδιαστικής Αλυσίδας: Εστιάζει στην ασφάλεια των συνεργατών και προμηθευτών, αναγνωρίζοντας τη διασύνδεση των κρίσιμων υποδομών.
Αυξημένα Πρόστιμα: Προβλέπει υψηλότερα πρόστιμα για μη συμμόρφωση
Σχέδια Αντιμετώπισης Περιστατικών: Απαιτεί την ύπαρξη αξιόπιστων σχεδίων για την αποτελεσματική διαχείριση συμβάντων
Βελτιωμένα Μέτρα για Παρόχους Ψηφιακών Υπηρεσιών: Καθορίζει συγκεκριμένες υποχρεώσεις για online marketplaces, υπηρεσίες cloud, κ.ά
Ευθύνη Ανώτατης Διοίκησης: Δίνει έμφαση στην ευθύνη της διοίκησης για την επίβλεψη της κυβερνοασφάλειας
Κατάρτιση και Ευαισθητοποίηση: Υποχρεωτική εκπαίδευση διοικητικών στελεχών και προτροπή για κατάρτιση όλων των υπαλλήλων για ενίσχυση της κουλτούρας ασφάλειας

ICT PROTECT: NIS 2 Compliance Methodology

Η διαχείριση της ασφάλειας και η συμμόρφωση με την ισχύουσα νομοθεσία αποτελούν απαραίτητες προϋποθέσεις για τη διεξαγωγή του ηλεκτρονικού επιχειρείν. Αποτελούν προϋπόθεση για τη διατήρηση υφιστάμενων προϊόντων, υπηρεσιών και πελατών καθώς και για τη δημιουργία νέων προϊόντων και υπηρεσιών. Ως εκ τούτου, η ασφάλεια των πληροφοριών είναι θεμελιώδους σημασίας για την συνέχεια της επιχειρηματικής δραστηριότητας για μια επιχείρηση.

Τόσο οι essential όσο και οι important οντότητες, πρέπει να είναι σε θέση να αποδείξουν τη συμμόρφωση με την νομοθεσία και την υιοθέτηση βέλτιστων πρακτικών για την προστασία των δεδομένων των πελατών τους, των υπαλλήλων και συνεργατών τους.

Στην ICT PROTECT έχουμε αναπτύξει το Cyber Security Compliance Framework και το χρησιμοποιούμε με επιτυχία μέσω του Εργαλείου STORM GRC προκειμένου να αντιμετωπίζουμε τις περίπλοκες απαιτήσεις συμμόρφωσης (συμπεριλαμβανομένου και του NIS 2 Compliance) των πελατών μας.

Α. NIS 2 Gap Analysis & Compliance Roadmap:
Ως αρχικό βήμα συνήθως διενεργούμε το NIS 2 Gap Analysis & Compliance Roadmap όπου υλοποιείται από τις ακόλουθες φάσεις:

Φάση I: NIS 2 Documentation Review – Κατά τη φάση αυτή πραγματοποιείται ανασκόπηση της υπάρχουσας τεκμηρίωσης ασφάλειας πληροφοριών ώστε να αξιολογηθούν οι υφιστάμενες πολιτικές και διαδικασίες καθώς και η ανάθεση των ρόλων και αρμοδιοτήτων. Αποτυπώνονται τα σημεία μη συμμόρφωσης ή οι ελλείψεις σε σχέση με τα άρθρα 20 και 21 της NIS2. Παραδοτέο Φάσης: D1: Ανάλυση Κενών Τεκμηρίωσης

Φάση II: Τεχνικός Έλεγχος Συμμόρφωσης – Οδικός Χάρτης Συμμόρφωσης με NIS2 – Κατά τη φάση αυτή πραγματοποιούνται τεχνικά workshops με εξουσιοδοτημένο προσωπικό του πελάτη με στόχο να αξιολογηθεί η πληρότητα των υφιστάμενων τεχνικών μέτρων προστασίας όπως: Έλεγχος Πρόσβασης – Αντίγραφα Ασφαλείας – Διαχείριση Περιστατικών – Σχέδια Επιχειρησιακής Συνέχειας και Ανάκαμψης – Διαχείριση Ευπαθειών και Ενημερώσεων – Καταγραφή Συμβάντων (Log Management) – Κρυπτογράφηση
Παραδοτέο Φάσης: D2: Αποτελέσματα Τεχνικού Ελέγχου – Οδικός Χάρτης Συμμόρφωσης με NIS2

Β. Third Party Risk Assessment & STORM GRC :
Η αξιολόγηση κινδύνου από τρίτα μέρη (Third Party Risk Assessment) είναι ζωτικής σημασίας στο πλαίσιο της Οδηγίας NIS 2, καθώς η ασφάλεια της εφοδιαστικής αλυσίδας αποτελεί πλέον βασική προτεραιότητα για την προστασία κρίσιμων υποδομών και υπηρεσιών. Δεδομένου ότι πολλοί οργανισμοί εξαρτώνται από προμηθευτές, συνεργάτες και παρόχους ψηφιακών υπηρεσιών (όπως cloud services, υπηρεσίες IT, κλπ), οι ευπάθειες τρίτων οργανισμών μπορεί να είναι σημεία εισόδου για κυβερνοεπιθέσεις στον οργανισμό. Η NIS 2 απαιτεί από τους οργανισμούς να εντοπίζουν, να αξιολογούν και να μετριάζουν τους κινδύνους που προκύπτουν από τους προμηθευτές.

Το νέο TPRM Module του STORM GRC περιλαμβάνει:

Δυνατότητα καταγραφής όλων των κρίσιμων προμηθευτών,
Δυνατότητα διασύνδεσης των κρίσιμων προμηθευτών με τις επιχειρησιακές διαδικασίες του οργανισμού
Αξιολόγηση της κρισιμότητας των παρεχόμενων υπηρεσιών,
Ανάλυση του επιπέδου ασφαλείας και της συμμόρφωσης κάθε προμηθευτή με πρότυπα και απαιτήσεις ασφάλειας (όπως NIS 2, DORA, ISO 27001)
Απαραίτητους μηχανισμούς συνεχούς επανελέγχου και ενημέρωσης του προφίλ κινδύνου, υποστηρίζοντας έτσι τη λήψη τεκμηριωμένων αποφάσεων και την προστασία της εφοδιαστικής αλυσίδας.

Από την NIS2 στην CRA – Το επόμενο βήμα για την κυβερνοασφάλεια των προϊόντων

15o InfoCom Security 2025 – Το Ισχυρό Αποτύπωμα και τα Ρεκόρ Συμμετοχής

Διαπιστευμένες Πιστοποιήσεις και Επιχειρησιακή Ανθεκτικότητα στην Εποχή INDUSTRY 4.0

ADACOM Cyber Threat Intelligence – Τεχνητή Νοημοσύνη για Προληπτική Άμυνα

Cybersecurity à la Carte – Αν οι λύσεις κυβερνοασφάλειας ήταν φαγητό, τι θα επιλέγατε;

Συνήθη Ευρήματα σε Penetration Tests: Μια Τεχνική Ανασκόπηση

ManageEngine Endpoint Central & Log360 – Μια ενοποιημένη προσέγγιση στη σύγχρονη κυβερνοασφάλεια

Η Silverfort προστατεύει ταυτότητες με… RAP