Όποι@ έχει παρακολουθήσει κάποια από τις παρουσιάσεις μου ή/και έχει διαβάσει κάποιο από τα άρθρα μου από το 2018 και ύστερα, θα θυμάται ότι πάντα έκανα «ειδική» μνεία στο fuzz & buzz περί GDPR, τόσο κατά την προετοιμασία, actual vs checklist-based, όσο κατά την ωρίμανση των μέτρων που προκύπταν από το όποιο Gap Analysis (π.χ. DPIA, κλπ.), εστιάζοντας στο τι σήμαινε αυτό για την ωριμότητα του εκάστοτε Οργανισμού. Μνεία που συνήθιζε να έχει μάλλον επικριτική χροιά…
Του Αργύρη Μακρυγεώργου
SecOps BDM, GR | HU | CY, Fortinet
Απαντώντας, λοιπόν, στην ερώτηση για το αν πιστεύω ότι θα έχει την ίδια τύχη η οδηγία NIS2, το short (and stable) version είναι πως ΟΧΙ.
Έχουν γίνει ήδη αρκετές συζητήσεις για τα μέχρι τώρα γνωστά logistics, συνεπώς δε θα αφιερώσω πολύ χρόνο και (γραπτό) χώρο στην ανάλυσή τους…
Ξεκινώντας από το timeline, η 16η Ιανουαρίου του 2023 σηματοδότησε την απαρχή της NIS2, με την 17η Οκτωβρίου του 2024 (φέτος είναι αυτό!) να αποτελεί σημαντικό milestone, μιας και τα κράτη-μέλη της Ε.Ε. θα πρέπει να προσαρμοστούν και να δημοσιεύσουν (απτά) μέτρα στα πλαίσια που θέτει η NIS2. Έξι (6) μήνες αργότερα, τον Απρίλιο του 2025, τα κράτη-μέλη θα πρέπει να έχουν οριστικοποιήσει τις λίστες με τα Essential & Important entities.
Μιλώντας για τις οντότητες, δείτε παρακάτω το διαχωρισμό, χωρίς να παραλείπεται σαφώς η ανάγκη για το όριο είτε των περισσοτέρων των 50 υπαλλήλων ή του ετήσιου τζίρου των 10 εκατομμυρίων Ευρώ, ώστε η NIS2 να χρήζει υποχρεωτική:
Πηγή φωτογραφιών: https://www.secura.com/uploads/whitepapers/Secura-Practical-guide-to-NIS2-1.10.pdf
Προσεγγίζοντας, το πιο πρακτικό/ τεχνικό σκέλος, βλέπουμε αρκετά προφανείς απαιτήσεις, τόσο σε Governance επίπεδο, όπως για παράδειγμα το buy-in και το accountability της Διοίκηση, τη συνεχή εκπαίδευση και το φορμαλισμό διαδικασιών, όσο και σε Technical επίπεδο, όπως τη Διαχείριση ενός Incident, πολλαπλά Μέτρα για τη διαχείριση του Cyber Ρίσκου, κλπ. Συνεπώς, διαφαίνεται ότι θα χρειαστεί μια συνήθης διαδρομή, η οποία θα ξεκινά από τη Χαρτογράφηση, τη διεξαγωγή Readiness και Risk Assessment, τη παραγωγή Risk Treatment Plan και ούτω καθεξής.
Σας θυμίζει κάτι αυτό που μόλις διαβάσατε? Εμένα ΝΑΙ 😊
Τον συνήθης χειρισμό μιας προετοιμασίας (για αρχή) και της διατήρησης (στη συνέχεια) ενός ISO, και δει των:
- ISO 27001 (πλέον στην έκδοση 2022) που καθορίζει τις απαιτήσεις για την εφαρμογή και συνεχής βελτίωση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ),
- ISO 27701 (πλέον στην έκδοση 2019) που σε συνδυασμό με το ISO 27001 αποτελεί το πλέον ολοκληρωμένο Σύστημα Διαχείρισης Προστασίας Προσωπικών Δεδομένων (ΣΔΠΔ), αποτελώντας το κυριότερο εργαλείο συμμόρφωσης με τον Γενικό Κανονισμό Προσωπικών Δεδομένων (GDPR).
και αν θέλουμε να είμαστε πιο ολιστικοί:
- ISO 22301 (πλέον στην έκδοση 2019) που αποτελεί το πρότυπο του Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας (ΣΔΕΣ), αντιμετωπίζοντας πιο εις βάθος και με λεπτομέρεια το θέμα αυτό, σε σχέση με το ISO 27001, και
- Του παραδοσιακού ISO 9001 (πλέον στην έκδοση 2015), του διεθνούς προτύπου Συστημάτων Διαχείρισης Ποιότητας (ΣΔΠ), που συμβάλλει στην ομογενοποίηση και τον φορμαλισμό – έμμεσο benefit επί του προκειμένου.
Συνεπώς, ένα quick win, ασχέτως αν ο Οργανισμός που ανήκουμε είναι ήδη πιστοποιημένος με το ISO 27001 ή όχι, θα ήταν να map-άρουμε τα Άρθρα της NIS2 με τα Annexes του 27001, καταλήγοντας, high level, σε κάτι τέτοιο (για αρχή):
Ο παραπάνω πίνακας δεν είναι προφανώς εξαντλητικός και σίγουρα θα απαιτήσει αρκετά περάσματα για να φτάσουμε στην απαραίτητη ωρίμανση ώστε να αποτιμήσουμε, εσωτερικά πρώτα (self-assessment) πόσο απέχουμε Τεχνολογικά και Ρυθμιστικά από μία Επαρκής Κατάσταση.
Όπως τα περισσότερα πράγματα, τουλάχιστον στον κόσμο της Πληροφορικής και δει της Κυβερνοασφάλειας, έτσι και της NIS2 (θα) είναι ένα ταξίδι, το οποίο οφείλουμε να το διανύσουμε τόσο με εσωτερικούς συνοδοιπόρους, αλλά και με συμμάχους αξιόπιστους Integrators, Service Providers & Κατασκευαστές, όπως τη Fortinet 😉