Peisajul digital devine din ce în ce mai sofisticat, ceea ce face ca cadrele robuste de securitate cibernetică să fie esențiale pentru protejarea infrastructurii critice și a datelor sensibile. Două reglementări cheie în domeniul securității cibernetice care au atras o atenție semnificativă sunt Directiva NIS 2 și ISO 27001:2022. Deși ambele își propun să consolideze reziliența în materie de securitate cibernetică, ele diferă în ceea ce privește domeniul de aplicare, abordarea și cerințele de conformitate. Acest articol explorează aceste distincții și puncte comune pentru a oferi o comparație cuprinzătoare.
Prezentare generală a Directivei NIS 2
Directiva privind securitatea rețelelor și a informațiilor (NIS 2), instituită de Uniunea Europeană (UE), este un cadru de reglementare actualizat, conceput pentru a spori reziliența în materie de securitate cibernetică pentru entitățile esențiale și importante din statele membre. Aceasta se bazează pe Directiva NIS originală (2016) prin extinderea domeniului de aplicare, consolidarea practicilor de gestionare a riscurilor și creșterea măsurilor de aplicare.
Caracteristici cheie ale Directivei NIS 2:
Acoperire extinsă la sectoare suplimentare, inclusiv asistență medicală, infrastructură digitală, spațiu și administrație publică.
Cerințe mai stricte de gestionare a riscurilor și obligații de raportare a incidentelor.
Mecanisme de aplicare consolidate, inclusiv sancțiuni mai stricte pentru nerespectare.
Măsuri de securitate obligatorii pentru organizațiile clasificate drept esențiale sau importante.
Cooperare sporită între statele membre ale UE în cadrul Cadrului UE de reziliență a securității cibernetice.
Prezentare generală a standardului ISO 27001:2022
ISO 27001:2022 este un standard recunoscut la nivel global pentru Sistemele de Management al Securității Informațiilor (ISMS). Actualizarea din 2022 rafinează abordarea sa bazată pe riscuri, asigurând alinierea cu amenințările cibernetice în continuă evoluție.
Aspecte cheie ale standardului ISO 27001:2022:
O abordare bazată pe riscuri pentru gestionarea securității informațiilor.
Implementare flexibilă, potrivită pentru organizații din diverse industrii la nivel mondial.
Controale din anexa A adaptate nevoilor moderne de securitate cibernetică, cum ar fi securitatea în cloud, informațiile despre amenințări și gestionarea identității.
Îmbunătățire continuă prin monitorizare și evaluare continuă.
Un proces de certificare care validează respectarea de către o organizație a celor mai bune practici.
Asemănări între NIS 2 și ISO 27001:2022
În ciuda diferențelor lor, NIS 2 și ISO 27001:2022 au obiective cheie comune:
-
Îmbunătățirea rezilienței securității cibernetice prin măsuri de securitate bazate pe risc.
Încurajarea managementului proactiv al riscurilor pentru a preveni amenințările cibernetice.
Promovarea îmbunătățirii continue a practicilor de securitate cibernetică.
Impunerea planificării răspunsului la incidente pentru a minimiza impactul încălcărilor de securitate.
Accentuarea responsabilității și solicitarea implicării managementului de top în guvernanța securității cibernetice.În continuare puteți găsi o scurtă corespondență între cerințele NIS 2 și modul în care ISO 27001:2022 răspunde:
|
Nr. |
Cerința NIS 2 |
Articol NIS 2 |
Clauza sau controlul ISO 27001 |
Document sugerat |
|
1 |
Organele de conducere trebuie să aprobe măsurile de gestionare a riscurilor de securitate cibernetică |
Articolul 20 alineatul (1) |
5 – Conducere |
Decizia de conducere privind aprobarea măsurilor de gestionare a riscurilor de securitate cibernetică |
|
2 |
Organele de conducere trebuie să supravegheze punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică |
Articolul 20 alineatul (1) |
9.1 Monitorizare, măsurare, analiză și evaluare 9.2 Audit intern 9.3 Revizuirea conducerii |
Raport de evaluare |
|
3 |
Membrii organelor de conducere sunt obligați să urmeze cursuri de formare și trebuie să ofere în mod regulat o formare similară angajaților lor |
Articolul 20 alineatul (2) |
7.2 Competență A.6.3 Conștientizare, educație și formare în domeniul securității informațiilor |
Planul de formare și conștientizare |
|
4 |
Entitățile trebuie să ia măsuri tehnice, operaționale și organizaționale adecvate și proporționale pentru a gestiona riscurile |
Articolul 21 alineatul (1) |
6.1.3 Tratamentul riscurilor de securitate a informațiilor 6.2 Obiectivele de securitate a informațiilor și planificarea pentru atingerea acestora 8.1 Planificarea și controlul operațional |
Tabelul de tratament al riscurilor |
|
5 |
La evaluarea proporționalității măsurilor, se ține seama în mod corespunzător de gradul expunerii entității la riscuri, de dimensiunea entității și de probabilitatea apariției incidentelor și de gravitatea acestora, inclusiv de impactul lor societal și economic |
Articolul 21 alineatul (1) |
6.1.2 Evaluarea riscurilor de securitate a informațiilor |
Metodologia de evaluare a riscurilor Evaluarea |
|
6 |
Politica privind analiza riscurilor |
Articolul 21 alineatul (2) litera (a) |
6.1.2 Evaluarea riscurilor de securitate a informațiilor |
Metodologia de evaluare a riscurilor |
|
7 |
Politica privind securitatea sistemelor informatice |
Articolul 21 alineatul (2) litera (a) |
5.2 Politica |
Politica privind securitatea sistemelor informatice |
|
8 |
Gestionarea incidentelor |
Articolul 21 alineatul (2) litera (b) |
A.5.24 Planificarea și pregătirea gestionării incidentelor de securitate a informațiilor A.5.25 Evaluarea și luarea deciziilor cu privire la evenimentele de securitate a informațiilor A.5.26 Răspunsul la incidentele de securitate a informațiilor |
Procedura de gestionare a incidentelor + jurnalul de incidente |
|
9 |
Continuitatea afacerii |
Articolul 21 alineatul (2) litera (c) |
A.5.29 Securitatea informațiilor în timpul întreruperii |
Planul de continuitate a afacerii |
|
10 |
Gestionarea copiilor de rezervă |
Articolul 21 alineatul (2) litera (c) |
A.8.13 Backup de informații |
Politica de backup |
|
11 |
Recuperare în caz de caz |
Articolul 21 alineatul (2) litera (c) |
A.5.30 Pregătirea TIC pentru continuitatea activității A.8.14 Redundanța instalațiilor de prelucrare a informațiilor |
Plan de recuperare în caz de caz de dezastru |
|
12 |
Managementul crizelor |
Articolul 21 alineatul (2) litera (c) |
(nu are o clauză direct relevantă și nici un control în ISO 27001) |
Planul de gestionare a crizelor |
|
13 |
Securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate privind relațiile dintre fiecare entitate și furnizorii săi direcți sau prestatorii de servicii |
Articolul 21 alineatul (2) litera (d) |
A.5.19 Securitatea informațiilor în relațiile cu furnizorii A.5.20 Abordarea securității informațiilor în cadrul acordurilor cu furnizorii A.5.21 Gestionarea securității informațiilor în lanțul de aprovizionare TIC A.5.22 Monitorizarea, revizuirea și gestionarea modificărilor serviciilor furnizorilor A.5.23 Securitatea informațiilor pentru utilizarea serviciilor cloud |
Politica de securitate a furnizorilor Clauze de securitate pentru furnizori și parteneri Declarație |
|
14 |
Securitatea în achiziția, dezvoltarea și întreținerea rețelelor și sistemelor informatice |
Articolul 21 alineatul (2) litera (e) |
A.8.6 Managementul capacității A.8.7 Protecția împotriva malware-ului A.8.8 Gestionarea vulnerabilităților tehnice A.8.9 Managementul configurației A.8.25 Ciclul de viață al dezvoltării securizate |
Politica de dezvoltare securizată |
|
15 |
Politici și proceduri de evaluare a eficacității măsurilor de gestionare a riscurilor de securitate cibernetică |
Articolul 21 alineatul (2) litera (f) |
9.1 Monitorizare, măsurare, analiză și evaluare 9.2 Audit intern 9.3 Revizuirea conducerii |
Metodologia de măsurare Raportul de măsurare |
|
16 |
Practici de igienă cibernetică de bază |
Articolul 21 alineatul (2) litera (g) |
A.6.8 Raportarea evenimentelor de securitate a informațiilor A.7.7 Birou și ecran clar A.7.9 Securitatea activelor în afara sediului A.7.10 Medii de stocare A.8.1 Dispozitive endpoint ale utilizatorilor A.8.5 Autentificare securizată A.8.7 Protecție împotriva programelor malware A.8.13 Backup al informațiilor A.8.19 Instalarea software-ului pe sistemele operaționale A.8.24 Utilizarea criptografiei |
Politica de securitate IT |
|
17 |
Instruire în securitate cibernetică |
Articolul 21 alineatul (2) litera (g) |
7.2 Competență A.6.3 Conștientizare, educație și formare în domeniul securității informațiilor |
Plan de formare și conștientizare |
|
18 |
Politici și proceduri privind utilizarea criptografiei și criptării |
Articolul 21 alineatul (2) litera (h) |
A.8.24 Utilizarea criptografiei |
Politica privind utilizarea criptării |
|
19 |
Securitatea resurselor umane |
Articolul 21 alineatul (2) litera (i) |
A.6.1 Screening A.6.2 Termeni și condiții de angajare A.6.3 Conștientizare, educație și formare în domeniul securității informațiilor A.6.4 Proces disciplinar A.6.5 Responsabilități după încetarea sau schimbarea contractului de muncă |
Politica de securitate pentru resurse umane |
|
20 |
Politicile de control al accesului |
Articolul 21 alineatul (2) litera (i) |
A.5.15 Controlul accesului |
Politica de control al accesului |
|
21 |
Managementul activelor |
Articolul 21 alineatul (2) litera (i) |
A.5.9 Inventarul informațiilor și al altor active asociate A.5.10 Utilizarea acceptabilă a informațiilor și a altor active asociate A.5.11 Restituirea activelor A.7.9 Securitatea activelor din afara spațiilor comerciale |
Procedura de gestionare a activelor |
|
22 |
Utilizarea soluțiilor de autentificare multi-factor sau de autentificare continuă |
Articolul 21 alineatul (2) litera (j) |
A.5.16 Gestionarea identității A.5.17 Informații de autentificare A.8.5 Autentificare securizată |
Politica de autentificare |
|
23 |
Comunicații vocale, video și text securizate |
Articolul 21 alineatul (2) litera (j) |
A.5.14 Transferul de informații A.8.21 Securitatea serviciilor de rețea |
Politica de transfer de informațiiPolitica de comunicare securizată |
|
24 |
Sisteme securizate de comunicații de urgență în cadrul entității |
Articolul 21 alineatul (2) litera (j) |
A.8.20 Securitatea rețelelor |
Politica de comunicare securizată |
|
25 |
Ține seama de vulnerabilitățile specifice fiecărui furnizor și furnizor de servicii direct, precum și de calitatea generală a produselor și a practicilor de securitate cibernetică ale furnizorilor și furnizorilor de servicii ale acestora, inclusiv de procedurile de dezvoltare securizate ale acestora; |
Articolul 21 alineatul (3) |
A.5.19 Securitatea informațiilor în relațiile cu furnizorii A.5.21 Gestionarea securității informațiilor în lanțul de aprovizionare TIC A.5.22 Monitorizarea, revizuirea și gestionarea modificărilor serviciilor furnizorilor A.5.23 Securitatea informațiilor pentru utilizarea serviciilor cloud |
Raportul privind evaluarea riscurilor și tratamentul |
|
26 |
Ia măsuri corective adecvate și proporționale |
Articolul 21 alineatul (4) |
10.2 Neconformitate și acțiuni corective |
Procedura pentru acțiuni corective Formular de acțiune corectivă |
|
27 |
Continuitatea afacerii – Recuperare în caz de dezastru |
Articolul 21 alineatul (2) litera (c) |
Procesul de analiză a impactului asupra afacerii |
|
|
28 |
Managementul crizelor |
Articolul 21 alineatul (2) litera (c) |
Încălcarea datelor planului de răspuns la incidente |
Strategii de conformitate și cele mai bune practici
Organizațiile care intră sub incidența Directivei NIS 2 pot utiliza ISO 27001:2022 ca o abordare structurată pentru a eficientiza conformitatea. Strategiile recomandate includ:
- Alinierea ISMS la cerințele NIS 2 pentru a se asigura că evaluările riscurilor și controalele de securitate îndeplinesc așteptările de reglementare.
- Stabilirea unei structuri de guvernanță care să satisfacă atât conformitatea cu reglementările, cât și certificarea ISO.
- Îmbunătățirea mecanismelor de raportare a incidentelor pentru a respecta termenele stricte de raportare ale NIS 2.
- Efectuarea de audituri de securitate regulate pentru a menține conformitatea cu ambele cadre.
- Implementarea programelor de formare a angajaților pentru a îmbunătăți gradul de conștientizare a securității cibernetice.
Concluzie
Atât Directiva NIS 2, cât și ISO 27001:2022 joacă un rol semnificativ în promovarea securității cibernetice. În timp ce NIS 2 este o reglementare UE obligatorie care vizează protejarea serviciilor esențiale, ISO 27001:2022 este un standard internațional voluntar care oferă o abordare flexibilă a managementului securității informațiilor.
Organizațiile care operează în UE sunt încurajate să adopte ISO 27001:2022 ca cadru fundamental pentru respectarea conformității NIS 2, asigurând o postură de securitate cibernetică puternică și conformă cu reglementările. Prin integrarea punctelor forte ale ambelor cadre, companiile pot obține o mai mare rezistență împotriva amenințărilor cibernetice într-o lume din ce în ce mai digitală.
