Ključni izazovi i (ne)spremnost organizacija za NIS2 i DORA-u

Ključni izazovi i (ne)spremnost organizacija za NIS2 i DORA-u

Novi EU regulatorni okviri koje nam donose NIS2 i DORA svakako bi trebali povećati nivo sigurnosne zrelosti brojnih organizacija i njihovih poslovanja. No iako je riječ o pozitivnom koraku naprijed, prema rezultatima istraživanja koje smo proveli za potrebe našeg velikog godišnjeg izvještaja Stanje sigurnosti 2023., NIS2 i DORA izvor su brojnih pitanja i izazova.

Razina svijesti poslovodstva o zahtjevima NIS2 i DORA-e

Saznanja do kojih smo došli ukazuju kako poslovodstva organizacija nisu na jednak način informirana o NIS2 Direktivi te novim obvezama i odgovornostima koje iz nje proizlaze. Navedeno se ponajviše odnosi na subjekte koji će biti klasificirani kao važni i koji će tek postati obveznici Zakona. Neki od subjekata iz novih sektora u opsegu (npr.: telekomi, poštanske usluge, proizvodnja) do sada su bili regulirani zakonima specifičnim za njihovu industriju i područje poslovanja, dok zaštita informacijske i kibernetičke sigurnosti najčešće nije bila u fokusu.

S druge strane, očekivano, financijska industrija koja je navikla na visoke zahtjeve informacijske i kibernetičke sigurnosti prednjači u aktivnostima koje se poduzimaju kako bi se osigurala zahtijevana razina sukladnosti s DORA-om.

Slika 1. Znate li što za vašu organizaciju znači donošenje regulativa NIS2 / CRA / DORA?, [Izvor: Diverto]

35% organizacija svjesno je da će postati novi obveznici jedne od navedenih regulativa te znaju što to za njih znači, dok 22% organizacija nije sigurno što će za njih značiti nove regulative niti odnosi li se neka od regulativa na njih.

Pripremite budžet za usklađivanje

Za implementaciju zahtjeva koji proizlaze iz novih regulativa, potrebno je pravovremeno izdvojiti i prikladan budžet.

Temeljem podataka koje smo prikupili, organizacije koje su svjesne i sigurne da će biti obveznici NIS2/CRA/DORA regulativa izdvajaju veći postotak IT budžeta u odnosu na sve ispitane organizacije u 2022. i 2023. godini.

To se najviše prepoznaje iz činjenice da 23% obveznika regulativa izdvaja više od 5% i manje od 10% IT budžeta za informacijsku/kibernetičku sigurnost u odnosu na 18% svih ispitanih organizacija u 2023., odnosno 21% organizacija u 2022. godini.

Slika 2. Alokacija budžeta za informacijsku/kibernetičku sigurnost kod organizacija koje su svjesne i sigurne da će biti obveznici NIS2/DORA/CRA regulativa u odnosu na sve ispitane organizacije u ovoj i prošloj godini [Izvor: Diverto]

Organizacije obveznice regulativa koje nisu izdvojile sredstva za usklađivanje najčešće:

→ nisu svjesne zahtjeva regulativa vezanih uz informacijsku i kibernetičku sigurnost niti hoće li se oni odnositi na njih,

→ svjesne su regulativa, ali smatraju da postoji dovoljno vremena za usklađivanje,

→ svjesne su regulativa, ali smatraju da regulative, posebno NIS2, neće zaživjeti na način kako su definirane zbog čega nemaju ni strah od sankcija.

Manjak stručnjaka za cyber sigurnost

Uz nove regulatorne zahtjeve i činjenicu da u području informacijske i kibernetičke sigurnosti općenito postoji značajan manjak ljudskih resursa, za očekivati je da će navedeno u narednim godinama predstavljati još veći izazov nego što je to bilo do sada. Na veliki porast potražnje za resursima utjecat će organizacije koje do sada nisu upravljale informacijskom i kibernetičkom sigurnošću na primjeren ili ni na koji način.

S obzirom na ograničenu ponudu resursa na tržištu i nemogućnost izgradnje kapaciteta za upravljanje informacijskom i kibernetičkom sigurnošću „iznutra“, organizacije sve više prepoznaju praktičnost i dodanu vrijednost eksternaliziranih usluga kao što su Cyber Threat Intelligence, vCISO, Sigurnosni Operativni Centar.

• 70% ispitanih organizacija koje su svjesne i sigurne da će biti obveznice NIS2/DORA/CRA regulativa je alociralo budžet u svrhu usklađivanja.
• 40% istih je zaključilo da aktivnosti usklađivanja neće biti u mogućnosti samostalno provesti.
• 50% organizacija koje nisu sigurne što će za njih značiti nove regulative niti odnosi li se neka od regulativa na njih nemaju IT budžete ili nisu sigurne koliki postotak IT budžeta imaju na raspolaganju za potrebe informacijske i kibernetičke
• Međutim, prema rezultatima naših ispitivanja, 80% organizacija koje su svjesne i sigurne da će biti obveznici NIS2/DORA/CRA regulativa, smatra da ulaganja u informacijsku i kibernetičku sigurnost omogućavaju sigurno poslovanje i otpornost na kibernetičke napade.

Izazovi koje donose zahtjevi regulativa

Ukoliko bismo izdvojili ključne zahtjeve koji proizlaze iz regulativa, s naglaskom na NIS2, to bi bili zahtjevi vezani uz upravljanje rizikom, lancem opreme, incidentima i kontinuitetom poslovanja.

Usporedili smo razine zrelosti navedenih procesa kod organizacija s kojima surađujemo i to po industrijama:

Slika 3. Prosječna razina zrelosti promatranih ključnih područja po industrijama, [Izvor: Diverto]

1. UPRAVLJANJE RIZIKOM

NIS2 definira područja informacijske sigurnosti koja moraju minimalno biti obuhvaćena procjenom rizika i na koja se moraju primijeniti tehničke, operativne i organizacijske mjere. Cilj primjene mjera je osiguranje prevencije ili svođenje utjecaja incidenta na minimum.

Slika 4. Prikaz uspostave procesa upravljanja neplaniranim situacijama, [Izvor: Diverto]

2. UPRAVLJANJE INCIDENTIMA

Uspostava procesa koji obuhvaća praćenje, evidentiranje i prijavljivanje incidenata. Ključni i važni subjekti moraju imati uspostavljene procese za brzo izvješćivanje o sigurnosnim incidentima sa znatnim utjecajem na pružanje njihove usluge ili primatelje. NIS2 postavlja posebne rokove obavijesti, kao što je 24-satno „rano upozorenje“.

Slika 5. Prikaz uspostavljanja procesa izvještavanja [Izvor: Diverto]

3. UPRAVLJANJE LANCEM OPSKRBE

Najviše bojazni oko postizanja sukladnosti vezano je uz upravljanje lancem opskrbe. Naime, kroz proces upravljanja lancem opskrbe na način kako to zahtijevaju regulative, potrebno je identificirati cjelokupni lanac odgovornosti i nadležnosti. Provjereno i sigurno partnerstvo između pružatelja upravljanih usluga, dobavljača softvera, hardvera i drugih obveznika zakona postaje važnije no ikad.

Osim već poznatih zahtjeva koji su vezani uz upravljanje lancem opskrbe, u obzir će biti potrebno uzeti i:

• specifične ranjivosti,
• sveukupnu kvalitetu proizvoda,
• razinu informacijske i kibernetičke sigurnosti dobavljača do kraja opskrbnog lanca,
• procedure sigurnog razvoja proizvoda/usluge.

4. OTPORNOST I UPRAVLJANJE KONTINUITETOM POSLOVANJA

Uz osnovnu higijenu informacijske/kibernetičke sigurnosti koja se odnosi na razinu dobrih navika koje su korisnici informacijskih i kibernetičkih sustava usvojili, kojih se svakodnevno pridržavaju i koje u konačnici pomažu u ublažavanju posljedica potencijalnih incidenata, neizbježno je spomenuti upravljanje kontinuitetom poslovanja. Da bi organizacija osigurala otpornost i kontinuitet poslovanja u slučaju nastanka neželjenih događaja, važno je uspostaviti proces upravljanja neplaniranim situacijama prije i nakon nastanka incidenta.

Promotrivši organizacije koje su svjesne i sigurne da će biti obveznici NIS2/CRA/DORA regulativa:

• 67% na sastancima uprave NE raspravlja o pitanjima informacijske/kibernetičke sigurnosti ili raspravlja samo u slučaju incidenta ili drugog (potencijalnog) problema vezanog uz informacijsku/ kibernetičku sigurnost.
• 83% smatra da će uspjeti na vrijeme postići sukladnost sa zahtjevima navedenih regulativa.
• 43% nema ili ne zna ima li uspostavljen sustav upravljanja informacijskom/kibernetičkom sigurnošću (ISMS/CSMS).
• 63% smatra da je ZKS dobar i da pokriva ključna područja kibernetičke sigurnosti nužna za funkcioniranje države.
• 30% nema definirane i uvježbane načine odgovora na incidente.

Provjerite jeste li usklađeni s NIS2 Direktivom

Niste 100% sigurni odnosi li se NIS2 Direktiva na vaše poslovanje? Određene mjere ste već poduzeli pa se pitate koliko ste već sada usklađeni s njenim propisima. Kako biste lakše procijenili svoju sigurnosnu zrelost, preuzmite alat za samoprocjenu te započnite svoj put usklade s NIS2 Direktivom.