Γενικές Πληροφορίες
Η Ευρωπαϊκή Οδηγία 2022/2555 (NIS2), αφορά την επίτευξη υψηλού επιπέδου Κυβερνοασφάλειας στην ΕΕ με άμεσα υπόχρεους φορείς από 18 κλάδους της οικονομίας (τομείς υψηλής κρισιμότητας και άλλοι κρίσιμοι τομείς). Οι άμεσα υπόχρεοι φορείς πολλαπλασιάζονται, καθώς οι αρχικά εντασσόμενοι φορείς οφείλουν να διασφαλίζουν ότι άμεσοι συνεργάτες τους (προμηθευτές υπεργολάβοι), ακολουθούν και αυτοί αντίστοιχες πρακτικές υψηλού επιπέδου Κυβερνοασφάλειας.
Το Θεσμικό Πλαίσιο, εξειδικεύει τις υποχρεώσεις των Φορέων σε 3 Πυλώνες και συγκεκριμένα τους Πυλώνες: ΠΡΟΕΤΟΙΜΑΣΙΑ - Prepare, ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΕΝΤΟΠΙΣΜΟΣ - Protect and detect και ΑΝΤΑΠΟΚΡΙΣΗ – Respond
Το πρόγραμμα δίνει τη δυνατότητα στους φορείς (α) να κατανοήσουν αν εντάσσονται άμεσα ή έμμεσα (β) να γνωρίσουν ποια είναι τα ελάχιστα απαιτούμενα μέτρα για επίτευξη συμμόρφωσης και με (γ) μερικές βασικές τεχνικές κάλυψης αυτών των ελάχιστων μέτρων
Περιεχόμενα
1η Ημέρα
Ενότητα 1: Γενικά σημεία της Οδηγίας NIS-2 και ορολογία
-
Φορείς τομέων υψηλής κρισιμότητας
-
Τομείς άλλων κρίσιμων τομέων
Ενότητα 2: Πυλώνας Προετοιμασία
-
Στρατηγική για την ασφάλεια πληροφοριών (θέσπιση στρατηγικής στην οποία αναλύονται οι στόχοι και η προσέγγιση υψηλού επιπέδου)
-
Διακυβέρνηση, ρόλοι και αρμοδιότητες, συμμόρφωση με νομικές και κανονιστικές υποχρεώσεις, θέσπιση πολιτικών, διαδικασιών κλπ., που αντικατοπτρίζουν τη στρατηγική
-
Η διαχείριση των κινδύνων (αποδεκτές και μη αποδεκτές μεθοδολογίες, πλαίσιο, εντοπισμός, ανάλυση, αξιολόγηση και μετριασμός)
-
Ευαισθητοποίηση και εκπαίδευση προσωπικού και ρόλων
-
Δέουσα επιμέλεια για τρίτα μέρη και προμηθευτές, διατήρηση κεντρικού αποθετηρίου προμηθευτών και άλλων τρίτων μερών
Ενότητα 3: Πυλώνας Προστασία και Εντοπισμός
-
Διαχείριση του κύκλου ζωής των πληροφοριών, ταξινόμηση και επισήμανση
-
Εφεδρικά αντίγραφα, ανάκτηση, πρόληψη απώλειας και διαρροής δεδομένων, ασφάλεια στη μεταφορά
-
Διαχείριση αλλαγών και Διαμόρφωσης (configuration): Θέσπιση, εφαρμογή και διατήρηση διαδικασιών διαχείρισης αλλαγών και διαμορφώσεων
-
Διαχείριση του κύκλου ζωής των στοιχείων ενεργητικού (asset) – κατηγοριοποίηση στοιχείων ενεργητικού
-
Διαχείριση διαθεσιμότητας δικτύων και συστημάτων
-
Προσβάσεις (εσωτερικά, εξωτερικές προσβάσεις και προνομιούχοι λογαριασμοί), ιχνηλασιμότητα και έλεγχος
2η Ημέρα
Συνέχεια Ενότητας 3 Πυλώνας Προστασία και Εντοπισμός
-
Διαχείριση ευπαθειών και ενημερώσεων ασφάλειας: Ανίχνευση και εντοπισμός, καταγραφή και αναφορά, αποκατάσταση και ενημερώσεις ασφαλείας
-
Ασφάλεια περιμέτρου, διαχωρισμός και τμηματοποίηση του δικτύου
-
Προστασία από άρνηση παροχής υπηρεσιών, ασφαλή πρωτόκολλα επικοινωνίας
-
Έλεγχος πρόσβασης στα δίκτυα, εφεδρεία και υψηλή διαθεσιμότητα, ανίχνευση και πρόληψη εισβολών
-
Καταπολέμηση κακόβουλου λογισμικού, θωράκιση και βασικές απαιτήσεις ασφάλειας (ασφάλεια κινητών συσκευών, ασφάλεια αφαιρούμενων αποθηκευτικών μέσων κλπ.)
-
Διαχείριση διαμόρφωσης εφαρμογών
-
Ασφαλής κύκλος ζωής ανάπτυξης λογισμικού
-
Ασφάλεια ανθρώπινων πόρων σε όλο τον κύκλο ζωής (πρόσληψη, κατά τη διάρκεια, κατά τον τερματισμό)
-
Διασφάλιση συμμόρφωσης εργαζομένων, πειθαρχικά μέτρα και επιβολή
-
Ασφάλεια στις σχέσεις με εξωτερικούς συνεργάτες
-
Μέτρα φυσικής και περιβαλλοντικής ασφάλειας περιμέτρου και επιμέρους σημείων με απαιτήσεις ασφάλειας
-
Ασφάλεια καλωδίωσης, εξοπλισμού και εγκαταστάσεων
Ενότητα 4: Ανταπόκριση
-
Ετοιμότητα και εντοπισμός, ανάλυση και αξιολόγηση συμβάντων και περιστατικών
-
Περιορισμός και ανάκτηση από συμβάντα και περιστατικά
-
Δραστηριότητες μετά το συμβάν / περιστατικό
-
Ρυθμιστικές υποχρεώσεις κοινοποίησης συμβάντος, επικοινωνία με ενδιαφερόμενους φορείς για συμβάντα και περιστατικά και συνεργασία
-
Ανάλυση επιχειρησιακών επιπτώσεων
-
Σχεδιασμοί επιχειρησιακής συνέχειας
-
Ασκήσεις και προσομοιώσεις επιχειρησιακής συνέχειας
-
Αποκατάσταση από καταστροφή
Συσχέτιση απαιτούμενων σημείων της Οδηγίας NIS-2 με τις απαιτήσεις του προτύπου ISO 27001 (έκδοση 2013 και έκδοση 2022)
Πηγές ευρύτερης μελέτης