NIS2 audits un ieviešana

NIS2 ir Eiropas Savienības kiberdrošības direktīva, kas stājās spēkā 2023. gadā un ir obligāta ieviešanai dalībvalstīs līdz 2024./2025. gadam. Tā paplašina sākotnējās NIS direktīvas prasības un nosaka stingrākus noteikumus organizācijām, kuras sniedz būtiskus vai svarīgus pakalpojumus. Direktīvas mērķis ir paaugstināt kopējo kiberdrošības līmeni Eiropā, nodrošinot vienotu pieeju risku vadībai, incidentu ziņošanai un piegādes ķēžu drošībai. NIS2 īpaši uzsver vadības atbildību: uzņēmumu vadītājiem ir jānodrošina atbilstoša stratēģija un resursi kiberdrošības pasākumiem. Tāpat tiek prasīta regulāra personāla apmācība un tehnisko kontroļu ieviešana – piekļuves pārvaldība, datu rezerves kopijas, notikumu žurnālu uzturēšana, kā arī uzraudzības risinājumi (EDR, SIEM u.c.). Mēs palīdzam gan ar sākotnējo atbilstības novērtējumu, gan ar praktisku ieviešanu un pierādāmu kontroles pasākumu dokumentēšanu.

Ko iegūstat

• Detalizētu atbilstības statusa novērtējumu un ceļa karti turpmākajiem soļiem
• Dokumentētu politiku, procedūras un incidentu pārvaldības mehānismus
• Tehniskos ieteikumus: piekļuves vadība, rezerves kopijas, notikumu žurnāli, EDR/SIEM
• Vadības informēšanu, regulāras atskaites un personāla apmācības
• Samazinātu juridisko un finanšu risku, kas saistīts ar neatbilstību NIS2

NIS2 attiecas uz “būtiskajiem” un “svarīgajiem” subjektiem vairākās nozarēs: enerģētikā, transportā, ūdensapgādē, veselības aprūpē, finanšu un publiskajos pakalpojumos, IKT infrastruktūrā un pārvaldītajos pakalpojumos (MSP/MSSP), kā arī datu centros un digitālajos pakalpojumos. Direktīva paredz arī piegādes ķēdes drošību – tas nozīmē, ka prasības var skart piegādātājus un ārpakalpojumu sniedzējus. Praktiski tas bieži attiecas uz vidējiem un lieliem uzņēmumiem ar būtisku ietekmi uz pakalpojumu nepārtrauktību. ENISA publiski apkopo nozaru skaidrojumus un labās prakses – tas palīdz saprast, vai jūsu organizācija ietilpst tvērumā un kā sagatavoties pārbaudei.

• IKT un pārvaldīti pakalpojumi (MSP/MSSP), mākoņrisinājumi
• Enerģētika, transports, ūdensapgāde, veselība un publiskie pakalpojumi
• Digitālie pakalpojumi un datu centri, interneta apmaiņas punkti
• Vidēji un lieli uzņēmumi ar būtisku ietekmi uz pakalpojumu nepārtrauktību

1. 01
   Ātra ieinteresēto pušu intervija
   Kartējam sistēmas, datu plūsmas un atbildības. Noskaidrojam pašreizējās tehniskās un organizatoriskās kontroles, līgumus ar piegādātājiem un incidentu praksi.
2. 02
   NIS2 gap-analīze
   Salīdzinām direktīvas prasības ar reālo stāvokli, identificējam neatbilstības un riskus: piekļuves, rezerves kopijas, žurnāli, atjaunošana, piegādes ķēde, apmācības u.c.
3. 03
   Ceļa karte un prioritātes
   Sastādām īstenojamu plānu: kārtību, termiņus un atbildīgos. Nosakām ātrās uzvaras (quick wins) un kritiskās darbības ar lielāko ietekmi.
4. 04
   Dokumentācija un tehniskie darbi
   Izstrādājam politikas/procedūras, ieviešam un pielāgojam kontroles: piekļuves, rezerves kopijas, uzraudzību (EDR/SIEM), žurnālus un ziņošanas kārtību.
5. 05
   Apmācības un audits
   Apmācām komandu, testējam incidentu procesu (tabletop), veicam iekšējo auditu un sagatavojam pierādījumus atbilstībai (evidence pack).

Tipisks termiņš: 4–12 nedēļas atkarībā no apjoma. Sadarbības formāts — elastīgs: varam strādāt posmos vai pilnā ciklā līdz pārbaudei.

• Gap-analīzes atskaiti ar riskiem, ietekmēm un prioritātēm
• Politikas un procedūras: piekļuves, rezerves kopijas, incidentu pārvaldība, izmaiņu vadība
• Aktīvu reģistru un kritisko atkarību (sistēmas/piegādātāji) karti
• Incidentu pārvaldības plānu: noteikumi, eskalācija, ziņošana 24h/72h
• Tehnisko kontroļu ieviešanas ieteikumus un konfigurāciju aprakstus (EDR, SIEM, žurnāli)
• Apmācību materiālus un vadības informēšanas paketēšanu (kopsavilkumi, KPI)
• Evidence pack: pārskati, protokoli un pierādījumi atbilstībai

Piedāvājam fiksētas paketes un pielāgotus projektus atkarībā no tvēruma, sistēmu skaita un piegādes ķēdes sarežģītības.

Precīza cena pēc bezmaksas izpētes zvana (30–45 min). Strādājam caurspīdīgi un ar konkrētiem rezultātiem.