בית פתרונות AI MedTech אבטחת סייבר לקוחות חברה בלוג English צור קשר
סייברNIS2רגולציהניהול סיכוניםאירופה

NIS2 ב-2026: Playbook ליישום אמיתי, מעבר לרשימות התיוג

Pelican Tech 7 דקות קריאה
קומפוזיציה אבסטרקטית כהה עם נתיבי מעגלים זוהרים בכתום וכחול היוצרים פרימטר הגנתי, מעוררת חוסן סייבר ארגוני

NIS2 נכנסה לתוקף ב-17 בינואר 2024, ולמדינות החברות באיחוד האירופי היה זמן עד 17 באוקטובר אותה שנה כדי להטמיע אותה בחקיקה הלאומית. שנה וחצי אחר כך, התמונה לא מחמיאה: רוב הארגונים שכפופים ל-NIS2 בנו תוכנית על הנייר, אבל לא תוכנית שתעמוד במבחן. יש להם קטלוג בקרות, מרשם סיכונים, מדיניות תגובה לאירועים, וכמעט אפס ראיות תפעוליות שמשהו מהם באמת עובד כשהלחץ עולה.

זה ה-Playbook שאנחנו בפליקן-טק עובדים איתו כדי לקחת ארגון מ"יש לנו מדיניות" לתוכנית שיכולה לעבור בדיקה של רגולטור מקצועי. הוא נוקט עמדה, ולא קריאה משעממת של סעיף 21 אחד-אחד. הוא בנוי על סוג הכשלים שאנחנו רואים בשטח, לא על אלה שהמנסחים בבריסל דמיינו לעצמם.

מה NIS2 באמת דורש מכם

NIS1, הגרסה הקודמת, הייתה בעצם רגולציה צרה לתשתיות לאומיות-קריטיות. NIS2 היא חיה אחרת: רגולציית סייבר רוחבית שחלה על כ-160,000 ישויות ב-18 סקטורים, עם אחריות אישית של ההנהלה הבכירה, חלונות דיווח של 24 ו-72 שעות לאירועים, ודרישה מפורשת לאחריות לכל ספק קריטי בשרשרת האספקה.

יש כאן נקודה שרוב הדירקטוריונים עדיין לא קלטו: הדירקטיבה לא בוחנת אם יש לכם בקרה. היא בוחנת אם אתם יכולים להוכיח שהבקרה הייתה פעילה בתקופה שמעניינת את החוקרים. ההבדל הזה, בין הצהרה לראיה, הוא המקום שבו רוב התוכניות ייכשלו במבחן האמיתי הראשון שלהן.

אם תזכרו רק דבר אחד מהכתבה הזו: האכיפה של NIS2 היא מבוססת-ראיות ורטרוספקטיבית. רגולטור לא מגיע באמצע משבר לשאול אם מצאי הנכסים מעודכן. הוא מגיע אחרי אירוע, ומבקש לראות את מצאי הנכסים כפי שהיה ביום שהפריצה התחילה.

איפה הצוותים של ארגוני mid-market נתקעים

ליווינו עד היום כ-30 תוכניות NIS2 מול רשויות לאומיות בישראל, גרמניה, הולנד ואירלנד. אותם חמישה פערים חוזרים שוב ושוב, בעקביות שמדאיגה אותנו:

  1. יש מצאי נכסים, אבל זה לא המצאי שצוות התגובה משתמש בו. ה-CMDB יושב אצל ה-IT. צוות הזיהוי עובד מול SIEM ruleset שמשתמש בשמות מארחים אחרים. צוות הענן עם schema של תגיות משלו. וכשפריצה קורית, שלושה צוותים עובדים על שלושה גיליונות נפרדים. סעיף 21(2)(א) ב-NIS2 דורש "מדיניות בנושא ניתוח סיכונים ואבטחת מערכות מידע", אבל הגרסה התפעולית שלה היא מקור אמת יחיד לשאלות מה אנחנו מחזיקים, מה זה עושה, ומי אחראי על האבטחה שלו היום.

  2. אף פעם לא מודדים כמה זמן באמת לוקח להפעיל את ה-Runbooks. חלון של 24 שעות להתראה מוקדמת נשמע נדיב, עד שאתם מודדים כמה זמן באמת לוקח ל-on-call: לזהות שהאירוע מחייב דיווח, לדעת איזה CSIRT לאומי מקבל את הדיווח, למצוא את הערוץ הנכון, לקבל אישור משפטי, ולהגיש. בפעם הראשונה שעוברים את כל המסלול end-to-end, זה כמעט תמיד לוקח יותר מ-24 שעות. לפעמים ימים.

  3. רשימות סיכון ספקים הן בעיקר משאלת לב. סעיף 21(2)(ד) דורש במפורש "אבטחת שרשרת אספקה, כולל היבטים הקשורים לאבטחה ביחסים בין כל ישות לבין ספקיה הישירים או נותני שירותים." רוב הרשימות שאנחנו מקבלים מכילות כל ספק שכספים שילמה לו בשלוש השנים האחרונות. הרשימה שרגולטור באמת יקבל היא יותר קצרה ויותר חדה: אילו ספקים יכולים להפיל לנו את השירות, להדליף לנו דאטה, או לשמש pivot לתוקף, ואיזו בקרה ספציפית מצמצמת את הסיכון מכל אחד מהם, בחוזה או במערך האבטחה.

  4. להצפנה אין בעלים. סעיף 21(2)(ח) דורש "מדיניות ונהלים בנוגע לשימוש בקריפטוגרפיה ובהצפנה". כמעט אף ארגון שאנחנו בודקים לא יכול לענות על שתי שאלות בסיסיות: אילו מפתחות מגנים על אילו נתונים, ומה קורה כשמסובבים אחד מהם. הצפנה מטופלת כסדרה של החלטות פר-פרויקט, לא כרשומה מנוהלת.

  5. מעורבות ההנהלה היא של מראית עין. הדירקטיבה מטילה אחריות אישית על מנהלים בכירים, כולל קנסות אישיים ואיסור על תפקידי ניהול. דירקטוריונים שאנחנו עובדים איתם מגיבים לזה לרוב בדרישה ליותר דוחות. אבל הדוחות שהם מבקשים הם כמעט אף פעם לא אלה שיכולים לשנות החלטה. דיווח דירקטוריון שימושי תחת NIS2 צריך לענות על שלוש שאלות בלבד: מה השתנה בתמונת הסיכון שלנו ברבעון הזה? מה החלטנו לעשות בעניין? אילו ראיות יהיו לנו אם נישאל?

תוכנית 90 הימים

אם אתם מתחילים עכשיו, 90 הימים הראשונים הם לא על להשיג תאימות. הם על לבנות את תשתית הראיות שעליה תאימות תוכל לשבת. לנסות לעשות את שני הדברים במקביל זה מתכון מצוין לכישלון.

יום 0–30: מקור האמת

בחרו כלי אחד, ולא משנה אם זה גיליון מסודר או CMDB מלא, והפכו אותו לתשובה היחידה לשאלה "מה אנחנו מחזיקים, מה זה עושה, ומי אחראי לאבטחה שלו היום?" זה היסוד. שום דבר אחר לא חשוב עד שיש את זה. הרבה ארגונים מתפתים לשכלל את השלב הזה עד הסוף לפני שעוברים הלאה. אל תעשו את זה. מצאי 70% נכון שמשתמשים בו כל יום שווה הרבה יותר ממצאי 100% נכון שמתעדכן רבעונית.

מה שאנחנו רוצים לראות עד יום 30:

  • רשומת נכסים אחת שמכילה: בעלים, רמת קריטיות, אם זה בהיקף NIS2 או מחוצה לו, ואילו ספקים תומכים בנכס
  • רשומה קריפטוגרפית אחת מקושרת לרשומת הנכסים: איזה מפתח מגן על איזה נכס, איפה המפתח נמצא, ומי מסובב אותו
  • רשומת ספקים אחת, מדורגת לפי השפעה (ולא לפי כמה כסף משלמים להם)

יום 30–60: למדוד את זמן התגובה

הפעילו שני tabletops לא מתואמים מראש בחלון הזה. לא צריך תרגילי red-team מלאים, אלה באים מאוחר יותר. Tabletops עם שעון, מתעד, וה-on-call rotation האמיתי שלכם. מה שאתם רוצים לקבל מזה זה ציר זמן תגובה מדויק: מהרגע שהאירוע זוהה, דרך הקריאה לצוות, החלטת triage, הכלה, התראת 24 השעות, ועד למילוי השלים של 72 השעות.

מה שמחפשים זה הפער בין מה שכתוב ב-runbook שלכם לזמן האמיתי שזה לוקח. הריצה הראשונה כמעט תמיד 3-5x איטית ממה שה-runbook מבטיח. הריצה השנייה, בהנחה שתיקנתם את הבעיות הברורות, בדרך כלל 1.5-2x איטית. המספר השני הוא הבסיס הכן שאתם מביאים לדירקטוריון ולרגולטור.

יום 60–90: דיווח דירקטוריון שבאמת אומר משהו

החליפו את דוחות האבטחה הקיימים שלכם לדירקטוריון במסמך רבעוני אחד שעונה, לתקופת הדיווח, על השאלות הבאות:

  • אילו 5 הסיכונים העיקריים השתנו מהותית (עלו, ירדו, חדשים, פרשו)?
  • אילו החלטות לקחה ההנהלה בתגובה, ועל איזו ראיה הן התבססו?
  • אילו בקרות בדקנו, ומה הבדיקה גילתה?
  • אילו אירועים או כמעט-אירועים היו לנו, עם ציר זמן ולקחים?

אם חבר דירקטוריון שואל שאלה שהדוח שלכם לא יודע לענות עליה, זה היעד לרבעון הבא. בסופו של דבר, רגולטור יבקש לראות את המסמך הזה. אתם רוצים שהוא לא יבייש אתכם.

הביקורת שאף אחד לא מתכונן אליה

מעבר לתכנון התוכנית, יש תרגיל ספציפי שאנחנו ממליצים לכל ארגון לעשות לפני המפגש הראשון עם הרגולטור: בדיקת איסוף ראיות ביום אחד. בחרו תאריך כלשהו מלפני שנה וחצי. בקשו מצוות האבטחה לאסוף, ביום עבודה אחד, את הראיות התפעוליות שיראו: (א) אילו בקרות היו פעילות באותו תאריך, (ב) אילו שינויים נפרסו ב-30 הימים שלפניו, (ג) אילו אירועים היו פתוחים, ו-(ד) אילו ספקים היו עם גישה למערכות שבתחולה.

רוב הארגונים לא יכולים לעשות את זה בשבוע, שלא לדבר על יום. הפער בין מה שהכלים שלכם שומרים לבין מה שהסיפור הרטרוספקטיבי שלכם דורש הוא הסיכון הכי פחות מוערך בכל הדירקטיבה. וזה מה שהופך חקירה לאכיפה.

איפה אנחנו נכנסים

אנחנו רואים ב-NIS2 לא פרויקט תאימות אלא forcing function שדוחפת ארגוני אבטחה בוגרים לאמץ את המשמעת התפעולית שהם היו צריכים בכל מקרה. תחום ניהול סיכונים וניתוח איומים שלנו בפליקן-טק עוסק בדיוק בבניית התשתית שתיארנו: מרשמי נכסים והצפנה, מדידת זמני תגובה, דיווח רבעוני ברמה שדירקטוריון יכול לעבוד איתה, ומתודולוגיית סיכון ספקים שרגולטורים מקבלים. כשמערכת הניהול הבסיסית בעצמה היא הנושא, צוות ה-ISO 27001 / ISMS שלנו נכנס לתמונה, וכש-detection וזמן תגובה הם הצוואר הבקבוק, המומחים שלנו ל-SIEM/SOAR מצטרפים.

אם אתם שנה וחצי בתוך תוכנית NIS2 שלכם ולא בטוחים אם מה שבניתם יעמוד מול רשות לאומית מוסמכת, זה הזמן לדבר איתנו. הרבה לפני שאירוע יהפוך את השאלה לדחופה.