ZInfV-1 in DORA: ključni vpogledi in praktični napotki za uspešno izvajanje nove regulative

03. 10. 2024 ob
09:00 uri
00
Dni
00
Ur
00
Minut
00
Sekund
Hvala za sodelovanje na konferenci. Se vidimo prihodnje leto!
Bela dvorana, Grand hotel Union
750 x 500_CARBONSEC_2024

V današnjem digitalnem svetu sta kibernetska varnost in odpornost postali ključnega pomena za vsako organizacijo. Novi regulativi ZInfV-1 in DORA prinašata pomembne spremembe, ki od podjetij zahtevajo okrepljeno pozornost na področju kibernetske odpornosti in skladnosti z zakonodajo. Povečuje  se potreba po celovitem pristopu k kibernetski varnosti in skladnosti z zakonodajo. Skladnost z zakonodajo, ki jo zahtevata ZInfV-1 in DORA, vključuje prilagajanje poslovnih procesov, vzdrževanje natančnih zapisov o varnostnih ukrepih in incidentih ter redno poročanje regulatorjem. Podjetja morajo vzpostaviti transparenten odnos z regulativnimi organi in sodelovati pri revizijah ter inšpekcijah. Preverjanje skladnosti z uredbo DORA zahteva, da organizacije opravijo celovito oceno skladnosti, identificirajo obstoječe vrzeli v skladnosti in razvijejo načrt za njihovo odpravo.

Pri zagotavljanju skladnosti z novimi regulativnimi zahtevami je pomembno upoštevati dobre prakse. Mednje sodijo izvajanje rednih notranjih revizij, uporaba avtomatiziranih orodij za spremljanje skladnosti ter spodbujanje kulture varnosti in skladnosti v podjetju. Vključevanje kibernetske varnosti in skladnosti v korporativno kulturo ter zagotavljanje, da so vsi zaposleni zavezani k upoštevanju varnostnih standardov, sta ključna koraka do uspešne implementacije teh zahtev.

O tem je Matjaž Kosem, direktor podjetja Carbonsec, povedal: “Nova lokalna zakonodaja in evropska regulativa za področje informacijske in kibernetske varnosti prinašata spremembe tako za organizacije, ki so že vešče strateškega upravljanja z varnostnimi tveganji, še bolj pa za tiste, ki upravljanja informacijskega varnosti do zdaj niso povezovale s področjem skladnosti.

Glede na interpretacije direktive NIS2, ki je osnova za novi Zakon o informacijski varnosti, bo sčasoma verjetno večina podjetij podvržena temu zakonu. Morda se nam v majhnih organizacijah zdi, da smo daleč od meril, po katerih se podjetja uvrščajo med zavezance, a smo lahko po drugi strani preko dobavne verige povezani s podjetji, ki bodo od nas kot dobaviteljev zahtevala skladnost z zakonom.

Kot specialisti za vdorna testiranja se srečujemo z organizacijami z različno stopnjo zrelosti na področju kibernetske varnosti. Nekatere želijo zgolj doseči skladnost z obstoječo regulativo, druge niso podvržene nobeni regulativi, temveč varnost svojih informacijskih sistemov preverjajo zaradi želje po izboljševanju poslovnega okolja, storitev ali produktov. Kaže pa se, da je največ organizacij v tretji skupini, ki jo je resda regulativa spodbudila k izboljševanju kibernetske varnosti, hkrati pa so v tem prepoznali tudi dejansko dodano vrednost in priložnost za izboljšave, ki vplivajo na vsa področja poslovanja. Ocenjujemo, da bo po uvedbi novega zakona delež organizacij v tej skupini še večji, kar je s stališča krepitve kibernetske odpornosti družbe zelo dobrodošlo.

Ne glede na motivacijo za izvajanje aktivnosti, je na področju informacijske in kibernetske varnosti smiselen planski pristop, saj se sicer lahko izgubimo med številnimi možnostmi za nadgradnje in izboljšave. Smotrno je, da na letni ali celo večletni ravni načrtujemo, kakšne aktivnosti in ukrepe bomo v ta namen izvajali in kako bomo preverjali njihovo učinkovitost.

Ko načrtujete aktivnosti, imejte v mislih vsaj naslednje tri komponente: zaznavanje varnostnih dogodkov, preverjanje, ali zaznava učinkovito deluje, in ustrezno varnostno kopiranje, če kljub vsemu pride do kibernetskega vdora. Korake preverjanja delovanja redno ponavljajte. Le cikličen proces lahko prinese dolgoročne izboljšave. Pri tem je smiselno izhajati iz vsakokratne ocene tveganja in popisa informacijskih sredstev, ki upoštevata vse bistvene spremembe v IT ali OT okolju. V kontekstu upravljanja tveganj so pomemben del tudi uporabniki, ki jih moramo redno ozaveščati o pomenu odgovornega ravnanja v digitalnem svetu in uriti v prepoznavanju različnih vrst prevar.

Prav zaradi prepletanja različnih procesov in dogodkov v sistemu upravljanja kibernetske varnosti, smo se v podjetjih Carbonsec, KYBM in HYCU odločili, da skupaj podpremo dogodek Akademije Finance in s svojim znanjem in izkušnjami doprinesemo k zavedanju deležnikov v organizacijah o pomenu strateškega upravljanja kibernetske varnosti.

S premišljenimi ukrepi lahko bistveno prispevamo h kibernetsko varnejši družbi ter zaščitimo tako poslovna okolja kot svojo zasebnost.”

Udeležba na dogodku je BREZPLAČNA!

*Organizator dogodka si pridržuje pravice do spremembe programa.

** Dogodek je namenjen CISO in CIO v podjetjih, ki bodo imeli, zaradi omejenega števila prostih mest, prednost pri udeležbi na dogodku. Organizator si, v primeru prezasedenosti dogodka, pridržuje pravico do zavrnitve udeležbe posameznika, ki ne zaseda zgoraj navedenih položajev v svojem podjetju. O potrditvi oziroma sprejemu prijave vas bomo obvestili naknadno. Zahvaljujemo se vam za razumevanje.

No data was found