NIS2 atbilstības pakalpojumi — no gap analīzes līdz pilnai atbilstībai
NIS2 direktīva ir mainījusi kiberdrošības regulējuma ainavu visā Eiropas Savienībā, un Latvijā tās prasības ir transponētas Nacionālās kiberdrošības likumā (NKDL). Ja jūsu uzņēmums sniedz digitālos pakalpojumus, darbojas enerģētikas, transporta, veselības aprūpes, finanšu vai ražošanas nozarē — NIS2 atbilstība vairs nav izvēle, bet gan juridisks pienākums ar nopietnām sekām par neizpildi.
securIT piedāvā pilnu NIS2 atbilstības pakalpojumu paketi — no sākotnējās gap analīzes līdz pilnīgai atbilstībai 90 dienu laikā. Mēs neesam konsultanti, kas atstāj jūs ar biezu dokumentu kaudzi un neskaidrībām — mēs ieviešam, testējam un nodrošinām nepārtrauktu atbilstību. Mūsu komanda jau ir palīdzējusi vairāk nekā 30 Latvijas uzņēmumiem sasniegt NIS2 atbilstību, un mēs zinām, kā šo procesu padarīt efektīvu un izmaksu ziņā saprātīgu.
Sodu apmērs par NIS2 neievērošanu var sasniegt līdz €10 000 000 vai 2% no uzņēmuma globālā apgrozījuma (atkarībā no tā, kurš ir lielāks). Turklāt vadība personīgi ir atbildīga par atbilstības nodrošināšanu. Neatlieciet šo jautājumu — katrs kavēšanās mēnesis palielina risku.
Ko NIS2 prasa no Latvijas uzņēmumiem?
NIS2 direktīva un tās Latvijas transponējums — Nacionālās kiberdrošības likums (NKDL) — nosaka stingras prasības organizācijām, kas klasificētas kā būtisko vai svarīgo pakalpojumu sniedzēji. Prasības aptver visu kiberdrošības pārvaldības spektru.
Pirmkārt, obligāta ir risku pārvaldības sistēmas ieviešana — uzņēmumam jāidentificē, jānovērtē un jāpārvalda kiberdraudi sistemātiski. Otrkārt, jānodrošina incidentu ziņošana — par būtiskiem incidentiem jāziņo CERT.LV 24 stundu laikā, ar pilnu ziņojumu 72 stundu ietvaros. Treškārt, jāievieš tehniskā aizsardzība — šifrēšana, piekļuves kontrole, tīkla segmentācija, ievainojamību pārvaldība, rezerves kopēšana un atkopšanas plāni.
Īpaši svarīga ir piegādes ķēdes drošība — NIS2 prasa novērtēt un pārvaldīt trešo pušu (piegādātāju, pakalpojumu sniedzēju) kiberdrošības riskus. Tas nozīmē, ka pat ja jūsu uzņēmums nav tiešais subjekts, jūsu klienti var pieprasīt NIS2 līmeņa drošību no jums kā piegādātāja.
Vadības atbildība ir vēl viens būtisks elements — uzņēmuma vadītāji (valde, izpilddirektors) ir personīgi atbildīgi par kiberdrošības risku pārvaldību un var tikt saukti pie atbildības par neatbilstību.
securIT NIS2 atbilstības ieviešanas pakete
Mūsu NIS2 atbilstības pakalpojums ir strukturēts kā 90 dienu programma ar skaidriem posmiem, nodevumiem un rezultātiem. Šī nav vienreizēja konsultācija — tas ir pilns atbilstības ceļojums ar praktisku ieviešanu.
1. posms — Gap analīze (1.–2. nedēļa): detalizēts jūsu pašreizējās drošības stāvokļa novērtējums pret NIS2/NKDL prasībām. Identificējam trūkumus un prioritizējam darbības. Nodevums: gap analīzes ziņojums ar rīcības plānu.
2. posms — Risku novērtējums (3.–4. nedēļa): formāla risku identificēšana, novērtēšana un apstrāde atbilstoši ISO 27005 metodoloģijai. Nodevums: risku reģistrs un risku apstrādes plāns.
3. posms — Politiku izstrāde (5.–8. nedēļa): visu nepieciešamo politiku, procedūru un instrukciju izstrāde — kiberdrošības politika, incidentu reaģēšanas plāns, piekļuves kontroles procedūras, darbības nepārtrauktības plāns un citi dokumenti. Nodevums: pilns dokumentācijas komplekts (vidēji 15–20 dokumenti).
4. posms — Tehniskā ieviešana (6.–10. nedēļa): drošības rīku un risinājumu ieviešana atbilstoši risku novērtējuma rezultātiem — SIEM/SOC uzraudzība, EDR, tīkla segmentācija, šifrēšana, MFA, rezerves kopēšana. Nodevums: tehniski ieviesti risinājumi ar konfigurācijas dokumentāciju.
5. posms — Audita sagatavošana (11.–12. nedēļa): iekšējais audits, trūkumu novēršana, valdes ziņojuma sagatavošana, darbinieku apmācība. Nodevums: audita gatavības ziņojums, valdes prezentācija, apmācību materiāli.
6. posms — Nepārtrauktā atbilstība (pēc 90 dienām): ikmēneša atbilstības uzraudzība, ceturkšņa risku pārskatīšana, gada auditi. Pakalpojums sākas no €500/mēnesī.
Kam NIS2 ir obligāta? Subjektu noteikšana
NIS2 subjektu loks ir ievērojami plašāks nekā iepriekšējā NIS direktīvā. Būtisko pakalpojumu sniedzēji (essential entities) ietver enerģētiku, transportu, banku un finanšu tirgus, veselības aprūpi, dzeramā ūdens apgādi, notekūdeņu apsaimniekošanu, digitālo infrastruktūru, IKT pakalpojumu pārvaldību, publisko pārvaldi un kosmosu.
Svarīgo pakalpojumu sniedzēji (important entities) ietver pasta un kurjeru pakalpojumus, atkritumu apsaimniekošanu, ķīmisko vielu ražošanu, pārtikas ražošanu un izplatīšanu, ražošanu (medicīnas ierīces, datori, elektronika, transportlīdzekļi), digitālo pakalpojumu sniedzējus (tiešsaistes tirdzniecība, meklētājprogrammas, sociālie tīkli) un pētniecību.
Lieluma kritēriji: NIS2 attiecas uz vidējiem uzņēmumiem (50+ darbinieki vai €10M+ apgrozījums) un lieliem uzņēmumiem (250+ darbinieki vai €50M+ apgrozījums). Taču neatkarīgi no lieluma NIS2 attiecas uz DNS pakalpojumu sniedzējiem, TLD reģistriem, mākoņdatošanas pakalpojumu sniedzējiem un uzticamības pakalpojumu sniedzējiem.
Neesat pārliecināti, vai NIS2 attiecas uz jūsu uzņēmumu? securIT piedāvā bezmaksas 30 minūšu konsultāciju subjekta noteikšanai — sazinieties ar mums, un mēs kopīgi novērtēsim jūsu statusu.
NIS2 prasību izpildes ceļvedis — kontrolsaraksts
Izmantojiet šo kontrolsarakstu, lai novērtētu savu gatavību NIS2 prasībām un identificētu prioritārās darbības.
Pārvaldība un organizācija: vai ir iecelts kiberdrošības atbildīgais? Vai vadība ir apmācīta kiberdrošības jautājumos? Vai pastāv kiberdrošības politika, kas apstiprināta vadības līmenī? Vai ir noteiktas lomas un atbildības kiberdrošības pārvaldībā?
Risku pārvaldība: vai ir veikts formāls risku novērtējums? Vai ir dokumentēts risku apstrādes plāns? Vai riski tiek regulāri pārskatīti (vismaz reizi ceturksnī)? Vai tiek novērtēti piegādes ķēdes riski?
Tehniskā aizsardzība: vai ir ieviesta daudzfaktoru autentifikācija (MFA) kritiskajām sistēmām? Vai dati tiek šifrēti pārraidē un glabāšanā? Vai ir ieviesta tīkla segmentācija? Vai tiek veikta ievainojamību skenēšana un atjauninājumu pārvaldība? Vai ir ieviests SIEM/SOC monitorings?
Incidentu reaģēšana: vai ir dokumentēts incidentu reaģēšanas plāns? Vai ir noteikta CERT.LV ziņošanas procedūra (24h/72h)? Vai plāns ir testēts pēdējo 12 mēnešu laikā?
Darbības nepārtrauktība: vai ir rezerves kopēšanas stratēģija ar regulāru testēšanu? Vai ir dokumentēts darbības nepārtrauktības plāns? Vai ir noteikti atkopšanas laika mērķi (RTO/RPO)?
Ja uz vairāk nekā 5 jautājumiem atbildējāt "nē" — jums nepieciešama profesionāla palīdzība. securIT NIS2 gap analīze sākas no €2,000 un sniedz pilnīgu skaidrību par nepieciešamajām darbībām.
Investīcijas un termiņi — NIS2 atbilstības izmaksas
NIS2 atbilstības ieviešanas izmaksas ir atkarīgas no uzņēmuma lieluma, nozares un pašreizējā drošības brieduma līmeņa. securIT piedāvā caurspīdīgu cenu struktūru.
Gap analīze un risku novērtējums: €2,000–€5,000 (atkarībā no organizācijas sarežģītības). Pilna NIS2 atbilstības pakete (90 dienu programma): no €5,000 maziem uzņēmumiem līdz €25,000 lielām organizācijām ar sarežģītu infrastruktūru. Nepārtrauktā atbilstības uzraudzība: no €500/mēnesī.
Salīdziniet šīs izmaksas ar potenciālajiem sodiem — līdz €10,000,000 vai 2% no globālā apgrozījuma. Vidēja lieluma Latvijas uzņēmumam ar €20M apgrozījumu maksimālais sods varētu būt €400,000 — tas ir 16x vairāk nekā pilna atbilstības ieviešana.
Turklāt NIS2 atbilstība nav tikai soda novēršana — tā ir investīcija uzņēmuma drošībā, klientu uzticībā un konkurētspējā. Arvien vairāk uzņēmumu izvēlas sadarbības partnerus, pamatojoties uz to kiberdrošības briedumu.
Labākais laiks sākt bija vakar. Otrs labākais laiks — šodien. Sazinieties ar mums, un mēs sāksim ar bezmaksas sākotnējo novērtējumu.
Biežāk uzdotie jautājumi
Kāds ir NIS2 atbilstības nodrošināšanas termiņš Latvijā?
Latvijā NIS2 prasības ir transponētas Nacionālās kiberdrošības likumā (NKDL), kas ir spēkā. Uzņēmumiem, kas ietilpst NIS2/NKDL subjektu lokā, atbilstība ir jānodrošina jau tagad. CERT.LV un Aizsardzības ministrija var veikt pārbaudes jebkurā brīdī. securIT NIS2 atbilstības programma nodrošina pilnu atbilstību 90 dienu laikā.
Vai NIS2 attiecas uz manu uzņēmumu, ja mums ir mazāk nekā 50 darbinieku?
Vispārīgi NIS2 attiecas uz vidējiem un lieliem uzņēmumiem (50+ darbinieki vai €10M+ apgrozījums). Taču neatkarīgi no lieluma NIS2 obligāti attiecas uz DNS pakalpojumu sniedzējiem, mākoņdatošanas pakalpojumu sniedzējiem, TLD reģistriem un uzticamības pakalpojumu sniedzējiem. Turklāt, ja esat lielāka uzņēmuma piegādātājs, jūsu klients var pieprasīt NIS2 līmeņa atbilstību no jums. Piedāvājam bezmaksas 30 minūšu konsultāciju subjekta noteikšanai.
Cik maksā NIS2 atbilstības ieviešana?
securIT NIS2 atbilstības paketes cena sākas no €5,000 maziem uzņēmumiem un var sasniegt €25,000 lielām organizācijām ar sarežģītu infrastruktūru. Gap analīze atsevišķi maksā €2,000–€5,000. Salīdzinot ar potenciālajiem sodiem (līdz €10M vai 2% apgrozījuma), atbilstības ieviešana ir nesamērojami mazāka investīcija.
Mūsu uzņēmums jau daļēji atbilst NIS2 prasībām. Vai varam sākt no tā, kur esam?
Protams! Tieši tāpēc mūsu process sākas ar gap analīzi — mēs novērtējam jūsu pašreizējo stāvokli, identificējam jau izpildītās prasības un koncentrējamies tikai uz trūkumiem. Ja jums jau ir, piemēram, incidentu reaģēšanas plāns vai ieviests MFA — mēs to atzīsim un neliksim maksāt par jau paveikto. Tas var samazināt kopējās izmaksas par 30–50%.
Kas notiks, ja mēs nenodrošināsim NIS2 atbilstību?
NIS2/NKDL pārkāpumu sekas ir daudzslāņainas. Finansiālie sodi var sasniegt €10,000,000 vai 2% no globālā apgrozījuma (būtiskajiem pakalpojumu sniedzējiem) vai €7,000,000/1,4% (svarīgajiem). Vadītāji var tikt personīgi saukti pie atbildības un pat atstādināti no amata. Papildus tam — reputācijas zaudējumi, klientu uzticības krišanās un potenciāls konkurētspējas zaudējums publiskajos iepirkumos, kur NIS2 atbilstība kļūst par priekšnosacījumu.
Vai securIT var palīdzēt arī pēc sākotnējās ieviešanas?
Jā — mēs piedāvājam nepārtrauktu atbilstības uzraudzības pakalpojumu no €500/mēnesī, kas ietver ikmēneša drošības pārskatus, ceturkšņa risku pārskatīšanu, politiku aktualizēšanu, gada iekšējo auditu un atbalstu CERT.LV pārbaudēm. NIS2 atbilstība nav vienreizējs projekts — tā ir nepārtraukts process, un mēs esam jūsu ilgtermiņa partneris.