Buradayız ! Avrupa NIS 2 direktifi 27 Aralık 2022’de kabul edildi. Fransa’daki uygulaması en geç 2024’ün ikinci yarısında yürürlüğe girecek. güvenlik çözümleri yerel olarak veya “yerinde”.
İlk gözlem: NIS 2 direktifi, hayati öneme sahip operatörler ve onların hayati bilgi sistemleri (SIV) için olduğu gibi, OSE’leri Anssi tarafından etiketlenmiş güvenlik çözümlerini kullanmak zorunda bırakmaz. Bu bakış açısından, kritik bilgi sistemleri (EIS) için mevcut çözümlerinden yararlanmaya devam edebilecek olan SEO’lar için görev bu nedenle daha kolay olacaktır.
Ancak bunu 23 özel kurala uyarak yapmak zorunda kalacaklar. İşte tam bu noktada, bu şirket içi çözümlerin uygun şekilde konuşlandırılmasını, uygun şekilde kullanılmasını ve tam uyum içinde yönetilmesini sağlamak için metne bakmak gerekli hale geliyor.
İşte öne çıkanlar.
Mimari
Ağların bölümlenmesi ve özellikle uzaktan erişim bu direktifle büyük önem kazanıyor. Şirket içi güvenlik çözümlerinin, yalıtılmış bir ağ içinde bile çalışabilecekleri (ve yönetilebilecekleri) bir şekilde konuşlandırılması gerekecektir. Alt ağlar ve akış matrisi arasındaki filtreleme kuralları böylece önemli hale gelir. Çözüm yayıncıları, çözümlerinin düzgün çalışması için ve filtrelemeyi geniş çapta açmak zorunda kalmadan, özellikle yetkilendirilecek akışların listesini sağlayabilmelidir.
Bu, merkezi bir konsola yükselen aracı tabanlı çözümleri de etkileyebilir. Bu aracıları, merkezi konsolları başka bir yere konumlandırılmışken bir EIS içinde kullanmak, özel bir değerlendirme gerektirebilir ve belki de konsolu güvenilir bir bölgeye taşımak olabilir.
Yönetim ve erişim hakları
Yönerge, yönetim ağlarının oluşturulmasını sağlar ve özel yönetim hesaplarının kullanılmasını gerektirir. Bu nedenle şirket içi çözümler, aday yönetim hesaplarının oluşturulmasına izin vermeli ve çözümün kendisinin yönetim yetenekleriyle (bağımsız bir konsolun varlığı) ilişkisizliğini desteklemelidir.
Kerestecilik
Standardın yeni gereksinimlerinin temel direkleri arasında oldukça mantıklı bir şekilde kayıt kapasitesi yer almaktadır. İyi bir günlük kaydı olmadan algılama veya iyi yanıt yoktur. Şirket içi çözümler ayrıntılı bir şekilde iyi olay günlüğü yetenekleri sunmalıdır ve bunlar bir günlük havuzuna (yerel veya bulutta) yüklenebilmeli veya bir SIEM’e entegre edilebilmelidir (bu, başka bir yerde yükümlülüğü yerine getirecektir). günlüklerin korelasyonu ve analizi). Burada fark yaratabilecek olan, yayıncı veya topluluk tarafından sağlanan kaliteli bir bağlayıcının varlığı ve standart değişim formatının kullanılmasıdır.
Güvenli durumda bakım
Yerinde bir çözümün bakımı tamamen şirketin sorumluluğundadır. NIS 2 yönergesi ile karşılaştırıldığında, bir SIE’de dağıtılan şirket içi çözümleri hızlı, yapılandırılmış ve belgelenmiş bir şekilde düzeltebilmek önemli olacaktır. Bu, güncelleme yönetim araçlarının kullanımından olduğu kadar, bu gereksinimi hesaba katması ve çeşitli güncelleme araçları sunması gereken çözümlerin tasarımından da geçer. Daha da önemlisi, organizasyon açısından, çözüm yayıncısının güvenlik açıklarını arama konusundaki duruşu ve konuyu izleme yeteneği hayati hale geliyor.
Gördüğümüz gibi, kurum içi çözümlerin yeni direktifin gereklilikleriyle uyumlu hale getirilmesi, nihayetinde herhangi bir siber güvenlik stratejisinin gündeminde olması gereken kanıtlanmış iyi uygulamalara dayanmaktadır. Bu konuda NIS 2, CIO’ların ve CISO’ların gündemini gereğinden fazla sarsmaz.
Öte yandan, henüz tüm kutuları işaretlememiş olanlar için bu çok iyi bir başlangıç: bu uygulamalar, kontrollü ve etkili siber güvenliğin temelini oluşturuyor. Bu nedenle şirketlerin şirket içi çözümlerini çalıştırma, sürdürme ve güvence altına alma yöntemlerinde olgunluk kazanması gerekecek. Ancak karşılığında, bunlar onlara en hassas değer zincirlerinin tamamı üzerinde çok daha iyi bir kontrol sağlayacaktır.
