החלתה של דירקטיבת NIS2 ברחבי האיחוד האירופי מסמנת שינוי משמעותי באופן שבו ארגונים נדרשים לנהל סיכוני סייבר. עבור תעשיית הרכב, המאופיינת בשרשראות אספקה מורכבות, פעילות חוצת גבולות ותלות גוברת במערכות דיגיטליות, מדובר בשינוי בעל השפעה רחבה במיוחד.
רבות מהחברות בענף כבר פועלות במשך שנים תחת מסגרות אבטחת מידע מחמירות, ובהן תקנים מוכרים כמו ISO 27001 ו-TISAX. למרות זאת, הניסיון מפרויקטי יישום NIS2 מלמד כי עמידה בתקנים אלה אינה מבטיחה בהכרח עמידה בדרישות החדשות. הסיבה לכך היא שהדירקטיבה אינה מתמקדת רק באמצעי הגנה טכנולוגיים, אלא דורשת תפיסה רחבה של ניהול סיכונים, ממשל תאגידי ואחריות ניהולית.
בפועל, אין להתייחס ל-NIS2 כאל פרויקט אבטחת מידע נוסף. הם רואים בו פרויקט ארגוני רחב, המחייב חיבור בין הנהלה, משפטנים, מחלקות ציות, מנהלי סיכונים ואנשי טכנולוגיה.
לפני שמיישמים – צריך להבין על מי הרגולציה חלה
אחת הטעויות הנפוצות בפרויקטי NIS2 היא להתחיל מיד בבדיקת בקרות אבטחה, נהלים ומערכות קיימות. אולם השלב הראשון והחשוב ביותר הוא דווקא מיפוי תחולת הרגולציה.
קבוצות רכב גדולות כוללות לעיתים עשרות חברות בנות, מרכזי פיתוח, מפעלי ייצור, חברות שירות ויחידות תפעול. לא כל ישות משפטית בקבוצה בהכרח כפופה לדרישות הדירקטיבה, ולכן נדרש ניתוח מקדים של מבנה הארגון והפעילויות העסקיות.
בשלב זה מומלץ לבחון:
- אילו ישויות מבצעות פעילויות הנכללות בתחולת NIS2
- מהם הקשרים התפעוליים בין החברות השונות בקבוצה.
- אילו שירותים נחשבים קריטיים לפעילות העסקית.
- האם קיימים פערים בין המבנה הארגוני בפועל לבין המבנה המשפטי.
החלטות שגויות בשלב זה עלולות להוביל הן להשקעת יתר והן לחשיפה רגולטורית מיותרת.
הרי כל הרעיון הוא במיקוד נכון של הפרויקט, והימנעות מפיזור הסקופ.
לכן ארגונים רבים מגלים כי מיפוי התחולה הוא אחד השלבים החשובים ביותר בפרויקט כולו.
NIS2 משנה את תפקיד ההנהלה
בעבר נתפסה אבטחת מידע כנושא מקצועי המצוי באחריות מחלקות ה-IT ואבטחת המידע. NIS2 משנה את התפיסה הזו באופן מהותי ומעבירה חלק משמעותי מהאחריות לרמת ההנהלה והדירקטוריון.
המשמעות היא שסיכוני סייבר הופכים לחלק בלתי נפרד מניהול הסיכונים הארגוני. מנהלים בכירים אינם יכולים עוד להסתפק בקבלת עדכונים תקופתיים, אלא נדרשים להיות מעורבים באופן פעיל בקבלת החלטות ובפיקוח על תהליכי הציות.
במסגרת זו מצופה מההנהלה:
- להכיר את סיכוני הסייבר המרכזיים של הארגון.
- לאשר מדיניות ותהליכי ניהול סיכונים.
- לפקח על יישום אמצעי ההגנה והבקרה.
- לוודא קיומם של מנגנוני דיווח ותגובה לאירועים.
עבור חברות רבות מדובר בשינוי תרבותי של ממש. במקום לראות בסייבר נושא טכנולוגי בלבד, הוא הופך לנושא עסקי בעל השפעה ישירה על רציפות הפעילות, המוניטין והביצועים הפיננסיים.
שרשרת האספקה הופכת לחלק מהמשוואה
מעטים הענפים התלויים בשרשרת אספקה מורכבת כמו תעשיית הרכב. כל כלי רכב מורכב מאלפי רכיבים המגיעים ממאות ספקים, ולעיתים אף מאלפי ספקים ברחבי העולם.
במציאות כזו, רמת האבטחה של הארגון עצמו היא רק חלק מהתמונה. חולשה אצל ספק תוכנה, ספק רכיבים או נותן שירות חיצוני עלולה להשפיע באופן ישיר על פעילות היצרן ועל לקוחותיו.
לכן NIS2 מדגישה את הצורך בניהול סיכוני צד שלישי ובקרה על שרשרת האספקה. ארגונים נדרשים לבחון בין היתר:
- את רמת הסיכון של ספקים קריטיים.
- את אופן ניהול הגישה של ספקים למערכות הארגון.
- את הדרישות החוזיות בתחום הסייבר.
- את מנגנוני הפיקוח והבקרה לאורך חיי ההתקשרות.
- את היכולת לשרשר דרישות א.מידע לספק.
- זיהוי ועקיבות של פעילויות הספק באופן שוטף.
עבור חברות רבות, זהו אחד התחומים שבהם מתגלים הפערים הגדולים ביותר מול דרישות הדירקטיבה. בעוד שהגנות פנימיות קיימות כבר שנים, תהליכי בקרה שיטתיים על ספקים אינם תמיד מפותחים באותה מידה.
בפועל, אחד ממשטחי התקיפה השכיחים הוא דרך שרשראות אספקה.
האתגר המיוחד של ארגונים רב-לאומיים
רבות מחברות הרכב פועלות במקביל במספר מדינות אירופיות. למרות ש-NIS2 היא דירקטיבה אחידה ברמת האיחוד האירופי, יישומה בפועל נעשה באמצעות חקיקה מקומית בכל מדינה.
מצב זה יוצר מורכבות לא מבוטלת. דרישות הדיווח, מנגנוני האכיפה והציפיות הרגולטוריות עשויים להשתנות ממדינה למדינה, גם כאשר העקרונות הבסיסיים נשארים דומים.
הניסיון מלמד כי פתרונות מקומיים ונפרדים לכל מדינה יוצרים מורכבות ועלויות גבוהות. לעומת זאת, מודל ניהול מרכזי מאפשר לייצר אחידות, להפחית כפילויות ולשפר את יכולת השליטה של הארגון.
Governance כמנוע להצלחה
אחת התובנות המרכזיות מפרויקטי NIS2 בתעשיית הרכב היא שהצלחה אינה נובעת דווקא מהטמעת כלי אבטחה חדשים. במקרים רבים, הטכנולוגיה כבר קיימת. הפערים האמיתיים נמצאים במבנה הארגוני ובמנגנוני קבלת ההחלטות.
מסיבה זו, ארגונים מובילים מקימים מסגרת Governance מרכזית המגדירה באופן ברור:
- תחומי אחריות וסמכויות.
- תהליכי דיווח והסלמה.
- ניהול סיכונים ברמת הקבוצה.
- מנגנוני בקרה ומדידה.
- ממשקים בין המטה לבין החברות הבנות.
גישה זו מאפשרת לארגון להתמודד בצורה יעילה יותר עם דרישות רגולטוריות משתנות, תוך שמירה על אחידות ויכולת בקרה אפקטיבית.
Case Study כשפרויקט סייבר הפך לפרויקט ארגוני
יצרן אירופי של מערכות אלקטרוניות לרכב הפעיל רשת של חברות בנות ומרכזי פעילות בשמונה מדינות שונות. החברה השקיעה במשך שנים רבות באבטחת מידע והחזיקה בהסמכות בינלאומיות מוכרות. כאשר החלה להיערך ל-NIS2, ההנהלה העריכה כי נדרשות התאמות נקודתיות בלבד.
אולם במהלך בדיקת הפערים התברר כי האתגר המרכזי אינו טכנולוגי. למרות שרמת האבטחה הייתה גבוהה, לא הייתה אחידות בין החברות השונות בניהול הסיכונים, בתהליכי הדיווח ובאופן הפיקוח על ספקים.
החברה החליטה להקים תכנית יישום רוחבית שהתמקדה תחילה בממשל ארגוני. בוצע מיפוי מלא של הישויות הכפופות לרגולציה, הוגדרו בעלי אחריות ברמת ההנהלה, ונבנה מודל אחיד לניהול ספקים ולדיווח על אירועי סייבר.
בתוך חודשים ספורים הצליחה החברה לצמצם כפילויות, לשפר את השקיפות מול ההנהלה וליצור מסגרת עבודה אחידה לכלל המדינות שבהן פעלה. אחת המסקנות המרכזיות מהפרויקט הייתה שהשקעה במבנה ניהולי ובתהליכי Governance הניבה ערך גדול יותר מהשקעה נוספת בטכנולוגיות אבטחה.
מבט קדימה
הניסיון המצטבר מיישום NIS2 בתעשיית הרכב מצביע על מגמה ברורה: הארגונים המצליחים ביותר הם אלו שמבינים כי מדובר בפרויקט עסקי ולא רק טכנולוגי. הדירקטיבה מחייבת ראייה רחבה הכוללת אחריות הנהלה, ניהול סיכונים, בקרה על שרשרת האספקה ויכולת תיאום בין יחידות ופעילויות שונות.
עבור חברות רכב ויצרני רכיבים, הדרישות החדשות עשויות להיראות בתחילה כמעמסה רגולטורית נוספת. אולם כאשר הן מיושמות בצורה נכונה, הן יוצרות גם הזדמנות לבניית מסגרת ניהולית חזקה יותר, לשיפור החוסן הארגוני ולהגברת היכולת להתמודד עם איומי הסייבר של השנים הקרובות.
בסופו של דבר, הצלחתו של פרויקט NIS2 לא תימדד במספר הנהלים שנכתבו או הבקרות שהוטמעו. היא תימדד ביכולתו של הארגון להפוך את ניהול הסייבר לחלק בלתי נפרד מהאסטרטגיה העסקית ומהניהול השוטף של הארגון כולו.
ולבסוף, הסוד הוא בניהול הוליסטי של תחום אבטחת המידע, הסייבר והגנת הפרטיות. ענף האוטומוטיב רווי רגולציות, אשר מכילות דרישות מרמת ההנהלה, דרך הארגון ועד למוצר עצמו- חשוב לנהל את התחום באופן ריכוזי ובשליטת הנהלה כדי לא להתפזר ולבזבז משאבים, ולוודא עמידה מלאה בדרישות באופן רציף.
מעוניינים לקבל ייעוץ בניהול הסייבר והגנת הפרטיות?
-
טלפון
-
Mordechai Rozanski 18
Rishon Lezion -
Sun - Thu
08:00-17:00