Perusahaan Anda harus mematuhi NIS2dapatkan sertifikasi ISO 27001 atau keduanya? Ini adalah pertanyaan yang semakin banyak ditanyakan oleh para pemimpin TI dan keamanan, dan jawabannya jarang sekali sederhana. Yang satu bersifat wajib dan memberikan sanksi. Opsi lainnya bersifat sukarela, namun pelanggan dan mitra semakin sering memintanya.
Kabar baiknya adalah mereka tidak bersaing satu sama lain. Dalam artikel ini Anda Mari kita jelaskan perbedaannyabetapa miripnya mereka dan bagaimana mengandalkan yang satu untuk memajukan yang lain tanpa bekerja dua kali lebih keras.
Apa itu NIS2?
Itu NIS2 (EU Directive 2022/2555) adalah undang-undang Eropa yang memperkuat tingkat keamanan siber secara umum di seluruh Uni Eropa. Peraturan ini menggantikan Petunjuk NIS yang lama pada tahun 2016, memperluas sektor yang dicakup dan memperketat kewajiban dan sanksi. Di Italia telah diterapkan melalui Keputusan Legislatif 138/2024 yang penerapannya dipercayakan kepada ACN (Badan Keamanan Siber Nasional). Logikanya jelas. Hal ini tentang berhenti memperlakukan keselamatan sebagai serangkaian praktik baik yang direkomendasikan dan mengubahnya menjadi persyaratan hukum yang harus diawasi.
Kepada siapa NIS2 berlaku?
NIS2 tidak berlaku sama untuk semua perusahaan. Untuk menentukan siapa yang wajib, gabungkan tiga faktor, yaituruang lingkup geografis (mengoperasikan atau menyediakan layanan di UE), the sektor kegiatan dan itu ukuran organisasi (biasanya lebih dari 50 karyawan atau omset lebih dari 10 juta euro).
Berdasarkan kriteria ini, arahan tersebut mengklasifikasikan organisasi ke dalam dua kategori.
- Mata pelajaran penting: mereka beroperasi di sektor-sektor yang sangat penting seperti energi, transportasi, perbankan, layanan kesehatan atau infrastruktur digital, dan tunduk pada pengawasan yang lebih ketat.
- Mata pelajaran penting: mereka termasuk dalam sektor terkait lainnya (layanan digital, produksi, sektor pangan, pengelolaan limbah, dll.), dengan tingkat kekritisan yang sedikit lebih rendah.
Perlu diingat hal itu ukuran tidak selalu dikecualikan. UKM mungkin diwajibkan jika bisnisnya sangat penting atau jika merupakan bagian dari rantai pasokan suatu perusahaan. Kami menjelaskan hal ini secara rinci dalam artikel kami tentang siapa yang menerapkan NIS2 dan perbedaan antara mata pelajaran esensial dan penting.
Kewajiban dan sanksi NIS2
La NIS2 memaksa kita untuk beralih dari pemeriksaan khusus ke manajemen risiko berkelanjutandengan bukti yang jelas dan tata kelola yang solid. Di antara tindakan minimum yang diatur dalam Pasal 21, berikut ini yang menonjol.
- Analisis risiko dan kebijakan manajemen yang terdokumentasi.
- Manajemen insiden, dengan proses deteksi, respons, dan pemberitahuan terstruktur.
- Kesinambungan operasional: pencadangan, pemulihan bencana, dan manajemen krisis.
- Keamanan rantai pasokan dan pemasok.
- Penggunaan kriptografi dan enkripsi.
- Kontrol akses, otentikasi multi-faktor, dan kebersihan dunia maya.
Ditambah lagi dengan ini tanggung jawab langsung dari badan manajemen puncakmengingat bahwa badan administratif harus menyetujui dan mengawasi tindakan tersebut dan bertanggung jawab jika terjadi ketidakpatuhan. Rezim sanksinya sangat berat. Bisa sampai 10 juta euro atau 2% dari omset tahunan global untuk entitas penting, dan hingga 7 juta euro atau 1,4% untuk entitas penting.
Apa itu ISO 27001?
Itu ISO/IEC 27001 ini adalah standar referensi internasional untuk keamanan informasi. Berbeda dengan NIS2, NIS2 tidak ditujukan pada sektor tertentu dan tidak diberlakukan oleh undang-undang apa pun. Organisasi mana pun dapat mengadopsinyaterlepas dari ukuran atau industri. Perusahaan secara sukarela melakukan sertifikasi untuk menunjukkan kematangan keamanannya kepada pelanggan, mitra, atau perusahaan asuransi.
SGSI sebagai jantung ISO 27001
Inti dari aturan tersebut adalah Sistem Manajemen Keamanan Informasi (ISMS). Ini adalah kerangka kerja yang menyusun cara organisasi mengidentifikasi risikonya, memutuskan tindakan apa yang harus diambil, dan terus melakukan perbaikan. Ini bukan sebuah proyek yang berakhir setelah selesai, namun sebuah siklus yang ditinjau dan diperbarui seiring berjalannya waktu.
Untuk mewujudkan langkah-langkah ini, ISO 27001:2022 menyertakannya Lampiran Adengan 93 pemeriksaan keamanan yang diorganisasikan ke dalam empat bidang utama (organisasi, manusia, fisik, dan teknologi). Setiap organisasi memilih strategi yang sesuai dengan konteksnya, dimulai dari analisis risikonya sendiri.
Bagaimana cara kerja sertifikasi?
Sertifikasi ISO 27001 dikeluarkan oleh badan yang terakreditasi dan independen pada akhir audit. Hal ini bukan merupakan pemenuhan satu kali saja, karena sertifikat memiliki masa berlaku terbatas dan dipelihara melalui audit pengawasan berkala dan sertifikasi ulang secara berkala. Kehilangan sertifikasi tidak memerlukan sanksi hukum, namun dapat menimbulkan biaya komersial yang tinggi di sektor-sektor yang mewajibkan hal tersebut berdasarkan kontrak.
Perbedaan antara NIS2 dan ISO 27001
Meskipun keduanya memiliki tujuan yang sama yaitu memperkuat keamanan informasi, mereka melakukannya dengan pendekatan yang sangat berbeda. Tabel ini merangkum perbedaan utama.
| Kriteria | NIS2 | ISO 27001 |
|---|---|---|
| Alam | Petunjuk Eropa (kewajiban hukum) | Standar internasional (sertifikasi sukarela) |
| Ruang lingkup geografis | Uni Eropa | Dunia |
| Kepada siapa hal ini berlaku | Pemain penting dan penting di sektor kritikal | Organisasi mana pun yang memutuskan untuk melakukan sertifikasi |
| Mendekati | Preskriptif (tindakan minimum Pasal 21) | Berbasis risiko (Kontrol Lampiran A) |
| Tata Kelola | Tanggung jawab langsung manajemen puncak, dengan konsekuensi hukum | Komitmen manajemen, tanpa tanggung jawab hukum terkait |
| Pelaporan insiden | Wajib dan dengan tenggat waktu yang ketat (peringatan dini dalam 24 jam, pemberitahuan dalam 72 jam, laporan akhir dalam 1 bulan) | Mengharuskan Anda mengelola insiden, tetapi tanpa tenggat waktu pemberitahuan eksternal |
| Rantai pasokan | Persyaratan eksplisit pada pemasok | Dicakup melalui kontrol hubungan pemasok |
| Sanksi | Hingga €10 juta atau 2% dari omset global | Kehilangan atau kegagalan memperoleh sertifikat (tanpa penalti) |
| Otoritas pengawas | Otoritas nasional yang kompeten (ACN di Italia) | Lembaga sertifikasi yang terakreditasi |
| Pemeliharaan | Kepatuhan dan pengawasan peraturan yang berkelanjutan | Audit pengawasan dan sertifikasi ulang berkala |
Singkatnya, NIS2 membuat Anda bertanggung jawab terhadap hukum, sementara ISO 27001 memberi Anda kerangka kerja yang terstruktur dan diakui untuk menunjukkan bahwa Anda mengelola keamanan dengan baik.
Bagaimana NIS2 dan ISO 27001 saling melengkapi?
Inilah poin yang diabaikan oleh banyak organisasi. Saya tidak berkompetisi, mereka saling menguatkan. Arahan itu sendiri menganggap standar internasional sebagai referensi yang valid untuk menerapkan langkah-langkah keamanan, dan perusahaan yang sudah bersertifikat ISO 27001 memulai dengan sebagian besar jalan menuju NIS2 yang sudah selesai.
Alasannya adalah kedua kerangka tersebut memiliki landasan manajemen risiko yang sama. Sebagian besar tindakan teknis yang disyaratkan oleh Pasal 21 NIS2 (analisis risiko, manajemen insiden, kelangsungan bisnis, enkripsi, kontrol akses, atau kebersihan dunia maya) memiliki kesamaan langsung dengan kontrol Lampiran A ISO 27001. ISMS juga menyediakan struktur organisasi yang dibutuhkan NIS2, seperti kebijakan, daftar risiko, rencana penanganan, dan indikator yang ingin dilihat oleh otoritas pengawas mana pun.
Perbedaannya terkonsentrasi pada tiga bidang yang tidak sepenuhnya tercakup dalam ISO 27001 dan perlu Anda perkuat.
- Pemberitahuan resmi kepada pihak berwenang, dengan jangka waktu 24 jam, 72 jam dan satu bulan yang tidak ditentukan oleh undang-undang.
- Persyaratan rantai pasokan lebih detail dan eksplisit di NIS2.
- Tanggung jawab hukum dari badan manajemen puncak, yang di NIS2 menimbulkan konsekuensi pribadi.
Oleh karena itu, strategi yang paling efisien adalah dengan menggunakan ISO 27001 sebagai dasar metodologis dan dokumenter dan menambahkan tingkat spesifik yang disyaratkan NIS2. Dengan cara ini Anda menghindari duplikasi dokumentasi dan memanfaatkan investasi yang telah dilakukan.
Bagaimana IT Faktorial membantu dengan NIS2 dan ISO 27001?
Dalam praktiknya, NIS2 dan ISO 27001 memiliki kelemahan yang sama. Memiliki kebijakan tertulis tidak ada gunanya jika Anda tidak dapat menunjukkan bahwa kebijakan tersebut berlaku di seluruh armada Anda. Auditor tidak menanyakan apakah Anda mempunyai kepercayaan diri, namun apakah Anda dapat menunjukkannya.
Di sinilah TI Faktorial mengubah persyaratan menjadi bukti operasional yang dihasilkan secara otomatis.
- Inventaris dan siklus hidup taman TI: katalog hidup semua perangkat dan perangkat lunaknya, dengan status, pemilik, dan tingkat keamanan setiap mesin. Ini adalah dasar dari setiap analisis risiko.
- Keamanan Perangkat Multi-OS: kebijakan enkripsi, penguncian, dan kata sandi diterapkan secara otomatis ketika setiap perangkat Mac, Windows, atau Linux didaftarkan melalui MDM, dengan penguncian dan penghapusan jarak jauh yang dapat dibuktikan.
- Manajemen Akses SaaS: penyediaan dan pencabutan penyediaan otomatis terkait dengan Sumber Daya Manusia, sehingga ketika seseorang meninggalkan perusahaan, akses mereka langsung dicabut dan operasinya tetap terlacak.
- Deteksi dan Respons (EDR): Perlindungan malware dan ransomware dikirimkan ke setiap perangkat, dengan kemampuan untuk mengisolasi mesin yang disusupi.
- Ketertelusuran dan bukti untuk audit: catatan tentang siapa melakukan apa dan kapan, serta laporan kepatuhan yang dapat diekspor yang mendokumentasikan penerapan tindakan secara konsisten.
Dalam praktiknya, TI Faktorial memusatkan perangkat, akses, dan alur kerja TI satu platform yang terhubung ke sistem Sumber Daya Manusia Anda. Hasilnya adalah pengelolaan yang lebih manual, visibilitas yang lebih baik, dan yang terpenting, kemampuan untuk menyajikan bukti nyata pada hari audit, apakah tujuan Anda adalah mematuhi NIS2, mendapatkan sertifikasi ISO 27001, atau keduanya.
PakarPBN
A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.
In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.
The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.
