Gap analysis NIS2 / DORA / KSC
Mapujemy wymagania regulacyjne na obecny stan systemów SAP klienta. Wynikiem jest lista luk z oceną ryzyka, priorytetem i rekomendowanym działaniem.
Mapujemy obowiązki wynikające z NIS2, DORA i KSC na konkretne systemy SAP klienta: kontrole, dowody, procedury, dokumentację oraz odpowiedzialności operacyjne.
Pomagamy przygotować organizację do audytu z wyprzedzeniem - zanim konieczne będzie porządkowanie dokumentacji, dowodów i procesów w ostatnim miesiącu przed kontrolą.
Audyt pozwala zidentyfikować luki, przypisać im priorytety i zaplanować remediację. Dzięki temu organizacja może przygotować dokumentację, dowody kontroli i plan działań przed audytem, a nie dopiero w jego trakcie.
Każda luka otrzymuje estymację czasu i kosztu naprawy. Zarząd może świadomie zdecydować, które działania należy wykonać od razu, które zaplanować w kolejnym kwartale, a które ująć w następnym budżecie.
Przygotowujemy polityki, procedury, rejestry oraz dowody kontroli dotyczące systemów SAP. SNOK wspiera także przygotowanie odpowiedzi, wyjaśnień i dowodów technicznych na potrzeby audytu.
NIS2, DORA i KSC wprowadzają obowiązki dotyczące zarządzania ryzykiem, ciągłości działania, bezpieczeństwa ICT, obsługi incydentów oraz nadzoru nad dostawcami. Audyt prewencyjny pomaga ograniczyć ryzyko niezgodności, kosztów działań naprawczych oraz sankcji regulacyjnych.
Mapujemy wymagania regulacyjne na obecny stan systemów SAP klienta. Wynikiem jest lista luk z oceną ryzyka, priorytetem i rekomendowanym działaniem.
Określamy, które działania należy wykonać natychmiast, które w kolejnym kwartale, a które w dłuższym horyzoncie. Każde działanie opisujemy wraz z estymacją czasu, kosztu i wpływu na ryzyko.
Przygotowujemy lub aktualizujemy dokumentację wymaganą w obszarze SAP: politykę bezpieczeństwa SAP, procedury incident response, rejestr aktywów, rejestr incydentów, rejestr dostawców oraz dowody kontroli.
Tworzymy tabelę kontroli technicznych i organizacyjnych z odniesieniem do wymagań NIS2, DORA, KSC oraz stosowanych standardów bezpieczeństwa. W obszarze SAP uwzględniamy między innymi SecurityBridge, bowbridge, autoryzacje, audit log, monitoring, zarządzanie zmianą i procedury incident response.
Przygotowujemy organizację do rozmów z audytorem, kompletujemy dowody techniczne i wspieramy zespół klienta w wyjaśnianiu kontroli dotyczących systemów SAP.
Realizujemy roczny lub półroczny przegląd stanu zgodności. Sprawdzamy, czy kontrole nadal działają, czy dokumentacja pozostaje aktualna oraz czy nowe wymagania lub zmiany w środowisku SAP wymagają dodatkowych działań.
Audyt zgodności zaczynamy od warsztatu z zespołem klienta. Ustalamy skalę krajobrazu SAP, krytyczność procesów, klasyfikację danych, istniejące kontrole, dokumentację oraz odpowiedzialności po stronie IT, SAP, bezpieczeństwa i compliance.
Następnie prowadzimy gap analysis dwutorowo. Część techniczna obejmuje konfigurację SAP, autoryzacje, audit log, monitoring, transporty, custom kod, integracje oraz narzędzia bezpieczeństwa. Część proceduralna obejmuje polityki, procedury, rejestry, dowody kontroli i proces zarządzania incydentami.
Raport końcowy zawiera mapę luk, ocenę ryzyka, plan remediacji, estymację czasu i kosztów, priorytetyzację działań oraz rekomendacje dla zespołów odpowiedzialnych za SAP, bezpieczeństwo, compliance i zarządzanie ryzykiem.
Stack technologiczny
Certyfikacje zespołu w obszarze SAP Security, cyberbezpieczeństwa, compliance i systemów enterprise potwierdzają gotowość SNOK do realizacji audytów NIS2, DORA i KSC dla środowisk SAP end-to-end.
Operator usług kluczowych - energetyka
Pełny audyt zgodności NIS2 dla krajobrazu SAP oraz plan remediacji rozłożony na trzy kwartały.
Bank w sektorze finansowym
Audyt DORA dla SAP oraz integracja wyników audytu z ramami zarządzania ryzykiem ICT.
Sektor publiczny
Audyt KSC dla SAP w jednostce krytycznej oraz przygotowanie dokumentacji technicznej i organizacyjnej dla interesariuszy odpowiedzialnych za bezpieczeństwo.
Terminy i obowiązki należy weryfikować względem aktualnego brzmienia przepisów oraz statusu polskiej implementacji NIS2. Z perspektywy systemów SAP przygotowania warto rozpocząć z wyprzedzeniem, ponieważ uporządkowanie kontroli, dokumentacji, dowodów i remediacji technicznej zwykle wymaga kilku miesięcy.
DORA dotyczy bezpośrednio sektora finansowego, w tym banków, ubezpieczycieli, firm inwestycyjnych, dostawców kryptoaktywów oraz wybranych krytycznych dostawców ICT. W środowiskach SAP szczególne znaczenie mają kontrole dotyczące zarządzania ryzykiem ICT, ciągłości działania, incydentów, dostawców oraz testowania odporności operacyjnej.
Zakres sankcji zależy od konkretnej regulacji, typu organizacji, charakteru naruszenia i decyzji właściwego organu. W praktyce większym ryzykiem operacyjnym może być także konieczność szybkiej remediacji, presja audytowa, odpowiedzialność zarządu oraz zakłócenia w procesach krytycznych.
Audyt zgodności SNOK jest gap analysis i planem działania. Nie zastępuje audytu jednostki uprawnionej ani decyzji regulatora, ale pomaga przygotować organizację, dokumentację i dowody techniczne oraz zmniejsza ryzyko wykrycia krytycznych luk podczas audytu zewnętrznego.