NIS2 готовност за 30 дни: Казус от здравеопазването

АСМИП Медицински Център "Св. Пантелеймон" трябваше да постигне NIS2 готовност и да е готов за одит само за един месец. Влязоха без никаква рамка за съответствие и излязоха с пълно преминаване на одита, нулеви констатации. Ето как точно се случи това.

Предизвикателството: Кратък срок и високи залози

АСМИП Медицински Център "Св. Пантелеймон" е Българско лечебно заведение за извънболнична помощ. Те обработват чувствителни пациентски данни, предоставят критични здравни услуги и попадат директно под обхвата на NIS2 като съществено образувание. Това означава, че летвата за съответствие е висока, а последствията от неспазването ѝ са сериозни.

Когато се свързаха с нас, имаха ясен проблем. Одитен прозорец се отваряше след около месец, а те нямаха официална рамка за съответствие. Нито ISO27001. Нито mapping на NIS2 контроли. Нито документиран доказателствен пакет. Само екип, който знаеше, че трябва да действа бързо и искаше да го направи правилно.

Седнахме, прегледахме времевата линия и им казахме, че срокът е стегнат, но изпълним. И се захванахме за работа.

Месец първи: Как постигнахме NIS2 готовност за 30 дни

Ето какво значи 30-дневен срок. Нямате време за теоретични дискусии или дълги цикли на планиране. Всяка седмица трябва да носи ясен резултат. Затова разделихме процеса на четири фази.

Седмица 1: Анализ на пропуските и пътна карта

Започнахме с mapping на всичко, което вече имаха, спрямо NIS2 изискванията и ISO27001 контролните цели. Някои контроли съществуваха неформално. Екипът знаеше какво трябва да прави, просто не го беше документирал. Пропуските, които открихме, бяха съсредоточени в три области: документация за реакция при инциденти, оценки на риска във веригата на доставки и доказателства за тестване на възстановяване.

Изградихме приоритизирана пътна карта. Седмица по седмица, отговорник по отговорник. Без никакво съмнение кой какво прави.

Седмица 2: Изграждане на документация и доказателства

Това беше най-тежката седмица. Политиките трябваше да се напишат. Процедурите трябваше да се формализират. Доказателственият пакет за одита трябваше да показва не просто, че контролите съществуват, а че се използват активно и се преглеждат редовно.

Изготвихме основните документи заедно: политика за информационна сигурност, съобразена с NIS2 чл. 21, план за реакция при инциденти, покриващ изискванията на чл. 20, рамка за непрекъснатост на дейността и процес за управление на риска от трети страни. Техният вътрешен екип преглеждаше, коригираше и одобряваше в движение. Никакви готови шаблони. Трябваше да бъде тяхна политика, не наша.

Седмица 3: Корективни мерки и укрепване

След като документацията беше готова, се насочихме към техническата страна. Затегнахме контролите за достъп, прегледахме и разширихме конфигурациите за записване на логове, тествахме и документирахме процедурите за проверка на резервни копия. Проведохме контролиран тест за възстановяване, за да докажем, че процесът на възстановяване работи от начало до край.

Екипът постигна 11 минути от засичане до ограничаване на симулиран фишинг сценарий през тази седмица. Не е лошо за медицински център, който не беше провеждал симулационно упражнение преди това.

Седмица 4: Предварителен одитен преглед

Седмицата преди одита проведохме пълен mock одит. Всяка контрола, всяко доказателство, всеки потенциален въпрос. Преминахме с екипа през това какво ще попита одиторът, какво да покажат и как да формулират отговорите си.

Открихме три малки пропуска в документацията по време на прегледа. Поправихме ги същия ден.

Резултатът: Нулеви констатации

Одитът дойде и отмина. Нулеви констатации. Нито едно несъответствие.

Това не е често срещано за първи одит, особено в здравеопазването. Повечето организации, които се явяват за първи път, очакват частично съответствие или план за корективни мерки. АСМИП Медицински Център "Св. Пантелеймон" влезе подготвен и излезе чист.

Заключителните коментари на одитора бяха забележителни: той специално отбеляза яснотата на документацията за реакция при инциденти и доказателствата за тествани процедури по възстановяване като силни страни.

Отвъд одита: Поддържане на стандарта

Преминаването на одита беше етапът, а не финалната линия. NIS2 и ISO27001 не са отметки за еднократно изпълнение. Те изискват постоянна поддръжка на контролите, периодични прегледи и непрекъснат мониторинг.

Сега управляваме целия този жизнен цикъл за АСМИП Медицински Център "Св. Пантелеймон". Редовни прегледи на контролите. Верификация на цикъла на пачове. Преатестация на достъпа. Симулационни упражнения. Тримесечни отчети. Екипът на Св. Пантелеймон не трябва да се притеснява за отклонение от съответствието, защото то се засича, преди да се случи.

Те се фокусират върху управлението на медицинския център. Ние се фокусираме върху това тяхната сигурност да е винаги готова за одит.