कई कंपनियाँ EU NIS2 निर्देश के नए संस्करण से प्रभावित हैं। इससे महत्वपूर्ण बुनियादी ढांचे की साइबर सुरक्षा के लिए न्यूनतम आवश्यकताएं बढ़ जाती हैं। कंपनियों को अच्छी तरह से तैयार रहना चाहिए.
महत्वपूर्ण बुनियादी ढांचे पर साइबर हमले विशेष रूप से खतरनाक हैं। इसलिए EU ने 2016 में नेटवर्क और सूचना सुरक्षा (NIS) निर्देश में न्यूनतम साइबर सुरक्षा आवश्यकताओं को परिभाषित किया। इसे अब एक नये संस्करण द्वारा प्रतिस्थापित किया जा रहा है। NIS16 निर्देश 2023 जनवरी, 2 से लागू है - और यूरोपीय संघ के सदस्य देशों के पास इसे राष्ट्रीय कानून में शामिल करने के लिए अभी भी अक्टूबर 2024 तक का समय है। जर्मनी में, यह NIS2 कार्यान्वयन अधिनियम के माध्यम से किया जाता है, जो वर्तमान में दूसरे मसौदे के रूप में उपलब्ध है। आईटी सुरक्षा अधिनियम और KRITIS अध्यादेश में बदलाव की उम्मीद की जा रही है। कई कंपनियां अब सोच रही हैं कि NIS2 का उनके लिए क्या मतलब है।
सुरक्षा प्रबंधकों को अब क्या जानने की आवश्यकता है और वे सर्वोत्तम तैयारी कैसे कर सकते हैं? इंडेविस के अनुपालन प्रबंधक और डेटा सुरक्षा अधिकारी डिर्क वोक सबसे महत्वपूर्ण सवालों के जवाब प्रदान करते हैं।
NIS2 से कौन प्रभावित है?
पुराने कानून में सबसे महत्वपूर्ण अंतर उल्लेखनीय रूप से बढ़ी हुई दक्षता है। सात नए KRITIS सेक्टर जोड़े जा रहे हैं, जिससे संख्या ग्यारह से बढ़कर अठारह हो गई है। जबकि प्रत्यक्ष KRITIS वातावरण से केवल बड़े संगठन ही अब तक प्रभावित हुए हैं, NIS2 निजी कंपनियों पर भी लागू होता है - यहां तक कि 50 कर्मचारियों के आकार या 10 मिलियन यूरो के वार्षिक कारोबार वाली कंपनियों पर भी। कुछ कंपनियाँ, उनके आकार की परवाह किए बिना, निर्देश के अंतर्गत आती हैं क्योंकि वे तथाकथित "आवश्यक संस्थाओं" में से हैं जो विशेष रूप से आम अच्छे के लिए महत्वपूर्ण हैं।
नई बात यह भी है कि प्रभावित कंपनियों को अपने आपूर्तिकर्ताओं की साइबर सुरक्षा की जांच करनी चाहिए और सुनिश्चित करना चाहिए। यह महत्वपूर्ण है क्योंकि आपूर्ति श्रृंखलाएं लगातार जटिल होती जा रही हैं और यहां तक कि एक छोटे घटक की विफलता भी गंभीर बाधाओं का कारण बन सकती है। उदाहरण के लिए, सोलरविंड्स हैक ने दिखाया कि आपूर्ति श्रृंखला पर हमले कितने खतरनाक हो सकते हैं। कुल मिलाकर, NIS2 कंपनियों की एक विस्तृत श्रृंखला को प्रभावित करता है, जिनमें से कई को केवल दूसरी नज़र में ही एहसास होता है कि वे प्रभावित हैं।
NIS2 क्या नवाचार लाता है?
नया निर्देश न्यूनतम साइबर सुरक्षा आवश्यकताओं को बढ़ाता है और प्रबंधकों को जिम्मेदार बनाता है। यह सुनिश्चित करना आपकी ज़िम्मेदारी है कि निर्धारित मानकों का पालन किया जाए। यदि कोई साइबर हमला होता है, तो जीडीपीआर के समान सख्त रिपोर्टिंग आवश्यकताएं लागू होती हैं। कंपनियों को एक निश्चित अवधि के भीतर घटना की रिपोर्ट बीएसआई को देनी होगी। इस तरह, विधायिका अपनी प्रतिष्ठा की रक्षा के लिए प्रभावित लोगों को साइबर हमले को कवर करने से रोकना चाहती है। NIS2 यूरोपीय न्यायशास्त्र को भी तेज करता है और अधिकारियों और ऑपरेटरों के बीच यूरोपीय संघ में पर्यवेक्षण और सहयोग को गहरा करता है। उदाहरण के लिए, राष्ट्रीय कंप्यूटर आपातकालीन प्रतिक्रिया टीमों की स्थापना की जानी चाहिए जो सीमाओं के पार सहयोग करें और सूचनाओं का आदान-प्रदान करें। साथ ही, ईयू स्तर पर एक भेद्यता डेटाबेस स्थापित किया जाना है।
प्रभावित कंपनियों को अब क्या करना चाहिए?
NIS2 अत्याधुनिक तकनीकी और संगठनात्मक सुरक्षा उपाय निर्धारित करता है। इसमें, उदाहरण के लिए, साइबर जोखिमों का आकलन करने की एक पद्धति और सेवा और व्यवसाय निरंतरता सुनिश्चित करने की रणनीति शामिल है। साइबर घटनाओं को रोकने, पता लगाने और प्रबंधित करने के उपाय भी अनिवार्य हैं। मूलतः, यह एक सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) के निर्माण के बारे में है। यह कंपनी में साइबर सुरक्षा के प्रबंधन और नियंत्रण के लिए नियमों, प्रक्रियाओं, विधियों, उपकरणों और जिम्मेदारियों को परिभाषित करता है।
उदाहरण के लिए, बीएसआई ग्रंडस्चुट्ज़ और आईएसओ/आईईसी 27001, मार्गदर्शन प्रदान करते हैं। अधिकांश कंपनियों ने अब तक आईएसएमएस की पहेली के केवल टुकड़े ही स्थापित किए हैं। सबसे पहले, अंतरालों की पहचान करना और फिर उन्हें चरण दर चरण बंद करना महत्वपूर्ण है। अनेक भूमिकाएँ भरने और नीतियों को परिभाषित करने की आवश्यकता है। यह सब आमतौर पर अपेक्षा से अधिक जटिल है और इसमें समय लगता है। इसलिए सलाह दी जाती है कि इस मुद्दे को जल्द से जल्द निपटाया जाए। एक बाहरी सेवा प्रदाता जिसके पास आईएसएमएस को शुरू करने और आगे विकसित करने का अनुभव है, सलाह और सहायता प्रदान कर सकता है।
क्या होता है जब कंपनियां NIS2 आवश्यकताओं की अनदेखी करती हैं?
जीडीपीआर के समान, विधायिका उल्लंघनों के लिए उच्च जुर्माना लगाकर अपनी आवश्यकताओं को सुदृढ़ करती है। जुर्माने और प्रवर्तन कार्रवाइयों का काफी विस्तार किया जाएगा - क्षेत्र के आधार पर, कम से कम सात या दस मिलियन यूरो के अधिकतम जुर्माने तक। एनआईएस2 आवश्यकताओं के अनुपालन की जांच करने के लिए, बीएसआई ऑडिट कर सकता है या उन्हें तीसरे पक्ष से कमीशन कर सकता है। यदि कमियाँ पाई जाती हैं, तो प्रभावित कंपनियों को एक समय सीमा दी जाती है जिसके भीतर उन्हें सुधार करना होगा। अंतिम लेकिन महत्वपूर्ण बात यह है कि यदि किसी साइबर घटना की फोरेंसिक जांच से पता चलता है कि कंपनी ने सुरक्षा आवश्यकताओं की अनदेखी की है, तो प्रबंध निदेशक व्यक्तिगत रूप से उत्तरदायी हैं।
NIS2 एक अवसर के रूप में
जिस किसी को भी पहले से ही KRITIS क्षेत्र सौंपा गया है, उसने संभवतः NIS2 की कई आवश्यकताओं को पहले ही लागू कर दिया है। नई कंपनियों के लिए प्रयास अधिक है। इसलिए जितनी जल्दी हो सके शुरू करने की सलाह दी जाती है। भले ही NIS2 को शुरू में काम की आवश्यकता हो, निवेश इसके लायक है। बढ़ते खतरे की स्थिति को देखते हुए साइबर सुरक्षा बढ़ाना आवश्यक है।
व्यवहार में, सुरक्षा के लिए जिम्मेदार लोगों को अक्सर सुरक्षा उपायों के लिए बजट खाली करना मुश्किल होता है। इसलिए कानूनी जरूरतों का दबाव जरूरी है. NIS2 अब साइबर सुरक्षा के मुद्दे को प्रबंधन स्तर के शीर्ष पर रखता है, जिससे बदलाव का मार्ग प्रशस्त होता है। भविष्य में, सुरक्षा प्रबंधकों को सीईओ को साइबर सुरक्षा में अधिक निवेश करने के लिए मनाने में आसानी होगी। NIS2 अनुपालन को यथासंभव शीघ्र और कुशलतापूर्वक प्राप्त करने के लिए, हम एक अनुभवी प्रबंधित सुरक्षा सेवा प्रदाता के साथ काम करने की सलाह देते हैं। वह सुरक्षा रणनीति की समीक्षा करने, आईएसएमएस स्थापित करने और उपयुक्त सुरक्षा तकनीक का चयन और संचालन करने में मदद कर सकता है।
Indevis.de पर अधिक जानकारी
Indivis के बारे में
अंतर्राष्ट्रीय मानक आईएसओ/आईईसी 27001 के अनुसार प्रमाणित, इंडेविस जीएमबीएच जर्मनी के अग्रणी प्रबंधित सुरक्षा सेवा प्रदाताओं (एमएसएसपी) में से एक है। कंपनी 20 वर्षों से अधिक समय से सूचना प्रौद्योगिकी में सुरक्षा मानक स्थापित कर रही है और सभी आकार और उद्योगों के ग्राहकों को नेटवर्क, डेटा सेंटर और क्लाउड के लिए उपयुक्त आईटी सुरक्षा समाधान प्रदान करती है।