अब समय आ गया है: आईटी सुरक्षा अधिनियम 2.0 पहली मई से पूरी तरह प्रभावी हो जाएगा। इसका मतलब यह है कि महत्वपूर्ण बुनियादी ढांचे KRITIS के लिए हमले का पता लगाने का प्रमाण प्रदान करने की बाध्यता के लिए संक्रमण अवधि समाप्त हो गई है। कानून 1 साल से लागू है, लेकिन अब केवल कड़े रूप में है। अब KRITIS के आपूर्तिकर्ताओं का भी दायित्व है और वे अभी भी इसे नहीं जानते होंगे। राडार साइबर सुरक्षा, सोफोस, रेबो से जानकारी।
संक्रमण काल की समाप्ति से कुछ दिन पहले भी, आईटी सुरक्षा अधिनियम 2.0 का विस्तार से क्या मतलब है, इसके बारे में अभी भी कुछ अस्पष्टता है: किन आवश्यकताओं को लागू करने की आवश्यकता है, कौन सी प्रौद्योगिकियां आवश्यक हैं, किन उपायों को सिद्ध करना है और किसे करने की आवश्यकता है बिल्कुल संबोधित लग रहा है?
कौन मतलब है?
आईटी सुरक्षा अधिनियम 2.0 दो साल से लागू है, हमले का पता लगाने के सबूत प्रदान करने की बाध्यता के लिए संक्रमण अवधि 1 मई को समाप्त हो रही है। इस प्रकार यह विनियमन एक नए आयाम तक पहुँचता है। सबसे पहले, IT सुरक्षा अधिनियम का दूसरा संस्करण (संक्षेप में IT-SiG) आवश्यकताओं को काफी कड़ा करता है। दूसरे, यह उन सुविधाओं के समूह का महत्वपूर्ण रूप से विस्तार करता है जो महत्वपूर्ण बुनियादी ढांचे का हिस्सा हैं: विनियमन न केवल स्वयं KRITIS ऑपरेटरों पर लागू होता है, बल्कि उनके आपूर्तिकर्ताओं पर भी लागू होता है। तीसरा, इसमें अब "विशेष सार्वजनिक हित" की कंपनियां भी शामिल हैं: अन्य बातों के अलावा, आयुध निर्माताओं या "विशेष आर्थिक महत्व" वाली कंपनियों को कुछ आईटी सुरक्षा उपायों को लागू करना चाहिए। चौथा, राज्य और नियामक प्राधिकरणों को अधिक अधिकार दिए गए हैं: उदाहरण के लिए, BSI स्वयं कंपनियों को KRITIS के रूप में वर्गीकृत कर सकता है।
क्या आवश्यक है?
ठोस शब्दों में, इसका अर्थ है: KRITIS संचालकों ने 1 मई, 2023 की समय सीमा तक हमले का पता लगाने के लिए सिस्टम और प्रक्रियाओं को नवीनतम रूप से लागू किया होगा, जो अब स्पष्ट रूप से तकनीकी और संगठनात्मक सुरक्षा सावधानियों का हिस्सा हैं। इनमें शामिल हैं, उदाहरण के लिए, एक "सुरक्षा सूचना और घटना प्रबंधन" (एसआईईएम) या एक "सुरक्षा संचालन केंद्र" (एसओसी): रक्षा केंद्र के साथ, जिसे "साइबर रक्षा केंद्र" (सीडीसी) के रूप में भी जाना जाता है, केआरआईटीआईएस ऑपरेटर अपने आईटी के लिए एक सतत सुरक्षा अवधारणा बना सकते हैं और ओटी इंफ्रास्ट्रक्चर लागू कर सकते हैं। यहां तकनीकों और प्रक्रियाओं को उन विशेषज्ञों की जानकारी के साथ जोड़ा जाता है जो किसी कंपनी की सूचना सुरक्षा की निगरानी, विश्लेषण और रखरखाव के लिए जिम्मेदार होते हैं।
इसके अलावा, विशेष जनहित की कंपनियों को नियमित रूप से एक स्व-घोषणा प्रस्तुत करने के लिए बाध्य किया जाता है: उन्हें यह बताना होगा कि पिछले दो वर्षों में कौन से आईटी सुरक्षा प्रमाणन किए गए हैं और उन्होंने अपने आईटी सिस्टम को कैसे सुरक्षित किया है।
IT सुरक्षा अधिनियम 2.0 जैसी विधायी पहल दर्शाती है कि राजनेताओं ने आज के डिजिटल युग में लचीलेपन के कार्य की अत्यावश्यकता को पहचान लिया है। 1 मई, 2023 के बाद भी कंपनियों के पास करने के लिए बहुत कुछ है, लोथर हंसलर, संचालन अधिकारी के अनुसार राडार साइबर सुरक्षा.
सोफोस और रेबो के विषय पर अधिक
IT सुरक्षा अधिनियम 2.0: KRITIS संगठनों के लिए कार्यान्वयन सहायता
आईटी सुरक्षा अधिनियम 2.0: साइबर हमलों को रोकने के लिए "उचित संगठनात्मक और तकनीकी सावधानी" लेने के लिए महत्वपूर्ण इन्फ्रास्ट्रक्चर (KRITIS) के संचालक कानूनी रूप से बाध्य हैं। 2.0 के वसंत में "आईटी सुरक्षा अधिनियम 2.0" (ITSiG 2021) के पारित होने के साथ, इन दायित्वों को फिर से कड़ा कर दिया गया।
मई 2023 से, महत्वपूर्ण बुनियादी ढांचे के ऑपरेटरों को इन्हें लागू करना होगा और सबसे बढ़कर, "अटैक डिटेक्शन सिस्टम" उपलब्ध होना चाहिए। सोफोस, एक एपीटी प्रतिक्रिया सेवा प्रदाता (एडवांस्ड परसिस्टेंट थ्रेट) के रूप में बीएसआई द्वारा आधिकारिक तौर पर योग्य है, इसलिए उसने केआरआईटीआईएस के लिए एक संक्षिप्त समाधान तैयार किया है जो कंपनियों और संगठनों को नई आवश्यकताओं के अनुसार अपने सुरक्षा उपायों को अच्छे समय में अनुकूलित करने में मदद करता है। 144 मिलियन नए दुर्भावनापूर्ण प्रोग्राम…
ITSiG 2.0: KRITIS के लिए अटैक डिटेक्शन सिस्टम अनिवार्य हो गया है
23 अप्रैल, 2021 को बुंडेस्टाग ने संशोधित IT सुरक्षा अधिनियम (ITSiG 2.0) पारित किया। ITSiG 2.0, हमलों का पता लगाने की प्रणाली, KRITIS के लिए अनिवार्य है। दो साल के भीतर हमले का पता लगाने के लिए महत्वपूर्ण बुनियादी ढांचे को एक समग्र प्रणाली स्थापित करनी होगी।
आपूर्ति श्रृंखला आईटी सुरक्षा अधिनियम का हिस्सा बन जाती है। 23 अप्रैल, 2021 को बुंडेस्टाग ने संशोधित IT सुरक्षा अधिनियम (ITSiG 2.0) पारित किया। संघीय सूचना सुरक्षा कार्यालय (BSI) के लिए विस्तारित शक्तियों के अलावा, साइबर सुरक्षा आवश्यकताओं को कड़ा किया जा रहा है। ऊर्जा आपूर्तिकर्ता और जल आपूर्तिकर्ता जैसे महत्वपूर्ण बुनियादी ढाँचे और अब अपशिष्ट निपटान कंपनियाँ और आर्थिक महत्व वाली बड़ी कंपनियाँ संशोधन से प्रभावित होंगी ...