यूरोप में कंपनियों के लिए NIS2 का क्या मतलब है

NIS2 का निर्णय लिया गया और यूरोपीय संघ के देशों को अक्टूबर 2024 तक निर्देश को राष्ट्रीय कानून में स्थानांतरित करना होगा - और कंपनियों को निश्चित रूप से खुद को तैयार करना होगा। NIS2 महत्वपूर्ण बुनियादी ढांचे के संचालकों के लिए यूरोपीय ढांचा है और यूरोपीय संघ में न्यूनतम साइबर सुरक्षा मानकों को परिभाषित करता है।

यूरोपीय संघ (EU) ने NIS2 निर्देश को अपनाया है, जो IT सुरक्षा के क्षेत्र में यूरोप के डिजिटल भविष्य को आकार देने के लिए यूरोपीय संघ की रणनीति का हिस्सा है और 2016 NIS निर्देश का प्रत्यक्ष विस्तार है, जो कि पहला IT सुरक्षा कानून था ईयू स्तर।

NIS2 के लिए पृष्ठभूमि

नए निर्देश की पृष्ठभूमि एक गतिशील खतरे का परिदृश्य है जो कॉर्पोरेट नेटवर्क को तेजी से प्रभावित कर रहा है और मान्यता है कि पहले एनआईएस निर्देश को अलग-अलग यूरोपीय संघ के सदस्य राज्यों में अलग तरीके से लागू किया गया था। इसलिए, यूरोपीय संघ महत्वपूर्ण बुनियादी ढाँचे (KRITIS) को प्रभावित करने वाले क्षेत्रों और आपूर्ति श्रृंखलाओं की सुरक्षा के लिए एक अधिक एकीकृत दृष्टिकोण बनाना चाहता है, क्योंकि बड़े पैमाने पर साइबर हमले से प्रत्येक सदस्य राज्य की अर्थव्यवस्था पर भारी प्रभाव पड़ सकता है, लेकिन बाकी पर भी संघ का। उदाहरण के लिए, यदि किसी देश की राष्ट्रीय उपयोगिता कंपनी छोटी या लंबी अवधि के लिए ऑफ़लाइन हो जाती है, तो बिजली की कीमतें बढ़ जाएंगी और चूंकि यूरोपीय एक्सचेंज पर बिजली का कारोबार होता है, कीमतें पूरे यूरोप में बढ़ जाएंगी।

सदस्य राज्यों से क्या उम्मीद करें

GDPR निर्देश के विपरीत, जो नागरिकों के व्यक्तिगत डेटा की सुरक्षा करता है, NIS2 निर्देश का उद्देश्य आर्थिक डेटा की सुरक्षा करना है। नए कानून के हिस्से के रूप में, सदस्य राज्यों को, अन्य बातों के अलावा, एक राष्ट्रीय आईटी सुरक्षा रणनीति और एक राष्ट्रीय कानून का मसौदा तैयार करना चाहिए। इसका उद्देश्य NIS2 निर्देश के अंतर्गत आने वाली कंपनियों द्वारा जोखिम प्रबंधन और रिपोर्टिंग के लिए आवश्यकताओं को निर्धारित करना है। साथ ही राष्ट्रीय स्तर पर एक संपर्क बिंदु स्थापित किया जाना है।

प्रभावित संस्थान

NIS डायरेक्टिव में पहले से शामिल क्षेत्रों के अलावा, नए NIS2 में अन्य लोगों के साथ-साथ खाद्य उद्योग, माल और शिपिंग कंपनियां, टेलीकॉम और डेटा प्रदाता, सोशल मीडिया प्लेटफॉर्म और डेटा सेंटर प्रदाता, साथ ही ऐसी कंपनियां शामिल हैं जो भारत में सक्रिय हैं। अपशिष्ट और अपशिष्ट जल प्रबंधन, साथ ही विनिर्माण कंपनियां जो देश की अर्थव्यवस्था के लिए महत्वपूर्ण हैं।

निर्देश द्वारा कवर की गई कंपनियों को दो श्रेणियों में बांटा गया है: आवश्यक कंपनियाँ (जैसे दूरसंचार कंपनियाँ, उपयोगिताएँ और बैंक) और महत्वपूर्ण कंपनियाँ (जैसे खाद्य कंपनियाँ और माल ढुलाई कंपनियाँ)। हालांकि, 250 से कम कर्मचारियों वाली या 50 मिलियन यूरो से कम वार्षिक कारोबार वाली कंपनियों को निर्देश से छूट दी गई है। हालाँकि, आपूर्ति श्रृंखला उत्तरदायित्व की अवधारणा के कारण, यह अपेक्षा की जाती है कि छोटी कंपनियाँ जो निर्देश द्वारा कवर किए गए क्षेत्रों की आपूर्तिकर्ता हैं, उन्हें भी NIS2 का अनुपालन करने की आवश्यकता होगी। यह निर्देश सार्वजनिक प्रशासनों तक भी फैला हुआ है, लेकिन वर्तमान में यह स्पष्ट नहीं है कि क्या यह नगर पालिकाओं पर लागू होता है, उदाहरण के लिए।

कंपनियों के लिए क्या उम्मीद करें

NIS2 संबंधित कंपनियों और संगठनों पर नई मांग रखता है। इसमें वरिष्ठ प्रबंधन विशेषज्ञता और उत्तरदायित्व, प्रभावी जोखिम प्रबंधन, जोखिम विश्लेषण और घटना प्रतिक्रिया, और साइबर घटना रिपोर्टिंग और हैंडलिंग शामिल हैं। इसलिए प्रबंधन कंपनी के NIS2 दिशानिर्देशों के अनुपालन के लिए ज़िम्मेदार है और ऐसा करने में विफल रहने पर उसे जवाबदेह ठहराया जा सकता है। सुरक्षा उपायों के कार्यान्वयन और ISO27001 या NIST ढांचे जैसे अंतर्राष्ट्रीय मानकों सहित कंपनी या संगठन को स्वयं विभिन्न IT सुरक्षा आवश्यकताओं को पूरा करना चाहिए।

NIS2 निर्देशों का पालन नहीं करने वाली कंपनियों पर €2 मिलियन या कुल वैश्विक वार्षिक राजस्व का XNUMX प्रतिशत तक का जुर्माना लगाया जा सकता है। यह नोट करना महत्वपूर्ण है कि, जैसा कि GDPR निर्देश के साथ है, कोई NISXNUMX लेबल या सूची नहीं होगी जिसका कंपनियों को पालन करना होगा। डेटा सुरक्षा नियमों के अनुपालन को सुनिश्चित करने के लिए उपाय करना संगठन पर निर्भर है। इसलिए जबकि सुरक्षा विक्रेता मदद कर सकते हैं, यह संगठन पर निर्भर है कि वह आवश्यक रिपोर्टिंग सेट अप करे।

कार्यान्वयन की समय सीमा

दिसंबर 2022 के अंत में, NIS2 निर्देश पारित किया गया और यूरोपीय संघ में आधिकारिक बना दिया गया। उसके बाद, सदस्य राज्यों के पास निर्देश को राष्ट्रीय कानून में बदलने के लिए 21 महीने का समय होता है। हालांकि, इसका मतलब यह नहीं है कि कंपनियां नए उपायों को लागू करने के लिए तब तक इंतजार कर सकती हैं। आखिरकार, निर्देश से प्रभावित संगठनों को इसे अपनाने के 18 महीने बाद इसका पालन करने में सक्षम होना चाहिए। हालांकि यह लंबा लग सकता है, हम अनुभव से जानते हैं कि कई कंपनियों को नए उपायों, प्रक्रियाओं आदि को पेश करने में लंबा समय लग सकता है। इसलिए यह महत्वपूर्ण है कि सभी प्रभावित संस्थान और कंपनियां तत्काल शुरू करें।

आरंभ करने की सलाह

जैसा कि उल्लेख किया गया है, NIS2 निर्देश एक चेकलिस्ट या न्यूनतम सुरक्षा प्रौद्योगिकी आवश्यकताओं को प्रदान नहीं करता है। यह वर्णन करता है कि सुरक्षा का एक उपयुक्त स्तर कैसा दिखता है, जिसकी विभिन्न तरीकों से व्याख्या की जा सकती है। हालांकि, यह मानना ​​उचित है कि संगठनों को कम से कम अपने नेटवर्क पर फ़ायरवॉल और घुसपैठ रोकथाम तकनीकों की आवश्यकता होगी, साथ ही समापन बिंदु सुरक्षा और बहु-कारक प्रमाणीकरण, डेटा एन्क्रिप्शन और प्रतिबंधित पहुंच के कार्यान्वयन की आवश्यकता होगी।

हालांकि, यह उल्लेख करना महत्वपूर्ण है कि प्रौद्योगिकी के साथ सब कुछ हल नहीं किया जा सकता है। प्रक्रिया और प्रौद्योगिकी समान रूप से महत्वपूर्ण हैं। इसका मतलब यह है कि कंपनियों को स्टॉक लेना चाहिए और एक योजना बनानी चाहिए, न कि केवल जल्दी ठीक करने की तलाश में। इसे ध्यान में रखते हुए, आप कुछ शुरुआती कदम उठा सकते हैं। सबसे पहले, यह जांचना महत्वपूर्ण है कि आपकी अपनी कंपनी नए निर्देश के अंतर्गत आती है या नहीं। यदि ऐसा है, तो निम्नलिखित पहलुओं पर विचार किया जाना चाहिए:

• सुनिश्चित करें कि आईटी सुरक्षा एक शीर्ष प्रबंधन प्राथमिकता है और प्रबंधक अपनी जिम्मेदारियों से अवगत हैं। अपनी कंपनी की जरूरतों का विश्लेषण करके और कार्यान्वयन के लिए स्पष्ट लक्ष्यों और समयरेखा के साथ एक रोडमैप बनाकर प्रारंभ करें।
• सूचना, प्रक्रियाओं और प्रणालियों सहित अपनी संपत्ति को पहचानें और प्राथमिकता दें।
• अपनी सुरक्षा के निर्माण के लिए एक रूपरेखा तैयार करें। यह ISO2001 या NIST हो सकता है। यह भी महत्वपूर्ण है कि आप अपनी संपत्तियों और प्रक्रियाओं के लिए जोखिम प्रबंधन लागू करें।
• जितनी संभव हो उतनी प्रक्रियाओं और दिनचर्या को स्वचालित करें। उदाहरण के लिए, आईटी सुरक्षा हमेशा नई प्रणालियों और भविष्य में क्लाउड लॉन्च का हिस्सा होनी चाहिए।
• अपने सुरक्षा कार्यों और समाधानों को समेकित करें। यह संचालन को आसान और सुरक्षित बनाता है और अन्य बातों के अलावा कर्मियों की लागत कम करता है।
• एक रिपोर्टिंग प्रक्रिया स्थापित करें जो NIS2 आवश्यकताओं के अनुरूप हो और सुनिश्चित करें कि इसका उपयोग हमलों और खतरों को कम करने के लिए किया जा सकता है।

कई संगठनों ने पहले ही कुछ उपायों को लागू कर दिया है क्योंकि उन्हें मूल एनआईएस आवश्यकताओं को पूरा करना था। हालाँकि, अन्य संगठनों को एक पूरी नई वास्तविकता के अनुकूल होना पड़ रहा है। यह एक लंबा और कठिन काम हो सकता है, कुछ के लिए भारी भी। इस कारण से, सभी को सलाह दी जाती है कि प्रारंभिक अवस्था में आवश्यकताओं और संभावित उपायों से निपटने और विशेषज्ञों से परामर्श करने की सलाह दी जाती है।

CheckPoint.com पर अधिक

 

---

चेक प्वाइंट के बारे में

चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज जीएमबीएच (www.checkpoint.com/de) दुनिया भर में सार्वजनिक प्रशासन और कंपनियों के लिए साइबर सुरक्षा समाधान का एक अग्रणी प्रदाता है। समाधान ग्राहकों को मैलवेयर, रैंसमवेयर और अन्य प्रकार के हमलों की उद्योग-अग्रणी पहचान दर के साथ साइबर हमलों से बचाते हैं। चेक प्वाइंट एक बहुस्तरीय सुरक्षा वास्तुकला प्रदान करता है जो क्लाउड, नेटवर्क और मोबाइल उपकरणों में कॉर्पोरेट जानकारी की सुरक्षा करता है, और सबसे व्यापक और सहज "नियंत्रण का एक बिंदु" सुरक्षा प्रबंधन प्रणाली है। चेक प्वाइंट सभी आकारों के 100.000 से अधिक व्यवसायों की सुरक्षा करता है।

---

 

विषय से संबंधित लेख