多くの企業が EU NIS2 指令の新版の影響を受けています。 これにより、重要なインフラストラクチャのサイバーセキュリティの最小要件が高まります。 企業は十分な準備をしておく必要があります。
重要なインフラに対するサイバー攻撃は特に危険です。 そのため、EU は 2016 年にネットワークおよび情報セキュリティ (NIS) 指令でサイバーセキュリティの最小要件を定義しました。 現在、これは新しい版に置き換えられています。 NIS16 指令は 2023 年 2 月 2024 日から施行されており、EU 加盟国は 2 年 2 月までにこの指令を国内法に組み込む必要があります。 ドイツでは、これは NISXNUMX 実施法によって行われており、現在第 XNUMX 草案として公開されています。 IT セキュリティ法と KRITIS 条例の変更が予想されます。 多くの企業は現在、NISXNUMX が自社にとって何を意味するのか疑問に思っています。
セキュリティ管理者は今何を知っておく必要がありますか?また、どのように準備するのが最善でしょうか? indevis のコンプライアンス マネージャー兼データ保護責任者である Dirk Wocke が、最も重要な質問に対する答えを提供します。
NIS2 の影響を受けるのは誰ですか?
古い法律との最も重要な違いは、効率が大幅に向上したことです。 新たに 2 つの KRITIS セクターが追加され、その数は 50 から 10 に増加します。 これまでのところ、直接KRITIS環境に属する大規模組織のみが影響を受けているが、NISXNUMXは民間企業にも適用され、従業員規模がXNUMX人または年間売上高がXNUMX万ユーロの企業も対象となる。 一部の企業は、その規模に関係なく、公益にとって特に重要ないわゆる「不可欠な事業体」に該当するため、この指令の対象となります。
また、新しいことは、影響を受ける企業がサプライヤーのサイバーセキュリティをチェックし、確保する必要があることです。 サプライチェーンはますます複雑化しており、小さなコンポーネントの障害でさえ重大なボトルネックにつながる可能性があるため、これは重要です。 たとえば、ソーラーウィンズのハッキングは、サプライチェーン攻撃がいかに危険であるかを示しました。 全体として、NIS2 は広範囲の企業に影響を及ぼしますが、その多くは、自分たちが影響を受けていることに一目見ただけで気づきます。
NIS2 はどのような革新をもたらしますか?
新しい指令により、サイバーセキュリティの最小要件が強化され、管理者に責任が課されます。 所定の基準が遵守されていることを確認するのはお客様の責任です。 サイバー攻撃が発生した場合は、GDPR と同様に、厳格な報告要件が適用されます。 その後、企業は一定期間内にインシデントを BSI に報告する必要があります。 このようにして、立法府は、影響を受けた人々が評判を守るためにサイバー攻撃を隠蔽することを阻止したいと考えています。 NIS2 はまた、欧州の法学を研ぎ澄まし、EU における当局と事業者間の監督と協力を深めます。 たとえば、国境を越えて協力し、情報を交換する国家コンピューター緊急対応チームを設立する必要があります。 同時に、脆弱性データベースが EU レベルで設立される予定です。
影響を受けた企業は今何をすべきでしょうか?
NIS2 は、最先端の技術的および組織的なセキュリティ対策を規定しています。 これには、たとえば、サイバー リスクを評価する方法論や、サービスとビジネスの継続性を確保するための戦略が含まれます。 サイバーインシデントを防止、検出、管理するための対策も義務付けられています。 基本的には、情報セキュリティマネジメントシステム(ISMS)の構築です。 これにより、社内のサイバーセキュリティを管理および制御するためのルール、プロセス、方法、ツール、および責任が定義されます。
たとえば、BSI Grundschutz や ISO/IEC 27001 はガイダンスを提供していますが、ほとんどの企業はこれまでのところ、ISMS のパズルのピースを確立しただけです。 まず第一に、ギャップを特定し、それを段階的に埋めることが重要です。 多くの役割を果たし、ポリシーを定義する必要があります。 これらすべては通常、予想よりも複雑で時間がかかります。 したがって、できるだけ早くこの問題に取り組むことをお勧めします。 ISMSの導入・発展の経験を持つ外部サービスプロバイダーがアドバイスやサポートを提供します。
企業が NIS2 要件を無視するとどうなるでしょうか?
GDPR と同様に、議会は違反に対して高額の罰金を課すことでその要件を強化しています。 罰則と執行措置は大幅に拡大され、分野に応じて最高で少なくとも2万ユーロまたはXNUMX万ユーロの罰金が科せられることになる。 NISXNUMX 要件への準拠をチェックするために、BSI は監査を実施したり、第三者に監査を委託したりできます。 欠陥が発見された場合、影響を受ける企業には期限内に改善を行わなければならない期限が与えられます。 最後になりましたが、サイバーインシデントのフォレンジック調査により会社がセキュリティ要件を無視していたことが判明した場合、常務取締役は個人的に責任を負います。
NIS2 をチャンスとして
すでに KRITIS 領域に割り当てられている人は、おそらく NIS2 に必要なものの多くをすでに実装しているでしょう。 新しい企業の場合、労力はさらにかかります。 したがって、できるだけ早く始めることをお勧めします。 NIS2 に最初は作業が必要な場合でも、投資する価値はあります。 脅威が増大する状況を考えると、サイバーセキュリティを強化することが不可欠です。
実際には、セキュリティ責任者は、セキュリティ対策のための予算を確保することが難しいと感じることがよくあります。 したがって、法的要件による圧力が必要です。 NIS2 は現在、サイバーセキュリティの問題を管理レベルの最上位に据え、変化への道を切り開いています。 将来的には、セキュリティ管理者が CEO にサイバーセキュリティへの投資を増やすよう説得するのが容易になるはずです。 NIS2 への準拠をできるだけ迅速かつ効率的に達成するには、経験豊富なマネージド セキュリティ サービス プロバイダーと協力することをお勧めします。 彼は、セキュリティ戦略の検討、ISMS の設定、適切なセキュリティ テクノロジの選択と運用を支援できます。
詳細については、Indevis.de をご覧ください。
インディビスについて
国際規格 ISO/IEC 27001 に従って認定された indevis GmbH は、ドイツを代表するマネージド セキュリティ サービス プロバイダー (MSSP) の 20 つです。 同社は XNUMX 年以上にわたって情報技術におけるセキュリティ標準を設定しており、あらゆる規模および業界の顧客にネットワーク、データセンター、クラウドに適した IT セキュリティ ソリューションを提供しています。