NIS2'ye karar verildi ve AB ülkelerinin direktifi Ekim 2024'e kadar ulusal yasalarına aktarması gerekiyor - ve şirketler elbette kendilerini hazırlamalı. NIS2, kritik altyapı operatörleri için Avrupa çerçevesidir ve AB'deki minimum siber güvenlik standartlarını tanımlar.
Avrupa Birliği (AB), BT güvenliği alanında Avrupa'nın dijital geleceğini şekillendirmeye yönelik AB stratejisinin bir parçası olan ve ilk BT güvenlik yasası olan 2 NIS Direktifinin doğrudan bir uzantısı olan NIS2016 Direktifini kabul etti. AB seviyesi.
NIS2 için arka plan
Yeni direktifin arka planında, kurumsal ağları giderek daha fazla etkileyen dinamik bir tehdit ortamı ve ilk NIS direktifinin bireysel AB üye devletlerinde farklı şekilde uygulandığının kabul edilmesi yatmaktadır. Bu nedenle AB, kritik altyapıyı (KRITIS) etkileyen sektörleri ve tedarik zincirlerini korumak için daha birleşik bir yaklaşım oluşturmak istiyor, çünkü büyük ölçekli bir siber saldırı her bir Üye Devletin ekonomisi üzerinde ve aynı zamanda geri kalanı üzerinde de büyük bir etkiye sahip olabilir. Birliğin. Örneğin, bir ülkenin ulusal elektrik şirketi kısa veya uzun bir süre devre dışı kalırsa, elektrik fiyatları artacak ve elektrik Avrupa borsasında işlem gördüğü için fiyatlar Avrupa çapında artacaktır.
Üye ülkelerden neler beklenebilir?
Vatandaşların kişisel verilerini koruyan GDPR direktifinin aksine, NIS2 direktifi ekonomik verileri korumayı amaçlar. Yeni mevzuatın bir parçası olarak, üye devletler, diğer şeylerin yanı sıra, ulusal bir BT güvenlik stratejisi ve ulusal bir yasa taslağı hazırlamalıdır. Bunun amacı, NIS2 direktifi kapsamına giren şirketler tarafından risk yönetimi ve raporlama gereksinimleri belirlemektir. Ayrıca, ulusal düzeyde bir irtibat noktası kurulacaktır.
Etkilenen Kurumlar
Halihazırda NIS Direktifinde yer alan sektörlere ek olarak, yeni NIS2, diğerlerinin yanı sıra, gıda endüstrisi, nakliye ve nakliye şirketleri, telekom ve veri sağlayıcıları, sosyal medya platformları ve veri merkezi sağlayıcılarının yanı sıra aktif olan şirketleri kapsamaktadır. atık ve atık su yönetiminin yanı sıra ülke ekonomisi için önemli olan imalatçı firmalardır.
Direktifin kapsadığı şirketler iki kategoriye ayrılır: temel şirketler (örneğin telekom şirketleri, kamu hizmetleri ve bankalar) ve önemli şirketler (örneğin gıda şirketleri ve nakliye şirketleri). Ancak, 250'den az çalışanı olan veya yıllık cirosu 50 milyon Euro'dan az olan şirketler direktiften muaf tutuluyor. Ancak, tedarik zinciri sorumluluğu kavramı nedeniyle, Direktifin kapsadığı sektörlerin tedarikçisi olan daha küçük şirketlerin de NIS2'ye uyması beklenmektedir. Direktif aynı zamanda kamu idarelerini de kapsıyor, ancak bunun örneğin belediyeler için geçerli olup olmadığı şu anda net değil.
Şirketler için neler beklenebilir?
NIS2, ilgili şirket ve kuruluşlara yeni talepler getirmektedir. Buna üst düzey yönetim uzmanlığı ve sorumluluğu, risk analizi ve olay müdahalesi dahil olmak üzere etkili risk yönetimi ve siber olay raporlama ve yönetimi dahildir. Bu nedenle yönetim, şirketin NIS2 kılavuzuna uymasından sorumludur ve bunu yapmazsa sorumlu tutulabilir. Şirket veya kuruluşun kendisi, güvenlik önlemlerinin uygulanması ve ISO27001 veya NIST çerçevesi gibi uluslararası standartlar dahil olmak üzere çeşitli BT güvenlik gereksinimlerini karşılamalıdır.
NIS2 direktifine uymayan şirketler, 2 milyon Euro'ya veya toplam küresel yıllık gelirin yüzde XNUMX'sine kadar para cezasına çarptırılabilir. GDPR direktifinde olduğu gibi, şirketlerin uyması gereken herhangi bir NISXNUMX etiketi veya listesi olmayacağını unutmamak önemlidir. Veri koruma düzenlemelerine uyumu sağlamak için önlemler almak kuruluşun kendisine bağlıdır. Bu nedenle, güvenlik satıcıları yardımcı olabilirken, gerekli raporlamayı ayarlamak kuruluşa kalmıştır.
uygulama için son tarih
Aralık 2022'nin sonunda NIS2 direktifi kabul edildi ve AB'de resmiyet kazandı. Bundan sonra, üye devletlerin direktifi ulusal hukuka dönüştürmek için 21 ayı var. Ancak bu, şirketlerin yeni önlemleri uygulamak için o zamana kadar bekleyebilecekleri anlamına gelmiyor. Ne de olsa, direktiften etkilenen kuruluşlar, kabul edildikten 18 ay sonra ona uyum sağlayabilmelidir. Bu uzun gibi görünse de, birçok şirketin yeni önlemler, prosedürler vb. uygulamaya koymasının uzun zaman alabileceğini deneyimlerimizden biliyoruz. Bu nedenle, etkilenen tüm kurum ve şirketlerin derhal harekete geçmesi önemlidir.
Başlarken tavsiye
Belirtildiği gibi, NIS2 Direktifi bir kontrol listesi veya minimum koruma teknolojisi gereksinimleri sağlamaz. Farklı şekillerde yorumlanabilecek uygun bir koruma seviyesinin neye benzediğini açıklar. Bununla birlikte, kuruluşların ağlarında en azından güvenlik duvarı ve saldırı önleme teknolojilerinin yanı sıra uç nokta güvenliği ve çok faktörlü kimlik doğrulama, veri şifreleme ve kısıtlı erişim uygulaması gerektireceğini varsaymak mantıklıdır.
Ancak her şeyin teknoloji ile çözülemeyeceğini belirtmekte fayda var. Süreç ve teknoloji eşit derecede önemlidir. Bu, şirketlerin yalnızca hızlı bir düzeltme aramak yerine durum değerlendirmesi yapması ve bir plan oluşturması gerektiği anlamına gelir. Bunu akılda tutarak, atabileceğiniz bazı ilk adımlar var. Her şeyden önce, kendi şirketinizin yeni direktif kapsamına girip girmediğini kontrol etmek önemlidir. Bu durumda, aşağıdaki hususlar dikkate alınmalıdır:
- BT güvenliğinin bir üst yönetim önceliği olduğundan ve yöneticilerin sorumluluklarının farkında olduğundan emin olun. Şirketinizin ihtiyaçlarını analiz ederek ve uygulama için net hedefler ve zaman çizelgesi içeren bir yol haritası oluşturarak başlayın.
- Bilgiler, süreçler ve sistemler dahil olmak üzere varlıklarınızı tanımlayın ve önceliklendirin.
- Güvenliğinizi üzerine inşa etmek için bir çerçeve tasarlayın. Bu, ISO2001 veya NIST olabilir. Varlıklarınız ve süreçleriniz için risk yönetimi uygulamanız da önemlidir.
- Mümkün olduğu kadar çok süreci ve rutini otomatikleştirin. Örneğin, BT güvenliği her zaman yeni sistemlerin ve gelecekteki bulut lansmanlarının bir parçası olmalıdır.
- Güvenlik işlevlerinizi ve çözümlerinizi birleştirin. Bu, operasyonu daha kolay ve daha güvenli hale getirir ve diğer şeylerin yanı sıra personel maliyetlerini azaltır.
- NIS2 gereksinimlerine uygun bir raporlama süreci oluşturun ve bunun saldırıları ve tehditleri azaltmak için kullanılabilmesini sağlayın.
Pek çok kuruluş, orijinal NIS gereksinimlerini karşılamak zorunda oldukları için bazı önlemleri zaten uygulamıştır. Ancak, diğer kuruluşlar tamamen yeni bir gerçekliğe uyum sağlamak zorunda kalıyor. Bu uzun ve göz korkutucu bir görev olabilir, hatta bazıları için bunaltıcı olabilir. Bu nedenle herkesin gereklilikleri ve olası önlemleri erken bir aşamada ele alması ve uzmanlara danışması tavsiye edilir.
CheckPoint.com'da daha fazlası
kontrol noktası hakkında Check Point Software Technologies GmbH (www.checkpoint.com/de), dünya çapında kamu idareleri ve şirketler için lider bir siber güvenlik çözümleri sağlayıcısıdır. Çözümler, sektör lideri kötü amaçlı yazılım, fidye yazılımı ve diğer saldırı türlerini algılama oranıyla müşterileri siber saldırılardan koruyor. Check Point, kurumsal bilgileri bulut, ağ ve mobil cihazlarda koruyan çok katmanlı bir güvenlik mimarisi ve en kapsamlı ve sezgisel "tek kontrol noktası" güvenlik yönetim sistemi sunar. Check Point, her ölçekten 100.000'den fazla işletmeyi korur.