Багато компаній постраждали від нової редакції директиви ЄС NIS2. Це підвищує мінімальні вимоги до кібербезпеки критичних інфраструктур. Компанії повинні бути добре підготовлені.
Особливо небезпечними є кібератаки на критичну інфраструктуру. Тому ЄС визначив мінімальні вимоги до кібербезпеки в Директиві про безпеку мережі та інформації (NIS) у 2016 році. Зараз його замінено новою редакцією. Директива NIS16 набула чинності з 2023 січня 2 року, і країни-члени ЄС ще мають час до жовтня 2024 року, щоб включити її в національне законодавство. У Німеччині це робиться через Закон про імплементацію NIS2, який наразі доступний як другий проект. Очікуються зміни до Закону про безпеку ІТ та Указу KRITIS. Зараз багато компаній задаються питанням, що для них означає NIS2.
Що зараз потрібно знати менеджерам із безпеки та як краще підготуватися? Відповіді на найважливіші запитання дає Дірк Воке, менеджер із комплаєнсу та спеціаліст із захисту даних компанії indevis.
На кого впливає NIS2?
Найголовнішою відмінністю від старого законодавства є значно підвищена ефективність. Додається сім нових секторів KRITIS, збільшуючи кількість з одинадцяти до вісімнадцяти. Хоча поки що постраждали лише великі організації з безпосереднього середовища KRITIS, NIS2 також стосується приватних компаній – навіть тих, які мають 50 співробітників або річний оборот 10 мільйонів євро. Деякі компанії, незалежно від їх розміру, підпадають під дію директиви, оскільки вони належать до так званих «важливих організацій», особливо важливих для загального блага.
Також новим є те, що постраждалі компанії повинні перевіряти та забезпечувати кібербезпеку своїх постачальників. Це важливо, оскільки ланцюжки поставок стають дедалі складнішими, і навіть вихід з ладу невеликого компонента може призвести до критичних вузьких місць. Злом Solarwinds, наприклад, показав, наскільки небезпечними можуть бути атаки на ланцюги поставок. Загалом, NIS2 впливає на широкий спектр компаній, багато з яких лише з першого погляду усвідомлюють, що на них це впливає.
Які інновації пропонує NIS2?
Нова директива посилює мінімальні вимоги до кібербезпеки та покладає на керівників відповідальність. Ви несете відповідальність за дотримання встановлених стандартів. Якщо сталася кібератака, застосовуються суворі вимоги до звітності, подібні до GDPR. Потім компанії повинні повідомити про інцидент BSI протягом певного періоду часу. Таким чином законодавець хоче завадити постраждалим приховати кібератаку, щоб захистити свою репутацію. NIS2 також покращує європейську юриспруденцію та поглиблює нагляд і співпрацю в ЄС між органами влади та операторами. Наприклад, слід створити національні групи реагування на комп’ютерні надзвичайні ситуації, які співпрацюватимуть через кордони та обмінюватимуться інформацією. Водночас на рівні ЄС має бути створена база даних уразливостей.
Що зараз робити постраждалим компаніям?
NIS2 передбачає найсучасніші технічні та організаційні заходи безпеки. Це включає, наприклад, методологію оцінки кіберризиків і стратегію забезпечення обслуговування та безперервності бізнесу. Заходи щодо запобігання, виявлення та управління кіберінцидентами також є обов’язковими. В основному йдеться про побудову системи управління інформаційною безпекою (СУІБ). Він визначає правила, процеси, методи, інструменти та обов’язки для управління та контролю кібербезпеки в компанії.
Наприклад, BSI Grundschutz та ISO/IEC 27001 пропонують вказівки.Більшість компаній досі створили лише частини головоломки СУІБ. Перш за все, важливо виявити прогалини, а потім крок за кроком їх закрити. Необхідно виконати численні ролі та визначити політику. Все це зазвичай складніше, ніж очікувалося, і вимагає часу. Тому бажано якнайшвидше вирішити проблему. Зовнішній постачальник послуг, який має досвід впровадження та подальшого розвитку СУІБ, може надати підтримку порадами та підтримкою.
Що відбувається, коли компанії ігнорують вимоги NIS2?
Подібно до GDPR, законодавець посилює свої вимоги, накладаючи високі штрафи за порушення. Штрафні санкції та примусові заходи будуть значно розширені – до максимальних штрафів у розмірі щонайменше семи або десяти мільйонів євро, залежно від сектора. Щоб перевірити відповідність вимогам NIS2, BSI може проводити аудити або замовляти їх у третіх осіб. У разі виявлення недоліків, постраждалим компаніям надається термін, протягом якого вони повинні внести покращення. І останнє, але не менш важливе: керуючі директори несуть особисту відповідальність, якщо судове розслідування кіберінциденту виявить, що компанія нехтувала вимогами безпеки.
NIS2 як можливість
Будь-хто, хто вже був призначений у зону KRITIS, напевно, уже впровадив багато з того, що вимагає NIS2. Для нових компаній зусилля вищі. Тому бажано почати якнайшвидше. Навіть якщо NIS2 спочатку вимагає роботи, інвестиція того варта. З огляду на зростаючу загрозливу ситуацію, підвищення рівня кібербезпеки є важливим.
На практиці тим, хто відповідає за безпеку, часто важко вивільнити бюджет на заходи безпеки. Тому потрібен тиск правових вимог. Тепер NIS2 ставить питання кібербезпеки на вищий рівень управління, прокладаючи шлях до змін. У майбутньому менеджерам із безпеки буде легше переконувати керівників інвестувати більше в кібербезпеку. Щоб якнайшвидше та ефективніше досягти відповідності NIS2, ми рекомендуємо співпрацювати з досвідченим постачальником послуг керованої безпеки. Він може допомогти переглянути стратегію безпеки, налаштувати СУІБ, вибрати та використовувати відповідну технологію безпеки.
Більше на Indevis.de
Про Indivis
Сертифікована відповідно до міжнародного стандарту ISO/IEC 27001, indevis GmbH є одним із провідних постачальників послуг керованої безпеки (MSSP) у Німеччині. Компанія встановлює стандарти безпеки в інформаційних технологіях понад 20 років і пропонує клієнтам будь-якого розміру та галузей відповідні рішення ІТ-безпеки для мереж, центрів обробки даних і хмари.