Тепер час настав: Закон про безпеку ІТ 2.0 набуде повної чинності 1 травня. Це означає, що перехідний період для зобов’язання надавати докази виявлення атак для критичної інфраструктури KRITIS закінчився. Закон діє вже 2 роки, але лише зараз у посиленому вигляді. Тепер постачальники KRITIS також мають зобов’язання, і вони можуть ще не знати про це. Інформація RADAR Cyber Security, Sophos, Rhebo.
Навіть за кілька днів до завершення перехідного періоду все ще залишається певна неясність щодо того, що детально означає Закон про безпеку ІТ 2.0: які вимоги необхідно впровадити, які технології необхідні, які заходи мають бути перевірені та хто має відчуваєш адресу взагалі?
Хто мається на увазі?
Закон про безпеку інформаційних технологій 2.0 діє вже два роки, перехідний період для зобов’язання надавати докази виявлення атак закінчується 1 травня. Таким чином, це регулювання досягає нового виміру. По-перше, друга версія Закону про безпеку інформаційних технологій (скорочено IT-SiG) значно посилює вимоги. По-друге, значно розширюється група об’єктів, що входять до критичної інфраструктури: Регламент поширюється не лише на самих операторів KRITIS, а й на їхніх постачальників. По-третє, тепер це стосується також компаній, що становлять «особливий суспільний інтерес»: серед іншого, виробники озброєнь або компанії з «особливою економічною важливістю» повинні впроваджувати певні заходи безпеки ІТ. По-четверте, державі та регуляторним органам надається більше повноважень: наприклад, BSI може сама класифікувати компанії як KRITIS.
Що потрібно?
Конкретно це означає: щонайпізніше до 1 травня 2023 року оператори KRITIS повинні запровадити системи та процеси для виявлення атак, які тепер є частиною технічних та організаційних заходів безпеки. До них належать, наприклад, «Інформація про безпеку та управління подіями» (SIEM) або «Центр операцій з безпеки» (SOC): із центром захисту, також відомим як «Центр кіберзахисту» (CDC), оператори KRITIS можуть створити послідовну концепцію безпеки для своїх ІТ та впровадити інфраструктуру OT. Тут технології та процеси поєднуються з ноу-хау експертів, які відповідають за моніторинг, аналіз та підтримку інформаційної безпеки компанії.
Крім того, компанії, що представляють особливий суспільний інтерес, зобов’язані регулярно подавати самодекларацію: вони повинні пояснити, які сертифікації ІТ-безпеки були проведені за останні два роки та як вони захищали свої ІТ-системи.
Законодавчі ініціативи, такі як Закон про безпеку ІТ 2.0, показують, що політики усвідомили актуальність завдання стійкості в сучасну цифрову епоху. Компанії мають багато зробити навіть після 1 травня 2023 року, за словами Лотара Хенслера, операційного директора RADAR Cyber Security.
Ще по темі Sophos і Rhebo
Закон про безпеку ІТ 2.0: Допомога у впровадженні для організацій KRITIS
Закон про безпеку ІТ 2.0: Оператори критичної інфраструктури (KRITIS) за законом зобов’язані вживати «розумних організаційних і технічних запобіжних заходів» для запобігання кібератакам. З ухваленням «Закону про безпеку ІТ 2.0» (ITSiG 2.0) навесні 2021 року ці зобов’язання були знову посилені.
З травня 2023 року оператори критичної інфраструктури повинні запровадити їх і, перш за все, мати доступні «системи виявлення атак». Sophos, як постачальник послуг реагування APT (Advanced Persistent Threat), офіційно сертифікований BSI, створив опис рішення для KRITIS, який допомагає компаніям і організаціям своєчасно адаптувати свої заходи безпеки відповідно до нових вимог. 144 мільйони нових шкідливих програм…
ITSiG 2.0: система виявлення атак стає обов'язковою для KRITIS
23 квітня 2021 року Бундестаг прийняв оновлений Закон про безпеку ІТ (ITSiG 2.0). ITSiG 2.0, система виявлення атак, є обов'язковою для KRITIS. Критичні інфраструктури повинні протягом двох років створити цілісну систему виявлення атак.
Ланцюг постачання стає частиною Закону про безпеку ІТ. 23 квітня 2021 року Бундестаг прийняв оновлений Закон про безпеку ІТ (ITSiG 2.0). Окрім розширення повноважень Федерального відомства з інформаційної безпеки (BSI), посилюються вимоги до кібербезпеки. Поправка торкнеться такої критичної інфраструктури, як постачальники електроенергії та води, а тепер також компанії з утилізації відходів і великі економічно важливі компанії…