За кілька місяців багато компаній повинні будуть імплементувати директиву NIS2. Нова директива ЄС вимагає введення суворих заходів для забезпечення кібербезпеки.
На перший погляд, цей період часу може здатися досить довгим, але побудова адекватної структури безпеки не відбувається відразу. NTT Ltd., провідна компанія з ІТ-інфраструктури та послуг, усуває неправильні уявлення навколо Директиви NIS2 і показує найкращий спосіб її впровадження. Директива NIS2 — це загальноєвропейське законодавство про мережеву та інформаційну безпеку, яке набуло чинності 16 січня 2023 року та має бути перенесене в національне законодавство державами-членами до 17 жовтня 2024 року. У Німеччині вже є проект закону Федерального міністерства внутрішніх справ про імплементаційний закон NIS 2 (NIS2UmsuCG). Нова директива значно збільшить кількість постраждалих компаній у цій країні – від 30.000 40.000 до 2 XNUMX компаній підпадуть під жорсткіші вимоги NISXNUMX. Однак багато з них, ймовірно, навіть не підозрюють про це, хоча за невиконання передбачені суворі покарання.
Гострі питання
Чи підпадаю я під дію директиви NIS2? Влада не повідомляє компанії, чи стосуються її нові вимоги чи ні. Швидше, компанії повинні самі визначити свій «вплив» на основі визначених критеріїв. В принципі, кожен, хто класифікується як оператор критичної інфраструктури, підпадає під цю директиву. До них належать об’єкти, системи та системи, функціональність яких є важливою для суспільства, безпеки країни та економіки та збій яких призведе до значних збоїв. За даними Федерального відомства цивільного захисту, йдеться про компанії енерго- та водопостачання, телекомунікацій та інформаційних технологій, постачання продовольства, транспорту та логістики, фінансів та охорони здоров’я. У той же час, Директива NIS2 також впливає на організації в ланцюжку постачання, які надають послуги або продукти, пов’язані з критичними секторами. Це означає, що масштаб виходить далеко за рамки відомих раніше ключових компаній. У майбутньому компанії та організації з 50 і більше співробітниками та річним оборотом не менше десяти мільйонів євро будуть реєструватися у відповідних секторах. Зокрема, NIS2 розрізняє «важливі» та «необхідні» об’єкти. Останні відіграють вирішальну роль завдяки своїй частці ринку у відповідному секторі.
Положення директиви NIS2
ЄС посилив вимоги у трьох ключових сферах: наглядові заходи та штрафи, співпраця та кооперація, а також управління ризиками та стійкість. Підвищені вимоги до управління ризиками та стійкості означають, що організації повинні впроваджувати заходи щодо запобігання та мінімізації збитків. Це включає в себе такі сфери, як мережева безпека, управління ризиками, кібербезпека в ланцюгах поставок, контроль доступу та шифрування. NIS2 забезпечує базову ІТ-гігієну, а проект закону передбачає виявлення атак для критично важливих об’єктів. Компанії також повинні подумати про те, як забезпечити безперервність роботи після кібератаки. Це включає відновлення системи, дії в надзвичайних ситуаціях і створення кризової організації. Крім того, відповідальні органи повинні отримати первинний звіт як раннє попередження протягом 24 годин після того, як стало відомо про інцидент безпеки. Протягом 72 годин має надійти детальний звіт із описом так званих індикаторів компромісу. Компанії повинні спочатку використовувати низхідний підхід, щоб визначити цілісний поточний стан рівня зрілості своєї ІТ-безпеки, а потім запровадити технічні та організаційні заходи за потреби. Щоб відповідати настанові NIS2, також рекомендується впровадити систему управління інформаційною безпекою (ISMS) відповідно до ISO 27001. У той же час має сенс створити центр безпеки (SOC). Однак експлуатація SOC є дуже витратною, тому передати її зовнішньому постачальнику послуг у формі керованих послуг є хорошим рішенням.
Що станеться, якщо ви не виконаєте вимоги?
Хоча перевіряються лише основні об’єкти, кожен, хто ігнорує вимоги, ризикує отримати значні санкції у разі інциденту безпеки. Для компаній, віднесених до категорії «важливих», штрафи можуть становити до десяти мільйонів євро або двох відсотків річного світового обороту, залежно від того, що більше. Для «важливих» установ максимальний штраф становить сім мільйонів євро або 1,4 відсотка світового річного обороту. Законопроект Федерального міністерства внутрішніх справ також передбачає, що керівні директори та інші органи управління компаній несуть відповідальність своїм приватним майном за дотримання заходів з управління ризиками. Вам також загрожує штраф у розмірі двох відсотків вашого світового річного обороту. Таким чином, NIS2 є ризиком відповідності, до якого відповідальні особи повинні поставитися дуже серйозно. Крім того, погане або неіснуюче рішення безпеки зрештою коштує значно більше, навіть якщо інвестиції у відповідні заходи можуть спочатку здатися деяким компаніям високими. Подібно до інших настанов, також існує висока ймовірність того, що компанії, які не запровадили необхідні заходи, не будуть розглянуті на публічних тендерах.
«Відповідність вимогам NIS2 — це не продукт, який можна просто придбати та впровадити. Навпаки: компанії повинні розуміти, що імплементація нової директиви ЄС є справді масштабним і довгостроковим проектом із впливом у багатьох сферах. У той же час, відповідність ІТ давно була ключовим стратегічним питанням для компаній», — пояснює Бернхард Кречмер, віце-президент з обслуговування та кібербезпеки NTT Ltd. «Однак практика показує, що багато компаній досі не вжили необхідних заходів. Це може стати каменем спотикання на шляху своєчасного впровадження NIS2. Тому що дуже мало компаній можуть задовольнити необхідні вимоги за допомогою власної ІТ-команди».
Більше на NTT
Про NTT
Як частина NTT DATA, постачальника ІТ-послуг, ІТ-інфраструктури та сервісної компанії NTT Ltd вартістю 30 мільярдів доларів США. Завдяки своїм технологіям, 65 відсотків Fortune Global 500 і понад 75 відсотків Fortune Global 100. Компанія закладає основу для мережевої екосистеми організацій від краю до хмари, спрощуючи складні багатохмарні робочі навантаження та впроваджуючи інновації на межі ІТ-середовище, де мережа, хмара та програми об’єднуються. NTT пропонує спеціалізовані інфраструктури та забезпечує узгодженість найкращих практик проектування та операцій у своїх безпечних, масштабованих та адаптованих центрах обробки даних. На шляху до програмно-визначеного майбутнього NTT підтримує своїх клієнтів за допомогою інфраструктурних послуг на основі платформи.
Статті по темі