NIS2 було прийнято, і країни ЄС повинні перенести директиву в національне законодавство до жовтня 2024 року - і компанії, звичайно, повинні підготуватися. NIS2 є європейською структурою для операторів критичної інфраструктури та визначає мінімальні стандарти кібербезпеки в ЄС.
Європейський Союз (ЄС) прийняв Директиву NIS2, яка є частиною стратегії ЄС щодо формування цифрового майбутнього Європи у сфері ІТ-безпеки та є прямим розширенням Директиви NIS 2016 року, яка була першим законом про ІТ-безпеку. Рівень ЄС.
Фон для NIS2
Основою нової директиви є динамічний ландшафт загроз, які дедалі більше впливають на корпоративні мережі, і визнання того, що перша директива NIS була реалізована по-різному в окремих країнах-членах ЄС. Тому ЄС хоче створити більш уніфікований підхід до захисту секторів і ланцюгів постачання, що впливають на критичну інфраструктуру (KRITIS), оскільки широкомасштабна кібератака може мати величезний вплив на економіку кожної окремої держави-члена, а також на решту. Союзу. Наприклад, якщо національна комунальна компанія країни не працює на короткий або тривалий період, ціни на електроенергію зростуть, а оскільки електроенергія торгується на європейській біржі, ціни зростуть у всій Європі.
Чого очікувати від держав-членів
На відміну від директиви GDPR, яка захищає персональні дані громадян, директива NIS2 спрямована на захист економічних даних. У рамках нового законодавства країни-члени повинні, серед іншого, розробити національну стратегію ІТ-безпеки та національний закон. Це призначено для встановлення вимог щодо управління ризиками та звітності компаній, які підпадають під дію директиви NIS2. Крім того, буде створено контактний пункт на національному рівні.
Постраждалі установи
На додаток до секторів, які вже включені в Директиву NIS, новий NIS2 охоплює, серед іншого, харчову промисловість, вантажні та судноплавні компанії, телекомунікаційні постачальники та постачальники даних, платформи соціальних мереж і постачальників центрів обробки даних, а також компанії, які працюють у управління відходами та стічними водами, а також виробничі компанії, важливі для економіки країни.
Компанії, на які поширюється дія директиви, поділяються на дві категорії: основні компанії (наприклад, телекомунікаційні компанії, комунальні послуги та банки) і важливі компанії (наприклад, харчові компанії та транспортні компанії). Однак компанії з менш ніж 250 співробітниками або річним оборотом менше 50 мільйонів євро звільняються від директиви. Однак, через концепцію відповідальності ланцюга поставок, очікується, що невеликі компанії, які є постачальниками для секторів, на які поширюється дія Директиви, також повинні будуть відповідати NIS2. Директива також поширюється на державні адміністрації, але наразі незрозуміло, чи це стосується, наприклад, муніципалітетів.
Чого очікувати компаніям
NIS2 висуває нові вимоги до зацікавлених компаній та організацій. Це включає досвід і відповідальність вищого керівництва, ефективне управління ризиками, включаючи аналіз ризиків і реагування на інциденти, а також звітування про кіберінциденти та обробку. Таким чином, керівництво несе відповідальність за дотримання компанією вказівок NIS2 і може бути притягнуто до відповідальності, якщо воно цього не виконує. Сама компанія або організація повинна відповідати різним вимогам безпеки ІТ, включаючи впровадження заходів безпеки та міжнародних стандартів, таких як ISO27001 або NIST framework.
Компанії, які не дотримуються директиви NIS2, можуть бути оштрафовані на суму до 2 мільйонів євро або XNUMX відсотків загального світового річного доходу. Важливо зазначити, що, як і у випадку з директивою GDPR, не буде жодної позначки чи списку NISXNUMX, якого повинні дотримуватися компанії. Організація сама має вжити заходів для забезпечення дотримання правил захисту даних. Отже, хоча постачальники засобів безпеки можуть допомогти, організація має налаштувати необхідну звітність.
термін виконання
Наприкінці грудня 2022 року директива NIS2 була прийнята та офіційно оформлена в ЄС. Після цього країни-члени мають 21 місяць, щоб перетворити директиву на національне законодавство. Однак це не означає, що компанії можуть чекати до того часу, щоб запровадити нові заходи. Зрештою, організації, на які поширюється дія директиви, повинні мати можливість виконувати її через 18 місяців після її прийняття. Хоча це може здатися довгим, ми знаємо з досвіду, що багатьом компаніям може знадобитися багато часу для впровадження нових заходів, процедур тощо. Тому важливо, щоб усі постраждалі установи та компанії почали негайно.
Поради щодо початку роботи
Як уже згадувалося, Директива NIS2 не містить контрольного списку або мінімальних вимог до технології захисту. Він описує, як виглядає належний рівень захисту, який можна інтерпретувати по-різному. Однак розумно припустити, що організації потребуватимуть як мінімум брандмауер і технології запобігання вторгненням у своїй мережі, а також безпеку кінцевих точок і впровадження багатофакторної автентифікації, шифрування даних і обмеженого доступу.
Однак важливо зазначити, що не все можна вирішити за допомогою технологій. Процес і технологія однаково важливі. Це означає, що компанії повинні підвести підсумки та створити план, а не просто шукати швидке вирішення проблеми. Пам’ятаючи про це, ви можете зробити кілька перших кроків. Перш за все, важливо перевірити, чи ваша власна компанія підпадає під дію нової директиви. Якщо це так, слід розглянути такі аспекти:
- Переконайтеся, що ІТ-безпека є пріоритетом вищого керівництва, а керівники знають про свої обов’язки. Почніть з аналізу потреб вашої компанії та створення дорожньої карти з чіткими цілями та графіком реалізації.
- Визначте та визначте пріоритети своїх активів, включаючи інформацію, процеси та системи.
- Створіть структуру для створення безпеки. Це може бути ISO2001 або NIST. Також важливо запровадити управління ризиками для своїх активів і процесів.
- Автоматизуйте якомога більше процесів і процедур. Наприклад, ІТ-безпека завжди має бути частиною нових систем і хмарних запусків у майбутньому.
- Консолідуйте свої функції безпеки та рішення. Це робить роботу легшою та безпечнішою, а також зменшує витрати на персонал.
- Встановіть процес звітування, який відповідає вимогам NIS2, і переконайтеся, що його можна використовувати для пом’якшення атак і загроз.
Багато організацій уже впровадили деякі заходи, оскільки вони мали відповідати початковим вимогам NIS. Однак іншим організаціям доводиться адаптуватися до абсолютно нової реальності. Це може бути важким і складним завданням, навіть непосильним для деяких. З цієї причини всім радимо розглянути вимоги та можливі заходи на ранній стадії та проконсультуватися з експертами.
Більше на CheckPoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.