Ste pripravljeni za implementacijo direktive NIS2?

Thales je na začetku leta objavil rezultate poročila o grožnjah podatkov, raziskavo, ki kaže neposredno korelacijo med skladnostjo organizacij z zahtevami regulatornih organov in nivojem varnosti. Raziskava poudarja, da kar 84% organizacij, ki niso izvedle revizije skladnosti, doživlja težave pri zaščiti podatkov ali pa so nedavno bile tarča neke oblike kibernetskega napada. Po drugi strani pa je med organizacijami, ki so izvedle revizijo skladnosti, le 21% poročalo o kakršni koli zlorabi podatkov. Po izvedbi revizije skladnosti se je število organizacij, ki so prijavile kršitev varstva podatkov, po polovici zmanjšalo. 

Neprestano smo priča pojavljanju novih regulativ, ki postajajo vse strožje in podrobneje določene. To prav tako vodi k strožjim revizijam, ki odkrivajo nove ranljivosti. Zelo kmalu bo začela veljati dolgo pričakovana in napovedana direktiva NIS2 (Direktiva o varnosti omrežij in informacij). Vse članice Evropske unije, in s tem tudi zavezanci direktive, morajo do 17. oktobra 2024 sprejeti in objaviti ukrepe za uskladitev z regulativo ter te ukrepe začeti izvajati že naslednji dan. 

Kaj natančno predpisuje in kakšne obveznosti nalaga direktiva NIS2? Čeprav se o direktivi piše že mesece, velja temeljito preučiti gradivo. 

Kaj določa NIS2 in na koga se nanaša? 

NIS2 je pravna ureditev, namenjena vzpostavitvi varnostnih standardov za zaščito kritične infrastrukture po vsej Evropski uniji. Z implementacijo direktive NIS2 v nacionalno zakonodajo želi Evropska komisija povečati raven kibernetske varnosti znotraj EU in spodbuditi večje mednarodno sodelovanje v boju proti kibernetskim napadom.

Čeprav formalno velja od 16. januarja 2023, morajo države članice EU smernice direktive izvajati šele od oktobra 2024. 17. oktobra morajo javno objaviti ukrepe za uskladitev z direktivo. Ocenjuje se, da bo direktiva neposredno vplivala na približno 160.000 tisoč subjektov pri izboljšanju njihovih varnostnih ukrepov.

Zakaj NIS2, če že obstaja NIS?

Prva verzija regulative, NIS, je bila sprejeta leta 2016. Ta regulativa se je v veliki meri zanašala na diskrecijsko pravico posameznih članic in je bila pomanjkljiva glede odgovornosti zavezancev. Ker nenehna digitalizacija in druge spremembe v poslovanju povečujejo pogostost kibernetskih napadov, je Evropska unija predlagala revizijo direktive, kar je privedlo do podrobnejše in strožje NIS2. 

Ker razširja ukrepe in obveznosti v primerjavi s svojo predhodnico, regulativa NIS2 zajema več sektorjev in predpisuje dodatne ukrepe za upravljanje tveganj ter obveznosti poročanja o incidentih. NIS2 hkrati omogoča učinkovitejše izvajanje smernic. 

V primerjavi s prejšnjo verzijo NIS2 dodaja štiri bistvene razlike: 

Razširjen obseg 

NIS direktiva iz leta 2016 je identificirala samo zdravstvo, oskrbo s pitno vodo, digitalno infrastrukturo, finančni trg, bančništvo in energetiko kot ključne sektorje. V “Essential” sektorju nove in razširjene NIS2 regulative se, poleg prej naštetih, nahajajo tudi ponudniki digitalnih storitev, javna uprava, sektor ravnanja z odpadki, farmacevtska podjetja ter organizacije, ki se ukvarjajo z raziskovanjem vesolja. 

NIS2 je “Essential” kategoriji dodala tudi “Important”, s čimer direktiva vključuje tudi ponudnike javnih komunikacij, proizvajalce kemikalij, podjetja za proizvodnjo in distribucijo hrane, družabna omrežja in spletno trgovino ter dostavne storitve. 

Poosstreni varnostne zahteve 

Konec koncev je cilj NIS2 regulative zaščititi omrežne in informacijske sisteme ter fizično okolje teh sistemov pred varnostnimi incidenti. Člen 21 NIS2 direktive podrobno opisuje vse varnostne ukrepe, ki jih morajo organizacije upoštevati, da bi dosegli ta cilj. Ukrepajoči vključujejo: 

  • Analiza tveganja 
  • Reševanje incidentov 
  • Zagotavljanje poslovnega kontinuiteta in upravljanje tveganj 
  • Zaščita oskrbnih verig 
  • Zaščita omrežij in informacijskih sistemov 
  • Upravljanje tveganj 
  • Nenehno izobraževanje o kibernetski varnosti 
  • Kriptografija in šifriranje 
  • Nadzor dostopa in upravljanje virov 
  • Večfaktorska avtentikacija

Obvezno poročanje o incidentih 

Po NIS2 bodo organizacije morale prijaviti vsak resen kibernetski napad takoj po njegovem izbruhu. Kot “resen” se šteje vsak incident, ki bi lahko potencialno negativno vplival na zagotavljanje storitev organizacije. Podjetja morajo zato oddati “Early warning” poročilo v roku 24 ur ali obvestiti o incidentu v 72 urah od prvega zavedanja o njegovem obstoju. Končno poročilo je treba predložiti v 30 dneh. 

Kazni v primeru neupoštevanja 

V primerjavi s svojo predhodnico, NIS2 prinaša znatno strožje kazni za neupoštevanje. Denarne kazni za subjekte, ki opravljajo eno od bistvenih storitev ali poslov, lahko znašajo do 10.000,00 € ali najmanj 2% skupnega letnega globalnega prometa podjetja, odvisno od tega, kateri znesek je višji. 

Po drugi strani pa lahko subjekti iz kategorije “Important” prejmejo kazni do 7.000,00 € ali najmanj 1,4% skupnega letnega globalnega prometa podjetja, odvisno od tega, kateri znesek je višji. 

Kako vam lahko Thales pomaga pri skladnosti z NIS2 

Z nakupom podjetij Imperva in OneWelcome je Thales razširil svoj nabor rešitev, ki lahko poenostavijo skladnost z zakoni, kot je NIS2. 

Njihov razširjeni nabor rešitev vključuje: 
  • Varnost aplikacij: Zaščita aplikacij in API-jev na ravni obsežnega števila oblakov, on-premise ali hibridnih okolij. Paket vključuje rešitve WAF, zaščito pred DDoS in zlonamernimi BOT napadi, rešitve za zaščito API-jev ter zaščito CDN in RASP (Runtime Application Self-Protection). 
  • Zaščita podatkov: Odkrivanje in klasifikacija občutljivih podatkov v hibridnem IT okolju, z avtomatsko zaščito – bodisi v počitku, gibanju ali v uporabi podatkov – ter tokenizacijo in upravljanjem ključev. Rešitve iz Thalesovega nabora vključujejo tudi identifikacijo in oceno potencialnih tveganj ter sposobnost prepoznavanja odstopanj od pričakovanega. Prav tako Thales omogoča kontinuirano preverjanje skladnosti ter organizacijam lažje določanje prednostnih nalog. 
  • Upravljanje identitete in dostopa: Rešitve za večfaktorsko avtentikacijo omogočajo varno in zanesljivo dostopanje do aplikacij in digitalnih storitev za stranke, zaposlene in partnerje.

 

Vas zanima več? Prenesite e-knjigo.