Η ΕΕ μόλις ενέκρινε την οδηγία NIS2, η οποία αποτελεί μέρος της στρατηγικής της ΕΕ για τη διαμόρφωση του ψηφιακού μέλλοντος στον τομέα της κυβερνοασφάλειας και την άμεση επέκταση της οδηγίας NIS του 2016, η οποία ήταν η πρώτη νομοθεσία για την ασφάλεια στον κυβερνοχώρο για την ΕΕ.
Το υπόβαθρο της νέας οδηγίας είναι ένα ταχέως μεταβαλλόμενο τοπίο απειλών που επηρεάζει όλο και περισσότερο τα δίκτυα των επιχειρήσεων, και η αναγνώριση ότι η πρώτη οδηγία NIS εφαρμόστηκε με διαφορετικό τρόπο στα κράτη μέλη της ΕΕ. Ως εκ τούτου, η ΕΕ επιθυμεί μια πιο ολιστική και ομοιόμορφη προσέγγιση όσον αφορά την προστασία στον κυβερνοχώρο σε διαφορετικούς τομείς και αλυσίδες εφοδιασμού που επηρεάζουν τις υποδομές ζωτικής σημασίας, καθώς μια καταστροφική κυβερνοεπίθεση μπορεί να έχει τεράστιο αντίκτυπο στην οικονομία κάθε κράτους μέλους, αλλά και στην υπόλοιπη Ευρώπη. Για παράδειγμα, εάν η εθνική εταιρεία ενέργειας μιας χώρας τεθεί εκτός λειτουργίας για σύντομο ή μεγάλο χρονικό διάστημα, οι τιμές της ηλεκτρικής ενέργειας θα αυξηθούν. Και δεδομένου ότι η ηλεκτρική ενέργεια διαπραγματεύεται σε ευρωπαϊκό χρηματιστήριο, οι τιμές θα αυξηθούν σε ολόκληρη την Ευρώπη.
Γιατί είναι σημαντικό για τις επιχειρήσεις;
Σε αντίθεση με την οδηγία GDPR, η οποία προστατεύει τα προσωπικά δεδομένα των πολιτών, η NIS2 στοχεύει στην προστασία των οικονομικών δεδομένων – δεδομένων που επηρεάζουν τις οικονομίες των επιχειρήσεων και των χωρών μελών.
Σύμφωνα με τη νέα νομοθεσία, τα κράτη μέλη πρέπει να εφαρμόσουν, μεταξύ άλλων, μια εθνική στρατηγική για την ασφάλεια στον κυβερνοχώρο και μια εθνική νομοθεσία που περιλαμβάνει απαιτήσεις διαχείρισης κινδύνων και υποβολής εκθέσεων για τις εταιρείες που καλύπτονται από την οδηγία NIS2, καθώς και ένα ενιαίο εθνικό σημείο επαφής για τη διαχείριση της NIS2.
Ποιοι επηρεάζονται;
Εκτός από τους τομείς που είχαν συμπεριληφθεί στην οδηγία NIS, η νέα NIS2 επεκτείνεται επίσης σε αρκετούς νέους δημόσιους και ιδιωτικούς τομείς που συμπεριλαμβάνουν εταιρείες τροφίμων, ναύλων και ναυτιλιακών, παρόχους τηλεπικοινωνιών και δεδομένων, πλατφόρμες κοινωνικών μέσων και παρόχους data centers, εταιρείες που ασχολούνται με τη διαχείριση αποβλήτων και λυμάτων και κατασκευαστικές εταιρείες που είναι σημαντικές για την οικονομία της χώρας. Οι εταιρείες βάσει της οδηγίας χωρίζονται σε δύο κατηγορίες: significant entities (π.χ. εταιρείες τηλεπικοινωνιών, επιχειρήσεις κοινής ωφέλειας και τράπεζες) και important entities (π.χ. εταιρείες τροφίμων και εταιρείες εμπορευματικών μεταφορών). Ωστόσο, απαλλάσσονται οι εταιρείες που απασχολούν λιγότερους από 250 εργαζομένους ή έχουν ετήσιο κύκλο εργασιών μικρότερο των 50 εκατομμυρίων ευρώ.
Ωστόσο, λόγω της έννοιας της ευθύνης της αλυσίδας εφοδιασμού, πρέπει να υποθέσουμε ότι οι μικρότερες εταιρείες που είναι προμηθευτές σε τομείς που καλύπτονται από την οδηγία, πρέπει επίσης να συμμορφώνονται με την οδηγία NIS2.
Επιπλέον, η οδηγία καλύπτει επίσης τις δημόσιες διοικήσεις, αλλά δεν είναι σαφές σε αυτό το στάδιο εάν αυτό περιλαμβάνει, για παράδειγμα, τους δήμους.
Τι σημαίνει αυτό για τους οργανισμούς;
Η NIS2 επιβάλλει νέες απαιτήσεις στις επηρεαζόμενες εταιρείες και οργανισμούς. Σε αυτές περιλαμβάνονται απαιτήσεις για εξειδίκευση και ευθύνη της διοίκησης, αποτελεσματική διαχείριση κινδύνων, συμπεριλαμβανομένης της ανάλυσης κινδύνου και της αντιμετώπισης συμβάντων, καθώς και αναφορά και χειρισμός συμβάντων στον κυβερνοχώρο.
Ως εκ τούτου, η διοίκηση είναι υπεύθυνη για τη συμμόρφωση του οργανισμού με την οδηγία NIS2 και μπορεί να θεωρηθεί υπεύθυνη για τη μη συμμόρφωση. Η ίδια η εταιρεία ή ο οργανισμός πρέπει να συμμορφώνεται με διάφορες απαιτήσεις ασφάλειας στον κυβερνοχώρο, συμπεριλαμβανομένης της εφαρμογής μέτρων ασφαλείας και διεθνών προτύπων όπως το ISO27001 ή το πλαίσιο NIST.
Οι εταιρείες που δεν συμμορφώνονται με την οδηγία NIS2 ενδέχεται να υπόκεινται σε πρόστιμα έως και 10 εκατομμύρια ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας.
Είναι σημαντικό να επισημανθεί ότι, όπως και με την οδηγία GDPR, δεν θα υπάρχει ετικέτα NIS2 ή λίστα ελέγχου που θα ακολουθούν οι εταιρείες. Εναπόκειται στον ίδιο τον οργανισμό να εφαρμόσει μέτρα ώστε η προστασία των δεδομένων του να συμμορφώνεται. Οι προμηθευτές ασφάλειας στον κυβερνοχώρο, όπως η Check Point, μπορούν να βοηθήσουν με τις οδηγίες, αλλά εναπόκειται στην ίδια την εταιρεία να θέσει σε εφαρμογή τις απαραίτητες αναφορές.
Πότε πρέπει ένας οργανισμός να συμμορφώνεται με την NIS2;
Στα τέλη Δεκεμβρίου 2023, η οδηγία NIS2 εγκρίθηκε και επισημοποιήθηκε στην ΕΕ. Στη συνέχεια, τα κράτη μέλη έχουν στη διάθεσή τους 21 μήνες για να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο. Αλλά αυτό δεν σημαίνει ότι μπορείτε να περιμένετε μέχρι τότε για να εφαρμόσετε τα νέα μέτρα. Σε κάθε περίπτωση σε 18 μήνες από την έγκριση, οι οργανισμοί που επηρεάζονται από την οδηγία πρέπει να είναι σε θέση να συμμορφωθούν.
Αν και αυτό μπορεί να φαίνεται πολύ καιρό, γνωρίζουμε από την εμπειρία μας ότι για πολλές εταιρείες μπορεί να χρειαστεί πολύς χρόνος για την εφαρμογή νέων μέτρων, διαδικασιών κ.λπ. Επομένως, είναι σημαντικό οι οργανισμοί να ξεκινήσουν σήμερα.
Συμβουλές για την εκκίνηση
Πολλοί οργανισμοί έχουν ήδη εφαρμόσει ορισμένα μέτρα, καθώς έπρεπε να συμμορφωθούν με τις αρχικές απαιτήσεις NIS. Αλλά άλλοι οργανισμοί πρέπει να προσαρμοστούν σε μια εντελώς νέα πραγματικότητα. Μπορεί να είναι ένα μεγάλο και τρομακτικό έργο και σε μερικούς, μπορεί να φαίνεται βουνό συντριπτικό, για αυτό το λόγο συγκεντρώσαμε τις παρακάτω συμβουλές για να βοηθήσουμε στην προετοιμασία για την οδηγία NIS2.
Όπως αναφέρθηκε προηγουμένως, η οδηγία NIS2 δεν παρέχει κατάλογο ελέγχου ή ένα ελάχιστο σύνολο απαιτήσεων για την τεχνολογία προστασίας. Θέτει τον όρο «κατάλληλη προστασία», ο οποίος μπορεί να ερμηνευτεί με πολλούς τρόπους. Ωστόσο, μπορούμε να υποθέσουμε ότι οι εταιρείες χρειάζονται , τουλάχιστον τεχνολογία τείχους προστασίας και πρόληψης εισβολής στο δίκτυό τους, αλλά και προστασία ασφάλειας τελικού σημείου και εφαρμογή ελέγχου ταυτότητας πολλαπλών-παραγόντων, κρυπτογράφησης δεδομένων, και περιορισμού πρόσβασης.
Ωστόσο, είναι σημαντικό να αναφέρουμε ότι δεν μπορούν να διορθωθούν όλα με την τεχνολογία. Εξίσου σημαντική είναι και η διαδικασία. Αυτό σημαίνει ότι κάθε οργανισμός θα πρέπει να έχει σφαιρική εικόνα και πλάνο και όχι απλώς να αναζητά μια γρήγορη λύση.
Αρχικά είναι σημαντικό να ελεγχθεί αν η εταιρεία καλύπτεται από τη νέα οδηγία. Αν η απάντηση είναι ναι, τότε τα πρώτα βήματα με τα οποία μπορεί ξεκινήσει ένας οργανισμός είναι τα εξής:
- Να βεβαιωθεί ότι η ασφάλεια στον κυβερνοχώρο αποτελεί κορυφαία προτεραιότητα για τη διοίκηση του οργανισμού και ότι η διοίκηση γνωρίζει τις ευθύνες της σχετικά με αυτό. Στην αρχή πρέπει να αναλυθούν οι ανάγκες της εταιρείας και να δημιουργηθεί ένα πλάνο με σαφείς στόχους και χρονοδιαγράμματα για την υλοποίηση.
- Να προσδιοριστούν και να ιεραρχηθούν τα περιουσιακά του στοιχεία, συμπεριλαμβανομένων των πληροφοριών, των διαδικασιών και των συστημάτων.
- Να εφαρμοστεί ένα πλαίσιο πάνω στο οποίο θα χτιστεί η ασφάλειά του. Αυτό θα μπορούσε να είναι ISO2001 ή NIST. Είναι επίσης σημαντικό να εφαρμοστεί διαχείριση κινδύνου των περιουσιακών στοιχείων και των λειτουργιών του οργανισμού.
- Να αυτοματοποιηθούν όσο το δυνατόν περισσότερες διαδικασίες και ρουτίνες. Για παράδειγμα, στο μέλλον, η ασφάλεια IT θα πρέπει πάντα να αποτελεί μέρος νέων συστημάτων και αναπτύξεων cloud.
- Να γίνει ενοποίηση των λειτουργιών και των λύσεων ασφαλείας. Αυτό καθιστά τις λειτουργίες ευκολότερες και ασφαλέστερες και θα μειώσει, για παράδειγμα, το κόστος προσωπικού.
- Να καθιερωθεί μια διαδικασία αναφοράς που συμμορφώνεται με τις απαιτήσεις NIS2 – και να είναι βέβαιο ότι μπορεί να χρησιμοποιηθεί ενεργά για τον μετριασμό των επιθέσεων και των απειλών.