Unijna ustawa o bezpieczeństwie cybernetycznym NIS2 upływa terminu zgodności

cyberfeed.pl 1 miesiąc temu


Przełomowy projekt ustawy o bezpieczeństwie cybernetycznym Unii Europejskiej (UE). NIS2 weszło w pełni w życie, co oznacza, iż ​​firmy muszą teraz spełnić jego wymogi, w przeciwnym razie grożą im wysokie kary.

Zgodnie z dyrektywą, która ma na celu zharmonizowanie zasad i procedur bezpieczeństwa cybernetycznego w całej UE, przedsiębiorstwa z siedzibą w UE działające w kluczowych sektorach – w tym w energetyce, transporcie, wodzie, usługach finansowych i opiece zdrowotnej – muszą teraz wdrożyć rygorystyczne zabezpieczenia cyberbezpieczeństwa i zgłaszać poważne zagrożenia cybernetyczne adekwatnym władzom.

Biorąc pod uwagę ich znaczenie w szeregu łańcuchów dostaw, od dostawców IT, takich jak wyszukiwarki, firmy zajmujące się przetwarzaniem w chmurze i sprzedawcy detaliczni w Internecie, również będzie się oczekiwać przestrzegania tych zasad, podczas gdy państwa członkowskie UE same będą musiały stworzyć własne zespół reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT), a także krajowy organ ds. sieci i systemów informatycznych, jeżeli jeszcze tego nie zrobiły.

Brytyjskie przedsiębiorstwa dostarczające swoje produkty i usługi klientom z siedzibą w UE muszą również przestrzegać wymagań NIS2, aby utrzymać działalność i dostęp do rynku w UE, ponieważ ma to zastosowanie do wszelkich istotnych lub ważnych podmiotów świadczących usługi lub prowadzących swoją działalność w UE, niezależnie od czy podmiot posiada w jego granicach zakład.

Niezastosowanie się do obowiązków wynikających z rozporządzenia w zakresie zarządzania ryzykiem cybernetycznym i raportowania może skutkować karą grzywny w wysokości co najmniej 7 000 000 EUR (lub 1,4% globalnych rocznych przychodów) lub maksymalnie 10 000 000 EUR (lub 2% globalnych rocznych przychodów) . W obu przypadkach firma zostanie ukarana grzywną, w zależności od tego, która kwota będzie wyższa.

Bart Salaets, dyrektor ds. technologii (CTO) w regionie EMEA w F5, powiedział, iż NIS2 będzie miał zastosowanie w znacznie szerszej grupie organizacji, dla których bezpieczeństwo cybernetyczne być może wcześniej nie było priorytetem: „Jednym z największych wyzwań związanych ze wzmożonym skupieniem uwagi organów regulacyjnych na bezpieczeństwie jest dodatkowa złożoność zarówno zabezpieczania, jak i monitorowania infrastruktur cyfrowych, które w coraz większym stopniu obejmują wiele chmur i wewnętrzne centra danych.

„Aby poruszać się po przepisach, organizacje powinny stworzyć scentralizowaną widoczność i ujednolicone raportowanie na wszystkich platformach bezpieczeństwa. Zapotrzebowanie na zintegrowane rozwiązania i wyrafinowane narzędzia raportowania – potencjalnie oparte na sztucznej inteligencji – będzie miało zasadnicze znaczenie, aby pomóc organizacjom w wypełnieniu ich obowiązków sprawozdawczych w ramach NIS2.

Mike Smith, dyrektor ds. inżynierii i bezpieczeństwa w firmie Qodea, dodał, iż firmy będą musiały mieć świadomość, iż NIS2 zawiera znacznie bardziej szczegółową definicję tego, kto musi ponosić odpowiedzialność za przepisy, biorąc pod uwagę nowe klasyfikacje dla różnych firm.

„Nawet jeżeli organizacja nie podlegała NIS1, może teraz wchodzić w zakres NIS2. Dla niektórych organizacji może to być trudna nauka” – stwierdził. „Ci, którzy już zainwestowali znaczne środki w nowoczesną infrastrukturę bezpieczeństwa, powinni mieć stosunkowo łatwy czas na przystosowanie się, ale ci, którzy tego nie zrobili, gwałtownie zostaną jeszcze bardziej w tyle”.

Według Davida Higginsa, starszego dyrektora w terenowym biurze technologii CyberArk, w szczególności art. 21 NIS2 oznacza, iż ​​firmy będą musiały wdrożyć „solidne środki bezpieczeństwa cybernetycznego, aby zabezpieczyć swoje łańcuchy dostaw i wymusić dostęp na poziomie zerowego zaufania”, co oznacza, iż ​​bezpieczeństwo tożsamości przestrzeganie zasad zerowego zaufania zajmie centralne miejsce z punktu widzenia zgodności.

„Jest to szczególnie ważne, ponieważ w ramach NIS2 organizacje muszą chronić ogromną sieć zagrożeń, w tym podwykonawców i dostawców usług. Firmy muszą także zaznaczyć ważne wymogi art. 21 NIS2 dotyczące obsługi i zgłaszania incydentów” – powiedział.

„Posiadanie solidnej strategii bezpieczeństwa tożsamości jest tutaj ważne, aby nie tylko chronić kluczową infrastrukturę przed nieuniknionymi przyszłymi atakami, ale także aby śledzić i zarządzać przetwarzaniem krytycznych informacji w czasie rzeczywistym”.

Komentując termin wdrożenia NIS2, Tim Wright, partner i prawnik ds. technologii we Fladgate, powiedział, iż „stan wdrożenia znacznie się różni w poszczególnych krajach”, a zaledwie kilka państw dokonało transpozycji go do swojego prawa krajowego.

Chociaż oczekuje się, iż państwa członkowskie opublikują przepisy krajowe zgodne z dyrektywą przed ostatecznym terminem zapewnienia zgodności wynoszącym 17 października 2024 r., jak dotąd tylko sześć państw członkowskich włączyło NIS2 do swoich krajowych statutów. Są to Belgia, Chorwacja, Grecja, Węgry, Łotwa i Litwa.

Chociaż większość pozostałych państw UE rozpoczęła proces legislacyjny mający na celu transpozycję NIS2, trzy – Bułgaria, Estonia i Portugalia – nie rozpoczęły jeszcze tego procesu.

Wright dodał, iż skuteczność NIS2 będzie ostatecznie zależeć od jego „konsekwentnego wdrażania i egzekwowania we wszystkich państwach członkowskich” oraz iż chociaż powinien on spowodować znaczną poprawę ogólnej sytuacji cybernetycznej bloku, bezpieczeństwo cybernetyczne jest wyścigiem zbrojeń.

„NIS2 powinien sprawić, iż UE stanie się trudniejszym celem, ale zdeterminowani przeciwnicy będą przez cały czas szukać słabych punktów” – powiedział. „Sukces dyrektywy zależy od tego, jak dobrze zostanie wdrożona i czy może wspierać prawdziwą kulturę cyberbezpieczeństwa, a nie tylko zgodność”.



Source link

Idź do oryginalnego materiału