Καλές προθέσεις για την ασφάλεια στον κυβερνοχώρο για το 2023 ή μέτρα ασφάλειας στον κυβερνοχώρο που απαιτούνται από το νόμο;

NIS2, ο νέος νόμος για την ασφάλεια στον κυβερνοχώρο.

Η οδηγία NIS2 (Συστήματα Δικτύων και Πληροφοριών) εγκρίθηκε τον Νοέμβριο του 2022 ως η νέα ευρωπαϊκή οδηγία για την ασφάλεια στον κυβερνοχώρο και επιβάλλει διάφορα πράγματα που πρέπει να τηρούν οι οργανισμοί για να κρατήσουν μακριά τους εγκληματίες του κυβερνοχώρου. Δεν το έχετε ακούσει ακόμα; Ίσως είναι καλό να διαβάσετε παρακάτω! Διότι η NIS2 περιλαμβάνει επίσης τη διοικητική ευθύνη και την ευθύνη για τα φυσικά πρόσωπα.

Νομοθεσία έως τα μέσα του 2024!

Όπως και ο ευρωπαϊκός ΓΚΠΔ για τη νομοθεσία περί προστασίας της ιδιωτικής ζωής, έτσι και η ευρωπαϊκή NIS2 καθίσταται υποχρεωτική νομοθεσία για τους οργανισμούς που αναφέρονται παρακάτω. Ο ΓΚΠΔ έχει γίνει η AVG στις Κάτω Χώρες, η NIS2 έχει επίσης μια ολλανδική ονομασία, την NIB2 (Οδηγία για την ασφάλεια δικτύων και πληροφοριών). Ως ολλανδική νομοθεσία, θα πρέπει να εφαρμοστεί το δεύτερο εξάμηνο (Σεπτέμβριο) του 2024 (21 μήνες μετά την υιοθέτησή της). Παρεμπιπτόντως, αυτό ισχύει και για τα 27 ευρωπαϊκά κράτη μέλη.

Το "2" προέρχεται από το γεγονός ότι η NIS υπήρχε ήδη, και συγκεκριμένα από το 2016. Από αυτό το NIS(1), προέκυψε το 2018 ο νόμος WBNI, Network and Information Systems Security Act, ο οποίος επέβαλε νομική υποχρέωση κοινοποίησης και μέτρα ασφαλείας στους παρόχους ψηφιακών υπηρεσιών (DSP) και στους παρόχους βασικών υπηρεσιών (AED), όπως οι εταιρείες ηλεκτρισμού και οι πάροχοι πόσιμου νερού. Παρεμπιπτόντως, ο DSP και ο AED δεν αναφέρονται πλέον στην NIS2.

Τα τελευταία χρόνια έχει αποδειχθεί ότι πολλοί οργανισμοί δεν έλαβαν επαρκώς τα λεγόμενα "βασικά μέτρα" που αναφέρονται επίσης από το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο (https://www.ncsc.nl/onderwerpen/basismaatregelen ). Πολλοί οργανισμοί αποδείχθηκαν ευάλωτοι σε επιθέσεις στον κυβερνοχώρο. Πολλές φορές επηρεάστηκαν πολύ περισσότεροι οργανισμοί από τον οργανισμό που ήταν ο ίδιος στόχος, οπότε ο αντίκτυπος ήταν συχνά τεράστιος. Το ΕΔΕΤ2 θα πρέπει να ενισχύσει την ανθεκτικότητα στον κυβερνοχώρο με την αύξηση των επιπέδων ασφαλείας και την επιβολή της υιοθέτησης "βασικών μέτρων" για την πρόληψη των επιθέσεων στον κυβερνοχώρο και τη μείωση των επιπτώσεών τους.

Η NIS2 δεν αποτελεί μόνο μια ουσιαστική επικαιροποίηση της NIS, οπότε θα αποτελεί πλέον και τοπικό ολλανδικό νόμο (NIB2), αλλά και σε όλα τα άλλα κράτη μέλη της ΕΕ. Επιπλέον, μια σημαντική αλλαγή είναι το πεδίο εφαρμογής. Ενώ προηγουμένως επικεντρωνόταν κυρίως στους προαναφερθέντες DSP και AED, κυρίως σε μεγάλους οργανισμούς που είναι απαραίτητοι για τις κρίσιμες υποδομές, τώρα θα επηρεάσει και τους οργανισμούς που είναι σημαντικοί για αυτό και τον οργανισμό που τους προμηθεύει. Επιπλέον, το μέγεθος δεν έχει πλέον σημασία. Έτσι, είναι πολύ πιθανό ο οργανισμός σας να καλύπτεται από τη NIS2. Υποτίθεται ότι περίπου 160.000 οργανισμοί στην Ευρώπη καλύπτονται από το NIS2 και περίπου 4.500 οργανισμοί στις Κάτω Χώρες.

Επιπλέον, το NIS2 θα διασφαλίσει επίσης ότι θα καταβληθούν προσπάθειες συνεργασίας εντός των τομέων και των κρατών μελών της ΕΕ για την αύξηση και την επιτάχυνση της αναφοράς συμβάντων.

Σε ποιον εφαρμόζεται;

Η NIS2 καλύπτει οργανισμούς που έχουν επιχειρηματικές δραστηριότητες που εμπίπτουν στις "βασικές δραστηριότητες" στους ακόλουθους βασικούς βασικούς τομείς:

• Ενέργεια
• Μεταφορές
• Τράπεζες
• Υποδομές Χρηματοπιστωτική αγορά
• Υγεία
• Παροχή πόσιμου (λυμάτων) νερού
• Ψηφιακή υποδομή
• Διαχείριση υπηρεσιών ΤΠΕ (B2B)
• Κυβέρνηση
• ΑεροδιαστημικήThis now includes organisations offering key activities such as:

• Πάροχοι πλατφορμών κοινωνικής δικτύωσης
• Βοηθητικοί πάροχοι υπηρεσιών ψηφιακής υποδομής (όπως πάροχοι δημόσιων δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών)
• Πάροχοι υπηρεσιών διαχείρισης ΤΠΕ
• Κυβερνητικές υπηρεσίες
• Ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών
• Κατασκευή, παραγωγή και διανομή χημικών προϊόντων
• Φορείς που ασχολούνται με την παραγωγή, μεταποίηση και διανομή τροφίμων
• Ορισμένοι κατασκευαστές (π.χ. ιατρικού εξοπλισμού, εξαρτημάτων πληροφορικής ή ηλεκτρονικών εξαρτημάτων, μηχανημάτων, μηχανοκίνητων οχημάτων ή άλλων μεταφορικών μέσων
• Φαρμακευτικές εταιρείες
• Ερευνητικά ιδρύματα
• Διαχείριση αποβλήτων

Εάν είστε πάροχος υπηρεσιών σε σχέση με αυτές τις δραστηριότητες και έχετε περισσότερους από 50 υπαλλήλους και κύκλο εργασιών άνω των 10 εκατομμυρίων, τότε καλύπτεστε από την ΕΑΥ2. Αλλά η NIS2 ισχύει για ολόκληρη την αλυσίδα. Επομένως, εάν συνεργάζεστε με οποιονδήποτε από αυτούς τους οργανισμούς, τότε θα υπαχθείτε και εσείς στην NIS2 ή θα σας επιβληθούν απαιτήσεις και το γεγονός αυτό, ειδικότερα, θα επηρεάσει πολλούς οργανισμούς!

Κυβερνητική επιβολή και πρόστιμα

Όπως αναφέρθηκε στην εισαγωγή, τα κράτη μέλη της ΕΕ θα μεταφράσουν την ΕΣΥ2 σε τοπική νομοθεσία και αυτό θα πρέπει να έχει γίνει μέχρι τις αρχές του 2024 (δηλαδή σύντομα). Τα κράτη μέλη θα συνεργαστούν στενότερα μεταξύ τους και με την ΕΕ και θα πρέπει να δημιουργήσουν μία ή περισσότερες ομάδες αντιμετώπισης περιστατικών ασφάλειας υπολογιστών. Στις Κάτω Χώρες, ορισμένες από αυτές τις CSIRTS είναι ήδη ενεργές για ορισμένες ομάδες.

Η μη συμμόρφωση με την NIS2 θα μπορούσε να οδηγήσει σε πρόστιμα ύψους έως και 2% του παγκόσμιου κύκλου εργασιών, με ανώτατο όριο τα 10 εκατ. ευρώ. Η διαδικασία θα είναι διαφορετική από τον GDPR-AVG, καθώς εκεί η διαδικασία τίθεται σε ισχύ μόνο μετά από παραβίαση δεδομένων. Με την NIS2, θα είναι επίσης δυνατό να διενεργούνται έλεγχοι κατόπιν υποψίας παραβίασης δεδομένων ή θα μπορούν επίσης να διενεργούνται τυχαίοι έλεγχοι. Θα πρέπει να σημειωθεί ότι οι βασικές οντότητες θα βρίσκονται υπό πλήρη εποπτεία. Για τις σημαντικές οντότητες, η εποπτεία θα είναι εκ των υστέρων. Με το NIS2, παρεμπιπτόντως, υπάρχει διοικητική ευθύνη και υπευθυνότητα!

Μένει να δούμε ποιος θα εφαρμόζει την επιβολή και πώς. Κυκλοφορούν κάποιες φήμες ότι αυτό μπορεί να ανατεθεί στον Οργανισμό Τηλεπικοινωνιών. Αυτή η ρυθμιστική αρχή μετονομάστηκε σε Rijksinspectie Digitale Infrastructuur (RDI για συντομία) με ισχύ από 1-1-2023, οπότε ίσως υπάρχει κάποια σχέση με αυτό.

Τι πρέπει να τηρήσω;

• Ανάλογα με το αν ο οργανισμός σας εμπίπτει στις βασικές ή στις μείζονες δραστηριότητες, θα πρέπει να συμμορφωθείτε με ορισμένες απαιτήσεις. Καθίσταται σημαντικό να ενσωματώσετε τη διαχείριση κινδύνων ως διαδικασία και, ως εκ τούτου, θα πρέπει να διεξάγονται αναλύσεις κινδύνων και επεξεργασίες κινδύνων.
• Είναι υποχρεωτική η καταγραφή περιστατικών ασφαλείας, εάν αυτά επηρεάζουν τη διαθεσιμότητα, την ακεραιότητα ή την εμπιστευτικότητα, καθώς και τη γνησιότητα των δεδομένων.
• Όπως και με την παραβίαση δεδομένων βάσει του AVG, αυτά θα πρέπει να αναφέρονται εντός 72 ωρών. Και μάλιστα εντός 24 ωρών εάν έχει τεθεί σε κίνδυνο η διαθεσιμότητα και θα πρέπει να υποβληθεί πλήρης έκθεση συμβάντος εντός ενός μηνός. Επιπλέον, θα πρέπει να ληφθούν μέτρα επιχειρησιακής συνέχειας, διαχείρισης αντιγράφων ασφαλείας, αποκατάστασης από καταστροφές και διαχείρισης κρίσεων.
• Ασφάλεια προμηθευτών και εφοδιαστικής αλυσίδας σε σχέση με τους προμηθευτές και τους παρόχους υπηρεσιών,
• Γενικά μέτρα ασφάλειας στον κυβερνοχώρο και εκπαίδευση (βλ. κατάλογο παρακάτω)

Εάν συνεργάζεστε με έναν από αυτούς τους οργανισμούς που παρέχουν βασικές και σημαντικές δραστηριότητες, θα πρέπει επίσης να έχετε τα γενικά μέτρα ασφαλείας της επιχείρησης σε τάξη. Άλλωστε, είναι προφανές ότι οι οργανισμοί αυτοί επιβάλλουν και στους προμηθευτές απαιτήσεις για να αποδείξουν ότι έχουν ληφθεί τα ελάχιστα βασικά μέτρα, τα οποία πρέπει να τηρούν και οι ίδιοι. Εξάλλου, η NIS2 θέτει απαιτήσεις ασφαλείας για την αλυσίδα, οπότε ο παρακάτω κατάλογος (που βασίζεται εν μέρει στις βασικές απαιτήσεις ασφαλείας του NCSC) αποτελεί μια εξαιρετική βάση:

• Λήψη βασικών μέτρων κυβερνοασφάλειας και εκπαίδευση.
• Κατευθυντήριες γραμμές και διαδικασίες για τη χρήση κρυπτογράφησης.
• Ασφάλεια πρόσβασης, διαχείριση περιουσιακών στοιχείων και ασφάλεια ανθρώπινου δυναμικού.
• Διασφάλιση ότι κάθε εφαρμογή και σύστημα παράγει επαρκείς πληροφορίες καταγραφής και κάνει σωστή απογραφή.
• Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων, όπου είναι απαραίτητο
• Καθορίστε ποιος έχει πρόσβαση στα δεδομένα και τις υπηρεσίες σας
• Τμηματοποιήστε τα δίκτυα
• Κρυπτογραφήστε τα μέσα αποθήκευσης που περιέχουν ευαίσθητες επιχειρηματικές πληροφορίες
• Ελέγξτε ποιες συσκευές και υπηρεσίες είναι προσβάσιμες από το διαδίκτυο και προστατέψτε τις
• Δημιουργείτε αντίγραφα ασφαλείας και δοκιμάζετε τακτικά τα συστήματά σας
• Εγκατάσταση ενημερώσεων λογισμικού
• Αποφύγετε ιούς και άλλο κακόβουλο λογισμικό
• Καταγράψτε τα τρωτά σημεία πραγματοποιώντας τακτικές αξιολογήσεις κινδύνου και σαρώσεις τρωτότητας.

Η αποδεικτικότητα είναι σημαντική, πιστοποίηση ISO 27001; Ή με κάποιον άλλο τρόπο;

Δεν υπάρχουν πιστοποιήσεις NIS2 (ακόμα). Στην πράξη, πολλοί βασικοί πάροχοι και πάροχοι βασικών δραστηριοτήτων θα θέλουν να αποδείξουν συμμόρφωση με το NIS2. Δεδομένων των ευθυνών τους στην αλυσίδα εφοδιασμού, θα απαιτήσουν με τη σειρά τους και από τους προμηθευτές τους να το αποδείξουν. Ένα πρότυπο όπως το ISO 27001 για την ασφάλεια των πληροφοριών αναμένεται να χρησιμοποιείται συχνότερα για το σκοπό αυτό. Εξάλλου, τα περισσότερα θέματα που αναφέρονται στη NIS2 ως μέτρα αντιμετωπίζονται επίσης στο εν λόγω πρότυπο και, όσον αφορά την επιδεικτικότητα, το πρότυπο αυτό θα είναι μια εύκολη οδός για την επιδεικτικότητα της NIS2. Ως προμηθευτής στην αλυσίδα, θα γίνει πολύ πιο εύκολο να συνεχίσετε να συνεργάζεστε με βασικούς παρόχους και παρόχους βασικών δραστηριοτήτων.

Γρήγορο ξεκίνημα με την εφαρμογή και τη συμμόρφωση του NIS2.

Με τα ολοκληρωμένα συστήματα διαχείρισης CyberManager ISMS, PIMS, CSMS και BCMS (για την ασφάλεια πληροφοριών, την προστασία της ιδιωτικής ζωής, την ασφάλεια στον κυβερνοχώρο και την επιχειρησιακή συνέχεια), προσφέρουμε τόσο στις μικρομεσαίες επιχειρήσεις όσο και στους μεγάλους οργανισμούς μια λύση για την εφαρμογή και τη διαχείριση των προαναφερθέντων θεμάτων με κλιμακούμενο τρόπο. Είτε είστε πάροχος βασικών ή βασικών δραστηριοτήτων στο πλαίσιο της NIS2 είτε προμηθευτής με ελαφρώς διαφορετικές απαιτήσεις, υπάρχει πάντα η κατάλληλη συνδρομή για την NIS2 και, για παράδειγμα, για το πρότυπο ISO 27001.

Στο CyberManager, διατίθεται ένας πίνακας οργάνων NIS2 που συνδέεται με τα μέτρα που αναφέρονται στο παρόν άρθρο, επιτρέποντάς σας να εστιάσετε πρώτα στις απαιτήσεις NIS2 και να αποδείξετε τη συμμόρφωση με αυτές. Μπορείτε επίσης να χρησιμοποιήσετε τα ίδια μέτρα καθώς και πρόσθετα μέτρα για την εφαρμογή του ISO 27001. Αυτό σας επιτρέπει να εφαρμόσετε το NIS2 βήμα προς βήμα, καθώς και το πρότυπο ISO 27001.

Το λογισμικό CyberManager SDAP προσφέρει τυποποιημένες λειτουργίες διαχείρισης κινδύνων, καταγραφή και χειρισμό περιστατικών ασφαλείας, παραβιάσεων δεδομένων, ευπαθειών ή άλλων ροών εργασίας, συμπεριλαμβανομένων ειδοποιήσεων μέσω ηλεκτρονικού ταχυδρομείου προς τους επηρεαζόμενους, καθώς και διαχείριση της ιδιωτικής ζωής μέσω του PIMS. Επιπλέον, διατίθεται ένα ενσωματώσιμο σύστημα διαχείρισης ηλεκτρονικής μάθησης, ώστε να μπορεί να παρέχεται εκπαίδευση ευαισθητοποίησης σε θέματα κινδύνου και να μπορείτε να διαχειρίζεστε τις αξιολογήσεις και τον προγραμματισμό της επιχειρησιακής συνέχειας μέσω του συστήματος διαχείρισης της επιχειρησιακής συνέχειας. Όπως αναφέρθηκε προηγουμένως, διατίθενται πίνακες ελέγχου για την NIS2, καθώς και για το ISO 27001.

Οι οργανισμοί που χρησιμοποιούν επίσης πρότυπα όπως τα NIST CSF, CSIR/BIACS, IEC 62443 ή, για παράδειγμα, τους ελέγχους CIS τόσο για ένα SDAP όσο και για ένα OT-Security μπορούν επίσης να τα ελέγχουν μέσω των συστημάτων διαχείρισης SDAP ή SDK του CyberManager.

Για να μάθετε περισσότερα, επικοινωνήστε μαζί μας εδώ ή μέσω των συνεργατών μας. Κάντε κλικ εδώ για να μάθετε περισσότερα για τις λύσεις CyberManager SDAP, SDPA, SDK και SDES.

Πηγή:
Η NIS2 μπορεί να βρεθεί εδώ σε διάφορες γλώσσες

https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen