nis 2

NIS 2: Wat die voorgestelde veranderinge vir jou besigheid beteken

In Desember 2022, die Europese Unie het bevestig dat hulle voortgaan met planne om die omvang van die Netwerk- en Inligtingstelsel (NIS)-richtlijn uit te brei om uitkontrakteerders en bestuurde diensverskaffers in te sluit.

'n Reeks hervormings en opdaterings van die Netwerkinligtingstelsels (NIS)-richtlijn is vorentoe gedruk om kuberveerkragtigheid verder te versterk. Die nuut benoemde NIS 2 sal verskaffers van uitgekontrakteerde IT en bestuurde diensverskaffers (MSP's) binne die bestek van die reëls bring om lewensbelangrike voorsieningskettings en kritieke nasionale dienste beter te beskerm teen kuberaanvalle ná aansienlike ontwrigting oor die laaste paar jaar.

In 'n persverklaring het die EU-raad gesê dat dit "die basislyn sal stel vir kuberveiligheidsrisikobestuursmaatreëls en verslagdoeningsverpligtinge oor alle sektore wat deur die richtlijn gedek word, soos energie, vervoer, gesondheid en digitale infrastruktuur."

Vir nie-nakoming van NIS-regulasies, kan maatskappye wat noodsaaklike dienste verskaf soos energie, gesondheidsorg, vervoer of water beboet word met tot £17 miljoen in die VK en €10 miljoen of 2% van wêreldwye omset in die EU.

Wat is die richtlijn vir netwerkinligtingstelsels (NIS), en waarom is dit bygewerk? 

Die EU het die Netwerk- en Inligtingstelsels (NIS)-richtlijn in 2016 van stapel gestuur na groter kommer oor kuberaanvalle. Benewens die versterking van lidlande se kuberveiligheidsvermoëns, het die richtlijn gehoop om samewerking oor kuberveiligheid tussen lidlande te verhoog. Dit het ook state aangemoedig om toesig te hou oor kuberveiligheid oor hul kritieke nasionale infrastruktuur (CNI), soos energie, vervoer en gesondheidsorg.

Sewe jaar nadat die richtlijn bekendgestel is, het die kuberbedreigingslandskap aansienlik verander, en die richtlijn voldoen nie heeltemal aan die behoeftes van die ontwikkelende 2023-kuberveiligheidsrisiko-uitkyk nie. Kuberaanvalle en data-oortredings het eksponensieel toegeneem, spesifiek namate mense meer aangewese raak op digitale tegnologie. Boonop demonstreer die verhoogde aanvalle op CNI, soos gesien in die SolarWinds-aanval, gapings in die oorspronklike NIS-wetgewing en teenstrydighede in hoe lidlande NIS geïmplementeer het, die beperkings van die vorige model en die behoefte aan 'n meer omvattende vervanging.

Wat is die kernvereistes van die NIS 2-richtlijn?

NIS 2 sal die kwessies met die vorige NIS-wetgewing aanspreek en die reëls verskerp. Belangriker nog, dit gaan oor die inkonsekwente manier waarop die oorspronklike NIS-richtlijn geïmplementeer is, aangesien hierdie ingewikkelde samewerking tussen lande en die algehele doel om die doeltreffendheid van kuberveiligheid van die EU te verseker, ondermyn het.

NIS 2 sal van organisasies vereis om te verseker dat die volgende maatreëls in plek is om kuberveiligheidsrisiko's te bestuur:

Inligtingsveiligheidsbeleid

’n Kritiese deel van kuberveiligheid is om jou risikovlak te assesseer. NIS 2 sal van maatskappye vereis om die potensiële impak van 'n aanval op hul belangrikste bates te evalueer en bedag te wees op potensiële netwerkkwesbaarhede of nuus van ander bedryfslede wat aangeval word. Hulle sal ook 'n proaktiewe eerder as reaktiewe benadering tot risikobestuur moet volg deur sterk in te voer inligtingsekuriteitsbeleide om sistematiese en deeglike risiko-analise te verseker.

Voorkoming, opsporing en reaksie

NIS 2 vereis van organisasies om planne en rugsteunplanne te hê, oefeninge uit te voer en alle relevante partye op te lei. Sodra 'n organisasie hul mees beduidende kwesbaarhede geïdentifiseer het, vereis die opgedateerde richtlijn dat hulle duidelike prosedures implementeer om aanvalle te voorkom en ooreenkom oor metodes om potensiële voorvalle op te spoor. Dit moet lei tot 'n voorvalreaksieplan met 'n deursigtige opdragsketting vir implementering.

Besigheidskontinuïteit en krisisbestuur

Die bygewerkte NIS 2 beoog om te verseker dat a besigheid sy bedrywighede kan voortsit in die geval van 'n kuberaanval. Organisasies moet 'n verifieerbare plan hê vir hoe die maatskappy op 'n aanval sal reageer en hoe dit so vinnig as moontlik daarvan kan herstel, wat ontwrigting tot die minimum beperk. Gevolglik bevat NIS 2 'n fokus op wolkrugsteunoplossings.

Verskaffingskettingbeveiliging

Voorsieningskettingsekuriteit is al 'n geruime tyd wêreldwyd onder die loep. NIS 2 verdubbel dit en vereis dat organisasies die kwesbaarhede van elkeen van hul verskaffers en diensverskaffers en hul kuberveiligheidspraktyke, insluitend databergingsverskaffers, in ag neem. Die richtlijn verseker dat organisasies die risiko's duidelik verstaan, 'n noue verhouding met verskaffers handhaaf en sekuriteit voortdurend bywerk om die hoogste moontlike beskerming te waarborg. 

Openbaarmaking van kwesbaarheid

NIS 2 sal meer deursigtige kwesbaarheid openbaarmaking en bestuur vereis. Organisasies moet maniere verskaf vir die publiek om enige kwesbaarhede aan te meld en te verseker dat die betrokke departement op hierdie inligting reageer. As 'n organisasie 'n kwesbaarheid binne hul netwerk identifiseer, vereis die opgedateerde richtlijn dat hulle dit openbaar. Die bekendmaking van sulke kwesbaarhede sal die stryd teen kubermisdaad ondersteun en verseker dat dit nie elders uitgebuit word nie.

NIS 2 sal ook opgedateerde benaderings oplê tot:

Voorvalverslaggewing

Onder die bygewerkte richtlijn moet maatskappye 'n aanvanklike verslag binne 24 uur nadat hulle bewus geword het van enige "beduidende" voorval, 'n volledige voorvalkennisgewing binne 72 uur en 'n finale verslag binne een maand indien by enige relevante bevoegde owerheid, Rekenaarsekuriteitsvoorvalreaksiespan ( CSIRT), en soms aan hul kliënte.

’n “Beduidende” insident is enige voorval wat ernstige bedryfsontwrigting van die diens of finansiële verliese veroorsaak het of in staat is om dit te veroorsaak of indien die voorval aansienlike verliese vir ander beïnvloed het of in staat is om dit te veroorsaak.

Samewerking

Die eerste NIS-richtlijn het misluk omdat dit nie die verskillende maniere waarop individuele lande funksioneer in ag geneem het nie. Daarom sal NIS 2:

  • Moedig meer datadeling tussen owerhede aan
  • Vereis dat owerhede deelneem aan insidentreaksie op EU-vlak eerder as nasionale
  • Vestig 'n EU-kuberkrisisskakelorganisasienetwerk (EU CyCLONe), 'n sentrale liggaam om reaksies op EU-wye kubervoorvalle te koördineer en te bestuur

Deur kuberveiligheidskontroles op die EU-vlak te sentraliseer en opdrag te gee dat almal aan dieselfde kuberveiligheidstandaarde voldoen, beoog NIS 2 om 'n voorheen ondergekoördineerde stelsel te vereenvoudig. Dit behoort samewerkende datadeling en doeltreffender oplossings vir kubervoorvalle te fasiliteer soos dit plaasvind.

Wie moet aan NIS 2 voldoen?

NIS 2 sal van toepassing wees op enige organisasie met meer as 50 werknemers wie se jaarlikse omset €10 miljoen oorskry en enige organisasie wat voorheen by die oorspronklike NIS-richtlijn ingesluit is.  

Die bygewerkte richtlijn sal ook sy omvang vergroot om die volgende nuwe nywerhede in te sluit:

  • Elektroniese kommunikasie
  • Digitale dienste
  • ruimte
  • afvalbestuur
  • Kos
  • Kritieke produk vervaardiging (dws medisyne)
  • Posdienste
  • Publieke administrasie

Nywerhede wat in die oorspronklike richtlijn ingesluit is, sal binne die werksgebied van die bygewerkte NIS 2-richtlijn bly. Sommige kleiner organisasies, van kritieke belang vir 'n lidstaat se funksionering, sal ook by die NIS 2-bevoegdheid ingesluit word weens die potensiële probleme wat kan ontstaan ​​as 'n kuberaanval hulle tref.

Is NIS 2 van toepassing op Britse besighede?

Die Britse regering het bevestig dat hulle vorentoe sal beweeg met planne om die NIS-regulasies by te werk soos dit op die VK van toepassing is, en die regulasie uitbrei om alle digitale bestuurde diensverskaffers (MSP's) in te sluit.

As deel van hierdie beplande VK-opdatering, sal daar op baie gebiede belyning met NIS 2 wees, veral waar dit van toepassing is op bestuurde diensverskaffers, IT-uitkontraktering en kernvereistes soos voorvalverslagdoening, voorsieningskettingsekuriteit en besigheidskontinuïteit.

Die VK-opdatering "sal gemaak word sodra die parlementêre tyd dit toelaat" en is deel van die regering se £2.6 miljard ($3.2 miljard) Nasionale Kuberstrategie. Dus, hoewel die VK-veranderinge dalk nie so gou as 2024 in werking tree nie, is daar geen waarborge, en maatskappye moet goed voorbereid wees eerder as om later te kort gevang.

Wat is die implikasies daarvan om nie aan NIS 2 te voldoen nie? 

NIS 2 kom met baie strenger toepassingsvereistes as sy voorganger. Boetes vir nie-konformiteit wissel van sekuriteitsouditering en opdrag om vasgestelde aanbevelings te volg tot boetes van €10 miljoen of 2% van die organisasie se totale wêreldwye omset – watter een ook al die hoogste is.

Hierdie boetes is veral dieselfde as dié waarvoor opgelê is BBP oortredings, en NIS 2 moet op soortgelyke wyse verstaan ​​word. Die NIS 2-inisiatief verteenwoordig 'n beduidende sprong in kuberveiligheid en moet so ernstig behandel word soos die groot seeverandering GDPR vir databeskerming gedryf het.

'n Standaarde-gebaseerde benadering tot NIS 2

Vir organisasies wat op soek is na voldoening aan NIS 2, sertifisering teen ISO 27001 vir inligtingsekuriteit kan 'n kragtige eerste stap wees.

Die NIS-regulasies self noem dat enige stappe wat maatskappye neem om daaraan te voldoen, "nakoming van internasionale standaarde" moet oorweeg, terwyl die tegniese riglyne wat deur die Europese Unie-agentskap vir kuberveiligheid (ENISA) uitgereik is, elke sekuriteitsdoelwit aan verskeie beste praktykstandaarde karteer, insluitend ISO 27001. 

'n ISO 27001-voldoenende inligtingbestuurstelsel (ISMS) stel organisasies in staat om hul risiko en blootstelling aan sekuriteitsbedreigings te verminder deur die relevante beleide te identifiseer wat hulle moet dokumenteer, die tegnologieë om hulself te beskerm en die personeelopleiding om foute te vermy. Hulle beveel ook aan dat organisasies jaarlikse risiko-evaluerings doen, wat hulle help om voor te bly met die voortdurend veranderende risiko-landskap.

ISO 27001 sal organisasies help om aan NIS 2-vereistes te voldoen, terwyl hulle ook onafhanklik geouditeerde sertifisering behaal. Dit verskaf bewyse aan verskaffers, belanghebbendes en reguleerders dat jy die "toepaslike en proporsionele" tegniese en organisatoriese maatreëls wat vereis word geneem het en toon 'n mededingende voordeel binne die mark.

Organisasies wat dit 'n stap verder wil neem, kan dit oorweeg om by te voeg ISO 22301 vir besigheidskontinuïteitsbestuur. ISO 22301 is ontwerp om jou te help om jou benadering tot besigheidskontinuïteit te implementeer, in stand te hou en voortdurend te verbeter. Alhoewel sommige aspekte van ISO 27001 besigheidskontinuïteitsbestuur (BCM) insluit, definieer dit nie 'n proses vir BCM-implementering nie. Dit is waar die komplementêre standaard ISO 22301 inkom. Sertifisering teen hierdie standaard sal voldoening aan NIS 2 verder demonstreer. 

27001 en ISO 22301 werk ook goed saam, wat ruimte skep vir jou om 'n geïntegreerde bestuurstelsel te ontwikkel wat beide 'n ISMS en 'n BCMS bevat. Hierdie benadering sal jou ook help om sterk kuberveerkragtigheid te ontwikkel.

NIS 2 Gevolgtrekkings

Na die publikasie van die EU NIS 2 richtlijn in die Amptelike Tydskrif van die Europese Unie, het die richtlijn in werking getree op die 20ste Desember 2022. Lidlande het 21 maande om die bepalings in hul nasionale wetgewing in te sluit.

Die tydlyne vir implementering in die VK is minder duidelik, met die Britse regering wat hom daartoe verbind om die nodige wetgewing voor te stel "wanneer die parlementêre tyd dit toelaat". Gegewe huidige regeringsprioriteite, verwag ons dat die nuwe regime nie vroeër as 2024 in plek sal wees nie.

Stel jou organisasie vandag op vir sukses met ISO 27001

As jy op soek is na voldoening aan NIS 2 en jou reis na beter inligting en kubersekuriteit wil begin, kan ons help. 

Laai ons noodsaaklike gids af om meer te lees en bewapen jouself met die insig wat jy nodig het om voor die kurwe te bly en te verseker dat jou organisasie opgestel is vir sukses.

Aflaai

hulpbronne

  1. ENISA – https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council- aanvaar-nuwe-wetgewing/
  2. GOV.uk – https://www.gov.uk/government/publications/national-cyber-strategy-2022
  3. NCSC – https://www.ncsc.gov.uk/collection/caf/nis-introduction

 

Laas geredigeer: 18 Mei 2023
skrywer

Rebecca Harper

Rebecca is die ISMS.online-hoof van inhoudbemarking. Met meer as 12 jaar in die inligting- en kuberveiligheidsbedryf, is Rebecca toegewyd aan die opvoeding, bewusmaking en bemagtiging van besighede om voldoenings-, inligting- en kuberveiligheidsbestuursdoelwitte te bereik.

Sien alle plasings deur Rebecca Harper

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!