Hoe besighede kan voldoen aan NIS 2 voor die Oktober-implementeringsperdatum
INHOUDSOPGAWE:
Net meer as 'n maand oor vir Europese lande en besighede om voor te berei vir die afdwinging van die tweede herhaling van die Europese Unie se Netwerk- en Inligtingstelsels (NIS) richtlijn.
Die wet, wat teen 17 Oktober 2024 geïmplementeer gaan word, het ten doel om elke EU-lidstaat se vermoë om kubermisdaad aan te pak te verbeter, blokwye kuberveiligheid-intelligensie-deling en -samewerking te fasiliteer, en te verseker dat besighede in kritieke sektore kuberveiligheid ernstig opneem. Maar wat beteken dit in die praktyk?
'n Breër benadering tot kuberveiligheidsrisikobestuur
Toe die EU die oorspronklike NIS-richtlijn in 2016 ingestel het, het dit ten doel gehad om kuberveiligheid van kritieke infrastruktuur regoor die politieke blok te versterk.
Met die erkenning dat kuberveiligheidsbedreigings die afgelope paar jaar dramaties toegeneem het en nou feitlik elke bedryf raak, het Europese wetgewers die omvang van die NIS-vereistes in die tweede weergawe van die richtlijn uitgebrei.
NIS2 dek 'n wyer reeks nywerhede - insluitend voedselproduksie, afvalbestuur, posdienste, navorsing, vervaardiging, lugvaart, openbare administrasie en vele ander - en neem die voorsieningskettingsekuriteitsrisiko wat deur digitale diensverskaffers geskep word, in ag.
Dit verdeel sektore in twee areas: noodsaaklik en belangrik. Die "noodsaaklike" etiket beskryf hoogs kritieke nywerhede soos energie en finansiële dienste, wat voorheen in NIS1 uiteengesit is. Hierdie organisasies sal meer as 250 mense in diens neem en inkomste van meer as € 50 miljoen per jaar genereer.
Aan die ander kant dek die "belangrike" kategorie 'n bykomende reeks lewensbelangrike bedrywe, soos pos- en koerierdienste en navorsingsorganisasies. Besighede in hierdie kategorie sal oor die algemeen mediumgrootte wees, meer as 50 mense in diens neem en jaarlikse inkomste van meer as €10 miljoen genereer.
Kragtens hierdie wet moet EU-lidlande ook verseker dat hulle bereid is om ernstige kuberveiligheidsvoorvalle te hanteer. Hulle moet naamlik kubervoorvalreaksiespanne en 'n nasionale netwerk- en inligtingstelsels (NIS)-owerheid daarstel. Deur die NIS-samewerkingsgroep het die richtlijn ten doel om samewerking en intelligensiedeling tussen lidlande oor kuberveiligheidsaangeleenthede te verbeter.
Nick Palmer, 'n oplossingsingenieur by bedreigingsintelligensieplatform Censys, beskryf NIS 2 as 'n opgegradeerde weergawe van NIS 1 wat daarop gemik is om die kollektiewe kuberveiligheid van elke EU-lidstaat te verbeter. Hy sê aan ISMS.online: “Dit is ontwerp om 'n paar leemtes en wanverhoudings aan te pak wat met die oorspronklike reëls aan die lig gekom het. Soos ons digitale wêreld groei en kuberbedreigings meer gesofistikeerd word, het die EU besef dat dit sy verdediging moet versterk.”
As deel van 'n meer omvattende kuberveiligheidsbenadering regoor die EU, verduidelik Ed Parsons - VP van globale markte en ledeverhoudinge by nie-winsgewende ISC2 - dat dit risikobestuur, korporatiewe aanspreeklikheid, insidenteverslagdoening en besigheidskontinuïteitsbeplanningsvereistes insluit. Hy sê: "Sleutel sekuriteitspraktyke wat deur NIS 2 opdrag gegee word, sluit in voorsieningskettingsekuriteit, netwerkbeskerming, enkripsie, multi-faktor-verifikasie, kwesbaarheidsbestuur en kuberveiligheidsopleiding."
Waarom nakoming van kardinale belang is
Omdat kuberveiligheidsbedreigings vinnig toeneem in volume en gesofistikeerdheid wêreldwyd, meen sommige kenners om aan NIS 2 te voldoen is in die beste belang van besighede in alle industrieë.
Dave Joyce, uitvoerende hoof van die dataherwinningsagtewareverskaffer Macrium, sê sy benadering tot kuberveerkragtigheid tussen sektore lyk eg in die lig van vandag se komplekse aanlynbedreigingslandskap. Hy is veral bemoedig deur sy “omvattende benadering tot kuberveiligheid” in die korporatiewe landskap, en voeg by dat dit nie net op “bekende bedreigings” fokus nie.
"NIS 2 beklemtoon die beveiliging van die hele verskaffingsketting en om noukeurig te oorweeg hoe verskaffers data hanteer - 'n bekommernis wat uitgelig word deur voorvalle soos die CrowdStrike-oortreding, wat gapings in rampherstelpraktyke blootgelê het," verduidelik Joyce.
Joyce sê voldoening is die sleutel tot die handhawing van besigheidskontinuïteit, kliëntevertroue en EU-marktoegang, asook om boetes van tot €10 miljoen of 2% van die jaarlikse internasionale inkomste te vermy. Hy gaan voort: "Uiteindelik bevorder NIS 2-nakoming 'n veiliger digitale omgewing en dra dit by tot 'n veiliger globale kuber-ekosisteem."
Palmer van Censys is nog 'n vaste gelowige in die NIS 2-richtlijn en die positiewe impak daarvan op die Europese sakelandskap. Hy wys daarop dat die nakoming van hierdie robuuste vereistes die kanse sal verlaag dat besighede die slagoffer van kubermisdaad word en die gevolge wat sou volg, soos ontwrigte bedrywighede, reputasieskade en finansiële verlies.
"Nakoming speel ook 'n belangrike rol in die bou en instandhouding van vertroue met kliënte, vennote en belanghebbendes, aangesien dit 'n verbintenis tot datasekuriteit en operasionele veerkragtigheid toon," sê hy. "In die mededingende EU-mark kan nie-nakoming daartoe lei dat hulle afgesny word van winsgewende geleenthede of kontrakte verloor aan meer voldoenende mededingers."
Intussen voer Parsons van ISC2 aan dat NIS 2-nakoming besighede beter sal voorberei om opkomende kuberbedreigings te hanteer, hul algehele begrip van kuberveiligheidsvoorvalle en hoe dit daaglikse bedrywighede kan beïnvloed, en hulle sal help om 'n naatlose proses te vestig om te reageer op en dreigemente aan te meld.
Hoe NIS2 van toepassing is op Britse organisasies
Alhoewel die VK die EU verlaat het, sal die NIS 2-richtlijn steeds baie Britse firmas raak. Volgens Ann Keefe, streeksdirekteur van UK & Ireland by IT-firma Kingston Technology, sluit dit VK-gebaseerde firmas in wat handel dryf met EU-lidlande. Sy sê hulle moet NIS 2-vereistes volg as “hulle nie deur EU-reguleerders uitgevang wil word nie”.
Selfs as 'n Britse firma nie EU-besigheidsbelange het nie, kan dit in hul beste belang wees om die omvattende NIS 2-vereistes te volg. Rob O'Connor, tegnologieleier en CISO van EMEA by die globale tegnologiefirma Insight, wys daarop dat die VK se komende wetsontwerp op kuberveiligheid en veerkragtigheid 'n mate van oorskakeling met NIS 2 sal hê. Hy stel voor dat die aanvaarding van die NIS 2-standaarde 'n "koste-effektief kan wees" ” manier om toenemende kuberveiligheidsrisiko's te hanteer.
Vir Britse organisasies wat deur die NIS 2-sekuriteitsrisikobestuur- en verslagdoeningsvereistes geraak word, sê Palmer van Censys dat hulle gesofistikeerde kuberveiligheidsmaatreëls sal moet implementeer, gereelde risikobeoordelings moet uitvoer en die sekuriteit van hul voorsieningskettings moet verseker.
"Hulle moet beduidende veiligheidsvoorvalle binne streng tydraamwerke aan EU-owerhede rapporteer, saamwerk tydens ondersoeke, en moet dalk 'n EU-verteenwoordiger aanstel om regulatoriese kommunikasie te bestuur," sê hy. "Kontrakte met EU-kliënte moet NIS 2-voldoeningsklousules insluit, om te verseker dat die organisasie wetlike verpligtinge nakom en teen kuberbedreigings beskerm."
Berei voor vir NIS 2
Met die NIS 2-nakomingssperdatum wat vinnig nader kom, moet ondernemings wat nie vir die koms daarvan begin voorberei het nie, dit nou doen. Maar watter stappe behels dit? Volgens Parsons van ISC2 is die eerste stap om te bepaal of 'n maatskappy self aan NIS 2 moet voldoen en of die wet op sy verskaffers van toepassing is.
Om dit te doen, sê hy hulle moet bepaal of die onderneming in 'n "noodsaaklike" of "belangrike" sektor volgens die NIS-definisies bedrywig is. Parsons voeg by dat maatskappye onderworpe aan die NIS-riglyne dan kuberveiligheidsrisiko's moet identifiseer en versag as deel van 'n wydlopende risiko-evaluering.
“Op grond van die risikobepaling moet toepaslike tegniese en organisatoriese maatreëls ingestel word. Maatskappye moet voorberei vir insidente deur reaksieplanne en prosesse te skep om beduidende voorvalle aan relevante owerhede aan te meld,” sê hy.
Joyce van Macrium weerspieël soortgelyke gedagtes en doen 'n beroep op besighede om hul kuberpostuur te assesseer en hulself af te vra of hulle tans die middele het om so vinnig as moontlik van 'n voorval te herstel.
Indien nie, beveel hy aan om 'n kubervoorvalherstelplan te implementeer wat versterk word met 'n rugsteunoplossing, herstelpuntdoelwitte (RPO) en hersteltyddoelwitte (RTO). RPO verwys na die maksimum dataverlies wat 'n onderneming kan onderhou ná 'n kuberaanval, terwyl RTO die maksimum tyd is wat maatskappye kan bestuur sonder IT-netwerke en -dienste.
Aangesien NIS 2 spesifiek op voorsieningskettingsekuriteitsrisiko's fokus, raai Joyce besighede aan om te evalueer hoe hul verskaffers en vennote kubersekuriteitsake benader. Hy voeg ook by dat maatskappye hul personeel moet leer hoe om kuberveiligheidsbedreigings te identifiseer en aan te meld, en voeg by dat "duidelike strukture vir verantwoordelikheid en verslagdoening noodsaaklik is."
Hy sluit af: “Nakoming is nie ’n eenmalige taak nie; dit vereis deurlopende instandhouding en waaksaamheid, so besighede moet ingelig bly oor ontwikkelende vereistes en ’n kultuur van voortdurende verbetering in kuberveerkragtigheid bevorder.”
