nis 2 blog

NIS 2 kom: Hier is wat Britse organisasies moet weet

Die Verenigde Koninkryk Netwerk- en Inligtingstelsels (NIS) Regulasies het in Mei 2018 in werking getree, na aanleiding van die EU se 2016 NIS-richtlijn. As gevolg van die tydsberekening van hul bekendstelling, het die meeste media-afsetpunte gefokus op die groter storie van die dag: die koms van die nuwe GDPR. Maar in die poging om basislynsekuriteit onder "operateurs van noodsaaklike dienste" (OES) in kritieke infrastruktuursektore te verbeter, was die NIS-regulasies nie minder belangrik nie.

UK NIS het gepoog om die ontwikkeling van 'n nasionale voorvalbestuurapparaat te mandaat, die deel van inligting tussen lidlande te verbeter en risikobestuur onder die OES-gemeenskap te verbeter. Maar tyd is die vyand van kuberveiligheidsbeplanners, en die EU het onlangs 'n nuwe weergawe goedgekeur: die NIS2-richtlijn. Dit sal van toepassing wees op alle VK-gebaseerde OES-organisasies wat in die EU werksaam is.

Nou het die VK egter die blok verlaat; sy regulatoriese regime sal afwyk van NIS 2. Dit is nog nie alles volledig uitgebrei nie, maar kom ons kyk wat die implikasies is vir organisasies wat binne-omvang is.

Verhoog die lat vir kuberveiligheid in die hele EU

As Deloitte verduidelik, NIS 2 is ontwerp met drie doelwitte in gedagte:

  • Verbeter kuberveerkragtigheid in 'n groeiende aantal OES-sektore regoor die EU
  • Verminder inkonsekwenthede in vlakke van veerkragtigheid in sektore wat reeds deur NIS gedek word
  • Verbeter die deel van inligting verder en stel nuwe reëls vir insidentreaksie, waardeur vertroue tussen bevoegde owerhede (reguleerders) verbeter word.

Meer spesifiek sluit dit verskeie nuwe elemente in:

'n Wyer omvang: NIS 2 dek organisasies in nuwe sektore soos telekommunikasie, sosiale media, afvalwater en voedsel en sal van toepassing wees op alle medium en groot organisasies in die sektore wat geag word verskaffers van "noodsaaklike" of "belangrike" dienste. Sommige organisasies in die openbare sektor sal ook gedek word.

Swaarder boetes: Reguleerders sal boetes kan hef vir ernstige nie-nakoming van tot 2% van die jaarlikse omset, of €10m (£8.6m), wat ook al die hoogste is.

Basislyn sekuriteitsvereistes: NIS 2 stel 'n minimum stel maatreëls in waaraan alle organisasies moet voldoen. Dit sluit in:

  • Risikobestuur en inligtingsekuriteitsbeleide
  • Voorvalbestuur vir voorkoming, opsporing en reaksie op kubervoorvalle
  • Besigheidskontinuïteit en krisisbestuur
  • Voorsieningskettingsekuriteit
  • Toets en ouditering van sekuriteitsmaatreëls
  • Sterk enkripsie

 

Voorsieningskettingsekuriteit: Organisasies sal verantwoordelik wees vir die bestuur van kuberveiligheidsrisiko in hul voorsieningskettings en toesig hou oor verskaffersekuriteitsposisie.

Direkteur aanspreeklikheid: Senior bestuurspersoneel sal verantwoordelik gehou word vir die volwassenheid van hul sekuriteitsfunksie. Hulle moet kuberveiligheidsopleiding ontvang en gereelde risikobeoordelings dienooreenkomstig doen.

Voorval verslagdoening: Enige voorval met 'n potensieel ernstige impak moet binne 24 uur na ontdekking by die reguleerder aangemeld word. 'n Volledige kennisgewingverslag moet na 72 uur gestuur word, voor 'n finale verslag een maand na die aanvanklike voorval.

Wat is nuut vir die Verenigde Koninkryk?

In sy reaksie op 'n oproep om menings oor voorstelle om Britse kuberveerkragtigheid te verbeter, was die regering redelik ondubbelsinnig oor NIS 2 en het gesê: "Gegewe dat die VK nie meer gebonde is aan EU-wetgewing nie en nie NIS 2 sal implementeer nie, sal daar verskille wees tussen die EU en die VK. Die VK se wetgewing is ontwerp vir die VK-ekonomie en om voordele vir die VK te maksimeer.”

So wat beteken dit in die praktyk? Hier is die hoofareas van divergensie:

Bestuurde diensverskaffers (MSP's): Die VK sal die tipe digitale diensverskaffers binne-omvang (tans beperk tot soekenjins, aanlynmarkplekke en wolkverskaffers) na MSP's uitbrei. Dit sluit verskaffers in wat:

  • B2B
  • Gefokus op IT-dienste
  • Maak staat op netwerk- en inligtingstelsels
  • Die verskaffing van gereelde bestuur en ondersteuning, aktiewe administrasie en/of monitering van IT-stelsels, infrastruktuur, netwerk en/of sekuriteit

Dit kontrasteer NIS 2, wat verskeie nuwe sektore byvoeg tot die lys wat deur die regulasie gedek word, insluitend telekommunikasie, sosiale media en openbare administrasie. Dit is ook meer voorskriftelik oor die organisasie se grootte om te verseker dat slegs middel- en grootgroottes gedek word.

Insident kennisgewing: Die VK stel voor dat 'n groter reeks voorvalle aan die reguleerder gerapporteer word, insluitend dié wat 'n hoë risiko inhou of 'n aansienlike impak op 'n diens inhou, selfs al ontwrig dit dit nie. 

NIS 2 bevat ook meer veeleisende vereistes vir die rapportering van “beduidende voorvalle” – dit wil sê dié wat beduidende bedryfsontwrigting of finansiële verliese vir die geaffekteerde entiteit of ander veroorsaak het, of in staat is om dit te genereer. Dit vereis ook dat aanvanklike verslagdoening binne 24 uur gedoen moet word.

Vrygestelde organisasies: Datasentrums wat nie as wolkverskaffers gereguleer word nie, sal vrygestel word, so ook sagteware-ontwikkelaars en klein/mikro-ondernemings. Die reguleerder, die ICO, kan egter spesifieke klein/mikro-digitale diensverskaffers aanwys om binne-omvang te wees as hulle as noodsaaklik geag word vir Britse kritieke dienste of nasionale veiligheid.

Digitale diensverskaffers: Die ICO sal 'n meer risiko-gebaseerde benadering volg om digitale dienste te reguleer, gebaseer op hoe kritiek verskaffers is om noodsaaklike dienste te verskaf.

NIS 2 neem 'n stewiger lyn, met potensieel hoë boetes vir nie-nakoming deur OES-verskaffers. 

Toekomsbestendige NIS: Die Britse regering behou die reg voor om die regulasies in die toekoms te wysig nadat die publiek geraadpleeg is, moontlik deur nuwe sektore by te voeg wat as krities vir die ekonomie beskou word.

Wat jy moet doen

VK-organisasies moet eers besluit wat op hulle van toepassing is: NIS 2, die VK se gewysigde NIS-regulasies of albei, volgens Marija Nonkovic, 'n prokureur by Burges Salm.

"Alhoewel daar ooreenkomste tussen die twee regimes is, sal die verskille 'n sekere vlak van divergensie tot gevolg hê, wat sal vereis dat daardie organisasies wat in die EU en die VK werksaam is om hul kuberveiligheidsnakomingsverpligtinge noukeurig te assesseer," verduidelik sy.

“Besighede moet die tyd neem om vroegtydig toepaslike hulpbronne toe te wys om te verseker dat toepaslike sekuriteitsmaatreëls in plek is om teen kuberbedreigings te beskerm, asook om veerkragtigheid te handhaaf in die lig van 'n kuberaanval om te verhoed dat die koste en reputasieskade aangegaan word wat kan voortspruit uit kuberveiligheidsvoorvalle.”

Die uitdaging sal tydsberekening wees. NIS 2 het op 16 Januarie 2023 in werking getree en moet teen 17 Oktober 2024 deur lidlande geïmplementeer word. Dit is egter onwaarskynlik dat 'n nuwe NIS-regulasie-regime voor 2024 in plek sal wees, volgens regskenners.

"'n Verskil in die tydsberekening van implementering sal waarskynlik koste tot 'n mate verhoog, aangesien besighede wat in beide die VK en die EU aktief is, by twee geleenthede eerder as een keer tyd en hulpbronne sal moet toewys aan voldoeningsoefeninge," voer die regsfirma aan. Travers Smith. Dit moet nog gesien word of Britse divergensie werklik die regulatoriese las vir binnelandse besighede sal verminder, soos die regering hoop.

So wat gebeur volgende?

Soos EY adviseer, maatskappye in die bestek van NIS 2 moet hul inligtingsekuriteitsrisiko's bestuur. Die implementering van 'n inligtingsekuriteitbestuurstelsel (ISMS) is die beste manier om dit te doen. Dit sal help om die proses te stroomlyn om aan standaarde soos ISO 27001 en ISO 22301 te voldoen, wat op sy beurt 'n goeie raamwerk kan bied om aan NIS 2 te voldoen.

Vir diegene wat laser-gefokus is op die NIS-regulasies, sal 'n soortgelyke benadering ook die grondslag lê vir voldoening. Vir verdere inligting het die Nasionale Kuberveiligheidsentrum (NCSC), wat optree as die rekenaarsekuriteitsvoorvalreaksiespan (CSIRT) en enkelpunt van kontak (SPOC) vir NIS-voorvalle, ook 'n handige gids. Dit is ' Cyber ​​Assessment Framework (CAF)-versameling is nog 'n nuttige hulpbron.

Stel jou organisasie op vir sukses

As jy op soek is na voldoening aan NIS 2 en jou reis na beter inligting en kubersekuriteit wil begin, kan ons help. 

Laai ons noodsaaklike gids tot NIS 2 af, lees meer en bewapen jouself met die insig wat jy nodig het om voor te bly en te verseker dat jou organisasie opgestel is vir sukses.

Laai nou af

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!