Kuinka yritykset voivat noudattaa NIS 2:ta ennen sen lokakuun täytäntöönpanon määräaikaa
Sisällysluettelo:
Euroopan mailla ja yrityksillä on hieman yli kuukausi aikaa valmistautua Euroopan unionin verkko- ja tietojärjestelmädirektiivin (NIS) toisen iteration täytäntöönpanoon.
Lain, joka on määrä astua voimaan 17 mennessä, tavoitteena on parantaa kunkin EU-maan kykyä torjua tietoverkkorikollisuutta, helpottaa lohkonlaajuista kyberturvallisuustiedon jakamista ja yhteistyötä sekä varmistaa kriittisten alojen yritysten ottava kyberturvallisuus vakavasti. Mutta mitä tämä tarkoittaa käytännössä?
Laajempi lähestymistapa kyberturvallisuusriskien hallintaan
Kun EU esitteli alkuperäisen tieto- ja tietoturvadirektiivin vuonna 2016, sen tarkoituksena oli tukea kriittisen infrastruktuurin kyberturvallisuutta koko poliittisessa blokissa.
Eurooppalaiset lainsäätäjät ovat kuitenkin tunnustaneet, että kyberturvallisuusuhat ovat lisääntyneet dramaattisesti viime vuosina ja vaikuttavat nyt lähes kaikkiin toimialoihin, joten eurooppalaiset lainsäätäjät ovat laajentaneet tietoturvavaatimusten soveltamisalaa direktiivin toisessa versiossa.
NIS2 kattaa laajemman joukon toimialoja – mukaan lukien elintarviketuotannon, jätehuollon, postipalvelut, tutkimuksen, valmistuksen, ilmailun, julkishallinnon ja monet muut – ja ottaa huomioon digitaalisten palvelujen tarjoajien luoman toimitusketjun turvallisuusriskin.
Se jakaa alat kahteen osa-alueeseen: olennaiseen ja tärkeään. "Essential" -merkki kuvaa erittäin kriittisiä toimialoja, kuten energia- ja rahoituspalveluita, jotka on aiemmin hahmoteltu NIS1:ssä. Nämä organisaatiot työllistävät yli 250 henkilöä ja tuottavat yli 50 miljoonaa euroa vuodessa.
Toisaalta "tärkeä"-luokka kattaa lisäksi useita elintärkeitä toimialoja, kuten posti- ja kuriiripalvelut sekä tutkimusorganisaatiot. Tähän luokkaan kuuluvat yritykset ovat yleensä keskisuuria, työllistävät yli 50 henkilöä ja tuottavat yli 10 miljoonan euron vuositulot.
Lain mukaan EU:n jäsenvaltioiden on myös varmistettava, että ne ovat valmiita käsittelemään vakavia kyberturvallisuushäiriöitä. Heidän on nimittäin perustettava kyberloukkausten torjuntaryhmät ja kansallinen verkko- ja tietojärjestelmäviranomainen (NIS). NIS Cooperation Groupin kautta direktiivillä pyritään parantamaan yhteistyötä ja tiedustelutietojen jakamista jäsenvaltioiden välillä kyberturvallisuusasioissa.
Nick Palmer, Censysin uhkien tiedustelualustan ratkaisusuunnittelija, kuvailee NIS 2:ta NIS 1:n päivitetyksi versioksi, jonka tavoitteena on parantaa jokaisen EU:n jäsenvaltion kollektiivista kyberturvallisuutta. Hän kertoo ISMS.online-sivustolle: "Se on suunniteltu korjaamaan joitain puutteita ja ristiriitoja, jotka tulivat ilmi alkuperäisten sääntöjen kanssa. Kun digitaalinen maailmamme kasvaa ja kyberuhat kehittyvät entistä kehittyneemmiksi, EU tajusi, että sen oli vahvistettava puolustustaan.
Osana kattavampaa kyberturvallisuuslähestymistapaa kaikkialla EU:ssa, voittoa tavoittelemattoman ISC2:n globaalien markkinoiden ja jäsensuhteiden johtaja Ed Parsons selittää, että se sisältää riskienhallinnan, yritysvastuun, tapaturmien raportoinnin ja liiketoiminnan jatkuvuuden suunnittelun vaatimukset. Hän sanoo: "NIS 2:n määräämiä keskeisiä turvallisuuskäytäntöjä ovat toimitusketjun turvallisuus, verkon suojaus, salaus, monitekijätodennus, haavoittuvuuksien hallinta ja kyberturvallisuuskoulutus."
Miksi vaatimustenmukaisuus on ensiarvoisen tärkeää
Koska kyberturvallisuusuhkien määrä ja kehittyneisyys lisääntyvät nopeasti maailmanlaajuisesti, jotkut asiantuntijat uskovat, että NIS 2:n noudattaminen on yritysten etujen mukaista kaikilla toimialoilla.
Dave Joyce, tietojen palautusohjelmiston toimittaja Macriumin toimitusjohtaja, sanoo, että sen lähestymistapa monialaiseen kyberkestävyyteen vaikuttaa aidolta nykypäivän monimutkaisen online-uhkien valossa. Hän on erityisen rohkaisevana sen "kokonaisvaltaisesta lähestymistavasta kyberturvallisuuteen" yritysmaailmassa ja lisää, että se ei keskity vain "tunnettuihin uhkiin".
"NIS 2 painottaa koko toimitusketjun turvaamista ja huolellista harkitsemista, kuinka toimittajat käsittelevät tietoja. Tämä huolenaihe on korostunut tapauksista, kuten CrowdStrike-loukkauksesta, joka paljasti aukkoja katastrofipalautuskäytännöissä", Joyce selittää.
Joyce sanoo, että vaatimusten noudattaminen on avain liiketoiminnan jatkuvuuden, asiakkaiden luottamuksen ja EU-markkinoille pääsyn ylläpitämiseen sekä jopa 10 miljoonan euron tai 2 prosentin vuosittaisen kansainvälisen liikevaihdon sakkojen välttämiseen. Hän jatkaa: "Loppujen lopuksi NIS 2 -yhteensopivuus edistää turvallisempaa digitaalista ympäristöä ja edistää turvallisempaa globaalia kyberekosysteemiä."
Palmer of Censys uskoo myös lujasti NIS 2 -direktiiviin ja sen myönteiseen vaikutukseen Euroopan yritysmaailmaan. Hän huomauttaa, että näiden tiukkojen vaatimusten noudattaminen vähentää yritysten mahdollisuuksia joutua tietoverkkorikollisuuden uhriksi ja siitä aiheutuvia seurauksia, kuten toimintahäiriöitä, mainevaurioita ja taloudellisia menetyksiä.
"Noudatuksella on myös keskeinen rooli asiakkaiden, kumppaneiden ja sidosryhmien välisen luottamuksen rakentamisessa ja ylläpitämisessä, koska se osoittaa sitoutumista tietoturvaan ja toiminnan kestävyyteen", hän sanoo. "Kilpailluilla EU:n markkinoilla vaatimusten noudattamatta jättäminen voi johtaa tuottoisten mahdollisuuksien poistamiseen tai sopimusten menettämiseen vaatimuksia paremmin noudattaville kilpailijoille."
Samaan aikaan ISC2:n Parsons väittää, että NIS 2:n noudattaminen valmistaa yrityksiä paremmin selviytymään uusista kyberuhkista, lisää niiden yleistä ymmärrystä kyberturvallisuushäiriöistä ja siitä, miten ne voivat vaikuttaa päivittäiseen toimintaan, ja auttaa heitä luomaan saumattoman prosessin reagoidakseen ja uhista ilmoittaminen.
Kuinka NIS2 koskee Yhdistyneen kuningaskunnan organisaatioita
Vaikka Iso-Britannia on eronnut EU:sta, NIS 2 -direktiivi vaikuttaa edelleen moniin brittiläisiin yrityksiin. IT-yrityksen Kingston Technologyn Yhdistyneen kuningaskunnan ja Irlannin aluejohtajan Ann Keefen mukaan tämä sisältää Yhdistyneessä kuningaskunnassa toimivat yritykset, jotka käyvät kauppaa EU:n jäsenvaltioiden kanssa. Hän sanoo, että heidän on noudatettava NIS 2 -vaatimuksia, jos "he eivät halua jäädä EU:n sääntelyviranomaisten kiinni".
Vaikka brittiläisellä yrityksellä ei olisikaan EU:n liiketoiminnallisia etuja, kattavien NIS 2 -vaatimusten noudattaminen voi olla heidän etunsa mukaista. Rob O'Connor, maailmanlaajuisen teknologiayrityksen Insightin EMEA-alueen teknologiajohtaja ja CISO, huomauttaa, että Yhdistyneen kuningaskunnan tulevassa Cyber Security and Resilience Bill -lakiehdotuksessa on risteys NIS 2:n kanssa. Hän ehdottaa, että NIS 2 -standardien käyttöönotto voisi olla "kustannustehokasta" ” tapa käsitellä kasvavia kyberturvallisuusriskejä.
Palmer of Censys sanoo, että Ison-Britannian organisaatioiden, joihin NIS 2:n turvallisuusriskien hallinta- ja raportointivaatimukset vaikuttavat, on otettava käyttöön kehittyneitä kyberturvallisuustoimenpiteitä, suoritettava säännöllisiä riskinarviointeja ja varmistettava toimitusketjujensa turvallisuus.
"Heidän on raportoitava merkittävistä turvallisuuspoikkeamista EU:n viranomaisille tiukoissa aikarajoissa, tehtävä yhteistyötä tutkimuksissa ja ehkä nimettävä EU:n edustaja hoitamaan viranomaisviestintää", hän sanoo. "EU-asiakkaiden kanssa tehtyihin sopimuksiin tulee sisältyä NIS 2 -vaatimustenmukaisuuslausekkeet, joilla varmistetaan, että organisaatio täyttää lailliset velvoitteet ja suojaa kyberuhilta."
Valmistautuminen NIS 2:een
Kun NIS 2:n vaatimustenmukaisuuden määräaika lähestyy nopeasti, yritysten, jotka eivät ole alkaneet valmistautua sen saapumiseen, on tehtävä se nyt. Mutta mitä vaiheita tämä sisältää? Parsons of ISC2:n mukaan ensimmäinen askel on selvittää, onko yrityksen noudatettava NIS 2 -standardia itse vai sovelletaanko lakia sen toimittajiin.
Tätä varten hän sanoo, että heidän on arvioitava, toimiiko yritys "olennaisella" vai "tärkeällä" alalla NIS-määritelmien mukaan. Parsons lisää, että NIS-direktiivien alaisten yritysten on sitten tunnistettava ja lievennettävä kyberturvallisuusriskejä osana laajaa riskinarviointia.
”Riskiarvioinnin perusteella on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet. Yritysten on varauduttava tapauksiin luomalla toimintasuunnitelmia ja prosesseja, joilla merkittävistä poikkeamista voidaan raportoida asianmukaisille viranomaisille”, hän sanoo.
Samanlaisia ajatuksia toistaen Joyce of Macrium kehottaa yrityksiä arvioimaan kyberasentoaan ja kysymään itseltään, onko heillä tällä hetkellä keinoja toipua tapauksesta mahdollisimman nopeasti.
Jos ei, hän suosittelee varmuuskopiointiratkaisulla, palautuspistetavoitteilla (RPO) ja toipumisaikatavoitteilla (RTO) vahvistetun kyberonnettomuuden palautussuunnitelman toteuttamista. RPO tarkoittaa suurinta datahäviötä, jonka yritys voi kestää kyberhyökkäyksen jälkeen, kun taas RTO on enimmäisaika, jonka yritykset voivat selviytyä ilman IT-verkkoja ja -palveluita.
Koska NIS 2 keskittyy erityisesti toimitusketjun turvallisuusriskeihin, Joyce neuvoo yrityksiä arvioimaan, kuinka heidän toimittajansa ja kumppaninsa suhtautuvat kyberturvallisuusasioihin. Hän lisää myös, että yritysten on opetettava henkilöstönsä tunnistamaan ja raportoimaan kyberturvallisuusuhkia, ja lisää, että "selkeät vastuun ja raportoinnin rakenteet ovat välttämättömiä".
Hän päättää: ”Sääntöjen noudattaminen ei ole kertaluonteinen tehtävä; se vaatii jatkuvaa ylläpitoa ja valppautta, joten yritysten tulisi pysyä ajan tasalla muuttuvista vaatimuksista ja edistää jatkuvan kyberresilienssin parantamisen kulttuuria."
