NIS 2 on tulossa: tässä on mitä Yhdistyneen kuningaskunnan organisaatioiden on tiedettävä
Sisällysluettelo:
Ison-Britannian Verkko- ja tietojärjestelmiä (NIS) koskevat määräykset tuli voimaan toukokuussa 2018 EU:n vuoden 2016 tieto- ja tietoturvadirektiivin seurauksena. Niiden käyttöönoton ajoituksen vuoksi useimmat tiedotusvälineet keskittyivät päivän suurempaan tarinaan: uuden GDPR:n saapumiseen. Mutta pyrittäessä parantamaan perusturvallisuutta "olennaisten palvelujen tarjoajien" (OES) keskuudessa kriittisten infrastruktuurien aloilla verkko- ja tietoturvasäännökset eivät olleet vähemmän tärkeitä.
UK NIS pyrki valtuuttamaan kansallisen vaaratilanteiden hallintalaitteen kehittämisen, parantamaan tiedonvaihtoa jäsenvaltioiden välillä ja tehostamaan riskienhallintaa OES-yhteisön keskuudessa. Mutta aika on kyberturvallisuussuunnittelijoiden vihollinen, ja EU hyväksyi äskettäin uuden version: NIS2-direktiivi. Sitä sovelletaan kaikkiin Isossa-Britanniassa toimiviin OES-organisaatioihin, jotka toimivat EU:ssa.
Nyt Yhdistynyt kuningaskunta on kuitenkin eronnut blokista; sen sääntelyjärjestelmä poikkeaa NIS 2:sta. Kaikki niistä ei ole vielä täysin konkretisoitu, mutta katsotaanpa, mitä vaikutuksia sillä on soveltamisalaan kuuluville organisaatioille sellaisenaan.
EU:n laajuisen kyberturvallisuuden rimaa nostetaan
As Deloitte selittää, NIS 2 suunniteltiin kolmea tavoitetta silmällä pitäen:
- Paranna kyberkestävyyttä kasvavalla määrällä OES-sektoreita kaikkialla EU:ssa
- Vähentää epäjohdonmukaisuuksia joustavuuden tasoissa aloilla, jotka jo kuuluvat verkko- ja tietoturvajärjestelmiin
- Parantaa edelleen tietojen jakamista ja asettaa uusia sääntöjä häiriötilanteisiin reagoimiselle, mikä lisää luottamusta toimivaltaisten viranomaisten (sääntelyviranomaisten) välillä.
Tarkemmin sanottuna se sisältää useita uusia elementtejä:
Laajempi kattavuus: NIS 2 kattaa organisaatiot uusilla aloilla, kuten televiestintä, sosiaalinen media, jätevesi ja ruoka, ja se koskee kaikkia keskisuuria ja suuria organisaatioita aloilla, joita pidetään "olennaisten" tai "tärkeiden" palvelujen tarjoajina. Myös eräät julkisen sektorin organisaatiot tulevat kattamaan.
Kovemmat sakot: Sääntelyviranomaiset voivat määrätä vakavista rikkomuksista seuraamuksia, jotka ovat enintään 2 prosenttia vuotuisesta liikevaihdosta tai 10 miljoonaa euroa (8.6 miljoonaa puntaa) sen mukaan, kumpi on suurempi.
Perusturvavaatimukset: NIS 2 ottaa käyttöön vähimmäistoimenpiteitä, joita kaikkien organisaatioiden on noudatettava. Nämä sisältävät:
- Riskienhallinta ja tietoturvapolitiikka
- Tapahtumanhallinta kybervälikohtausten ehkäisemiseksi, havaitsemiseksi ja niihin reagoimiseksi
- Liiketoiminnan jatkuvuus ja kriisinhallinta
- Toimitusketjun turvallisuus
- Turvatoimenpiteiden testaus ja auditointi
- Vahva salaus
Toimitusketjun turvallisuus: Organisaatiot vastaavat kyberturvallisuusriskien hallinnasta toimitusketjuissaan ja toimittajien turvallisuusasennon valvonnasta.
Johtajan vastuu: Ylin johto on vastuussa turvallisuustehtävänsä kypsyydestä. Heidän on saatava kyberturvallisuuskoulutusta ja suoritettava säännöllisiä riskinarviointeja sen mukaisesti.
Tapahtumaraportointi: Kaikista tapauksista, joilla on mahdollisesti vakavia vaikutuksia, tulee ilmoittaa valvojalle 24 tunnin kuluessa havaitsemisesta. Täydellinen ilmoitus on lähetettävä 72 tunnin kuluttua, ennen loppuraporttia kuukauden kuluttua ensimmäisestä tapahtumasta.
Mitä uutta Iso-Britannialle?
Vastauksessaan pyyntöön esittää näkemyksiä ehdotuksista Yhdistyneen kuningaskunnan kyberresilienssin parantamiseksi, hallitus suhtautui melko yksiselitteisesti NIS 2:een ja sanoi: "Koska EU:n lainsäädäntö ei enää sido Yhdistynyttä kuningaskuntaa eikä se aio toteuttaa NIS 2:ta, tulee olemaan eroja. EU:n ja Yhdistyneen kuningaskunnan välillä. Ison-Britannian lainsäädäntö on suunniteltu Yhdistyneen kuningaskunnan taloutta varten ja maksimoimaan Yhdistyneelle kuningaskunnalle koituva hyöty."
Mitä tämä siis käytännössä tarkoittaa? Tässä ovat tärkeimmät eroavaisuudet:
Hallitut palveluntarjoajat (MSP:t): Yhdistynyt kuningaskunta laajentaa digitaalisten palvelujen tarjoajien tyyppiä (tällä hetkellä vain hakukoneisiin, verkkokauppapaikkoihin ja pilvipalveluntarjoajiin) MSP:ksi. Tämä sisältää palveluntarjoajat, jotka ovat:
- B2B
- IT-palveluihin keskittynyt
- Riippuu verkko- ja tietojärjestelmistä
- IT-järjestelmien, infrastruktuurin, verkon ja/tai tietoturvan säännöllisen hallinnan ja tuen, aktiivisen hallinnon ja/tai valvonnan tarjoaminen
Tämä eroaa NIS 2:sta, joka lisää useita uusia aloja asetuksen piiriin, mukaan lukien televiestintä, sosiaalinen media ja julkishallinto. Organisaation koon suhteen on myös määrättävämpää varmistaa, että vain keskikokoiset ja suuret katetaan.
Ilmoitus tapahtumasta: Yhdistynyt kuningaskunta ehdottaa, että sääntelyviranomaisille ilmoitetaan laajemmasta valikoimasta tapauksia, mukaan lukien sellaiset, jotka aiheuttavat suuren riskin tai vaikuttavat merkittävästi palveluun, vaikka ne eivät häiritse sitä.
NIS 2 sisältää myös tiukempia vaatimuksia "merkittävien tapausten" ilmoittamiselle – eli sellaisista, jotka ovat aiheuttaneet tai voivat aiheuttaa merkittäviä toimintahäiriöitä tai taloudellisia menetyksiä asianomaiselle taholle tai muille. Se myös velvoittaa alustavan raportoinnin 24 tunnin sisällä.
Vapautetut organisaatiot: Palvelinkeskukset, joita ei säännellä pilvipalvelujen tarjoajina, vapautetaan samoin kuin ohjelmistokehittäjät ja pienet/mikroyritykset. Sääntelyviranomainen, ICO, voi kuitenkin nimetä tiettyjä pieniä/mikrodigitaalipalvelujen tarjoajia kuuluviksi, jos ne katsotaan välttämättömiksi Yhdistyneen kuningaskunnan kriittisten palvelujen tai kansallisen turvallisuuden kannalta.
Digitaaliset palveluntarjoajat: ICO:n on määrä omaksua riskiperusteisempi lähestymistapa digitaalisten palvelujen säätelyyn sen mukaan, kuinka kriittisiä palveluntarjoajia ovat olennaisten palvelujen tarjoamisessa.
NIS 2 noudattaa tiukempaa linjaa, ja OES-palveluntarjoajat voivat saada korkeita sakkoja noudattamatta jättämisestä.
Tulevaisuuden kestävä NIS: Ison-Britannian hallitus varaa itselleen oikeuden muuttaa asetuksia tulevaisuudessa kuultuaan yleisöä, mahdollisesti lisäämällä uusia talouden kannalta kriittisiksi katsottuja aloja.
Mitä sinun täytyy tehdä
Yhdistyneen kuningaskunnan organisaatioiden on ensin päätettävä, kumpi koskee niitä: NIS 2, Yhdistyneen kuningaskunnan muutetut NIS-säännökset vai molemmat, asianajajan Marija Nonkovicin mukaan. Burges lohi.
"Vaikka näiden kahden järjestelmän välillä on yhtäläisyyksiä, erot johtavat tietyn tason eroihin, mikä edellyttää EU:ssa ja Isossa-Britanniassa toimivien organisaatioiden arvioivan huolellisesti kyberturvallisuuden noudattamisvelvollisuutensa", hän selittää.
"Yritysten tulisi varata aika ajoissa tarvittavat resurssit varmistaakseen, että asianmukaiset tietoturvatoimenpiteet suojautuvat kyberuhkilta, sekä säilyttämään sietokykynsä kyberhyökkäyksen valossa, jotta vältytään kustannuksilta ja mainevaurioilta, joita voi aiheutua kyberturvallisuushäiriöistä."
Haaste tulee olemaan ajoitus. NIS 2 tuli voimaan 16. tammikuuta 2023, ja jäsenvaltioiden on otettava se käyttöön 17. lokakuuta 2024 mennessä. Lakiasiantuntijoiden mukaan uutta verkko- ja tietoturvaa koskevaa sääntelyjärjestelmää ei kuitenkaan todennäköisesti oteta käyttöön ennen vuotta 2024.
"Erot täytäntöönpanon ajoituksissa lisäävät todennäköisesti kustannuksia jossain määrin, koska sekä Isossa-Britanniassa että EU:ssa toimivien yritysten on varattava aikaa ja resursseja noudattamisharjoituksiin kahdesti yhden sijaan", lakitoimisto väittää. Travers Smith. Nähtäväksi jää, minimoivatko Yhdistyneen kuningaskunnan erot kotimaisten yritysten sääntelytaakkaa, kuten hallitus toivoo.
Mitä sitten tapahtuu seuraavaksi?
Kuten EY neuvoo, NIS 2:ta suunnittelevien yritysten on hallittava tietoturvariskinsä. Tietoturvan hallintajärjestelmän (ISMS) käyttöönotto on paras tapa tehdä se. Tämä auttaa virtaviivaistamaan prosessia standardien, kuten ISO 27001 ja ISO 22301, noudattamiseksi, mikä puolestaan voi tarjota hyvän kehyksen NIS 2:n noudattamiselle.
Niille, jotka keskittyvät verkko- ja tietoturva-asetuksiin, samanlainen lähestymistapa loisi myös perustan noudattamiselle. Lisätietoa varten National Cyber Security Center (NCSC), joka toimii tietokoneturvallisuushäiriöiden vastausryhmänä (CSIRT) ja yhteyspisteenä (SPOC) NIS-tapahtumien osalta, on myös julkaissut kätevä opas. Sen Cyber Assessment Framework (CAF) -kokoelma on toinen hyödyllinen resurssi.
Valmistele organisaatiosi menestymään
Jos haluat saavuttaa NIS 2 -yhteensopivuuden ja aloittaa matkasi kohti parempaa tietoa ja kyberturvallisuutta, voimme auttaa.
Lataa tärkeä NIS 2:n oppaamme, lue lisää ja hanki itsesi oivalluksilla, joita tarvitset pysyäksesi kehityksen kärjessä ja varmistaaksesi, että organisaatiosi on valmis menestymään.
