Täydellinen opas NIS2-direktiiviin: kaikki yritysten on tiedettävä noudattaakseen uusia eurooppalaisia ​​kyberturvallisuusmääräyksiä.

Digitaalisesta turvallisuudesta on tullut Euroopan unionissa toimivien organisaatioiden etusija.. Digitalisaatioprosessien kiihtyminen ja kyberhyökkäysten räjähdysmäinen lisääntyminen ovat osoittaneet, että tarvitaan yhteistä ja vankkaa sääntelyä, joka pystyy suojaamaan taloutta, keskeisiä palveluita ja kansalaisten yksityisyyttä. Tässä yhteydessä NIS2-direktiivi on ottanut askeleen eteenpäin laajentamalla vaatimuksiaan ja tiukentamalla kaikkea kyberturvallisuuteen liittyvää., jolla on ennennäkemätön ulottuvuus Euroopassa.

Oletpa sitten osa yrityksen johtoa, julkisella sektorilla tai vastuussa IT:stä, on tärkeää, että sinulla on perusteellinen käsitys siitä, miten NIS2 vaikuttaa sinuun.. Tämä artikkeli kattaa kattavasti direktiivin keskeiset näkökohdat, mukaan lukien ketä sitä sovelletaan, sen tekniset ja toiminnalliset vaatimukset, keskeiset päivämäärät, vaaratilanteiden raportointimenettelyt, vaikutukset toimitusketjuun, uudet johdon vastuut, seuraamukset, Espanjan lainsäädännön välitön saattaminen osaksi kansallista lainsäädäntöä sekä käytännön resurssit riskien valmisteluun ja välttämiseen. Jos haluat välttää useiden miljoonien dollarien sakot, turvata liiketoimintasi jatkuvuuden ja pysyä Euroopan digitaalisen turvallisuuden kärjessä, lue eteenpäin.

Mikä on NIS2-direktiivi ja miksi se on välttämätön Euroopalle?

NIS2, joka tarkoittaa verkko- ja tietojärjestelmädirektiiviä 2, on ensimmäisen eurooppalaisen kyberturvalainsäädännön (2016 NIS-direktiivi) kehitys ja laajennus., joka on suunniteltu vastaamaan paljon monimutkaisempaan ja alttiimpaan digitaaliseen ympäristöön. Uusi direktiivi julkaistiin Euroopan unionin virallisessa lehdessä vuoden 2022 lopussa ja tuli virallisesti voimaan 16. Siinä vaaditaan jäsenvaltioita saattamaan se osaksi kansallista lainsäädäntöään 17. lokakuuta 2024 mennessä ja seuraavasta 18. lokakuuta alkaen, vaikka määräaikoja on joissakin maissa pidennetty.

NIS2:n tavoitteena on varmistaa verkkojen ja tietojärjestelmien yhteinen ja korkea turvallisuustaso kaikkialla Euroopan unionissa., joka luo perustan sille, että digitaalinen talous – ja yhteiskunnan peruspalvelut – pysyvät suojattuna yhä kehittyneemmiltä ja aggressiivisemmilta uhilta.

Sen tärkeimpiä uusia ominaisuuksia ovat:

• Säänneltyjen sektoreiden ja velvoitettujen yksiköiden määrän merkittävä kasvu.
• Riskienhallinnan ja vaaratilanteiden raportoinnin vaatimukset ovat huomattavasti tiukemmat.
• Homogeeninen ja ankara valvonta- ja seuraamusjärjestelmä Euroopan tasolla.
• Uusia erityisiä velvoitteita toimitusketjulle, tavarantoimittajille ja alihankkijoille.
• Yhteisöjen hallintoelinten roolia ja suoraa vastuuta vahvistetaan.

Soveltamisala: Kenen on noudatettava NIS2:ta?

NIS2 vaikuttaa suoraan ja pakollisesti julkisiin ja yksityisiin yksiköihin niin kutsutuilla "kriittisillä sektoreilla" ja "korkean kriittisillä sektoreilla", jotka on lueteltu direktiivin liitteissä I ja II.. Suurin ero alkuperäiseen NIS:iin on se Toimialojen ja organisaatiotyyppien luettelo on moninkertaistunut, ja kriteerinä ei ole enää vain aktiivisuus, vaan myös koko ja strateginen merkitys.

Yleensä niiden on oltava NIS2:n mukaisia:

• Kaikki näillä aloilla toimivat keskisuuret ja suuret yritykset (yli 50 työntekijää tai vuosiliikevaihto yli 10 miljoonaa euroa).
• Tietyissä tapauksissa myös pienet ja mikroyritykset voivat olla tukikelpoisia, jos niiden tehtävä on maalle kriittinen tai ne ovat olennaisten palvelujen ainoa tarjoaja.

Lakitekstissä erotetaan toisistaan:

• Olennaiset kokonaisuudet: Kuuluu erittäin kriittisille aloille, luotettavien palvelujen pätevät operaattorit, huipputason verkkotunnusrekisterit, DNS-palveluntarjoajat, julkisia sähköisiä viestintäverkkoja tarjoavat keskisuuret yritykset, tietyt julkisyhteisöt ja ne, jotka kukin valtio pitää strategisina.
• Tärkeitä kokonaisuuksia: Muut kriittisten alojen entiteetit, jotka eivät täytä yllä olevia ehtoja.

Vaikuttavat alat on jaettu kahteen suureen ryhmään:

Korkean kriittisyyden alat (liite I):

• Energia (sähkö, kaasu, raakaöljy, vety, kaukolämpö- ja jäähdytysjärjestelmät)
• Kuljetus (lento, rautatie, meri ja joki, maantie)
• Pankki- ja rahoitusmarkkinoiden infrastruktuuri
• terveys
• Juomavesi ja jätevesi
• Digitaalinen infrastruktuuri (tietokeskukset, pilvi, Internet-vaihtopisteet, DNS jne.)
• ICT-palveluiden hallinta
• Julkishallinto (keskus- ja aluehallinto)
• Espacio

Muut kriittiset alat (liite II):

• Posti- ja kuriiripalvelut
• Jätehuolto
• Kemianteollisuus
• Ruoan tuotanto, jalostus ja jakelu
• Valmistus (mukaan lukien IT, optiikka, sähkölaitteet, koneet, kuljetukset jne.)
• Digitaalisten palvelujen tarjoajat (verkkomarkkinapaikat, hakukoneet, sosiaalisen median alustat)
• Tutkimus

ovat poissuljettujaMuutamia poikkeuksia lukuun ottamatta puolustus, kansallinen turvallisuus, poliisi, oikeuslaitos, parlamentit ja keskuspankit.

muistaa: Pelkkä yrityksesi puuttuminen luettelosta ei vapauta sinua noudattamasta vaatimuksia, jos tarjoat maan toiminnan kannalta keskeisiä palveluita.. Jäsenvaltiot voivat laajentaa velvoitettujen yksiköiden luetteloa kansallisten kriittisyyden kriteerien perusteella.

NIS2-direktiivin keskeiset periaatteet ja kehitys

NIS2-direktiivi edustaa radikaalia muutosta kyberturvallisuuden hallinnassa, koska se ei ainoastaan ​​ulota suojaa useammille aloille, vaan myös tiukentaa vaatimuksia ja valvontaa.. Osa siitä tärkeimmät uutuudet ääni:

• Laajennus: Se ei enää velvoita ainoastaan ​​klassisten olennaisten palvelujen tai kriittisen infrastruktuurin tarjoajia; kattaa monia muita aloja ja kokonaisuuksia.
• "Maksimikoon" lähestymistapa: Suurin osa velvoitteista koskee keskisuuria ja suuria yrityksiä, mutta poikkeuksia on pienille tahoille, jos niiden tehtävä on keskeinen.
• Arvostelu kriitikkojen käsitteeseen: Tekee eron "olennaisten" ja "tärkeiden" yksiköiden välillä ja määrää ensin mainituille ankaramman valvonta- ja seuraamusjärjestelmän.
• Euroopan harmonisointi: Se vähentää maiden välistä vaihtelua ja helpottaa yhteistyötä ja yhteistä reagointia rajat ylittäviin tai laajoihin tapauksiin.

Keskeiset velvoitteet: Mitä NIS2 vaatii yrityksiltä ja yhteisöiltä?

NIS2:n velvoitteet ovat lukuisia, ja ne on nivelletty ympärille kaksi pääakselia: kyberturvallisuusriskien ennakoiva hallinta ja nopea ilmoittaminen merkittävistä vaaratilanteista. Lisäksi vahvistetaan sisäistä hallintoa ja suhteita tavarantoimittajiin, asiakkaisiin ja viranomaisiin.

1. Kyberturvallisuusriskien arviointi ja hallinta

Kaikkien velvoitettujen tulee tunnistaa, analysoida ja käsitellä riskit jotka uhkaavat heidän digitaalisten järjestelmiensä ja palveluidensa saatavuutta, luottamuksellisuutta, eheyttä ja aitoutta.

Vähimmäistoimenpiteitä ovat:

• Turvallisuuspolitiikka ja riskianalyysi: Omaisuusluettelo, uhkien, haavoittuvuuksien ja mahdollisten vaikutusten tunnistaminen.
• Tapahtumanhallinta: Reagointisuunnitelmat, erikoislaitteet ja valvontajärjestelmät.
• Liiketoiminnan jatkuvuus ja kriisinhallinta: Varmuuskopiot, säännölliset palautuksetestit, varmuuskopiointisuunnitelmat ja katastrofien kestävyyden hallinta.
• Toimitusketjun turvallisuus: Vaadi ja varmista, että toimittajat ja kumppanit täyttävät standardit, ja kirjaa tämä sopimuksiin.
• Tietoturva järjestelmien kehittämisessä, hankinnassa ja ylläpidossa: Salaus, kulunvalvonta, säännöllinen päivitys ja korjaus.
• Toimenpiteiden tehokkuuden säännöllinen arviointi: Säännölliset auditoinnit ja tarkastelut (sisäiset tai ulkoiset) vaatimustenmukaisuuden varmistamiseksi.
• Kyberturvallisuuden ja kyberhygienian määräaikaiskoulutus kaikille työntekijöille ja erityisesti johdolle.
• Salaus- ja tietojen suojauskäytännöt.
• Kulunvalvonta, monitekijätodennus ja omaisuudenhallinta.

2. Ilmoitus vaaratilanteesta: määräajat ja menettelyt

Nopea ilmoittaminen viranomaisille on yksi NIS2:n peruspilareista. Yksiköiden on ilmoitettava kaikista CSIRT-ryhmille (Incident Response Teams) tai kansallisille toimivaltaisille viranomaisille merkittävä tapahtuma joka aiheuttaa tai voi aiheuttaa vakavia toimintahäiriöitä, merkittäviä taloudellisia vahinkoja tai vaikuttaa kolmansiin osapuoliin.

Määräajat ovat erittäin tiukat:

• Varhainen varoitus: Ensimmäisen sisällä 24 tuntia tapauksesta tiedottamisen jälkeen.
• Täysi ilmoitus: Enintään 72 tuntia, tietojen päivittäminen, vakavuus, vaikutukset ja toteutetut toimenpiteet. (Luotettaville palveluntarjoajille 24 tuntia).
• LoppuraporttiYhden kuukauden kuluessa kaikki asiaankuuluvat yksityiskohdat, syyt, toimenpiteet ja seuraukset.

Se on myös syytä muistaa On velvollisuus informoida käyttäjiä tai asiakkaita, jos tapahtuma voi vaikuttaa heihin vakavasti., joka tarjoaa toimintaohjeita ja toimenpiteitä niiden suojelemiseksi.

3. Hallinto, koulutus ja johtamisvastuu

NIS2 keskittyy ylimmän johdon osallistumiseen. Johtoryhmien tulee hyväksyä turvatoimenpiteet ja seurata aktiivisesti niiden toteutumista. Lisäksi heitä on koulutettava ja koulutettava säännöllisesti (ja sama työntekijöiden osalta).

Direktiivissä säädetään nimenomaisesti, että törkeän laiminlyönnin tai valvonnan puutteen vuoksi ylimmät johtajat voidaan tuomita kurinpitoon, mukaan lukien tilapäinen evätä viran hoitamisesta olennaisissa yksiköissä.

4. Toimitusketjun hallinta ja turvallisuus toimittajasopimuksissa

Toimitusketjuhäiriöt ovat olleet yksi vakavimmista viimeaikaisten kyberhyökkäysten vektoreista Euroopassa.. Tästä syystä NIS2 edellyttää, että yhteisöt arvioivat ja valvovat suorien toimittajiensa ja alihankkijoidensa turvallisuutta, sisällyttävät kyberturvallisuuslausekkeita ja -vaatimuksia sopimuksiin, suorittavat auditointeja, arvioivat tuotteiden ja palveluiden yleistä kestävyyttä ja tarkkailevat tunnettuja haavoittuvuuksia kolmansien osapuolien komponenteissa.

5. Kansainvälinen yhteistyö ja yhteistyö

Uhkia, vaaratilanteita, haavoittuvuuksia ja parhaita käytäntöjä koskevien olennaisten tietojen vaihto on pakollista sekä kansallisesti että eurooppalaisten mekanismien kautta (yhteistyöryhmä, CSIRT-verkosto ja EU-CyCLONE laajamittaista kriisinhallintaa varten).

6. Auditoinnit, tarkastukset ja valvontajärjestelmä

Direktiivissä erotetaan kaksi valvontajärjestelmää:

• Olennaisten yksiköiden osalta: määräaikaistarkastukset, paikan päällä tai etätarkastukset, kansallisten virastojen jatkuva valvonta ja seuraamusjärjestelmä sekä a priori että a posteriori.
• Suuret yksiköt: Vain reaktiivinen valvonta, eli vasta sen jälkeen, kun vaatimustenvastaisuudesta on viitteitä tai todisteita.

Viranomaiset voivat vaatia dokumentointia, auditointituloksia, pääsyä järjestelmiin ja tietoihin tai jopa vakavien rikkomusten julkistamista.

7. Muut asiaankuuluvat velvoitteet

• Kokonaisuuksien pakollinen rekisteröinti, perustiedot ja säännölliset päivitykset toimivaltaisille viranomaisille.
• Yhteistyö eurooppalaisten organisaatioiden kanssa, keskeisten eurooppalaisten yksiköiden sisällyttäminen ENISA-tietokantaan.
• Alakohtaiset yhden merkinnän mekanismit vaaratilanteiden raportointiin ja hallintaan.
• Tietosuojavaatimukset aina yleisen tietosuoja-asetuksen (GDPR) mukaisesti.

NIS2-direktiivin tärkeimmät päivämäärät ja täytäntöönpanoaikataulu

Käyttöönotto- ja vaatimustenmukaisuusaikataulu on yksi NIS2:n herkimmistä näkökohdista.. Nämä ovat kriittiset päivämäärät:

• 16 tammikuu 2023: Direktiivin virallinen voimaantulo.
• 17 lokakuu 2024: Maiden on annettava ja julkaistava määräaika kansallisen lainsäädännön saattamiseksi osaksi kansallista lainsäädäntöä2.
• 18 lokakuu 2024: Välitön täytäntöönpano kaikissa jäsenvaltioissa; kokonaisuuksia on valmisteltava.
• 17 huhtikuu 2025: Määräaika kansallisen tason olennaisten ja tärkeiden yksiköiden luettelon laatimiselle ja välittämiselle Brysselille.
• 17 tammikuu 2025: Määräaika kussakin maassa sovellettavasta pakotejärjestelmästä ilmoittamiselle.

Jäljellä olevilla virstanpylväillä, kuten kansallisten kyberturvallisuusstrategioiden kehittäminen tai täytäntöönpanosäädösten julkaiseminen (erityiset tekniset vaatimukset), on päivämäärät, jotka julkaistaan ​​säännöllisesti virallisilla eurooppalaisilla ja kansallisilla portaaleilla.

Saattaminen osaksi kansallista lainsäädäntöä Espanjassa: Kyberturvallisuuden koordinointi- ja hallintolaki

Espanja on hyväksynyt kyberturvallisuuden koordinointia ja hallintoa koskevan lakiehdotuksen mukauttaa oikeudelliset puitteet NIS2:lle. Vaikka lopullista tekstiä saatetaan vielä muuttaa, tärkeimpiä näkökohtia ovat:

• Laaja sovellusalue: Sisältää julkiset ja yksityiset organisaatiot, jotka sijaitsevat tai toimivat Espanjassa kaikilla kriittisillä ja erittäin kriittisillä aloilla direktiivin liitteiden mukaisesti.
• Yksityiskohtainen riskianalyysi ja suojausvelvoitteet verkkojen, järjestelmien ja palvelujen kehittäminen, mukaan lukien sellaisten toimittajien ja kumppanien arviointi, joilla on pääsy kriittisiin tietoihin.
• Velvollisuus ilmoittaa asiaankuuluvista tapauksista ja vakavista uhista sekä viranomaisille että käyttäjille tai asiakkaille, joita asia koskee.
• Tietoturvavastaavan viran perustaminen jokaisessa yksikössä vastaa suunnittelusta, valvonnasta ja säännösten noudattamisen varmistamisesta, hallinnan keskittämisestä.
• Kansallisen kyberturvallisuuskeskuksen perustaminen pääkoordinaattorina valtion tasolla ja vuoropuhelun kanavana EU:n kanssa.
• Valvonta- ja valvontatoimivallan jakaminen useille ministeriöille: Sisäasiainministeriö (kyberturvallisuuden koordinointitoimisto), puolustus (CCN), digitaalinen muutos yhdessä alakohtaisten viranomaisten kanssa.
• Erikoistuneet tapahtumanhallintaryhmät, haavoittuvuuden havaitseminen, tuki asianomaisille tahoille ja ennakkovaroitusten antaminen.
• Kiireellinen käsittely ja ensisijainen parlamentaarinen koordinointi nopeuttaa lain voimaantuloa ennen EU:n säätämiä määräaikoja.

Kokonaisuuksien luokitus: "olennainen" ja "tärkeä"

NIS2 perustaa kaksi erillistä entiteettiluokkaa:

• Olennaiset kokonaisuudet: Suuret yritykset erittäin kriittisillä aloilla, pätevät luotettavat ja DNS-palveluntarjoajat, keskisuuret yritykset tietyillä alasektoreilla, kriittiset yksiköt kansallisen lainsäädännön mukaisesti ja valtion päättämät yritykset (kuten entiset NIS1-tärkeitä palveluoperaattoreita).
• Tärkeitä kokonaisuuksia: Kaikki muut sisältyvät kriittisiin sektoreihin, jotka eivät täytä olennaisia ​​kriteerejä.

Tämä ero vaikuttaa valvonnan intensiteettiin, seuraamusten ankaruuteen ja asiakirjavaatimusten tyyppiin.

Tapahtumaraportointi ja kriisinhallintavelvollisuudet

Yritysten ja organisaatioiden tulee olla hyvin selvillä käsitteistä "merkittävä tapaus", "läheltä piti -tapahtuma" ja "merkittävä kyberuhka".:

• Merkittävä tapaus: Mikä tahansa tapahtuma, joka aiheuttaa vakavia keskeytyksiä palveluissa, merkittäviä taloudellisia menetyksiä tai aiheuttaa merkittävää vahinkoa yksityishenkilöille tai oikeushenkilöille.
• Merkittävä kyberuhka: Tekninen uhka, joka voi suuruutensa vuoksi aiheuttaa merkittäviä vahinkoja tai häiriöitä.
• Läheltä piti: Tapahtuma, joka olisi voinut aiheuttaa tapahtuman, mutta joka ei toteutunut ennaltaehkäisevien toimenpiteiden ansiosta.

Kaikissa näissä tapauksissa ilmoitus olisi mieluiten tehtävä sähköisesti erityisen kansallisen saapumispisteen kautta., ja seuraamalla menettelyä:

• Ensimmäinen ennakkovaroitus (24h).
• Täysi ennakkoilmoitus (72h, poikkeuksia lukuun ottamatta).
• Loppuraportti (1 kuukausi tapahtuman päättämisen jälkeen).

Ilmoituksen laiminlyöntiä ajoissa voidaan pitää vakavana ja rangaistavana rikoksena..

Tarvitaan tekniset, toiminnalliset ja organisatoriset toimenpiteet

NIS2 sisältää vähimmäisluettelon toimenpiteistä, jotka kaikkien yksiköiden on toteutettava, ottaen aina huomioon suhteellisuusperiaate ja toteutuskustannukset.:

• Sisäinen turvallisuuspolitiikka ja jatkuva riskianalyysi.
• Tapahtumien hallinta ja reagointiSisältää valvontajärjestelmät, reagointitiimit, CSIRT-integraation ja eskalointiprotokollat.
• Liiketoiminnan jatkuvuussuunnitelmat, varmuuskopioiden hallinta, palautumistestaukset ja kriisisuunnitelmat.
• Toimitusketjun ja toimittajien tiukka hallinta: Auditointi, sopimusvaatimukset, tuotteiden ja palvelujen kestävyyden seuranta, kolmannen osapuolen kyberturvallisuuden parhaiden käytäntöjen integrointi.
• Tietoturva järjestelmien ja sovellusten elinkaaren aikana: salauksen käyttö, ohjelmointi suojattu, korjaus ja kulunvalvonta.
• Toimenpiteiden tehokkuuden säännöllinen arviointi: Sisäiset ja ulkoiset auditoinnit, asiakirjojen tarkistus ja tekninen testaus.
• Sisäiset koulutusohjelmat ja säännöllinen tietoisuuden lisääminen.
• Selkeät käytännöt salauksen ja monitekijätodennuksen käytölle.
• Omaisuuden hallinta, varaston ja tiedon pääsyn valvonta.

Seuraamukset ja valvontajärjestelmä

NIS2:n määräämät seuraamukset ovat erityisen ankaria olennaisille yksiköille, jotta voidaan varmistaa säännön noudattaminen ja tehokkuus.:

• Olennaiset kokonaisuudet: Enintään 10 miljoonan euron sakot tai 2 % globaalista vuosiliikevaihdosta (sen mukaan kumpi on suurempi).
• Tärkeitä kokonaisuuksia: Enintään 7 miljoonan euron sakot tai 1,4 % globaalista vuosiliikevaihdosta (sen mukaan kumpi on suurempi).

Lisäksi seuraamukset voivat olla julkisia ja niihin voi sisältyä todistusten keskeyttäminen, vaatimustenvastaisuuden julkaiseminen tai jopa tilapäinen johtamiskielto vakavimmissa tapauksissa.

Kuinka valmistautua NIS2-yhteensopivuuteen: käytännön vaiheet

NIS2-yhteensopivuus on välttämätöntä. Yritysten tulee välittömästi aloittaa etenemissuunnitelma, joka sisältää:

• Kattava luettelo IT-infrastruktuurista ja digitaalisista resursseista.
• Riskianalyysi ja kyberturvallisuuspolitiikan määrittely yhdenmukaistettu ISO 27001:n, ENS:n ja muiden kansainvälisesti tunnustettujen viitekehysten kanssa.
• Tarkista ja päivitä tavarantoimittajien kanssa tehdyt sopimukset varmistaakseen vaatimustenmukaisuuden toimitusketjussa.
• Poikkeustilanteiden reagointisuunnitelmien toteuttaminen ja sisäisten hälytyskanavien suunnittelu ja sujuva viestintä CSIRT:n kanssa.
• Suorittaa määräajoin kyberturvallisuustarkastuksia (sisäinen ja ulkoinen).
• Erityistä ja jatkuvaa koulutusta esimiehille ja henkilökunnalle.
• Seuranta- ja varhaisvaroitusmekanismien perustaminen.
• Tietoturvavastaavan virallinen nimitys.
• Dokumentoitujen kriisiilmoitus- ja hallintaprotokollien kehittäminen.