- הנחיית NIS2 מרחיבה את המגזרים והחברות הנדרשים לעמוד בדרישות של אבטחה cybersecurity באיחוד האירופי.
- היא קובעת אמצעים מחמירים, אחריות ניהולית חדשה ועונשים חמורים על אי ציות.
- זה דורש דיווח מהיר על אירועים, ניהול סיכונים פרואקטיבי והדרכה סדירה באבטחה דיגיטלית.
אבטחה דיגיטלית הפכה לעדיפות עליונה עבור ארגונים הפועלים באיחוד האירופי.. האצת תהליכי הדיגיטליזציה והגידול האקספוננציאלי במתקפות סייבר הוכיחו את הצורך ברגולציה משותפת וחזקה המסוגלת להגן על הכלכלה, השירותים החיוניים ופרטיות האזרחים. בהקשר זה, הנחיית NIS2 עשתה צעד קדימה, הרחיבה את דרישותיה והחמירה את כל מה שקשור לאבטחת סייבר., עם הישג חסר תקדים באירופה.
בין אם אתה חלק מהנהלת חברה, במגזר הציבורי, או אחראי על IT, חיוני שתהיה לך הבנה מעמיקה כיצד ₪2 משפיע עליך.. מאמר זה מכסה באופן מקיף את ההיבטים המרכזיים של ההוראה, לרבות על מי היא חלה, הדרישות הטכניות והתפעוליות שלה, תאריכי מפתח, נהלי דיווח על תקריות, השפעה על שרשרת האספקה, אחריות ניהולית חדשה, סנקציות, הטרנספורמציה החקיקתית הקרובה בספרד ומשאבים מעשיים להכנה והימנעות מסיכונים. אם אתה מעוניין להימנע מקנסות של מיליוני דולרים, לשמור על המשכיות העסק שלך ולהישאר בחזית האבטחה הדיגיטלית האירופית, המשך לקרוא.
מהי הוראה 2 ש"ח ומדוע היא חיונית לאירופה?
NIS2 — המייצג רשת ומערכות מידע 2 — היא ההתפתחות וההרחבה של חקיקת אבטחת הסייבר האירופית הראשונה (הנחיית NIS משנת 2016), שנועד להגיב לסביבה דיגיטלית הרבה יותר מורכבת וחשופה. ההנחיה החדשה פורסמה בכתב העת הרשמי של האיחוד האירופי בסוף 2022 ו נכנסה לתוקף רשמית ב-16 בינואר 2023. היא מחייבת את המדינות החברות להעביר אותה לחקיקה הלאומית שלהן עד ה-17 באוקטובר 2024, וליישם אותה מה-18 באוקטובר שלאחר מכן, אם כי המועדים הוארכו בחלק מהמדינות.
מטרת ₪2 היא להבטיח רמת אבטחה משותפת וגבוהה ברשתות ומערכות מידע ברחבי האיחוד האירופי., הנחת היסוד לכך שהכלכלה הדיגיטלית - והשירותים הבסיסיים של החברה - יישארו מוגנים מפני איומים יותר ויותר מתוחכמים ואגרסיביים.
בין התכונות החדשות העיקריות שלה הן:
- הרחבה משמעותית של המגזרים המפוקחים ומספר הגופים המחויבים.
- דרישות מחמירות הרבה יותר לניהול סיכונים ודיווח על אירועים.
- מערכת הומוגנית וחמורה של פיקוח וסנקציות ברמה האירופית.
- חובות ספציפיות חדשות לשרשרת האספקה, לספקים וקבלני משנה.
- תפקיד מחוזק ואחריות ישירה של הגופים המנהלים של הגופים.
היקף: מי נדרש לעמוד ב-2 שקלים?
₪2 משפיעים באופן ישיר ומחויב על גופים ציבוריים ופרטיים במה שמכונה "מגזרים קריטיים" ו"מגזרים בעלי קריטיות גבוהה" המפורטים בנספחים I ו-II להוראה.. ההבדל הגדול ביותר מהשקל המקורי הוא זה רשימת המגזרים וסוגי הארגונים התרבה, והקריטריון הוא כבר לא רק פעילות, אלא גם גודל וחשיבות אסטרטגית.
באופן כללי, עליהם לעמוד ב-2 שקלים:
- כל החברות הבינוניות והגדולות (יותר מ-50 עובדים או מחזור שנתי העולה על 10 מיליון יורו) הפועלות במגזרים אלו.
- במקרים ספציפיים, עסקים קטנים ומיקרו-ארגונים עשויים להיות זכאים גם אם תפקידם קריטי למדינה או שהם הספקים הבלעדיים של שירות חיוני.
הטקסט המשפטי מבחין בין:
- ישויות חיוניות: השתייכות למגזרים קריטיים ביותר, מפעילים מוסמכים של שירותים מהימנים, רישומי שמות דומיינים ברמה העליונה, ספקי DNS, חברות בינוניות המספקות רשתות תקשורת אלקטרוניות ציבוריות, גופים ציבוריים מסוימים וכאלה שכל מדינה רואה באסטרטגיות.
- ישויות חשובות: שאר הגופים במגזרים קריטיים שאינם עומדים בקריטריונים לעיל.
המגזרים המושפעים מחולקים לשתי קבוצות גדולות:
מגזרים בעלי קריטיות גבוהה (נספח I):
- אנרגיה (חשמל, גז, נפט גולמי, מימן, מערכות חימום וקירור אזורי)
- תחבורה (אוויר, רכבת, ים ונהר, כביש)
- תשתית בנקאות ושוק פיננסי
- בריאות
- מי שתייה ומי שפכים
- תשתית דיגיטלית (מרכזי נתונים, ענן, נקודות חילופי אינטרנט, DNS וכו')
- ניהול שירותי ICT
- מנהלים ציבוריים (מרכזי ואזורי)
- Espacio
מגזרים קריטיים אחרים (נספח II):
- שירותי דואר ושליחויות
- ניהול פסולת
- תעשייה כימית
- ייצור, עיבוד והפצה של מזון
- ייצור (כולל IT, אופטיקה, ציוד חשמלי, מכונות, תחבורה וכו')
- ספקי שירותים דיגיטליים (שווקים מקוונים, מנועי חיפוש, פלטפורמות מדיה חברתית)
- מחקר
אינם נכללים, למעט חריגים בודדים, תחומי ההגנה, הביטחון הלאומי, המשטרה, מערכת המשפט, הפרלמנטים והבנקים המרכזיים.
זכור: היעדרותה הפשוטה של החברה שלך ברשימה אינה פוטרת אותך מעמידה אם אתה מציע שירותי מפתח לתפקוד המדינה.. המדינות החברות רשאיות להרחיב את רשימת הגופים המחויבים בהתבסס על קריטריוני קריטיות לאומיים.
עקרונות ופיתוחים מרכזיים של הוראת ₪2
הנחיית NIS2 מייצגת שינוי קיצוני בניהול אבטחת סייבר, מכיוון שהיא לא רק מרחיבה את ההגנה ליותר מגזרים אלא גם מחמירה את הדרישות והפיקוח.. חלק ממנו חידושים עיקריים צליל:
- הרחבת היקף: זה כבר לא מחייב רק ספקים של שירותים חיוניים קלאסיים או תשתית קריטית; מכסה הרבה יותר מגזרים וסוגי ישויות.
- גישת "גודל מקסימלי": רוב ההתחייבויות משפיעות על חברות בינוניות וגדולות, אך ישנם חריגים עבור גופים קטנים אם תפקידם הוא המפתח.
- סקירה של מושג המבקרים: מבדיל בין גופים "חיוניים" ל"חשובים", ומטיל על הראשונים משטר פיקוח וסנקציות חמור יותר.
- הרמוניזציה אירופאית: זה מפחית את השונות בין מדינות ומקל על שיתוף פעולה ותגובה משותפת לתקריות חוצי גבולות או בקנה מידה גדול.
חובות מרכזיות: מה דורשים 2 ש"ח מעסקים וגופים?
ההתחייבויות של ₪2 הן רבות ומנוסחות סביב שני צירים מרכזיים: ניהול פרואקטיבי של סיכוני אבטחת סייבר והודעה מהירה על תקריות משמעותיות. כמו כן, מתחזק הממשל הפנימי והקשרים עם ספקים, לקוחות ורשויות.
1. הערכת סיכוני סייבר וניהול
כל הגופים המחויבים חייבים לזהות, לנתח ולטפל בסיכונים המאיימים על הזמינות, הסודיות, השלמות והאותנטיות של המערכות והשירותים הדיגיטליים שלהם.
אמצעים מינימליים כוללים:
- מדיניות אבטחה וניתוח סיכונים: מלאי נכסים, זיהוי איומים, נקודות תורפה והשפעות אפשריות.
- ניהול אירועים: תוכניות תגובה, ציוד מיוחד ומערכות ניטור.
- המשכיות עסקית וניהול משברים: גיבויים, בדיקות שחזור תקופתיות, תוכניות גיבוי וניהול חוסן אסונות.
- אבטחת שרשרת אספקה: דרשו ווודאו שספקים ושותפים עומדים בתקנים, והעלו זאת בכתב בחוזים.
- אבטחה בפיתוח, רכישה ותחזוקה של מערכות: הצפנה, בקרת גישה, עדכון קבוע ותיקון.
- הערכה תקופתית של יעילות האמצעים: ביקורות וסקירות תקופתיות (פנימיים או חיצוניים) כדי לאמת ציות.
- הכשרה תקופתית באבטחת סייבר והיגיינת סייבר לכל העובדים ובמיוחד להנהלה.
- מדיניות הצפנה והגנה על מידע.
- בקרת גישה, אימות רב-גורמי וניהול נכסים.
2. הודעה על אירוע: מועדים ונהלים
הודעה מהירה לרשויות היא אחד מעמודי התווך של 2 ₪. ישויות חייבות להודיע ל-CSIRT (צוותי תגובה לאירועים) או לרשויות מוסמכות לאומיות על כל אירוע משמעותי שגורם או עלול לגרום להפרעות תפעוליות חמורות, נזק כלכלי משמעותי או משפיע על צדדים שלישיים.
המועדים הנוקשים ביותר:
- אזהרה מוקדמת: בתוך הראשון 24 Horas לאחר שנודע על האירוע.
- הודעה מלאה: במקסימום של 72 Horas, עדכון מידע, חומרה, השפעה ואמצעים שננקטו. (לנותני שירות מהימנים, 24 שעות).
- דוח סופיתוך חודש, עם כל הפרטים הרלוונטיים, הסיבות, האמצעים וההשלכות.
צריך לזכור גם את זה קיימת חובה ליידע את המשתמשים או הלקוחות המושפעים כאשר האירוע עלול להשפיע עליהם באופן חמור., המציע הנחיות לפעולה ואמצעים להגנתם.
3. ממשל, הדרכה ואחריות ניהולית
NIS2 מתמקד במעורבות ההנהלה הבכירה. צוותי ההנהלה חייבים לאשר אמצעי אבטחה ולפקח באופן אקטיבי על יישומם. בנוסף, עליהם לעבור הכשרה וחינוך מעת לעת (וכך גם לעובדים).
ההוראה קובעת במפורש כי במקרה של רשלנות חמורה או היעדר פיקוח, מנהלים בכירים עשויים להיות משמעתיים, לרבות פסילה זמנית מלמלא תפקיד בגורמים חיוניים.
4. ניהול שרשרת אספקה ואבטחה בהסכמי ספקים
תקריות שרשרת האספקה היו אחד הגורמים החמורים ביותר למתקפות סייבר אחרונות באירופה.. מסיבה זו, NIS2 מחייבת גופים להעריך ולנטר את האבטחה של הספקים הישירים וקבלני המשנה שלהם, תוך שילוב סעיפים ודרישות אבטחת סייבר בחוזים, ביצוע ביקורות, הערכת החוסן הכולל של מוצרים ושירותים ומעקב אחר נקודות תורפה ידועות ברכיבי צד שלישי.
5. שיתוף פעולה ושיתוף פעולה בינלאומי
החלפת מידע רלוונטי על איומים, תקריות, פגיעויות ושיטות עבודה מומלצות היא חובה, הן ברמה הלאומית והן באמצעות מנגנונים אירופיים (Cooperation Group, CSIRT Network ו-EU-CyCLONe לניהול משברים בקנה מידה גדול).
6. משטר ביקורת, בדיקות ופיקוח
ההוראה מבדילה בין שתי מערכות פיקוח:
- עבור גופים חיוניים: ביקורות תקופתיות, בדיקות באתר או מרחוק, פיקוח מתמשך של סוכנויות לאומיות ומשטר סנקציות גם אפריורי וגם לאחור.
- לגופים מרכזיים: פיקוח תגובתי בלבד, כלומר רק לאחר אינדיקציות או עדות לאי ציות.
הרשויות עשויות לדרוש תיעוד, תוצאות ביקורת, גישה למערכות ונתונים, או אפילו חשיפה פומבית של הפרות חמורות.
7. חובות רלוונטיות אחרות
- רישום חובה של גופים, מידע בסיסי ועדכונים תקופתיים לרשויות המוסמכות.
- שיתוף פעולה עם ארגונים אירופאים, הכללה במסד הנתונים של ENISA של גופים מרכזיים באירופה.
- מנגנוני כניסה חד-פעמיים לדיווח וניהול אירועים.
- דרישות הגנת מידע תמיד תחת תקנת הגנת המידע הכללית (GDPR).
תאריכי מפתח ולו"ז יישום של הוראת ₪2
לוח הזמנים של היישום והציות הוא אחד ההיבטים הרגישים ביותר של ₪2.. אלו התאריכים הקריטיים:
- 16 ינואר 2023: כניסה רשמית לתוקף של ההוראה.
- 17 2024 אוקטובר: מועד אחרון למדינות לאמץ ולפרסם חקיקה לאומית המעבירה ₪2.
- 18 2024 אוקטובר: יישום קרוב בכל המדינות החברות; יש להכין את הישויות.
- 17 אפריל 2025: מועד אחרון לעריכה והעברה לבריסל של רשימת הישויות החיוניות והחשובות ברמה הלאומית.
- 17 ינואר 2025: מועד אחרון להודיע על משטר הסנקציות החל בכל מדינה.
לאבני הדרך הנותרות, כגון פיתוח אסטרטגיות אבטחת סייבר לאומיות או פרסום פעולות יישום (דרישות טכניות ספציפיות), יש תאריכים המתפרסמים מעת לעת בפורטלים הרשמיים באירופה ובפורטלים הלאומיים.
טרנספוזיציה בספרד: חוק תיאום וממשל בנושא אבטחת סייבר
ספרד אישרה את טיוטת החוק על תיאום וממשל אבטחת סייבר להתאים את המסגרת החוקית ל-2 ₪. למרות שהטקסט הסופי עשוי להיות נתון להתאמות, היבטים מרכזיים כוללים:
- היקף יישום רחב: כולל ארגונים ציבוריים ופרטיים המבוססים או פועלים בספרד, בכל המגזרים הקריטיים והקריטיים ביותר, על פי נספחי ההוראה.
- ניתוח סיכונים מפורט וחובות הגנה של רשתות, מערכות ושירותים, כולל הערכה של ספקים ושותפים בעלי גישה לנתונים קריטיים.
- חובת דיווח על אירועים רלוונטיים ואיומים חמורים הן לרשויות והן למשתמשים או לקוחות מושפעים.
- הקמת תפקיד קצין אבטחת מידע בכל גורם, אחראי לתכנון, פיקוח והבטחת עמידה ברגולציה, ריכוז הניהול.
- הקמת המרכז הלאומי לאבטחת סייבר כמתאם הראשי ברמת המדינה וערוץ הדיאלוג עם האיחוד האירופי.
- הקצאת סמכויות בקרה ופיקוח למספר משרדים: פנים (משרד תיאום אבטחת סייבר), הגנה (CCN), טרנספורמציה דיגיטלית, יחד עם רשויות מגזריות.
- צוותי ניהול אירועים ייעודיים, איתור נקודות תורפה, תמיכה לגופים מושפעים והוצאת אזהרות מוקדמות.
- טיפול דחוף ותיאום פרלמנטרי עדיפות להאיץ את כניסת החוק לתוקף לפני המועדים המוסדרים על ידי האיחוד האירופי.
סיווג הישויות: "חיוני" ו"חשוב"
₪2 קובעת שתי קטגוריות נפרדות של גופים:
- ישויות חיוניות: חברות גדולות במגזרים קריטיים ביותר, ספקי אמינות ו-DNS מוסמכים, חברות בינוניות בתתי-מגזרים מסוימים, גופים קריטיים על פי החקיקה הלאומית וכאלה שהחליטה המדינה (כגון מפעילי שירות חיוניים לשעבר ב-1 ₪).
- ישויות חשובות: כל השאר נכללים במגזרים קריטיים שאינם עומדים בקריטריונים חיוניים.
הבחנה זו משפיעה על עוצמת הפיקוח, על חומרת הסנקציות ועל סוג הדרישות התיעודיות.
חובות דיווח על אירועים וניהול משברים
חברות וארגונים צריכים להיות ברורים מאוד לגבי המושגים של "אירוע משמעותי", "אירוע כמעט הפסד" ו"איום סייבר משמעותי".:
- תקרית משמעותית: כל אירוע הגורם להפרעות חמורות בשירותים, הפסדים כלכליים משמעותיים או גורם נזק משמעותי ליחידים או לישויות משפטיות.
- איום סייבר משמעותי: איום טכני שבשל גודלו עלול לגרום לנזק משמעותי או להפרעה.
- כמעט פספוס: אירוע שיכול היה לגרום לאירוע, אך לא התממש הודות לאמצעי מניעה.
בכל המקרים הללו, רצוי שההודעה תיעשה באמצעים אלקטרוניים, דרך נקודת הכניסה הלאומית הספציפית., ובעקבות ההליך:
- אזהרה מוקדמת ראשונית (24 שעות).
- הודעה מלאה מראש (72 שעות, למעט חריגים).
- דוח סופי (חודש לאחר סגירת האירוע).
אי ציות להודעה בזמן עלולה להיחשב כעבירה חמורה ובעלת ענישה..
נדרשים אמצעים טכניים, תפעוליים וארגוניים
₪2 כולל רשימה מינימלית של אמצעים שעל כל הגופים לנקוט, תוך התחשבות תמיד בעקרון המידתיות ובעלות היישום.:
- מדיניות אבטחה פנימית וניתוח סיכונים שוטף.
- ניהול ותגובה לאירועים: כולל מערכות ניטור, צוותי תגובה, אינטגרציה של CSIRT ופרוטוקולי הסלמה.
- תוכניות המשכיות עסקית, ניהול גיבוי, בדיקות התאוששות ותוכניות משבר.
- ניהול קפדני של שרשרת האספקה והספקים: ביקורת, דרישות חוזיות, ניטור חוסן המוצר והשירות, שילוב שיטות עבודה מומלצות של צד שלישי לאבטחת סייבר.
- אבטחה במחזור החיים של מערכות ויישומים: שימוש בהצפנה, תכנות מאובטח, תיקון ובקרת גישה.
- הערכה תקופתית של יעילות האמצעים: ביקורות פנימיות וחיצוניות, סקירת מסמכים ובדיקות טכניות.
- תוכניות הכשרה פנימיות והעלאת מודעות שוטפת.
- מדיניות ברורה לגבי השימוש בהצפנה ובאימות רב-גורמי.
- ניהול נכסים, מלאי ובקרת גישה למידע.
משטר סנקציות ופיקוח
הסנקציות שנקבעו ב-2 ₪ חמורות במיוחד עבור גורמים חיוניים, במטרה להבטיח ציות ויעילות של הכלל.:
- ישויות חיוניות: קנסות של עד 10 מיליון יורו או 2% מהמחזור השנתי העולמי (הגדול מביניהם).
- ישויות חשובות: קנסות של עד 7 מיליון יורו או 1,4% מהמחזור השנתי העולמי (הגדול מביניהם).
יתרה מכך, הסנקציות עשויות להיות פומביות ולכלול השעיית אישורים, פרסום אי הציות, או אפילו פסילה זמנית מתפקידי ניהול במקרים החמורים ביותר.
כיצד להתכונן לעמידה ב-2 שקלים: צעדים מעשיים
עמידה ב-2 שקלים חיונית. חברות צריכות להתחיל מיד במפת דרכים הכוללת:
- מלאי מקיף של תשתיות IT ונכסים דיגיטליים.
- ניתוח סיכונים והגדרת מדיניות אבטחת סייבר מותאם ל-ISO 27001, ENS ומסגרות אחרות המוכרות בינלאומיות.
- סקירה ועדכון של חוזים והסכמים עם ספקים כדי להבטיח ציות בשרשרת האספקה.
- יישום תכניות תגובה לאירועים ותכנון ערוצי התראה פנימיים ותקשורת זורמת עם CSIRT.
- ביצוע מבדקי אבטחת סייבר תקופתיים (פנימיים וחיצוניים).
- הכשרה ספציפית ומתמשכת למנהלים וצוותים.
- הקמת מנגנוני ניטור והתרעה מוקדמת.
- ייעוד רשמי של קצין אבטחת מידע.
- פיתוח פרוטוקולי הודעות וניהול משברים מתועדים.
כותב נלהב על עולם הבתים והטכנולוגיה בכלל. אני אוהב לחלוק את הידע שלי באמצעות כתיבה, וזה מה שאעשה בבלוג הזה, אראה לכם את כל הדברים הכי מעניינים על גאדג'טים, תוכנה, חומרה, טרנדים טכנולוגיים ועוד. המטרה שלי היא לעזור לך לנווט בעולם הדיגיטלי בצורה פשוטה ומשעשעת.