روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ امروز قرار است به دستورالعمل NIS 2 بپردازیم که هدف آن بهبود انعطاف‌پذیری سایبری زیرساخت‌های حیاتی و نهادهای ضروری و مهم است. به نظر می‌رسد NIS 2 برای امنیت اطلاعات در اتحادیه اروپا همان کاری را انجام دهد که GDPR برای حفظ حریم خصوصی داده های کاربر.  بزودی دستورالعمل جدید به قوانین ملی منتقل می‌شود، بنابراین اگر سازمان شما هنوز آماده نیست، اکنون زمان آن است که اقداماتی را انجام دهید.

NIS 2 چیست؟

دستورالعمل بازنگری شده امنیت شبکه و اطلاعات ( NIS 2)  قانون اتحادیه اروپا در مورد امنیت سایبری است. NIS 2 دستورالعمل اصلی NIS را که در سال 2016 تصویب شد، به‌روزرسانی و تکمیل نموده و یک چارچوب قانونی برای ارتقای سطح کلی امنیت سایبری در سراسر اتحادیه اروپا ایجاد می‌کند.

دستورالعمل به روز شده NIS 2 بر سه حوزه اصلی تمرکز دارد:

•         گسترش دامنه کاربرد: هفت بخش تحت پوشش دستورالعمل اصلی NIS با تعدادی بخش جدید تکمیل می‌شود.
•         مکانیسم‌های جدید برای گزارش رویداد و به اشتراک گذاری اطلاعات: NIS 2 گزارش به موقع رخدادهای مهم را الزامی می‌کند.
•         اجرای سخت‌گیرانه‌تر انطباق: NIS 2 به‌روزرسانی‌شده، تحریم‌های خاصی را برای عدم انطباق، از جمله جریمه تا 2 درصد از گردش مالی سالانه جهانی معرفی می‌کند.

NIS 2 روی چه سازمان‌هایی اِعمال می‌شود؟

همانطور که بالاتر اشاره شد، دستورالعمل تجدیدنظرشده به طور قابل‌ملاحظه‌ای مقیاس کاربرد را نسبت به نسخه اصلی‌اش که نسخه 2016 است وسیع‌تر می‌کند. افزون بر این، NIS 2 دسته‌بندی‌ای را معرفی می‌کند که بخش‌های تحت پوشش را به دو دسته دیگر تقسیم می‌کند:

بخش‌های به شدت حیاتی

انرژی (برق، گرمایش و سرمایش منطقه، گاز، هیدروژن، نفت)

حمل و نقل (هوایی، ریلی، آبی، جاده‌ای)

بانکداری

زیرساخت‌های بازار مالی

سلامتی

آب آشامیدنی

آب فاضلاب

زیرساخت دیجیتال

مدیریت خدمات فناوری اطلاعات و ارتباطات (MSP، MSSP)

نهادهای مدیریت دولتی

فضا

سایر بخش‌های حیاتی

خدمات پستی و پیک

مدیریت پسماند

تولید، تولید و توزیع مواد شیمیایی

تولید، فرآوری و توزیع مواد غذایی

تولید (دستگاه های پزشکی، کامپیوتر، محصولات الکترونیکی یا نوری، تجهیزات الکتریکی، ماشین‌آلات، وسایل نقلیه موتوری، سایر تجهیزات حمل و نقل)

ارائه‌دهندگان دیجیتال

پژوهش

علاوه بر طبقه‌بندی بخش‌ها، NIS 2 یک طبقه‌بندی اضافی از موجودیت‌های خاص را معرفی می‌کند. این طبقه‌بندی نیز خود به دو بخش تقسیم شده است:

ضروری (ماده 3.1):

نهادهای بزرگ (درآمد سالانه بیش از 50 میلیون یورو) در بخش‌هایی با بحرانی بالا

مقامات صدور گواهینامه، ثبت‌کنندگان دامنه سطح بالا، و ارائه دهندگان DNS، صرف نظر از اندازه کسب و کار

ارائه‌دهندگان مخابرات، از سایز متوسط ​​به بالا (درآمد بیش از 10 میلیون یورو)

نهادهای مدیریت دولتی

هر نهاد متعلق به بخش بسیار بحرانی یا سایر بخش‌های حیاتی که توسط یک کشور عضو اتحادیه اروپا به عنوان ضروری تعریف شده است.

نهادهایی که طبق دستورالعمل (EU) 2022/2557 «حیاتی» تعریف شده‌اند

مهم (ماده 3.2):

واحدهای با اندازه متوسط ​​(درآمد سالانه 10 تا 50 میلیون یورو) در بخش های بسیار بحرانی

نهادهای متوسط ​​و بزرگ در سایر بخش های حیاتی

هر نهادی که توسط یک کشور عضو اتحادیه اروپا به عنوان مهم تعریف شده باشد

دسته‌ای که یک نهاد به آن تعلق دارد، پیامدهای عملی قابل توجهی دارد. فعالیت‌های نهادهایی که به‌عنوان ضروری طبقه‌بندی می‌شوند، تحت نظارت بسیار دقیق‌تر و فعال‌تر، از جمله حملات تصادفی، بررسی‌های امنیتی ویژه، و درخواست‌های اثبات انطباق، خواهند بود. برای عدم انطباق با NIS 2، نهادهای ضروری ممکن است با جریمه تا 10 میلیون یورو یا 2 درصد از گردش مالی سالانه جهانی روبرو شوند.

نهادهایی که به‌عنوان مهم طبقه‌بندی می‌شوند می‌توانند دمی بیاسایند - آنها تحت کنترل‌های کمتر دقیق‌تری هستند. برای نهادهای مهم، جریمه‌ها کمی کمتر است: تا 7 میلیون یورو یا 1.4 درصد از گردش مالی سالانه جهانی.

جدول زمانی NIS 2

توجه داشته باید که برخلاف GDPR که مقرراتِ اتحادیه اروپاست، NIS 2 یک دستورالعمل است و این یعنی کشورهای عضو اتحادیه اروپا قانونی ملزم هستند در چارچوب زمانی تعریف‌شده  قوانین ملی خود را اصلاح کنند. در مورد NIS2 ددلای برای 17 اکتبر 2024 تعیین شده است. علاوه بر این، کشورهای عضو اتحادیه اروپا مجبور خواهند بود تا تاریخ 17 آوریل 2025 فهرست‌هایی از نهادهای مهم و ضروری مشمول NIS2 تهیه کنند.

بازبینی جدول زمانی مراحل اصلی NIS 2 مفید خواهد بود:

6 ژوئیه 2016: تصویب دستورالعمل (EU) 2016/1148، NIS اصلی

9 مه 2018: آخرین مهلت برای کشورهای عضو اتحادیه اروپا برای انتقال دستورالعمل NIS به قوانین ملی خود

7 ژوئیه 2020: شروع مشاوره کمیسیون اروپا (EC) در مورد بازنگری NIS

16 دسامبر 2020: انتشار پیشنهاد NIS2 توسط EC

13 مه 2022: رأی پارلمان اروپا در مورد تصویب دستورالعمل NIS 2

10 نوامبر 2022: تصویب دستورالعمل NIS 2 توسط شورای اتحادیه اروپا

14 دسامبر 2022: انتشار دستورالعمل NIS 2 در مجله رسمی اتحادیه اروپا تحت عنوان دستورالعمل (EU) 2022/2555

16 ژانویه 2023: لازم الاجرا شدن دستورالعمل NIS 2

17 اکتبر 2024: آخرین مهلت برای کشورهای عضو اتحادیه اروپا برای انتقال دستورالعمل NIS 2 به قوانین ملی خود

17 آوریل 2025: آخرین مهلت برای کشورهای عضو اتحادیه اروپا برای تهیه لیست‌های ضروری و مهم این لیست‌ها باید به طور منظم پس از آن - حداقل هر دو سال یکبار به روز شوند.

17 اکتبر 2027: بررسی دستورالعمل NIS 2

چطور برای پیاده‌سازی NIS 2 آماده شویم؟

•         ارزیابی کنید آیا الزامات NIS 2 برای سازمان شما اعمال می‌شود و اگر بله، تا چد.
•         بررسی کنید که چگونه دستورالعمل NIS به قوانین ملی در کشور عضو اتحادیه اروپا منتقل شده است.
•         توصیه‌های مقامات ملی امنیت سایبری را دنبال کنید.
•         اقدامات سازمانی، فنی و عملیاتی برای مدیریت سیستم‌های شبکه‌ای اطلاعاتی، ریسک‌های امنیتی را ارزیابی نموده و گسترش دهید.

اطلاعات بیشتر درباره دستورالعمل به روز شده امنیت شبکه و اطلاعات اتحادیه اروپا، و نحوه آماده شدن سازمان‌ها برای اجرایی شدن آن، در سایت اختصاصی NIS 2 ما موجود است.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.