Затрагивает ли ваш бизнес европейская директива NIS2?

Директива NIS2 – это законодательный акт, направленный на повышение способности ЕС противостоять новым киберугрозам, расширение списка защищенных отраслей и создание единой системы информирования об инцидентах кибербезопасности и управления кризисами.

Каждое государство-член ЕС должно уполномочить свой национальный орган по кибербезопасности передавать и применять все аспекты Директивы в рамках национального законодательства до 17 октября 2024 года.

Невыполнение требований может привести к серьезным административным санкциям и исправительным мерам.

Если вы ведете бизнес в Еврозоне, вы должны понять, распространяется ли Директива на ваш бизнес. Если это так, то у вас будет не более одного года – относительно короткий срок, – чтобы обеспечить соответствие требованиям и избежать возможных санкций.

На этом этапе вам необходимо задать себе два важнейших вопроса:

• Каковы потенциальные затраты на обеспечение соответствия?
• Есть ли у вас внутренние ресурсы для принятия мер, необходимых для обеспечения соответствия?

Краткий тест NIS2: Распространяется ли Деректива непосредственно на ваш бизнес?

Четыре характеристики определяют, должен ли ваш бизнес соответствовать требованиям NIS2. Пройдите этот простой тест, чтобы узнать это.

Отметьте звездочкой, квадратиком или треугольником каждую из указанных характеристик (сектор, уровень критичности, размер организации, отрасль), которая соответствует вашему бизнесу.

Теперь сложите количество каждого из перечисленных вами символов. У вас больше треугольников, квадратов или звезд?

Больше треугольников = в настоящее время не требуется

Треугольники – ваш главный ответ? Если да, то дышите спокойно. Директива NIS2 вас пока не касается. Тем не менее, вы можете немедленно воспользоваться стандартами кибербезопасности и рекомендациями, предусмотренными директивой, чтобы направить свои усилия по защите данных и минимизировать риски.

Больше квадратов = может потребоваться соблюдение требований

Большее количество квадратов означает, что размер и отрасль вашей организации могут накладывать на нее юридические обязательства ЕС, предусмотренные Директивой NIS2. Ознакомьтесь с приведенной ниже диаграммой, чтобы узнать больше о критериях, по которым можно определить, подлежит ли ваша организация соблюдению требований.

Больше звезд = обязательное соответствие

Если вы видите звезды в верхней части списка, значит, ваша организация считается важной организацией (IE) или существенной организацией (EE).

Это означает, что вы должны соответствовать стандартам, установленным NIS2.

Данный тест носит исключительно информационный характер и не должен рассматриваться как правовая основа.

Десять областей соответствия требованиям управления рисками

NIS2 устанавливает десять областей соответствия с основными мерами, которые должна принять каждая организация, подверженная риску, включая:

1. Политики в области анализа рисков и безопасности информационных систем
   Реализация политик, включая проведение регулярных и систематических оценок рисков для выявления, оценки и определения приоритетности рисков сети и информационных систем, а также развертывание соответствующих и пропорциональных мер безопасности для снижения выявленных рисков.
2. Урегулирование инцидентов
   Разработка политики обнаружения, сообщения и смягчения последствий инцидентов безопасности, а также уведомление соответствующих органов о типе инцидента, его потенциальном воздействии и мерах, запланированных или принятых для снижения риска.
3. Непрерывность бизнеса
   Развертывание надежных мер по обеспечению непрерывности бизнеса, гарантирующих устойчивость к инцидентам кибербезопасности, таких как системы резервного копирования данных, управление резервным копированием и аварийное восстановление, а также разработка планов управления кризисными ситуациями.
4. Безопасность системы поставок
   Повышение безопасности системы поставок путем проведения тщательной оценки рисков для выявления потенциальных уязвимостей и угроз, связанных с поставщиками и провайдерами услуг, разработки соответствующих мер безопасности и политик для управления рисками системы поставок, а также постоянного мониторинга и регулярного аудита системы поставок для выявления любых изменений или инцидентов, которые могут повлиять на безопасность.
5. Безопасность сети и информационных систем
   Внедрение мер безопасности и передовых методов на протяжении всего жизненного цикла сети и информационной системы – от приобретения до разработки и обслуживания – и обеспечение непрерывного обслуживания, включая регулярные обновления, управление исправлениями и мониторинг.
6. Оценка управления рисками кибербезопасности
   Регулярная оценка эффективности мер по управлению рисками кибербезопасности, включая проведение частых тестов и оценок, а также постоянный мониторинг внедренных мер безопасности.
7. Гигиена и обучение кибербезопасности
   Внедрение и поддержание основных методов обеспечения безопасности, а также регулярное и постоянное обучение всех сотрудников по вопросам кибербезопасности для повышения их осведомленности о рисках кибербезопасности и передовых методах защиты данных.
8. Политики и процедуры криптографии и шифрования
   Защита конфиденциальных данных и коммуникаций с использованием надежных криптографических алгоритмов и протоколов для обеспечения конфиденциальности, целостности и подлинности данных, а также передовых методов управления ключами дешифрования для ограничения доступа авторизованных пользователей.
9. Кадровая безопасность, контроль доступа и управление активами
   Разработка политики и процедур, обеспечивающих осведомленность сотрудников, подрядчиков и сторонних пользователей об их обязанностях по поддержанию кибербезопасности, применение строгой политики контроля доступа для ограничения несанкционированного доступа к данным и системам на основе принципа наименьших привилегий, а также ведение точной инвентаризации всех ИТ-активов, включая оборудование, программное обеспечение и данные.
10. Многофакторная аутентификация или непрерывная аутентификация для контроля доступа
    Развертывание многофакторной аутентификации (MFA) для доступа к критическим системам и конфиденциальной информации в рамках более широкого набора политик управления доступом, таких как RBAC или решение для непрерывной аутентификации.

Кибергигиена резервного копирования: Четыре золотых правила устойчивости данных

NIS2 подчеркивает, что хорошая кибергигиена имеет решающее значение для обеспечения непрерывности бизнеса. Для обеспечения устойчивости вашего бизнеса необходимо, чтобы план обеспечения непрерывности бизнеса, включая стратегии резервного копирования и восстановления данных, стал вашим главным приоритетом.

Учитывая это, ниже приведены четыре золотых правила обеспечения устойчивости вашего бизнеса.

1. Создайте и внедрите надежную стратегию резервного копирования

• Создайте иерархию данных, определяющую критические данные и системы, резервное копирование которых должно выполняться чаще.
• Разработайте стратегию и процедуры восстановления данных и ИТ-систем и регулярно тестируйте их.
• Обязательно включите резервное копирование сред SaaS.
• Осуществляйте резервное копирование как производственных, так и подготовительных сред.
• Документируйте свою стратегию резервного копирования и обеспечьте ее интеграцию в организации.

2. Следуйте стратегии резервного копирования 3-2-1-1

• Arcserve является убежденным сторонником стратегии резервного копирования 3-2-1-1. Она проста, но эффективна:
• Храните три копии данных (один оригинал и как минимум две копии).
• Храните резервные копии на двух разных типах носителей (например, в сетевом хранилище, на ленте или локальном диске).
• Храните одну копию вне помещения в «облаке» или защищенном хранилище.
• Обеспечьте хранение одной копии данных в неизменяемом хранилище.

3. Автоматизируйте и тестируйте резервное копирование

• Регулярно обновляйте и тестируйте планы обеспечения непрерывности бизнеса и аварийного восстановления.
• Автоматизируйте резервное копирование, чтобы последние данные всегда были доступны для восстановления
• Регулярно тестируйте резервные копии, чтобы убедиться, что они полностью готовы и будут работать, как положено, в случае аварии.

4. Обеспечьте безопасность резервных копий

• Шифруйте данные при передаче и в состоянии покоя.
• Для контроля и управления доступом создайте легко идентифицируемые учетные записи для каждого экземпляра резервной копии и администратора резервной копии.
• Внедрите системы непрерывного мониторинга и обнаружения вторжений (IDS) для выявления подозрительной активности.
• Используйте воздушный зазор, чтобы ограничить распространение программ-вымогателей и оптимизировать защиту данных.
• Храните одну копию в неизменяемом хранилище данных, как предписывает стратегия 3-2-1-1.

Выбирайте инструменты, упрощающие соблюдение требований NIS2

Прагматичное и экономически эффективное выполнение требований NIS2 требует эффективных решений. Унифицированная платформа для обеспечения устойчивости данных Arcserve идеально подходит для резервного копирования и аварийного восстановления данных.

Одним из примеров является Arcserve Unified Data Protection (UDP).

Это мощное программное решение защищает от потери данных и сокращает время простоя с нескольких дней до нескольких минут для облачных, локальных, виртуальных, гиперконвергентных и SaaS-нагрузок. Кроме того, оно позволяет подтвердить RTO, RPO и соглашения об уровне обслуживания (SLA) с помощью автоматизированного тестирования и подробной отчетности

Источник: Is Your Business Affected By Europe’s NIS2 Directive? Understanding NIS2 Cyber Resilience Compliance Requirements