Καθώς πλησιάζει η προθεσμία του Οκτωβρίου 2024 για την εφαρμογή της οδηγίας NIS 2 από τα κράτη μέλη της Ευρωπαϊκής Ένωσης, όσοι οργανισμοί δραστηριοποιούνται στην Ευρώπη πρέπει να προετοιμαστούν για τις σημαντικές αλλαγές που επιφέρει σε θέματα συμμόρφωσης όσον αφορά την κυβερνοασφάλεια.

Το παρόν άρθρο στοχεύει να ρίξει φως στην οδηγία NIS 2, στην αναγκαιότητά της, στις βασικές επικαιροποιήσεις της σε σχέση με την αρχική οδηγία NIS και στους τρόπους που οι επιχειρήσεις μπορούν να προετοιμαστούν για να επιτύχουν συμμόρφωση. Για να εμβαθύνετε ακόμα περισσότερο στην Ευρωπαϊκή οδηγία, κατεβάστε το ενημερωτικό έγγραφο «Sophos NIS 2 Directive».

Τι είναι η οδηγία NIS 2;

Η οδηγία NIS 2 αποτελεί την εξέλιξη της πρώτης οδηγίας για τα Συστήματα Δικτύων και Πληροφοριών (NIS), η οποία εφαρμόστηκε για να ενισχύσει τη στάση των κρατών μελών της ΕΕ στον τομέα της κυβερνοασφάλειας. Η πρώτη οδηγία NIS που τέθηκε σε ισχύ το 2016 καθόρισε σημαντικές κατευθυντήριες γραμμές για τη βελτίωση της ανθεκτικότητας της κυβερνοασφάλειας στην επικράτεια της Ευρωπαϊκής Ένωσης. Όμως με την αυξανόμενη πολυπλοκότητα και συχνότητα των κυβερνοεπιθέσεων, ιδίως κατά τη διάρκεια και μετά την πανδημία Covid-19, έγινε κατανοητό ότι υπήρχε μία σαφής ανάγκη για αυστηρότερους και περισσότερο ολοκληρωμένους κανόνες και νόμους.

Οι απειλές στον κυβερνοχώρο έχουν αυξηθεί σε κλίμακα βιομηχανικού επιπέδου, με τις επιθέσεις ransomware να είναι οι πλέον διαδεδομένες. Τον Ιούνιο του 2024, μια ομάδα χάκερ γνωστή ως Qilin, με δεσμούς με το Κρεμλίνο, πραγματοποίησε επίθεση στη Synnovis, ένα εργαστήριο παθολογίας που χρησιμοποιείται από το Εθνικό Σύστημα Υγείας (NHS) του Ηνωμένου Βασιλείου. Οι χάκερ απαίτησαν λύτρα ύψους 40 εκατομμυρίων λιρών και επειδή ο οργανισμός υγείας του Ηνωμένου Βασίλεια αρνήθηκε να συμμορφωθεί με τις απαιτήσεις των κυβερνοεγκληματιών, οι χάκερ διέρρευσαν τα κλεμμένα δεδομένα στον σκοτεινό ιστό.

Επιπλέον, γεωπολιτικές εντάσεις όπως η Ρωσική εισβολή στην Ουκρανία υπογράμμισαν την ανάγκη για ισχυρότερα μέτρα κυβερνοασφάλειας. Η οδηγία NIS 2 αποσκοπεί στην αντιμετώπιση όλων αυτών των προκλήσεων ενισχύοντας την ασφάλεια και την ανθεκτικότητα των «απαραίτητων» και «σημαντικών» οντοτήτων σε ολόκληρη την επικράτεια της Ευρωπαϊκής Ένωσης.

Επιπτώσεις για εταιρείες εκτός Ευρωπαϊκής Ένωσης

Αν και απευθύνεται πρωτίστως σε Ευρωπαϊκές εταιρείες και στα κράτη μέλη της ΕΕ, η οδηγία επηρεάζει επίσης και εταιρείες με έδρα εκτός της ΕΕ οι οποίες όμως δραστηριοποιούνται στην Ευρωπαϊκή Ένωση ή παρέχουν υπηρεσίες σε οντότητες της Ευρωπαϊκής Ένωσης. Οι κανονισμοί σε πολλά άλλα κράτη δεν είναι επί του παρόντος τόσο εκτεταμένοι ή αυστηροί όσο η οδηγία NIS 2. Παρόλα αυτά, θα ήταν συνετό να αναμένετε περαιτέρω αλλαγές στις τοπικές νομοθεσίες καθώς εξελίσσονται τα σχέδια του Ευρωπαϊκού Κοινοβουλίου όσον αφορά τη νομοθεσία της Ευρωπαϊκής Ένωσης.

Αντιμετωπίζοντας προληπτικά τις προκλήσεις που περιγράφονται παρακάτω, οι εταιρείες εκτός Ευρωπαϊκής Ένωσης μπορούν να προστατεύσουν καλύτερα τόσο τους εαυτούς τους όσο και τους πελάτες τους από τις εξελισσόμενες απειλές στον κυβερνοχώρο, αποφεύγοντας παράλληλα τα αυστηρά πρόστιμα και τις κυρώσεις από τη μη συμμόρφωση τους.

Βασικές επικαιροποιήσεις από την NIS στην NIS 2

Η οδηγία NIS 2 εισάγει αρκετές κρίσιμης σημασίας επικαιροποιήσεις και επεκτάσεις σε σύγκριση με την πρώτη οδηγία NIS:

  1. Ευρύτερο πεδίο εφαρμογής των καλυπτόμενων οντοτήτων:
    • Απαραίτητες και σημαντικές οντότητες: Η NIS 2 κατηγοριοποιεί τις οντότητες σε «απαραίτητες» και «σημαντικές» με βάση τον τομέα και την κρισιμότητά τους. Η επέκταση αυτή περιλαμβάνει περισσότερους τομείς, όπως τις υπηρεσίες κοινής ωφέλειας (π.χ. λύματα), τις αλυσίδες εφοδιασμού υγειονομικής περίθαλψης, τις ταχυδρομικές υπηρεσίες και τις υπηρεσίες ταχυμεταφορών, την αεροδιαστημική, τη δημόσια διοίκηση και τις ψηφιακές υποδομές.
    • Εφοδιαστική αλυσίδα και πάροχοι υπηρεσιών: Οι οργανισμοί που εμπλέκονται στην αλυσίδα εφοδιασμού και όσοι παρέχουν κρίσιμες υπηρεσίες υποστήριξης καλύπτονται πλέον ρητά, τονίζοντας τη σημασία της διασφάλισης των διασυνδεδεμένων δικτύων.
  2. Ενισχυμένα πρότυπα κυβερνοασφάλειας:
    • Υποχρεωτικά μέτρα: Το άρθρο 21 της οδηγίας περιγράφει τα υποχρεωτικά μέτρα κυβερνοασφάλειας, συμπεριλαμβανομένων της βασικής κυβερνοϋγιεινής, της διαχείρισης ευπαθειών, της ασφάλειας της αλυσίδας εφοδιασμού, της κρυπτογράφησης, της διαχείρισης περιουσιακών στοιχείων, του ελέγχου πρόσβασης και της ασφάλειας μηδενικής εμπιστοσύνης.
    • Χειρισμός και αναφορά περιστατικών: Η οδηγία επιβάλλει αυστηρότερες υποχρεώσεις όσον αφορά την αναφορά συμβάντων, εξασφαλίζοντας έγκαιρη και συνεπή αντιμετώπιση των απειλών στον κυβερνοχώρο σε ολόκληρη την Ευρωπαϊκή Ένωση.
  3. Αυξημένη λογοδοσία και κυρώσεις:
    • Ευθύνη ανώτερης διοίκησης: Η ανώτερη διοίκηση μπορεί να θεωρηθεί προσωπικά υπεύθυνη για τη μη συμμόρφωση, υπογραμμίζοντας τη σημασία της συμμετοχής των στελεχών στη διακυβέρνηση της κυβερνοασφάλειας.
    • Πρόστιμα και κυρώσεις: Οι οργανισμοί μπορούν να αντιμετωπίσουν σημαντικά πρόστιμα, έως και 10 εκατ. ευρώ ή έως και το 2% του παγκόσμιου κύκλου εργασιών για τη μη συμμόρφωση με την οδηγία.

Οι ακόλουθοι 18 τομείς καλύπτονται από την οδηγία NIS 2:

Ο ακόλουθος πίνακας απεικονίζει την αύξηση των τομέων ή κλάδων που καλύπτονται από την οδηγία NIS 2 σε σύγκριση με την πρώτη οδηγία NIS:

Ο αντίκτυπος στη συμμόρφωση όσον αφορά την κυβερνοασφάλεια

Η οδηγία NIS 2 επηρεάζει σημαντικά τον τρόπο με τον οποίο οι οργανισμοί προσεγγίζουν τη συμμόρφωση στην κυβερνοασφάλεια. Οι επιχειρήσεις πρέπει να υιοθετήσουν μια προληπτική στάση, ενσωματώνοντας ολοκληρωμένες διαδικασίες διαχείρισης κινδύνων και διασφαλίζοντας την τήρηση των αυστηρών προτύπων που ορίζονται στην οδηγία. Η έμφαση στα υποχρεωτικά μέτρα και το ενδεχόμενο αυστηρών κυρώσεων καθιστούν αναγκαία την ενδελεχή επανεξέταση και ενίσχυση των υφιστάμενων πρακτικών κυβερνοασφάλειας.

Οι οργανισμοί θα πρέπει να διαθέσουν επαρκείς πόρους για να ανταποκριθούν στις απαιτήσεις αυτές. Σύμφωνα με εκτιμήσεις, οι επιχειρήσεις που καλύπτονται ήδη από την αρχική οδηγία NIS ενδέχεται να χρειαστεί να αυξήσουν τους προϋπολογισμούς τους για την ασφάλεια στον κυβερνοχώρο έως και 12%, ενώ όσες καλύπτονται εκ νέου θα μπορούσαν να δουν αυξήσεις του προϋπολογισμού έως και 22%, σύμφωνα με τον John Noble, πρώην διευθυντή του Εθνικού Κέντρου Κυβερνοασφάλειας, που μίλησε στο Sophos Spotlight: NIS2 Directive and Understanding Cybersecurity Compliance.

Προετοιμασία για τη συμμόρφωση με την οδηγία NIS 2

Για να διασφαλιστεί η συμμόρφωση με την οδηγία NIS 2, οι οργανισμοί πρέπει να λάβουν τα ακόλουθα μέτρα:

  1. Αξιολόγηση της δυνατότητας εφαρμογής:
    • Το πρώτο πράγμα που πρέπει να κάνετε είναι να ξεκαθαρίσετε και να καθορίσετε αν ο οργανισμός ή η εταιρεία σας εμπίπτει στις κατηγορίες των «απαραίτητων» ή των «σημαντικών» οντοτήτων. Και αυτό περιλαμβάνει τον προσδιορισμό του κλάδου που ανήκετε, την κρισιμότητα των υπηρεσιών που παρέχετε και το επιχειρησιακό αποτύπωμα σας εντός της Ευρωπαϊκής Ένωσης.
  2. Κατανοήστε τη δικαιοδοσία:
    • Προσδιορίστε ποια κράτη μέλη της Ευρωπαϊκής Ένωσης έχουν δικαιοδοσία επί των δραστηριοτήτων σας για τους σκοπούς της NIS. Αυτό είναι ζωτικής σημασίας για την κατανόηση των όποιων ειδικών απαιτήσεων σε κρατικό επίπεδο και των υποχρεώσεων υποβολής αναφορών.
  3. Εφαρμόστε μία στρατηγική διαχείρισης κινδύνων κυβερνοασφάλειας:
    • Πραγματοποιήστε μια ολοκληρωμένη ανάλυση κινδύνου για τον εντοπισμό πιθανών απειλών και τρωτών σημείων της κυβερνοασφάλειας του οργανισμού σας.
    • Εφαρμόστε τα υποχρεωτικά μέτρα που περιγράφονται στο άρθρο 21, αντιστοιχίζοντάς τα με ένα κατάλληλο πλαίσιο ασφάλειας, όπως το ISO 27001 ή το NIST Cybersecurity FrameworkFramework.
  4. Θωράκιση της ασφάλειας της αλυσίδας εφοδιασμού:
    • Επικεντρωθείτε στον μετριασμό των κινδύνων εντός της αλυσίδας εφοδιασμού σας, ιδίως όσον αφορά τους παρόχους λογισμικού και υπηρεσιών. Αυτό περιλαμβάνει τη διασφάλιση της συμμόρφωσης των τρίτων προμηθευτών σας με τα πρότυπα που ορίζει η οδηγία NIS 2.
  5. Αναπτύξτε ένα σχέδιο αντιμετώπισης περιστατικών:
    • Καταστρώστε και θέστε σε εφαρμογή ένα σχέδιο αντιμετώπισης περιστατικών που περιλαμβάνει σαφή πρωτόκολλα για την αναφορά περιστατικών στις αρμόδιες κρατικές αρχές. Βεβαιωθείτε ότι όλα τα σημαντικά περιστατικά αναφέρονται εντός του 24ωρου χρονικού πλαισίου που καθορίζεται από την οδηγία.
  6. Εμπλοκή της ανώτερης διοίκησης:
    • Εξασφαλίστε επίσημα την συμμετοχή και εμπλοκή της ανώτερης διοίκησης για τη στρατηγική συμμόρφωσης. Η συμμετοχή της ανώτερης διοίκησης είναι κρίσιμης σημασίας ως επίδειξη της δέσμευσης σας στην κυβερνοασφάλεια και της διάθεσης των απαραίτητων πόρων.

Η οδηγία NIS2 αποτελεί ένα σημαντικό βήμα προς τα εμπρός για την ενίσχυση της ανθεκτικότητας των οργανισμών στον κυβερνοχώρο σε όλη την Ευρώπη. Με την κατανόηση των βασικών ενημερώσεων και των επικαιροποιημένων άρθρων της καθώς και την λήψη προληπτικών μέτρων για τη διασφάλιση της συμμόρφωσης, οι επιχειρήσεις μπορούν να προστατευθούν καλύτερα από την αυξανόμενη απειλή των κυβερνοεπιθέσεων.

Καθώς η προθεσμία του Οκτωβρίου πλησιάζει, είναι επιτακτική ανάγκη για την ανώτερη διοίκηση και τους επαγγελματίες της ασφάλειας IT να δώσουν προτεραιότητα στη συμμόρφωση με την οδηγία NIS 2, αξιοποιώντας πόρους όπως το ενημερωτικό έγγραφο της Sophos για να καθοδηγήσουν τις προσπάθειές τους.

Πηγή: NSS –  Sophos