וואָס גייט שלעכט מיט nis 2 קאָנפאָרמאַנס, און ווי אַזוי עס צו פאַרריכטן באַנער

וואָס גייט שלעכט מיט NIS 2 קאָנפאָרמאַנס, און ווי אַזוי עס צו פאַרריכטן

א "איין מאל און געטאן" מיינדסעט איז נישט די ריכטיגע פּאַסיק פֿאַר רעגולאַטאָרישע קאָנפאָרמאַטי—גאָר פאַרקערט. רובֿ גלאָבאַלע רעגולאַציעס דאַרפן קעסיידערדיקע פֿאַרבעסערונג, מאָניטאָרינג, און רעגולערע אָדיטס און אַסעסמאַנץ. די אי.יו.'ס NIS 2 דירעקטיווע איז נישט אַנדערש.

דעריבער וועלן פילע CISOs און קאָמפלייאַנס פירער געפֿינען דעם לעצטן באַריכט פֿון דער אי.יו. זיכערהייט אַגענטור (ENISA) אינטערעסאַנט צו לייענען. ENISA NIS360 2024 באַשרייבט זעקס סעקטאָרן וואָס האָבן שוועריקייטן מיט קאָנפאָרמאַנס און ווײַזט אָן פאַרוואָס, בשעת עס אונטערשטרייכט ווי מער דערוואַקסענע אָרגאַניזאַציעס פירן דעם וועג. די גוטע נייעס איז אַז אָרגאַניזאַציעס וואָס זענען שוין סערטיפיצירט צו ISO 27001 וועלן געפֿינען אַז עס איז גאַנץ פּשוט צו פֿאַרמאַכן די גאַפּס צו NIS 2 קאָנפאָרמאַנס.

וואָס איז נײַ אין NIS 2

NIS 2 איז די אי־יו'ס פּרוּוו צו דערהייַנטיקן איר הויפּט געזעץ וועגן דיגיטאַלער ווידערשטאַנד פֿאַר דער מאָדערנער תקופה. איר... פאָקוס אויף מי איז:

  • אויסברייטערן די צאָל סעקטאָרן באדעקט דורך דער דירעקטיווע
  • איינפירן מער קאנקרעטע גרונטלעכע סייבערזיכערהייט רעקווייערמענץ
  • רעדוצירן אומקאנסיסטענץ אין לעוועלס פון ווידערשטאנד צווישן פארשידענע סעקטארן
  • פֿאַרבעסערן אינפֿאָרמאַציע ייַנטיילונג, אינצידענט רעספּאָנס און סאַפּליי קייט ריזיקירן פאַרוואַלטונג
  • האַלטן די עלטערע פאַרוואַלטונג פאַראַנטוואָרטלעך פֿאַר יעדע ערנסטע חסרונות

בריטישע אָרגאַניזאַציעס וועלן באַקומען זייער אייגענע דערהייַנטיקטע ווערסיע פון ​​דער אָריגינעלער נעץ און אינפֿאָרמאַציע סיסטעמען (NIS) דירעקטיווע ווען די סייבער זיכערהייט און ריזיליאַנס ביל ענדלעך מאכט עס זיין וועג אין געזעץ. אבער, פילע צושטעלן סערוויסעס צו אייראפעאישע בירגער און/אדער אפערירן אויפן קאנטינענט, וואס מיינט אז זיי פאלן אונטערן בארעכטיגונגס-ראט פון NIS 2. פאר די ארגאניזאציעס קען NIS360 זיין א נוצלעכע לייענונג.

וועלכע סעקטאָרן האָבן שוועריקייטן?

פֿון די 22 סעקטאָרן און סוב-סעקטאָרן וואָס ווערן שטודירט אין דעם באַריכט, ווערן זעקס געזאָגט צו זײַן אין דער "ריזיקע זאָנע" פֿאַר קאָנפאָרמאַנס – דאָס הייסט, די צייַטיקייט פֿון זייער ריזיקע האַלט נישט מיט מיט זייער קריטישקייט. זיי זענען:

אינפֿאָרמאַציע טעכנאָלאָגיע סערוויס פאַרוואַלטונג: כאָטש עס שטיצט אָרגאַניזאַציעס אויף אַ ענלעכן וועג ווי אַנדערע דיגיטאַלע אינפראַסטרוקטור, איז די סעקטאָרס צייַטיקייט נידעריקער. ENISA ווייזט אויף זיין "מאַנגל אין סטאַנדאַרדיזירטע פּראָצעסן, קאָנסיסטענסי און רעסורסן" צו בלייבן אויף שפּיץ פון די שטענדיק מער קאָמפּליצירטע דיגיטאַלע אָפּעראַציעס וואָס עס מוז שטיצן. שלעכטע מיטאַרבעט צווישן גרענעץ-איבערשרייטנדיקע שפּילער פאַרערגערט דאָס פּראָבלעם, ווי אויך די "אומבאַקאַנטקייט" פון קאָמפּעטענטע אויטאָריטעטן (CAs) מיטן סעקטאָר.

ENISA דרינגט צו נענטערע קאָאָפּעראַציע צווישן CAs און האַרמאָניזירטע גרענעץ-איבערשרייטנדיקע השגחה, צווישן אַנדערע זאַכן.

אָרט: דער סעקטאָר ווערט אַלץ מער קריטיש אין דער ערמעגלעכונג ​​פון אַ קייט פון סערוויסעס, אַרייַנגערעכנט טעלעפאָן און אינטערנעט אַקסעס, סאַטעליט טעלעוויזיע און ראַדיאָ בראָדקאַסץ, לאַנד און וואַסער רעסורסן מאָניטאָרינג, פּרעציזיע פאַרמינג, ווייַט סענסינג, פאַרוואַלטונג פון ווייַט ינפראַסטראַקטשער, און לאָגיסטיק פּעקל טראַקינג. אָבער, ווי אַ נייַ רעגולירט סעקטאָר, דער באַריכט באמערקט אַז עס איז נאָך אין די פרי סטאַגעס פון אַליינינג מיט NIS 2 ס רעקווירעמענץ. אַ שטאַרקע אָפּהענגיקייט אויף קאמערציעלע אָף-די-שעלוו (COTS) פּראָדוקטן, לימיטעד ינוועסטינג אין סייבערזיכערהייט און אַ לעפיערעך אומרייפע אינפֿאָרמאַציע-ייַנטיילונג שטעלונג לייגן צו צו די טשאַלאַנדזשיז.

ENISA דרינגט אויף א גרעסערן פאָקוס אויף העכערן זיכערהייט וויסיקייַט, פֿאַרבעסערן גיידליינז פֿאַר טעסטינג פון COTS קאָמפּאָנענטן איידער דיפּלוימאַנט, און העכערן קאָלאַבאָראַציע אין דעם סעקטאָר און מיט אַנדערע ווערטיקאַלז ווי טעלעקאָמוניקאַציע.

עפנטלעכע אדמיניסטראציעס: דאָס איז איינער פֿון די מינדסט דערוואַקסענע סעקטאָרן טראָץ זײַן וויכטיקער ראָלע אין צושטעלן עפֿנטלעכע באַדינונגען. לויט ENISA, איז נישטאָ קיין עכטע פֿאַרשטענדעניש פֿון די סייבער ריזיקעס און סכּנות מיט וועלכע עס שטייט, צי אפילו וואָס איז אין די ראַמען פֿון NIS 2. אָבער, עס בלייבט אַ הויפּט ציל פֿאַר העקטיוויסטן און שטאַט-געשטיצטע סכּנה אַקטיאָרן.

ENISA רעקאָמענדירט אַ מאָדעל פֿאַר געטיילטע סערוויסעס מיט אַנדערע עפֿנטלעכע ענטיטעטן צו אָפּטימיזירן רעסורסן און פֿאַרבעסערן זיכערהייט מעגלעכקייטן. עס אויך מוטיקט עפֿנטלעכע אַדמיניסטראַציעס צו מאָדערניזירן אַלטע סיסטעמען, ינוועסטירן אין טרענירונג און נוצן דעם אי.יו. סייבער סאָלידאַריטעט געזעץ צו באַקומען פֿינאַנציעלע שטיצע פֿאַר פֿאַרבעסערן דעטעקציע, רעאַקציע און פֿאַרריכטונג.

מאַריטימע: עסענציעל פאר דער עקאנאמיע (עס פארוואלטעט 68% פון פראכט) און שטארק אפהענגיק אויף טעכנאלאגיע, ווערט דער סעקטאר שוועריג געמאכט דורך פארעלטערטע טעכנאלאגיע, ספעציעל OT.

ENISA באַהויפטעט אַז זי קען נוץ האָבן פון פּאַסיקע אנווייזונגען פֿאַר ימפּלעמענטירן שטאַרקע סייבערזיכערהייט ריזיקאָ פאַרוואַלטונג קאָנטראָלן – מיט פּרייאָריטעט פון זיכער-דורך-דיזיין פּרינציפּן און פּראָאַקטיוו וואַלנעראַביליטי פאַרוואַלטונג אין מאַריטימע OT. זי רופט צו אַן אי.יו.-לעוועל סייבערזיכערהייט געניטונג צו פֿאַרבעסערן מולטי-מאָדאַל קריזיס רעספּאָנס.

געזונט: דער סעקטאָר איז וויכטיק, און מאַכט אויס 7% פֿון געשעפֿטן און 8% פֿון באַשעפֿטיקונג אין דער אי־יו. די סענסיטיוויטעט פֿון פּאַציענט דאַטן און די פּאָטענציעל טויטלעכע ווירקונג פֿון סייבער־געפֿאַרן מיינען אַז אינצידענט־רעאַקציע איז קריטיש. אָבער, די פֿאַרשיידענע סאָרטן אָרגאַניזאַציעס, דעוויסעס און טעכנאָלאָגיעס אין דעם סעקטאָר, רעסורסן־גאַפּס און אַלטמאָדישע פּראַקטיקעס מיינען אַז פֿילע פּראַוויידערז האָבן שוועריקייטן צו גיין ווײַטער פֿון גרונטלעכע זיכערהייט. קאָמפּליצירטע צושטעל־קייטן און אַלטמאָדישע IT/OT פֿאַרערגערן דאָס פּראָבלעם.

ENISA וויל זען מער גיידליינז וועגן זיכערע פּראָקורמענט און בעסטע פּראַקטיק זיכערהייט, שטעקן טריינינג און וויסיקייַט פּראָגראַמען, און מער באַטייליקונג מיט קאָלאַבאָראַציע פריימווערקס צו בויען סאַקאָנע דעטעקשאַן און ענטפער.

גאַז: דער סעקטאָר איז אויסגעשטעלט צו אַטאַקעס דאַנק זיין אָפּהענגיקייט אויף IT סיסטעמען פֿאַר קאָנטראָל און פֿאַרבינדונג מיט אַנדערע אינדוסטריעס ווי עלעקטריע און מאַנופאַקטורינג. ENISA זאָגט אַז אינצידענט צוגרייטונג און רעאַקציע זענען באַזונדערס שוואַך, ספּעציעל קאַמפּערד צו עלעקטריע סעקטאָר קאָלעגן.

דער סעקטאָר זאָל אַנטוויקלען שטאַרקע, רעגולער טעסטירטע אינצידענט רעאַקציע פּלענער און פֿאַרבעסערן מיטאַרבעט מיט עלעקטריע און מאַנופאַקטורינג סעקטאָרן אויף קאָאָרדינירטער סייבער פאַרטיידיקונג, געטיילטע בעסטע פּראַקטיקעס און געמיינזאַמע געניטונגען.

וואָס טוען די פירער ריכטיק?

לויט ENISA, די סעקטאָרן מיט די העכסטע מאַטוריטי לעוועלס זענען באַמערקעוודיק פֿאַר עטלעכע סיבות:

  • מער באַדײַטנדיקע סייבערזיכערהייט גיידאַנס, מעגלעך אַרײַנגערעכנט סעקטאָר-ספּעציפֿישע געזעצגעבונג אָדער סטאַנדאַרדן
  • שטאַרקערע אויפזיכט און שטיצע פון ​​אי.יו. אויטאריטעטן באַקאַנט מיטן סעקטאָר און זיינע שוועריקייטן
  • טיפערע פארשטאנד פון ריזיקע און מער עפעקטיווע ריזיקע פאַרוואַלטונג
  • שטאַרקערע מיטאַרבעט און אינפֿאָרמאַציע־טיילונג צווישן ענטיטעטן און אויטאָריטעטן אויף אַ נאַציאָנאַלן און אי.יו.־לעוועל
  • מער דערוואקסענע אפעראציאנעלע צוגרייטונג דורך גוט-געטעסטע פלענער

ווי אזוי צו מצליח זיין מיט NIS 2 קאמפלייענס

מען זאָל געדענקען אַז קיין צוויי אָרגאַניזאַציעס אין אַ ספּעציפֿישן סעקטאָר זענען נישט די זעלבע. אָבער, די רעזולטאַטן פֿון באַריכט זענען לערנפֿול. און כאָטש אַ טייל פֿון דער לאַסט פֿאַר פֿאַרבעסערן קאָנפֿאָרמאַנס פֿאַלט אויף די פּלייצעס פֿון CAs – צו פֿאַרבעסערן השגחה, גיידאַנס און שטיצע – איז אַ גרויסער טייל דערפֿון וועגן נעמען אַ ריזיקאָ-באַזירטן צוגאַנג צו סייבער. דאָס איז וווּ סטאַנדאַרדן ווי ISO 27001 קומען צו זייער אייגענעם, צולייגנדיק דעטאַלן וואָס NIS 2 קען פֿעלן, לויט דזשיימי בוטע, אַסאָציאַציע הויפּט ווייכווארג זיכערהייט קאָנסולטאַנט ביי שוואַרץ קאַטשקע:

"NIS 2 איז געשריבן געוואָרן אויף אַ הויכן ניוואָ ווײַל עס האָט געדאַרפט זיך אָנווענדן צו אַ ברייטע קייט פון קאָמפּאַניעס און אינדוסטריעס, און דעריבער האָט עס נישט געקענט אַרייננעמען פּאַסיקע, פאָרשריפטלעכע אנווייזונגען ווייטער ווי נאָר אינפאָרמירן קאָמפּאַניעס וועגן וואָס זיי האָבן געדאַרפט נאָכפֿאָלגן," דערקלערט ער צו ISMS.online.

"כאָטש NIS 2 זאָגט פֿירמעס אַז זיי מוזן האָבן 'אינצידענט האַנדלינג' אָדער 'גרונטלעכע סייבער-היגיענע פּראַקטיקעס און סייבער-זיכערהייט טריינינג', זאָגט עס זיי נישט ווי צו בויען די פּראָגראַמען, שרײַבן די פּאָליטיק, טרענירן פּערסאָנעל, און צושטעלן גענוג מכשירים. אַרײַנברענגען ראַמען וואָס גייען אין דעטאַל וועגן ווי צו טאָן אינצידענט האַנדלינג, אָדער סאַפּליי טשיין זיכערהייט איז וויטאַל נוציק ווען מען אַנאַליזירט די פּאָליטיק סטייטמאַנץ אין אַלע עלעמענטן וואָס מאַכן אויס די מענטשן, פּראָצעסן און טעכנאָלאָגיע פון ​​אַ סייבער-זיכערהייט פּראָגראַם."

קריס הענדערסאָן, עלטערער דירעקטאָר פון סאַקאָנע אָפּעראַציעס ביי האַנטרעס, איז מסכים אַז עס איז אַ באַדייטנדיקע איבערלאַפּונג צווישן NIS 2 און ISO 27001.

"ISO27001 דעקט אסאך פון די זעלבע גאַווערנאַנס, ריזיקאָ פאַרוואַלטונג און רעפּאָרטינג פליכטן וואָס זענען פארלאנגט אונטער NIS 2. אויב אַן אָרגאַניזאַציע האט שוין באַקומען זייער ISO 27001 סטאַנדאַרט, זענען זיי גוט פּאַזיציאָנירט צו דעקן די NIS2 קאָנטראָלן אויך," זאָגט ער צו ISMS.online. "איין געביט וואָס זיי וועלן דאַרפֿן צו פֿאַרבעסערן איז קריזיס פאַרוואַלטונג, ווייל עס איז נישטאָ קיין עקוויוואַלענט ISO 27001 קאָנטראָל. די רעפּאָרטינג פליכטן פֿאַר NIS 2 האָבן אויך ספּעציפֿישע רעקווירעמענץ וואָס וועלן נישט גלייך מקוים ווערן דורך די ימפּלאַמענטיישאַן פון ISO 27001."

ער דרינגט אן ארגאניזאציעס צו אָנהייבן מיט אויספּרובירן די פארלאנגטע פּאָליטיק עלעמענטן פון NIS 2 און זיי צו צופּאַסן צו די קאָנטראָלן פון זייער אויסגעקליבענעם פריימווערק/סטאַנדאַרט (למשל ISO 27001).

"עס איז אויך וויכטיג צו פֿאַרשטיין לעכער אין אַ פריימווערק אַליין ווײַל נישט יעדער פריימווערק קען צושטעלן פֿולע קאַווערידזש פֿון אַ רעגולאַציע, און אויב עס זענען נאָך פֿאַרבליבן נאָך נישט-געמאַפּטע רעגולאַטאָרישע סטעיטמענטס, קען מען דאַרפֿן צולייגן אַן נאָך פריימווערק," לייגט ער צו.

דאָס געזאָגט, קאָנפאָרמאַטי קען זיין אַ גרויסע אונטערנעמונג.

"קאָמפּליאַנס פריימווערקס ווי NIS 2 און ISO 27001 זענען גרויס און דאַרפן אַ באַטייטיקע מאָס אַרבעט צו דערגרייכן," זאָגט הענדערסאָן. "אויב איר בויט אַ זיכערהייט פּראָגראַם פֿון גרונט אַרויף, איז עס גרינג צו באַקומען אַנאַליז פּאַראַליז ווען איר פּרוּווט צו פֿאַרשטיין פֿון וואַנען אָנצוהייבן."

דאָ איז וואו דריט-פּאַרטיי לייזונגען, וואָס האָבן שוין געטאָן די מאַפּינג אַרבעט צו פּראָדוצירן אַ NIS 2-גרייט קאמפלייענס גייד, קענען העלפן.

מאָרטן מעלס, סעאָ פון גרין ראַווען לימיטעד, שאַצט אַז ISO 27001 קאָנפאָרמאַטי וועט ברענגען אָרגאַניזאַציעס בערך 75% פון וועג צו אַליינמאַנט מיט NIS 2 רעקווייערמענץ.

"קאָמפּליאַנס איז אַן אָנגייענדיקע שלאַכט מיט אַ ריז (דעם רעגולאַטאָר) וואָס ווערט קיינמאָל נישט מיד, גיט קיינמאָל נישט אויף און גיט קיינמאָל נישט נאָך," זאָגט ער צו ISMS.online. "דאָס איז פאַרוואָס גרעסערע קאָמפּאַניעס האָבן גאַנצע אָפּטיילונגען וואָס זענען געווידמעט צו זיכער מאַכן אַז קאָמפּליאַנס איז גוט פֿאַר אַלעמען. אויב אייער קאָמפּאַניע איז נישט אין יענער פּאָזיציע, איז עס ווערט צו באַראַטן זיך מיט איינעם."

קוקט אריין אין דעם וועבינאר צו לערנען מער וועגן ווי ISO 27001 קען פּראַקטיש העלפֿן מיט NIS 2 קאָנפאָרמאַטי.

מחבר

פיל מונקאַסטער

Phil Muncaster איז געווען אַן IT זשורנאַליסט פֿאַר 20 יאָר. ער סטאַרטעד ווי אַ רעפּאָרטער אויף ענטערפּרייז IT טיטל IT וואָך אין 2005 און פּראַגרעסט צו די ראָלע פון ​​נייַעס עדיטאָר איידער ער געלאזן צו נאָכגיין אַ פרילאַנס קאַריערע. זינט דעמאָלט, Phil האט געשריבן פֿאַר טיטלען אַרייַנגערעכנט די רעדזשיסטער, ווו ער געארבעט ווי אזיע קארעספאנדענט בשעת באזירט אין האָנג קאָנג פֿאַר איבער צוויי יאָר, MIT טעכנאָלאָגיע איבערבליק, SC מאַגאַזין, ינפאָסעקוריטי מאַגאַזין און אנדערע.

זען אַלע אַרטיקלען דורך Phil Muncaster

Related Posts