با اجرایی شدن NIS2 به زودی، فردریک لیندبرگ به نکات کلیدی دستورالعمل جدید، رابطه بین فرآیند و امنیت عملیاتی و اقداماتی که اکنون باید انجام دهید نگاه می کند.
NIS2 یا رسمی تر بخشنامه […] در مورد اقدامات برای سطح بالای مشترک امنیت سایبری در سراسر اتحادیه […]، یک دستورالعمل اخیر در سطح بالا در مورد امنیت اطلاعات یا سایبری در اتحادیه اروپا است. در هسته آن، یک است بخشنامهبه این معنی که در کشورهای عضو و نه در سطح اتحادیه اروپا اعمال می شود مقررات مانند GDPR). این بخشنامه اشاره دارد معیارهای، اینها فرآیندها و کارهایی هستند که باید انجام شوند دفاع سایبریمجموعه ای از فعالیت های ضروری برای حفاظت از سیستم های شبکه و اطلاعات و کاربران آنهاست.
NIS2 همچنین نسخه به روز شده دستورالعمل NIS(1) فعلی است که اهداف و مقررات مشابهی در ذهن دارد. در عمل، بزرگترین تفاوت بین NIS1 و NIS2 در انتخاب بازیگران تحت پوشش مقررات است، نه خود اقدامات.
در حالی که NIS1 تمرکز واضحی بر بازیگران دارای ماهیت زیرساختی مانند انرژی، مراقبت های بهداشتی، حمل و نقل و خدمات مالی داشت. NIS2 دامنه بسیار گسترده تری دارد و همه شرکت کنندگان در NIS1 را شامل می شود و خدمات پستی، فضا، تحقیقات، تولید، غذا، مدیریت زباله و غیره را اضافه می کند. شما باید با اجرای ملی NIS2 خود مشورت کنید تا متوجه شوید که آیا سازمان شما تحت اقدامات NIS2 قرار می گیرد و احتمالاً جایی که شما تاسیس شده اید و بنابراین تحت نظارت دولت هستید. به عنوان یک قاعده کلی، NIS2 محل استقرار شما را به ترتیب زیر در نظر می گیرد: 1) مکانی که در آن تصمیمات مربوط به امنیت اطلاعات را می گیرید، 2) مکانی که در آن عملیات مرتبط با امنیت اطلاعات دارید، 3) مکانی که بیشترین کارمندان را در آن داشته باشید. در اتحادیه [1]. در زمینه طبقه بندی، اشیاء زیرساخت مانند اشیا هستند موضوعات ضروریو موضوعات دیگر هستند موضوعات مهم، با جریمه های مختلف و نظارت دولتی برای هر کدام. در بخش بعدی با جزئیات بیشتری به این موضوع خواهیم پرداخت.
جدول زمانی کلی برای NIS2 در پایان سال 2022 تنظیم شد که این دستورالعمل توسط پارلمان اروپا تصویب شد. اجرای کشورهای عضو از نظر فنی قرار است تا اکتبر 2024 به قوانین ملی وارد شود، اما به احتمال زیاد اکثر کشورهای عضو کمی تأخیر خواهند داشت. به عنوان مثال، قانون NIS2 سوئد تا 28 مه 2024 تحت مشاوره عمومی است و انتظار می رود تا اول ژانویه 2025 لازم الاجرا شود.
شرایط کنونی فضای مجازی و امنیت
در زمینه گسترده تر اتحادیه اروپا، چارچوب های دیگری نیز وجود دارد که به امنیت (سایبری) نیز می پردازد، به ویژه قانون مقاومت سایبری (CRA) و دستورالعمل مسئولیت محصول (PLD). هنگامی که CRA تقریباً به یک نسخه دیجیتالی علامت CE اشاره می کند، این مهر تأیید محصول مطابقت محصول است. PLD به مسئولیت جدی برای همه محصولات، احتمالاً از جمله محصولات دیجیتال و نرم افزار در این پروژه اشاره دارد. لازم به ذکر است که PLD در حال حاضر فقط به صورت پیش نویس وجود دارد و باید در نتیجه گیری گسترده بر اساس پیش نویس بسیار دقت کرد.
در مورد اقدامات در NIS2، به نظر می رسد که آنها از چارچوب هایی مانند ISO 27001 و سیستم و کنترل سازمانی (SOC) 2 ممیزی، با تمرکز واضح بر فرآیندهای سیستماتیک امنیت اطلاعات، مدیریت ریسک متناسب و مدیریت حوادث و گزارش انتخاب شده اند. شرکتکنندگانی که قبلاً تحت پوشش NIS1 یا چارچوبهای نظارتی مشابه، مانند اجرای ملی کد ارتباطات الکترونیکی اروپا قرار گرفتهاند، احتمالاً از قبل تقریباً با NIS2 مطابقت دارند. همانطور که قبلا ذکر شد، افزایش دامنه بازیگران تحت پوشش NIS2 در مقایسه با NIS1 یکی از تفاوت های اصلی است. تفاوت عمده دیگر دستورالعمل های NIS2 است که برای هماهنگی بیشتر دستورالعمل در سراسر اتحادیه طراحی شده است. این به این دلیل بود که اجرای NIS1 بین کشورهای عضو، بهویژه در رابطه با مؤسسات بهداشتی (بیمارستانها، مراکز بهداشتی محلی و غیره) تفاوت چشمگیری داشت.
این اقدامات در سطح بالایی هستند، یعنی. بر سیستم مدیریت امنیت اطلاعات (اغلب به اختصار ISMS) به جای قابلیتهای امنیتی سایبری عملیاتی بازیگران تحت پوشش تأثیر میگذارد. جریمه ها احتمالاً به دلیل عدم گزارش حوادث یا سیستماتیک یا تناسب ناکافی در انتخاب اقدامات مدیریت ریسک به جای حوادث واقعی اعمال می شوند. برای ضروری است حداکثر جریمه برای نهادها 10،000،000 یورو یا 2 درصد از گردش مالی جهانی است، هر کدام که بیشتر باشد، بنابراین جریمه ها به طور بالقوه بسیار قابل توجه هستند. ارقام 7,000,000 یورو و 1.4 درصد برای مهم تشکیلات
با توجه به نظارت دولتی، مقام صالح میتواند نظارت مبتنی بر رویداد (یعنی پس از آن) را برای هر دو انجام دهد. ضروری است و مهم افراد، اما فقط می توانند نظارت برنامه ریزی شده را قبل از هر نشانه ای انجام دهند (یعنی از قبل). موضوعات ضروری.
Netnod، NIS1 و NIS2
Netnod از زمانی که برای اولین بار در آگوست 2018 در رابطه با برخی از خدمات DNS ما به اجرا درآمد، تحت پوشش NIS1 قرار گرفته است. NIS2 گسترده تر است و همچنین شامل چندین سرویس مرتبط با IX و حمل و نقل ما می شود. Netnod از ابتدا مطابق با NIS2 خواهد بود.
ما لابیگران فعالی در سطح اتحادیه اروپا بودهایم که سرورهای نام ریشه DNS را در NIS2 درج نکردهایم، جایی که موفق بودهایم. مشکل با گنجاندن اولیه سرورهای نام اصلی در دستورالعمل این بود که اتحادیه اروپا نظارت نظارتی مستقیم برون مرزی بر خدماتی که در حال حاضر به صورت رایگان در مقیاس جهانی به نفع همه کاربران اینترنت ارائه می شود، خواهد داشت.
ما همچنین فرض کردیم که رویکرد فعلی ممکن است برای یافتن خدمات و مؤلفههای مهمی که همه به آن وابسته هستند، بهینه نباشد. ما استدلال می کنیم که به احتمال زیاد اجزای خدماتی وجود دارند که مهمتر از خود خدمات تحت پوشش NIS2 هستند. این به وضوح در شکل زیر نشان داده شده است.
به عبارت دیگر، احتمالاً مؤلفه هایی وجود دارند که از هر سرویس اصلی به تنهایی مهمتر هستند. برای مثال xz-backdoor اخیر را در نظر بگیرید [2] جایی که یک درب پشتی پیچیده، احتمالاً توسط دولت، به یک کتابخانه پرکاربرد در توزیعهای رایج لینوکس اضافه شد. این درب پشتی میتواند به تنهایی برای از بین بردن زیرساختهای سرور بزرگ در صورت انتشار کامل استفاده شود. تصور کنید کتابخانههای گستردهتر به روشی مشابه با موفقیت پشت سر گذاشته شوند؟
فرآیندها، امنیت عملیاتی و پارادوکس کاربرد
همانطور که در بالا ذکر شد، NIS2 به جای خود امنیت عملیاتی، بر مفاد فرآیندهای مرتبط با امنیت تمرکز دارد. این عارضه جانبی جالبی دارد که میتوان بدون داشتن سطح بالایی از امنیت سایبری عملیاتی، مطابق با NIS2 بود. برعکس، ممکن است نه سازگاری با NIS2 در عین داشتن سطح عملیاتی بالایی از امنیت سایبری.
اکنون این نباید مشکلی ایجاد کند، اما اینکه NIS2 به طور گسترده به عنوان امنیت سایبری و به طور خاص به عنوان بهبود سطح امنیت سایبری بدون درک این موضوع که امنیت سایبری عملیاتی (عمدتاً) خارج از محدوده NIS2 است، تفسیر میشود، مشکلساز است.
پس زمینه ای برای مشاهده NIS2 چیست؟ مانند تقریبا تمام قوانین، NIS2 تشخیص می دهد که نیاز ذاتی به نظم وجود دارد. به طور خاص، NIS2 بر این فرض استوار است که یک سیستم را نمی توان بدون اینکه کسی ادعا کند که سیستم امن است، ایمن می شود. در واقع، هم نظم در سطح بالا و هم کارایی عملیاتی مورد نیاز است. در حالی که دستورالعمل NIS2 به خودی خود اشتباه نیست، شایان ذکر است که به اندازه کافی بر روی اثرات عملیاتی متمرکز نشده است تا به درستی به سطح بالایی از امنیت سایبری عملیاتی پرداخته و به آن هدایت شود.
نظر من این است که نوعی مسئولیت تبعی در قبال حوادث و خسارات برای ایجاد انگیزه در سطح بالایی از امنیت سایبری عملیاتی مورد نیاز است. اگر سازمان ها در قبال آسیب های ناشی از امنیت سایبری ضعیف عملیاتی پاسخگو باشند، به نظر می رسد که امنیت سایبری عملیاتی بهبود خواهد یافت. در حال حاضر، سازمانی با منابع محدود احتمالاً به جای تمرکز بر قابلیت های عملیاتی، بر جنبه های کوتاه مدت NIS2 مانند تخصیص مجدد منابع برای پیشبرد مقررات حاکمیت امنیت اطلاعات تمرکز می کند.
NIS2 – اکنون چه کاری باید انجام دهید؟
حال من، و اکنون است، چون منظره به سرعت تغییر می کند، بهترین توصیه این است که یک قدم به عقب بردارید و فکر کنید. بیشتر اجراها در کشورهای عضو هنوز در مرحله پیش نویس هستند. اگر تخصص داخلی دارید حتما در صورت امکان در مورد پیش نویس نظر بدهید. هنگامی که زمان اطمینان از انطباق با NIS2 فرا می رسد، به یاد داشته باشید که امروزه امنیت سایبری تقریباً بخشی از همه چیز است. شما نمی توانید امنیت سایبری را به عنوان یک عمود جداگانه در سازمان خود مدیریت کنید.
همچنین، دریابید که چگونه باید حوادث را گزارش دهید. یعنی مطمئن شوید که فرآیند عملی ارسال گزارش حادثه را درک کرده اید. آیا به کلید PGP خاصی نیاز دارید؟ آیا نیاز به تهیه نوع خاصی از سند دارید؟ آیا دستورالعمل ارسال گزارش حادثه را به صورت آفلاین در دسترس دارید؟ آیا می توانید از طریق تلفن ثابت گزارش دهید؟ آیا می دانید از کدام صفحه وب یا آدرس ایمیل برای گزارش استفاده کنید؟
در نهایت، تخصیص منابع به امنیت سایبری عملیاتی را نیز فراموش نکنید. یک پیاده سازی NIS2 که به خوبی طراحی شده باشد احتمالاً به اقدامات بهبودی منجر می شود و شما نه تنها باید این اقدامات را طراحی کنید، بلکه باید آنها را نیز پیاده سازی و اجرا کنید.
با توجه به پیشرفت های عملیاتی، پیشنهاد می کنم به وابستگی های واقعی خود نگاه کنید. تو چی هستی بستگی دارد برای حفظ سطح خدمات یا عملکرد خود؟ کدام وابستگی ها را می توان در شرایط اضطراری جایگزین کرد و کدام را نمی توان؟
برای کسب اطلاعات بیشتر در مورد NIS2 با آژانس ذی صلاح مربوطه در کشور عضو خود تماس بگیرید، زیرا اجرا در کشور عضو متفاوت است. و اگر در اتحادیه اروپا مستقر نیستید اما خدماتی را در آنجا ارائه میدهید، مطمئن شوید که اجرای ملی NIS2 خدمات شما را پوشش میدهد و فرآیندها و رویههای مربوطه را دنبال کنید.
اظهارات پایانی
- برای اطلاعات بیشتر به آیین نامه 114 دستورالعمل مراجعه کنید.
2. نگاه کنید CVE.
تو می توانی ارائه NIS2 فردریک را تماشا کنید از نشست اخیر نت نود اینجا.
این مقاله در ابتدا در تاریخ منتشر شده است وبلاگ نت نود.