Οι εταιρείες εργάζονται σκληρά για να αλλάξουν την εσωτερική τους κουλτούρα για να λάβουν σοβαρά υπόψη την απειλή των παραβιάσεων και των διαταραχών στον κυβερνοχώρο.
Andrew Brooks | Πηγή εικόνας | Getty Images
Οι νέοι κανόνες της Ευρωπαϊκής Ένωσης που απαιτούν από τις επιχειρήσεις να ενισχύσουν την άμυνά τους στον κυβερνοχώρο ξεκινούν αργά, καθώς πολλά κράτη μέλη απέτυχαν να υιοθετήσουν έγκαιρα κανόνες για να τηρήσουν τις βασικές προθεσμίες εφαρμογής, σύμφωνα με έρευνα που παρακολουθεί την πρόοδο της οδηγίας.
Η οδηγία της ΕΕ για την ασφάλεια στον κυβερνοχώρο NIS 2 θέτει υψηλά πρότυπα για τις εταιρείες όσον αφορά τα εσωτερικά τους συστήματα και πρακτικές κυβερνοασφάλειας. Επιβάλλει αυστηρότερες απαιτήσεις σχετικά με τη διαχείριση κινδύνου, τις υποχρεώσεις διαφάνειας και τον προγραμματισμό της επιχειρηματικής συνέχειας σε περίπτωση παραβίασης στον κυβερνοχώρο.
Την Πέμπτη, η νέα οδηγία τέθηκε επίσημα σε ισχύ από τα κράτη μέλη. Αυτό σημαίνει ότι οι εταιρείες πρέπει τώρα να διασφαλίσουν ότι οι δραστηριότητές τους συμμορφώνονται με τους κανονισμούς. Ωστόσο, τα περισσότερα κράτη μέλη της ΕΕ δεν έχουν ακόμη εφαρμόσει το NIS 2 στην εθνική τους νομοθεσία, πράγμα που σημαίνει ότι η επιβολή είναι πιθανό να είναι άνιση.
Σύμφωνα με το εργαλείο παρακολούθησης του διαδικτυακού ερευνητικού οργανισμού DNS Research Federation, δύο χώρες – η Πορτογαλία και η Βουλγαρία – δεν έχουν ξεκινήσει τη διαδικασία μετάβασης στο NIS 2, όπου οι οδηγίες έχουν ενσωματωθεί στις εθνικές νομοθεσίες των κρατών μελών της ΕΕ.
Οι κυβερνήσεις της Πορτογαλίας και της Βουλγαρίας δεν ήταν άμεσα διαθέσιμες για σχόλιο όταν το CNBC επικοινώνησε την Τετάρτη.
Η Ευρωπαϊκή Επιτροπή είπε στο CNBC ότι καλεί τα κράτη μέλη της ΕΕ που δεν έχουν ακόμη θεσπίσει νόμους που πληρούν τις απαιτήσεις του NIS 2 να το πράξουν το συντομότερο δυνατό.
«Επί του παρόντος, το Βέλγιο και η Ιταλία έχουν κοινοποιήσει την πλήρη μεταφορά και η Κροατία, η Λετονία και η Λιθουανία έχουν κοινοποιήσει τη μερική μεταφορά της Οδηγίας NIS2», είπε εκπρόσωπος της Επιτροπής στο CNBC μέσω email. Ενθαρρύνουμε άλλα κράτη μέλη να ακολουθήσουν αυτό το παράδειγμα.
Η Επιτροπή είπε ότι είχε υποστηρίξει τα κράτη μέλη τους τελευταίους 21 μήνες παρέχοντας καθοδήγηση και απαντώντας σε ερωτήσεις και προειδοποίησε ότι είναι έτοιμη να «χρησιμοποιήσει… τα εργαλεία που έχει στη διάθεσή της» για να διασφαλίσει ότι τα κράτη μέλη θα ολοκληρώσουν τη μεταφορά των κανόνων.
Τι είναι το NIS 2;
Το NIS 2 – ή Οδηγία για την Ασφάλεια Δικτύων και Πληροφοριών 2 – είναι μια οδηγία της ΕΕ που στοχεύει στη βελτίωση της ασφάλειας των συστημάτων και δικτύων πληροφορικής σε ολόκληρο το μπλοκ. Η νομοθεσία, που προτάθηκε για πρώτη φορά το 2020, είναι μια ενημέρωση μιας προηγούμενης οδηγίας που ονομάζεται απλώς NIS.
Το NIS 2 επεκτείνει τις δυνατότητες του προκατόχου του για την αντιμετώπιση πιο πρόσφατων προκλήσεων και απειλών στον κυβερνοχώρο, καθώς οι εγκληματίες έχουν βρει νέους τρόπους για να χακάρουν εταιρείες και να διακυβεύουν τα ευαίσθητα δεδομένα τους.
Η Οδηγία εφαρμόζεται σε οργανισμούς που δραστηριοποιούνται σε ολόκληρη την ΕΕ και παρέχουν βασικές υπηρεσίες στους καταναλωτές, συμπεριλαμβανομένων των τραπεζών, των προμηθευτών ενέργειας, των παρόχων υγειονομικής περίθαλψης, των παρόχων διαδικτύου, των εταιρειών μεταφορών και των επιχειρήσεων ανακύκλωσης απορριμμάτων.
Σύμφωνα με τους νέους κανόνες, οι επιχειρήσεις θα υποχρεούνται να αναφέρουν και να μοιράζονται πληροφορίες σχετικά με ευπάθειες στον κυβερνοχώρο και χάκερ με άλλες εταιρείες, ακόμη και αν αυτό σημαίνει ότι παραδέχονται ότι έπεσαν θύμα κυβερνο παραβίασης.
Εάν μια εταιρεία γίνει θύμα παραβίασης στον κυβερνοχώρο, θα έχει στη διάθεσή της 24 ώρες για να υποβάλει έγκαιρη προειδοποίηση στις αρχές – μια αυστηρότερη προθεσμία από την περίοδο των 72 ωρών, οι εταιρείες πρέπει να ειδοποιούν τις αρχές για παραβίαση δεδομένων βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων. χωριστή νομοθεσία περί απορρήτου δεδομένων στην ΕΕ.
Οι εταιρείες θα πρέπει επίσης να ελέγχουν τους παρόχους τεχνολογίας τους έναν προς έναν για απειλές και ευπάθειες στον κυβερνοχώρο.
Θα είναι αποτελεσματικό;
Ο Tim Wright, συνεργάτης και δικηγόρος τεχνολογίας στο Fladgate, είπε στο CNBC ότι η αποτελεσματικότητα του NIS 2 ως κανονισμού θα εξαρτηθεί σε μεγάλο βαθμό από τη συνεπή εφαρμογή και συμμόρφωση στα κράτη μέλη της ΕΕ.
«Οι εισβολείς θα μπορούσαν να στοχεύσουν χώρες που υστερούν στη μετάβαση στο NIS2 ή να αναζητήσουν αδυναμίες στις αλυσίδες εφοδιασμού στοχεύοντας μικρότερους, λιγότερο ασφαλείς εμπόρους και προμηθευτές για να αποκτήσουν πρόσβαση σε μεγαλύτερους, καλύτερα προστατευμένους οργανισμούς», είπε στο CNBC.
Οι εταιρείες εργάζονταν για να τακτοποιήσουν τις εσωτερικές τους διαδικασίες, τους ελέγχους και την ευρύτερη κουλτούρα ασφάλειας στον κυβερνοχώρο για χρόνια πριν από την προθεσμία της Πέμπτης.
Ο Chris Gow, επικεφαλής της δημόσιας πολιτικής της Cisco για την επιχειρηματική τεχνολογία στην ΕΕ, δήλωσε ότι η άνιση εφαρμογή του NIS 2 «επιδεινώθηκε επίσης από την τοπική προσαρμογή του νόμου».
Αυτό με τη σειρά του “δημιουργεί ασυνέπειες που μπορεί να είναι δύσκολο να διευθετηθούν, ειδικά για μικρότερους οργανισμούς με περιορισμένους πόρους”, δήλωσε ο Gou στο CNBC σε σχόλια μέσω email.
Συνέστησε ότι οι οργανισμοί δεν πρέπει να «τυφλώνονται» από ασυνέπειες στις τοπικές προσαρμογές του NIS 2 και «να προσδιορίσουν έναν κοινό πυρήνα ελέγχων και διαδικασιών ασφάλειας που θα τους βοηθήσει να επιτύχουν συμμόρφωση και να επιδείξουν συμμόρφωση σε κλίμακα».
Τι να κάνετε εάν η εταιρεία δεν συμμορφώνεται με τις απαιτήσεις;
Για «βασικές» επιχειρήσεις όπως οι εταιρείες μεταφορών, χρηματοδότησης και ύδρευσης, η μη συμμόρφωση με το NIS 2 θα μπορούσε να οδηγήσει σε πρόστιμα έως και 10 εκατ. ευρώ (10,9 εκατ. $) ή 2% των παγκόσμιων ετήσιων εσόδων – όποιο από τα δύο, ποιο ποσό θα είναι υψηλότερο.
Εν τω μεταξύ, «απαραίτητες» επιχειρήσεις όπως εταιρείες τροφίμων, εταιρείες χημικών και υπηρεσίες διαχείρισης απορριμμάτων αντιμετωπίζουν πρόστιμα έως και 7 εκατ. ευρώ ή 1,4% των παγκόσμιων ετήσιων εσόδων τους για παραβάσεις.
Οι εταιρείες ενδέχεται επίσης να αντιμετωπίσουν πιθανή αναστολή των υπηρεσιών εάν δεν συμμορφωθούν με τις απαιτήσεις του NIS 2, καθώς και αυστηρότερη εποπτεία.
«Το NIS 2 καθιστά σαφές: τα μεγάλα πρόστιμα, οι πιθανές αναστολές υπηρεσιών και οι έλεγχοι συμμόρφωσης χρησιμοποιούνται ως μοχλοί για να ενθαρρύνουν τους οργανισμούς που είναι υπεύθυνοι για κρίσιμες υπηρεσίες να δώσουν προσοχή και να ανταποκριθούν στις απειλές για την ασφάλεια στον κυβερνοχώρο», ο Carl Leonard, στρατηγικός κυβερνοασφάλειας στην περιοχή EMEA. Η εταιρεία Proof, δήλωσε στο CNBC.
«Έχει δημιουργηθεί μια βασική γραμμή όσον αφορά τη διαχείριση κινδύνου και τα μέτρα μετριασμού, συμπεριλαμβανομένου του χειρισμού συμβάντων, της εκπαίδευσης του προσωπικού, της υπευθυνότητας της διοίκησης και πολλά άλλα», πρόσθεσε ο Leonard.