Οι νέοι κανονισμοί της Ευρωπαϊκής Ένωσης που απαιτούν από τις επιχειρήσεις να ενισχύσουν τις άμυνές τους στον κυβερνοχώρο ξεκινούν με καθυστερήσεις, καθώς πολλά κράτη-μέλη δεν έχουν υιοθετήσει τους κανόνες εγκαίρως ώστε να τηρηθεί μια σημαντική προθεσμία εφαρμογής, σύμφωνα με έρευνα.
Η οδηγία NIS 2 της Ε.Ε. για την κυβερνοασφάλεια θέτει υψηλά κριτήρια για τις εταιρείες όσον αφορά τα εσωτερικά συστήματα και τις πρακτικές τους στον κυβερνοχώρο. Επιβάλλει αυστηρότερες απαιτήσεις σχετικά με τη διαχείριση κινδύνων, τις υποχρεώσεις διαφάνειας και τον σχεδιασμό της επιχειρησιακής συνέχειας σε περίπτωση παραβίασής τους στον κυβερνοχώρο.
Η νέα οδηγία κατέστη, πλέον, επισήμως υλοποιήσιμη από τα κράτη-μέλη. Αυτό σημαίνει ότι οι επιχειρήσεις πρέπει πλέον να διασφαλίζουν ότι οι δραστηριότητές τους είναι σύμφωνες με τους κανόνες. Ωστόσο, τα περισσότερα κράτη-μέλη της Ε.Ε. δεν έχουν ακόμη εφαρμόσει την NIS 2 στη δική τους εθνική νομοθεσία, πράγμα που σημαίνει ότι η επιβολή είναι πιθανό να είναι περιορισμένη.
Η NIS 2 – ή η οδηγία 2 για την ασφάλεια δικτύων και πληροφοριών – είναι ένα πλαίσιο που αποσκοπεί στην αύξηση της ασφάλειας των συστημάτων και των δικτύων πληροφορικής σε όλη την Ένωση. Ο νόμος προτάθηκε για πρώτη φορά το 2020 και αποτελεί επικαιροποίηση μιας προηγούμενης οδηγίας που ονομαζόταν απλώς NIS.
Η νέα οδηγία διευρύνει το πεδίο εφαρμογής της προκατόχου της για να αντιμετωπίσει πιο πρόσφατες προκλήσεις και απειλές στον κυβερνοχώρο, καθώς οι εγκληματίες έχουν βρει νέους τρόπους να παραβιάζουν εταιρείες και να θέτουν σε κίνδυνο τα ευαίσθητα δεδομένα τους.
Η οδηγία εφαρμόζεται σε οργανισμούς που δραστηριοποιούνται εντός της Ε.Ε. και παρέχουν βασικές υπηρεσίες στους καταναλωτές, συμπεριλαμβανομένων τραπεζών, προμηθευτών ενέργειας, ιδρυμάτων υγειονομικής περίθαλψης, παρόχων διαδικτύου, εταιρειών μεταφορών και επεξεργαστών αποβλήτων.
Οι επιχειρήσεις θα έχουν καθήκον να αναφέρουν και να μοιράζονται πληροφορίες σχετικά με τα τρωτά σημεία στον κυβερνοχώρο και τις παραβιάσεις βάσει του νέου κανονισμού – ακόμη και αν αυτό σημαίνει ότι πρέπει να παραδεχτούν ότι έχουν πέσει θύματα παραβίασης της κυβερνοασφάλειάς τους.
Εάν μια τέτοια επιχείρηση πέσει θύμα εγκληματιών, θα έχει 24 ώρες για να υποβάλει στις αρχές σχετική κοινοποίηση, ένα αυστηρότερο χρονοδιάγραμμα από το περιθώριο των 72 ωρών που έχουν οι κοινές επιχειρήσεις για να κοινοποιήσουν στις αρχές μια παραβίαση δεδομένων σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), ο οποίος αποτελεί ξεχωριστό νόμο για το απόρρητο των δεδομένων στην Ε.Ε.
Οι επιχειρήσεις θα πρέπει επίσης να ελέγχουν ενδελεχώς τους προμηθευτές τεχνολογίας τους για απειλές και τρωτά σημεία, σύμφωνα με το CNBC.
Οι εταιρείες αυτές προσπαθούν να διαμορφώσουν τις εσωτερικές τους διαδικασίες, τους ελέγχους και την ευρύτερη κουλτούρα τους γύρω από την ασφάλεια στον κυβερνοχώρο εδώ και χρόνια.
Παρά ταύτα, ο Κρις Γκάου, στέλεχος της Cisco, δήλωσε ότι ο σποραδικός χαρακτήρας της εφαρμογής της NIS 2 έχει επίσης «επιδεινωθεί από την τοπική προσαρμογή του νόμου».
Αυτό, με τη σειρά του, «δημιουργεί αποκλίσεις που μπορεί να αποδειχθεί δύσκολο να αντιμετωπιστούν, ιδίως για μικρότερους οργανισμούς με περιορισμένους πόρους», δήλωσε ο ίδιος στο CNBC.
Συνέστησε ότι, αντί να «κατακλύζονται» από τις αποκλίσεις στις τοπικές προσαρμογές της NIS 2, οι οργανισμοί θα πρέπει να «προσδιορίσουν έναν κοινό πυρήνα ελέγχων ασφαλείας και διαδικασιών που τους βοηθούν να ανταποκριθούν και να αποδείξουν τη συμμόρφωση σε κλίμακα».
Για τις «βασικές» οντότητες, όπως οι εταιρείες μεταφορών, χρηματοδότησης και ύδρευσης, η μη συμμόρφωση με τη NIS 2 μπορεί να οδηγήσει σε πρόστιμα ύψους έως και 10 εκατομμυρίων ευρώ ή 2% των παγκόσμιων ετήσιων εσόδων τους – όποιο από τα δύο καταλήξει υψηλότερο.
Εν τω μεταξύ, οι «σημαντικές» επιχειρήσεις – όπως οι εταιρείες τροφίμων, οι εταιρείες χημικών προϊόντων και οι υπηρεσίες διαχείρισης αποβλήτων – αντιμετωπίζουν πρόστιμα έως και 7 εκατομμύρια ευρώ ή 1,4% των παγκόσμιων ετήσιων εσόδων τους.
Οι επιχειρήσεις μπορούν επίσης να αντιμετωπίσουν πιθανή αναστολή της παροχής των υπηρεσιών τους εάν δεν συμμορφωθούν με την NIS 2, καθώς και στενότερη εποπτεία.
«Η NIS 2 το καθιστά σαφές – τα μεγάλα πρόστιμα, η πιθανή αναστολή της παροχής υπηρεσιών και η παρακολούθηση της συμμόρφωσης χρησιμοποιούνται ως μοχλοί πίεσης για να ενθαρρύνουν τους οργανισμούς που είναι υπεύθυνοι για κρίσιμες υπηρεσίες να δώσουν προσοχή στις απειλές κυβερνοασφάλειας και την αντίδρασή τους σε αυτές», δήλωσε στο CNBC ο Καρλ Λέναρντ, στρατηγικός σύμβουλος κυβερνοασφάλειας της Proofpoint.
«Έχει οριστεί μια βασική γραμμή όσον αφορά τα μέτρα διαχείρισης και περιορισμού των κινδύνων, όπως ο χειρισμός περιστατικών, η εκπαίδευση του προσωπικού, η υπευθυνότητα της ηγεσίας και πολλά άλλα», συμπλήρωσε χαρακτηριστικά.
Διαβάστε ακόμη
5 δισ. μεγαλύτερη ανάπτυξη το 2024 φέρνει αυξήσεις εισοδημάτων το 2025 (πίνακες)
Επίδομα Θέρμανσης: Μεγαλύτερο ποσό για όσους επιλέξουν ηλεκτρισμό
Σιδηρόδρομος: Διαδοχικά λάθη, επικίνδυνες παραλείψεις και οι επιβάτες… στη μέση
Για όλες τις υπόλοιπες ειδήσεις της επικαιρότητας μπορείτε να επισκεφτείτε το Πρώτο Θέμα