NIS2 ceļvedis un tā nozīme jūsu organizācijas kiberdrošībai

Vai jūs esat viens no šo infrastruktūru dalībniekiem, un, ja jā, kas jūsu organizācijai ir jāņem vērā saistībā ar NIS2?


Kļūmes vai traucējumi kristiskajās infrastruktūrās var izraisīt piegādes ķēžu pārtraukumus, traucējumus sabiedrības drošībai vai citas dramatiskas sekas. ES direktīvas NIS2 (2022. gada Tīklu un informācijas sistēmu direktīva) mērķis ir stiprināt Eiropas uzņēmumu un iestāžu, kas ir kritiskās infrastruktūras, kiberdrošību. 


"Waterfall Security" liecina, ka no 2021. līdz 2022. gadam kiberuzbrukumu skaits kristiskajām infrastruktūrām krasi pieaugs - proti, par 140%. Saskaņā ar šo pētījumu 2022. gadā lielāko daļu kiberuzbrukumu kritiskajai infrastruktūrai veidoja ransomware uzbrukumi, kas ne tikai ietekmēja IT tīklu, bet arī radīja fiziskas sekas reālajā pasaulē, izkropļojot IT sistēmas. Ziņojumā minēti tādi piemēri kā darbības pārtraukumi 14 lielākajās automobiļu ražotnēs, 23 riepu ražotnēs, lielākajos pārtikas uzņēmumos un izdevniecībās, tika radīti lidojumu kavējumi desmitiem tūkstošu aviopasažieru, kā arī kravas konteineru iekraušanas un izkraušanas darbības traucējumi .
   

Kāpēc NIS2: Kiberdrošība kritiskajām infrastruktūrām: 

 
NIS2 direktīvā ir noteikts, ka kritiskās infrastruktūras uzņēmumiem ir jāpievērš uzmanība tādiem iespējamiem riskiem kā cilvēku kļūdas, sistēmu kļūmes, ļaunprātīgi kiberuzbrukumi, dabas katastrofas un sistēmu fiziskā un vides drošība, kas ietekmē  tīklu un informācijas drošību. Šiem uzņēmumiem būtu jāņem vērā kiberdrošības riski un jāievieš plāni, lai saglabātu to darbības nepārtrauktību.

Noteikumu neievērošanas iespējamās sekas ir skarbas, jo organizācijām, kas neievēro noteikumus, var draudēt naudas sods līdz pat 10 miljoniem eiro jeb 2% no kopējā gada apgrozījuma.
 

Kad stāsies spēkā NIS2


ES NIS2 stājās spēkā 2023. gada 16. janvārī un tiks iekļauts katras ES dalībvalsts tiesību aktos līdz 2024. gada 17. oktobrim. Lai gan jaunajai regulai bija priekštecis — NIS sākotnēji tas tika ieviests 2016. gadā, atšķirībā no NIS, NIS2  attiecas uz vairākām organizācijām.

Šis raksts palīdzēs jums noskaidrot, vai uz jūsu organizāciju attiecas NIS2, un, ja attiecas, sniegs padomus, kā  ievērot šo likumu un izvairīties no sekām, ko izraisa neatbilstības.
 

Vai uz jūsu organizāciju attiecas NIS2 noteikumi?


Tas, vai uz jums attiecas NIS2, galvenokārt ir atkarīgs no diviem faktoriem: nozares, kurā darbojaties, un organizācijas lieluma.
 
  • Nozares uz kurām attiecas NIS2 (iedalītas arī "ļoti kritiskās" un "kritiskās" nozarēs) ir šādas.
  • Izšķirošs faktors ir arī uzņēmuma/organizācijas lielums - tiesību akti attiecas uz visām vidēja lieluma organizācijām (51-249 darbinieki; gada apgrozījums < 50 miljoni EUR) un lielām organizācijām (> 250 darbinieki; gada apgrozījums > 50 miljoni EUR).
Ļoti kritiskas

Transports
Enerģētika
Banku un finanšu tirgus infrastruktūra
Veselības aprūpe
Dzeramais ūdens
Notekūdeņi
Digitālā infrastruktūra
IKT pakalpojumu pārvaldība (B2B)
Valdība
Ceļošana kosmosā
Kritiskas

Ražošana
Atkritumu apsaimniekošana
Pasta un kurjerpasta pakalpojumi
Pasta un kurjerpasta pakalpojumi
Pārtikas produktu ražošana, pārstrāde un izplatīšana
Ķīmiskā un farmaceitiskā ražošana
Digitālo pakalpojumu sniedzēji
Pētniecība 

Vai jūs esat būtisks vai svarīgs?

 
Ja jūsu organizācija atbilst NIS2 noteikumiem, ir vēl viena svarīga atšķirība: uzņēmumi, kas ir "ļoti svarīgi", ir "būtiski", bet uzņēmumi, kas ir "kritiski", ir "svarīgi".
 
  • Uz abiem gadījumiem  attiecas vienādas kiberdrošības pārvaldības prasības un pienākumi ziņot par incidentiem saskaņā ar NIS2.
  • Tomēr atbilstības uzraudzība katram no tiem ir atšķirīga.
Ļoti svarīgi = būtiski

"Būtiskām" organizācijām uzraudzībai jābūt proaktīvai un skaidri atspoguļotai
procesos, nozares vai valsts regulatori pārbauda, vai šīs organizācijas šos pasākumus piemēro un ievēro pareizi.
Kritiski = Svarīgi

"Svarīgām" organizācijām uzraudzība būs reaģējoša, ja ir pierādījumi par kiberincidentu.
 

Četras galvenās prasību jomas

 
NIS2 balstās uz NIS, un tajā ir četras jaunas galvenās prasības, kas ir izstrādātas, lai nodrošinātu jūsu organizācijas kiberdrošību.

Jums jāpārliecinās, ka varat pierādīt:
 
  • Risku pārvaldība - organizācijām ir jārisina visi iespējamie riski, tostarp cilvēku kļūdas, sistēmas atteice, ļaunprātīgi dalībnieki, dabas katastrofas, kā arī sistēmu fiziskā un vides drošība.
  • Korporatīvā atbildība - NIS2 nosaka, ka C līmeņa vadītāji ir atbildīgi, un prasa, lai vadība pārrauga, apstiprina, apmāca un novērš riskus, kas apdraud organizācijas kiberdrošību. Ja vadītāji to neizpildīs, viņi tiks saukti pie personiskās atbildības, izmantojot tādus pasākumus kā atstādināšana no vadošiem amatiem.
  • Ziņošanas pienākumi - NIS2 ir sīki izstrādātas prasības attiecībā uz ziņošanu par drošības incidentiem, tāpēc, ja jūsu organizācija ir piemērojama NIS2, ir ļoti svarīgi, lai būtu ieviesti procesi, kas ļauj nekavējoties ziņot par drošības incidentiem.
  • Darbības nepārtrauktība - tā kā NIS2 attiecas uz pakalpojumu sniedzējiem, kas ir būtiski svarīgi sabiedrības funkcionēšanai, šīm organizācijām ir jāizstrādā plāni, lai nodrošinātu savu pakalpojumu darbību, ja notiek nopietns drošības incidents. Šajos plānos jāiekļauj sistēmas atjaunošana, ārkārtas procedūras un krīzes reaģēšanas grupas izveide.

Minimālie drošības pasākumi, kas jums jāveic saskaņā ar NIS2
 

Ja uz jūsu organizāciju attiecas NIS2 noteikumi, jums ir jāveic atbilstoši un samērīgi riska pārvaldības pasākumi, lai novērstu drošības incidentus un mazinātu to ietekmi.
 
Lai palīdzētu tos risināt, NIS2 nosaka desmit pamatpasākumus, kas jāņem vērā:
  1. Riska analīzes un informācijas sistēmu drošības politika.  
  2. Incidentu apstrāde.  
  3. Darbības nepārtrauktība - piemēram, rezerves kopiju pārvaldība un darbības atjaunošana pēc katastrofām, kā arī krīžu pārvaldība.  
  4.  Piegādes ķēdes drošība - tostarp ar drošību saistītie aspekti, kas attiecas uz attiecībām starp katru struktūru un tās tiešajiem piegādātājiem vai pakalpojumu sniedzējiem.
  5.  Drošība tīklu un informācijas sistēmu iegādē, izstrādē un uzturēšanā, tostarp ievainojamību apstrāde un atklāšana.   
  6.  Kiberdrošības riska pārvaldības pasākumu efektivitātes novērtēšanas politika un procedūras.  
  7. Kiberdrošības higiēnas pamatprakse un kiberdrošības apmācība.   
  8. Politika un procedūras attiecībā uz kriptogrāfijas un, ja nepieciešams, šifrēšanas izmantošanu.
  9. Cilvēkresursu drošība, piekļuves kontroles politika un aktīvu pārvaldība.
  10. Daudzfaktoru autentifikācijas vai nepārtrauktas autentifikācijas risinājumu izmantošana, droša balss, video un teksta saziņa, kā arī drošas ārkārtas sakaru sistēmas struktūrvienībā - attiecīgā gadījumā.

Konica Minolta risinājumi NIS2 direktīvas atbilstības nodrošināšanai


Konica Minolta piedāvā vairākus profesionālus drošības risinājumus, kas var palīdzēt izpildīt dažas no galvenajām NIS2 prasībām, piemēram:

 


Incidentu apstrāde un uzturēšana


Darbības nepārtrauktība ar rezerves kopiju pārvaldība


Daudzfaktoru autentifikācijas izmantošana

Drošības risinājumi Konica Minolta daudzfunkciju printerim

Datu drošība

Vispārīgās datu aizsardzības regulas (GDPR) prasībām atbilstošs bizhub SECURE risinājums, lai aizsargātu jūsu multifunkcionālajā ierīcē esošos datus:
  • Cietā diska bloķēšana ar paroli, datu šifrēšana un pagaidu datu dzēšana
  • Automātiska dokumentu dzēšana
  • Droša drukāšana, ID drukāšana, šifrēta PDF skenēšana paroles noteikumi, administratora paroles maiņa
  • Saderīgs ar lielāko daļu Konica Minolta bizhub MFP.

Pretvīrusu risinājumu

Vismodernāko pretvīrusu risinājumu Bitdefender var iestrādāt Konica Minolta daudzfunkcionālā printera bizhub i-Series programmaparatūrā, un tas reāllaikā uzrauga visus skenētos failus un dokumentus, kas tiek pārsūtīti uz un no tā. 
  • Tas nekavējoties atklāj vīrusus un ļaunprātīgu programmatūru un informē par potenciālo apdraudējumu.
  • Tā nodrošina arī manuālu skenēšanu cietajos diskos, kā arī skenēšanu pēc pieprasījuma.
  • Tas novērš vīrusu izplatīšanos uz citiem datoriem un serveriem un nodrošina, ka daudzfunkciju ierīce nekļūst par atspēriena punktu uzņēmuma informācijas zaudēšanai.  

Droša drukāšanas infrastruktūra

Konica Minolta risinājumus savai drukas infrastruktūrai

Drukāšanas pārvaldības un dokumentu digitalizācijas risinājums, kas izstrādāts, lai apmierinātu visu lielumu uzņēmumu vajadzības, efektīvi pārvaldītu un samazinātu drukas pakalpojumu izmaksas, izveidotu efektīvu digitalizācijas procesu un uzlabotu dokumentu drošību. 
  • Droša drukāšanas vide, novēršot nesankcionētu piekļuvi konfidenciāliem dokumentiem un konfidenciālai uzņēmuma informācijai.
  • Drukāšanas vides uzskaite un nodrošināšana, ka tiek drukāti tikai ar darbu saistīti dokumenti un ka visas drukāšanas izmaksas tiek attiecinātas uz to autoriem.
  • Tiek atbalstīta divpakāpju autentifikācija: identifikācijas karte, parole, PIN kods.
  • Produktivitāte: racionalizējiet skenēšanu un dokumentu plūsmu visā uzņēmumā.

Droša drukāšanas infrastruktūra mākonī

Izmantošana 24/7:
  • Dokumentu tulkošana, konvertēšana, droša viesu drukāšana bez konta, piekļuve ārējai krātuvei, drukāšana no jebkura pieslēgta daudzfunkciju printera un citām lietotnēm.
  • Viegli administrējams: lietotāju, pakalpojumu un ierīču pārvaldībai nav nepieciešamas īpašas IT zināšanas.
  • Droša un atbilstīga: datu šifrēšana un personas datu pseidonimizācija. Workplace Pure platforma tiek droši izvietota Vācijā (Open Telecom mākoņdatošanas centrā ar ISO 27001 sertifikātu), lai nodrošinātu atbilstību GDPR - pasaulē visstingrākajam datu aizsardzības un privātuma likumam.
  • Tiek atbalstīta divpakāpju autentifikācija: identifikācijas karte, parole, PIN kods.

Vai vēlaties konsultāciju?

Ja jums ir kādi jautājumi vai vienkārši nepieciešams padoms, sazinieties ar mums.