Các quy định an ninh mạng được thiết kế để đảm bảo rằng các ngành công nghiệp quan trọng coi trọng các mối đe dọa rất thực tế của các cuộc tấn công mạng. Liên minh châu Âu (EU) đã thực hiện một bước quan trọng trong việc củng cố khuôn khổ an ninh mạng hiện có của mình với việc giới thiệu Chỉ thị NIS2. Được thông qua vào ngày 14 tháng 12 năm 2022, chỉ thị này nhằm thiết lập mức độ an ninh mạng chung cao trên toàn Liên minh, giải quyết những thiếu sót của người tiền nhiệm, Chỉ thị (EU) 2016/1148 (NIS). Các quốc gia thành viên được giao nhiệm vụ thực hiện các biện pháp cần thiết trước ngày 17/10/2024, với việc thực thi bắt đầu vào ngày hôm sau.
Nền
Chỉ thị NIS2 nổi lên như một phản ứng đối với những thiếu sót được xác định trong Chỉ thị NIS trước đó, đóng vai trò là một sáng kiến đột phá của Liên minh châu Âu để củng cố vị thế an ninh mạng trên khắp các quốc gia thành viên. Ban đầu được thông qua vào tháng Bảy năm 2016 và được thực hiện vào tháng Tám năm 2016, chỉ thị nhằm thiết lập một mức độ chung về an ninh mạng và thông tin. Nó chủ yếu tập trung vào việc tăng cường khả năng phục hồi tổng thể của các nhà khai thác các dịch vụ thiết yếu và các nhà cung cấp dịch vụ kỹ thuật số, nhận ra tính liên kết của cơ sở hạ tầng trọng yếu trong kỷ nguyên số.
Trong quá trình thực hiện, Chỉ thị NIS đầu tiên đánh dấu một bước quan trọng trong việc thừa nhận các mối đe dọa ngày càng tăng do sự cố mạng gây ra và tìm cách đảm bảo phản ứng phối hợp và hài hòa đối với những thách thức này giữa các quốc gia thành viên EU. Bằng cách bắt buộc xác định các nhà khai thác dịch vụ thiết yếu, thúc đẩy thực hành quản lý rủi ro và yêu cầu báo cáo sự cố, Chỉ thị NIS đã đặt nền tảng cho cách tiếp cận hợp tác đối với an ninh mạng trong Liên minh Châu Âu. Tuy nhiên, bản chất phát triển của các mối đe dọa mạng đòi hỏi một khuôn khổ an ninh mạng toàn diện và thích ứng, khiến Nghị viện và Hội đồng châu Âu ban hành các biện pháp toàn diện hơn được tìm thấy trong NIS2.
7 Thay đổi và mở rộng chính
Mở rộng phạm vi
Chỉ thị NIS2 mở rộng phạm vi của nó bằng cách bao gồm các lĩnh vực mới quan trọng đối với nền kinh tế và xã hội. Một giới hạn quy mô rõ ràng đang được giới thiệu, bao gồm các công ty vừa và lớn, với sự linh hoạt cho các quốc gia thành viên để xác định các thực thể nhỏ hơn với hồ sơ rủi ro bảo mật cao.
Phân loại thực thể
Khác với cách tiếp cận trước đó, chỉ thị loại bỏ sự khác biệt giữa các nhà khai thác dịch vụ thiết yếu và nhà cung cấp dịch vụ kỹ thuật số. Các chủ thể hiện nay được phân loại thành các loại thiết yếu và quan trọng, chịu sự giám sát riêng biệt.
Yêu cầu bảo mật và báo cáo
Để tăng cường các biện pháp an ninh mạng, chỉ thị áp đặt cách tiếp cận quản lý rủi ro đối với các công ty. Một danh sách tối thiểu các yếu tố bảo mật cơ bản được giới thiệu, kèm theo các quy định chính xác về báo cáo sự cố, nội dung báo cáo và thời gian.
Bảo mật chuỗi cung ứng
Nhận thức được vai trò quan trọng của chuỗi cung ứng, chỉ thị yêu cầu các công ty riêng lẻ giải quyết các rủi ro an ninh mạng trong chuỗi cung ứng và mối quan hệ với nhà cung cấp của họ. Ở cấp độ châu Âu, một cách tiếp cận tăng cường được thực hiện để đảm bảo các công nghệ thông tin và truyền thông quan trọng.
Xem cách thực hiện OPSWAT giúp đảm bảo chuỗi cung ứng của Hitachi Energy.
Các biện pháp giám sát và thực thi
Các biện pháp giám sát chặt chẽ hơn đối với chính quyền quốc gia, tăng cường các yêu cầu thực thi và hài hòa các chế độ trừng phạt giữa các quốc gia thành viên nhằm tạo ra một khuôn khổ thực thi an ninh mạng thống nhất và hiệu quả hơn.
Hợp tác và chia sẻ thông tin
Chỉ thị này tăng cường vai trò của Nhóm Hợp tác trong việc định hình các quyết định chính sách chiến lược, thúc đẩy tăng cường chia sẻ thông tin và hợp tác giữa các cơ quan nhà nước thành viên. Hợp tác hoạt động, đặc biệt là trong quản lý khủng hoảng mạng, là một trọng tâm chính.
Tiết lộ lỗ hổng phối hợp
Chỉ thị NIS2 giới thiệu một khuôn khổ cơ bản để phối hợp tiết lộ lỗ hổng, thu hút các tác nhân chính có trách nhiệm trên toàn EU. Nó thiết lập một cơ quan đăng ký EU do Cơ quan An ninh mạng EU (ENISA) điều hành để tạo điều kiện thuận lợi cho quá trình tiết lộ.
Thêm Secure Liên minh
Chỉ thị NIS2 đánh dấu một cột mốc quan trọng trong cam kết của EU đối với an ninh mạng. Bằng cách giải quyết những thiếu sót của người tiền nhiệm và thích ứng với nhu cầu hiện tại, chỉ thị này thiết lập một khuôn khổ toàn diện cho các doanh nghiệp và tổ chức để điều hướng bối cảnh phức tạp và luôn thay đổi của các mối đe dọa mạng.
Bạn đang tìm hiểu thêm về tuân thủ an ninh mạng? Tìm hiểu về các quy định chính trên toàn thế giới trong blog của chúng tôi.
Tiếp theo là gì?
Khi thời hạn tuân thủ đến gần, các doanh nghiệp và tổ chức cần được thông báo về các điều khoản của Chỉ thị NIS2. Chủ động áp dụng các biện pháp được vạch ra sẽ không chỉ đảm bảo tuân thủ mà còn góp phần tạo ra một môi trường kỹ thuật số linh hoạt và an toàn hơn trên toàn Liên minh châu Âu.
Khám phá cách thức OPSWAT Giải pháp từ IT đến OT và mọi thứ ở giữa có thể giúp tổ chức của bạn tuân thủ NIS2 và các quy định quan trọng khác — hãy nói chuyện với chuyên gia ngay hôm nay.
