มาตรฐานความปลอดภัยทางไซเบอร์ใหม่: คำสั่ง NIS 2 มีความหมายต่อบริษัทในสหภาพยุโรปอย่างไร

NIS-2 เป็นเวอร์ชันอัปเดตของคำสั่ง NIS (ระบบเครือข่ายและข้อมูล) ดั้งเดิมปี 2016 มีเป้าหมายเพื่อปรับปรุงความปลอดภัยของเครือข่ายและระบบข้อมูลในสหภาพยุโรป โดยกำหนดมาตรฐานความปลอดภัยทางไซเบอร์ที่สูงขึ้นสำหรับบริษัทต่างๆ และครอบคลุมอุตสาหกรรมและองค์กรต่างๆ มากกว่าเดิม

คำสั่ง NIS 2 (EU 2022/2555) มีผลบังคับใช้ในสหภาพยุโรปเมื่อต้นปี 2023 ประเทศสมาชิกจะต้องปฏิบัติตามมาตรฐานเหล่านี้ผ่านกฎหมายภายในประเทศ ในเยอรมนี สิ่งนี้จะเกิดขึ้นผ่านพระราชบัญญัติการดำเนินการ NIS2 (NIS2UmsuCG) ซึ่งคาดว่าจะมีผลบังคับใช้ตั้งแต่วันที่ 17 ตุลาคม 2024

ใครได้รับผลกระทบบ้าง?

สำคัญ!

หน่วยงานต่างๆ เช่น Federal Office for Information Security (BSI) จะไม่ให้ข้อมูลว่าบริษัทได้รับผลกระทบจาก NIS-2 หรือไม่ แต่ละบริษัทจะต้องกำหนดสิ่งนี้ด้วยตนเองตามเกณฑ์ที่กำหนด
บริษัทจะได้รับผลกระทบหากเกินเกณฑ์ที่กำหนดในแง่ของจำนวนพนักงานหรือยอดขายประจำปี/ยอดรวมในงบดุลประจำปี และดำเนินงานในภาคส่วนเฉพาะ

เกณฑ์:

สิ่งอำนวยความสะดวกที่สำคัญอย่างยิ่ง:

• ผู้ปฏิบัติงานระบบที่สำคัญ (ผู้ปฏิบัติงาน KRITIS)
• สิ่งอำนวยความสะดวกพิเศษ เช่น โดเมน, DNS, บริการที่เชื่อถือได้ที่ผ่านการรับรอง, ผู้ให้บริการโทรคมนาคมรายใหญ่
• สถานประกอบการที่มีพนักงานมากกว่า 250 คนหรือมีมูลค่าการซื้อขายประจำปีมากกว่า 50 ล้านยูโร และยอดรวมในงบดุลประจำปีรวม 43 ล้านยูโร จากภาคส่วนต่างๆ ใน ภาคผนวก 1 ของคำสั่ง NIS 2

สิ่งอำนวยความสะดวกที่สำคัญ:

• สิ่งอำนวยความสะดวกพิเศษ เช่น บริการด้านความน่าเชื่อถือ ผู้ให้บริการโทรคมนาคมรายย่อย
• สถานประกอบการที่มีพนักงานมากกว่า 50 คนหรือมีมูลค่าการซื้อขายประจำปีมากกว่า 10 ล้านยูโรและยอดรวมในงบดุลประจำปีมากกว่า 10 ล้านยูโร จากภาคส่วนต่างๆ ในภาคผนวก 1 และ ภาคผนวก 2

ของแนวทาง NIS 2

นี่คือตัวอย่างบางส่วนของสิ่งอำนวยความสะดวกสำคัญที่ได้รับผลกระทบ:
ภาคการดูแลสุขภาพ: คลินิก สถานพยาบาลและห้องปฏิบัติการขนาดใหญ่
ภาคการเงิน: ธนาคาร บริษัทประกันภัย และผู้ให้บริการการชำระเงิน
การขนส่งและการจราจร: สนามบิน ผู้ประกอบการรถไฟ บริษัทโลจิสติกส์
สาธารณูปโภค: ซัพพลายเออร์ด้านพลังงาน บริษัทจัดการน้ำและขยะ
โครงสร้างพื้นฐานดิจิทัล: ศูนย์ข้อมูล การแลกเปลี่ยนอินเทอร์เน็ต ผู้ให้บริการระบบคลาวด์

ผู้ให้บริการหรือซัพพลายเออร์ของบริษัทที่ได้รับผลกระทบจาก NIS-2 อาจจำเป็นต้องปฏิบัติตามมาตรฐานความปลอดภัยที่สอดคล้องกับ NIS-2 นี่เป็นสิ่งสำคัญสำหรับการจัดการความเสี่ยงและห่วงโซ่อุปทานเพื่อให้มั่นใจในความปลอดภัยของโครงสร้างพื้นฐานและข้อมูลดิจิทัล

ต้องมีมาตรการอะไรบ้าง?

บริษัทต้องใช้มาตรการรักษาความปลอดภัยต่างๆ เพื่อปกป้องเครือข่ายและข้อมูลของตน รวมถึง:

• การวิเคราะห์ความเสี่ยงและความปลอดภัยของระบบสารสนเทศ
• การจัดการกับเหตุการณ์ด้านความปลอดภัย
• ความยั่งยืนและการกู้คืน การจัดการสำรองข้อมูล การจัดการภาวะวิกฤติ
• ห่วงโซ่อุปทานและการรักษาความปลอดภัยระหว่างโรงงาน ความปลอดภัยของผู้ให้บริการ
• ความปลอดภัยในการพัฒนา การจัดซื้อ และการบำรุงรักษา
• การจัดการช่องโหว่
• การประเมินความปลอดภัยทางไซเบอร์และการบริหารความเสี่ยง
• การฝึกอบรมด้านความปลอดภัยทางไซเบอร์และสุขอนามัยทางไซเบอร์
• การเข้ารหัสและการเข้ารหัส
• การรักษาความปลอดภัยบุคลากร การควบคุมการเข้าถึง และการจัดการทรัพย์สิน
• การรับรองความถูกต้องแบบหลายปัจจัยและการรับรองความถูกต้องอย่างต่อเนื่อง
• การสื่อสารที่ปลอดภัย (เสียง วิดีโอ และข้อความ)
• การสื่อสารที่ปลอดภัยในกรณีฉุกเฉิน

ข้อกำหนดการรายงาน

NIS-2 ยังกระชับข้อกำหนดการรายงานเหตุการณ์ด้านความปลอดภัยอีกด้วย บริษัทต่างๆ จะต้องรายงานเหตุการณ์ดังกล่าวไปยังสำนักงานกลางด้านความปลอดภัยข้อมูล (BSI) ภายใน 24 ชั่วโมงหลังจากทราบเหตุการณ์ดังกล่าว ต้องส่งรายงานโดยละเอียดภายใน 72 ชั่วโมงหลังจากทราบ จำเป็นต้องมีรายงานขั้นสุดท้ายภายในหนึ่งเดือนโดยระบุคำอธิบายโดยละเอียดของเหตุการณ์ ลักษณะของภัยคุกคาม และผลกระทบข้ามพรมแดน

การลงโทษ

การไม่ปฏิบัติตามอาจส่งผลให้สิ่งอำนวยความสะดวกที่จำเป็นต้องเสียค่าปรับสูงถึง 10 ล้านยูโรหรือ 2 เปอร์เซ็นต์ของมูลค่าการซื้อขายทั่วโลกต่อปี แล้วแต่จำนวนใดจะมากกว่า นอกจากนี้ผู้จัดการยังต้องรับผิดเป็นการส่วนตัว
NIS-2 และ NIS2UmsuCG เป็นขั้นตอนสำคัญสำหรับเยอรมนีในการปรับปรุงความปลอดภัยทางไซเบอร์และปฏิบัติตามข้อกำหนดของคำสั่งของสหภาพยุโรป บริษัทต่างๆ จะต้องตระหนักถึงความเป็นจริงใหม่นี้ และใช้มาตรการที่เหมาะสมเพื่อปกป้องระบบของตนและรับรองการปฏิบัติตามข้อกำหนด

กฎหมายภายในประเทศที่บังคับใช้ NIS-2 ยังคงมีการพัฒนาและรายละเอียดอาจแตกต่างกันไป รายละเอียดเพิ่มเติมสามารถดูได้ที่ลิงค์ต่อไปนี้:

คำสั่ง NIS 2
ร่างพระราชบัญญัติปัจจุบัน NIS2UmsuCG