Pregătirea pentru Directiva NIS2: Protejarea infrastructurii critice împotriva amenințărilor cibernetice

Directiva inițială NIS din 2016 s-a concentrat pe stabilirea măsurilor de bază de securitate cibernetică pentru a proteja unele servicii cheie interconectate ale UE. Directiva NIS2 extinde domeniul de aplicare al directivei inițiale cu sectoare și entități suplimentare. Acesta acoperă operatorii de servicii esențiale (OES) în sectoare precum energia, transporturile, infrastructura bancară și a pieței financiare, asistența medicală, alimentarea cu apă și infrastructura digitală, precum și organizațiile care suportă OES.

Organizațiile incluse în NIS2 trebuie să se conformeze directivelor sale până la 17 octombrie 2024.
Pentru a aborda cooperarea, NIS2 stabilește și o structură pentru raportarea incidentelor. Aceasta include formarea de componente precum autoritatea competentă, punctul unic de contact și CSIRT (Echipa de răspuns la incidente de securitate informatică).

Aplicarea este definită de aderarea organizațiilor la implementarea măsurilor recomandate de gestionare a riscurilor de securitate cibernetică și a cerințelor de raportare. Amenzile pentru nerespectarea acestor întreprinderi pot ajunge până la 10 milioane EUR (sau până la 2% din cifra de afaceri globală) pentru entitățile „foarte critice” sau 7 milioane EUR pentru entitățile „critice”.

NIS2 subliniază măsurile cheie pe care sectoarele și organizațiile de infrastructură digitală din UE trebuie să le implementeze, inclusiv utilizarea autentificării cu mai mulți factori (MFA), politici de control al accesului și managementul activelor, igiena cibernetică de bază și formarea, printre alte măsuri.
NIS2 nu definește modul de îndeplinire a acestor măsuri. În schimb, se referă la alte standarde precum ISO, CIS, NIST sau IEC, împreună cu principiile de încredere zero, ca ghiduri pe care organizațiile ar trebui să le urmeze pentru a atinge conformitatea.

Urmând aceste două abordări, organizațiile vor avea o metodologie amănunțită pentru a atinge conformitatea NIS2 și pentru a se apăra de cele mai frecvente și dăunătoare atacuri cibernetice.
Este o vorbă veche conform căreia organizațiile nu ar trebui să irosească niciodată o criză bună, și acesta este cazul NIS2, care obligă organizațiile să evalueze toate aspectele protocoalelor de securitate și să se concentreze pe cele cu încredere zero și pe standardele relevante care se aplică afacerii lor.
În cele mai multe cazuri, aceasta tinde să fie identitate. Și nu pentru că identitatea este domeniul care este compromis în majoritatea atacurilor, ci și faptul că atacurile legate de identitate tind să coste cel mai mult organizațiile.

Deși toate domeniile de securitate sunt importante, identitatea, în special în mediul de lucru hibrid, joacă un rol cheie în securizarea organizației. Organizațiile ar trebui să aleagă un partener de securitate axat pe identitate care să efectueze o evaluare NIS2 și să recomande cea mai bună combinație de soluții automate de inteligență a identității, autentificare, gestionare a accesului și guvernanță și ciclu de viață pentru a permite protejarea tuturor resursele, identitățile și mediile stabilite de directiva NIS2.

Organizațiile vor descoperi că o platformă de identitate unificată va fi cea mai simplă modalitate de a asigura o revizuire completă și cuprinzătoare de la capăt la capăt și un set de soluții care pot fi stabilite pentru a depăși toate cerințele NIS2 și a se extinde pentru a satisface nevoile viitoare, cum ar fi cerințele de afaceri și de securitate.

Soluțiile de securitate IT, risc si conformitate  RSA, sunt distribuite în România de compania SolvIT Networks.