NIS2 - Chỉ thị về an ninh mạng mới của Châu Âu

[nktung]

NIS2 là gì?​

NIS2 là một chỉ thị của Châu Âu bao gồm các biện pháp mới nhằm đảm bảo rằng các tổ chức hoạt động trong Liên minh Châu Âu (EU) có mức độ an ninh mạng và cơ sở hạ tầng chung cao.

Chỉ thị nêu ra các mục tiêu mà tất cả các nước thành viên EU phải đạt được. Tuy nhiên, mỗi quốc gia sẽ thực hiện nó theo luật riêng của mình và có chỗ cho một số chi tiết cụ thể của quốc gia để đạt được các mục tiêu này. Các chỉ thị có tính ràng buộc về các yêu cầu tối thiểu đối với những gì cần được thực hiện. Ví dụ: nếu chỉ thị áp dụng mức phạt đối với các tổ chức không tuân thủ, các tiểu bang có thể quyết định vượt quá mức phạt tối thiểu và áp dụng các hình phạt cao hơn đối với các thực thể trong phạm vi quyền hạn của họ.

NIS2 là sự kế thừa của Chỉ thị NIS1, được coi là luật an ninh mạng đầu tiên của EU. Kể từ khi triển khai vào năm 2018, NIS1 đã được chứng minh là cần thiết cho việc thực hiện Chiến lược an ninh mạng của EU nhưng chưa đủ để giải quyết các thách thức do bối cảnh đe dọa an ninh mạng hiện nay đặt ra. NIS2 mở rộng phạm vi pháp luật bằng cách bao gồm các lĩnh vực và loại hình tổ chức mới cần tuân thủ và đưa ra các yêu cầu cao hơn đối với an ninh mạng của họ. Do tầm quan trọng địa chính trị ngày càng tăng của an ninh mạng, NIS2 là một bước hợp lý trong việc tạo ra khả năng phòng thủ hài hòa hơn và mạnh mẽ hơn trên toàn Liên minh Châu Âu.

Ai cần tuân thủ NIS2?​

Nếu tổ chức hoạt động ở Liên minh Châu Âu trong một trong các phân ngành được liệt kê trong Phụ lục của Chỉ thị và tổ chức của bạn có quy mô nhất định hoặc thuộc một trong các trường hợp ngoại lệ theo Điều 2 & 3, thì bạn phải tuân thủ NIS2.

Hình 1. Sơ đồ kiểm tra bạn có cần tuân thủ NIS2 hay không?


Hình 2. Phân loại các lĩnh vực cần xem xét tuân thủ, theo mức độ
​

Những biện pháp nào cần được thực hiện theo NIS2?​

NIS2 bao gồm danh sách 10 yếu tố chính mà tất cả các công ty phải giải quyết về mặt an ninh mạng. Việc thực hiện chính xác các biện pháp này cần xem xét đến công nghệ tiên tiến và, nếu có, các tiêu chuẩn châu Âu và quốc tế có liên quan ở trình độ kỹ thuật phù hợp và tương xứng cũng như chi phí thực hiện.

Các biện pháp trong NIS2 như sau:​

1. Chính sách về phân tích rủi ro và bảo mật hệ thống thông tin.
2. Xử lý sự cố.
3. Tính liên tục trong kinh doanh, chẳng hạn như quản lý sao lưu và khắc phục thảm họa cũng như quản lý khủng hoảng.
4. An ninh chuỗi cung ứng, bao gồm các khía cạnh liên quan đến an ninh liên quan đến mối quan hệ giữa mỗi thực thể và các nhà cung cấp hoặc nhà cung cấp dịch vụ trực tiếp của nó.
5. Bảo mật trong việc mua lại, phát triển và bảo trì hệ thống thông tin và mạng, bao gồm cả việc xử lý và tiết lộ lỗ hổng.
6. Các chính sách và thủ tục đánh giá hiệu quả của các biện pháp quản lý rủi ro an ninh mạng.
7. Thực hành an ninh mạng cơ bản và đào tạo về an ninh mạng.
8. Các chính sách và thủ tục liên quan đến việc sử dụng mật mã và mã hóa thích hợp.
9. Bảo mật thông tin nhân sự, chính sách kiểm soát truy cập và quản lý tài sản.
10. Việc sử dụng các giải pháp xác thực đa yếu tố hoặc xác thực liên tục, liên lạc bằng giọng nói, video và văn bản được bảo mật cũng như các hệ thống liên lạc khẩn cấp được bảo mật trong đơn vị, nếu thích hợp.

Khi nào NIS2 sẽ có hiệu lực?​

Chỉ thị NIS2 được ban hành vào ngày 27 tháng 12 năm 2022 và mỗi quốc gia thành viên EU có thời hạn đến ngày 17 tháng 10 năm 2024 để chuyển Chỉ thị NIS2 thành luật pháp quốc gia của mình. Khi luật pháp quốc gia có hiệu lực, các tổ chức trong phạm vi áp dụng cần phải tuân thủ.

​

Theo Talos​