ركزت التوجيهات الأصلية توجيهات NIS لعام 2016 في المقام الأول على وضع تدابير أساسية للأمن السيبراني لحماية بعض الخدمات الرئيسية المترابطة في الاتحاد الأوروبي. وانصب التركيز على البنية التحتية التي اعتُبرت أساسية (مثل الطاقة والمياه والنقل والرعاية الصحية والخدمات المصرفية) والتي تغطيها الحماية الأساسية التي حددها التوجيه.
يوسع التوجيه NIS2 من نطاق التوجيه الأصلي NIS من خلال شمول قطاعات وكيانات إضافية. وهو يغطي مشغلي الخدمات الأساسية (OES) في قطاعات مثل الطاقة والنقل والبنية التحتية للأسواق المصرفية والمالية والرعاية الصحية وإمدادات المياه والبنية التحتية الرقمية (مثل الأسواق عبر الإنترنت والحوسبة السحابية ومحركات البحث)، بالإضافة إلى المنظمات التي تدعم الخدمات الأساسية.
يتعين على المؤسسات المدرجة في NIS2 الامتثال لتوجيهاتها بحلول 17 أكتوبر 2024. ومن مصلحة المؤسسات أن تلتزم بهذا الموعد النهائي: فبالإضافة إلى تقديم توصيات فعالة في مجال الأمن السيبراني، فإن NIS2 يأتي أيضًا بغرامات تصل إلى 21 تيرابايت من حجم الأعمال العالمي للمؤسسات التي لا تمتثل في حالات معينة.
ولكن في حين أن NIS2 واضحة بشأن من يجب عليه اتباع التوجيهات والعقوبات المترتبة على عدم الامتثال، إلا أنها لا تحدد كيفية استعداد المنظمات. لذا، دعونا نراجع إرشادات NIS2 وأفضل الممارسات التي يجب على المؤسسات اتباعها للوفاء بالامتثال والدفاع عن نفسها من التهديدات الناشئة.
لتحديد المنظمات التي يجب إدراجها بشكل أفضل، تم وضع معيارين أساسيين: القطاع والحجم. ولمعالجة القطاعات، يحدد الملحقان 1 و2 من نظام المعلومات الوطني للمعلومات 2 القطاعات "الحرجة للغاية" (المعروفة أيضًا بالكيانات الأساسية) والقطاعات "الحرجة" (المعروفة أيضًا بالكيانات المهمة). هناك أحد عشر قطاعًا "حرجة للغاية"، وهي إلى حد كبير تلك المرتبطة بالعمليات اليومية لاقتصاد البلد، مثل الطاقة والنقل والخدمات المصرفية وخدمات المياه والرعاية الصحية والبنية التحتية الرقمية والحكومة والفضاء. ترتبط القطاعات الحرجة بالخدمات الرئيسية التي تدعم اقتصاد البلد، مثل تصنيع وتوزيع المواد الغذائية والكيماويات والسلع، وإدارة النفايات، ومقدمي الخدمات الرقمية مثل مزودي خدمات الإنترنت (ISPs)، والأبحاث.
ولمعالجة الحجم، يصنف نظام المعلومات الوطني 2 المؤسسات إما كبيرة أو متوسطة الحجم. المؤسسات الكبيرة هي تلك التي يعمل بها أكثر من 250 موظفًا وتبلغ إيراداتها 50 مليون يورو على الأقل. أما المؤسسات متوسطة الحجم فهي تلك التي يعمل بها أقل من 250 موظفًا ولا يتجاوز حجم مبيعاتها السنوية 50 مليون يورو.
ولمعالجة التعاون، يضع نظام المعلومات الأمنية الوطني 2 أيضاً هيكلاً للإبلاغ عن الحوادث. ويشمل ذلك تشكيل مكونات مثل السلطة المختصة ونقطة اتصال واحدة وفريق الاستجابة للحوادث الأمنية الحاسوبية (CSIRT). تحدد المادة 23 ما يجب الإبلاغ عنه والجداول الزمنية.
يتم تحديد الإنفاذ من خلال التزام المؤسسات بتنفيذ تدابير إدارة مخاطر الأمن السيبراني الموصى بها ومتطلبات الإبلاغ. يمكن أن تصل غرامات عدم الامتثال لهذه الشركات إلى 10 ملايين يورو (أو ما يصل إلى 21 تيرابايت 3 تيرابايت من حجم المبيعات العالمية) للكيانات "شديدة الأهمية" أو 7 ملايين يورو للكيانات "الحرجة".
بحلول 17 أكتوبر 2024، يجب على الدول الأعضاء اعتماد ونشر التدابير اللازمة للامتثال لتوجيهات NIS2. ولكن ماذا يعني ذلك بالضبط بالنسبة للشركات المتأثرة؟
يحدد NIS2 التدابير الرئيسية التي تحتاج القطاعات ومؤسسات البنية التحتية الرقمية في جميع أنحاء الاتحاد الأوروبي إلى تنفيذها، بما في ذلك استخدام المصادقة متعددة العوامل (MFA)، وسياسات التحكم في الوصول وإدارة الأصول، والنظافة الإلكترونية الأساسية والتدريب، من بين تدابير أخرى.
لا تحدد NIS2 كيفية استيفاء تلك التدابير. وبدلاً من ذلك، فإنه يشير إلى معايير أخرى مثل ISO أو CIS أو NIST أو IEC، إلى جانب مبادئ انعدام الثقة، كمبادئ توجيهية يجب على المؤسسات اتباعها لتحقيق الامتثال.
تعطي هذه المعايير الأولوية لأمن الهوية - على سبيل المثال، فإن ISO27002 يوفر معيار أمن المعلومات والأمن السيبراني وحماية الخصوصية إرشادات مفيدة حول تطوير التحكم في الوصول وإدارة الهوية والمصادقة الآمنة وغيرها من القدرات التي تتوافق مع NIS2. كما يوصي معيار NIS2 أيضاً بـ سبعة مبادئ للثقة الصفرية, والتي تؤكد أيضًا على ضوابط أمن الهوية.
وباتباع هذين النهجين، سيكون لدى المؤسسات المتأثرة منهجية شاملة لتحقيق الامتثال لنظام NIS2 والدفاع عن نفسها من الهجمات الإلكترونية الأكثر تكراراً وضرراً.
هناك مقولة قديمة مفادها أنه لا ينبغي للمؤسسات أن تهدر أزمة جيدة، وهذا هو الحال مع NIS2، مما يجبر المؤسسات على تقييم جميع جوانب بروتوكولات الأمان الخاصة بها والتركيز على مبادئ الثقة الصفرية والمعايير ذات الصلة التي تنطبق على أعمالها. عند القيام بذلك، لا ينبغي للمؤسسات أن تتعامل مع NIS2 على أنه تمرين التحقق من الصندوق:: إذا كانوا يأخذون الوقت الكافي لتقييم وضع الأمن السيبراني لديهم، فيجب عليهم الاستثمار في القدرات التي تدافع ضد أكثرها تكراراً وأعلاها تأثيراً.
في معظم الحالات، يميل ذلك إلى الهوية. وقد وجد تقرير تقرير تحقيقات اختراق البيانات لعام 2023 الصادر عن شركة Verizon Data Breach Investigations أن "الطرق الثلاث الرئيسية التي يدخل بها المهاجمون إلى المؤسسة هي بيانات الاعتماد المسروقة، والتصيد الاحتيالي، واستغلال نقاط الضعف". وعلاوة على ذلك، أصبح استخدام بيانات الاعتماد المسروقة "نقطة الدخول الأكثر شيوعًا للاختراقات" خلال العام الماضي؛ حيث وجد التقرير أن 49% من جميع حالات اختراق البيانات تضمنت بيانات الاعتماد.
لا يقتصر الأمر على أن الهوية هي المجال الذي يتم اختراقه في معظم الهجمات - بل إن الهجمات المتعلقة بالهوية تميل إلى أن تكلف المؤسسات أكثر من غيرها. فقد وجد تقرير آي بي إم تقرير تكلفة اختراق البيانات لعام 2023 أن أكثر ناقلات الهجوم الأولية شيوعًا هي التصيد الاحتيالي؛ كما أنه كان أيضًا من أكثرها تكلفة، حيث كلف المؤسسات ما متوسطه $4.76 مليون دولار.
على الرغم من أهمية جميع مجالات الأمان، إلا أن الهوية، خاصة في بيئة العمل المختلطة، تلعب دوراً رئيسياً في تأمين مؤسستك. يجب على المؤسسات تعيين شريك أمني يركز على الهوية لإجراء تقييم NIS2 والتوصية بأفضل مزيج من حلول ذكاء الهوية الآلي والمصادقة وإدارة الوصول والحوكمة ودورة الحياة للسماح لك بحماية جميع الموارد والهويات والبيئات التي حددها توجيه NIS2.
ستجد المنظمات أن منصة الهوية الموحدة ستكون أبسط طريقة لضمان مراجعة كاملة وشاملة من البداية إلى النهاية ومجموعة من الحلول التي يمكن إنشاؤها لتتجاوز جميع متطلبات NIS2 وتوسيع نطاقها لتلبية الاحتياجات المستقبلية مع تطور متطلبات الأعمال والأمن.
لمعرفة المزيد، اتصل بـ RSA لبدء تقييم أمان هوية NIS2 الخاص بك.
