Dokumen asli 2016 NIS Directive berfokus terutama pada penetapan langkah-langkah keamanan siber inti untuk melindungi beberapa layanan utama Uni Eropa yang saling terhubung. Fokusnya adalah pada infrastruktur yang dianggap penting (seperti energi, air, transportasi, perawatan kesehatan, dan perbankan) dan tercakup dalam perlindungan dasar yang ditetapkan oleh arahan tersebut.
Petunjuk NIS2 memperluas cakupan Petunjuk NIS yang asli dengan mencakup sektor dan entitas tambahan. Petunjuk ini mencakup operator layanan esensial (OES) di berbagai sektor seperti energi, transportasi, perbankan dan infrastruktur pasar keuangan, perawatan kesehatan, pasokan air, dan infrastruktur digital (seperti pasar online, komputasi awan, dan mesin pencari), serta organisasi yang mendukung OES.
Organisasi yang termasuk dalam NIS2 harus mematuhi arahannya paling lambat 17 Oktober 2024. Organisasi harus memenuhi tenggat waktu tersebut: selain memberikan rekomendasi keamanan siber yang efektif, NIS2 juga dilengkapi dengan denda hingga 2% dari omset global bagi organisasi yang gagal mematuhi dalam situasi tertentu.
Namun, meskipun NIS2 sudah jelas mengenai siapa yang perlu mengikuti arahan dan apa hukumannya jika tidak mematuhinya, satu hal yang tidak dijelaskannya adalah bagaimana organisasi harus mempersiapkan diri. Jadi, mari kita tinjau panduan NIS2 dan praktik terbaik yang harus dilakukan organisasi untuk memenuhi kepatuhan dan mempertahankan diri dari ancaman yang muncul.
Untuk menentukan dengan lebih baik organisasi yang perlu disertakan, dua kriteria dasar ditetapkan: sektor dan ukuran. Untuk sektor, NIS2 Lampiran 1 dan 2 mengidentifikasi sektor "Sangat Kritis" (alias entitas esensial) dan sektor "Kritis" (alias entitas penting). Terdapat sebelas sektor Sangat Kritis, sebagian besar terkait dengan operasi sehari-hari perekonomian suatu negara, seperti energi, transportasi, perbankan, layanan air, layanan kesehatan, infrastruktur digital, pemerintahan, dan ruang angkasa. Sektor-sektor kritis terkait dengan layanan-layanan utama yang mendukung perekonomian suatu negara, seperti manufaktur dan distribusi makanan, bahan kimia, dan barang, pengelolaan limbah, penyedia layanan digital seperti penyedia layanan internet (ISP), dan penelitian.
Untuk membahas ukuran, NIS2 mengkategorikan organisasi sebagai organisasi besar atau menengah. Organisasi besar adalah organisasi yang memiliki lebih dari 250 karyawan dan pendapatan minimal €50 juta. Organisasi berukuran sedang adalah organisasi yang memiliki kurang dari 250 karyawan dan omset tahunan tidak melebihi €50 juta.
Untuk menangani kerja sama, NIS2 juga menjabarkan struktur pelaporan insiden. Hal ini mencakup pembentukan komponen seperti otoritas yang berwenang, satu titik kontak dan CSIRT (Computer Security Incident Response Team). Pasal 23 menjabarkan apa saja yang perlu dilaporkan dan jangka waktunya.
Penegakan ditentukan oleh kepatuhan organisasi dalam menerapkan persyaratan Tindakan Manajemen Risiko Keamanan Siber dan Pelaporan yang direkomendasikan. Denda atas ketidakpatuhan untuk bisnis ini dapat mencapai €10 juta (atau hingga 2% dari omset global) untuk entitas "Sangat Kritis" atau €7 juta untuk entitas "Kritis".
Pada tanggal 17 Oktober 2024, negara-negara anggota harus mengadopsi dan mempublikasikan langkah-langkah yang diperlukan untuk mematuhi Arahan NIS2. Namun, apa artinya hal tersebut bagi bisnis yang terdampak?
NIS2 menguraikan langkah-langkah utama yang perlu diterapkan oleh sektor dan organisasi infrastruktur digital di seluruh Uni Eropa, termasuk penggunaan otentikasi multi-faktor (MFA), kebijakan kontrol akses dan manajemen aset, kebersihan dunia maya dasar, dan pelatihan, di antara langkah-langkah lainnya.
NIS2 tidak mendefinisikan bagaimana cara untuk memenuhi langkah-langkah tersebut. Sebaliknya, ini mengacu pada standar lain seperti ISO, CIS, NIST, atau IEC, bersama dengan prinsip-prinsip zero trust, sebagai pedoman yang harus diikuti oleh organisasi untuk mencapai kepatuhan.
Standar-standar tersebut memprioritaskan keamanan identitas-misalnya ISO27002 Standar keamanan informasi, keamanan siber, dan perlindungan privasi memberikan panduan yang berguna untuk memajukan kontrol akses, manajemen identitas, otentikasi yang aman, dan kemampuan lain yang selaras dengan NIS2. NIS2 juga merekomendasikan NIST's tujuh prinsip tanpa kepercayaan, yang juga menekankan kontrol keamanan identitas.
Dengan mengikuti kedua pendekatan tersebut, organisasi yang terkena dampak akan memiliki metodologi yang menyeluruh untuk mencapai kepatuhan NIS2 dan mempertahankan diri dari serangan siber yang paling sering terjadi dan merusak.
Ada pepatah lama yang mengatakan bahwa organisasi tidak boleh menyia-nyiakan krisis yang baik, dan itulah yang terjadi pada NIS2, yang memaksa organisasi untuk mengevaluasi semua aspek protokol keamanan mereka dan fokus pada prinsip-prinsip zero trust dan standar-standar yang relevan yang berlaku untuk bisnis mereka. Dalam pelaksanaannya, organisasi tidak boleh mendekati NIS2 sebagai latihan centang kotakjika mereka meluangkan waktu untuk mengevaluasi postur keamanan siber mereka, maka mereka harus berinvestasi pada kemampuan yang dapat mempertahankan diri dari serangan yang paling sering terjadi dan berdampak paling tinggi.
Dalam banyak kasus, hal itu cenderung berupa identitas. Laporan Investigasi Pelanggaran Data Verizon 2023 Verizon Data Breach Investigations Report menemukan bahwa "tiga cara utama yang digunakan penyerang untuk mengakses sebuah organisasi adalah kredensial yang dicuri, phishing, dan eksploitasi kerentanan." Selain itu, penggunaan kredensial curian "menjadi titik masuk paling populer untuk pelanggaran" selama setahun terakhir; laporan tersebut menemukan bahwa 49% dari semua pelanggaran data melibatkan kredensial.
Bukan hanya karena identitas merupakan domain yang disusupi dalam sebagian besar serangan, tetapi juga karena serangan terkait identitas cenderung menimbulkan kerugian paling besar bagi organisasi. Laporan Biaya Pelanggaran Data Laporan 2023 dari IBM menemukan bahwa vektor serangan awal yang paling sering terjadi adalah phishing; ini juga merupakan salah satu serangan yang paling mahal, dengan rata-rata biaya yang harus dikeluarkan oleh perusahaan sebesar $4,76 juta.
Meskipun semua domain keamanan itu penting, identitas, terutama di lingkungan kerja hibrida, memainkan peran kunci dalam mengamankan organisasi Anda. Organisasi harus menunjuk mitra keamanan yang berfokus pada identitas untuk melakukan penilaian NIS2 dan merekomendasikan perpaduan terbaik antara intelijen identitas otomatis, autentikasi, manajemen akses, dan solusi tata kelola serta siklus hidup untuk memungkinkan Anda melindungi semua sumber daya, identitas, dan lingkungan yang ditetapkan oleh arahan NIS2.
Organisasi akan menemukan bahwa platform identitas terpadu akan menjadi cara termudah untuk memastikan tinjauan menyeluruh dan komprehensif serta seperangkat solusi yang bisa dibuat untuk melampaui semua persyaratan NIS2 dan skala untuk memenuhi kebutuhan di masa depan seiring dengan berkembangnya kebutuhan bisnis dan keamanan.
Untuk mengetahui lebih lanjut, hubungi RSA untuk memulai penilaian keamanan identitas NIS2 Anda.
