Home
 

Teie juhend NIS2 kohta ja mida see tähendab teie organisatsiooni küberturvalisuse jaoks

Kas teie olete üks kriitilistest infrastruktuuridest ja kui jah, siis mida peab teie organisatsioon seoses NIS2-ga arvestama?

Kriitilise infrastruktuuri tõrked või kahjustused võivad põhjustada tarnepuudujääke, avaliku julgeoleku häireid või muid dramaatilisi tagajärgi. ELi direktiivi NIS2 (Network and Information Systems Directive 2022) eesmärk on tugevdada kriitilisi infrastruktuure moodustavate Euroopa ettevõtete ja asutuste kübervastupidavust. Kas teie olete üks kriitilistest infrastruktuuridest ja kui jah, siis mida peab teie organisatsioon seoses NIS2-ga arvestama?

Waterfall Security näitab, et aastatel 2021-2022 suurenes kriitilise infrastruktuuri vastu suunatud küberrünnakute arv järsult - nimelt 140%. Selle uuringu kohaselt oli 2022. aastal enamik kriitilise infrastruktuuri vastu suunatud küberrünnakuid lunavara, mis ei mõjutanud mitte ainult IT-võrku, vaid avaldas häiritud IT-süsteemide kaudu füüsilisi tagajärgi ka reaalses maailmas. Aruandes loetletakse selliseid näiteid nagu 14 tipptasemel autotehase, 23 rehvitehase, ühe suure toiduainetetööstuse ja kirjastuse tööseisakud, kümnete tuhandete lennureisijate lennu hilinemine ning kaubakonteinerite peale- ja mahalaadimise tõrked.

 

Miks NIS2: Kriitiliste infrastruktuuride küberturvalisus:

Direktiivis NIS2 nõutakse, et elutähtsate infrastruktuuride ettevõtted tegeleksid selliste võimalike riskidega nagu inimlikud vead, süsteemirikked, pahatahtlikud osalejad, looduskatastroofid ning süsteemide füüsiline ja keskkonnaalane turvalisus, mis mõjutavad nende võrgu- ja infoturvet. Need ettevõtted peaksid jälgima oma küberturvariske ja omama plaane oma tegevuse järjepidevuse säilitamiseks.

Eeskirjade mittetäitmise võimalikud tagajärjed on shokeerivad, sest eeskirju eiravaid organisatsioone võivad ähvardada kuni 10 miljoni euro suurused trahvid ehk 2% ülemaailmsest aastakäibest.

ELi NIS2 jõustus 16. jaanuaril 2023. aastal ja see lisatakse iga ELi liikmesriigi seadustesse 17. oktoobriks 2024. aastal. Kuigi uuele poliitikale oli eelkäija - NIS võeti algselt kasutusele 2016. aastal -, kehtib NIS2 rohkemate organisatsioonide, kui NIS.

See artikkel aitab teil välja selgitada, kas teie organisatsioonile kehtib NIS2 ja kui see on nii, annab nõuandeid, kuidas seda seadust järgida ja vältida mittevastavusega kaasnevaid ohte.
 

Lahendused
Konsulteeri

Kas teie organisatsiooni suhtes kohaldatakse NIS2-eeskirju?


See, kas te kuulute NIS2 alla, sõltub peamiselt kahest tegurist - tööstusharust, kus te tegutsete, ja teie organisatsiooni suurusest
  • NIS2 alla kuuluvad järgmised tööstusharud (mis omakorda jagunevad "väga kriitilisteks" ja "kriitilisteks").
  • Ettevõtte/organisatsiooni suurus on samuti otsustav tegur, õigusaktiga on hõlmatud kõik keskmise suurusega organisatsioonid (51-249 töötajat; aastakäive < 50 miljonit eurot) ja suured organisatsioonid (> 250 töötajat; aastakäive > 50 miljonit eurot).
Väga kriitiline

Transport
Energia
Pangandus- ja finantsturu infrastruktuur
Tervishoid
Joogivesi
Reovesi
Digitaalne infrastruktuur
IKT teenuste haldamine (B2B)
Valitsus
Kosmosereisid
Kriitiline 

Tootmine
Jäätmekäitlus
Posti- ja kullerteenused
Toiduainete tootmine, töötlemine ja turustamine
Keemia ja farmaatsiatööstus
Digitaalse teenuse pakkujad
Teadusuuringud

Kas olete hädavajalik või oluline?


Kui teie organisatsioon vastab NIS2 määrustele, tuleb määratleda veel üks oluline erinevus: Väga kriitilised ettevõtted on "hädavajalikud", kriitilised ettevõtted on "olulised".
 
  • Mõlemale kehtivad samad küberturvalisuse haldamise nõuded ja NIS2 kohane aruandluskohustus.
  • Siiski on nõuete täitmise järelevalve mõlema puhul erinev:

 
Väga kriitiline = Hädavajalik

Hädavajalike organisatsioonide puhul peab järelevalve olema rangelt ennetav ja selgelt kajastatud protsessides, kusjuures reguleerivad asutused peavad kontrollima, et need organisatsioonid kohaldavad neid meetmeid ja täidavad neid nõuetekohaselt.
 
Kriitiline = Oluline

Oluliste organisatsioonide puhul reageerib järelvalve, kui on tõendeid küberintsidentide kohta.
 
Lahendused
Konsulteeri

Neli peamist nõudmiste valdkonda



NIS2 tugineb NISile ja sisaldab nelja uut põhinõuet, mille eesmärk on tagada teie organisatsiooni küberturvalisus.

Peate tagama, et suudate tõestada järgmist:
 
  • Riskijuhtimine - organisatsioonid peavad tegelema kõigi potentsiaalsete riskidega, sealhulgas inimlike vigade, süsteemirikete, pahatahtlike osalejate, looduskatastroofide ning süsteemide füüsilise ja keskkonnaturvalisusega.
  • Ettevõtte vastutus - NIS2 peab C-tasandi juhte vastutavaks ja nõuab, et juhtkond jälgiks, kiidaks heaks, oleks koolitatud ja tegeleks oma organisatsiooni küberturvalisust ohustavate riskidega. Kui juhid ei suuda seda teha, võetakse nad isiklikult vastutusele selliste meetmete abil nagu juhtivatest ametikohtadest kõrvaldamine.
  • Aruandluskohustused - NIS2-s on üksikasjalikud nõuded turvaintsidentidest teatamiseks, seega kui teie organisatsioon on NIS2-s kohaldatav, on väga oluline, et teil oleks olemas protsessid turvaintsidentidest kiireks teatamiseks.
  • Äritegevuse järjepidevus- Kuna NIS2 kehtib ühiskonna toimimiseks elutähtsate teenuste osutajate suhtes, peavad neil organisatsioonidel olema plaanid oma teenuste toimimise säilitamiseks, kui neil tekib suur turvaintsident. Need kavad peaksid hõlmama süsteemi taastamist, hädaolukorra menetlusi ja kriisireguleerimisrühma loomist.

Minimaalsed turvameetmed, mida peavad olema kaetud NIS2 alusel


Kui teie organisatsiooni suhtes kohaldatakse NIS2-eeskirju, peate turvaintsidentide vältimiseks ja nende mõju minimeerimiseks võtma kasutusele asjakohased ja proportsionaalsed riskijuhtimismeetmed.

Nende lahendamiseks on NIS2-s sätestatud kümme põhimeedet, mida peate arvestama:
 
  1. Riskianalüüsi ja infosüsteemide turvalisuse poliitika.  
  2. Intsidentide käsitlemine.  
  3. Äritegevuse järjepidevus - näiteks varukoopiate haldamine ja avariitaaste ning kriisiohjamine.  
  4. Tarneahela turvalisus - sealhulgas iga üksuse ja tema otseste tarnijate või teenusepakkujate vahelisi suhteid käsitlevad turvalisusega seotud aspektid.
  5. Turvalisus võrgu- ja infosüsteemide soetamisel, arendamisel ja hooldamisel, sealhulgas haavatavuse käsitlemine ja avalikustamine.   
  6. Küberturvalisuse riskijuhtimise meetmete tõhususe hindamise eeskirjad ja protseduurid.
  7. Küberhügieeni põhitavad ja küberturvalisuse koolitus.   
  8. Krüptograafia ja vajaduse korral krüpteerimise kasutamist käsitlevad eeskirjad ja protseduurid.
  9. Inimressursside turvalisus, juurdepääsukontrolli põhimõtted ja varade haldamine.
  10. Mitmefaktorilise autentimise või pideva autentimise lahenduste, turvatud kõne-, video- ja tekstiside ning turvatud hädaolukorra sidesüsteemide kasutamine üksuses - kui see on asjakohane.
Lahendused
Konsulteeri

NIS2 nõuetele vastavuse tagamine – kuidas Konica Minolta saab teid aidata


Konica Minolta pakub mitmeid professionaalseid turvalahendusi, mis aitavad täita mõningaid peamisi NIS2 nõudeid, näiteks:

 
 
Intsidentide käsitlemine ja hooldus

Äritegevuse järjepidevus koos varunduste haldamisega

Mitmefaktorilise autentimise kasutamine

Turvalahendused Konica Minolta multifunktsionaalsele printerile

bizhub secure

Andmete turvalisus
Üldise andmekaitse määruse (GDPR) nõuetele vastav bizhub SECURE lahendus, mis kaitseb teie mitmeotstarbelises seadmes sisalduvaid andmeid:
  • Kõvaketta parooliga lukustamine, andmete krüpteerimine ja ajutine andmete kustutamine.
  • Dokumentide automaatne kustutamine
  • Turvaline printimine, ID-trükk, krüpteeritud PDF-skaneerimine paroolireeglid, administraatori parooli muutmine
  • Ühildub enamiku Konica Minolta bizhub MFP-dega
Rohkem

Antiviruss

Viirusetõrje tarkvara
Bitdefenderi tipptasemel viirusetõrjelahendust saab integreerida Konica Minolta bizhub i-seeria MFP tarkvarasse ja see jälgib reaalajas kõiki failide ja dokumentide ülekandeid:
  • tuvastab koheselt viirused või pahavara ja hoiatab teid võimalike ohtude eest
  • võimaldab printeri kõvaketta käsitsi või nõudmisel skaneerida
  • takistab viiruste levikut teistesse arvutitesse või serveritesse ja tagab, et printer ei muutu ettevõtte teabe kadumise allikaks

Turvaline printimise infrastruktuur

Trükkimiskeskkond

Raamatupidamise ja printimiskeskkonna turvalisuse tagamiseks
Prindihalduse ja dokumentide digiteerimise lahendus, mis on mõeldud igas suuruses ettevõtete vajaduste rahuldamiseks, et tõhusalt hallata ja vähendada trükiteenuste kulusid, luua tõhus digiteerimisprotsess ja suurendada dokumentide turvalisust. 
  • Turvaline printimiskeskkond, mis välistab volitamata juurdepääsu konfidentsiaalsetele dokumentidele ja tundlikule äriteabele.
  • Trükkimiskeskkonna raamatupidamine ja selle tagamine, et trükitakse ainult tööga seotud dokumente ja et kõik trükikulud on omistatud dokumendi koostajatele.
  • Toetatakse kaheastmelist autentimist: ID-kaart, parool, PIN-kood.
  • Tootlikkus: skaneerimise ja dokumenditöö sujuvamaks muutmine kogu ettevõttes.
Lisateave

Turvaline printimise infrastruktuur pilves

Nutikad teenused kontorile
Kasutage 24/7:
  • Dokumentide tõlkimine, konverteerimine, turvaline külalistrükkimine ilma kontota, juurdepääs välisele salvestusruumile, printimine mis tahes ühendatud multifunktsionaalsest printerist ja muudest rakendustest.
  • Lihtne hallata: kasutajate, teenuste ja seadmete haldamiseks ei ole vaja spetsiaalseid IT-teadmisi.
  • Turvaline ja nõuetele vastav: andmete krüpteerimine ja isikuandmete pseudonümiseerimine. Workplace Pure'i platvormi hoitakse turvaliselt Saksamaal (Open Telecom Cloudi andmekeskuses, millel on ISO 27001 sertifikaat), et täita GDPRi, maailma kõige rangemat andmekaitse- ja eraelu puutumatuse seadust.
  • Toetatakse kaheastmelist autentimist: ID-kaart, parool, PIN-kood.
Lisateave

Soovite konsultatsiooni?

Võtke meiega ühendust