Nis Directive - Nedir ?

Nis Directive - Nedir ?

 Nis Directive nedir . İlk kez, kritik altyapı siber güvenliğini yöneten Avrupa çapında bir rejimi yerinde görmek üzereyiz. Ağ ve Bilgi Güvenliği (NIS) Direktifi hakkında bilmeniz gerekenler…

Nis Directive - Nedir

Enerji tedarikçileri ve sağlık tesislerini etkileyen, geçen yılki Petya ve WannaCry saldırıları, kritik altyapı siber saldırıya uğradığında sonuçların ciddi olabileceğini hatırlattı. Avrupalı ​​milletvekilleri, buna daha güçlü, ortak bir yanıt verilmesi gerektiğini uzun zamandır kabul ediyorlar ...


Nis Directive, yapım aşamasında dört yıldan fazla bir süredir, AB Üye Devletlerinin hazırlığını geliştirmek, sınır ötesi işbirliğini artırmak ve “ ekonomimiz ve toplumumuz için hayati önem taşıyan sektörler arasında bir güvenlik kültürü ” oluşturmak için tasarlanmıştır .


İki tür organizasyonu kapsar…


Temel hizmetlerin (OES) operatörleri . Bu, Enerji ve su temini, ulaşım, sağlık, finans ve DNS servis sağlayıcıları, üst düzey alan adı kayıtları ve İnternet değişim noktaları gibi dijital altyapıyı kapsar.

Dijital servis sağlayıcılar (DSP).

Dijital hizmetler, geniş terimlerle “ normalde uzaktan, elektronik yollarla ve hizmetlerin alıcısının bireysel talebi üzerine ücret karşılığı sağlanan herhangi bir hizmet ” olarak tanımlanır .


Direktif, kapsanan tüzel kişiliğin türünü tanımlamaya devam eder ...


Çevrimiçi pazar yerleri. Bunlar, özellikle alıcılar ve satıcılar arasındaki aracılar olarak tanımlanır - ve yalnızca satışlar gerçekten platformun kendisinde yapılıyorsa. Yani bu dünyanın Gumtrees ve E-koyları dahil; normal e-ticaret mağazaları değildir.

Çevrimiçi arama motorları. Yalnızca kullanıcıların tüm Web'de arama yapmasına izin veren hizmetler veya belirli bir dildeki web siteleri yakalanır.

Bulut bilişim hizmetleri. Buna hizmet olarak b2b yazılımı, hizmet olarak altyapı veya hizmet olarak platformlar sunan kuruluşlar dahildir.

Mikro ve küçük işletmeler hariçtir . Bir şirket yukarıdaki üç kriterden birini karşılasa bile, NIS Direktifi 50'den az çalışanı ve 10 milyon Euro'nun altında yıllık cirosu varsa geçerli olmayacaktır.

Güvenlik gereksinimleri

Teknoloji yasaları genel olarak tasarlanma eğilimindedir - ne yapılacağına dair bir plan yerine üst düzey ilkeleri belirler. NIS Direktifi bu modeli takip eder.


OES ve DSP ikisi için de, Üye Devletler “o sağlayıcıları sağlamak için anlatılır ... belirlemek ve ağ ve bilgi sistemlerinin güvenliğine yöneltilen riskleri yönetmek için uygun teknik ve organizasyonel önlemler almak ”


Sağlayıcılar, siber güvenlik düzenlemesinde çok fazla yer tutan bir cümle kullanarak, riskleri azaltmak için önlemler alırken " en son teknolojiyi " dikkate almalıdır .


Peki bu gerçek hayatta ne anlama gelir? OES için, sektöre özgü en iyi uygulama kılavuzlarını takip etmek anlamına gelecektir. DSP'ler için, ulusal hükümetlerin " uygun teknik ve organizasyonel önlemlerin " anlamını biraz daha kuralcı ilkelere indirgemesi muhtemeldir .


Örneğin, Birleşik Krallık hükümeti, uyumu sağlamak için DSP'lerin izlemesi gereken beş güvenlik ilkesini zaten belirledi ...


Sistemleri saldırı veya arızadan korumak için " orantılı " güvenlik önlemlerine duyulan ihtiyaç

Etkili olay yönetimi için uygun yapılar ve süreçler

Olay azaltma yetenekleri - hizmet geri yüklemesi dahil

Tehdit tespiti yoluyla savunmaların sürekli etkin kalmasını sağlayın

" Uluslararası kabul görmüş siber güvenlik standartlarına " uyulmasını sağlamak.

(Not: yasa size hangi SIEM paketini satın alacağınızı veya güvenlik duvarınızı nasıl yapılandıracağınızı söylemeyecektir - bu size bağlıdır).


Olay raporlama - Nis Directive Nedir

Direktif, Üye Devletleri kapsamlı bir raporlama rejimine sahip olmaya zorlamaktadır. DSP'ler için bu, " bir hizmetin sağlanması üzerinde önemli bir etkiye sahip olan" herhangi bir olayı " gereksiz gecikmeden " yetkili makama rapor etme görevini içerir .


Yetkili makamlar kimlerdir? İngiltere'nin Bilgi Komiserliği Ofisi (ICO), DSP'ler için yetkili makam olmaya hazır görünürken, sektöre özgü organlara OES'leri denetleme rolü verilecek.


"Önemli etkisi" olan olaylar nelerdir? Her şey kesinti düzeyiyle ilgili. Bir hizmeti kullanılamaz hale getiren tam bir kesinti karşılanacaktır. Aynı şey, esasen kullanılamayacak kadar yavaş çalışan hizmetler için de geçerlidir. Zamanla kesintiye neden olan bir dizi daha kısa olay da muhtemelen kapsanacaktır.


72 saatlik bir raporlama penceresi olası görünüyor.


Cezalar

Yönerge, uyumsuzluk için iki aşamalı bir para cezası sistemi getirmektedir.


Düzenleyici kurum ile bildirimde bulunulmaması veya işbirliği yapılmaması durumunda, maksimum 10 milyon Euro veya yıllık cironun% 2'si tutarında para cezası vardır.


Daha önemli ihlaller için (uygun güvenlik önlemlerinin uygulanmaması dahil) para cezaları maksimum 20 milyon Euro veya cironun% 4'ü olarak belirlenir.


Nis Directive ve GDPR

GDPR, kişisel verilerin tehlikeye atılmasıyla ilgilenir. NIS Direktifi, temel hizmetleri çalışır durumda tutmaya odaklanmıştır.


Bir SaaS sağlayıcısının bir DDoS saldırısı tarafından vurulduğunu varsayalım. Kişisel verilerden ödün verilmez - ancak hizmet tüm gün boyunca kullanılamaz hale gelir. GDPR kapsamında raporlama zorunluluğu olmamasına rağmen, şirketin neredeyse kesinlikle NIS Direktifi kapsamında düzenleyiciyi bilgilendirmesi gerekecektir.


Ancak bir hizmet kesintisi VE kişisel veri kaybı olduğunu varsayalım. Şirket, hem NIS Direktifi hem de GDPR kapsamında farklı raporlama gereksinimleriyle karşı karşıya kalacaktır. Birleşik Krallık düzenleyicisinin belirttiği gibi, " Her bir mevzuatın gerekliliklerine kendi şartlarına uyulmalıdır ". Bu, aynı ihlal için düzenleyiciye iki rapor sunma olasılığını artırır!


Müteahhitler için sorunlar… - Nis Directive Nedir

Bir DSP veya OES değilsiniz. Peki Nis Directive sizi etkiliyor mu?


İngiltere, Almanya ve Fransa'daki büyük sağlık tesislerine destek hizmetleri (örneğin, veri yönetimi veya yönetilen güvenlik) sağladığınızı varsayalım.



OES olarak, bir NIS ihlali olması durumunda kutuyu taşıyan müşteriniz olacaktır - bu nedenle tedarik zincirlerindeki tüm yükümlülükleri yerine getirmeye çalışacaklardır. Büyük müşterilerin, sizin tarafınızdaki hatalarla ilgili tazminat hükümleri de dahil olmak üzere mevcut sözleşme düzenlemelerine dikkatlice bakmalarını bekleyin.


Sözleşmenizi, özellikle bildirim gereksinimleri söz konusu olduğunda kontrol edin; Sonunda müşterinizin hizmet sürekliliğini etkileyen bir sorun varsa, bunu hemen öğrenmeleri gerekir.


Sıradaki nerede?

AB Üye Devletlerinin Direktifi uygulamak için Mayıs 2018'e kadar süreleri vardır. Bir düzenlemenin aksine bir yönerge olarak , otomatik olarak yürürlüğe girmez (her ülke kendi yasasını çıkarır). Birleşik Krallık'ta nihai taslaklar ve yönergeler yakında bekleniyor; AB genelinde olan bir şey.

Hiç yorum yok:

Blogger tarafından desteklenmektedir.