До обновленного крайнего срока принятия Директивы о сетевой и информационной безопасности (NIS2) осталось меньше месяца, и организации по всему ЕС готовятся к вступлению нового регламента в полную силу 17 октября. Однако на этом дело не заканчивается. 17 января 2025 года новый Закон об операционной устойчивости цифровых технологий (DORA) также вступит в силу для финансовых организаций и сторонних ИТ-провайдеров отрасли.
Организации по всему ЕС и организации, базирующиеся в других регионах, которые ведут бизнес с компаниями региона, находятся под растущим давлением необходимости адаптироваться к этим нормативным требованиям. Ожидается, что конвергенция этих рамок затронет в общей сложности более 170 000 европейских организаций — из них 150 000 организаций, затронутых NIS2, и более 22 000 финансовых учреждений и поставщиков услуг ИКТ, по оценкам, затронуты DORA.
Что такое NIS2 и DORA?
NIS2 стремится обеспечить всеобъемлющее законодательство в области кибербезопасности в масштабах всего ЕС. Она расширяет сферу применения Директивы NIS и вводит более строгие требования безопасности для 18 секторов экономики. Подобно Общему регламенту защиты данных (GDPR), NIS2 будет работать над объединением мер и подходов кибербезопасности между организациями, чтобы помочь укрепить цифровую инфраструктуру Европы.
DORA — это отраслевое руководство для финансовых учреждений, направленное на управление операционными рисками. У DORA есть две четкие цели. Во-первых, управление ИТ-рисками должно быть усилено во всем секторе финансовых услуг. Во-вторых, речь идет о гармонизации действующих правил управления ИТ-рисками, которые уже существуют в странах-членах ЕС.
DORA не оставляет свободы действий на уровне государств-членов, в то время как NIS2 представляет собой директиву, которая позволяет странам разрабатывать правила, основанные на их конкретных национальных потребностях.
Стратегии соответствия для NIS2 и DORA
Хотя это может показаться чрезмерным для компаний, которые уже находятся в сложных экономических обстоятельствах, подобные правила принимаются в ответ на растущий ландшафт угроз, и реализация необходимых изменений создаст новые возможности для повышения киберустойчивости, а общая киберустойчивость создаст ситуацию с безопасностью. Чтобы воспользоваться этими возможностями и опережать будущие правила, компании должны принять девять стратегий соблюдения требований, указанных ниже:
Комплексная оценка рисков: Организации должны провести тщательную оценку рисков, соответствующую требованиям NIS2 и DORA. Это должно включать в себя выявление критически важных активов, оценку потенциальных угроз и оценку влияния различных сценариев риска. Единый подход к оценке рисков помогает выявить распространенные уязвимости и разработать оптимизированную стратегию снижения рисков.
Образование и обучение: Из-за ограниченности ресурсов компании часто особенно уязвимы для киберугроз. Но даже когда ресурсы ограничены, компании могут проводить постоянное обучение и повышать осведомленность, а также создавать и внедрять четко определенные меры безопасности. Благодаря такому регулярному обучению организации могут воспитать необходимую культуру соблюдения требований и осведомленности о безопасности.
Представляем модель совместной ответственности: В последние годы киберпреступники усовершенствовали свою тактику и заставили компании действовать быстро. Один из способов решения этих проблем — принять модель общей ответственности, чтобы гарантировать, что политики и методы безопасности актуальны и последовательно применяются во всех организациях, не оставляя камня на камне. Активная стратегия соответствия начинается с четкого определения ролей, обязанностей и целей, документированных в политике компании в соответствии с руководящими принципами NIS2 и DORA.
Интегрированная отчетность об инцидентах: Организации должны внедрить последовательный, унифицированный план реагирования на инциденты, чтобы соответствовать требованиям NIS2 и DORA, поскольку оба требуют механизмов отчетности об инцидентах. Сюда входит эффективная оптимизация каналов коммуникации, прозрачное общение с потребителями и обеспечение своевременной отчетности в соответствующие органы.
Сделайте кибербезопасность своей основной ценностью: Руководители служб безопасности должны усердно работать, чтобы развеять мифы о кибербезопасности и показать, как несколько изменений в поведении могут защитить всю организацию в соответствии с NIS2 и DORA. На высшем руководстве лежит ответственность за интеграцию безопасности и конфиденциальности во все инициативы, связанные с данными, с самого начала.
Межплатформенное управление: Организациям необходимо рассмотреть возможность создания специальных групп по соблюдению требований или интеграции обязанностей в существующие функции управления рисками для мониторинга соблюдения требований в соответствии с несколькими структурами. Создавая четкую структуру управления, организации могут поддерживать согласованность, избегать дублирования и обеспечивать подотчетность.
Тестирование киберустойчивости: Без регулярного тестирования систем и процессов соблюдение требований невозможно. Чтобы соответствовать требованиям NIS2 и DORA, организации должны разработать комплексный план тестирования, включающий тестирование на проникновение, красные команды и упражнения по обеспечению непрерывности бизнеса. Организации должны привести свои процедуры тестирования в соответствие с требованиями инфраструктур, чтобы обеспечить более стабильный уровень безопасности.
Используйте технологию: Чтобы облегчить управление соблюдением требований, компании должны использовать технологические решения и интегрировать их в свою общую стратегию безопасности. Сюда входят основанные на данных решения для оценки рисков, управления инцидентами и тестирования устойчивости. Чтобы обеспечить более точную отчетность, необходимо рассмотреть возможность использования автоматизированных решений, которые помогут оптимизировать процессы и сократить объем ручного труда.
Укрепление доверия и прозрачности: Чтобы обеспечить доверие, организации должны раскрывать информацию о том, как компания обращается с данными и личной информацией, в том числе о том, как она защищается, в соответствии с NIS2 и DORA. Предоставление этой информации будет иметь большое значение для укрепления более широких инициатив в области кибербезопасности. Надежные меры безопасности выходят далеко за рамки защиты данных и охватывают регулирующие органы, сотрудников, потребителей и многих других. Таким образом, дальнейшее соблюдение требований может означать разницу между неизбежным злом и надежным партнером.
Превратите проблемы соблюдения требований в возможности
По мере приближения сроков NIS2 и DORA принятие единого подхода к управлению рисками, отчетности об инцидентах, тестированию устойчивости, технологиям и многому другому может помочь компаниям эффективно ориентироваться в нормативно-правовой сфере. Цель состоит не только в том, чтобы соблюдать эти рамки, но и использовать их в качестве катализатора для повышения общей безопасности и эксплуатационной устойчивости.
Мы перечислили лучшие инструменты мониторинга сети.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы демонстрируем лучшие и самые яркие умы в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно принадлежат TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
