מאוקטובר הקרוב: עידן חדש של אבטחת סייבר באירופה
הנחיית NIS2 תיכנס לתוקפה בקרוב ותחייב גם ארגונים מסקטורים חדשים לעמוד בתקנות אבטחת סייבר מחמירות יותר. אילו שינויים נעשו בהנחיה חדשה ומה ארגונים יכולים לעשות כבר עכשיו כדי להתכונן?
תומר מאור, CTO Cybersecurity Consulting ב-EY
באוקטובר הקרוב תיכנס לתוקפה הנחיית NIS2, והאיחוד האירופי עומד בפני שינויים מרחיקי לכת בתחום אבטחת הסייבר. העבודה על ההנחיה החלה עוד בשנת 2021 ומועד כניסתה לתוקף נקבע לאוקטובר 2024. המצב הגיאופוליטי העולמי שנוצר בעקבות מלחמת רוסיה-אוקראינה מאז 2022 רק הבליט את רגישות השווקים למתקפות סייבר ואת נחיצותה.
NIS2 מסמנת עידן חדש של אבטחת סייבר באיחוד האירופי: הרחבה של מעגל הארגונים תחת רגולציה, החמרה בדרישות וחיזוק שיתוף הפעולה. היא מבטיחה להתאים את האיחוד האירופי לאיומי הסייבר המתפתחים ולהבטיח רמה גבוהה יותר של חוסן ואבטחה דיגיטלית על ידי הרחבה של רשימת הסקטורים שייכללו תחתיה וסיפוק פתרונות לבעיות שעלו במהלך ההנחיה הקודמת (NIS1) – בעיות שהתבטאו בעיקר ביישומה בסקטורים הכפופים עקב היעדר יכולת אכיפה; בשיתוף מידע ופיקוח ברמת המדינה החברה; ובכיסוי לא מספק של הסקטורים בעלי ההשפעה על כלכלת האיחוד האירופי.
ארגונים שייערכו כראוי ויטמיעו תרבות של אבטחה לא רק יעמדו בדרישות החוק, אלא גם ייהנו מחוסן משופר ומאמון הלקוחות בעולם הדיגיטלי המאתגר של ימינו. NIS2 היא הזדמנות לארגונים להתקדם ולהוביל את התחום, וכדאי לנצל אותה נכון. אז בואו נצלול לעומק ונבין מה מביאה איתה ההנחיה החדשה וכיצד ארגונים יכולים להיערך לקראתה.
הרחבת מעגל הארגונים תחת רגולציה
NIS2 מגדילה באופן משמעותי את מספר הסקטורים והארגונים הנתונים לפיקוח וכוללת גם סקטורים יצרניים וארגונים שעד כה לא נכללו תחת ההגדרה הסטנדרטית של תשתיות מדינה קריטיות, אלא נחשבו כחלק משרשראות האספקה לתשתיות אלה. ההנחיה מגדירה שתי קטגוריות – ארגונים חיוניים (ייצור חשמל לדוגמה) וחשובים (ספקי מדיה לדוגמה) – שתיהן כפופות לדרישות אבטחה זהות. ההבדל העיקרי טמון ברמת הפיקוח והסנקציות ובדרישות ההנחיה מהן. משמעות הדבר היא שיותר ארגונים ייכללו תחת הרגולציה ויידרשו לעמוד בסטנדרטים מחמירים ועדכניים של אבטחת סייבר.
דגש על אבטחת שרשראות אספקה
נקודה מעניינת ב-NIS2 היא הדגש המיוחד על אבטחת שרשראות אספקה קריטיות. ארגונים יהיו אחראים לנהל סיכוני סייבר לא רק בתוך הארגון עצמו, אלא גם מול ספקים וצדדים שלישיים. המשמעות היא שגם אם הארגון שלכם אינו נכלל ישירות תחת NIS2, עדיין תרגישו את ההשפעה שלה אם אתם מספקים שירותים ללקוחות שכן. כלומר, חברות הנכללות בשרשרת האספקה של הגורמים המפוקחים יידרשו גם הן לעמוד בדרישות הסייבר המוגדרות ברגולציה עבור שרשראות אספקה.
אחריות ההנהלה לאבטחת סייבר
NIS2 מטילה אחריות ברורה על כתפי הנהלת הארגונים בכל הקשור לאבטחת סייבר. המנהלים יידרשו לבצע הערכות סיכונים, לאשר תוכניות טיפול ולעבור הכשרות ייעודיות. מדובר לא רק בטכנולוגיה, אלא בתרבות ארגונית של מודעות ואחריות לנושא. יתרה מכך, לא רק המנהלים, אלא גם העובדים צפויים לעבור הדרכות והכשרות בתחום.
שיתוף פעולה ומידע בין מדינות האיחוד
NIS2 שמה דגש רב על שיתוף פעולה ומידע בין מדינות האיחוד האירופי. סוכנות הסייבר האירופית (ENISA) תקים מאגר מרכזי לחשיפת פגיעויות ולשיתוף ידע, וארגונים יחויבו לדווח על אירועי סייבר בטווחי זמן מוגדרים ובפירוט נרחב יותר. כל המידע שייאסף יעובד ויופץ בחזרה לארגונים, כדי שכולם ילמדו מניסיון האחרים ויחזקו את ההגנה הכוללת.
אפשר להתחיל להיערך כבר עכשיו
אז מה אפשר לעשות כבר עכשיו? ראשית, בדקו אם הארגון שלכם נכלל ברשימת הסקטורים המפורטים ב NIS2. ההנחיה צפויה להיכנס לתוקף באוקטובר 2024 וארגונים יידרשו להירשם עד אפריל 2025. אך אל תמתינו לרגע האחרון. התחילו כבר עכשיו להעריך את רמת האבטחה שלכם, לזהות את הפערים בין רמת האבטחה האירגונית שלכם לזו הנדרשת ולבנות תוכנית עבודה מפורטת. זכרו, מדובר בתהליך מתמשך ולא במירוץ ספרינט. ככל שתתחילו מוקדם יותר, כך תהיו מוכנים יותר.