Electrobit OÜ is authorized distributor of Mitsubishi Electric Factory Automation
Electrobit - NIS 2 direktiiv: NIS 2 direktiiv

NIS 2 direktiiv

IEC 62443

Võrgud kaitstud jääb,
NIS2 valvas käsi,
Turve vaikuses.
Haiku ChatGPT-lt

 

NIS 2, mis tähendab "Teine võrkude ja infosüsteemide direktiiv," on Euroopa Liidu direktiiv, mille eesmärk on kehtestada ühtsed standardid küberjulgeoleku tõhustamiseks infrastruktuuri sektorites. Direktiiv hõlmab suurt kompleksi meetmeid küberturvalisuse tagamiseks kriitilise tähtsusega ettevõtetele, nagu energeetikasektor, tervishoid, finantsteenused, transpordisektor, veemajandus, telekommunikatsiooni ja digiteenuste pakkujad. Selle eesmärk on tugevdada kaitset küberohtude vastu ning tagada nende sektorite operatiivne turvalisus ja vastupanuvõime võimalike küberrünnakute korral.

Toome välja vaid kaks olulist NIS 2 aspekti:

Intsidentide raporteerimine

Ettevõttena on teil kohustus teatada olulistest küberjulgeoleku intsidentidest pädevatele asutustele. Selle eesmärk on parandada intsidentidele reageerimise võimekust, hõlbustada teabe jagamist ja suurendada olukorrateadlikkust kogu ELis.

Riskijuhtimine

Ettevõtetel on kohustus rakendada riskijuhtimise meetmeid, et tõhusalt tuvastada, hinnata ja vähendada küberjulgeoleku riske. See hõlmab sobivate turvameetmete kasutuselevõttu, intsidentidele reageerimise plaanide rakendamist ning pidevat täiustamist ja kogu personali koolitamist.

IEC 62443 on rahvusvaheline standardite seeria, mis käsitleb küberjulgeolekut operatiivtehnoloogia jaoks kriitilistes automaatika- ja juhtimissüsteemides.

Mõjutatud sektorid:

  • Energeetika: elekter, nafta ja gaas, kaugküte
  • Transport: lennu-, raudtee-, vee- ja maanteetransport
  • Pangandus: finantsinfrastruktuur
  • Tervishoid
  • Veemajandus: joogivee ja reovee töötlemine
  • Digiteenused: pilveteenused, otsingumootorid, veebiturud
  • Avalik sektor: riigi- ja omavalitsusasutused
  • Toiduainetööstus: toiduainete tarnimise ja tootmise süsteemid
  • Keemiatööstus: kemikaalide tootmine ja tarneahelad
  • Kosmose- ja kaitsetööstus

Kõik need sektorid on kriitilise tähtsusega ja nende küberturvalisuse tugevdamine on oluline tagamaks ühiskonna toimimise ja teenuste järjepidevuse küberohtude korral.

Küberjulgeoleku teemasid jaotatakse vastavalt sidusrühmade kategooriatele/rollidele, sealhulgas:

  • Operaator
  • Teenusepakkujad (integratsioon/hooldus)
  • Süsteemide/komponentide tootjad

Tehnilisi nõudeid süsteemidele (IEC 62443-3-3) ja toodetele (IEC 62443-4-2) hinnatakse standardis nelja nn turvataseme (SL) kaudu. Erinevad tasemed näitavad vastupanuvõimet erinevatele ründajate klassidele.

  1. SL 1 – Kaitse juhuslike rünnakute vastu:
    See tase eeldab, et süsteem suudab kaitsta lihtsate ja juhuslike rünnakute eest, näiteks automaatsete pahatahtlike programmide vastu, millel pole sihipärast eesmärki rünnata süsteemi. Seda taset peetakse minimaalseks turvameetmeks.

  2. SL 2 – Kaitse madala taseme oskustega ründajate vastu:
    SL 2 on mõeldud süsteemidele, mis peavad suutma kaitsta rünnakute eest, mida viivad läbi ründajad, kellel on piiratud teadmised ja ressursid, kuid kes kasutavad avalikult kättesaadavaid tööriistu ja meetodeid. Ründajad võivad sihtida süsteemi sihipäraselt, kuid nende oskused on madalad.

  3. SL 3 – Kaitse keskmise taseme oskustega ründajate vastu:
    See tase on mõeldud keerukamate rünnakute vastu, kus ründajad on hästi varustatud ja neil on rohkem teadmisi ning ressursse. Nad võivad kasutada spetsiaalseid tööriistu ja rünnakumeetodeid, mis vajavad tehnilisi oskusi, kuid ei pruugi olla kõrged riikliku tasandi ründajad.

  4. SL 4 – Kaitse kõrgelt motiveeritud ja ressursimahukate ründajate vastu:
    Kõrgeimat turvataset kasutatakse süsteemides, mis peavad olema kaitstud väga oskuslike ja hästi rahastatud ründajate vastu, näiteks riikide poolt toetatud küberrünnakud. Ründajad võivad kasutada sihipäraseid ja täiustatud rünnakumeetodeid, mis nõuavad sügavaid tehnilisi teadmisi ja suuri ressursse.

Iga turvatase nõuab süsteemidelt ja toodetelt üha rangemaid tehnilisi turvameetmeid, mis tõstavad nende vastupanuvõimet erinevate ründajatüüpide ja nende kasutatavate tööriistade vastu.

NIS2 direktiiv – 4 peamist nõuet, mida täita

Riskijuhtimine ja intsidentidele reageerimine

Ettevõtted peavad rakendama riskijuhtimise meetmeid, et tagada, et nende võrkude ja süsteemide turvalisust mõjutavad riskid on piisavalt käsitletud:

  • Regulaarsete riskihindamiste läbiviimine.
  • Ulatuslik intsidentidele reageerimise ja taastumise plaanide olemasolu.
  • Küberjulgeolekuriskide leevendamiseks vajalike turvameetmete rakendamine, näiteks krüpteerimine, patch (vidage parandus) haldus ja monitooring.

Intsidentide raporteerimise nõuded

NIS2 kohaselt peavad ettevõtted teavitama olulistest küberjulgeoleku intsidentidest riiklikke pädevaid asutusi (NCA) rangete tähtaegade jooksul:

  • Esialgne teavitus tuleb esitada 24 tunni jooksul.
  • Detailne intsidentide raport tuleb esitada 72 tunni jooksul.

Tarneahela turvalisus

Ettevõtted peavad tagama, et nende tarneahelad ja kolmandatest osapooltest teenusepakkujad vastavad sobivatele turvastandarditele. See hõlmab:

  • Tarnijate ja teenusepakkujate tekitatud riskide hindamist.
  • Tagamaks, et kolmandate osapoolte teenused, nagu pilveteenused või IT-teenusepakkujad, vastavad turvanõuetele.
  • Lepinguliste kokkulepete rakendamist tarnijatega, kus on sätestatud nende turvakohustused.

Juhtimine ja vastutus

Vanemjuhtkond on vastutav organisatsiooni küberjulgeoleku tavade eest. Ettevõtted peavad:

  • Määrama isiku või meeskonna, kes vastutab küberjulgeolekuriskide juhtimise eest.
  • Tagama juhatuse tasemel järelevalve ja teadlikkuse küberjulgeoleku riskijuhtimise.
  • Pakkuma koolitus- ja teadlikkusprogramme töötajatele.

NIS2 direktiiv – mittevastavus!!!

  • Rahatrahvid: Trahvi suurus võib varieeruda sõltuvalt rikkumise raskusastmest ja jurisdiktsioonist (kuni 2% käibest).
  • Õiguslikud meetmed/kohtuasjad: See võib hõlmata kohtuasju, mille on algatanud mõjutatud pooled või reguleerivate asutuste algatatud jõustamismeetmeid.
  • Mainekahju: Vähendab usaldust klientide, partnerite ja sidusrühmade seas. See võib viia ärivõimaluste kaotamiseni ja negatiivse avaliku arvamuseni.
  • Äritegevuse katkemine: Häirib äritegevust, põhjustades rahalisi kahjusid, tegevuse seiskumist ja kahju kriitilisele infrastruktuurile.
  • Lepingute või litsentside kaotus: Risk kaotada lepingud, litsentsid või sertifikaadid, eriti kui nende mittevastavus küberjulgeoleku eeskirjadele seab ohtu kriitiliste teenuste või infrastruktuuri turvalisuse ja stabiilsuse.

Osale Westermo NIS2 veebiseminaril

Töökindlad seadmed Teie NIS2 vastavuse toetamiseks

Meie pakume NIS2-le (IEC 62443-4-2) vastavaid Westermo kommunikatsiooniseadmeid, et tagada teie võrgu turvalisus ja töökindlus. Meie seadmed on loodud spetsiaalselt vastama kõrgetele küberturvalisuse nõuetele ning aitavad kaitsta teie kriitilisi infrastruktuure ja andmeid.

 

Usaldusväärsed ja turvalised tööstusvõrgud

Küberrünnakute oht kriitiliste infrastruktuuri võrkude suhtes suureneb pidevalt. Edukas rünnak nendele võrkudele võib avaldada meie ühiskonnale sügavat mõju, põhjustades suuri majanduslikke kaotusi või veelgi hullemat. Westermo teab, et tõhusaks kaitseks võimalike rünnakute vastu on vajalik pakkuda rohkem kui lihtsalt toodet.

Westermo pakub tehnilist teadlikkust, turvalist tarneahelat, kiiret reageerimist turvaintsidentidele ning lihtsaid viise teie võrgustiku turvaliseks konfigureerimiseks.

WEOS operatsioonisüsteem

Westermo kasutab oma seadmetes enda arendatud WEOS operatsioonisüsteemi, mis on pidevas uuendamisprotsessis, et vastata pidevalt muutuvale küberkaitse maastikule ja uutele väljakutsetele. WEOS tagab kõrge turvalisuse taseme, võimaldades efektiivset kaitset erinevate ohtude ja rünnakute eest.

Riistvara

Westermo on innovaatiline kommunikatsiooniseadmete arendaja, kes jälgib põhjalikult oma komponentide tarneahelate kvaliteeti ja usaldusväärsust. Meie seadmed on projekteeritud ja valmistatud vastama kõrgetele tööstusstandarditele, tagades nende pikaajalise töökindluse ja vastupidavuse erinevates keskkondades.

Enamus Westermo switchide ja ruuterite CPU kiibistik on Euroopa päritoluga, mis tagab kõrge kvaliteedi, usaldusväärsuse ja vastavuse rangetele tööstusstandarditele. Euroopa tootmisprotsesside kasutamine aitab samuti vähendada tarnete riske ja toetada kohalikku majandust.

WeConfig konfigureerimistarkvara

WeConfig muudab võrgukonfiguratsiooni ja hoolduse tõhusamaks, lihtsamaks ja usaldusväärsemaks. Esialgse paigaldamise ja võrguhoolduse käigus võib säästa mitmeid tunde tööd. Aega nõudvaid ülesandeid saab automatiseerida ning konfiguratsiooni uuendusi saab kopeerida teistesse seadmetesse. WeConfig vähendab konfiguratsioonivigade riski ja lihtsustab võrguturbe optimeerimist. Korrektselt konfigureeritud ja jälgitud võrk koos lihtsate ja robustsete hooldusprotsessidega minimeerib võrgukatkestuste riski.

WeConnect VPN ühendus

WeConnect on (VPN) lahendus, mis võimaldab turvalise kaugühenduse loomist. Innovatiivsed krüpteerimistehnikad võimaldavad kaitstud kaugjuurdepääsu igale seadmele võrgus, kasutades arvutit, nutitelefoni või tahvelarvutit. See võimaldab võrku hallata ükskõik kus maailmas, tuues kaasa olulist aja ja raha kokkuhoidu.