Electrobit OÜ is authorized distributor of Mitsubishi Electric Factory Automation
Electrobit - NIS 2 direktiiv: NIS 2 direktiiv

NIS 2 direktiiv

IEC 62443

Võrgud kaitstud jääb,
NIS2 valvas käsi,
Turve vaikuses.
Haiku ChatGPT-lt

 

NIS 2, mis tähendab "Teine võrkude ja infosüsteemide direktiiv," on Euroopa Liidu direktiiv, mille eesmärk on kehtestada ühtsed standardid küberjulgeoleku tõhustamiseks infrastruktuuri sektorites. Direktiiv hõlmab suurt kompleksi meetmeid küberturvalisuse tagamiseks kriitilise tähtsusega ettevõtetele, nagu energeetikasektor, tervishoid, finantsteenused, transpordisektor, veemajandus, telekommunikatsiooni ja digiteenuste pakkujad. Selle eesmärk on tugevdada kaitset küberohtude vastu ning tagada nende sektorite operatiivne turvalisus ja vastupanuvõime võimalike küberrünnakute korral.

Toome välja vaid kaks olulist NIS 2 aspekti:

Intsidentide raporteerimine

Ettevõttena on teil kohustus teatada olulistest küberjulgeoleku intsidentidest pädevatele asutustele. Selle eesmärk on parandada intsidentidele reageerimise võimekust, hõlbustada teabe jagamist ja suurendada olukorrateadlikkust kogu ELis.

Riskijuhtimine

Ettevõtetel on kohustus rakendada riskijuhtimise meetmeid, et tõhusalt tuvastada, hinnata ja vähendada küberjulgeoleku riske. See hõlmab sobivate turvameetmete kasutuselevõttu, intsidentidele reageerimise plaanide rakendamist ning pidevat täiustamist ja kogu personali koolitamist.

IEC 62443 on rahvusvaheline standardite seeria, mis käsitleb küberjulgeolekut operatiivtehnoloogia jaoks kriitilistes automaatika- ja juhtimissüsteemides.

Mõjutatud sektorid:

  • Energeetika: elekter, nafta ja gaas, kaugküte
  • Transport: lennu-, raudtee-, vee- ja maanteetransport
  • Pangandus: finantsinfrastruktuur
  • Tervishoid
  • Veemajandus: joogivee ja reovee töötlemine
  • Digiteenused: pilveteenused, otsingumootorid, veebiturud
  • Avalik sektor: riigi- ja omavalitsusasutused
  • Toiduainetööstus: toiduainete tarnimise ja tootmise süsteemid
  • Keemiatööstus: kemikaalide tootmine ja tarneahelad
  • Kosmose- ja kaitsetööstus

Kõik need sektorid on kriitilise tähtsusega ja nende küberturvalisuse tugevdamine on oluline tagamaks ühiskonna toimimise ja teenuste järjepidevuse küberohtude korral.

Küberjulgeoleku teemasid jaotatakse vastavalt sidusrühmade kategooriatele/rollidele, sealhulgas:

  • Operaator
  • Teenusepakkujad (integratsioon/hooldus)
  • Süsteemide/komponentide tootjad

Tehnilisi nõudeid süsteemidele (IEC 62443-3-3) ja toodetele (IEC 62443-4-2) hinnatakse standardis nelja nn turvataseme (SL) kaudu. Erinevad tasemed näitavad vastupanuvõimet erinevatele ründajate klassidele.

  1. SL 1 – Kaitse juhuslike rünnakute vastu:
    See tase eeldab, et süsteem suudab kaitsta lihtsate ja juhuslike rünnakute eest, näiteks automaatsete pahatahtlike programmide vastu, millel pole sihipärast eesmärki rünnata süsteemi. Seda taset peetakse minimaalseks turvameetmeks.

  2. SL 2 – Kaitse madala taseme oskustega ründajate vastu:
    SL 2 on mõeldud süsteemidele, mis peavad suutma kaitsta rünnakute eest, mida viivad läbi ründajad, kellel on piiratud teadmised ja ressursid, kuid kes kasutavad avalikult kättesaadavaid tööriistu ja meetodeid. Ründajad võivad sihtida süsteemi sihipäraselt, kuid nende oskused on madalad.

  3. SL 3 – Kaitse keskmise taseme oskustega ründajate vastu:
    See tase on mõeldud keerukamate rünnakute vastu, kus ründajad on hästi varustatud ja neil on rohkem teadmisi ning ressursse. Nad võivad kasutada spetsiaalseid tööriistu ja rünnakumeetodeid, mis vajavad tehnilisi oskusi, kuid ei pruugi olla kõrged riikliku tasandi ründajad.

  4. SL 4 – Kaitse kõrgelt motiveeritud ja ressursimahukate ründajate vastu:
    Kõrgeimat turvataset kasutatakse süsteemides, mis peavad olema kaitstud väga oskuslike ja hästi rahastatud ründajate vastu, näiteks riikide poolt toetatud küberrünnakud. Ründajad võivad kasutada sihipäraseid ja täiustatud rünnakumeetodeid, mis nõuavad sügavaid tehnilisi teadmisi ja suuri ressursse.

Iga turvatase nõuab süsteemidelt ja toodetelt üha rangemaid tehnilisi turvameetmeid, mis tõstavad nende vastupanuvõimet erinevate ründajatüüpide ja nende kasutatavate tööriistade vastu.

NIS2 direktiiv – 4 peamist nõuet, mida täita

Riskijuhtimine ja intsidentidele reageerimine

Ettevõtted peavad rakendama riskijuhtimise meetmeid, et tagada, et nende võrkude ja süsteemide turvalisust mõjutavad riskid on piisavalt käsitletud:

  • Regulaarsete riskihindamiste läbiviimine.
  • Ulatuslik intsidentidele reageerimise ja taastumise plaanide olemasolu.
  • Küberjulgeolekuriskide leevendamiseks vajalike turvameetmete rakendamine, näiteks krüpteerimine, patch (vidage parandus) haldus ja monitooring.

Intsidentide raporteerimise nõuded

NIS2 kohaselt peavad ettevõtted teavitama olulistest küberjulgeoleku intsidentidest riiklikke pädevaid asutusi (NCA) rangete tähtaegade jooksul:

  • Esialgne teavitus tuleb esitada 24 tunni jooksul.
  • Detailne intsidentide raport tuleb esitada 72 tunni jooksul.

Tarneahela turvalisus

Ettevõtted peavad tagama, et nende tarneahelad ja kolmandatest osapooltest teenusepakkujad vastavad sobivatele turvastandarditele. See hõlmab:

  • Tarnijate ja teenusepakkujate tekitatud riskide hindamist.
  • Tagamaks, et kolmandate osapoolte teenused, nagu pilveteenused või IT-teenusepakkujad, vastavad turvanõuetele.
  • Lepinguliste kokkulepete rakendamist tarnijatega, kus on sätestatud nende turvakohustused.

Juhtimine ja vastutus

Vanemjuhtkond on vastutav organisatsiooni küberjulgeoleku tavade eest. Ettevõtted peavad:

  • Määrama isiku või meeskonna, kes vastutab küberjulgeolekuriskide juhtimise eest.
  • Tagama juhatuse tasemel järelevalve ja teadlikkuse küberjulgeoleku riskijuhtimise.
  • Pakkuma koolitus- ja teadlikkusprogramme töötajatele.

NIS2 direktiiv – mittevastavus!!!

  • Rahatrahvid: Trahvi suurus võib varieeruda sõltuvalt rikkumise raskusastmest ja jurisdiktsioonist (kuni 2% käibest).
  • Õiguslikud meetmed/kohtuasjad: See võib hõlmata kohtuasju, mille on algatanud mõjutatud pooled või reguleerivate asutuste algatatud jõustamismeetmeid.
  • Mainekahju: Vähendab usaldust klientide, partnerite ja sidusrühmade seas. See võib viia ärivõimaluste kaotamiseni ja negatiivse avaliku arvamuseni.
  • Äritegevuse katkemine: Häirib äritegevust, põhjustades rahalisi kahjusid, tegevuse seiskumist ja kahju kriitilisele infrastruktuurile.
  • Lepingute või litsentside kaotus: Risk kaotada lepingud, litsentsid või sertifikaadid, eriti kui nende mittevastavus küberjulgeoleku eeskirjadele seab ohtu kriitiliste teenuste või infrastruktuuri turvalisuse ja stabiilsuse.

Osale Westermo NIS2 veebiseminaril

Töökindlad seadmed Teie NIS2 vastavuse toetamiseks

Meie pakume NIS2-le (IEC 62443-4-2) vastavaid Westermo kommunikatsiooniseadmeid, et tagada teie võrgu turvalisus ja töökindlus. Meie seadmed on loodud spetsiaalselt vastama kõrgetele küberturvalisuse nõuetele ning aitavad kaitsta teie kriitilisi infrastruktuure ja andmeid.

 

Westermo

Westermo arendab ja toodab andmeside tooteid kriitiliste süsteemide jaoks füüsiliselt nõudlikes keskkondades. Need tooted on kasutusel nii sotsiaalses infrastruktuuris, nagu transport, vee ja energiatarned kui ka protsessitööstustes, näiteks kaevandustes ja nafta- ja keemiatööstuses.

Valige Westermo tööstuslikud switchid ja ruuterid, kui hindate süsteemi töökindlust ja stabiilsust, kus küberturvalisus on kriitilise tähtsusega ning teie ettevõttes pööratakse tähelepanu keskkonnasäästlikusele.

Küberjulgeolek

Westermo seab küberjulgeolekule tugeva prioriteedi, tagades et nende tööstuslikud kommunikatsioonitooted on kujundatud taluma tänapäeva digitaalses keskkonnas esinevaid võimalikke ohte. Sisseehitatud turvafunktsioonide, nagu tulemüürid, krüpteerimine ja turvaline kaugjuurdepääs, abil aitab Westermo kaitsta kriitilist infrastruktuuri küberrünnakute eest, kaitstes tundlikke andmeid ja säilitades tegevuse terviklikkuse. Nende pühendumine küberjulgeolekule mitte ainult ei vasta tööstusstandarditele, vaid pakub ka klientidele meelerahu üha enam omavahel seotud maailmas. 

Keskkonnaalane Jätkusuutlikkus

Westermo on pühendunud keskkonnaalasele jätkusuutlikkusele, keskendudes energiatõhusate ja pikaealiste toodete loomisele. Eelistades keskkonnasõbralikke tootmisprotsesse ja vähendades elektroonilisi jäätmeid, minimeerib Westermo oma keskkonnamõju. Nende pühendumine jätkusuutlikkusele tagab, et kliendid saavad rakendada usaldusväärseid kommunikatsioonilahendusi, toetades samal ajal rohelisema tuleviku loomist meie planeedile. Selline keskendumine keskkonnasõbralikele praktikatele vastab tööstuslike rakenduste kasvavale nõudlusele jätkusuutlike lahenduste järele.