Electrobit OÜ is authorized distributor of Mitsubishi Electric Factory Automation
Electrobit - NIS 2 direktiiv: NIS 2 direktiiv

NIS 2 direktiiv

IEC 62443

Võrgud kaitstud jääb,
NIS2 valvas käsi,
Turve vaikuses.
Haiku ChatGPT-lt

 

NIS 2, mis tähendab "Teine võrkude ja infosüsteemide direktiiv," on Euroopa Liidu direktiiv, mille eesmärk on kehtestada ühtsed standardid küberjulgeoleku tõhustamiseks infrastruktuuri sektorites. Direktiiv hõlmab suurt kompleksi meetmeid küberturvalisuse tagamiseks kriitilise tähtsusega ettevõtetele, nagu energeetikasektor, tervishoid, finantsteenused, transpordisektor, veemajandus, telekommunikatsiooni ja digiteenuste pakkujad. Selle eesmärk on tugevdada kaitset küberohtude vastu ning tagada nende sektorite operatiivne turvalisus ja vastupanuvõime võimalike küberrünnakute korral.

Toome välja vaid kaks olulist NIS 2 aspekti:

Intsidentide raporteerimine

Ettevõttena on teil kohustus teatada olulistest küberjulgeoleku intsidentidest pädevatele asutustele. Selle eesmärk on parandada intsidentidele reageerimise võimekust, hõlbustada teabe jagamist ja suurendada olukorrateadlikkust kogu ELis.

Riskijuhtimine

Ettevõtetel on kohustus rakendada riskijuhtimise meetmeid, et tõhusalt tuvastada, hinnata ja vähendada küberjulgeoleku riske. See hõlmab sobivate turvameetmete kasutuselevõttu, intsidentidele reageerimise plaanide rakendamist ning pidevat täiustamist ja kogu personali koolitamist.

IEC 62443 on rahvusvaheline standardite seeria, mis käsitleb küberjulgeolekut operatiivtehnoloogia jaoks kriitilistes automaatika- ja juhtimissüsteemides.

Mõjutatud sektorid:

  • Energeetika: elekter, nafta ja gaas, kaugküte
  • Transport: lennu-, raudtee-, vee- ja maanteetransport
  • Pangandus: finantsinfrastruktuur
  • Tervishoid
  • Veemajandus: joogivee ja reovee töötlemine
  • Digiteenused: pilveteenused, otsingumootorid, veebiturud
  • Avalik sektor: riigi- ja omavalitsusasutused
  • Toiduainetööstus: toiduainete tarnimise ja tootmise süsteemid
  • Keemiatööstus: kemikaalide tootmine ja tarneahelad
  • Kosmose- ja kaitsetööstus

Kõik need sektorid on kriitilise tähtsusega ja nende küberturvalisuse tugevdamine on oluline tagamaks ühiskonna toimimise ja teenuste järjepidevuse küberohtude korral.

Küberjulgeoleku teemasid jaotatakse vastavalt sidusrühmade kategooriatele/rollidele, sealhulgas:

  • Operaator
  • Teenusepakkujad (integratsioon/hooldus)
  • Süsteemide/komponentide tootjad

Tehnilisi nõudeid süsteemidele (IEC 62443-3-3) ja toodetele (IEC 62443-4-2) hinnatakse standardis nelja nn turvataseme (SL) kaudu. Erinevad tasemed näitavad vastupanuvõimet erinevatele ründajate klassidele.

  1. SL 1 – Kaitse juhuslike rünnakute vastu:
    See tase eeldab, et süsteem suudab kaitsta lihtsate ja juhuslike rünnakute eest, näiteks automaatsete pahatahtlike programmide vastu, millel pole sihipärast eesmärki rünnata süsteemi. Seda taset peetakse minimaalseks turvameetmeks.

  2. SL 2 – Kaitse madala taseme oskustega ründajate vastu:
    SL 2 on mõeldud süsteemidele, mis peavad suutma kaitsta rünnakute eest, mida viivad läbi ründajad, kellel on piiratud teadmised ja ressursid, kuid kes kasutavad avalikult kättesaadavaid tööriistu ja meetodeid. Ründajad võivad sihtida süsteemi sihipäraselt, kuid nende oskused on madalad.

  3. SL 3 – Kaitse keskmise taseme oskustega ründajate vastu:
    See tase on mõeldud keerukamate rünnakute vastu, kus ründajad on hästi varustatud ja neil on rohkem teadmisi ning ressursse. Nad võivad kasutada spetsiaalseid tööriistu ja rünnakumeetodeid, mis vajavad tehnilisi oskusi, kuid ei pruugi olla kõrged riikliku tasandi ründajad.

  4. SL 4 – Kaitse kõrgelt motiveeritud ja ressursimahukate ründajate vastu:
    Kõrgeimat turvataset kasutatakse süsteemides, mis peavad olema kaitstud väga oskuslike ja hästi rahastatud ründajate vastu, näiteks riikide poolt toetatud küberrünnakud. Ründajad võivad kasutada sihipäraseid ja täiustatud rünnakumeetodeid, mis nõuavad sügavaid tehnilisi teadmisi ja suuri ressursse.

Iga turvatase nõuab süsteemidelt ja toodetelt üha rangemaid tehnilisi turvameetmeid, mis tõstavad nende vastupanuvõimet erinevate ründajatüüpide ja nende kasutatavate tööriistade vastu.

NIS2 direktiiv – 4 peamist nõuet, mida täita

Riskijuhtimine ja intsidentidele reageerimine

Ettevõtted peavad rakendama riskijuhtimise meetmeid, et tagada, et nende võrkude ja süsteemide turvalisust mõjutavad riskid on piisavalt käsitletud:

  • Regulaarsete riskihindamiste läbiviimine.
  • Ulatuslik intsidentidele reageerimise ja taastumise plaanide olemasolu.
  • Küberjulgeolekuriskide leevendamiseks vajalike turvameetmete rakendamine, näiteks krüpteerimine, patch (vidage parandus) haldus ja monitooring.

Intsidentide raporteerimise nõuded

NIS2 kohaselt peavad ettevõtted teavitama olulistest küberjulgeoleku intsidentidest riiklikke pädevaid asutusi (NCA) rangete tähtaegade jooksul:

  • Esialgne teavitus tuleb esitada 24 tunni jooksul.
  • Detailne intsidentide raport tuleb esitada 72 tunni jooksul.

Tarneahela turvalisus

Ettevõtted peavad tagama, et nende tarneahelad ja kolmandatest osapooltest teenusepakkujad vastavad sobivatele turvastandarditele. See hõlmab:

  • Tarnijate ja teenusepakkujate tekitatud riskide hindamist.
  • Tagamaks, et kolmandate osapoolte teenused, nagu pilveteenused või IT-teenusepakkujad, vastavad turvanõuetele.
  • Lepinguliste kokkulepete rakendamist tarnijatega, kus on sätestatud nende turvakohustused.

Juhtimine ja vastutus

Vanemjuhtkond on vastutav organisatsiooni küberjulgeoleku tavade eest. Ettevõtted peavad:

  • Määrama isiku või meeskonna, kes vastutab küberjulgeolekuriskide juhtimise eest.
  • Tagama juhatuse tasemel järelevalve ja teadlikkuse küberjulgeoleku riskijuhtimise.
  • Pakkuma koolitus- ja teadlikkusprogramme töötajatele.

NIS2 direktiiv – mittevastavus!!!

  • Rahatrahvid: Trahvi suurus võib varieeruda sõltuvalt rikkumise raskusastmest ja jurisdiktsioonist (kuni 2% käibest).
  • Õiguslikud meetmed/kohtuasjad: See võib hõlmata kohtuasju, mille on algatanud mõjutatud pooled või reguleerivate asutuste algatatud jõustamismeetmeid.
  • Mainekahju: Vähendab usaldust klientide, partnerite ja sidusrühmade seas. See võib viia ärivõimaluste kaotamiseni ja negatiivse avaliku arvamuseni.
  • Äritegevuse katkemine: Häirib äritegevust, põhjustades rahalisi kahjusid, tegevuse seiskumist ja kahju kriitilisele infrastruktuurile.
  • Lepingute või litsentside kaotus: Risk kaotada lepingud, litsentsid või sertifikaadid, eriti kui nende mittevastavus küberjulgeoleku eeskirjadele seab ohtu kriitiliste teenuste või infrastruktuuri turvalisuse ja stabiilsuse.

Osale Westermo NIS2 veebiseminaril

Töökindlad seadmed Teie NIS2 vastavuse toetamiseks

Meie pakume NIS2-le (IEC 62443-4-2) vastavaid Westermo kommunikatsiooniseadmeid, et tagada teie võrgu turvalisus ja töökindlus. Meie seadmed on loodud spetsiaalselt vastama kõrgetele küberturvalisuse nõuetele ning aitavad kaitsta teie kriitilisi infrastruktuure ja andmeid.

 

Westermo ja Keskkonnasäästlikkus

Westermo on pühendunud keskkonnasäästlikkusele, keskendudes energiatõhusate ja pika elueaga toodete loomisele. Eelistades keskkonnasõbralikke tootmisprotsesse ja vähendades elektroonikajäätmeid, minimeerib Westermo oma keskkonnamõju. Nende pühendumus säästlikkusele tagab, et kliendid saavad rakendada usaldusväärseid kommunikatsioonilahendusi, toetades samal ajal rohelisemat tulevikku meie planeedile. See keskendumine keskkonnateadlikkusele on kooskõlas kasvava nõudlusega tööstusvaldkonnas kasutatavate jätkusuutlike lahenduste järele.

Keskkonnadirektiivid: ISO 14001:2015

Westermo on saanud ISO 14001:2005 keskkonnajuhtimissüsteemi sertifikaadi oma tootmis-, teadus- ja arendustegevuse (R&D) eest Rootsis. See sertifikaat kinnitab ettevõtte püüdlust vähendada oma tegevuse keskkonnamõju ning luua uusi võimalusi süsteemselt ja struktureeritult.

ISO 14001:2015 tähendab teadlikkust toote kogu elutsükli vältel:

  • Vähendada energiatarbimist kõigis üksustes
  • Minimeerida tootedisainis energiavajadust
  • Vähendada transpordiga seotud heitkoguseid
  • Vähendada kemikaalide kasutamist
  • Valida õiged komponendid / tarnijad
  • Vähendada jääkide (prahi) kulusid

Keskkonnadirektiivid: ISO 14025:2006

EPD ehk Environmental Product Declaration (keskkonnatoote deklaratsioon) on standardiseeritud dokument, mis annab läbipaistva ja võrreldava ülevaate toote või teenuse keskkonnamõjudest kogu selle elutsükli vältel. EPD põhineb rahvusvaheliselt tunnustatud standarditel (nt ISO 14025) ja sisaldab selliseid andmeid nagu toote valmistamiseks kasutatavad ressursid, energiakulu, heitkogused, jäätmete teke ja muud keskkonnamõjud. EPD aitab ettevõtetel näidata oma pühendumust keskkonnasäästlikkusele ja annab klientidele olulist teavet teadlike ostuotsuste tegemiseks.

Westermo on tooteinformatsiooni uuendamise protsessis vastavalt ISO 14025:2006 standardile.

Keskkonnatoodete deklaratsioonid (EPD) aitavad ettevõtetel järgida regulatiivseid nõudeid ja vastata turu nõudmistele säästlike ja läbipaistvate toodete järele.

  • REACH nõuetele vastavuse deklaratsioon: Westermo tooted vastavad REACH-määrustele.

  • Vastavusdeklaratsioon, RoHS-3 direktiiv: Westermo tooted vastavad RoHS, RoHS-2 ja RoHS-3 direktiividele.

  • Vastavusdeklaratsioon, USA TSCA PBT: Westermo tooted vastavad USA TSCA PBT direktiividele.